La utilización de las Tecnologías de la Información (TI) en amplias áreas de la actividad de la Administración, así como la creciente participación de España en proyectos de desarrollo de la sociedad de la información de carácter internacional, imponen la necesidad de garantizar un nivel de seguridad en la utilización de las TI equiparable, como mínimo, al conseguido en el tratamiento tradicional de la información en soporte papel.

Por tanto, la seguridad que las TI deben poseer, ha de abarcar la protección de la confidencialidad, la integridad y la disponibilidad de la información que manejan los sistemas de información, así como la integridad y disponibilidad de los propios sistemas.

La garantía de seguridad de las Tecnologías de la Información debe estar basada en el establecimiento de mecanismos y servicios de seguridad, adecuadamente diseñados, que impidan la realización de funciones no deseadas.

Uno de los métodos, admitido internacionalmente, para garantizar la corrección y efectividad de dichos mecanismos y servicios, consiste en la evaluación de la seguridad de las TI, realizada mediante la utilización de criterios rigurosos, con posterior certificación por el organismo legalmente establecido.

El Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, que acompaña a esta Orden Ministerial, regula el marco de actuación, y crea los organismos necesarios, para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

La carencia actual de un esquema análogo, puede suponer un importante obstáculo para la difusión y aceptación generalizada, tanto a nivel nacional como internacional, de los diferentes productos y sistemas de las Tecnologías de la Información desarrollados en nuestro país.

En el contexto de los programas internacionales, no se puede entender criterios de evaluación y certificación de la seguridad de las TI que no sean homologables con los de otros países participantes. Por ello, es necesario la adopción de criterios internacionales, que permitan negociar el reconocimiento mutuo de certificados, resultando esencial que el Esquema al que se refiere el presente Reglamento, se equipare a los del resto de los países de nuestro entorno.

Desde hace algunos años, en España, se ha venido sintiendo la necesidad de impulsar la creación de un esquema de esta naturaleza, habiéndose llevado a cabo diversas iniciativas para su constitución, desde el Consejo Superior de Informática y para el Impulso de la Administración Electrónica, en colaboración con el Centro Nacional de Inteligencia. También, en la Dirección General de Armamento y Material del Ministerio de Defensa, se creó un esquema orientado a satisfacer necesidades puntuales del Ministerio de Defensa.

Asimismo, se creó un laboratorio de evaluación, el Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) del Instituto Nacional de Técnica Aeroespacial (INTA). Este laboratorio fue acreditado, siguiendo este mismo Reglamento, como laboratorio de evaluación de la seguridad de las Tecnologías de la Información, por resolución 1AO/38272/2005, de 13 de octubre, del Centro Criptológico Nacional, y ha contribuido, de manera decisiva, a la creación y puesta en marcha de un esquema de funcionalidad completa.

Paralelamente, España, como país consumidor de certificados, y a través del Ministerio de Administraciones Públicas, ha estado presente en el Arreglo de Reconocimiento Mutuo de Certificados Common Criteria (CCRA), desde su creación.

En ese Ministerio, se ha sentido la necesidad de crear un único esquema nacional que abarcase todo el ámbito de la actividad de evaluación y certificación y que potenciase a España a la categoría de país productor de certificados Common Criteria.

Por todo ello, la creación de un esquema nacional va a gozar, desde el principio, de aportaciones experimentadas y se va a encajar en un foro en el que su presencia es demandada.

Por otra parte, se hace necesaria la participación de un organismo de certificación, que partiendo de un conocimiento de las Tecnologías de la Información y de las amenazas y vulnerabilidades existentes, proporcione una garantía razonable a los procesos de evaluación y certificación.

Dicho organismo se constituye al amparo de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que encomienda a este Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información, y según lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, entre cuyas funciones está la de constituir el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

En virtud de los preceptos indicados anteriormente, consultados los fabricantes e importadores del sector, y a propuesta conjunta de los Ministros de Defensa y de Industria, Turismo y Comercio, con la aprobación previa de la Ministra de Administraciones Públicas, dispongo:

Artículo único. Aprobación del Reglamento.

Se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, cuyo texto se inserta a continuación.

Disposición adicional única. Naturaleza y establecimiento de la contraprestación exigida por las acreditaciones y certificaciones.

1. Al amparo de lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos, los ingresos procedentes de las acreditaciones de laboratorios y de las certificaciones de productos, tienen la naturaleza de tasas.

2. Según lo establecido en el artículo 2.3 del Real Decreto 1287/2005, de 28 de octubre, por el que se modifica el Real Decreto 593/2002, de 28 de junio, que desarrolla el régimen económico presupuestario del Centro Nacional de Inteligencia, el establecimiento o modificación de la cuantía de los ingresos que tengan la naturaleza de tasas, así como la fijación de los diversos elementos de la correspondiente relación jurídico-tributaria, se harán con arreglo a lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos.

Disposición final primera. Facultades de ejecución y aplicación.

Se faculta al Secretario de Estado Director del Centro Criptológico Nacional del Centro Nacional de Inteligencia, para dictar cuantas instrucciones sean necesarias para la ejecución y aplicación de lo establecido en esta orden ministerial.

Disposición final segunda. Entrada en vigor.

La presente orden ministerial entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 19 de septiembre de 2007.-La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, M.ª Teresa Fernández de la Vega Sanz.

