INFORME DE CERTIFICACIÓN

Documentos relacionados
INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

Elaborado por: Real Casa de la Moneda. Fábrica Nacional de Moneda y Timbre. 07/12/2011 HISTÓRICO DEL DOCUMENTO. Versión Fecha Descripción Autor

INFORME DE CERTIFICACIÓN

Elaborado por: Real Casa de la Moneda. Fábrica Nacional de Moneda y Timbre. 07/12/2011. Revisado por: Aprobado por: HISTÓRICO DEL DOCUMENTO

Haga clic para modificar el estilo de título.

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN INFORME DE CERTIFICACIÓN

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN INFORME DE CERTIFICACION

Referencia: Titulo: Fecha: Cliente: Contacto: Declaración de Seguridad de Bitacora 03/11/2008 -

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN

ANEXO APLICACIÓN DE FIRMA

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN

Declaración de Seguridad para PROCESA Engine v.1.7.3

SISTEMA DE GESTIÓN DIGITAL

DECLARACIÓN DE SEGURIDAD VERSIÓN: RC5 TITULO TECNOLOGÍAS Y SEGURIDAD DE LA INFORMACIÓN RC5. Pag. 1/36

SISTEMA DE NOTIFICACIONES DE LA JUNTA DE ANDALUCIA

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN INFORME DE CERTIFICACION

INTECO. PP1 Página 1 de 37 Centro Demostrador de Seguridad para la PYME

LICITACIÓN PÚBLICA BASES TÉCNICAS

Security Target for the Secure Data Erasure Software EraseIT Core

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN INFORME DE CERTIFICACION

El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

SUMINISTRO DE LICENCIAS TIC DE SERVIDOR PARA LOS ÓRGANOS JUDICIALES DE ANDALUCÍA

esigna Crypto Declaración de Seguridad

ServiceTonic. Guía de instalación

Curso Implementing a Data Warehouse with Microsoft SQL Server 2014 (20463)

ServiceTonic - Guía de Instalación ] ServiceTonic. Guía de instalación GUÍA DE INSTALACIÓN

ES A1 ESPAÑA 11. Número de publicación: Número de solicitud: G06F 21/64 ( )

GUIA PARA LA EVALUACIÓN DE LA CONFORMIDAD DE REGISTRADORES DE TEMPERATURA Y TERMÓMETROS

Uso de Firma Digital en la Oficina Virtual del Consejo de Seguridad Nuclear

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

Programa Formativo IFCT OPERACIONES AUXILIARES DE MONTAJE Y MANTENIMIENTO DE SISTEMAS MICROINFORMÁTICOS

norma española UNE-EN EXTRACTO DEL DOCUMENTO UNE-EN Seguridad funcional

LV32- MIA- EVALUACIÓN DEL SISTEMA DE GESTION DE AERONAVEGABILIDAD CONTINUA

APUESTAS (Reglamento, aprobado por Decreto 95/ 2005) Orden de 7 de julio de 2011

NORMAS AENOR (Julio 2017)

2-Una vez obtenido el certificado hay que darse de alta en el servicio de notificación telemática de la Comunidad de Madrid

ANEXO XI COMPROBACIÓN DE TARJETAS SIM / USIM

Aplicaciones de la Minería de Datos a la Biometría. Implantación. Carlos Enrique Vivaracho Pascual

Cómo obtener el certificado digital de persona física de la FNMT

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

NORMA DE COMPETENCIA LABORAL

Experiencia de uso de la firma electrónica en la recogida de firmas de Iniciativas legislativas populares

Procedimiento. Validación del Software

SISTEMA DE GESTIÓN DE LA CALIDAD. ANOVO Andes S.A.

IEEE Objetivo:

PRESENTACIÓN DE LA DOCUMENTACIÓN EN LA SEDE ELECTRÓNICA DE LA DIPUTACIÓN DE SALAMANCA. OBJETIVOS... 2 REQUISITOS PREVIOS... 2

7. REALIZACIÓN DEL PRODUCTO

Ingeniería de Software II. SETEPROS Plan de pruebas. Versión 1.0

Todos los derechos reservados para XM S.A. ESP. Firmador Digital Versión 1.0

Cifrado de la última generación CUCM Criptografía elíptica de la curva

Edición: Primera edición Fecha: marzo 2016 Código: 400C Página: 1 DE 7 MANUAL DE PROCEDIMIENTOS DE LA UNIDAD DE INFORMÁTICA

GEXRENOF: Herramienta para la gestión de pruebas no funcionales basada en el estándar ISO/IEC

Casos de éxito * 12. Sistema de Gestión de Datos de Abonado para la Comisión del Mercado de las Telecomunicaciones

UNIVERSIDAD DE MURCIA. DNI electrónico. Objetivos del proyecto Soporte físico El chip Proceso de expedición Validación Herramientas y servicios

Instructivo Registrar Información Concepto Técnico Ministerio de Transporte

Requisitos técnicos para firmar con AutoFirma

DEL 5 AL 9 DE ENERO. Guía de usuario para Firma Electrónica de Actas de Evaluación Sistema Integral de Información Académica

LA IMPLANTACIÓN DEL TACÓGRAFO DIGITAL EN ESPAÑA

Claves para la externalización eficaz

QUÉ ES EL PORTAL SRI Y YO EN LÍNEA?

