Znaczenie porozumień CCRA (Common Criteria Recognition Agreement)

Podobne dokumenty
Wydanie 3 Warszawa, r.

Komunikat nr 115 z dnia r.

Rozszerzenie zakresu akredytacji Instytutu Kolejnictwa jako jednostki certyfikującej

CERTYFIKACJA KONTAKT SEKRETARIAT STRONA GŁÓWNA OFERTA CERTYFIKACJA. Instytut Techniki Budowlanej jako:

REWIZJA I PROCEDURY CERTYFIKACJI I AKREDYTACJI (ZASADY OGÓLNE)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

POLSKIE CENTRUM AKREDYTACJI POLITYKA DOTYCZĄCA AKREDYTACJI PODMIOTÓW ZAGRANICZNYCH. Wydanie 1 Warszawa, r.

EA-1/06 Wielostronne Porozumienie EA

Dokument obowiązkowy IAF

Program certyfikacji PR3834. Program certyfikacji wg wymagań PN-EN ISO 3834 PR3834. Program certyfikacji wg wymagań serii norm PN-EN ISO 3834

POLSKIE CENTRUM AKREDYTACJI

PRZEMYSŁOWY INSTYTUT MOTORYZACJI

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Karta Systemu Jakości. wersja 1.0

Jednostka: TÜV Rheinland Polska Sp. z o.o.

Korzyści z dobrowolnej certyfikacji na Znak Zgodności z Polską Normą

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Instytut Kolejnictwa Ośrodek Jakości i Certyfikacji Warszawa ul. Chłopickiego 50 tel/fax.: (+4822) qcert@ikolej.

Obowiązuje od: r.

POLSKIE CENTRUM AKREDYTACJI

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Banku Spółdzielczym w Brodnicy

POLSKIE CENTRUM AKREDYTACJI

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Schemat IECEx w GIG.

Akredytacja do celów rozporządzenia nr 402/2013. Krzysztof Woźniak

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Licencje, certyfikaty, świadectwa :33:54

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLSKIE CENTRUM AKREDYTACJI

CERTIFICATION CONTACT SECRETARY HOMEPAGE OFFER CERTIFICATION. The Building Research Institute as:

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Maciej Byczkowski ENSI 2017 ENSI 2017

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

INSTRUKCJA CERTYFIKACJI WYROBÓW ICW

EA INF/04:2012 Deklaracja akceptacji i uznawania działań prowadzonych w ramach EA MLA

ADMINISTRACJA ELEKTRONICZNA

Oznaczenie CE a certyfikacja dobrowolna konkurencja czy synergia

EA-INF/04:2016 Oświadczenie o akceptacji i uznawaniu działalności prowadzonej w ramach EA MLA

Dotyczy PN-EN ISO 14001:2005 Systemy zarządzania środowiskowego Wymagania i wytyczne stosowania

Komitety ds. wynagrodzeń świat i Polska. Jakub Han Sedlak & Sedlak

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

System kontroli wewnętrznej

SZCZEGÓŁOWY HARMONOGRAM KURSU

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

Instytut Kolejnictwa Ośrodek Jakości i Certyfikacji Warszawa ul. Chłopickiego 50 tel./fax.: (+4822)

PCD ZKP PROGRAM CERTYFIKACJI SYSTEMU ZAKŁADOWEJ KONTROLI PRODUKCJI

CERTIFICATION CONTACT SECRETARY HOMEPAGE OFFER CERTIFICATION. The Building Research Institute as:

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ocena jakości działań rozwojowych i usług szkoleniowych

Centrum Bezpieczeństwa Ruchu Drogowego. Warszawa 2005

eidas Standardy de iure i de facto oraz rozwiązania niestandardowe

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Proces certyfikacji ISO 14001:2015

KRAJOWA DEKLARACJA WŁAŚCIWOŚCI UŻYTKOWYCH nr 12/ (national declaration of constancy of performance no..)

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

Szczegółowy opis przedmiotu zamówienia:

Uznanie zagranicznych dyplomów w celu kontynuacji kształcenia w Polskiej uczelni. Hanna Reczulska. Warszawa, 23 października 2013r.

POLSKIE CENTRUM AKREDYTACJI

Instytut Technik Innowacyjnych. Kierunki rozwoju i przykłady najnowszych zastosowań standardu Common Criteria. Dariusz Rogowski.

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

ZAŁĄCZNIK SPROSTOWANIE

B IURO B ADAWCZE DS. J AKOŚCI

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ OSOBY SCOPE OF ACCREDITATION FOR PERSONS CERTIFICATION BODY Nr/No. AC 195

WYMAGANIA DLA JEDNOSTEK OCENIAJĄCYCH W ŚWIETLE ROZPORZĄDZENIA NR 402/2013. dr Magdalena Garlikowska

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

PROGRAM CERTYFIKACJI

Zespół ds. Zapewnienia Jakości ZPBE ENERGOPOMIAR-ELEKTRYKA SP. Z O.O. GLIWICE

WYMAGANIA DLA ZAKŁADOWEJ KONTROLI PRODUKCJI

Wstęp. Ogólne założenia

Laboratorium Oceny Cyberbezpieczeństwa Instytutu Łączności wymagania i wytyczne

Zadania Prezesa UTK oraz Polskiego Centrum Akredytacji dotyczące jednostek oceniających zgodność oraz jednostek inspekcyjnych ICSM

Informacje dotyczące okresu przejściowego w akredytacji systemów zarządzania wg ISO/IEC 17021:2011 na ISO/IEC :2015

PROGRAMY CERTYFIKACJI WYROBÓW SEP BBJ PROGRAM CERTYFIKACJI Z

Centrum Bezpieczeństwa Ruchu Drogowego. Warszawa 2006

Upowszechnienie wykorzystania ETV w celu poprawy efektywności energetycznej sektora wodno-ściekowego

System kontroli wewnętrznej. w Powiślańskim Banku Spółdzielczym w Kwidzynie

[nazwa TOE] 1. [wersja TOE] 2 [nazwa konstruktora] 3 [adres konstruktora] 4. Projekt TOE Projekt architektury (ADV_TDS.2)

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

PRZEMYSŁOWY INSTYTUT MOTORYZACJI

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ SYSTEMY ZARZĄDZANIA SCOPE OF ACCREDITATION FOR MANAGEMENT SYSTEMS CERTIFICATION BODY Nr/No AC 082

System kontroli wewnętrznej w Limes Banku Spółdzielczym

Polityka ILAC dotycząca uczestnictwa w badaniach biegłości. ILAC Policy for Participation in Proficiency Testing Activities

REIfoam 240. Certificato EI240 secondo EN , rapporto di classificazione n. NP-02393/P/2009/ML ITB Building Research Institute

Wymagania normy PN EN ISO 14001: 2005 i PN EN ISO 19011:2003

Metodologia weryfikacji wymagań IRIS w obszarze Projektowania i Rozwoju w teorii i praktyce. Szymon Wapienik TUV NORD Polska

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Instytut Kolejnictwa Ośrodek Jakości i Certyfikacji Warszawa ul. Chłopickiego 50 tel/fax.: (+4822)

Centrum Bezpieczeństwa Ruchu Drogowego. Biuletyn Informacyjny. Warszawa 2007

IATF 16949:2016 Zatwierdzone Interpretacje

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Transkrypt:

Instytut Technik Innowacyjnych Znaczenie porozumień CCRA (Common Criteria Recognition Agreement) Barbara Flisiuk Nr projektu: UDA POIG 01.03.01.156/08-00 Akronim projektu: CCMODE Plan prezentacji 1. Cel porozumienia CCRA i sposób jego realizacji 2. Uznawanie certyfikatów CC 3. Interpretacja i stosowanie metodyki CC 4. Członkostwo w CCRA 5. Zawartość aneksów do porozumienia CCRA a) Definicje b) Schemat oceny i certyfikacji/walidacji c) Wymagania dla jednostek certyfikujących d) Ocena jednostek certyfikujących e) Wymagane informacje i dokumenty f) Procedura składania aplikacji o status jednostki certyfikującej g) Zawartość raportów z certyfikacji 2 1

Common Criteria Recognition Agreement - CCRA 12.05.2000 Sygnatariusze: Defence Signals Directorate and Government Communication Security Bureau Australia i Nowa Zelandia Communications Security Establishment Kanada Presidenza del Consiglio dei Ministri AutoritàNazionale per la Sicurezza CESIS III Reparto UCSi Włochy Ministry of the Interior and Kingdom Relations Holandia Ministry of Finance Finlandia HQ Defence Command Norway/Security Division Norwegia Service Central de la Sécurité des Systèmes d'information Francja Bundesamt für Sicherheit in der Informationstechnik Niemcy Ministry of Interior Grecja Ministerio de Administraciones Públicas Hiszpania Communications-Electronics Security Group, Department of Trade and Industry Wielka Brytania National Institute of Standards and Technology, National Security Agency USA 3 Cel porozumienia CCRA Zapewnienie, że ocena produktów/systemów IT i profili zabezpieczeń jest dokonywana wg wysokich i stałych standardów w celu zapewnienia zaufania do tych produktów i profili zabezpieczeń; Zwiększenie dostępności ocenionych produktów/systemów IT i profili zabezpieczeń o zwiększonym poziomie bezpieczeństwa (ang. securityenhanced); Eliminacja podwójnej oceny produktów/systemów IT i profili zabezpieczeń; Stały rozwój efektywności i rentowności procesów oceny, certyfikacji i walidacji produktów IT i profili zabezpieczeń Realizacja powyższych celów poprzez stworzenie takiej sytuacji, kiedy produkty IT i profile, które uzyskały certyfikat CC mogą być kupowane lub używane bez konieczności powtórnej oceny 4 2

W jaki sposób sygnatariusze zamierzają realizować cele umowy Podstawą wydania opinii (ang. judgement) nt produktu/systemu IT podlegającego ocenie jest poziom uzasadnionego zaufania do tego produktu. Sygnatariusze będą: kierować się wzajemnym zaufaniem co do wydawanych opinii oraz zaufaniem do własnych kompetencji, działać aktywnie w celu rozwoju zastosowania metodyki CC, podejmować działania w celu ekonomicznego zastosowania wyników oceny, np. aby sponsorzy przekazywali informacje o produkcie innym zainteresowanym stronom. 5 Kto może być sygnatariuszem/uczestnikiem porozumienia, np. Organizacje lub agencje rządowe Wystawcy certyfikatów oceny Użytkownicy certyfikatów oceny Certificate consuming Participants Uczestnicy-Konsumenci Certificate authorising Participants Uczestnicy autoryzujący Nie zawsze posiadają zdolności do oceny bezpieczeństwa IT, jednak wyrażają zainteresowanie użytkowaniem certyfikowanych lub walidowanych produktów IT i profili zabezpieczeń Są sponsorami jednostek certyfikujących (Certification bodies) działających w ich krajach oraz autoryzują ich certyfikaty. Certificate authorising Participants, którzy kontrolują zasoby i ekspertyzy jednostek certyfikujących określani są jako Qualified Participants. Każdy sygnatariusz porozumienia uznaje certyfikaty autoryzowane przez innych sygnatariuszy. 6 3

W jakich przypadkach sygnatariusz/uczestnik może odmówić uznania certyfikatu Jeżeli uznanie certyfikatu wiązałoby się z działaniem niezgodnym z przepisami krajowymi, międzynarodowymi lub Unii Europejskiej. W szczególności, jeżeli produkt IT lub profil zabezpieczeń jest rozważany do zastosowania w aplikacjach/systemach, które dotyczą informacji podlegających specjalnej ochronie zgodnie z prawem danego kraju, dodatkowymi przepisami, regulacjami administracyjnymi lub innymi zobowiązaniami. Sygnatariusze mogą odmówić uznania certyfikatu tylko w odniesieniu do powyższego zakresu stosowania. 7 Warunki uznawania certyfikatów Każdy uczestnik powinien uznawać certyfikaty CC uznane przez Uczestników Autoryzujących (Certificate Authorising Participants) z wyjątkami opisanymi powyżej. Taka autoryzacja oznacza, że procesy oceny oraz certyfikacji/walidacji zostały przeprowadzone w profesjonalny sposób: na podstawie zaakceptowanych kryteriów oceny bezpieczeństwa informacji, z użyciem akceptowanych metod oceny bezpieczeństwa informacji (IT security evaluation methods), w zgodzie ze Schematem oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) prowadzonym przez właściwą instytucję certyfikującą (CB) w kraju uczestnika autoryzującego. Certyfikaty, które spełniają powyższe wymagania są zgodne z porozumieniem CCRA. 8 4

Ocena, certyfikacja/walidacja są prowadzone profesjonalnie, jeżeli spełnione są następujące warunki minimum: a) Organizacja prowadząca ocenę (Evaluation Facility) - została akredytowana w danym kraju przez odpowiednią jednostkę akredytacyjną (Accreditation Body) w zgodzie z normą EN 45001 lub ISO Guide 25 lub zgodnie z interpretacją potwierdzoną przez wszystkich Uczestników oraz otrzymała licencję lub dopuszczenie zgodnie z aneksem B.3 porozumienia. - ewentualnie została powołana zgodnie z prawem lub innymi procedurami obowiązującymi w danym kraju i spełnia wymagania zawarte w aneksie B.3 porozumienia CCRA. ****** EN 45001:1989 General criteria for the operation of testing laboratories PN-EN 45001:1993 Ogólne kryteria działania laboratoriów badawczych ISO Guide 25 General requirements for the competence of calibration and testing laboratories 9 Ocena, certyfikacja/walidacja są prowadzone profesjonalnie, jeżeli spełnione są następujące warunki minimum: b) Jednostka certyfikująca (CB Certification Body) jest uznana za zgodną z warunkami porozumienia oraz - została akredytowana w danym kraju przez odpowiednią jednostkę akredytacyjną w zgodzie z normą EN 45011 lub ISO Guide 65 lub w zgodzie z lokalną interpretacją tych standardów, co spełnia wymagania aneksu C porozumienia CCRA - lub została powołana zgodnie z prawem lub innymi procedurami obowiązującymi w danym kraju i spełnia wymagania normy EN 45011 lub ISO Guide 65 lub wymagania zawarte w aneksie C porozumienia CCRA. ****** EN 45011:1998 General requirements for bodies operating product certification systems PN-EN 45011:2000 Wymagania ogólne dotyczące jednostek prowadzących systemy certyfikacji wyrobów ISO Guide 65 General requirements for bodies operating product certification systems 10 5

Działania sygnatariuszy/uczestników porozumienia w celu uzyskania jednolitej interpretacji i stosowania metodyki Common Criteria Regularna wymiana informacji, dyskusja Monitorowanie wszystkich aktualnie toczących się procesów oceny i realizacja procedur, które zapewnią, że wszystkie instytucje prowadzące ocenę i afiliowane przez jednostki certyfikujące: - prowadzą ocenę w sposób obiektywny, - stosują metodykę CC w sposób prawidłowy i konsekwentny, - stosują odpowiednią ochronę w zakresie poufności informacji. Okresowe przeglądy jednostek certyfikujących - nie rzadziej niż raz na pięć lat. 11 Każdy wydany certyfikat powinien posiadać logo CC Znak potwierdzający, że certyfikat CC został autoryzowany (uznany) Znak używany w celach identyfikacyjnych i marketingowych 12 6

Każdy wydany certyfikat powinien posiadać standardowy opis: Common Criteria Certificates Associated with IT Product Evaluations a) Product Manufacturer; b) Product Name; c) Type of Product; d) Version and Release Numbers; e) Protection Profile Conformance (if applicable); f) Evaluation Platform (optional); g) Name of IT Security Evaluation Facility (optional); h) Name of Certification/Validation Body; i) Certification/Validation Report Identifier; j) Date Issued; and k) Assurance Package Common Criteria Certificates Associated with Protection Profile Evaluations a) Protection Profile Developer; b) Protection Profile Name/Identifier; c) Version Number; d) Name of IT Security Evaluation Facility (optional); e) Name of Certification/Validation Body; f) Certification/Validation Report Number; g) Date Issued; and h) Assurance Package 13 14 7

Publikacje Każdy Uczestnik Autoryzujący powinien opublikować w sekcji zawierającej listę certyfikowanych/walidowanych przez siebie produktów krótkie informacje o wszystkich produktach IT i profilach zabezpieczeń posiadających certyfikaty uznane przez innych Uczestników. Każdy Uczestnik powinien starać się udostępnić innym Uczestnikom wszelkie informacje i dokumentację (w zakresie dostępnym przez prawo i inne przepisy). 15 Nowi członkowie w CCRA Członkowstwo otwarte dla instytucji reprezentujących kraje, które planują wdrożyć i przestrzegać zasad zawartych w Porozumieniu. Warunek członkowstwa: zgoda wszystkich sygnatariuszy. Jednostka certyfikująca może być uznana za zgodną z warunkami Porozumienia jeżeli wszyscy sygnatariusze będą zgodni, że spełnia ona warunki określone w Porozumieniu. 16 8

