FMV:s årsredovisning 2011

E v a l u e r i n g o c h c e r t i f i e r i n g a v I T - s ä k e r h e t s p r o d u k t e r
Evaluering och certifiering av IT-säkerhetsprodukter
Mål och uppgift
Sveriges Certifieringsorgan för IT-säkerhet, CSEC, är en självständig
enhet som på regeringens uppdrag verkar som nationellt certifierings organ
för granskning av IT-säkerhet i produkter och system enligt Common
Criteria (ISO/IEC 15408). Syftet är att säkerställa att säkerhetsfunktioner i
certifierade IT-produkter verkligen ger det skydd som utlovats.
V ä S E n T L i g a P R E S TaT i O n E R
Vid årets slut pågår behandling av ett tiotal certifieringar.
Två certifikat har utfärdats.
FMV/CSEC har genomfört årlig tillsyn av de två
evalueringsföretag som har licens att granska ITsäkerhet
i produkter inom ramen för FMV:s regelverk,
Combitech AB och Atsec Information Security AB.
Företag utanför Sverige har visat intresse för att bli
licensierade inom ramen för FMV:s regelverk.
CSEC har under våren arrangerat en utbildning
IT­säkerhetsgranskning enligt Common Criteria för
evaluerare.
Certifieringsordningen har genomgått en tämligen
stor mängd förändringar och förbättringar och två
uppdaterade utgåvor har fastställts.
Verksamheten har genomgått årlig tillsyn av Styrelsen
för ackreditering och teknisk kontroll ­ SWEDAC.
CSEC fick förnyat förtroende att verka som ordförande
för CCRA:s högsta beslutande organ, CCRA
Manage ment Committee. Inom ramen för CCRA
samt SOGIS­MRA medverkade CSEC under året i
det fortsatta arbetet med att utveckla och effektivisera
Common Criteria.
FMV/CSEC har agerat rådgivare till berörda departe
ment och myndigheter i frågor om hur tillit till
IT­säkerhet kan etableras på ett sådant sätt att inte
onödiga handelshinder uppstår.
Tillsammans med Frankrikes nationella certifieringsorgan
genomförde personal från CSEC en granskning
av Nederländernas certifieringsorgan, och rapporterade
slutsatserna rörande granskningen till CCRA för omröstning.
Kostnad för uppbyggnad av verksamheten
och intäkter från certifieringstjänster, tkr
Kostnader för uppbyggnad
av certifieringsverksamheten
E v a l u e r i n g o c h c e r t i f i e r i n g a v I T - s ä k e r h e t s p r o d u k t e r
2009 2010 2011
4 4 F M V : s Å R S R E D O V I S N I N G 2 0 1 1 F M V : s Å R S R E D O V I S N I N G 2 0 1 1 4 5
11 092
10 436
10 054
Intäkter från certifieringstjänster 124 146 168
Källa: FMV:s produktionsledningssystem.
CSEC har tillhandahållit stöd till Myndigheten för
samhällsskydd och beredskap i frågor som rör krav
på IT­säkerhet i produkter. Arbetet omfattar bl.a.
ett förslag till föreskrifter med krav på IT­produkters
säkerhetsegenskaper baserat på Common Criteria, samt
detaljerade krav på sådana säkerhetsegenskaper för
vissa kategorier av IT­produkter (bl.a. säkra USB­
minnen). Detta arbete sker i nära samverkan mellan
flera myndigheter: MSB, FMV, CSEC, Försvarsmakten
och Försvarets Radioanstalt.
CSEC har på beställning av Försvarsmakten levererat
ett förslag till två nya system för granskning av ITsäkerhet,
vid sidan av det nu etablerade systemet som
baseras på Common Criteria. Den första beställningen
avser utveckling av regler för granskning kryptoprodukter
och den andra rör granskning av IT­säkerhet
i kompletta IT­system.
Nationellt bidrog CSEC genom medverkan vid seminarier
och utbildningar, samt genom samverkan med
andra myndigheter, till ökad kunskap om hur certifiering
kan öka förtroendet för IT­säkerhet i produkter.
Information och nyheter om verksamheten har kontinuerligt
publicerats på CSEC:s hemsida.
CSEC är representerat i SAMFI (Samverkan för
informationssäkerhet), vilket är ett samverkansorgan
för myndigheter med ett särskilt ansvar för nationell
informationssäkerhet. Övriga myndigheter i SAMFI
är MSB, Försvarsmakten, FRA, PTS och Säkerhetspolisen.
CSEC är även ledamot i Informationssäkerhetsrådet.
CSEC arrangerade tillsammans med SAMFI­myndigheterna
i augusti en konferens om informationssäkerhet
för offentlig förvaltning.