Evolución n 2007 de los Servicios de Certificación n FNMT y DNI electrónico

PRACTICAS DE SEGURIDAD Fecha: Hoja: SERVICIO DE FIRMA ELECTRÓNICA 26/05/05 1 / 5. Generación de Certificados de Riesgos de Crédito (Suplementos)

Serie de Estándares GLI-28: Sistemas del Interfaz del Jugador - Usuario. Versión de febrero de 2011

Tema 12: El sistema operativo y los procesos

Servicio de Conservación de Mensajes de Datos según la NOM-151

MANTENIMIENTO DE EQUIPO DE CÓMPUTO Y SERVICIOS INFORMATICOS

ESTÁNDAR DE COMPETENCIA

GUIA DE AUDITORIA INTERNA Fecha: 24/08/2015

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-813) Componentes certificados en el ENS

Calificación de Equipos. Bact: Ana Lucia Aguirre Mejía

GLOSARIO DE TÉRMINOS

NOVEDADES TÉCNICAS EN DD. INFORMATIVAS 2017

Implantación de la Pasarela de Pago Presencial. Pliego de Prescripciones Técnicas

Informe de Auditoría Independiente

P.O Tratamiento e intercambio de Información entre Operador del Sistema, encargados de la lectura, comercializadores y resto de agentes

CAPITULO 1 INTRODUCCIÓN

INSTRUCCIONES PARA LA FIRMA ELECTRÓNICA. Pre requisitos para firmar electrónicamente:

Estrategia de Pruebas

POLÍTICA ÚNICA DE CERTIFICACIÓN

Obtención del certificado electrónico de empleado público en la Universidad de Zaragoza. Versión 1.0 (Septiembre 2017)

SICRES 3.0 Presentación Ejecutiva

Programa Formativo IMSV DESARROLLO DE PRODUCTOS AUDIOVISUALES MULTIMEDIA INTERACTIVOS

REGISTRO DE LAS AUTORIDADES DE CERTIFICADOS RAÍZ Y SUBORDINADAS DEL DNI-E EN EL SERVIDOR WEB INTERNET INFORMATION SERVER

DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES

PROCEDIMIENTO DE CONTROL DE EQUIPOS

BUENAS PRACTICAS DE LABORATORIO EN EL ANÁLISIS DE NIVELES DE FÁRMACOS Y SUS METABOLITOS EN ESPECÍMENES BIOLÓGICOS

Transcripción:

REF: 2008-28-INF-382 v1 Difusión: Público Fecha: 01.09.2009 Creado: CERT8 Revisado: TECNICO Aprobado: JEFEAREA INFORME DE CERTIFICACIÓN Expediente:2008-28 App. de Descarga de Datos del Tacógrafo Digital Datos del solicitante: Q2826004J FABRICA NACIONAL DE MONEDA Y TIMBRE Referencias: EXT-680 Solicitud de Certificación EXT-760 Informe Técnico de Evaluación (ETR) CCRA Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security, mayo 2000. Informe de certificación del producto: Aplicación de descarga de datos del Tacógrafo Digital, versión 5.0, según la solicitud de referencia [EXT-680], de fecha 12 de diciembre de 2008, y evaluado por el laboratorio APPLUS, conforme se detalla en el correspondiente informe de evaluación indicado en [EXT-760] de acuerdo a [CCRA], recibido el pasado 11 de junio de 2009. Página 1 de 10

INDICE RESUMEN... 3 RESUMEN DEL TOE... 4 REQUISITOS DE GARANTÍA DE SEGURIDAD... 4 REQUISITOS FUNCIONALES DE SEGURIDAD... 5 IDENTIFICACIÓN... 6 PROBLEMA DE SEGURIDAD... 6 FUNCIONALIDAD DEL ENTORNO... 6 ARQUITECTURA... 7 DOCUMENTOS... 7 PRUEBAS DEL PRODUCTO... 8 CONFIGURACIÓN EVALUADA... 8 RESULTADOS DE LA EVALUACIÓN... 9 RECOMENDACIONES DEL CERTIFICADOR... 9 GLOSARIO DE TÉRMINOS... 9 BIBLIOGRAFÍA... 10 DECLARACIÓN DE SEGURIDAD... 10 Página 2 de 10

