Ovom inicijativom uspostavit će se Europska shema certifikacije kibernetičke sigurnosti (EUCC) na temelju zajedničkih kriterija te će se uvesti skup sigurnosnih zahtjeva za ICT sigurnosne proizvode (npr. firewalls, uređaje za šifriranje, uređaje za elektronički potpis) i ICT proizvode s ugrađenom sigurnosnom funkcijom (tj. ruteri, pametni telefoni, bankovne kartice).
Što se propisuje?
Ovom Uredbom utvrđuju se uloge, pravila i obveze, kao i struktura europske sheme certificiranja kibernetičke sigurnosti (EUCC) koja se temelji na zajedničkim kriterijima u skladu s europskim okvirom certificiranja kibernetičke sigurnosti utvrđenim u Uredbi (EU) 2019/881.
Ova se Uredba primjenjuje na sve proizvode informacijskih i komunikacijskih tehnologija („ICT”), uključujući njihovu dokumentaciju, koji se podnose na certifikaciju prema EUCC-u, te na sve zaštitne profile koji se podnose na certifikaciju kao dio ICT procesa koji vodi do certifikacije tih ICT proizvoda.
Shema bi se trebala temeljiti na utvrđenim međunarodnim standardima. Zajednički kriteriji za procjenu sigurnosti informacijske tehnologije (ISO 15408) međunarodni su standard za ocjenu računalne sigurnosti. Temelji se na evaluaciji treće strane i predviđa sedam razina osiguranja evaluacije ('EAL'). Zajednički kriteriji popraćeni su Zajedničkom metodologijom za ocjenu sigurnosti informacijske tehnologije.
EUCC koristi kriterije za procjenu ranjivosti (AVA_VAN), komponente 1 do 5. Pet komponenti pružaju sve glavne odrednice i ovisnosti za analizu ranjivosti ICT proizvoda. Budući da komponente odgovaraju razinama jamstva u ovoj Uredbi, one omogućuju izbor jamstva temeljen na informacijama, na temelju provedenih procjena sigurnosnih zahtjeva i rizika povezanog s namjeravanom upotrebom ICT proizvoda. Podnositelj zahtjeva za EUCC certifikat treba dostaviti dokumentaciju koja se odnosi na namjeravanu upotrebu ICT proizvoda i analizu razina rizika povezanih s takvim korištenjem kako bi se tijelu za ocjenu sukladnosti omogućilo da ocijeni prikladnost odabrane razine osiguranja. Samoocjenjivanje sukladnosti u smislu članka 53. Uredbe (EU) 2019/881 nije dopušteno.
Tehnička domena je referentni okvir koji pokriva skupinu ICT proizvoda koji imaju specifične i slične sigurnosne funkcije koje ublažavaju napade kada su karakteristike zajedničke danoj razini osiguranja.
Prva tehnička domena je Pametne kartice i slični uređaji", gdje značajni dijelovi potrebne sigurnosne funkcionalnosti ovise o specifičnim, prilagođeni i često odvojivi hardverski elementi (npr. hardver pametne kartice, integrirani krugovi, kompozitni proizvodi pametne kartice, Trusted Platform Modules koji se koriste u Trusted Computingu ili digitalne tahografske kartice). Druga tehnička domena su "Hardverski uređaji sa sigurnosnim kutijama", gdje značajni dijelovi potrebnih sigurnosnih funkcija ovise o kućištu hardvera (naziva se "Sigurnosna kutija") koja je dizajnirana da se odupre izravnim napadima, npr. terminali za plaćanje, tahograf jedinice u vozilu, pametna brojila, terminali za kontrolu pristupa i hardverski sigurnosni moduli).
Prilikom podnošenja zahtjeva za certifikaciju, podnositelj zahtjeva trebao bi svoje obrazloženje za odabir razine jamstva povezati s ciljevima utvrđenima u članku 51. Uredbe (EU) 2019/881 te s odabirom komponenti iz kataloga sigurnosnih funkcionalnih zahtjeva i zahtjevi za osiguranje sigurnosti sadržani u Zajedničkim kriterijima.
Sigurnosni problem i sigurnosni zahtjevi mogu se također izraziti u zaštitnom profilu, kao dijelu ICT procesa koji podržava razvoj i isporuku certificiranog ICT proizvoda. Zaštitni profili ključni su elementi u evaluaciji zajedničkih kriterija budući da postavljaju sigurnosne zahtjeve za određene kategorije ICT proizvoda.
Određeni zaštitni profil koristi se kao referentna vrijednost za buduće sigurnosne ciljeve koji potpadaju pod danu kategoriju ICT proizvoda kojima se bavi taj zaštitni profil.
Oni pojednostavljuju i poboljšavaju učinkovitost procesa certificiranja ICT proizvoda i pomažu korisnicima da točno i učinkovito specificiraju funkcionalnost ICT proizvoda. Zaštitne profile stoga treba smatrati sastavnim dijelom ICT procesa koji vodi do certificiranja ICT proizvoda.
Zaštitne profile treba ocjenjivati i certificirati isključivo primjenom Zajedničkih kriterija i Zajedničke metodologije ocjenjivanja klase osiguranja za zaštitne profile (APE). Zbog njihove važne i osjetljive uloge kao mjerila u certificiranju ICT proizvoda, trebali bi ih certificirati samo javna tijela ili certifikacijska tijela koja su prethodno dobila odobrenje nacionalnog tijela za certifikaciju kibernetičke sigurnosti za certifikaciju određenog zaštitnog profila. Zaštitni profil trebao bi se koristiti samo u procesu certifikacije ICT proizvoda gdje se objavljuje kao dokument o stanju tehnike, uključujući u vezi s tehničkim domenama, za tu kategoriju ICT proizvoda.
Oznake i naljepnice koje se koriste prema EUCC-u imaju za cilj vidljivo prikazati pouzdanost certificiranog ICT proizvoda korisnicima i omogućiti im da naprave informirani izbor pri kupnji ICT proizvoda. Korištenje oznaka i naljepnica također treba podlijegati pravilima i uvjetima navedenim u ISO/IEC 17065 i, gdje je primjenjivo, ISO/IEC 17030 s primjenjivim smjernicama. Trajanje valjanosti certifikata ne bi trebalo biti duže od pet godina i trebalo bi biti usklađeno s praksom u drugim državama članicama u vezi s tim ICT proizvodom.
Certificiranje zaštitnih profila razlikuje se od onog za ICT proizvode jer se odnosi na ICT proces. Budući da zaštitni profil pokriva kategoriju ICT proizvoda, njegova evaluacija i certifikacija ne može se provesti na temelju jednog ICT proizvoda. Kao zaštitni profil objedinjuje opće sigurnosne zahtjeve u pogledu kategorije ICT proizvodi i neovisno o manifestaciji ICT proizvoda od strane njegovog prodavača, razdoblje valjanosti EUCC certifikata za zaštitni profil trebalo bi, u načelu, pokrivati najmanje pet godina i može se produžiti na životni vijek zaštitnog profila.
Tijelo za ocjenu sukladnosti definirano je kao tijelo koje obavlja poslove ocjenjivanja sukladnosti uključujući kalibriranje, ispitivanje, certificiranje i inspekciju. Međutim, kako bi se osigurala visoka kvaliteta usluga, ova Uredba navodi da aktivnosti kalibracije i testiranja trebaju provoditi odvojeni subjekti, naime IT Security Evaluation Facilities ('ITSEF') s jedne strane, i certifikacijska tijela za certifikaciju i inspekciju aktivnosti s druge strane. Obje vrste tijela za ocjenu sukladnosti trebaju biti akreditirane i, u određenim situacijama, ovlaštene.
Nacionalno tijelo za certificiranje kibernetičke sigurnosti trebalo bi pratiti usklađenost certifikacijskih tijela, ITSEF-a i nositelja certifikata s njihovim obvezama koje proizlaze iz ove Uredbe i Uredbe (EU) 2019/881. Nacionalno tijelo za certifikaciju kibernetičke sigurnosti trebalo bi koristiti sve odgovarajuće izvore informacija u tu svrhu, uključujući informacije dobivene od sudionika procesa certificiranja i vlastite istrage. Certifikacijska tijela trebaju surađivati s relevantnim tijelima za nadzor tržišta i uzeti u obzir sve informacije o ranjivosti koje bi mogle biti relevantne za ICT proizvode za koje su izdali certifikate. Certifikacijska tijela trebaju nadzirati certificirane profile zaštite kako bi utvrdila odražavaju li sigurnosni zahtjevi postavljeni za kategoriju ICT proizvoda i dalje najnovija kretanja u prijetnjama.
Što dalje slijedi možete pratiti u našim sljedećim blogovima ili nas kontaktirajte.