REGLAMENTO DE EVALUACIÓN Y CERTIFICACIÓN DE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN

ÍNDICE

Artículo 10. Responsable de Calidad del Organismo de Certificación. Artículo 11. Responsable de Seguridad del Organismo de Certificación. Artículo 12. Responsable de Registro del Organismo de Certificación. Artículo 13. Personal técnico del Organismo de Certificación. Sección 3.ª Consejo de Acreditación y Certificación. Artículo 14. Naturaleza. Artículo 15. Composición. Artículo 16. Fines. Artículo 17. Atribuciones. Artículo 18. Periodicidad de las reuniones. Sección 4.ª Acreditación y Certificación. Artículo 19. Acreditación de laboratorios. Artículo 20. Certificación de productos. Artículo 21. Publicaciones del Esquema. Capítulo III. Requisitos de acreditación de laboratorios. Artículo 22. Requisitos generales para la acreditación de laboratorios. Sección 1.ª Requisitos de seguridad para laboratorios que evalúen productos clasificados. Artículo 23. Requisitos de laboratorios que evalúen productos clasificados. Sección 2.ª Requisitos de seguridad para laboratorios que evalúen productos no clasificados. Artículo 24. Requisitos de laboratorios que evalúen productos no clasificados. Subsección 1.ª Responsabilidades del laboratorio. Artículo 25. Derecho de acceso a la información de las evaluaciones. Artículo 26. Plan de protección. Artículo 27. Procedimientos Operativos de seguridad. Artículo 28. Personal del laboratorio. Artículo 29. Comunicaciones preceptivas al Organismo de Certificación. Artículo 30. Relaciones del laboratorio con contratistas. Subsección 2.ª Tratamiento de la información de las evaluaciones Artículo 31. Distintivos. Artículo 32. Libro registro de información de las evaluaciones. Artículo 33. Recepción y recibo de la información de las evaluaciones. Artículo 34. Transmisión de la información de las evaluaciones. Artículo 35. Reproducción de la información de las evaluaciones. Artículo 36. Custodia y destrucción de la información de las evaluaciones. Artículo 37. Inventario anual. Subsección 3.ª Servicio de Protección de la información de las evaluaciones. Artículo 38. Miembros del Servicio de Protección. Artículo 39. Condiciones personales y nombramiento. Artículo 40. Director del Servicio de Protección. Artículo 41. Misiones del jefe del Servicio de Protección. Artículo 42. Misión del administrador de seguridad del sistema de información. Subsección 4.ª Inspecciones de seguridad. Artículo 43 Inspectores de seguridad. Artículo 44. Nombramiento. Artículo 45. Misiones del inspector de seguridad. Artículo 46. Inspecciones. Subsección 5.ª Visitas. Artículo 47. Consideración de visita. Artículo 48. Registro de visitas. Artículo 49. Normas para el control de visitas. Artículo 50. Visitas de larga duración. Subsección 6.ª Zonas de acceso restringido. Artículo 51. Sistema de protección. Artículo 52. Características del sistema de protección. Artículo 53. Subsistema de protección física. Artículo 54. Zonas de evaluación. Artículo 55. Zonas de protección. Artículo 56. Central de alarmas. Subsección 7.ª Procedimiento de seguridad. Artículo 57. Combinaciones, códigos de acceso y control de llaves. Artículo 58. Acceso físico a la información de las evaluaciones. Artículo 59. Dispositivos técnicos de identificación. Subsección 8.ª Seguridad de los sistemas de información. Artículo 60. Seguridad de la información sobre evaluaciones. Artículo 61. Usuario del sistema de información. Artículo 62. Soportes de almacenamiento de información de las evaluaciones. Artículo 63. Características físicas de las instalaciones. Artículo 64. Procedimientos Operativos de seguridad. Artículo 65. Interconexión de sistemas. Sección 3.ª Requisitos de los procedimientos de evaluación Artículo 66. Reconocimiento de actuaciones del laboratorio de evaluación. Artículo 67. Procedimientos de evaluación. Artículo 68. Obligaciones de coordinación e información. Artículo 69. Aprobación previa. Artículo 70. Inicio y fin de los trabajos de evaluación. Artículo 71. Desviaciones del plan de evaluación. Artículo 72. Dificultades en la evaluación. Artículo 73. Informes de observación. Artículo 74. Información técnica adicional. Artículo 75. Reuniones entre el solicitante y el laboratorio. Artículo 76. Reuniones de seguimiento. Artículo 77. Puesta a disposición de dependencias y sistemas. Capítulo IV. Acreditación de laboratorios. Sección 1.ª Acreditación. Artículo 78. Acreditación. Artículo 79. Solicitantes. Artículo 80. Contenido de la acreditación. Artículo 81. Duración de la acreditación. Sección 2.ª Alcance de la acreditación. Artículo 82. Alcance de la acreditación. Artículo 83. Alcance con relación al nivel de calificación de seguridad. Artículo 84. Alcance con relación a las normas y niveles de evaluación. Sección 3.ª Criterios de acreditación. Artículo 85. Criterios generales. Artículo 86. Criterios complementarios. Sección 4.ª Procedimiento de acreditación Artículo 87. Proceso de acreditación. Artículo 88. Solicitud de acreditación. Artículo 89. Modelo de solicitud de acreditación. Artículo 90. Subsanación y mejora de la solicitud de acreditación. Artículo 91. Notificación al solicitante. Artículo 92. Preparación de la auditoría. Artículo 93. Instrucción de la auditoría. Artículo 94. Informe del equipo auditor. Artículo 95. Audiencia previa. Artículo 96. Resolución de la solicitud de acreditación. Artículo 97. Vigencia de la acreditación. Artículo 98. Certificación del producto evaluado en el proceso de auditoría. Sección 5.ª Seguimiento de la actividad de evaluación. Artículo 99. Seguimiento continuo de la actividad de evaluación. Artículo 100. Auditorías de seguimiento. Artículo 101. Ampliación del alcance de una acreditación. Artículo 102. Notificación de cambios. Artículo 103. Publicidad de las acreditaciones. Sección 6.ª Formulación de observaciones, plazos y recursos. Artículo 104. Formulación de observaciones y retirada de la acreditación. Artículo 105. Actuaciones irregulares e incumplimientos. Artículo 106. Retirada de la acreditación. Artículo 107. Plazos y actos presuntos. Artículo 108. Recursos. Capítulo V. Certificación de productos y sistemas. Sección 1.ª Certificación. Artículo 109. Certificación de seguridad de productos y sistemas. Artículo 110. Reconocimiento de veracidad de propiedades de seguridad. Artículo 111. Valoración de idoneidad. Artículo 112. Vigencia de la certificación. Sección 2.ª Alcance de la certificación. Artículo 113. Alcance de la certificación. Artículo 114. Alcance con relación al producto o sistema evaluado. Artículo 115. Alcance con relación a las normas y niveles de evaluación. Sección 3.ª Criterios de certificación. Artículo 116. Informe técnico de evaluación. Artículo 117. Criterios complementarios. Sección 4.ª Procedimiento de certificación. Artículo 118. Proceso de certificación. Artículo 119. Solicitud de certificación. Artículo 120. Modelo de solicitud de certificación. Artículo 121. Subsanación y mejora de la solicitud de certificación. Artículo 122. Notificación al solicitante. Artículo 123. Aprobación del comienzo de la evaluación. Artículo 124. Instrucción de la evaluación. Artículo 125. Informe de certificación. Artículo 126. Audiencia previa a la resolución. Artículo 127. Resolución de la solicitud de certificación. Artículo 128. Vigencia de la certificación. Artículo 129. Revisiones de vigencia. Sección 5.ª Seguimiento del uso de los certificados. Artículo 130. Seguimiento continuo del uso del certificado. Artículo 131. Ampliación del alcance de la certificación. Artículo 132. Notificación de cambios. Artículo 133. Publicidad de las certificaciones. Sección 6.ª Formulación de observaciones, plazos y recursos. Artículo 134. Observaciones y retirada de la certificación. Artículo 135. Actuaciones irregulares e incumplimientos. Artículo 136. Retirada de la certificación. Artículo 137. Plazos y actos presuntos. Artículo 138. Recursos. Capítulo VI. Criterios y metodologías de evaluación. Artículo 139. Estado del arte. Artículo 140. Normas de evaluación. Artículo 141. Criterios de evaluación. Artículo 142. Metodologías de evaluación. Artículo 143. Requisitos de seguridad específicos. Artículo 144. Interpretaciones e instrucciones técnicas. Capítulo VII. Uso de la condición de laboratorio acreditado y de producto certificado. Artículo 145. Referencia a la condición de laboratorio acreditado. Artículo 146. Informes derivados de la evaluación. Artículo 147. Otros documentos de laboratorio acreditado. Artículo 148. Restricciones al uso de la condición de laboratorio acreditado. Artículo 149. Uso de la condición de producto certificado. Artículo 150. Producto y documentación. Artículo 151. Otros documentos de producto certificado. Artículo 152. Restricciones al uso de la condición de producto certificado. Artículo 153. Otras obligaciones de la condición de producto certificado. Artículo 154. Distintivo de laboratorio acreditado. Artículo 155. Distintivo de producto certificado. Capítulo I

