strona główna | aktualności | mapa serwisu | kontakt | bip | wystawa pamięci

• SKW
• Bezpieczeństwo teleinformatyczne
• BBT
• Akredytacja
• Certyfikacja wyrobów
• Urządzenia kryptograficzne
• Urządzenia IT
• Urządzenia ochrony elektromagnetycznej
• Wyznaczanie PZM
• Opłaty
• Lista certyfikowanych wyrobów
• Lista uznanych laboratoriów
• FAQ
• Publikacje
• Kontakt BBT

CERTYFIKACJA URZĄDZEŃ KRYPTOGRAFICZNYCH

Wydanie certyfikatu ochrony kryptograficznej poprzedzone jest procesem badań i certyfikacji prowadzonym przez służby ochrony państwa (art. 60 ust. 3 ustawy). Oceny dokonuje się w dwóch obszarach: ocena mechanizmów kryptograficznych oraz pozostałych, realizujących zabezpieczenia. Przyjęto, że urządzenia kryptograficzne są traktowane jako produkty informatyczne realizujące zabezpieczenia, dlatego w procesie oceny wykorzystywane są kryteria oceny zabezpieczeń ISO/IEC 15408 (Common Criteria) lub ITSEC.

BBT SKW zaleca przygotowywanie dokumentacji certyfikacyjnej wg Common Criteria. 

Proces badań i certyfikacji Typu urządzeń lub narzędzi kryptograficznych

1. Przesłanie za pismem przewodnim do Dyrektora BBT SKW wniosku CP-01.
2. Wniosek jest ważny 3 miesiące, w tym czasie wnioskodawca dostarcza dokumentację certyfikacyjną lub przynajmniej specyfikację zabezpieczeń (ang. Security Target) - wszystkie dokumenty w języku polskim - niezbędne do zaplanowania prezentacji produktu.

   Uwaga: zaleca się przekazanie dodatkowo dokumentacji w wersji elektronicznej w jednym z akceptowalnych formatów OpenDocument, .pdf lub .doc.

3. W ustalonym przez obie strony terminie odbywa się w BBT SKW prezentacja produktu. Podczas prezentacji BBT SKW powinna uzyskać informację związaną z następującymi zagadnieniami:
   1. racjonalność produktu: podstawowa funkcjonalność - do czego dedykowane jest dane rozwiązanie;
   2. zastosowane mechanizmy realizujące zabezpieczenia;
   3. zastosowana kryptografia symetryczna i asymetryczna (m.in. rodzaje algorytmów, sposoby ustalania kluczy kryptograficznych, sposób przechowywania kluczy kryptograficznych, nośniki kluczy, generacja);
   4. oprogramowanie układowe urządzenia (podstawowe informacje):
   • sposób implementacji;
   • opis oprogramowania układowego;
   • zabezpieczenie oprogramowania układowego przed odczytem i modyfikacją;
   • potwierdzenie autentyczności oprogramowania;
   • funkcje zabezpieczające poprawność pracy mechanizmów kryptograficznych.
   5. generowanie ciągów losowych (źródło ciągu, testy ciągów losowych i testy poprawności generatora);
   6. obudowa (prezentacja obudowy urządzenia, zabezpieczenia przed nieuprawnionym otwarciem, reakcje na próby penetracji i czynniki destabilizujące prace (np. temperatura, zasilanie);
   7. zastosowane technologie;
   8. oprogramowane dodatkowe (zewnętrzne aplikacje, stacje zarządzania, itp).
4. Po odbyciu prezentacji BBT SKW podejmuje decyzję o formalnym przyjęciu urządzenia i niezbędnej dokumentacji do procesu badań i certyfikacji oraz uzgadnia z wnioskodawcą terminy i orientacyjne koszty.
5. Akceptacja przez wnioskodawcę oferty i podpisanie porozumienia.
6. Analiza i ocena dokumentacji technicznej.
7. Badanie i ocena dostarczonych egzemplarzy danego typu urządzenia.
8. Ocena wyników badań przez JC SKW oraz wystawienie lub odmowa wystawienia Certyfikatu Typu.
9. Wystawienie rachunku za wykonanie czynności warunkujących wystawienie lub odmowę certyfikatu.
10. Wydanie certyfikatu Typu wnioskodawcy odbywa się po przedstawieniu przez wnioskodawcę potwierdzenia opłacenia rachunku.
11. Wpisanie urządzenia na listę produktów preferowanych.

Certyfikacja Zgodności

1. Procedura certyfikacji Zgodności definiowana jest każdorazowo podczas certyfikacji Typu.