Certyfikacja wyrobów przeznaczonych do ochrony informacji niejawnych
Informacje ogólne
Zgodnie z art. 50 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. z 2019 r. poz. 742) SKW realizuje następujące procesy certyfikacji wyrobów przeznaczonych do ochrony informacji niejawnych:
- certyfikacja urządzeń i narzędzi kryptograficznych;
- certyfikacja środków ochrony elektromagnetycznej;
- certyfikacja urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego.
Proces certyfikacji ma na celu potwierdzenie zdolności wyrobu do ochrony informacji niejawnych i obejmuje badania i ocenę bezpieczeństwa.
W przypadku pozytywnych wyników badań i oceny bezpieczeństwa wydawany jest certyfikat, odpowiednio:
- Certyfikat Ochrony Kryptograficznej – dla urządzeń i narzędzi kryptograficznych;
- Certyfikat Ochrony Elektromagnetycznej – dla środków ochrony elektromagnetycznej;
- Certyfikat Bezpieczeństwa Teleinformatycznego – dla urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego.
Certyfikacje wyrobów realizowane są przez SKW:
- z pominięciem właściwości ustawowej;
- na dobrowolny wniosek podmiotu zainteresowanego uzyskaniem właściwego certyfikatu:
- w postaci procesów: certyfikacji typu i certyfikacji zgodności.
Proces certyfikacji w SKW:
- składa się z fazy przygotowawczej, fazy zasadniczej oraz fazy nadzoru (okres po wydaniu certyfikatu);
- prowadzony jest do momentu:
- wycofania wniosku przez wnioskodawcę;
- odmowy wydania certyfikatu przez SKW;
- upływu terminu ważności wydanego przez SKW certyfikatu;
- wycofania wyrobu z użytkowania.
W przypadku realizacji procesu certyfikacji na wniosek podmiotu niebędącego jednostką budżetową, konieczne jest zawarcie pisemnego porozumienia pomiędzy SKW a wnioskodawcą, określającego wzajemne obowiązki, terminy oraz przewidywane koszty certyfikacji.
Opłaty
Za przeprowadzenie badań i oceny bezpieczeństwa w ramach certyfikacji oraz wydanie certyfikatu pobierane są opłaty, naliczane zgodnie z Rozporządzeniem Prezesa Rady Ministrów z dnia 9 lipca 2020 r. w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U. poz. 1236). Z ww. opłat zwolnione są jednostki organizacyjne będące jednostkami budżetowymi.
Badania w laboratoriach podmiotów zewnętrznych
Badania w ramach certyfikacji wykonywane są w laboratorium SKW oraz w laboratoriach uznanych przez SKW (tj. laboratoriach spełniających warunki do przeprowadzania badań wyrobów w trybie art. 50 ust. 6 ustawy o ochronie informacji niejawnych).
Realizacja badań w ramach certyfikacji w laboratorium uznanym jest możliwa tylko na zlecenie SKW. Przy wyborze laboratorium, SKW uwzględnia następujące czynniki:
- zakres uznania laboratorium odpowiadający wymaganym badaniom;
- ograniczenia w dostępie do rozwiązań konstrukcyjnych certyfikowanego wyrobu;
- preferencje wnioskodawcy (określane na etapie składania wniosku).
Wszelkie sprawy związane z rozliczeniami finansowymi badań zlecanych przez SKW laboratoriom uznanym, prowadzącym działalność na zasadach komercyjnych, realizowane są bezpośrednio pomiędzy wnioskodawcą a podmiotem zewnętrznym, w ramach którego działa laboratorium.
Zasady, warunki i zakres uznawania przez SKW laboratoriów podmiotów zewnętrznych określone są w dokumencie ZIBT-950B.
Certyfikacja typu i certyfikacja zgodności
Przedmiotem certyfikacji typu są rozwiązania konstrukcyjne i programowe zastosowane w określonej konfiguracji wyrobu oraz środowisko rozwojowe i produkcji tego wyrobu.
Certyfikacji typu obowiązkowo podlegają urządzenia i narzędzia kryptograficzne oraz urządzenia i narzędzia służące do realizacji zabezpieczenia teleinformatycznego.
Certyfikacja typu środków ochrony elektromagnetycznej jest opcjonalna (wg decyzji wnioskodawcy).
Certyfikat typu nie uprawnia do wykorzystania danego egzemplarza wyrobu do przetwarzania informacji niejawnych. Wykorzystanie danego egzemplarza wyrobu do przetwarzania informacji niejawnych jest możliwe tylko w przypadku posiadania przez niego ważnego certyfikatu zgodności i zgodnie z warunkami zawartymi tym certyfikacie. Wyjątek stanowią wyroby, dla których SKW nie prowadzi certyfikacji zgodności.
Przedmiotem certyfikacji zgodności jest konkretny egzemplarz wyrobu w celu potwierdzenia czy jest on wykonany zgodnie z dokumentacją wyrobu posiadającego certyfikat typu lub spełnia określone wymagania (w szczególności w zakresie ochrony elektromagnetycznej).
Certyfikacji zgodności nie podlegają:
- wyroby przeznaczone do ochrony informacji niejawnych o klauzuli „zastrzeżone”;
- wyroby w postaci oprogramowania.
Ponadto, dla wybranych urządzeń i narzędzi służących do realizacji zabezpieczenia teleinformatycznego, niewymagających badań w zakresie ochrony elektromagnetycznej, SKW może odstąpić od obowiązku przeprowadzenia certyfikacji zgodności.
Informacja o konieczności certyfikacji zgodności danego typu wyrobu zawarta jest w certyfikacie typu lub zakresie certyfikatu typu (załączniku do certyfikatu typu).
W przypadku certyfikatów zgodności, w szczególności wystawianych na czas nieokreślony, jednym z warunków certyfikatu może być konieczność przeprowadzania okresowych badań kontrolnych potwierdzających utrzymanie przez wyrób wymaganych parametrów bezpieczeństwa.
W przypadku gdy upłynął termin ważności certyfikatu typu:
- egzemplarze wyrobów, które podlegały certyfikacji zgodności z tym typem mogą być wykorzystywane do ochrony informacji niejawnych zgodnie z warunkami (w szczególności terminem ważności) określonymi w certyfikacie zgodności wydanym dla danego egzemplarza wyrobu;
- nie ma możliwości zgłoszenia do certyfikacji zgodności z typem nowych egzemplarzy wyrobu.
Szczegółowe zasady certyfikacji w SKW określone są w dokumencie ZBT-402A.