ENISA rozpoczęła konsultacje dwóch programów certyfikacji cyberbezpieczeństwa – programu opartego na Common Criteria, mającego zastosowanie do produktów ICT, oraz programu certyfikacji usług chmurowych. To pierwsze programy opracowane na podstawie aktu o cyberbezpieczeństwie.

Akt o cyberbezpieczeństwie

Ponad rok temu – 27 czerwca 2019 r. – weszło w życie unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881[1], znane szerzej jako akt o cyberbezpieczeństwie. Z jednej strony jego rolą było wzmocnienie mandatu unijnej agencji ds. cyberbezpieczeństwa (ENISA), a z drugiej – ustanowienie europejskich ram certyfikacji produktów, usług i procesów ICT. Więcej o akcie o cyberbezpieczeństwie pisaliśmy już na blogu – tekst dostępny jest pod tym linkiem.

Wspomniane ramy certyfikacji ustanowione w akcie o cyberbezpieczeństwie mają być podstawą do opracowania i przyjęcia konkretnych programów certyfikacji dla poszczególnych produktów, usług i procesów. Warto przy tym wyraźnie podkreślić, że programy certyfikacji będą miały charakter unijny, co oznacza zwłaszcza, że zapewnią wdrożenie unijnych standardów certyfikacji i stworzenie jednolitych zasad uznawania, że dane produkty czy usługi spełniają ustalone wymogi. Tym samym ułatwią działanie dostawców produktów i usług ICT na wspólnym rynku.

W ostatnich miesiącach działania w zakresie certyfikacji zostały zintensyfikowane – ENISA poinformowała o postępach w pracach nad dwoma programami certyfikacji, tj.:

  • programie certyfikacji cyberbezpieczeństwa produktów ICT opartym na Common Criteria;
  • programie certyfikacji usług chmurowych.

EUCC Scheme

W zakresie pierwszego z programów certyfikacji ENISA opublikowała projekt, który podlegał konsultacjom do końca lipca (link). Program, zatytułowany EUCC scheme (Common Criteria based European candidate cybersecurity certification scheme), zajmuje się certyfikacją cyberbezpieczeństwa produktów ICT na podstawie Common Criteria, wspólnej metodologii oceny bezpieczeństwa informatycznego (Common Methodology for Information Technology Security Evaluation) oraz właściwych norm, odpowiednio: ISO/IEC 15408 i ISO/IEC 18045.

Program ten docelowo ma zastąpić obecnie obowiązujące porozumienie SOG-IS MRA, tj. – w uproszczeniu – umowę zawartą między organizacjami rządowymi w sprawie wspólnych kryteriów oceny bezpieczeństwa technologii informacyjnych (Mutual Recognition Agreement – MRA), zatwierdzoną przez Senior Official Group Information System Security (SOG-IS). Polska również uczestniczy w tej umowie – uczestnikiem porozumienia jest Naukowa i Akademicka Sieć Komputerowa (NASK).

Program ma być skierowany do różnego rodzaju produktów:

  • zarówno oprogramowania, jak i urządzeń;
  • zarówno produktów poświęconych bezpieczeństwu (np. zapory ogniowe, urządzenia szyfrujące, bramy, urządzenia do składania podpisu elektronicznego, środki identyfikacji, takie jak paszporty), jak i wszelkich produktów ICT zawierających funkcje bezpieczeństwa (tj. routerów, smartfonów, kart bankowych, urządzeń medycznych, tachografów do samochodów ciężarowych).

ENISA wskazuje, że beneficjentami programu będą:

  • producenci lub dostawcy, którzy chcą ocenić jakość bezpieczeństwa swoich produktów ICT w drodze certyfikacji przez stronę trzecią;
  • organy regulacyjne, które w swoich rozporządzeniach i dyrektywach chcą ustanowić wymogi w zakresie bezpieczeństwa i gwarancji dla produktów ICT;
  • użytkownicy końcowi, którzy pragną stosować się do przepisów lub uzyskać dowody bezpieczeństwa produktów ICT chroniących wrażliwe aktywa tych użytkowników.

Co ważne, program zakłada dwa poziomy zaufania: istotny i wysoki. Nie uwzględniono w nim poziomu podstawowego, który według aktu o cyberbezpieczeństwie zakładałby deklarację zgodności producenta w zakresie swoich produktów – potwierdzenie spełnienia przez nie wymogów bezpieczeństwa bez udziału strony trzeciej.

Projekt wprowadza również propozycje dotyczące monitorowania certyfikowanych produktów w celu zapewnienia nad nimi nadzoru. W tym zakresie użytkownicy końcowi powinni mieć możliwość zgłaszania podatności wykrytych w toku korzystania z takich produktów, a organy certyfikujące – możliwość żądania odpowiednich informacji dotyczących certyfikowanych produktów.

Co istotne, program certyfikacji nie będzie obowiązkowy, a dobrowolny – zgodnie z ogólną zasadą w tym zakresie przewidzianą przez akt o cyberbezpieczeństwie. W założeniu okres ważności certyfikatu ma wynosić 5 lat i będzie można go przedłużyć, jeśli produkt będzie spełniać stawiane mu wymagania. Ponadto w czasie trwania certyfikatu produkt może zostać wycofany, jeżeli po wykryciu nieprawidłowości nie zostanie on odpowiednio przystosowany.

Dalsze prace nad programami

Biorąc pod uwagę, że proces konsultacji projektu programu EUCC został zakończony, można spodziewać się podjęcia dalszych kroków w celu jego formalnego przyjęcia przez Komisję Europejską. Czas przyjęcia zależeć będzie z pewnością od liczby zgłoszonych sugestii i propozycji zmian.

Równocześnie warto śledzić inne prace dotyczące certyfikacji, równolegle prowadzone przez grupy robocze powołane przez ENISA, zwłaszcza program certyfikacji usług chmurowych. Prace w tym obszarze również są już na zaawansowanym etapie – w połowie lipca ENISA rozesłała do interesariuszy informację o założeniach certyfikacji cyberbezpieczeństwa usług chmurowych, nad którymi obecnie pracuje, oraz ankietę w tym przedmiocie. Założenia certyfikacji zostały obecnie określone dość ogólnie, a szczegóły znajdą się w projekcie programu, którego opublikowanie planowane jest na wrzesień br.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie).