1. Certifikácia produktu
Národný bezpečnostný úrad ako ústredný orgánom štátnej správy pre elektronický podpis v zmysle § 24 ods. 7 zákona NR SR č. 215/2002 Z.z. o elektronickom podpise a zmene a doplnení ďalších zákonov v znení neskorších predpisov (ďalej len „zákon“) certifikuje produkty pre elektronický podpis, najmä bezpečné zariadenia na vyhotovovanie elektronického podpisu a bezpečné zariadenia na vyhotovovanie časových pečiatok.
Certifikáciou produktu pre elektronický podpis sa rozumie posúdenie súladu technických zariadení a procedúr na vyhotovovanie a overovanie zaručených elektronických podpisov, časových pečiatok a iných produktov pre elektronický podpis s bezpečnostnými požiadavkami stanovenými právnymi predpismi Slovenskej republiky, štandardami a smernicami Národného bezpečnostného úradu a medzinárodnými normami a štandardmi.
Účastnícke strany zahrnuté do certifikačného procesu:
- žiadateľ o certifikáciu, subjekt, ktorý žiada certifikačný úrad o vykonanie posúdenia súladu produktu a následné udelenie certifikátu,
- certifikačný úrad (Národný bezpečnostný úrad),
- tretia strana (napr. audítor, ak je do procesu certifikácie zahrnutý nezávislý audit, certifikát nezávislého skúšobného laboratória).
Certifikáciu produktov na vyhotovovanie zaručeného elektronických podpisu (ďalej len „ZEP"), časovej pečiatky, ako aj iných produktov pre elektronický podpis vykonáva v zmysle § 24 ods. 7 zákona úrad na základe žiadosti o certifikáciu pre ZEP (rtf, 161.6 kB).
2. Žiadosť o certifikáciu produktu musí obsahovať:
2.1. identifikačné údaje žiadateľa,
2.2. výpis z obchodného registra, nie starší ako 3 mesiace (resp. živnostenský list),
2.3. názov produktu,
2.4. verziu produktu,
2.5. určenie produktu,
2.6. názov hlavného producenta produktu,
2.7. technickú dokumentáciu produktu, obsahujúcu najmä:
- návod na obsluhu,
- všeobecný popis produktu,
- popis základnej funkcionality produktu,
- popis základných vlastností produktu,
- prevádzkové platformy produktu,
- podporované štandardy, normy a protokoly,
- zoznam, parametre a vlastnosti kryptografických funkcií,
- formulár vlastností aplikácie pre ZEP (rtf, 185.4 kB), ak certifikovaným produktom je aplikácia,
2.8. bezpečnostné certifikáty produktu alebo záverečnú správu bezpečnostného auditu,
- certifikáty kompatibility produktu,
2.9. referencie nasadenia produktu,
2.10. opis technickej podpory produktu,
2.11. záručné podmienky produktu (najmä doba, rozsah a podmienky záruky).
Odporúčané obsahové naplnenie jednotlivých príloh žiadosti o certifikáciu produktu pre ZEP, resp. žiadosti o predĺženie platnosti certifikátu produktu pre ZEP je uvedené v nasledujúcom komentári (pdf, 27.1 kB).
K žiadosti je nutné pripojiť samotný produkt s podporným SW, o ktorého certifikáciu žiadateľ žiada. Prílohy môžu byť dodané v papierovej alebo elektronickej forme. V prípade dodania príloh v elektronickej forme musia byť súbory v schválených formátoch (napríklad .pdf, .rtf) a musí byť k nim dodaný a podpísaný sprievodný list s hash odtlačkami (SHA1 alebo vyššie hash algoritmy) jednotlivých súborov. Všetky dokumentácie musia byť v slovenskom jazyku alebo k nim musí byť pripojený úradne overený preklad do slovenského jazyka (s výnimkou dokumentácie v českom jazyku).
V zmysle § 24 ods. 15 zákona podanie žiadosti o uznanie zhody s požiadavkami zákona a podanie žiadosti o predĺženie platnosti certifikátu produktu pre zaručený elektronický podpis podlieha správnemu poplatku. Výška poplatku je stanovená zákonom Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov. Uvedený poplatok v stanovenej výške je potrebné zaplatiť pri podaní žiadosti.
3. Posúdenie žiadosti
Úrad formálne preverí doručenú žiadosť o certifikáciu z hľadiska náležitosti podľa bodu (2). V prípade, že žiadosť uvedené náležitosti spĺňa, potvrdí príjem žiadosti žiadateľovi a postúpi ju sekcii informačnej bezpečnosti a elektronického podpisu (ďalej len „SIBEP"), ktorá vykonáva proces certifikácie.
SIBEP posúdi obsah a úplnosť žiadosti, jej zhodnosť s požadovaným produktom certifikácie, stanoví plán certifikácie a rozhodne o začatí procesu certifikácie. Žiadosť sa považuje za úplnú, ak obsahuje všetky zákonom požadované náležitosti v zmysle § 24 ods. 11. Ak žiadosť nie je úplná, úrad vyzve žiadateľa aby ju najneskôr do 15 pracovných dní doplnil. Ak žiadateľ žiadosť v tomto termíne nedoplní úrad konanie v zmysle zákona zastaví.
