Biuletyn Informacji Publicznej Certyfikacja wyrobów przeznaczonych do ochrony informacji niejawnych - Służba Kontrwywiadu Wojskowego

Służba Kontrwywiadu Wojskowego
Ostatnia aktualizacja strony: 20.11.2017, 11:13

Certyfikacja wyrobów przeznaczonych do ochrony informacji niejawnych

Środa, 14 października 2015

Certyfikacja wyrobów przeznaczonych do ochrony informacji niejawnych

Zgodnie z art. 50 ustawy z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych (Dz.U. Nr182, poz. 1228 z późn. zm.) SKW realizuje następujące procesy certyfikacji wyrobów przeznaczonych do ochrony informacji niejawnych:

  • certyfikacja środków ochrony elektromagnetycznej,
  • certyfikacja urządzeń i narzędzi kryptograficznych,
  • certyfikacja urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego.

Proces certyfikacji obejmuje badania i ocenę bezpieczeństwa.

W przypadku pozytywnych wyników badań i oceny wydawany jest certyfikat, odpowiednio:

  • Certyfikat Ochrony Kryptograficznej - dla środków i narzędzi kryptograficznych;
  • Certyfikat Ochrony Elektromagnetycznej - dla środków ochrony elektromagnetycznej;
  • Certyfikat Bezpieczeństwa Teleinformatycznego - dla urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego.

Certyfikacje wyrobów realizowane są przez SKW:

  • z pominięciem właściwości ustawowej,
  • na pisemny, dobrowolny wniosek podmiotu zainteresowanego uzyskaniem właściwego certyfikatu,
  • w postaci procesów: certyfikacji typu i certyfikacji zgodności.

Certyfikacja TYPU ma na celu potwierdzenie (poprzez wydanie certyfikatu typu), że rozwiązania (konstrukcyjne, programowe itp.) przyjęte w danym typie wyrobu oraz środowisko rozwojowe i produkcji są właściwe i umożliwiają produkcję danego typu wyrobu przeznaczonego do ochrony informacji niejawnych.

Certyfikacja Zgodności ma na celu potwierdzenie (poprzez wydanie certyfikatu zgodności), że dany egzemplarz wyrobu jest wykonany zgodnie z dokumentacją wyrobu posiadającego Certyfikat Typu i/lub spełnia określone wymagania (w szczególności w zakresie ochrony elektromagnetycznej) przez co może być wykorzystany do bezpiecznego przetwarzania informacji niejawnych.

Certyfikat Typu nie uprawnia do wykorzystania danego egzemplarza wyrobu do przetwarzania informacji niejawnych. Wykorzystanie danego egzemplarza wyrobu do przetwarzania informacji niejawnych jest możliwe tylko w przypadku posiadania przez niego ważnego certyfikatu zgodności i zgodnie z warunkami zawartymi tym certyfikacie.

Wyjątek stanowią wyroby (np. wyroby w postaci oprogramowania) dla których SKW nie prowadzi certyfikacji zgodności. Informacja o konieczności certyfikacji zgodności danego typu wyrobu zawarta jest w Certyfikacie Typu lub Zakresie Certyfikatu Typu (załączniku do certyfikatu typu).

Za przeprowadzenie badań i oceny bezpieczeństwa w ramach certyfikacji oraz wydanie certyfikatu pobierane są opłaty, naliczane zgodnie z uregulowaniami Rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U. Nr 159, poz. 949). Z ww. opłat zwolnione są jednostki organizacyjne będące jednostkami budżetowymi.

Zasady i tryb certyfikacji w SKW określone są w Zarządzeniu nr 54/14 Szefa SKW z dnia 8 października 2014 r.

Procedura certyfikacji typu

Procedura certyfikacji typu składa się z następujących etapów:

  • Przesłanie przez Wnioskodawcę wniosku, wraz z kompletem załączników określonych we wniosku, odpowiednio:

CP-01 – dla urządzeń i narzędzi kryptograficznych
CP-02 – dla środków ochrony elektromagnetycznej,
CP-03 – dla urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego.

wraz z kompletem załączników określonych we wniosku.

