Metodické postupy

Zariadenia pre podpis a pečať sú určené na bezpečné generovanie a uloženie súkromných a verejných kľúčov (kľúčových párov), kvalifikovaných certifikátov a na vyhotovenie kvalifikovaného elektronického podpisu alebo vyhotovenie kvalifikovanej elektronickej pečate.

Certifikácia zariadení pre podpis a pečať je určená nariadením (EÚ) č. 910/2014.

Pre potrebu certifikácie je potrebné predložiť profil ochrany (Protection Profile) a bezpečnostný zámer produktu alebo systému (Security Target). Profil ochrany a bezpečnostný zámer produktu alebo systému musia byť štruktúrované dokumenty, ktorých štruktúra je určená medzinárodnými normami uvedenými v prílohe vykonávacieho rozhodnutia Komisie (EÚ) č. 2016/650.

Pre potreby certifikácie je potrebné predložiť aj auditnú správu o splnení požiadaviek profilu ochrany a bezpečnostného zámeru s minimálnou bezpečnostnou úrovňou EAL 4+ (AVA_VAN.5) od audítora alebo akreditovaného skúšobného laboratória. Náklady spojené s preskúmaním zhody produktu (bezpečnostný audit) hradí žiadateľ.

Normy pre bezpečnostné posúdenie produktov, ktoré sa vzťahujú na certifikáciu zariadení na vyhotovenie kvalifikovaných elektronických podpisov alebo zariadení na vyhotovenie kvalifikovaných elektronických pečatí podľa článku 30 ods. 3 písm. a) alebo článku 39 ods. 2 nariadenia (EÚ) č. 910/2014, ak sa údaje na vyhotovenie elektronického podpisu alebo údaje na vyhotovenie elektronickej pečate uchovávajú v prostredí, ktoré úplne, ale nie výlučne spravuje používateľ (QSCD), sú uvedené v prílohe vykonávacieho rozhodnutia Komisie (EÚ) č. 2016/650.

Normy pre bezpečnostné posúdenie produktov na vytvorenie kvalifikovaných elektronických podpisov alebo zariadení na vyhotovenie kvalifikovaných elektronických pečatí v prípadoch, keď kvalifikovaný poskytovateľ dôveryhodných služieb spravuje údaje na vyhotovenie elektronického podpisu alebo údaje na vyhotovenie elektronickej pečate v mene podpisovateľa alebo autora pečate (autentifikačný modul spojený s HSM) ešte neboli Komisiou vydané.  Posudzovanie je v tomto prípade založené na alternatívnom postupe, ktorý podľa článku 30 ods. 3 písm. b) využíva úrovne bezpečnosti porovnateľné s úrovňami, aké sa požadujú v článku 30 ods. 3 písm. a). Alternatívny postup sa oznamuje Komisii (EÚ). Aktuálne alternatívne postupy sú uvedené na stránke.

Úrad  schválil nasledovný alternatívny postup: SK alternatívny postup (27.03.2018, pdf, 564 kB).

Aplikácie pre podpis a pečať sú určené na vyhotovenie a/alebo validovanie kvalifikovaného elektronického podpisu a/alebo kvalifikovanej elektronickej pečate v schválených formátoch.

Pri posúdení sú zohľadňované požiadavky, ktoré sú uvedené v dokumentoch:

Metodické usmernenie k Povinným formátom kvalifikovaných elektronických podpisov a pečatí (QES) pre subjekt verejného sektora pri vyhotovovaní a validácii.

Pre potreby certifikácie je potrebné predložiť auditnú správu vyhotovenú nezávislým odborným audítorom, s výrokom o splnení bezpečnostných požiadaviek kladených na aplikáciu. Náklady spojené s preskúmaním zhody produktu (bezpečnostný audit) v akreditovanom skúšobnom laboratóriu hradí žiadateľ.

Z dôvodu overenia, že zdrojové kódy SW aplikácie odovzdané výrobcom audítorovi k vykonaniu nezávislého auditu sú totožné so zdrojovými kódmi odovzdanými NBÚ k certifikácii, NBÚ požaduje vytvorenie protokolu o kompilácii zdrojového kódu aplikácie (Vzor protokolu o kompilácii (pdf, 509 kB)) a odovzdanie jedného výtlačku na NBÚ. Proces kompilácie musí prebehnúť za prítomnosti výrobcu a audítora, prípadne zástupcov NBÚ.

Súčasťou posúdenia audítorom je aj vyplnený formulár DeklaraciaAplikacieQES.pdf.

Požiadavky na audítorov a laboratóriá

Audítori musia spĺňať minimálne nasledovné kritériá:

  • Vzdelanie audítorov musí byť založené na znalostiach:
    • legislatívnych požiadaviek v oblasti vykonávaného auditu,
    • medzinárodných noriem a štandardov, ktorými sa audit riadi,
    • aktuálnej úrovne technológií, najmä v oblasti informačných technológií, v ktorej sa bude vykonávať audit,
    • princípov a procesov merania a riadenia rizika (analýza rizík),
    • problematiky riadenia informačnej bezpečnosti a organizačných opatrení.
  • Audítori svoje znalosti neustále rozširujú, prehlbujú a aktualizujú. Teoretické vzdelanie musí byť vyvážené praktickými skúsenosťami v danej oblasti. Príkladom dokladov o odbornej spôsobilosti je vzdelanie v danej oblasti, platné certifikáty (napríklad CISA – Certified Information System Auditor, CISSP – Certified Information System Security Professional, SSCP – System Security Certified Practicioner) prípadne iné certifikáty, ktoré Národný bezpečnostný úrad na požiadanie audítora uzná.
  • Audítor musí mať minimálne štvorročnú prax v informačných technológiách, z ktorých minimálne dva roky sa zaoberal problematikou oblasti, v ktorej vykonáva audit. Musí mať relevantné skúsenosti aspoň z 2 kompletných auditov. Všetky relevantné skúsenosti audítora by mali byť aktuálne.

Národný bezpečnostný úrad akceptuje auditné správy od:

    • laboratórií krajín EÚ zo zoznamu,
    • licencovaných laboratórií zo zoznamu.

Výsledkom auditu musí byť záverečná správa auditu, ktorá musí obsahovať minimálne:

  • jednoznačnú identifikáciu výrobcu,
  • jednoznačnú identifikáciu názvu a verzie produktu,
  • použitie produktu,
  • doklad o odbornej spôsobilosti vykonávateľa auditu,
  • zoznam posúdenej dokumentácie,
  • pri audite QSCD posúdenie Protection Profile a Security Target QSCD, pri audite aplikácie na vyhotovenie a validovanie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate posúdenie deklarácie výrobcu,
  • spôsob a výsledky testovania produktu,
  • potvrdenie zhody s legislatívnymi a bezpečnostnými požiadavkami Európskej únie, Slovenskej republiky a požiadavkami NBÚ,
  • pri aplikácii na vyhotovenie a validovanie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate digitálne odtlačky SHA256 hlavných modulov aplikácie,
  • zoznam všetkých nájdených NESÚLADOV a najkritickejších NEDOSTATKOV,
    • NESÚLAD (Nonconformity): nenaplnenie špecifickej požiadavky – produkt neobsahuje žiadnu kontrolu na odstránenie hrozby na základe požiadavky (produkt s existujúcim nesúladom nemôže prejsť procesom certifikácie),
    • NEDOSTATOK (Deficiency): nedokonalosť alebo slabá stránka pri naplnení špecifickej požiadavky – znamená iba malú odchýlku od požiadavky, ktorá je v podstate splnená,
  • obmedzenia pri používaní produktu,
  • výrok audítora o zhode/nesúlade produktu s platnou legaslatívou.
Dátum prvého uverejnenia , posledná aktualizácia