Disposiciones generales

Artículo 1. Objeto.

El presente Reglamento tiene por objeto la articulación del Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI) en el ámbito de actuación del Centro Criptológico Nacional, según lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, respectivamente.

Artículo 2. Definiciones.

En el marco del presente Reglamento, los conceptos que a continuación se indican, se entenderán como están definidos.

Acreditación.-Declaración de conformidad de los laboratorios solicitantes, emitida por el Organismo de Certificación, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV, del presente Reglamento.

Acreditación de competencia técnica.-Es aquella acreditación que concede una entidad de acreditacion reconocida a un laboratorio, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025. En su alcance se deberán incluir las normas de evaluación de la seguridad de los productos y sistemas de Tecnologías de la Información aprobadas por el Organismo de Certificación.

Certificación.-Es la determinación, obtenida mediante un proceso metodológico de evaluación, de la conformidad de un producto con unos criterios preestablecidos.

Declaración de seguridad.-Conjunto de requisitos y especificaciones de las propiedades de seguridad de un producto o sistema de las Tecnologías de la Información.

Evaluación.-Es el análisis, realizado mediante un proceso metodológico, de la capacidad de un producto o sistema de las Tecnologías de la Información para proteger las condiciones de la información de acuerdo a unos criterios establecidos, con objeto de determinar si puede ser certificado.

Información de las evaluaciones.-Es todo asunto, acto, documento, dato u objeto relacionado con la actividad de evaluación de la seguridad de un producto. La información de las evaluaciones incluye toda la documentación, programas de ordenador, esquemas, planos y demás datos suministrados por el fabricante, los programas de ordenador, planes, pruebas, análisis y resultados de la evaluación elaborados por el laboratorio, así como toda la documentación administrativa y contractual y las comunicaciones del laboratorio con el fabricante del producto y con el Organismo de Certificación, además de los registros de la actividad del laboratorio, incluyendo los de seguridad.

Producto a evaluar.-Es el producto, sistema de información o perfil de protección para el que se solicita una certificación de sus propiedades de seguridad.

Producto clasificado.-Son aquellos productos con requisitos específicos para manejar con seguridad materias clasificadas, o cuya información de especificación, diseño o desarrollo está clasificada, incluso parcialmente, según lo dispuesto en la Ley 9/68, de 5 de abril, sobre Secretos Oficiales, modificada por la Ley 48/78, de 7 de octubre.

Laboratorio de evaluación.-Es un laboratorio de ensayo, según se define en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial.

Sistema de información.-Es el conjunto de elementos «hardware», «software», datos y usuarios que, relacionados entre sí, permiten el almacenamiento, transmisión, transformación y recuperación de la información.

Artículo 3. Ámbito de aplicación.

El ámbito de actuación del Organismo de Certificación comprende las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de la seguridad de las TI en el marco del Esquema.

También comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos, en el marco del Esquema.

Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de actuación del Centro Criptológico Nacional.

Capítulo II

Estructura y funciones del organismo de certificación

Sección 1.ª Estructura del organismo de certificación

Artículo 4. Estructura.

A los efectos de funcionamiento del Organismo de Certificación, su estructura será la siguiente:

a) Director del Organismo de Certificación, que será el Secretario de Estado Director del Centro Criptológico Nacional.

b) Secretario General del Organismo de Certificación, que será el Secretario General del Centro Criptológico Nacional.

c) Subdirector de Certificación, que será un funcionario del Centro Nacional de Inteligencia, con rango de Subdirector General, designado por el Director del Organismo de Certificación.

d) Jefe del Área de Certificación, que será un funcionario del Centro Criptológico Nacional, con rango de Subdirector General Adjunto, designado por el Subdirector de Certificación.

e) Los correspondientes Responsables, Técnico de Certificación, de Calidad, de Seguridad, y de Registro, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación.

f) Personal técnico de certificación, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación.

g) Personal de enlace con los servicios de Secretaría, y demás personal de soporte administrativo a las actividades del Organismo de Certificación, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación.