Aneks A do Porozumienia zawiera definicje terminów użytych w umowie i aneksach oraz terminów istotnych do zrozumienia/interpretacji umowy. CB Certification/Validation Body jednostka certyfikująca Evaluation Facility organizacja przeprowadzająca ocenę niezależnie od twórców produktu IT lub profilu zabezpieczeń, zwykle na zasadach komercyjnych. ITSEF IT Security Evaluation Facility organizacja posiadająca licencję lub zgodę na przeprowadzanie oceny w kontekście konkretnego schematu oceny bezpieczeństwa IT (IT Security Evaluation and Certification/Validation Scheme). 17 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Cel zapewnienie, poprzez systematyczną organizację oraz zarządzanie funkcjami oceny i certyfikacji/walidacji, że zostaną utrzymane wysokie standardy kompetencji i obiektywności oraz że uzyskana została zgodność. Za całość schematu oceny odpowiedzialna jest jednostka certyfikująca 18 9

Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Rola i funkcje jednostki certyfikującej (CB) CB jest niezależna od akredytowanej organizacji przeprowadzającej ocenę (ITSEF). CB może być: - założona według zasad prawa lub innych oficjalnych procedur administracyjnych obowiązujących w danym kraju, lub - akredytowana przez właściwą Jednostkę Akredytującą (Accreditation Body) Ma spełniać wymagania zawarte w aneksie C do Porozumienia 19 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Akredytacja i licencjonowanie organizacji przeprowadzających ocenę (Evaluation Facilities) Warunki niezbędne do uczestnictwa organizacji w schemacie: a) Akredytowana przez Jednostkę Akredytującą (Accreditation Body) oficjalnie uznawaną w danym kraju oraz b) Licencjonowana lub akceptowana przez Jednostkę Certyfikującą (CB) odpowiedzialną za zarządzanie schematem Akredytacja oznacza, że organizacja działa w sposób obiektywny i kompetentny (w aspekcie technicznym, metodycznym i proceduralnym) oraz że spełnia wymagania normy EN 45001 lub ISO Guide 25. Organizacja przeprowadzająca ocenę musi zademonstrować przed CB, że jest kompetentna technicznie w określonym zakresie oceny bezpieczeństwa informatycznego. 20 10

Aneks C Porozumienia Wymagania dla jednostki certyfikującej (CB Certification/Validation Body) Struktury administracyjnej i organizacyjnej Kompetencji personelu zajmującego się certyfikacją Kontroli nad dokumentacją Zapisów Procedur certyfikacji/walidacji Wymagań dla organizacji prowadzących ocenę Zachowania poufności informacji Publikacji Wymagania dotyczą: Dokumentu Quality Manual określającego procedury, za pomocą których jednostka działa w zgodzie z Porozumieniem Zachowania poufności informacji Publikacji Odwołań i procedur pojednawczych Okresowych kontroli Nadużyć w użyciu certyfikatów CC Odwołania certyfikatów CC 21 Aneks D Porozumienia Okresowa ocena jednostki certyfikującej (Voluntary periodic assessments) Ocena przeprowadzana przez Qualified Participants Cel: Zapewnienie, że jednostka certyfikująca: działa zgodnie z zasadami porozumienia CCRA we wszystkich aspektach procesu oceny oraz walidacji/certyfikacji stosuje procedury zapewniające ochronę informacji wrażliwych Aneks F Porozumienia Jakie informacje i dokumenty powinny dostarczyć: Jednostka certyfikująca zarządzająca schematem oceny i certyfikacji/walidacji Członkowie porozumienia sobie wzajemnie (m.in. kopię każdego autoryzowanego przez siebie certyfikatu; informację że dany produkt wypadł z listy produktów certyfikowanych). 22 11

