Urządzenia, których nie ma

Lista wyrobów z podziałem na te, które wymagają certyfikacji, oraz te, dla których jest konieczna deklaracja producenta, została zawarta w rozporządzeniu Rady Ministrów z 9 listopada 1999 r. Mimo że urządzenia będące przedmiotem naszego zainteresowania nie mieszczą się w przytoczonej powyżej definicji ani nie ma ich we wspomnianym wykazie, to możliwe jest poddanie ich badaniom zgodności. Artykuł 14 Ustawy o badaniach i certyfikacji mówi: "Inne wyroby niż określone w art. 13 ust. 1 mogą być zgłaszane (1) do badań w akredytowanych laboratoriach badawczych; (2) do certyfikacji przez akredytowane jednostki certyfikujące". Wobec obowiązującego stanu prawnego można postawić tezę, że badania zgodności określone w Ustawie o podpisie elektronicznym oznaczają uzyskanie certyfikacji dla danego urządzenia na podstawie zbioru wymagań, badań i procedur stosowanych przez akredytowane laboratorium badawcze i akredytowaną jednostkę certyfikującą.

Kryteria i tryb nadawania akredytacji jednostkom certyfikującym i laboratoriom badawczym reguluje Ustawa z dnia 30 sierpnia 2002 r. o systemie oceny zgodności.

W szczególności "akredytacja jest udzielana przez Polskie Centrum Akredytacji, zwane dalej Centrum Akredytacji, na wniosek zainteresowanej jednostki certyfikującej, jednostki kontrolującej oraz laboratorium, po dokonaniu ich oceny i potwierdzeniu, że spełniają wymagania i warunki określone w odpowiednich Polskich Normach, a w przypadku braku Polskich Norm - w odpowiednich dokumentach organizacji międzynarodowych". Obecnie w Polsce nie ma takich akredytowanych podmiotów zdolnych do prowadzenia badań i certyfikacji bezpiecznych urządzeń do składania podpisów elektronicznych.

Charakterystyka wymagań

Wymagania techniczne na bezpieczne urządzenia do składania podpisów elektronicznych, które mają stanowić podstawę oceny zgodności, są zawarte w rozporządzeniu RM z 7 sierpnia 2002 r. W szczególności "bezpieczne urządzenie do składania podpisów elektronicznych składa się z oprogramowania podpisującego oraz współpracującego z nim komponentu technicznego". By przybliżyć te pojęcia, przytoczmy dodatkowe definicje. Zgodnie z zapisami rozporządzenia "komponent techniczny" to "sprzęt stosowany w celu wygenerowania lub użycia danych służących do składania bezpiecznego podpisu elektronicznego [...]", zaś "oprogramowanie podpisujące" to "oprogramowanie, które przygotowuje dane, które mają zostać podpisane [...] i przesyła je do komponentu technicznego".

Jest to niezgodne z definicją bezpiecznego urządzenia stosowaną w normach europejskich wydanych na podstawie dyrektywy o podpisie elektronicznym - to, co w rozumieniu dyrektywy i norm europejskich (np. dokument CWA 14169 Secure Signature-Creation Devices EAL4+ opublikowany Decyzją Komisji 2003/511/EC z 14 lipca 2003) jest bezpiecznym urządzeniem do składania podpisów elektronicznych, zgodnie z rozporządzeniem RM jest tylko jego częścią - komponentem technicznym. Stanowi to istotne utrudnienie w ocenie zgodności tych urządzeń, ponieważ nie można uznać, że spełniają wymagania polskiej ustawy o podpisie li tylko na podstawie potwierdzenia spełnienia wymagań bezpieczeństwa określonych w odpowiednich dokumentach międzynarodowych i potwierdzonych ocenami zgodności wydanymi przez jednostki certyfikujące w innych krajach. Czyli istnieje potrzeba dodatkowych badań urządzeń w Polsce.

Wymagania zawarte w rozporządzeniu RM można zatem analizować w trzech kategoriach: w odniesieniu do komponentu technicznego, oprogramowania podpisującego oraz bezpiecznego urządzenia do składania podpisu elektronicznego jako całości. W przypadku pierwszej kategorii rozporządzenie wskazuje: "Komponenty techniczne powinny posiadać certyfikaty zgodności, zaświadczające spełnienie wymagań określonych w Polskich Normach, a w przypadku braku takich norm, spełnienie wymagań określonych w dokumentach, o których mowa w §49:

1) w ust. 2 pkt 2 - dla poziomu E3 z minimalną siłą mechanizmów zabezpieczających, określoną jako "wysoka", albo poziomu bezpieczniejszego (tzn. zgodnie ze specyfikacją ITSEC v 1.2 wydaną przez Komisję Europejską, Dyrektoriat XIII/F, w 1991 r.); lub

2) w ust. 2 pkt 8 - dla poziomu 3 albo bezpieczniejszego (tzn. zgodnie z amerykańską norma krajową FIPS PUB 140 Security Requirements for Cryptographic Modules), lub

3) w ust. 1 pkt 4 - dla poziomu EAL4 albo bezpieczniejszego (tzn. zgodnie z normą ISO/IEC 15408 - Information technology - Security techniques - Evaluation criteria for IT security; odpowiednik polski dla 1. i 3. części tej normy: PN ISO/IEC 15408

Kryteria oceny zabezpieczeń teleinformatyki Część 1: Wprowadzenie i model ogólny oraz Część 3: Wymagania na uzasadnienie zaufania do zabezpieczeń)".

Można więc akceptować certyfikaty zgodności wydane przez jednostki certyfikujące innych krajów (jeśli dany komponent techniczny taki certyfikat w przeszłości uzyskał) lub wystąpić o taki certyfikat w Polsce. Jedynym podmiotem, który w Polsce wydaje certyfikaty na zgodność urządzeń wg jednego z wymienionych wyżej schematów (ITSEC), jest laboratorium w Biurze Bezpieczeństwa Informatyki i Łączności usytuowane w Agencji Bezpieczeństwa Wewnętrznego.