  • Ocena formalna wniosku - w przypadku, gdy wniosek jest niekompletny przesyłana jest do Wnioskodawcy informacja o konieczności jego uzupełnienia w terminie 1 miesiąca.
  • Prezentacja wyrobu przez Wnioskodawcę.
  • Ocena merytoryczna wniosku i dokumentacji celem ustalenia zasadności i zdolności do poddania go certyfikacji oraz określenia kolejności jego realizacji.
  • Podjęcie decyzji o formalnym przyjęciu wyrobu do certyfikacji lub w przypadku negatywnej oceny wniosku odmowa przeprowadzenia procesu certyfikacji.
  • Podpisanie porozumienia pomiędzy Wnioskodawcą a SKW, określającego zobowiązania stron, w tym m.in. warunki, zakładane terminy i koszty certyfikacji (obejmujące wykonanie badań i oceny oraz wystawienie certyfikatu typu).
  • Dostarczenie do SKW min. trzech egzemplarzy danego typu wyrobu.
  • Badanie i ocena bezpieczeństwa wyrobu.
  • Wystawienie lub odmowa wystawienia przez SKW certyfikatu typu.
  • Wystawienie przez SKW rachunku za wykonane czynności i wydanie certyfikatu – tylko w przypadku gdy wnioskodawca nie jest jednostką budżetową.
  • Przesłanie Wnioskodawcy (po opłaceniu rachunku) certyfikatu typu i wpisanie danego typu wyrobu na listę wyrobów certyfikowanych przez SKW.

W przypadku urządzeń i narzędzi kryptograficznych oraz urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego, badania i ocena bezpieczeństwa prowadzone są w oparciu o kryteria oceny zabezpieczeń zawarte w normie ISO/IEC 15408 (znana też jako Common Criteria) lub standardzie ITSEC (Information Technology Security Evaluation Criteria), przy uwzględnieniu wydanych przez SKW zaleceń z zakresu bezpieczeństwa teleinformatycznego. SKW zaleca przygotowywanie dokumentacji certyfikacyjnej w oparciu o wymagania dla konstruktora zawarte w normie ISO/IEC 15408.

W przypadku środków ochrony elektromagnetycznej badania i ocena bezpieczeństwa prowadzone są w oparciu o zalecenia SKW z zakresu ochrony elektromagnetycznej.

Procedura certyfikacji zgodności

  • Przesłanie przez Wnioskodawcę wniosku, wraz z kompletem załączników określonych we wniosku, odpowiednio

CP-01 – dla urządzeń i narzędzi kryptograficznych,
CP-02 – dla środków ochrony elektromagnetycz,
CP-02 – dla środków ochrony elektromagnetycz,

wraz z kompletem załączników określonych we wniosku.

  • Ocena formalna wniosku - w przypadku, gdy wniosek jest niekompletny przesyłana jest do Wnioskodawcy informacja o konieczności jego uzupełnienia w terminie 1 miesiąca.
  • Ocena merytoryczna wniosku i dokumentacji celem ustalenia zasadności i zdolności do poddania go certyfikacji oraz określenia kolejności jego realizacji.
  • Podjęcie decyzji o formalnym przyjęciu wyrobu do certyfikacji lub w przypadku negatywnej oceny wniosku odmowa przeprowadzenia procesu certyfikacji.
  • Podpisanie porozumienia pomiędzy Wnioskodawcą a SKW, określającego zobowiązania stron, w tym m.in. warunki, zakładane terminy i koszty certyfikacji (obejmujące wykonanie badań i oceny oraz wystawienie certyfikatu zgodności) – tylko w przypadku gdy Wnioskodawca nie jest jednostką budżetową.
  • Dostarczenie do SKW wszystkich egzemplarzy wyrobu zgłoszonych do certyfikacji.
  • Badanie i ocena bezpieczeństwa wyrobu.
  • Wystawienie lub odmowa wystawienia przez SKW certyfikatu zgodności.
  • Wystawienie przez SKW rachunku za wykonane czynności i wydanie certyfikatu – tylko w przypadku gdy Wnioskodawca nie jest jednostką budżetową.
  • Przesłanie Wnioskodawcy (po opłaceniu rachunku) certyfikatu zgodności.