Nakoľko certifikačný úrad nemá akreditované skúšobné laboratórium, pre potreby certifikácie je potrebné predložiť bezpečnostné certifikáty od laboratórií alebo atestačných stredísk úradom uznaných inštitúcií alebo uistenie tretej strany (dodaním záverečnej správy bezpečnostného auditu - odborného posudku), vyhotovené nezávislým audítorom s výrokom o splnení bezpečnostných požiadaviek. Úrad je oprávnený požadovať od žiadateľa predloženie vykonaného bezpečnostného auditu v zmysle § 24 ods. 13. Zoznam vybraných laboratórií a inštitúcií je uvedený v bode 10. Náklady spojené s preskúmaním zhody produktu pre ZEP v akreditovanom skúšobnom laboratóriu a na bezpečnostný audit hradí žiadateľ.
4. Doplnenie žiadosti
Ak žiadosť o certifikáciu nespĺňa všetky požiadavky podľa bodu 2. alebo má iný nedostatok, prípadne pri procese certifikácie vznikne nutnosť doplniť niektoré údaje, úrad písomne vyzve žiadateľa o doplnenie požadovaných údajov alebo odstránenie nedostatkov do 15 pracovných dní. Ak žiadateľ žiadosť v tomto termíne nedoplní úrad konanie v zmysle zákona zastaví.
5. Zrušenie žiadosti
Žiadosť o certifikáciu bude zrušená, ak:
5.1. o jej zrušenie písomne požiada žiadateľ,
5.2. predložená dokumentácia (alebo produkt) je nevyhovujúca alebo neúplná a žiadateľ ju do stanoveného termínu neupraví alebo nedoplní,
5.3. žiadateľ nezaplatí správny poplatok.
Pri opätovnom záujme o certifikáciu je žiadateľ povinný absolvovať všetky náležitosti a postupy súvisiace s procesom certifikácie.
6. Proces certifikácie
Plán certifikácie sa zostavuje podľa konkrétneho typu produktu, resp. podľa účelu určenia produktu. (Napr: produkty pre poskytovateľov certifikačných služieb, produkty pre používateľov ZEP, produkty pre klientov, HW produkty, SW produkty, produkty pre vyhotovovanie podpisu, overovanie podpisu, vyhotovovanie časovej pečiatky, elektronické podateľne a pod.).
Jednotlivé verzie produktov sa posudzujú samostatne, bez náväznosti na predchádzajúce verzie a preto proces certifikácie nemožno považovať za potvrdenie kompatibility jednotlivých verzií.
Všeobecne sa pri procese certifikácie postupuje podľa nasledovných bodov:
6.1. Posúdenie základných vlastností vyplývajúcich zo zákona
6.1.1. Produkty pre vyhotovovanie ZEP musia zaručiť, že:
6.1.1.1. pred samotnou podpisovou procedúrou sa dokument podpisovateľovi zobrazí,
6.1.1.2. dokument sa pri podpise nezmení.
6.1.2. Produkty pre overovanie zaručených elektronických postupov musia zaručiť, že:
6.1.2.1. podpísaný dokument sa pri overovaní zaručeného elektronického podpisu nezmení,
6.1.2.2. zaručený elektronický podpis sa spoľahlivo overí a výsledok sa správne zobrazí.
6.2. Posúdenie základných vlastností vyplývajúcich z vyhlášky NBÚ č. 134/2009 Z.z.
6.2.1. Produkty pre ZEP musia pracovať so schválenými podpisovými schémami, algoritmami a parametrami týchto algoritmov.
6.2.2. Produkty pre ZEP vyhovujú požiadavkám, ak umožňujú využiť definované funkcie a vlastnosti.
6.2.3. SW produkty pre klientov musia spĺňať tieto funkcie a vlastnosti:
6.2.3.1. kritické rozšírenia certifikátov (obmedzenia použitia certifikátu, ktoré nedokáže spracovať aplikácia, ale je nutné subjektívne posúdenie a rozhodnutie overovateľa) sa musia pri overovaní zobraziť v nezmenenom, čitateľnom a zrozumiteľnom tvare,
6.2.3.2. pri vyhotovovaní a overovaní podpisu je vytvorená bezpečná komunikácia textového editora (podpisovej aplikácie) so zariadením vykonávajúcim samotný proces podpisu, resp. so zariadením, v ktorom je uložený verejný kľúč koreňovej CA.
6.3. Posúdenie dodaných certifikátov produktu alebo záverečnej správy bezpečnostného auditu
6.4. Preskúmanie základnej funkcionality produktu
6.5. Posúdenie bezpečnostných vlastností produktu
6.6. Preskúmanie parametrov a vlastností kryptografických funkcií
6.7. Preskúmanie zhody v akreditovanom certifikačnom laboratóriu
7. Vydanie certifikátu
Od doručenia úplnej žiadosti o certifikáciu bezpečného produktu pre ZEP úrad rozhodne do 90 dní o potvrdení alebo nepotvrdení súladu.
