meet-checks.json
1 { 2 "startMeeting": { 3 "a": { 4 "requirement": "Presentación al laboratorio del Certificador, y demás personal actuando como Certificador de Apoyo, responsables de la instrucción.", 5 "rationale": [ 6 "Cert.Principal: ${dossier.principalCertifier.printingName}", 7 "Cert.Apoyo: ${secondaryCertifiers}", 8 "Cert. Apoyo Externo: ${externalCertifiers}" 9 ] 10 }, 11 "b": { 12 "requirement": "Presentación, por parte del laboratorio, del personal asignado a la evaluación, así como los aspectos técnicos más relevantes de la misma.", 13 "rationale": [ 14 "Resumen TOE", 15 "${dossier.toe.description}", 16 "Presentación técnica del laboratorio.", 17 "${lab_technical_presentation}" 18 ] 19 }, 20 "c": { 21 "requirement": "Revisión de las normas a utilizar en la evaluación, confirmando que están correctamente definidas en la solicitud de comienzo de la evaluación, incluyendo las últimas interpretaciones e instrucciones técnicas aplicables.", 22 "rationale": [ 23 "Las normas a utilizar en la evaluación serán:", 24 "[CCN-STIC-2001] Definición de la Certificación Nacional Esencial de Seguridad (LINCE), versión 0.1. CCN.", 25 "[CCN-STIC-2002] Metodología de Evaluación para la Certificación Nacional Esencial de Seguridad (LINCE), versión 0.1. CCN.", 26 "[CCN-STIC-2003] Plantilla para la Declaración de Seguridad de la Certificación Nacional Esencial de Seguridad (LINCE), versión 0.1. CCN.", 27 "[CCN-STIC-2004] Plantilla del Informe Técnico de Evaluación de la Certificación Nacional Esencial de Seguridad (LINCE), versión 0.1. CCN.", 28 "Los procedimientos internos del OC con las últimas versiones a día de reunión de inicio de evaluación:", 29 "PO-005 Procedimiento de certificación. En su última versión (se encuentra en la página web del OC).", 30 "IT-011 Consideraciones generales para la certificación LINCE.", 31 "<SERIES DE PRODUTOS>", 32 "Al tratarse de una serie de productos, se deberá seguir lo indicado en el documento de apoyo “Evaluation methodology for product series ed. 1.0 Abril 2017”, por lo que deberán tenerse en cuenta los prerrequisitos indicados en la norma a entregar por el solicitante al laboratorio:", 33 "Differential Analysis Report (DAR): El desarrollador deberá entregar un DAR donde se identifiquen las diferencias y las similitudes entre los distintos modelos", 34 "Selection of the Reference TOE: The developer must select, within the Product series, a Reference TOE or several Reference TOEs", 35 "Testing Reuse Rationale (TRR): The developer must produce a rationale describing its strategy for reusing test results of the Reference TOE(s), based upon the DAR. This document also contains the rationale for the selection of the Reference TOE(s)", 36 "Deliverables: The developer must provide the whole Product series, i.e. the Reference TOE and the Other declared products.", 37 "Si el solicitante no proporciona dichos informes no se puede autorizar el comienzo de la evaluación hasta que el OC lo revise y vea cual va a ser la estrategia de pruebas a seguir.", 38 "Adicionalmente se informa de que, aunque el solicitante fije como estrategia probar en los demás productos declarados solo aquella funcionalidad que difiera del TOE referenciado, el laboratorio tendrá que repetir un muestreo de pruebas para asegurarse de que el comportamiento es igual en los pares TOE referenciado-otro producto declarado.", 39 "El laboratorio debe de tener en cuenta las actividades de evaluación, por lo que contará con los siguientes aspectos en su plan de evaluación y revisar su estrategia de muestro conforme a lo siguiente:", 40 "ASE The evaluator shall ensure that the Security Target clearly identifies the Product series, and the products that belong to this series.", 41 "ADV The evaluator shall ensure that the DAR is complete and correct.", 42 "En caso de que no haya evidencias de ADV (por ejemplo en un cPP) el laboratorio podrá bien, solicitar evidencias adicionales al solicitante para confirmar que el DAR es completo y