Certyfikacja zgodności urządzeń i narzędzi kryptograficznych oraz urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego jest realizowana tylko dla wyrobów, które posiadają wydany przez SKW ważny Certyfikat Typu. Zakres badań tych wyrobów określany jest na etapie certyfikacji typu i obejmuje w szczególności:

  • potwierdzenie zgodności wyrobów dostarczonych do SKW do certyfikacji z wyrobem posiadającym wydany przez SKW Certyfikat Typu;
  • potwierdzenie spełnienia przez konkretny egzemplarz wyrobu wymagań z zakresu ochrony elektromagnetycznej (w przypadku gdy dany typ wyrobu realizuje zabezpieczenia przed emisją elektromagnetyczną).

W uzasadnionych przypadkach (np. wyrób w postaci oprogramowania) certyfikacja zgodności urządzeń i narzędzi kryptograficznych oraz urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego, posiadających wydany przez SKW ważny Certyfikat Typu, nie jest realizowana. Informacja o konieczności certyfikacji zgodności danego typu wyrobu zawarta jest w Certyfikacie Typu lub Zakresie Certyfikatu Typu (załączniku do certyfikatu).

W przypadku środków ochrony elektromagnetycznej SKW realizuje certyfikację zgodności dla każdego egzemplarza wyrobu.

Jeśli środek ochrony elektromagnetycznej posiada certyfikat typu, to zakres badań w ramach certyfikacji zgodności określany jest na etapie certyfikacji typu i obejmuje w szczególności:

  • potwierdzenie zgodności wyrobów dostarczonych do SKW do certyfikacji z wyrobem posiadającym wydany przez SKW Certyfikat Typu;
  • potwierdzenie spełnienia przez konkretny egzemplarz wyrobu wymagań z zakresu ochrony elektromagnetycznej.

Jeśli środek ochrony elektromagnetycznej nie posiada certyfikatu typu, to zakres badań w ramach certyfikacji zgodności obejmuje pełne badanie spełnienia wymagań z zakresu ochrony elektromagnetycznej, właściwe dla danego rodzaju środka ochrony elektromagnetycznej.

Załączniki do strony

pdf   Zarządzenie nr 54/14 Szefa SKW z dnia 8 października 2014 r. w sprawie certyfikacji urządzeń i narzędzi oraz środków przeznaczonych do ochrony informacji niejawnych
pdf   ZIBT-950A - Zalecenia Służby Kontrwywiadu Wojskowego w zakresie zasad, warunków i zakresu uznawania oraz sprawowania nadzoru nad laboratoriami realizującymi badania środków ochrony elektromagnetycznej
pdf   Lista wyrobów certyfikowanych przez SKW (w zakresie typu). Wydanie z dnia 27 października 2017 r.
pdf   Wykaz laboratoriów badawczych, których kompetencje do wykonywania badań zlecanych w trybie art. 50 ust. 6 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) są uznawane przez SKW. Wydanie z dnia 23 grudnia 2015 r.
pdf doc CP-01 Wniosek o przeprowadzenie badań i oceny bezpieczeństwa w ramach certyfikacji urządzenia lub narzędzia kryptograficznego
pdf doc CP-02 Wniosek o przeprowadzenie badań i oceny bezpieczeństwa w ramach certyfikacji środka ochrony elektromagnetycznej
pdf doc CP-03 Wniosek o przeprowadzenie badań i oceny bezpieczeństwa w ramach certyfikacji urządzenia lub narzędzia realizującego zabezpieczenia teleinformatyczne

Metadane

Data publikacji 14.10.2015
Data modyfikacji 08.11.2017
Podmiot udostępniający informację:
Służba Kontrwywiadu Wojskowego
Osoba wytwarzająca/odpowiadająca za informację:
Administrator SKW
Osoba udostępniająca informację:
Administrator SKW
Osoba modyfikująca informację:
Administrator SKW
©1999-2017 Służba Kontrwywiadu Wojskowego. Zintegrowany System Biuletynów Informacji Publicznej BIP-E.PL