Certificación de la Seguridad de las Tecnologías de la Información
Rosa García Ontoso
Biografía de Rosa García Ontoso
Licenciada en Ciencias Matemáticas desde 1975, Rosa García Ontoso está especializada en análisis numérico y en informática. Ha realizado los estudios de Doctorado en la Facultad de Derecho de la Universidad Complutense de Madrid, aprobando el DEA que le habilita como investigadora. Durante los últimos años ha dado asesoramiento técnico, organizativo, de seguridad y en materia de protección de datos a las Direcciones Generales de Informática Sanitaria e Innovación Tecnológica y en la Dirección General de Farmacia y Productos Sanitarios, en comisión de servicio como consultora de sistemas de información de la Agencia de Informática de la Comunidad de Madrid. Entre julio de 1997 y noviembre de 2001 organizó y dirigió la Agencia de Protección de Datos en esta comunidad.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, se publicó en el BOE el 19 de enero de 2008.
Para facilitar el cumplimiento de las medidas de seguridad, el RD exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.
Previamente, el 25 septiembre 2007, se publicó la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprobaba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
A dicha Orden Ministerial, le acompaña el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, que regula el marco de actuación, y crea los organismos necesarios, para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, tras ser consultados los fabricantes e importadores del sector, y a propuesta conjunta de los Ministros de Defensa y de Industria, Turismo y Comercio, con la aprobación previa de la Ministra de Administraciones Públicas.
La Orden establece la estructura, funciones y ámbito de aplicación del Organismo de Certificación. Comprende las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de la seguridad de las TI en el marco del Esquema. También comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos, en el marco del Esquema. Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de actuación del Centro Criptológico Nacional.
El Organismo de Certificación avalará la seguridad de los productos y sistemas de Tecnologías de la Información, siguiendo el procedimiento establecido en la Orden y tras considerar, entre otras pruebas de la instrucción del procedimiento, los informes de evaluación emitidos por los laboratorios acreditados conforme a lo establecido y realizados atendiendo a los criterios, métodos y normas de evaluación de la seguridad.
La certificación de la seguridad de un producto o sistema de las Tecnologías de la Información supone el reconocimiento de la veracidad de las propiedades de seguridad de su correspondiente declaración de seguridad.