Ver Anexo en PDF

Sección 2.ª Funciones de los cargos del organismo de certificación

Artículo 5. Director del Organismo de Certificación.

Corresponde al Director del Organismo de Certificación:

a) Aprobar y hacer cumplir las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación, garantizando la adecuación de la organización y de los medios materiales y humanos a los fines propuestos.

b) Dictar las resoluciones sobre las solicitudes de acreditación de laboratorios y de certificación de la seguridad de productos y sistemas de las Tecnologías de la Información.

c) Establecer los acuerdos oportunos con otros organismos similares en el ámbito de su competencia.

Artículo 6. Secretario General del Organismo de Certificación.

Corresponde al Secretario General del Organismo de Certificación:

a) Apoyar y asistir al Director del Organismo de Certificación en el ejercicio de sus funciones.

b) Establecer los mecanismos y sistemas de organización del Organismo de Certificación y determinar las actuaciones precisas para su actualización y mejora.

c) Dirigir el funcionamiento de los servicios comunes del Organismo de Certificación a través de las correspondientes instrucciones y órdenes de servicio.

d) Desempeñar la jefatura superior del personal del Organismo de Certificación, elaborar la propuesta de relación de puestos de trabajo y determinar los puestos vacantes a proveer durante cada ejercicio.

Artículo 7. Subdirector de Certificación.

Corresponde al Subdirector de Certificación:

a) Presidir el Consejo de Acreditación y Certificación, conforme a lo establecido en el presente Reglamento.

b) Representar al Organismo de Certificación en aquellos foros de índole técnica, de normalización y de divulgación de las actividades del citado organismo, de las normas aplicables y en los de arreglos y acuerdos de reconocimiento mutuo.

c) Revisar las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación.

d) Proponer los presupuestos y planes de formación anuales del Organismo de Certificación.

Artículo 8. Jefe del Área de Certificación.

Corresponde al Jefe del Área de Certificación:

a) Desempeñar la dirección de los servicios técnicos del Organismo de Certificación.

b) Dirigir las instrucciones y procedimientos de acreditación de laboratorios y de certificación de productos.

c) Elevar las correspondientes propuestas de resolución a las mencionadas solicitudes de acreditación y certificación.

d) Instruir, de oficio, los procedimientos de mantenimiento de la acreditación de los laboratorios.

Artículo 9. Responsable Técnico de Certificación.

Corresponde al Responsable Técnico de Certificación:

a) Apoyar y asistir al Jefe del Área de Certificación en el ejercicio de sus funciones.

b) Coordinar y dirigir la actuación diaria del personal técnico del Organismo de Certificación.

c) Realizar la asignación de personal técnico a la instrucción de cada solicitud de acreditación de laboratorio y de certificación de producto.

d) Dictaminar las interpretaciones técnicas de normas, métodos y procedimientos de evaluación empleados, bien de oficio, o a instancia de los laboratorios.

e) Elaborar o proponer las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación.

Artículo 10. Responsable de Calidad del Organismo de Certificación.

Corresponde al Responsable de Calidad del Organismo de Certificación:

a) Garantizar y auditar la ejecución del sistema de gestión de la calidad del Organismo de Certificación, con las funciones específicas en él indicadas.

b) Proponer, al Jefe del Área de Certificación, las mejoras convenientes para la eficacia del sistema de gestión de calidad, tras su evaluación.

Artículo 11. Responsable de Seguridad del Organismo de Certificación.

Corresponde al Responsable de Seguridad del Organismo de Certificación:

a) Garantizar y auditar la ejecución del sistema de gestión de la seguridad del Organismo de Certificación, con las funciones específicas en él indicadas.

b) Proponer, al Jefe del Área de Certificación, las mejoras convenientes para la eficacia del sistema de gestión de la seguridad, tras su evaluación.

Artículo 12. Responsable de Registro del Organismo de Certificación.

Corresponde al Responsable de Registro del Organismo de Certificación, la gestión y custodia de los registros de calidad, seguridad, certificación y acreditación, manejados por el Organismo de Certificación.

Artículo 13. Personal técnico del Organismo de Certificación.

Corresponde al personal técnico del Organismo de Certificación, el desarrollo de la instrucción de los expedientes de acreditación de laboratorio y de certificación de productos, practicando las pruebas conforme a los medios y procedimientos establecidos por el Organismo de Certificación.

Sección 3.ª Consejo de acreditación y certificación

Artículo 14. Naturaleza.

El Consejo de Acreditación y Certificación es un órgano colegiado, distinto e independiente del Organismo de Certificación, regido por lo establecido en el Capítulo II del Título II, de la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y, por lo establecido en el presente Reglamento.

Artículo 15. Composición.

Corresponde al Subdirector de Certificación la presidencia del Consejo de Acreditación y Certificación.

Formarán parte como miembros del Consejo, los siguientes:

a) El Jefe del Área de Certificación, que podrá asumir la presidencia del Consejo por delegación del Subdirector de Certificación.

b) El Responsable Técnico de Certificación, que hará las veces de Secretario del Consejo.

c) Un representante del Ministerio de Defensa, cuyo nombramiento y asistencia solicitará el Organismo de Certificación a dicho Ministerio.

d) Un representante del Ministerio de Industria, Turismo y Comercio, cuyo nombramiento y asistencia solicitará el Organismo de Certificación a dicho Ministerio.

e) Un representante del Consejo Superior de Administración Electrónica, cuyo nombramiento y asistencia solicitará el Organismo de Certificación a dicho Consejo.

f) Un representante de cada laboratorio acreditado, nombrado por dicho laboratorio.

g) Dos representantes de los sectores empresariales de fabricantes, importadores e integradores de productos y sistemas de las Tecnologías de la Información, a propuesta razonada y acordada de dichos sectores.

Artículo 16. Fines.

Corresponde al Consejo de Acreditación y Certificación:

a) Vigilar que la normativa del Organismo de Certificación se corresponda y equipare con los términos y referencias de esquemas de certificación equivalentes, que pudieran existir en el ámbito de la Unión Europea en particular, y en el ámbito internacional, en general.

b) Asesorar al Organismo de Certificación en la evolución de sus procedimientos documentados, orientando la gestión de éste, al mejor servicio del tejido industrial y empresarial de fabricantes, importadores e integradores de productos y sistemas de Tecnologías de la Información.

c) Asesorar al Organismo de Certificación en la identificación de esquemas, arreglos o acuerdos, donde la defensa de la validez y reconocimiento mutuo de los certificados emitidos sea de interés para la Administración y el sector privado español.

Artículo 17. Atribuciones.

Las atribuciones del Consejo de Acreditación y Certificación son las siguientes:

a) Estar permanentemente informado de la normativa que regula el funcionamiento del Organismo de Certificación, incluyendo sus normas de evaluación y certificación, manuales, procedimientos e instrucciones técnicas.

b) Estar permanentemente informado de la relación de laboratorios acreditados y de productos certificados.

c) Estar permanentemente informado de la relación de esquemas de certificación de la seguridad de los productos y sistemas de información, con los que el Organismo de Certificación tiene establecidos arreglos o acuerdos de reconocimiento mutuo de certificados.

d) Proponer directrices y recomendaciones al Organismo de Certificación, que serán recogidas en las correspondientes actas de las reuniones del Consejo, a las que deberá dar cumplida respuesta el Director del Organismo de Certificación.

Artículo 18. Periodicidad de las reuniones.

El Consejo de Acreditación y Certificación se reunirá, como mínimo, una vez al año, sin perjuicio de que en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones.

Las reuniones se convocarán a requerimiento del Organismo de Certificación, o por acuerdo del propio Consejo de Acreditación.

Sección 4.ª Acreditación y certificación

Artículo 19. Acreditación de laboratorios.

El Organismo de Certificación acredita a los laboratorios solicitantes, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV de este Reglamento.

Artículo 20. Certificación de productos.

El Organismo de Certificación certifica la seguridad de los productos y sistemas de Tecnologías de la Información, según lo establecido en el procedimiento del Capítulo V, y atendiendo a los criterios, métodos y normas de evaluación de la seguridad, establecidos en el Capítulo VI.

Artículo 21. Publicaciones del Esquema.

El Organismo de Certificación mantendrá actualizada la relación de laboratorios acreditados y la de productos y sistemas de las Tecnologías de la Información certificados. Dicha relación se podrá consultar en la siguiente dirección electrónica: http://www.oc.ccn.cni.es.

Capítulo III

Requisitos de acreditación de laboratorios

Artículo 22. Requisitos generales para la acreditación de laboratorios.

1. Para la acreditación de los laboratorios de evaluación de la seguridad de las Tecnologías de la Información se requerirá el cumplimiento de los siguientes requisitos:

a) Capacidad para la evaluación de la seguridad de productos de las Tecnologías de la Información, demostrada mediante la acreditación de la competencia técnica en vigor, conforme a la norma UNE-EN ISO/IEC 17025, cuyo alcance incluya los criterios, métodos y normas de evaluación recogidos en el Capítulo VI.

b) Cumplimiento de los requisitos de seguridad establecidos en la Sección 1.ª o en la Sección 2.ª de este Capítulo, según corresponda.

c) Desarrollo de las evaluaciones de acuerdo a procedimientos que recojan las obligaciones de información y coordinación con el Organismo de Certificación, indicadas en la Sección 3.ª de este mismo Capítulo.

2. La comprobación del cumplimiento de estos requisitos se realizará mediante el procedimiento de auditoría y seguimiento indicado en las Secciones 4.ª y 5.ª del Capítulo IV.

En todo caso, el alcance de la acreditación, otorgada por el Organismo de Certificación, estará limitado por el alcance de la acreditación de la competencia técnica del laboratorio, y cualificado por el nivel de seguridad del mismo.

3. Salvo en los casos en que haya una compartimentación organizativa, de medios y de procedimientos, aprobada por el Organismo de Certificación, el laboratorio deberá cumplir con los requisitos de gestión de seguridad, necesarios para la acreditación, incluso en el desarrollo de aquellas evaluaciones cuyo objeto final no sea la certificación del producto evaluado por parte del Organismo de Certificación.

Sección 1.ª Requisitos de seguridad para laboratorios que evalúen productos clasificados

Artículo 23. Requisitos de laboratorios que evalúen productos clasificados.

Los laboratorios, tanto de titularidad pública como privada, que pretendan evaluar productos clasificados deberán cumplir, además de los requisitos establecidos para los laboratorios que evalúen productos no clasificados, lo dispuesto en la Orden Ministerial Comunicada 17/2001, de 29 de enero, por la que se aprueba el Manual de Protección de Materias Clasificadas del Ministerio de Defensa en poder de las empresas.

Asimismo, deberán tener suscrito, y en vigor, Acuerdo de Seguridad, con un grado de calificación de seguridad igual o superior al grado de calificación de seguridad de la información del producto a evaluar.

Sección 2.ª Requisitos de seguridad para laboratorios que evalúen productos no clasificados

Artículo 24. Requisitos de laboratorios que evalúen productos no clasificados.

Los laboratorios, tanto de titularidad pública como privada, que evalúen productos no clasificados, cumplirán con los requisitos de gestión de la seguridad, aplicables a la información de las evaluaciones, establecidos en esta Sección.

Subsección 1.ª Responsabilidades del laboratorio

Artículo 25. Derecho de acceso a la información de las evaluaciones.

El laboratorio facilitará al Organismo de Certificación el acceso a toda la información de las evaluaciones que lleve a cabo.

El laboratorio deberá obtener, del Organismo de Certificación, autorización escrita antes de permitir a terceros, incluido el fabricante del producto evaluado, cualquier tipo de acceso a la información de las evaluaciones, tales como, planes, pruebas, análisis y resultados de la evaluación.

El Organismo de Certificación podrá prohibir la difusión de determinada información originada por el laboratorio.

Artículo 26. Plan de protección.

1. El laboratorio deberá elaborar, poner en práctica y mantener al día un Plan de Protección de la Información de las evaluaciones.

2. Este plan incluirá, al menos, la siguiente información:

a) Una descripción del laboratorio, con indicación expresa de la ubicación, actividades empresariales distintas a las de evaluación, en su caso, organigrama, recursos humanos, factorías, sucursales y dependencias autónomas, incluyendo un plano con leyenda de las instalaciones del laboratorio.

b) Los fundamentos del Plan, que deberán comprender los objetivos concretos que han de alcanzarse con el mismo y que estarán dirigidos a prevenir, detectar y rehabilitar el daño causado por la manifestación del riesgo, así como la identificación de los riesgos contra los que se pretende la protección.

La confidencialidad, integridad y disponibilidad de la información de las evaluaciones serán del máximo interés para el Organismo de Certificación.

c) La descripción de la organización, donde se debe documentar la estructura de seguridad del laboratorio, la matriz de responsabilidades donde se establece la identificación exacta de los responsables en lo referente a la toma de decisiones, y la definición detallada de las misiones de cada componente del sistema, así como la coordinación del apoyo potencial de organismo exteriores, tales como empresas de seguridad privada, centrales receptoras de alarmas, servicios de custodia de información, etc.

d) La descripción de las medidas de protección física, y el establecimiento de zonas de acceso restringido en las distintas dependencias del laboratorio.

e) Los Procedimientos Operativos de seguridad.

f) La descripción de las reacciones específicas a cada incidente de seguridad, desarrollando la matriz de responsabilidades en los cometidos y misiones que este plan asigne a la dirección del laboratorio, a los que formen parte del Servicio de Protección del laboratorio y al resto de personal, en lo que respecta a decisiones y actuaciones ante los riesgos de seguridad que se manifiesten y que se hayan considerado.

g) Los requisitos específicos de seguridad y los Procedimientos Operativos de seguridad de los sistemas de información del laboratorio.

Artículo 27. Procedimientos Operativos de seguridad.

1. Los Procedimientos Operativos de seguridad incluirán, en forma de directivas, los detalles específicos de actuación encaminados a la prevención de riesgos.

2. Estas actuaciones se deben corresponder con la matriz de responsabilidades, tratando de forma concreta y específica los siguientes aspectos, relativos a requisitos de seguridad establecidos por las condiciones de acreditación del laboratorio:

a) Las normas para el manejo y custodia de la información de las evaluaciones.

b) El tratamiento de las visitas, verificando periódicamente la eficacia del control de visitas al laboratorio, así como el correcto uso del libro de visitas o sistema alternativo.

c) La entrada en las zonas de acceso restringido.

d) El acceso, transmisión, reproducción, archivo y destrucción de información de las evaluaciones, con el establecimiento de los mecanismos necesarios que permitan identificar, en todo momento, al responsable de la tenencia de la información.

e) La regulación de las necesarias comprobaciones de seguridad, tanto durante la jornada de trabajo como al término de la misma.

f) La descripción del sistema de control de llaves.

g) El establecimiento del sistema de recibo interno, para control de información de las evaluaciones.

h) La operativa de actuación ante una incidencia de la central receptora de alarmas.

i) Los procedimientos de actuación de los vigilantes de seguridad.

Artículo 28. Personal del laboratorio.

El laboratorio deberá mantener actualizado un registro de seguridad de todo el personal afecto al mismo.

El laboratorio regulará, en base a la necesidad de conocer, el acceso de dicho personal a la información de las evaluaciones. Las autorizaciones de acceso a la información de las evaluaciones se comunicarán y revocarán por escrito, adjuntándose dichas comunicaciones al registro de seguridad del personal.

Artículo 29. Comunicaciones preceptivas al Organismo de Certificación.

El laboratorio deberá informar al Organismo de Certificación, en el plazo más breve posible, de lo siguiente:

a) Sobre toda información que llegue a su conocimiento en relación con accesos, o intentos de acceso, no autorizados a información de las evaluaciones; actos de sabotaje, o actividades que supongan un riesgo para dicha información.

b) Sobre toda anomalía, extravío, robo o manipulación relacionada con la información de las evaluaciones.

c) Sobre la presunción de que una transmisión de información de las evaluaciones haya sufrido vulneración o retraso injustificado.

d) Sobre las modificaciones que pretenda realizar en las zonas de acceso restringido.

e) Sobre las visitas que reciba conforme a lo que se expresa en la Subsección 5.ª, presente Capítulo y Sección.

f) Sobre las modificaciones del Plan de Protección, así como de las altas y bajas de personal y sobre la composición y cambios del Servicio de Protección.

Artículo 30. Relaciones del laboratorio con contratistas.

Los requisitos de seguridad requeridos por la acreditación del laboratorio, son también de aplicación a los contratistas del mismo que vayan a acceder a información de las evaluaciones.

El laboratorio deberá obtener, del Organismo de Certificación, autorización escrita antes de proporcionar al contratista el acceso a información de las evaluaciones. En su solicitud, comunicará los datos de identificación del contratista, así como la información de las evaluaciones a las que pudiera tener acceso, y el objeto y condiciones específicas de dicho acceso.

Como norma general, para la concesión de la autorización de acceso, el contratista deberá demostrar el cumplimiento de los requisitos de seguridad establecidos en el presente Reglamento mediante auditoría del Organismo de Certificación, conforme al procedimiento establecido en el Capítulo IV, salvo en los casos en que el Organismo de Certificación determine la aplicación de condiciones o limitaciones particulares a dicho acceso.

Subsección 2.ª Tratamiento de la información de las evaluaciones

Artículo 31. Distintivos.

1. Toda información de las evaluaciones llevará, de forma clara y visible, un signo distintivo de tal condición, que indicará la evaluación a la que corresponde.

2. Si se trata de documentos sueltos, se pondrá el signo distintivo en la parte superior e inferior de cada una de las páginas, centrado en las mismas, de tal forma que no pueda quedar oculto por dobleces, grapas, cubiertas, etc.

3. Si se trata de documentos permanentemente unidos o encuadernados, se pondrá el mencionado distintivo en la cubierta anterior y posterior, así como en todas sus páginas, conforme a lo indicado anteriormente.

4. Si se trata de planos, diagramas, esquemas o documentos similares, dicho distintivo se situará en la carátula y en la parte que identifique el documento.

5. Los soportes y sistemas informáticos que contengan o procesen información de las evaluaciones, se marcarán con los distintivos apropiados, para lo cual podrán emplearse etiquetas o cintas adhesivas.

6. Se seguirán procedimientos análogos para la protección de la información de las evaluaciones soportada en cualquier elemento, o conjunto de elementos, físicamente separables.

Artículo 32. Libro registro de información de las evaluaciones.

1. En cada dependencia del laboratorio donde se custodie información de las evaluaciones, existirá un registro donde figurará toda la información de las evaluaciones que haya tenido entrada o salida, las reproducciones y destrucciones, así como el acceso a dicha información por personal, tanto propio, como ajeno al laboratorio, con independencia de si esta información se almacena o transmite en papel o en soporte electrónico.

2. El registro se podrá mantener en soporte informático, en soporte papel (en forma de libro) o en una combinación de ambos soportes.

3. Estos registros deberán ser custodiados con la debida protección electrónica, si están en soporte informático, o en los muebles de seguridad ubicados en la zona de acceso restringido, si están en soporte papel.

4. El laboratorio deberá implementar los mecanismos correspondientes para que el registro de entrada/salida mediante soporte electrónico no se pueda eludir por el personal del mismo.

Artículo 33. Recepción y recibo de la información de las evaluaciones.

Cuando se reciba cualquier información de las evaluaciones, se seguirá el siguiente proceso:

a) Se examinará el envío para asegurarse de que no ha sido violado, comprobándose el contenido contra recibo. La evidencia de violación y las anomalías que se observen en el contenido deberán notificarse, cuanto antes, al remitente y al Organismo de Certificación.

b) Cuando el envío esté en orden, se firmará el recibo y se devolverá debidamente cumplimentado al remitente, realizando de manera inmediata la anotación en el libro registro.

Artículo 34. Transmisión de la información de las evaluaciones.

1. Se entiende por transmisión de la información de las evaluaciones, su traslado, comunicación, envío, entrega o divulgación a terceros.

2. Será necesario que la transmisión y custodia de la información de las evaluaciones sea controlada por un sistema de recibos, incluso dentro de las dependencias del laboratorio, con el fin de identificar, en cualquier momento, al responsable de su tenencia.

3. Cuando se trate de transmisión no electrónica de información de las evaluaciones, se realizará de la siguiente forma:

a) Por entrega directa del personal del laboratorio.

b) Por correo certificado nacional.

c) Por transportistas comerciales.

d) El embalaje de la información se llevará a cabo de forma que se pueda detectar su apertura; con cubiertas opacas que impidan desvelar su contenido, de tal naturaleza y resistencia, que aseguren su integridad durante el transporte; y, dicho embalaje, no tendrá ninguna indicación externa de la información contenida.

4. Cuando se trate de transmisión electrónica de información de las evaluaciones, se realizará utilizando las medidas técnicas y operacionales de protección de su confidencialidad que determine, en cada caso, el Organismo de Certificación.

Artículo 35. Reproducción de la información de las evaluaciones.

1. El número de reproducciones de la información de las evaluaciones, será el mínimo imprescindible. Se controlará mediante una correlativa numeración, que se recogerá en el registro, como anotación suplementaria del correspondiente original, indicando todos los datos referentes a dichas reproducciones y a la situación de cada una de ellas.

2. Cada reproducción, total o parcial, de información de las evaluaciones deberá ser numerada y tratada, a todos los efectos, como el original.

3. La reproducción de información de las evaluaciones deberá realizarse directamente por el laboratorio, sin recurrir a contratistas de artes gráficas. Se deberá comprobar, después de realizar las reproducciones, que en el mecanismo de reproducción no queda registro de la información reproducida.

Artículo 36. Custodia y destrucción de la información de las evaluaciones.

1. El laboratorio custodiará, por un plazo mínimo de cinco años, toda la información de cada evaluación, a contar desde la fecha de emisión del certificado correspondiente, o de la emisión del último informe técnico de evaluación, en el caso de productos no certificados.

2. En el caso de reevaluaciones, mantenimiento o extensiones del certificado, el cómputo de cinco años se referirá siempre al último certificado o informe técnico de evaluación aplicable.

3. Pasado dicho plazo, y tras obtener del Organismo de Certificación autorización escrita, procederá a su destrucción, de forma que se garantice que la información de las evaluaciones queda irreconocible y se impida su reconstrucción, total o parcial.

4. El Organismo de Certificación, previo a la autorización de destrucción, podrá requerir al laboratorio el traslado de cuanta información de las evaluaciones sea de su interés.

Artículo 37. Inventario anual.

El laboratorio presentará ante el Organismo de Certificación, antes del diez de enero de cada año, un inventario anual de toda la información de las evaluaciones que obran en su poder a fecha treinta y uno de diciembre del año anterior.

Subsección 3.ª Servicio de Protección de la información de las evaluaciones

Artículo 38. Miembros del Servicio de Protección.

1. En la organización del laboratorio, el Servicio de Protección de la información de las evaluaciones estará constituido, al menos, por el jefe del Servicio de Protección, el director del Servicio de Protección y el administrador de seguridad del sistema de información.

2. Los miembros del Servicio de Protección nombrados en el párrafo anterior son los responsables, ante el Organismo de Certificación, de la correcta aplicación de los requisitos de seguridad indicados, por ello deben contar con el adecuado grado de representatividad y autoridad, dentro de la organización del laboratorio.

3. Sus funciones de seguridad no podrán quedar disminuidas en ningún momento, aún cuando desempeñen otros cometidos en el laboratorio, debiendo contar con los medios necesarios para realizar sus funciones con eficacia.

Artículo 39. Condiciones personales y nombramiento.

1. Los responsables del Servicio de Protección deberán tener dependencia directa de la dirección del laboratorio, una relación laboral estable sobre la base de continuidad en su función y se les reconocerá, dentro del laboratorio, la debida autoridad en el desempeño de sus cometidos.

Deberán gozar de prestigio personal y profesional, y tener un amplio conocimiento de la organización del laboratorio.

2. El nombramiento y cese de los responsables del Servicio de Protección se comunicará por escrito, reconocido expresamente, en el que constarán las misiones de la responsabilidad asignada.

3. La inadecuación en el desarrollo, o la inobservancia, de las misiones encomendadas a los responsables del Servicio de Protección, podrá motivar su cese, cuando el Organismo de Certificación así lo demande, previa notificación por escrito, y sin perjuicio de la exigencia de otras responsabilidades que se pudieran derivar.