refleja fielmente las diferencias de los diferentes modelos de la serie, o ampliar el muestreo de pruebas sobre los diferentes modelos para asegurarse que el DAR es completo y que todos los modelos cumplen con lo especificado en la declaración de seguridad.", 43 "En ausencia de evidencias, el laboratorio deberá muestrear pruebas sobre la totalidad de los productos de la serie.", 44 "AGD The evaluator shall ensure that the whole Product series is addressed by the AGD_OPE and AGD_PRE classes.", 45 "El evaluador deberá analizar para cada modelo la guía empleada para verificar lo indicado al informar el solicitante que cada modelo dispone de su propia guía.", 46 "ALC The evaluator shall ensure that each product within the Product series is uniquely and unambiguously identified.", 47 "El evaluador deberá verificar este punto para cada modelo.", 48 "ATE_IND The evaluator shall perform this activity according to the TRR.", 49 "El TRR remitido por el solicitante no se considerará válido si no muestra un plan de pruebas específico.", 50 "El laboratorio deberá presentar su propio plan de pruebas en el que deberá justificar y evidenciar para cada modelo de la serie de productos y para cada conjunto de pruebas de cada SFR definido si la prueba debe ser repetida o no. Si las conclusiones del laboratorio no se pudieran evidenciar será necesario la realización de la prueba.", 51 "AVA The evaluator shall perform this activity according to the TRR, in order to optimize the penetration testing workload.", 52 "El laboratorio deberá presentar al OC un plan de pruebas independientes en el que se cumpla la indicación proporcionada anteriormente. Este plan de pruebas deberá ser aprobado antes de que el laboratorio comience con la ejecución del plan de pruebas.", 53 "<PRUEBAS DE ALGORITMOS CRIPTOGRÁFICOS>", 54 "El certificador comenta que en cumplimiento de la IT-012 si en la evaluación fuera necesario realizar pruebas de conformidad de algoritmos criptográficos, se empleará como referencia la herramienta suministrada por el OC (Botan-CCN_2.15.2). Adicionalmente se menciona que si en dicha herramienta no existiera la implementación de algún algoritmo implementado en el TOE, el laboratorio propondrá la implementación de referencia al OC, quien se consultará con los expertos cripto del CCN para su aprobación y aplicación en la evaluación.", 55 "Las normas a utilizar en la evaluación serán:", 56 "[CC_P1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model, Version 3.1, R4 Final, September 2012.", 57 "[CC_P2] Common Criteria for Information Technology Security Evaluation Part 2: Security functional components, Version 3.1, R4 Final, September 2012.", 58 "[CC_P3] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components, Version 3.1, R4 Final, September 2012.", 59 "[CEM] Common Methodology for Information Technology Security Evaluation: Version 3.1, R4 Final, September 2012.", 60 "Addenda to the CC and the CEM CCDB-2014-03-001-CCaddenda_Modular.pdf", 61 "[CC_P1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model, Version 3.1, R5 Final, April 2017.", 62 "[CC_P2] Common Criteria for Information Technology Security Evaluation Part 2: Security functional components, Version 3.1, R5 Final, April 2017.", 63 "[CC_P3] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components, Version 3.1, R5 Final, April 2017.", 64 "[CEM] Common Methodology for Information Technology Security Evaluation: Version 3.1, R5 Final, April 2017.", 65 "Addenda to the CC and the CEM CCDB-2017-05-17-CCaddenda-Exact_Conformance.pdf", 66 "Los procedimientos internos del OC con las últimas versiones a día de reunión de inicio de evaluación:", 67 "PO-005 Procedimiento de certificación. En su última versión (se encuentra en la página web del OC).", 68 "PO-008 Certificación de productos en dominios técnicos SOGIS", 69 "INT-010 Evaluación de la clase ASE en Common Criteria" 70 ] 71 }, 72 "d": { 73 "requirement": "Revisión de la copia del contrato, o documento similar, que regula las relaciones entre el solicitante de la certificación y el laboratorio.", 74 "rationale": "Se revisa el contrato." 