Mayo de 2025 | Serie de practicantes
Prefacio
Este documento es un no clasificado publicación. Reemplaza los requisitos y procedimientos del programa de criterios comunes canadienses para los laboratorios de prueba, versión 4.2, marzo de 2023.
correo electrónicocontact@cyber.gc.ca |Móvil 613-949-7048 o 1-833-Cibernética-88
Fecha de vigencia
Esta publicación entra en vigencia el 8 de mayo de 2025.
Historia de revisión
1.0 Lanzamiento público inicial: agosto de 2004
2.0 Actualización principal que refleja una estructura revisada para guías de programas de criterios comunes, instrucciones y procedimientos funcionales: septiembre de 2010
3.0 Actualización de la matriz de habilidades en el anexo, agregó la sección sobre «Firmar el acuerdo»: agosto de 2016
4.0 Reforma a la plantilla de documento para el Centro Canadiense de Seguridad Cibernética, actualizaciones que describen algunos cambios de proceso: abril de 2020
4.1 Actualizado los requisitos y detalles del personal del laboratorio del proceso para calificar a los evaluadores, eliminó el Anexo Matriz de Habilidades: abril de 2022
4.2 Aclaró los requisitos para proteger la información confidencial y las referencias actualizadas al Programa de Seguridad de Contratos de PSPC: marzo de 2023
4.3 Actualizado debido a la auditoría interna: mayo de 2025
Tabla de contenido
Descripción general
El propósito de este documento es describir los requisitos y el proceso mediante el cual una organización comercial (en adelante, referida como la Compañía) puede convertirse en un laboratorio de pruebas de criterios comunes aprobados que operan dentro del programa de criterios comunes (CC) canadienses.
La audiencia principal para este documento son las empresas que buscan información sobre cómo convertirse en un laboratorio de pruebas dentro del programa Canadian CC. Los patrocinadores de evaluación (típicamente proveedores), los desarrolladores y los consumidores también pueden encontrar información en este documento útil para comprender los requisitos sobre los laboratorios de prueba que operan dentro del programa Canadiense CC.
1 Introducción
En el programa canadiense CC, las organizaciones comerciales operan laboratorios de pruebas de criterios comunes para realizar evaluaciones de seguridad de productos de tecnología de la información (TI).
Este documento describe los requisitos y procedimientos para probar los laboratorios que operan dentro del programa Canadiense CC. Esto incluye el proceso que puede seguir una organización comercial (en adelante como la empresa) para convertirse en un laboratorio de pruebas aprobado.
1.1 sobre el programa de criterios comunes canadienses
El Centro Canadiense de Seguridad Cibernética (en adelante, el Centro Cibernético) opera el Programa Canadiense CC y actúa como su organismo de certificación. El Cyber Center es el firmante canadiense del Acuerdo sobre el reconocimiento de certificados de criterios comunes en el campo de la seguridad de TI (CCRA) (PDF).
Para obtener más información sobre la operación del programa canadiense CC, consulte el Manual de calidad del programa de criterios comunes canadienses.
Nota: Un laboratorio de pruebas dentro del programa canadiense CC también puede ser llamado por el nombre de CCRA (Laboratorios con licencia) o el nombre formal de la acreditación del Consejo de Normas de Canadá (una instalación de evaluación y prueba de seguridad de tecnología de la información (ITSET)).
2 requisitos para los laboratorios de prueba
Esta sección analiza los requisitos que la Compañía debe cumplir para ser un laboratorio de pruebas aprobado.
2.1 Acreditación de la instalación ITSET
Estos requisitos aseguran que los laboratorios de prueba funcionen de conformidad con ISO/IEC 17025 «Requisitos generales para la competencia de los laboratorios de prueba y calibración».
2.1.1. La Compañía tendrá una válida Accreditación de la instalación de evaluación y prueba de seguridad de tecnología de la información (ITSET) Del Consejo de Normas de Canadá.
El Consejo de Normas de Canadá y el Centro Cibernético realizarán una revisión detallada de la capacidad de una empresa para cumplir con todos los requisitos de ISO/IEC 17025 como parte de esta acreditación.
2.2 Requisitos de conflicto de intereses
Estos requisitos aseguran que la empresa realice todos los trabajos de evaluación sin influencia indebida desde dentro o fuera de la empresa.
