Tym razem o weryfikację swoich produktów wystąpiło Asseco. Jednostka Certyfikująca NASK, która jako jedyna w Polsce ma uprawnienia do wydawania międzynarodowych certyfikatów Common Criteria (CC), przyznała właśnie dwa nowe certyfikaty bezpieczeństwa. Standard CC wykorzystują na całym świecie rządy i firmy prywatne do oceny bezpieczeństwa systemów i urządzeń IT.
– Transparentna, niezależna ocena bezpieczeństwa produktów IT to jedno z najważniejszych wyzwań, z jakimi mamy współcześnie do czynienia. Ten trend jest wyraźnie widoczny na poziomie światowym, wpisuje się w niego również nasz kraj – świadczą o tym choćby aktualne prace rządu nad projektem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Odpowiedzią na to wyzwanie są właśnie certyfikaty Common Criteria, wydane przez Jednostkę Certyfikującą NASK. Certyfikacja dla producentów to najwygodniejsza metoda potwierdzenia zgodności produktów IT z wymaganiami, a dla integratorów i nabywców – doskonałe narzędzie weryfikacji bezpieczeństwa łańcucha dostaw
– podkreśla Paweł Kostkiewicz, dyrektor ds. certyfikacji w NASK.
Czym są biocertiX i SimplySign, produkty z certyfikatami CC?
Dwa produkty, dla których ostatnio pozytywnie zakończył się proces certyfikacji, to: biocertiX (Asseco Data Systems, Xtension i Samsung) oraz SimplySign (Asseco Data Systems). NASK wręczył przedstawicielom ADS certyfikaty Common Criteria 21 maja w Warszawie.
– Jesteśmy dumni, że biocertiX jest najprawdopodobniej pierwszym rozwiązaniem podpisu biometrycznego, który otrzymał certyfikat zgodności ze standardem Common Criteria. Wyróżnienie to potwierdza wysoki poziom bezpieczeństwa wspólnego rozwiązania Asseco, Xtension i Samsunga. Warto zaznaczyć, że certyfikat ten jest przyznawany po przejściu szczegółowych testów i rygorystycznego audytu przeprowadzanych przez akredytowane jednostki badawcze i certyfikujące. To złożony proces, który może trwać nawet kilka lat. Dzięki temu możliwe jest potwierdzenie bezpieczeństwa rozwiązań wspierających usługi o szczególnym znaczeniu dla procesów gospodarczych i publicznych – mówi Artur Miękina, dyrektor sprzedaży projektowej i rozwoju e-biznesu w Asseco Data Systems.
BiocertiX, certyfikowany podpis biometryczny, pozwala podpisywać własnoręcznie (rysikiem, na ekranie tabletu) wszelkie dokumenty, umowy, protokoły czy oświadczenia w formacie pliku PDF. Tak podpisane e-dokumenty zachowują pełną moc prawną. BiocertiX wykorzystuje oprogramowanie Xtension i tablet Samsunga.
Z kolei SimplySign, to kwalifikowany podpis elektroniczny w aplikacji mobilnej SimplySign. Narzędzie to umożliwia bezpieczne podpisywanie dokumentów elektronicznych w dowolnym miejscu i czasie, niezależnie od używanego sprzętu – telefonu, tabletu czy komputera.
Dyrektor Paweł Kostkiewicz z NASK podkreśla korzyści związane z tworzeniem produktów zgodnie z ideą „security by design” – tak jak miało to miejsce przy obu produktach ADS. Idea ta polega na implementacji bezpieczeństwa już na etapie koncepcji, projektowania i wytwarzania produktu. Jeżeli także w tych działaniach uwzględni się wymagania certyfikacyjne w zakresie bezpieczeństwa, późniejszy proces certyfikacji produktu okazuje się szybszy i tańszy.
Produkt certyfikowany przez NASK – co to oznacza?
Common Criteria (CC) to międzynarodowy standard (dostępny jako norma PN-EN ISO/IEC 15408), który służy ocenie bezpieczeństwa produktów i systemów IT. Certyfikaty CC są uznawane w 32 krajach, w tym m.in. Stanach Zjednoczonych, Japonii, Korei Południowej i większości państw europejskich. Przykładem organizacji stosującej certyfikaty CC w swoich procedurach jest też NATO.
Tylko Jednostka Certyfikująca NASK ma w Polsce uprawnienia do przyznawania certyfikatów Common Criteria w obszarze cyberbezpieczeństwa. Tym samym potwierdza, że produkt, który otrzymał certyfikat zgodności ze standardem CC, przeszedł rygorystyczny proces oceny – uczestniczyło w nim autoryzowane laboratorium, wykonując ewaluację cyberbezpieczeństwa pod nadzorem Jednostki Certyfikującej.
Co to oznacza w praktyce?
- funkcje bezpieczeństwa produktu zostały przetestowane i potwierdzone,
- produkt przeszedł badania w zakresie podatności na zagrożenia i testy penetracyjne (zakres oceny jest uzależniony od wybranego przez producenta poziomu EAL, czyli poziomu uzasadnienia zaufania),
- przeprowadzono ocenę procesu tworzenia produktu, spełnione są wymogi standardu CC w kontekście procesu dostarczania i uruchamiania produktu.
W wielu krajach certyfikat CC jest potwierdzeniem spełnienia wymagań stawianych w specyfikacji zamówień dla przemysłu i administracji publicznej. Zapewnia też lepszą pozycję rynkową w stosunku do oferty konkurencji.