75 }, 76 "e": { 77 "requirement": "Revisión del plan detallado de la evaluación, confirmando que comprende todas las fases, tareas y unidades de trabajo correspondientes a la norma y nivel de evaluación aplicables a la certificación solicitada y que es proporcional al producto a evaluar, dada su complejidad y nivel de evaluación.", 78 "rationale": [ 79 "Se revisa el plan de evaluación.", 80 "La evaluación está prevista que finalice XXX.", 81 "<SERIES DE PRODUCTOS>", 82 "Debido a la situación de pandemia causada por la COVID-19, algunas actividades de ALC no han podido llevarse a cabo de forma física en las instalaciones del desarrollador. En su lugar, estas actividades han sido realizadas de forma remota por el laboratorio evaluador bajo la supervisión del organismo de certificación. Una vez la situación se normalice, se podrán realizar algunas verificaciones mediante una inspección técnica a las instalaciones." 83 ] 84 }, 85 "f": { 86 "requirement": "Revisión de la competencia técnica del personal asignado a la evaluación y de los recursos del laboratorio para llevar a cabo la evaluación.", 87 "rationale": [ 88 "Se revisa la competencia técnica.", 89 "El personal que va a participar en la evaluación es el siguiente:", 90 "${meetInternalParticipants}" 91 ] 92 }, 93 "g": { 94 "requirement": "Revisión de la declaración del responsable ejecutivo del laboratorio y de las declaraciones de compatibilidad de cada interviniente, verificando la ausencia de conflictos de interés del laboratorio, y del personal involucrado en la evaluación, respecto a la certificación solicitada.", 95 "rationale": "Se revisan las declaraciones de compatibilidad, tanto del personal como del laboratorio." 96 }, 97 "h": { 98 "requirement": "Asignación del nivel de seguimiento de la evaluación, según se define en el PO-005, y establecimiento de las obligaciones del laboratorio y del Certificador, de acuerdo con el nivel de seguimiento asignado.", 99 "rationale": [ 100 "Se asigna nivel de seguimiento1: (Nivel Básico / Nivel Medio / Nivel de Vigilancia).", 101 "NIVEL BÁSICO. Aplicable en evaluaciones de baja complejidad, que no requieren un gran periodo de tiempo para su realización y en las que, por tanto, no es indispensable que el laboratorio emita informes parciales de evaluación. El informe técnico de evaluación final se considera suficiente para un adecuado seguimiento de este tipo de evaluaciones.", 102 "NIVEL MEDIO. Será el nivel aplicable, en general, a la mayoría de las evaluaciones y se define por lo siguiente:", 103 "Obligación del laboratorio de remitir los informes parciales de evaluación correspondientes a las actividades de evaluación.", 104 "Obligación del Certificador de contrastar y validar los informes parciales de evaluación con la emisión de su propio informe de validación.", 105 "Para este nivel, se espera que el laboratorio entregue los informes parciales cuando ha cumplido con los requisitos de la norma (cuando el veredicto de las actividades de evaluación tengan un resultado satisfactorio, PASA)", 106 "NIVEL DE VIGILANCIA. Será aplicable, de manera excepcional, en las evaluaciones en las que se detecte un número superior a lo habitual de no conformidades, cuando se trate de evaluaciones con especial dificultad tecnológica, o en cualquier otra circunstancia que lo aconseje.", 107 "En términos generales, se esperará que el laboratorio emita los informes parciales, independiente de su veredicto (PASA / FALLA / INCONCLUSO) de acuerdo al plan de evaluación" 108 ] 109 }, 110 "i": { 111 "requirement": "Asignación, en su caso, del nivel de clasificación de seguridad de la documentación del expediente de certificación.", 112 "rationale": "No aplica." 113 }, 114 "j": { 115 "requirement": "Acuerdo sobre el idioma de la documentación del expediente de certificación.", 116 "rationale": "Idioma: Español / Inglés" 117 }, 118 "k": { 119 "requirement": "En el caso de una evaluación de una smartcard (composite evaluation) se recordará al laboratorio el requisito de que el certificado del chip tendrá que tener una antigüedad máxima de 18 meses desde que este es emitido hasta que se recibe en el OC el informe de la fase AVA (de acuerdo con las normas de composite evaluation).", 120 "rationale": "Se recordará este asunto en caso de que aplique, en caso contrario N/A" 121 }, 122 "l": { 123 "requirement": [ 124 "Se procede a recordar el artículo 34 de la OMPRE 27401 con título “Transmisión de información de las evaluaciones” y más en concreto el apartado 4 donde se indica que: “Cuando se trate de transmisión electrónica de información de las evaluaciones, se realizará utilizando las medidas técnicas y operacionales de protección de su confidencialidad que determinen, en cada caso, el Organismo de Certificación”.", 125 "Se indica al laboratorio que el Organismo de Certificación para el intercambio de documentación se seguirá lo indicado en la política POL-2. Se solicita al laboratorio que además de notificar a los certificadores, se notifique también a los certificadores de apoyo externo y que se cifren las entregas a parte de con las dos claves del OC con cada una de las claves de los certificadores de apoyo externo.", 126 "En caso de expediente clasificado especificar los medios de cifra y formas de transmisión de la información." 127 ], 128 "rationale": "" 129 }, 130 "m": { 131 "requirement": "Se comunica al laboratorio que antes de empezar la ejecución de pruebas de la clase AVA (test de penetración) propiamente dicha del expediente se notifique al Organismo de Certificación este hecho (valdría con un correo electrónico), donde se justifique que el grado de madurez de las fases anteriores es suficiente como para el comienzo de esta fase.", 132 "rationale": [ 133 "Se notifica al laboratorio este hecho.", 134 "N/A al tratarse de una evaluación LINCE" 135 ] 136 }, 137 "n": { 138 "requirement": "Se recuerda al laboratorio que la duración del expediente como máximo será de 18 meses, 1 a contar desde la reunión de inicio de evaluación hasta conseguir este OC un ETR por parte del laboratorio a PASA. Esto no impide que el solicitante tenga la potestad de iniciar un nuevo expediente y reutilizar todo o parte de la evaluación realizada pasado este periodo de tiempo. Esto quiere evitar la desactualización de la documentación a aplicar en la evaluación que se identifica así como una reprogramación sin una base justificada de los expedientes.", 139 "rationale": [ 140 "Se notifica al laboratorio este hecho.", 141 "No aplica.", 142 "Al ser una evaluación LINCE conforme a CCN-STIC-2002, se indica que el tiempo máximo para la entrega del ETR es de 8 semanas desde la fecha de autorización de comienzo de evaluación." 143 ] 144 }, 145 "o": { 146 "requirement": "El Organismo de Certificación da autorización1 en esta reunión de inicio de evaluación al laboratorio para la transmisión únicamente de los informes de observación (las conocidas ORs) al solicitante o persona de contacto de este expediente. Hacer constar, que el laboratorio deberá remitir al OC, todos los informes de observación e informará de su cierre cuando ocurra y de las medidas correctivas aplicadas por el solicitante de la certificación.", 147 "rationale": "Una vez comience la evaluación se autoriza el envío de las ORs al solicitante o persona de contacto del expediente y se solicita que se haga llegar también al OC en el momento de su emisión." 148 }, 149 "p": { 150 "requirement": "Las entregas de informes y de evidencias que vaya a entregar el laboratorio y salvo que el OC indique lo contrario, deberán ser autocontenidas, esto es, toda la información referenciada deberá estar contenida en el mismo expediente, podrá hacerse referencia a otros parciales del mismo expediente pero no a otros.", 151 "rationale": "" 152 }, 153 "q": { 154 "requirement": "Se recuerda al laboratorio que en caso de que el solicitante quiera con su certificación entrar en el CPSTIC, deberá contar con la “Notificación de resultado de la revisión de la declaración de seguridad” dada por el CPSTIC para la última versión de la ST. Será el laboratorio el que deberá suministrar esta evidencia cuando entregue el ETR, que coincidirá con la última versión de la ST. Sería recomendable pedir principalmente por parte del laboratorio la “Notificación de resultado de la revisión de la declaración de seguridad” al CPSTIC cuando se produzca una modificación en el alcance del TOE o se modifique el problema de seguridad.", 155 "rationale": "Se notifica al laboratorio este hecho." 156 }, 157 "r": { 158 "requirement": "Otros asuntos relevantes para la evaluación.", 159 "rationale": "No hay más asuntos." 160 }, 161 "s": { 162 "requirement": "Decisión de autorización, por parte del Certificador, del comienzo de la evaluación.", 163 "rationale": "Se autoriza el comienzo de la evaluación." 164 } 165 }, 166 "startAuditMeeting": { 167 "a": { 168 "requirement": "Presentación del equipo auditor y del equipo del laboratorio solicitante.", 169 "rationale": [ 170 "El OC presenta al equipo que realizará la auditoría y los datos de esta:", 171 "Personal auditor: ${audit.auditors.name}", 172 "Lugar de la auditoría: ${audit.address}", 173 "Fecha: ${audit.date}" 174 ] 175 }, 176 "b": { 177 "requirement": "Presentación del plan de auditoría.", 178 "rationale": [ 179 "a. Revisión de las actividades a realizar", 180 "b. Revisión de auditorías anteriores y resultado de estas", 181 "c. Revisión de las medidas acometidas por el laboratorio en la preauditoría.", 182 "d. Revisión de los requisitos indicados en la OMPRE 2740 que afecten al laboratorio (medidas de seguridad, procedimientos…)", 183 "e. Revisión de la documentación del laboratorio (manuales, planes de seguridad…)", 184 "f. Informe verbal de los resultados del desarrollo de la auditoría." 185 ] 186 }, 187 "c": { 188 "requirement": "Revisión de las conclusiones del estudio preliminar de la solicitud.", 189 "rationale": "Se procede a comentar que los comentarios y observaciones detectados en el estudio preliminar (preauditoría) han sido tenidos en cuenta y que se mostrarán los cambios efectuados el mismo día de la auditoría." 190 } 191 }, 192 "estimationHearingMeeting": { 193 "a": { 194 "requirement": "Presentación, por parte del laboratorio, de los principales hitos de la evaluación, observaciones emitidas y conclusiones del informe técnico de evaluación.", 195 "rationale": "" 196 }, 197 "b": { 198 "requirement": "Presentación, por parte del solicitante de la certificación, de las medidas correctivas aplicadas a resultas de la evaluación, comentarios y alegaciones a la conclusión del informe final del laboratorio.", 199 "rationale": "" 200 }, 201 "c": { 202 "requirement": "Presentación de las conclusiones del Certificador, con indicación al solicitante de la certificación de la naturaleza, gravedad y consecuencias de las observaciones y no conformidades identificadas durante el procedimiento de evaluación y su seguimiento, si las hubiere, así como de las implicaciones de las mismas en la resolución de la solicitud de certificación.", 203 "rationale": "El Certificador informó al solicitante y al laboratorio de la conformidad con las pruebas realizadas y con el ETR presentado por el laboratorio, y de que se procede a la resolución positiva del expediente." 