2.2.1. La Compañía tendrá procedimientos establecidos para garantizar que la gerencia de la Compañía no ejerce influencia indebida en el resultado de las actividades de evaluación de CC.
2.2.2. Si la empresa es controlada por una empresa matriz, la empresa demostrará que hay suficiente separación de control e influencia para que la empresa matriz no pueda:
ejercer una influencia indebida en el resultado de las actividades de evaluación de CC
acceder inapropiadamente a la información de evaluación propietaria
2.2.3. La Compañía tendrá procedimientos apropiados para garantizar que no haya conflicto de intereses entre el personal que realiza actividades de asesoramiento para ayudar a un patrocinador de evaluación en la preparación para una evaluación de CC de su producto de TI y aquellos que realizan actividades de evaluación de CC para ese producto.
2.2.4. La Compañía informará al Centro Cibernético dentro de los diez días hábiles después de cualquier cambio en la propiedad o administración de la Compañía.
2.3 Requisitos de seguridad
Estos requisitos aseguran que la Compañía pueda salvaguardar la información confidencial, en particular la información de los proveedores propietarios que se comparte con la Compañía con el propósito de prepararse y realizar una evaluación de productos CC.
2.3.1. La Compañía tendrá un detección de organización designada como se define en el Servicios públicos y adquisiciones de Canadá (PSPC) Manual de seguridad del contrato.
2.3.2. La Compañía tomará las medidas apropiadas para garantizar que las personas no autorizadas no puedan acceder información confidencial. Este requisito puede ser satisfecho por un Capacidad de protección de documentos Evaluación realizada por PSPC, o una determinación separada por el Centro Cibernético de que las medidas de la Compañía son suficientes para salvaguardar información confidencial durante sus actividades de evaluación de CC.
2.4 Requisitos de la instalación física
Estos requisitos aseguran que la Compañía opera dentro de la jurisdicción del Programa Canadiense CC.
2.4.1. La Compañía mantendrá una instalación física permanente en Canadá con suficiente espacio de oficina y equipo disponible para que un miembro del personal realice actividades de evaluación y para que un miembro del Centro Cibernético realice una supervisión técnica de evaluación.
2.4.2. La Compañía tendrá, o podrá proporcionar un aviso razonable, una infraestructura de TI que pueda respaldar todas las funciones del evaluador.
2.5 requisitos de personal
Estos requisitos aseguran que la Compañía tenga el personal calificado para realizar una evaluación de CC.
2.5.1. La Compañía empleará al menos a dos miembros del personal con sede en Canadá y tendrá certificados de evaluación en buena posición que hayan emitido el Cyber Center.
2.5.2. La Compañía informará al Centro Cibernético dentro de los diez días hábiles posteriores a la salida de cualquier evaluador CC calificado del laboratorio de pruebas.
2.6 Competencia técnica
Estos requisitos aseguran que la empresa tenga la competencia técnica para realizar una evaluación de CC.
2.6.1. La Compañía deberá realizar una evaluación de prueba exitosa para un Cyber Center aprobó el producto de TI. Las actividades de evaluación deben realizarse de conformidad con los requisitos de:
2.6.2. La Compañía realizará todas las evaluaciones a los estándares de calidad requeridos por el Cyber Center.
3 procedimientos para probar laboratorios
3.1 Convertirse en un laboratorio de pruebas
Esta sección describe los pasos que seguirá una empresa para convertirse en un laboratorio de pruebas acreditado.
Asegúrese de que la empresa pueda cumplir con el Requisitos para probar laboratorios (Sección 2).
Póngase en contacto con el Cyber Center a través de contact@cyber.gc.ca Para comunicar interés en convertirse en un laboratorio de pruebas que proporciona la siguiente información:
Nombre legal completo de la empresa
Ubicación del laboratorio de pruebas
Coordenadas para un punto de contacto primario
El Cyber Center confirmará si actualmente está aceptando nuevas aplicaciones para los laboratorios de prueba.
Demostrar todo Requisitos para probar laboratorios (Sección 2), incluyendo:
Póngase en contacto con el Consejo de Normas de Canadá para obtener una acreditación ISO/IEC 17025 con un alcance ITSET
Comunicarse con el Centro Cibernético con respecto al resto de los requisitos.
Entrar en un acuerdo formal con el Cyber Center para convertirse en un laboratorio de pruebas acreditado.
3.2 Mantener un laboratorio de pruebas
Las empresas deben continuar cumpliendo todos los requisitos para mantener su estado como laboratorios de prueba aprobados. Los laboratorios de prueba que no cumplan con todos los requisitos o que cumplan con las deficiencias identificadas por el Cyber Center pueden dar lugar a una empresa que pierde la aprobación para operar un laboratorio de pruebas.
El Cyber Center puede revocar la aprobación de una empresa para operar un laboratorio de pruebas en las siguientes circunstancias:
La Compañía no cumple con los requisitos para probar los laboratorios y no corrige ninguna deficiencia identificada por el Cyber Center dentro de un plazo razonable según lo especificado por el Cyber Center.
La Compañía trae un descuento al Programa de CC canadiense, a saber, a través del bajo rendimiento de las evaluaciones o mediante incumplimiento de las reglas del Programa CC canadiense, incluido, entre otros, el uso indebido de logotipos asociados con el Programa CC canadiense o la CCRA.
3.3 Evaluadores de criterios comunes calificados
El Cyber Center es responsable de los evaluadores calificados dentro del Programa Canadiense CC. Hay dos requisitos básicos para que los miembros del personal del laboratorio de pruebas se conviertan en evaluadores:
Desarrollo de las habilidades de evaluación requeridas mediante la finalización de un plan de desarrollo y aprendizaje personalizado
Aprobar con éxito el examen evaluador administrado por el Cyber Center
Para obtener más información sobre los evaluadores calificados, la compañía debe comunicarse con el Cyber Center a través de contact@cyber.gc.ca.
3.4 Realización de evaluaciones de ensayos
El propósito de una evaluación de prueba es demostrar que la Compañía puede cumplir con el requisito 2.6.1. Además, la evaluación del ensayo también completa la parte de prueba de competencia de la acreditación ITSET (requisito 2.1.1).
Para la evaluación del ensayo, la Compañía evalúa un producto de TI considerado adecuado por el Cyber Center. El producto de TI debe cumplir con los requisitos de elegibilidad del Instrucciones del programa de criterios comunes canadienses y el Cyber Center verificará que el producto de TI tenga un alcance suficiente de funcionalidad de seguridad para permitir que la empresa demuestre su capacidad de evaluación. La Compañía administra todos los acuerdos comerciales con el patrocinador de evaluación para esta evaluación del ensayo.
Durante la evaluación del ensayo, el centro cibernético examinará algunas actividades de evaluación en mayor profundidad que para las evaluaciones de CC normales. El Cyber Center evaluará la capacidad de la empresa para:
realizar con éxito todas las actividades de evaluación
Producir evidencia de evaluación (incluidos los informes de observación) durante la evaluación
Responder a los informes de observación planteados por el Cyber Center
Producir un informe técnico de evaluación que documente los hallazgos
Trabajar como un equipo coordinado para realizar con éxito la evaluación
Si el Cyber Center evalúa que la Compañía ha completado con éxito la evaluación, el Cyber Center publicará la evaluación del ensayo en la lista de productos certificados en el portal de criterios comunes internacionales. El Cyber Center equilibrará la evaluación del desempeño de la Compañía en la evaluación del ensayo contra la comprensión de que la evaluación del ensayo probablemente será una experiencia de aprendizaje para la empresa.
Si la evaluación del ensayo no se completa debido a los problemas con la capacidad del producto de TI para cumplir con los requisitos de CC o el patrocinador de evaluación, el Centro Cibernético puede requerir que la Compañía realice otra evaluación de ensayo. Esto dependerá de la medida en que el centro cibernético observó e interactuó con éxito con la compañía en una variedad de actividades de evaluación.
El desempeño insatisfactorio dará como resultado que la compañía no reciba la aprobación del Cyber Center para convertirse en un laboratorio de pruebas.
4 Contenido de apoyo
4.1 Lista de abreviaturas
Término
Definición
CC
Criterio común
CCRA
Acuerdo sobre el reconocimiento de certificados de criterios comunes
ISO/IEC
Organización Internacional para la Normalización / Comisión Electrotécnica Internacional
ÉL
Tecnologías de la información
Ser
Evaluación y prueba de seguridad de tecnología de la información
PSPC
Servicios públicos y adquisiciones de Canadá