Aneks G Porozumienia Podanie o status jednostki certyfikującej zgodnej z porozumieniem CCRA procedura zgłaszania Formalne podanie za pośrednictwem członka porozumienia w swoim kraju (członek porozumienia zostaje sponsorem jednostki) Dokumentacja obejmującą, m.in.: Pełen opis dotyczący zakresu, organizacji i działania schematu oceny i certyfikacji/walidacji Ostatnią wersję listy produktów certyfikowanych przez jednostkę certyfikującą Co najmniej dwa certyfikaty CC wystawione pod nadzorem jednostki Komitet zarządzający odpowiada wstępnie w ciągu 3 tygodni. 23 Aneks G Porozumienia Podanie o status jednostki certyfikującej zgodnej z porozumieniem CCRA procedura zgłaszania W przypadku pozytywnej odpowiedzi komitetu aplikant wybiera co najmniej dwa produkty o poziomie EAL 3 lub 4 do powtórnej certyfikacji/walidacji (shadow certification/validation) dostarcza skrócony opis każdego produktu i szczegóły dotyczące procesu jego oceny i certyfikacji/walidacji. Komitet zarządzający w ciągu miesiąca wybiera jeden z produktów do powtórnej certyfikacji/walidacji oraz członków do jej przeprowadzenia. Członkowie decydują jaki zakres produktu będzie podlegał powtórnej certyfikacji/walidacji. Raport z certyfikacji/walidacji w ciągu miesiąca. Decyzja komitetu w ciągu dwóch miesięcy. 24 12

Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.1 Certification/Validation Report Evaluation Technical Report (ETR) sporządzany przez organizację prowadzącą ocenę (Evaluation Facility) dla jednostki certyfikującej (CB) podstawa do sporządzenia Certification/Validation Report. Cel ETR: Przedstawienie werdyktów i ich uzasadnień Przedstawienie innych wyników oceny, w tym błędów i podatności wykrytych podczas oceny Cel Certification/Validation Report Dostarczenie potencjalnym użytkownikom praktycznych informacji nt produktu IT lub profilu zabezpieczeń, niezbędnych do bezpiecznego wdrożenia produktu (nie obejmuje to informacji chronionych) 25 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.2 Streszczenie (Executive Summary) Krótkie streszczenie całego raportu, przegląd wyników oceny. I.3 Identyfikacja Numer wersji oprogramowania, poprawki oprogramowania (jeżeli występują), numer wersji sprzętowej i urządzeń peryferyjnych (np. drukarek) zidentyfikowane i zapisane. Kompletna identyfikacji produktu IT zapewni, że może on być w całkowity i właściwy sposób odtworzony do następnych procesów oceny w przyszłości. I.4 Polityka bezpieczeństwa Opisuje produkt IT jako zbiór usług bezpieczeństwa. Opis polityki bezpieczeństwa zawiera zasady, z jakimi musi być zgodny produkt IT lub zasady, które ten produkt wymusza. 26 13

Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.5 Założenia i zakres (Assumptions and Clarification of Scope) Aspekty bezpieczeństwa dotyczące środowiska/konfiguracji, w którym będzie używany dany produkt IT (właściwa instalacja i konfiguracja, minimum sprzętowe itp.). Określenie zakresu oceny w odniesieniu do zagrożeń, wobec których nie ma przeciwdziałań. Użytkownicy mogą dowiedzieć się jakie ryzyka niesie ze sobą użytkowanie danego produktu. I.6 Informacja o architekturze Zaawansowany opis produktu IT i jego głównych komponentów w oparciu o założenia zawarte w poziomie uzasadnionego zaufania dla klasy komponentów Development-High Level Design (ADV_TDS). Charakterystyka rozdziału architektonicznego (architectural separation) głównych komponentów. 27 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.7 Dokumentacja Kompletny spis dokumentacji produktu IT dostarczany przez producenta do konsumenta z numerami wersji. Minimum: podręcznik użytkownika, podręcznik administratora, instrukcja instalacji. I.8 Testowanie produktu IT przez producenta i oceniającego: metoda testu, konfiguracja, wyniki. I.9 Oceniania konfiguracja Konfiguracja produktu IT podczas procesu oceny dokładne ustawienia i szczegóły konfiguracji z uzasadnieniem wyborów. Podstawa do instalacji ocenianego produktu. I.10 Wyniki oceny Wymagania uzasadnionego zaufania (assurance requirements), które spełnia oceniany produkt IT. 28 14

Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.11 Komentarze i rekomendacje oceniającego Informacja dodatkowa: np. niedociągnięcia produktu zaobserwowane podczas oceny lub szczególnie pożyteczne cechy. I.12 Aneksy Wszelkie informacje dodatkowe, które mogą być przydatne dla odbiorców raportu, ale nie pasują do zawartości rozdziałów raportu (np. dokładny opis polityki bezpieczeństwa). I.13 Zadanie zabezpieczeń (Security Target) Zadanie zabezpieczeń, ale z usuniętymi lub sparafrazowanymi informacjami technicznymi prawnie zastrzeżonymi. I.14 Słownik W celu ułatwienia czytania raportu (definicje, akronimy) I.15 Bibliografia Wszystkie dokumenty użyte jako materiały źródłowe podczas sporządzania raportu (m. in. kryteria, metodyki, dokumentacja techniczna, dokumentacja producenta używana w trakcie oceny. 29 Instytut Technik Innowacyjnych Dziękuję Państwu za uwagę Barbara Flisiuk Nr projektu: UDA POIG 01.03.01.156/08-00 Akronim projektu: CCMODE 15