Artículo 40. Director del Servicio de Protección.

1. Cuando el laboratorio designe varios jefes del Servicio de Protección de la información de las evaluaciones, uno por cada una de las sedes donde se maneje o custodie información de las evaluaciones, deberá nombrar un director del Servicio de Protección, cuya misión principal será coordinar la actuación de dichos jefes, así como de los distintos administradores de seguridad del sistema de información, sin que esto suponga merma alguna de las responsabilidades que a éstos corresponde.

2. El cargo de director del Servicio de Protección se podrá compatibilizar con el de jefe de dicho Servicio, en las dependencias donde se ubiquen las oficinas centrales del laboratorio.

Artículo 41. Misiones del jefe del Servicio de Protección.

1. Corresponde al jefe del Servicio de Protección la misión de organizar, dirigir y controlar el sistema de protección para salvaguarda de la información de las evaluaciones, y la obligación de cumplir y hacer cumplir, en todas sus partes, estos requisitos de seguridad para la acreditación del laboratorio.

2. Entre los cometidos del jefe del Servicio de Protección se encuentran:

a) Asegurar la protección de la información de las evaluaciones en poder del laboratorio.

b) Regular el acceso a la información de las evaluaciones conforme a los criterios y procedimientos establecidos.

c) Llevar a cabo un programa de formación del personal del laboratorio, con una periodicidad mínima de treinta (30) meses, cuyo principal objetivo será sensibilizar a dicho personal sobre la importancia de cumplir los procedimientos de protección de la información de las evaluaciones y el deber de discreción.

d) Controlar la recepción, custodia, reproducción, destrucción y devolución de la información de las evaluaciones, conforme a los procedimientos establecidos.

e) Velar, especialmente, para que ninguna información de las evaluaciones sea transmitida indebidamente, o sea manejada o custodiada en lugar distinto a las zonas protegidas.

f) Elaborar, implantar y mantener el Plan de Protección conforme a lo establecido en este Reglamento.

g) Mantener actualizados los registros de seguridad.

Artículo 42. Misión del administrador de seguridad del sistema de información.

1. El administrador de seguridad del sistema de información tendrá como misión organizar, dirigir y controlar la seguridad del sistema de información del laboratorio. Este administrador podrá ser el propio jefe del Servicio de Protección, cuando tenga la formación adecuada.

2. Entre los cometidos del administrador de seguridad del sistema de información se encuentran:

a) Elaborar, organizar e implementar los requisitos y procedimientos relativos a la seguridad de los sistemas de información del laboratorio, debiendo revisar, periódicamente, la eficacia de todos los componentes.

b) Controlar que todo el personal que tiene acceso al sistema de información está debidamente autorizado.

c) Investigar los incidentes de seguridad que pudieran afectar al sistema de información, evaluando en su caso, los daños causados e informando de las conclusiones al jefe del Servicio de Protección.

d) Llevar a cabo un programa de formación continua de los usuarios del sistema de información, sobre la observancia de los procedimientos de seguridad.

e) Gestionar y proporcionar los códigos de acceso u otros dispositivos de control de acceso al sistema de información. Llevará un registro de asignación de códigos a los usuarios, que serán cambiados con una periodicidad mínima de tres meses, y cada vez que se produzca, o se sospeche que haya ocurrido, un incidente de seguridad que comprometa dichos códigos.

f) Realizar la gestión de claves del sistema de información del laboratorio, incluidos los sistemas de cifra que estuvieran en el ámbito de su competencia, así como la de los sistemas de soporte a la evaluación. Para ello, controlará su generación, almacenamiento, distribución, expiración y destrucción. En la recepción de nuevos equipos modificará todas las claves que, por defecto, vengan de fábrica.

g) Controlar tanto las modificaciones que se realicen en cualquier componente del sistema de información, asegurándose que no se vea afectada la seguridad del sistema, como los aspectos de la gestión de la configuración de dichas modificaciones.

h) Comprobar que el mantenimiento del sistema de información se realiza conforme a los procedimientos y requisitos operativos de seguridad.

i) Verificar que los soportes de almacenamiento que incluyan información de las evaluaciones se custodian debidamente.

j) Evaluar los registros de seguridad del sistema de información, asegurándose que son suficientes para llevar a cabo un control eficaz. Deberán incluir aquellas actividades, con indicación del usuario, hora y fecha, en que se produzcan hechos que puedan afectar a la seguridad del sistema, como finalizaciones anormales del trabajo, cierres indebidos del sistema, fallos en los mecanismos de seguridad, intentos no autorizados de acceso a datos de la evaluación, uso del sistema de un modo no autorizado, copias e impresiones de la información de las evaluaciones, etc.

k) Controlar y registrar las copias periódicas de seguridad.

Subsección 4.ª Inspecciones de seguridad

Artículo 43. Inspectores de seguridad.

Los inspectores de seguridad son los representantes del Organismo de Certificación, ante el laboratorio, para la comprobación de la correcta aplicación de los requisitos de seguridad exigidos en el proceso de acreditación.

El laboratorio les reconocerá las competencias que les atribuyen estos requisitos, asumiendo el compromiso de facilitarles su labor, y dispondrá los medios precisos para que realicen sus funciones con eficacia.

Artículo 44. Nombramiento.

El Organismo de Certificación notificará al laboratorio la identidad del inspector de seguridad correspondiente, así como los cambios que se produzcan.

El nombramiento de inspector de seguridad, para un mismo laboratorio, podrá recaer en varias personas, si el Organismo de Certificación así lo estima oportuno.

Artículo 45. Misiones del inspector de seguridad.

Corresponde al inspector de seguridad:

a) La observancia del exacto cumplimiento de las obligaciones y compromisos que contrae el laboratorio en el proceso de acreditación.

b) Asesorar al laboratorio en la puesta en práctica de los procedimientos de seguridad, que garanticen la protección de la información de las evaluaciones.

Artículo 46. Inspecciones.

1. La inspección constituye uno de los medios por los que el Organismo de Certificación comprueba el cumplimiento, por parte del laboratorio, de los requisitos de seguridad para la acreditación.

2.