Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
          • OP.PL.1 Análisis de Riesgos
          • OP.PL.2 Arquitectura de Seguridad
          • OP.PL.3 Arquitectura de Seguridad
          • OP.PL.4 Dimensionamiento y Gestión de Capacidades
          • OP.PL.5 Componentes Certificados
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.PL Planificación
  • OP.PL.5 Componentes Certificados

OP.PL.5 Componentes Certificados

Documentos de referencia​

  • Guías CCN-STIC:
    • Guía CCN-STIC-813 - Componentes Certificados en el ENS
    • Guía CCN-STIC-103 - Catálogo de Productos con certificación criptologica
  • ISO/IEC 27000
  • NIST SP 800-53 rev. 4
  • Otras referencias:
    • NIST SP 800-23 - Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products
    • NIST SP 800-36 - Guide to Selecting Information Technology Security Products
    • Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información http://www.oc.ccn.cni.es
    • Orden PRE/2740/2007 de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
    • ISO/IEC 15408-1:2005 - Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model
    • ISO/IEC 15408-2:2005 - Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements
    • ISO/IEC 15408-3:2005 - Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements
    • ISO/IEC 18045:2005 - Information technology - Security techniques - Methodology for IT security evaluation
    • ISO/IEC TR 19791:2006 - Information technology - Security techniques - Security assessment of operational systems

Guía de implantación​

  1. Todas las palabras se quedan cortas para insistir en la necesidad de recurrir a componentes probados, evaluados y certificados. Desarrollar los propios componentes exige un apreciable nivel de formación, un considerable esfuerzo y una capacidad de mantenimiento de la seguridad frente a vulnerabilidades, defectos y nuevas amenazas. Todo esto se simplifica notablemente recurriendo a componentes de terceras partes siempre y cuando dichos componentes estén asegurados para protegernos de acuerdo a nuestras necesidades y frente a nuestras amenazas. Esto quiere decir que antes de adquirir un producto, por muy acreditado que esté, hay que cerciorarse de que cubre nuestras necesidades específicas.

  2. El empleo de componentes certificados requiere:

  • un esfuerzo preliminar de validación: idoneidad para el caso
  • un esfuerzo de implantación: adquisición y formación
  • y un esfuerzo continuo de actualizaciones para no perder las garantías iniciales
  1. Cuando se evalúan productos, es frecuente establecer una escala de niveles. En el caso de Criterios Comunes (ISO 15408), esta es la escala:

EAL1 – Probado funcionalmente​

EAL1 es aplicable cuando se necesita alguna confianza en el funcionamiento correcto pero las amenazas a la seguridad no son importantes. Será útil cuando se necesite garantía independiente en la controversia entre el debido cuidado que se ha ejercido y la protección de la información personal o similar.

EAL1 proporciona una evaluación del TOE disponible para el cliente, incluyendo pruebas independientes sobre una especificación y un examen de los manuales proporcionados. Se piensa que una evaluación EAL1 pueda ser realizada con éxito sin la ayuda del fabricante del TOE y con un gasto mínimo.

Una evaluación a este nivel debe proporcionar evidencia de que el TOE funciona de una manera consistente con su documentación y que proporciona protección útil contra las amenazas identificadas.

EAL2 – Probado estructuralmente​

EAL2 necesita la cooperación del fabricante por lo que se refiere a entregar información de diseño y resultados de pruebas, pero no debe exigir más esfuerzo por parte del fabricante de lo que supone una práctica comercial buena. Por tanto, no debe requerir un nivel de esfuerzo sustancialmente mayor en costes o tiempo.

EAL2 es, por consiguiente, aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel de seguridad, entre bajo y moderado, garantizado independientemente en ausencia de documentación extensiva o tiempo.

EAL3 – Probado y verificado metódicamente​

EAL3 permite a un fabricante concienzudo obtener garantía máxima de la ingeniería de seguridad en la fase de diseño sin la alteración sustancial de las prácticas de desarrollo válidas existentes.

EAL3 es aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel moderado de seguridad garantizado independientemente y una completa investigación del TOE y su desarrollo sin necesidad de reingeniería sustancial.

EAL4 – Diseñado, probado y revisado metódicamente​

EAL4 permite a un fabricante obtener garantía máxima de la ingeniería de seguridad basada en correctas prácticas de desarrollo comercial que, aun siendo riguroso, no requiere un conocimiento o destreza especializados sustanciales ni otros recursos.
EAL4 es el nivel más alto que permite que sea económicamente factible aplicar CC a una línea de producto ya existente.

EAL4 es, por consiguiente, aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel de seguridad, entre moderado y alto, garantizado independientemente de TOEs convencionales y están dispuestos a costear gastos adicionales de ingeniería específica de seguridad.

EAL5 – Diseñado y probado semiformalmente​

EAL5 permite a un fabricante obtener garantía máxima de la ingeniería de seguridad basada en prácticas de desarrollo comercial rigurosas apoyadas por una moderada aplicación de técnicas específicas de ingeniería de seguridad. En este caso el TOE probablemente se diseñe y desarrolle con la intención de lograr el nivel de garantía EAL5. Es probable que el coste adicional atribuible a los requisitos de EAL5, comparado al coste que supone un desarrollo riguroso sin la aplicación de técnicas especializadas, no sea grande.

EAL5 es, por consiguiente, aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel alto de seguridad, garantizado independientemente, en un desarrollo previsto y requiere un enfoque de desarrollo riguroso sin incurrir en gastos no razonables atribuibles a las técnicas de ingeniería específica de seguridad.

EAL6 – Diseñado, probado y revisado semiformalmente​

EAL6 permite a los fabricantes obtener alta garantía de la aplicación de técnicas de ingeniería de seguridad en un entorno de desarrollo riguroso para producir un TOE específico para proteger los recursos de alto valor contra riesgos significativos.

EAL6 es, por consiguiente, aplicable al desarrollo de TOEs de seguridad para su aplicación en situaciones de alto riesgo donde el valor de los recursos protegidos justifica el coste adicional.

EAL7 – Diseñado, probado y revisado formalmente​

EAL7 es aplicable al desarrollo de TOEs de seguridad para su aplicación en situaciones de riesgo extremadamente alto y/o donde el alto valor de los recursos justifica el mayor coste.
La aplicación práctica de EAL7 se limita actualmente a TOEs con una funcionalidad estrictamente dirigida a la seguridad que permite un extenso análisis formal.

  1. El ENS solo requiere la consideración de productos certificados para sistemas de categoría ALTA. No obstante, cabe hacer las siguientes indicaciones:
  • Un nivel EAL1 sería recomendable para cualquier sistema.
  • Un nivel EAL2 sería aconsejable para sistemas de categoría MEDIA o ALTA.
  • Un nivel EAL3 sería interesante para sistemas de categoría ALTA, concretamente para elementos críticos del sistema como puede ser la frontera exterior hacia redes públicas.
  • Niveles por encima de EAL3 son siempre interesantes, pero probablemente desproporcionados para sistemas adscritos al ENS, salvo frente a amenazas extremas.
Previous
OP.PL.4 Dimensionamiento y Gestión de Capacidades
Next
OP.ACC Control de acceso
  • Documentos de referencia
  • Guía de implantación
    • EAL1 – Probado funcionalmente
    • EAL2 – Probado estructuralmente
    • EAL3 – Probado y verificado metódicamente
    • EAL4 – Diseñado, probado y revisado metódicamente
    • EAL5 – Diseñado y probado semiformalmente
    • EAL6 – Diseñado, probado y revisado semiformalmente
    • EAL7 – Diseñado, probado y revisado formalmente
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)