Aneks K Porozumienia Lista jednostek certyfikujących (CB) zgodnych z CCRA Australasian Information Security Evaluation Programme Sponsor: Defence Signals Directorate and Government Communication Security Bureau, Australia i Nowa Zelandia Canadian Common Criteria Evaluation and Certification Scheme Sponsor: Communications Security Establishment, Kanada Schema d Evaluation et Certification Francais Sponsor: Service Central de la Sécurité des Systèmes d'information, Francja Bundesamt für Sicherheit in der Informationstechnik (Zertifizierungsstelle) Sponsor: Bundesamt für Sicherheit in der Informationstechnik, Niemcy UK IT Security Evaluation and Certification Scheme Sponsor: Communications-Electronics Security Group and Department of Trade and Industry, Wielka Brytania National Information Assurance Partnership Common Criteria Evaluation and Validation Scheme Sponsor: National Institute of Standards and Technology, and National Security Agency, USA 31 CERTIFICATE AUTHORIZING SCHEMES organizacje zarządzające schematami oceny w poszczególnych krajach (wg www.commoncriteriaportal.org stan z dnia 29.10.2009) Defence Signals Directorate and Government Communication Security Bureau Australia i Nowa Zelandia Communications Security Establishment Kanada Direction Centrale de la Securite des Systemes d'information Francja Information Security Certification Office; Information Technology Promotion Agency (IPA) Japonia IT Security Certification Center (ITSCC) Korea Bundesamt für Sicherheit in der Informationstechnik Niemcy TNO Certification Holandia OCSI - Organismo di Certificazione della Sicurezza Informatica AutoritàNazionale per la Sicurezza Włochy Swedish Certification Body for IT Security FMV/CSEC Szwecja Norwegian Certification Authority for IT Security (SERTIT) Norwegia Organismo de Certificación de la Seguridad de las Tecnologías de la Información Hiszpania The Communications-Electronics Security Group (CESG) and the Department of Trade and Industry (DTI) Wielka Brytania National Institute of Standards and Technology, National Security Agency USA 32 16

Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Funkcje jednostki certyfikującej (CB) h) Publikacja certyfikatów CC i raportów z walidacji/certyfikacji i) Regularna publikacja dokumentu z krótką informacją nt wszystkich produktów i profili zabezpieczeń ocenianych w ramach schematu, które posiadają aktualny certyfikat CC (Certified/Validated Products List) j) Dokumentować organizację, politykę, zasady i procedury schematu oraz udostępnianie i aktualizacja dokumentacji k) Zapewnienie, że zasady określone w schemacie są przestrzegane l) Ustanawianie i, jeżeli to właściwe, wnoszenie poprawek do polityki schematu m) Zapewnienie, że interesy wszystkich stron działających w ramach schematu mają odpowiednią wagę w procesie Dodatkowo: wsparcie techniczne w kwestiach związanych z porozumieniem CCRA 33 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Funkcje jednostki certyfikującej (CB) a) Autoryzacja uczestnictwa organizacji przeprowadzających ocenę (Evaluation Facilities) w ramach schematu b) Monitorowanie działań organizacji akredytowanych (ITSEF), zwłaszcza zgodności ich działań z kryteriami oceny i metodyką oceny c) Dostarczenie, przestrzeganie i sprawdzanie przestrzegania procedur, które zapewniają ochronę informacji wrażliwych w ramach procesów oceny d) Dostarczenie dodatkowych wskazówek dla ITSEF, jeżeli konieczne e) Monitorowanie bieżących procesów oceny w ramach schematu f) Sprawdzanie raportów z oceny w celu zapewnienia zgodności wniosków z dokumentacją oraz pod kątem prawidłowego zastosowania kryteriów i metod oceny g) Przygotowanie raportu (Certification/Validation Report) dla każdej oceny ukończonej w ramach schematu 34 17

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres