Najwygodniejsza metoda potwierdzenia zgodności
- Transparentna, niezależna ocena bezpieczeństwa produktów IT to jedno z najważniejszych wyzwań, z jakimi mamy współcześnie do czynienia. Ten trend jest wyraźnie widoczny na poziomie światowym, wpisuje się w niego również nasz kraj – świadczą o tym choćby aktualne prace rządu nad projektem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa – powiedział Paweł Kostkiewicz, dyrektor ds. certyfikacji w NASK.
- Odpowiedzią na to wyzwanie są właśnie certyfikaty Common Criteria, wydane przez Jednostkę Certyfikującą NASK. Certyfikacja dla producentów to najwygodniejsza metoda potwierdzenia zgodności produktów IT z wymaganiami, a dla integratorów i nabywców — doskonałe narzędzie weryfikacji bezpieczeństwa łańcucha dostaw – dodaje.
Dwa produkty, które niedawno pomyślnie przeszły proces certyfikacji, to biocerti X (Asseco Data Systems, Xtension i Samsung) oraz SimplySign (Asseco Data Systems). NASK wręczył certyfikaty Common Criteria przedstawicielom ADS 21 maja w Warszawie. — Jesteśmy dumni, że biocertiX jest najprawdopodobniej pierwszym rozwiązaniem podpisu biometrycznego, który otrzymał certyfikat zgodności ze standardem Common Criteria. Wyróżnienie to potwierdza wysoki poziom bezpieczeństwa wspólnego rozwiązania Asseco, Xtension i Samsunga – powiedział Artur Miękina, dyrektor sprzedaży projektowej i rozwoju e-biznesu w Asseco Data Systems.
- Warto zaznaczyć, że certyfikat ten jest przyznawany po przejściu szczegółowych testów i rygorystycznego audytu przeprowadzanych przez akredytowane jednostki badawcze i certyfikujące. To złożony proces, który może trwać nawet kilka lat. Dzięki temu możliwe jest potwierdzenie bezpieczeństwa rozwiązań wspierających usługi o szczególnym znaczeniu dla procesów gospodarczych i publicznych – dodał.
BiocertiX to certyfikowany podpis biometryczny, który umożliwia własnoręczne podpisywanie dokumentów, umów, protokołów i oświadczeń w formacie PDF za pomocą rysika na ekranie tabletu. Dokumenty podpisane w ten sposób zachowują pełną moc prawną. BiocertiX wykorzystuje oprogramowanie Xtension oraz tablet Samsunga.
Z kolei SimplySign to kwalifikowany podpis elektroniczny dostępny w aplikacji mobilnej. Umożliwia bezpieczne podpisywanie dokumentów elektronicznych w dowolnym miejscu i czasie, niezależnie od używanego urządzenia – telefonu, tabletu czy komputera.
Dyrektor Paweł Kostkiewicz z NASK podkreśla korzyści płynące z tworzenia produktów zgodnie z ideą „security by design”, jak miało to miejsce w przypadku obu produktów ADS. Ta idea polega na implementacji bezpieczeństwa już na etapie koncepcji, projektowania i wytwarzania produktu. Uwzględnienie wymagań certyfikacyjnych w zakresie bezpieczeństwa na tych etapach sprawia, że późniejszy proces certyfikacji jest szybszy i tańszy.
Produkt certyfikowany przez NASK – co to oznacza?
Common Criteria (CC) to międzynarodowy standard oceny bezpieczeństwa produktów i systemów IT, dostępny jako norma PN-EN ISO/IEC 15408. Certyfikaty CC są uznawane w 32 krajach, w tym m.in. w Stanach Zjednoczonych, Japonii, Korei Południowej i większości państw europejskich. NATO również stosuje certyfikaty CC w swoich procedurach.
W Polsce jedynie Jednostka Certyfikująca NASK ma uprawnienia do przyznawania certyfikatów Common Criteria w obszarze cyberbezpieczeństwa. Certyfikacja oznacza, że produkt przeszedł rygorystyczny proces oceny przeprowadzony przez autoryzowane laboratorium pod nadzorem NASK.
W praktyce oznacza to, że funkcje bezpieczeństwa produktu zostały dokładnie przetestowane i potwierdzone. Produkt przeszedł szczegółowe badania w zakresie podatności na zagrożenia oraz testy penetracyjne. Proces tworzenia produktu został oceniony pod kątem bezpieczeństwa, a wymagania standardu CC w zakresie dostarczania i uruchamiania produktu zostały spełnione.
W wielu krajach certyfikat CC jest potwierdzeniem spełnienia wymagań specyfikacji zamówień dla przemysłu i administracji publicznej. Posiadanie tego certyfikatu daje produktom przewagę konkurencyjną na rynku.
