Om sertifiseringsordningen
Hensikt
Hensikten med sertifiseringsordningen er blant annet å dekke myndighetenes og industriens behov for en kostnadseffektiv og rasjonell sikkerhetsmessig evaluering og sertifisering av IT-produkter. Alle vurderinger gjennomføres av en uhildet tredjepart. Dette skal bidra til å styrke tilliten til og bedre sikkerhetsnivået i IT-produkter.
Andre viktige mål med ordningen er:
- å styrke IT-sikkerheten i offentlig sektor
- å skape tillit til e-handelsløsninger og annen kommunikasjon nasjonalt og internasjonalt
- å bidra til å gjøre Norsk IT-industri mer konkurransedyktig overfor utlandet
- å gjøre det enklere for anskaffer gjennom tillit til at forhåndsdefinerte sikkerhetskrav er tilfredsstilt.
Common Criteria (CC)
Under den norske sertifiseringsordningen utføres uhildet tredjepartsvurdering av IT-sikkerhet i produkter i henhold til den internasjonalt anerkjente standarden Common Criteria (CC) eller tilsvarende ISO/IEC 15408.
CC brukes ved evaluering av sikkerhetsegenskapene til IT-produkter. Den definerer et rammeverk for tilsyn med evalueringer, en syntaks for å spesifisere sikkerhetskravene som skal oppfylles og en metodikk for å evaluere disse kravene. CC brukes av myndigheter og andre organisasjoner over hele verden for å vurdere sikkerheten til IT-produkter, og blir gjerne satt som en forutsetning ved anskaffelser av IT-produkter i eksempelvis kritiske infrastrukturer.
Aktører i sertifiseringsordningen
Utvikleren
Dette er virksomheten som eier produktet som skal evalueres og sertifiseres.
Sponsoren
Sponsoren er den som bestiller og finansierer uavhengig evaluering av produktet.
Evalueringslaboratoriet (EVIT)
Evalueringslaboratoriet evaluerer produktet i henhold til Common Criteria og etter nærmere fastlagte kriterier for ordningen.
Evalueringslaboratoriene skal opptre upartisk og nøytralt. SERTIT lisensierer evalueringslaboratoriene i ordningen etter spesifikke kriterier. Firmaene må blant annet være akkreditert som prøvetakingslaboratorium etter ISO/IEC 17025, og må gjennomføre en prøveevaluering for å vise forståelse for standarden Common Criteria og metodikken Common Evaluation Methodology.
Liste over lisensierte evalueringslaboratorier finnes her.
Sertifiseringsorganet
I rollen som sertifiseringsorgan gransker og godkjenner SERTIT evalueringslaboratoriets rapporter, lager sertifiseringsrapport og utsteder sertifikat.
Gjensidig anerkjennelse av sertifikater
Norge har som medlem i det internasjonale arrangementet CCRA og den europeiske avtalen SOGIS MRA forpliktet seg til å anerkjenne sertifikater etter nærmere angitte vilkår fra øvrige sertifikatproduserende medlemmer.
Gjeldende vilkår for gjensidig anerkjennelse av sertifikater under CCRA kan finnes her.
Gjeldende vilkår for gjensidig anerkjennelse av sertifikater under SOGIS MRA kan finnes her.
For nærmere detaljer, se SD 001: Den norske sertifiseringsordningen (PDF, 661KB).