204 }, 205 "d": { 206 "requirement": "Revisión, por parte del Certificador, de los restantes trámites conducentes a la emisión y publicación, en su caso, de la resolución de certificación, así como del procedimiento para la revisión de vigencia del certificado.", 207 "rationale": [ 208 "El Certificador informó al solicitante de los siguientes pasos a seguir para finalizar con la resolución positiva del expediente que se detallan a continuación:", 209 "a. se redactará un Informe de Certificación por parte del Certificador.", 210 "b. se redactará la Resolución estimatoria de la solicitud de certificación que será firmada por el Secretario de Estado Director del CNI.", 211 "c. posteriormente dicha resolución será publicada en el Boletín Oficial del Estado, conformando esta publicación la Certificación oficial del TOE.", 212 "d. Posteriormente se publicarán el Certificado Oficial, la Declaración de Seguridad, el Informe de Certificación y el certificado CCRA y SOGIS (aplicables hasta EAL4), en la Relación de Productos Certificados del sitio web del Organismo de Certificación.", 213 "e. se entregará el Certificado, mediante envío de una Copia en papel del Certificado al solicitante.", 214 "f. Informar que el certificado será efectivo, una vez firmado por la Secretaria de Estado Directora del CCN y al día siguiente de su publicación en el BOE.", 215 "Por último se informó al solicitante de que la orden PRE2740/2007, establece la obligación de realizar, cada dos años, una revisión de vigencia de cada certificado emitido." 216 ] 217 }, 218 "e": { 219 "requirement": [ 220 "Información, por parte del Certificador, del derecho del solicitante a:", 221 "▪ presentar alegaciones a las conclusiones del “Informe de Certificación” en un plazo no inferior a diez días ni superior a quince y,", 222 "▪ presentar recurso potestativo de reposición ante el Director del Organismo de Certificación, en caso de resolución final de desestimación." 223 ], 224 "rationale": "" 225 }, 226 "f": { 227 "requirement": "Consulta al solicitante de la certificación sobre la publicación íntegra de la Declaración de Seguridad del producto certificado, en su caso.", 228 "rationale": "" 229 }, 230 "g": { 231 "requirement": "Revisión, por parte del Certificador, de las obligaciones derivadas de la condición de producto certificado y de las restricciones en el uso de dicha referencia.", 232 "rationale": "El Certificador informó al solicitante de las obligaciones derivadas de la condición de producto certificado y de las restricciones en el uso de dicha referencia, recogidas en la orden PRE2740/2007, de 19 de septiembre." 233 }, 234 "h": { 235 "requirement": "Cualquier otro asunto, a propuesta del Organismo de Certificación, del solicitante de la certificación o del laboratorio, relativo a la resolución de la certificación solicitada.", 236 "rationale": "Finalmente, el Certificador mostró su satisfacción con los trabajos realizados por el laboratorio y agradeció el esfuerzo realizado por todos los participantes, en especial del solicitante, para la certificación del producto." 237 } 238 }, 239 "cancellationHearingMeeting": { 240 "a": { 241 "requirement": "Presentación de las conclusiones del Certificador, con indicación al solicitante de la certificación de las causas que motivan la propuesta de anulación del certificado.", 242 "rationale": "" 243 }, 244 "b": { 245 "requirement": "Revisión, por parte del Certificador, de los restantes trámites conducentes a la anulación del certificado y publicación, en su caso, de la resolución correspondiente.", 246 "rationale": "" 247 }, 248 "c": { 249 "requirement": [ 250 "Información, por parte del Certificador, del derecho del solicitante a:", 251 "▪ presentar alegaciones a las conclusiones del “Informe de Revisión de Vigencia del Certificado” en un plazo no inferior a diez días ni superior a quince y,", 252 "▪ presentar recurso potestativo de reposición ante el Director del Organismo de Certificación, en caso de resolución final de anulación del certificado." 253 ], 254 "rationale": "" 255 }, 256 "d": { 257 "requirement": "Revisión, por parte del Certificador, de las obligaciones derivadas de la anulación de la condición de producto certificado y de la prohibición del uso de dicha referencia.", 258 "rationale": "" 259 }, 260 "e": { 261 "requirement": "Cualquier otro asunto, a propuesta del Organismo de Certificación o del solicitante de la certificación relativo a la resolución de anulación del certificado.", 262 "rationale": "" 263 } 264 } 265 }