Resumen Este documento constituye el Informe de Certificación para el expediente de la certificación del producto: Aplicación de descarga de datos del Tacógrafo Digital, versión 5.0. El TOE es un programa informático (desarrollado en tecnología J2EE) que se ejecuta en un servidor de aplicaciones (Oracle IAS 10.1.3) que controla la información procedente de las descargas (mediante la ejecución remota métodos en plataformas clientes con soporte J2ME o J2SE) de las tarjetas de conductores y de los propios tacógrafos digitales (con que se equipan los vehículos que realizan el transporte por carretera) mediante firma digital, para su posterior almacenamiento en una base de datos (Oracle 9i). Fabricante: Fábrica Nacional de Moneda y Timbre Patrocinador: Fábrica Nacional de Moneda y Timbre Organismo de Certificación: Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI). Laboratorio de Evaluación: Applus Perfil de Protección: Ninguno. Nivel de Evaluación: EAL1 Fecha de término de la evaluación: 11 de junio de 2009. Todos los componentes de garantía requeridos por el nivel de evaluación EAL1 presentan el veredicto de PASA. Por consiguiente, el laboratorio Applus asigna el VEREDICTO de PASA a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL1, definidas por los Criterios Comunes v3.1 [CC-P3] y la Metodología de Evaluación v3.1 [CEM]. A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto: Aplicación de descarga de datos del Tacógrafo Digital, versión 5.0, se propone la resolución estimatoria de la misma. Página 3 de 10

Resumen del TOE La funcionalidad del TOE es controlar y gestionar el flujo de información utilizando firmas digitales para la verificación de los bloques de datos en el proceso de descarga de los bloques de datos procedentes del tacógrafo digital y posteriormente almacenarlos seguro incluyendo las firmas digitales en una base de datos confiable. El TOE es un programa informático (desarrollado en tecnología J2EE) que se ejecuta en un servidor de aplicaciones (Oracle IAS 10.1.3). Este servicio mediante tecnología Java RMI y HTTP-SOAP publica métodos remotos, que son ejecutados en las plataformas PDA con soporte J2ME que llevan los agentes o inspectores del Cuerpo Nacional de Policía. La ejecución de este método remoto permite: Primeramente importar la información de datos de las tarjetas de conductores y de los propios tacógrafos digitales, verificando la integridad de los bloques de datos mediante la firma digital, (y su posterior procesado para generar infracciones en base a controles establecidos en Anexo 1B del REGLAMENTO (CE) Nº 1360/2002)1. Exportar a una base de datos (Oracle 9i), dejando evidencia de validez e integridad de los datos procesados. Los bloques de datos que conforman los ficheros de datos (extraídos de la VU y TC) se transformarán en estructuras de datos (clases Java), siguiendo lo especificado en el Anexo 1B del REGLAMENTO (CE) Nº 1360/2002. El TOE permite la importación de claves públicas o certificados que son usadas para validar las firmas digitales y que es conforme con lo que establece el Anexo 1B del REGLAMENTO (CE) Nº 1360/2002. Requisitos de garantía de seguridad El producto se evaluó con todas las evidencias necesarias para la satisfacción del nivel de evaluación EAL1, según la parte 3 de CC v3.1 r2. ASE_INT.1 ASE_CCL.1 ASE_OBJ.1 ASE_ECD.1 ASE_REQ.1 ASE_TSS.1 AGD_OPE.1 AGD_PRE.1 ST Introduction Conformance claims Security objectives for the operational environment Extended components definition Stated security requirements TOE summary specification Operational user guidance Preparative procedures Página 4 de 10

ALC_CMC.1 ALC_CMS.1 ADV_FSP.1 ATE_IND.1 AVA_VAN.1 Labelling of the TOE Parts of the TOE CM coverage Basic functional specification Independent testing - conformance Vulnerability survey Requisitos funcionales de seguridad La funcionalidad de seguridad del producto satisface los requisitos funcionales, según la parte 2 de CC v3.1 r2, siguientes: FDP_ETC.2 Export of user data with security attributes FDP_ITC.2Import of user data with security attributes FDP_IFC.1 Subset information flow control FPT_TDC.1 Inter-TSF basic TSF data consistency FDP_IFF.1 Simple security attributes Página 5 de 10

