FMV:s årsredovisning 2011
FMV:s årsredovisning 2011
FMV:s årsredovisning 2011
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
E v a l u e r i n g o c h c e r t i f i e r i n g a v I T - s ä k e r h e t s p r o d u k t e r<br />
Evaluering och certifiering av IT-säkerhetsprodukter<br />
Mål och uppgift<br />
Sveriges Certifieringsorgan för IT-säkerhet, CSEC, är en självständig<br />
enhet som på regeringens uppdrag verkar som nationellt certifierings organ<br />
för granskning av IT-säkerhet i produkter och system enligt Common<br />
Criteria (ISO/IEC 15408). Syftet är att säkerställa att säkerhetsfunktioner i<br />
certifierade IT-produkter verkligen ger det skydd som utlovats.<br />
V ä S E n T L i g a P R E S TaT i O n E R<br />
Vid årets slut pågår behandling av ett tiotal certifieringar.<br />
Två certifikat har utfärdats.<br />
<strong>FMV</strong>/CSEC har genomfört årlig tillsyn av de två<br />
evalueringsföretag som har licens att granska ITsäkerhet<br />
i produkter inom ramen för <strong>FMV</strong>:s regelverk,<br />
Combitech AB och Atsec Information Security AB.<br />
Företag utanför Sverige har visat intresse för att bli<br />
licensierade inom ramen för <strong>FMV</strong>:s regelverk.<br />
CSEC har under våren arrangerat en utbildning<br />
ITsäkerhetsgranskning enligt Common Criteria för<br />
evaluerare.<br />
Certifieringsordningen har genomgått en tämligen<br />
stor mängd förändringar och förbättringar och två<br />
uppdaterade utgåvor har fastställts.<br />
Verksamheten har genomgått årlig tillsyn av Styrelsen<br />
för ackreditering och teknisk kontroll SWEDAC.<br />
CSEC fick förnyat förtroende att verka som ordförande<br />
för CCRA:s högsta beslutande organ, CCRA<br />
Manage ment Committee. Inom ramen för CCRA<br />
samt SOGISMRA medverkade CSEC under året i<br />
det fortsatta arbetet med att utveckla och effektivisera<br />
Common Criteria.<br />
<strong>FMV</strong>/CSEC har agerat rådgivare till berörda departe<br />
ment och myndigheter i frågor om hur tillit till<br />
ITsäkerhet kan etableras på ett sådant sätt att inte<br />
onödiga handelshinder uppstår.<br />
Tillsammans med Frankrikes nationella certifieringsorgan<br />
genomförde personal från CSEC en granskning<br />
av Nederländernas certifieringsorgan, och rapporterade<br />
slutsatserna rörande granskningen till CCRA för omröstning.<br />
Kostnad för uppbyggnad av verksamheten<br />
och intäkter från certifieringstjänster, tkr<br />
Kostnader för uppbyggnad<br />
av certifieringsverksamheten<br />
E v a l u e r i n g o c h c e r t i f i e r i n g a v I T - s ä k e r h e t s p r o d u k t e r<br />
2009 2010 <strong>2011</strong><br />
4 4 F M V : s Å R S R E D O V I S N I N G 2 0 1 1 F M V : s Å R S R E D O V I S N I N G 2 0 1 1 4 5<br />
11 092<br />
10 436<br />
10 054<br />
Intäkter från certifieringstjänster 124 146 168<br />
Källa: <strong>FMV</strong>:s produktionsledningssystem.<br />
CSEC har tillhandahållit stöd till Myndigheten för<br />
samhällsskydd och beredskap i frågor som rör krav<br />
på ITsäkerhet i produkter. Arbetet omfattar bl.a.<br />
ett förslag till föreskrifter med krav på ITprodukters<br />
säkerhetsegenskaper baserat på Common Criteria, samt<br />
detaljerade krav på sådana säkerhetsegenskaper för<br />
vissa kategorier av ITprodukter (bl.a. säkra USB<br />
minnen). Detta arbete sker i nära samverkan mellan<br />
flera myndigheter: MSB, <strong>FMV</strong>, CSEC, Försvarsmakten<br />
och Försvarets Radioanstalt.<br />
CSEC har på beställning av Försvarsmakten levererat<br />
ett förslag till två nya system för granskning av ITsäkerhet,<br />
vid sidan av det nu etablerade systemet som<br />
baseras på Common Criteria. Den första beställningen<br />
avser utveckling av regler för granskning kryptoprodukter<br />
och den andra rör granskning av ITsäkerhet<br />
i kompletta ITsystem.<br />
Nationellt bidrog CSEC genom medverkan vid seminarier<br />
och utbildningar, samt genom samverkan med<br />
andra myndigheter, till ökad kunskap om hur certifiering<br />
kan öka förtroendet för ITsäkerhet i produkter.<br />
Information och nyheter om verksamheten har kontinuerligt<br />
publicerats på CSEC:s hemsida.<br />
CSEC är representerat i SAMFI (Samverkan för<br />
informationssäkerhet), vilket är ett samverkansorgan<br />
för myndigheter med ett särskilt ansvar för nationell<br />
informationssäkerhet. Övriga myndigheter i SAMFI<br />
är MSB, Försvarsmakten, FRA, PTS och Säkerhetspolisen.<br />
CSEC är även ledamot i Informationssäkerhetsrådet.<br />
CSEC arrangerade tillsammans med SAMFImyndigheterna<br />
i augusti en konferens om informationssäkerhet<br />
för offentlig förvaltning.