Sertifiseringsprosessen
Sertifiseringsprosessen til SERTIT består av syv trinn.
Sponsor: Finansierer sertifiseringen, er ansvarlig for at kravene til sertifisering er oppfylt og er SERTITs kunde
Utvikler: Utvikler produktet og implementerer sertifiseringskravene
Evalueringslaboratoriet: Gjennomfører evalueringen ved gransking og testing og rapporterer til SERTIT
SERTIT: Fører tilsyn med evalueringen, og utsteder sertifikat
Trinn 1
Utvikler og sponsor gjør en avtale om evaluering.
Foruten utformingen av produktet med tilhørende dokumentasjon, må implementeringen av gjeldende sikkerhets- og tillitskrav i produktet være fremstilt i et dokument, kalt Security Target (ST). Dokumentet Protection Profile (PP eller cPP) beskriver sikkerhets- og tillitskrav for eksempelvis et teknologiområde, noe som kan tjene som en guide for utviklere eller satt som krav fra anskaffende myndigheter.
Trinn 2
Sponsor/ oppdragsgiver innhenter tilbud på evaluering fra de lisensierte evalueringslaboratoriene i ordningen og inngår avtale om evaluering hos et evalueringslaboratorium
Trinn 3
Evalueringslaboratoriet varsler SERTIT i henhold til etablerte prosedyrer om en forestående sikkerhetsevaluering som ønskes iverksatt.
Trinn 4
Sponsor sender en søknad om sertifisering til SERTIT.
Trinn 5
Sponsor og utvikler gjør nødvendige avtaler om tilgang til informasjon. Utvikler gjør i henhold til dette produkt og underlag tilgjengelig for evalueringslaboratoriet.
Trinn 6
Evalueringen starter formelt så snart SERTIT har godkjent prosjektet. Det er viktig å sikre at partene kjenner de gjeldende rammene for evaluering og sertifisering. Oppdragsgiver og sertifiseringsmyndigheten forsynes løpende med observasjonsrapporter fra evalueringen. SERTIT fører løpende tilsyn med arbeidet underveis. Når alle trinn i evalueringen er gjennomført og alle utestående aksjoner er løst, mottar SERTIT en teknisk evalueringsrapport.
Trinn 7
Den tekniske evalueringsrapporten og øvrige dokumenter og observasjoner danner grunnlaget for siste trinn i prosessen; sertifiseringsfasen. SERTIT vurderer evalueringsrapporten og undersøker om bevisene for konklusjonene er tilstrekkelige og konsistente. Dersom alt blir funnet i orden, gir det grunnlag for å utgi sertifikat og sertifiseringsrapport.