Identificación Producto: Aplicación de descarga de datos del Tacógrafo Digital v5.0 Declaración de Seguridad: Declaración de seguridad (low assurance) Descarga de datos procedentes del Tacógrafo Digital v1.6 de 11 de junio de 2009 Perfil de Protección: Ninguno Nivel de Evaluación: CC v3.1 r2 EAL1 Problema de seguridad En una declaración de seguridad Low Assurance no es necesario desarrollar la definición del problema de seguridad, únicamente los objetivos de seguridad para el entorno operacional Funcionalidad del entorno. El producto requiere de la colaboración del entorno para la cobertura de algunos objetivos del problema de seguridad definido. Los objetivos que se deben cubrir por el entorno de uso del producto son los siguientes: Objetivo entorno 01: El servidor de aplicaciones dónde se ejecuta el TOE está situado en una ubicación segura y controlada por medio de administradores confiables pertenecientes a la Administración del Estado. Objetivo entorno 02: El servidor de base de datos dónde se guardan los datos es confiable y está situado en una ubicación segura y controlada por medio de administradores confiables pertenecientes a la Administración del Estado. Objetivo entorno 03: El acceso al TOE por medio de las PDA, (confiables y conformes con la extracción de datos del tacógrafo especificada en el Anexo 1B del REGLAMENTO (CE) Nº 1360/2002), de los agentes o inspectores para la ejecución de métodos remotos se realizará mediante un canal seguro de comunicaciones que asegurarán la autenticidad e integridad de los datos transmitidos. Página 6 de 10

Arquitectura Arquitectura Lógica: Arquitectura Física: Documentos El producto incluye los documentos indicados a continuación, y que deberán distribuirse y facilitarse de manera conjunta a los usuarios de la versión evaluada. Declaración de seguridad Descarga de datos procedentes del Tacógrafo Digital versión 1.6 Guía de Instalación Descarga de datos procedentes del Tacógrafo digital Versión: 1.2 Página 7 de 10

Manual de usuario del sistema de gestión y control, para vehículos de transportes por carretera v3.0 Pruebas del producto El evaluador ha realizado las pruebas en un entorno de pruebas proporcionado por el desarrollador que cumple los requisitos del entorno operacional presentados en la ST y tiene el TOE en su versión correcta. El evaluador ha probado todas las interfaces cubriendo todas las funcionalidades de seguridad. La interfaz importación PDA (TSFI.1) se ha utilizado para enviar las peticiones al TOE y la interfaz base de datos (TSFI.2) y interfaz importación PDA para observar el resultado de las peticiones. El evaluador ha verificado que el TOE comprueba la firma digital de los bloques de datos enviados en una petición a través de la TSFI.1 en todos los casos. El resultado de esta comprobación es exportado en forma de registro de procesado mediante la TSFI.2 hacia la base de datos. Configuración evaluada Los requisitos software y hardware, así como las opciones referidas son las que se indican a continuación. Así, para el funcionamiento del producto Aplicación de descarga de datos del Tacógrafo Digital es necesario disponer de los siguientes componentes software: Servidor de aplicaciones. Oracle IAS 10.1.3. Servidor de BBDD. Oracle 9i. En cuanto a los componentes hardware, el único requisito es que soporten los elementos software detallados previamente. Página 8 de 10

Resultados de la Evaluación El producto: Aplicación de descarga de datos del Tacógrafo Digital v5.0, ha sido evaluado frente a la declaración de seguridad Declaración de seguridad (low assurance) Descarga de datos procedentes del Tacógrafo Digital, v1.6 de 11 de junio de 2009. Todos los componentes de garantía requeridos por el nivel de evaluación EAL1 presentan el veredicto de PASA. Por consiguiente, el laboratorio Applus asigna el VEREDICTO de PASA a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL1, definidas por los Criterios Comunes [CC-P3] y la Metodología de Evaluación [CEM] en su versión 3.1 r2. Recomendaciones del certificador A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto Aplicación de descarga de datos del Tacógrafo Digital v5.0, se propone la resolución estimatoria de la misma. Glosario de términos CCN CNI ETR OC Centro Criptológico Nacional Centro Nacional de Inteligencia Evaluation Technical Report Organismo de Certificación Página 9 de 10

Bibliografía Se han utilizado las siguientes normas y documentos en la evaluación del producto: [CC_P1] Common Criteria for Information Technology Security Evaluation- Part 1: Introduction and general model, Version 3.1, r2, September 2007. [CC_P2] Common Criteria for Information Technology Security Evaluation Part 2: Security functional requirements, Version 3.1, r2, September 2007. [CC_P3] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance requirements, Version 3.1, r2, September 2007. [CEM] Common Evaluation Methodology for Information Technology Security: Introduction and general model, Version 3.1, r2, September 2007. Declaración de seguridad Conjuntamente con este informe de certificación, se dispone en el Organismo de Certificación de la declaración de seguridad completa de la evaluación: Declaración de seguridad (low assurance) Descarga de datos procedentes del Tacógrafo Digital, v1.6 de 11 de junio de 2009. Página 10 de 10

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback