- Nazwa projektu: Krajowy schemat oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodny z Common Criteria (KSO3C)
- Strona www: https://kso3c.pl
- Źródło finansowania: NCBiR
- Cel projektu: Celem Projektu jest stworzenie metod oraz technik ewaluacji bezpieczeństwa oraz prywatności na wysokim poziomie uzasadnienia pewności, opartych na innowacyjnym podejściu do oceny podatności związanych z tworzeniem zaawansowanych technik ataków, zarówno nieinwazyjnych, takich jak ataki typu side-channel czy inżynieria wsteczna, jak i inwazyjnych, takich jak ataki perturbacyjne.
OPIS PROJEKTU:
Projekt jest wspólnym przedsięwzięciem jednostek naukowo – badawczych funkcjonujących pod nadzorem Ministra Cyfryzacji tj.: IŁ – PIB, NASK-PIB oraz ITI EMAG. Jednostki te stworzą system oceny i certyfikacji bezpieczeństwa i prywatności produktów i usług teleinformatycznych, w odpowiedzi m.in. na inicjatywę Komisji Europejskiej mającą na celu utworzenie Europejskich Ram Certyfikacji Bezpieczeństwa i Prywatności dla produktów i usług (zaproponowany w projekcie rozporządzenia Cybersecurity Act). Tzw. krajowy schemat oceny będzie strukturą otwartą, w której będą mogły pojawiać się nowe laboratoria oceniające zgodność z Common Criteria (ISO 15408). Warunkiem przystąpienia do schematu jest spełnianie jednakowych dla wszystkich laboratoriów (jednostek oceniających zgodność, czyli ITSEF – Information Technology Security Evaluation Facility) wymagań, określonych przez jednostkę certyfikującą z poszanowaniem zasady transparentności i bezstronności, zgodnie z przyjętymi w UE regułami oceny zgodności produktów, usług oraz procesów.
REZULTATY PROJEKTU:
Finalnym produktem Projektu będzie w pełni funkcjonujący program (schemat) certyfikacji produktów i usług ICT w zakresie cyberbezpieczeństwa , w ramach którego będą wydawane certyfikaty uznawane międzynarodowo w ramach porozumień SOG-IS i CCRA. Grupa SOG-IS tj. „Senior Officials Group Information Systems Securiy” została stworzona w odpowiedzi na decyzję Rady Unii Europejskiej z dnia 31 marca 1992 r. (92/242/EWG) w dziedzinie bezpieczeństwa systemów informacyjnych i funkcjonuje w oparciu o umowę o wzajemnym uznawaniu (MRA „Mutual Recognition Agreement“). Obecnie (tj. w 2018) SOG-IS MRA podpisało piętnaście państw, w tym Polska (w roku 2017). Osiem państwa ma status „Qualified/Authorising participants”, co oznacza zdolność organizacyjną do prowadzenia badań w zakresie oceny zgodności oraz wydawanie certyfikatów (czyli, w praktyce, działający krajowy program/schemat oceny zgodności i certyfikacji). Pozostałe kraje (wśród nich Polska) mają status „Consuming participant”, co oznacza, że uznają certyfikaty wydane w ramach działających programów/schematów certyfikacji. W wyniku realizacji projektu KSO3C, Polska osiągnie zdolność organizacyjną do prowadzenia badań, oceny zgodności i wydawania certyfikatów, uznawanych przez pozostałych członków grupy SOG-IS. Produkty i usługi certyfikowane na zgodność z normą można rozpoznać na podstawie logotypów Common Criteria widocznych na rysunkach.
UCZESTNICY PROJEKTU:
- Instytut Łączności – Państwowy Instytut Badawczy (IŁ – PIB), Lider
- Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK-PIB)
- Instytut Technik Innowacyjnych EMAG (ITI EMAG).