7.1. V prípade kladného posúdenia všetkých náležitostí uvedených v bode (6) vydá úrad žiadateľovi rozhodnutie o certifikácií a certifikát bezpečného produktu pre ZEP. Certifikované bezpečné zariadenie bude automaticky doplnené do zoznamu certifikovaných bezpečných produktov pre ZEP na web stránke úradu.
7.2. Ak certifikovaný produkt nespĺňa požiadavky uvedené v bode (6), vydá úrad žiadateľovi rozhodnutie o neudelení certifikátu bezpečného produktu pre ZEP.
7.3. Zariadenie zapožičané na certifikáciu je vrátené žiadateľovi.
8. Automatické uznávanie produktov pre zaručený elektronický podpis
Produkty pre zaručený elektronický podpis, ktorých súlad bol posúdený orgánom podľa čl. 3 ods. 4 smernice Európskeho parlamentu a Rady 1999/93/ES v niektorej z krajín Európskej únie, sú automaticky uznávané ako produkty pre zaručený elektronický podpis v zmysle zákona SR o elektronickom podpise.
9. Platnosť certifikátu
Platnosť certifikátu je časovo obmedzená, najviac päť rokov. Doba platnosti závisí od konkrétneho typu produktu pre ZEP.
Ak sa počas doby platnosti certifikátu produktu pre elektronický podpis vydaného úradom na základe konania o uznanie zhody na vyhotovovanie a overovanie elektronického podpisu nezmenili bezpečnostné požiadavky tohto zákona, úrad na základe žiadosti o predĺžení platnosti certifikátu produktu (rtf, 172.6 kB) rozhodne v skrátenom konaní do 60 dní o predĺžení platnosti certifikátu produktu pre elektronický podpis. V žiadosti žiadateľ uvedie dodanú dokumentáciu v predchádzajúcom procese posudzovania súladu a prehlásenie o nezaznamenaní bezpečnostných incidentov, pri používaní daného produktu.
Úrad má právo zrušiť platnosť certifikátu aj pred ukončením doby platnosti, ak po jeho vydaní nastanú okolnosti, pre ktoré by certifikát nevydal.
10. Zoznam vybraných zahraničných licencovaných skúšobných laboratórií a národných akreditačných inštitúcií
Zoznam vybraných licencovaných skúšobných laboratórií posudzujúcich zhodu produktu podľa:
- ISO 15408-1 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model,
- ISO 15408-2 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements,
- ISO 15408-3 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements.
Tieto ISO normy používajú hodnotiace kritériá vychádzajúce z Common Criteria.
Okrem uvedených licencovaných laboratórií je možné akceptovať aj ďalšie laboratóriá, v prípade, že majú akreditáciu národnej akreditačnej inštitúcie.
Zoznam vybraných národných akreditačných inštitúcií:
| Inštitúcia | Krajina | www, resp. e-mail |
|---|---|---|
| Federal Ministry of Economic Affairs and Labour | AUSTRIA | http://www.bmwa.gv.at/Akkreditierung |
| BELCERT | BELGIUM | jules.dewindt@mineco.fgov.be |
| Belgische Kalibratie Organisatie | BELGIUM | http://Belgische Kalibratie OrganisatieBelgische Kalibratie Organisatie |
| BELTEST | BELGIUM | http://beltest.fgov.be/ |
| Czech Accreditation Institute, o.p.s | CZECH REPUBLIK | http://www.cai.cz/ |
| Danish Accreditation | DENMARK | http://www.danak.dk/ |
| Finnish Accreditation Service | FINLAND | http://www.finas.fi/ |
| Comité Francais d'Accréditation | FRANCE | http://www.cofrac.fr/ |
| Deutscher Akkreditierungsrat | GERMANY | http://www.deutscher-akkreditierungsrat.org/ |
| National Accreditation Board | IRELAND | http://www.forfas.ie/nab |
| OLAS | LUXEMBURG | jean-marie.reiff@eco.etat.lu |
| Raad voor Accreditatie | NETEHERLANDS | http://www.rva.nl/ |
| American National Standards Institute | USA | http://www.ansi.org/ |
| National Institute of Standards and Technolgy – NIST | USA | http://www.nist.gov/ |
| Norwegian Accreditation | NORWAY | http://www.justervesenet.no/na |
| Polskie Centrum Akreditacji | POLAND | http://www.pca.gov.pl/ |
| Instituto Portugues da Qualidade | PORTUGAL | http://www.ipq.pt/ |
| Slovak National Accreditation Service | SLOVAKIA | http://www.snas.sk/ |
| Slovenian Accreditation | SLOVENIA | http://www.gov.si/sa |
| Swedish Board for Acc. & Conformity Assessm. | SWEDEN | http://www.swedac.se/ |
| Swiss Accreditation Service | SWITZERLAND | http://www.sas.ch/ |
| United Kingdom Accreditation Service | UNITED KINGDOM | http://www.ukas.com/ |