V bezpečnostnej praxi sa človek nezaobíde bez pojmov ako certifikácia, certifikačné mechanizmy a certifikačná schéma. Legislatíva a technické normy používajú v tejto súvislosti aj termíny „posudzovanie zhody“, „objekt posudzovania zhody“ a mnoho ďalších, s ktorými sa ale ľudia v bežnom živote stretnú len zriedka.
Načo však vlastne slúži certifikácia? A ako môže pomôcť bezpečnosti?
Všeobecným cieľom certifikácie osôb, produktov, procesov alebo služieb je zaručiť, že daný objekt spĺňa vopred zadefinované požiadavky. Certifikácia je teda prostriedkom na zabezpečenie zhody jeho vlastností so špecifikáciou, ktorú zvyčajne stanovuje norma alebo zákon.
Podrobnosti rieši európske Nariadenie č. 765/2008 o požiadavkách pre akreditácie v súvislosti s uvádzaním výrobkov na trh, alebo séria medzinárodných noriem STN EN ISO/IEC 17000 o procesoch posudzovania zhody.
Certifikáciu vykonáva orgán posudzovania zhody (tzv. „certifikačný orgán“), ktorý poskytuje písomné ubezpečenie o zhode objektu posúdenia s už spomenutými požiadavkami.
Avšak predtým, než certifikačný orgán môže vykonávať certifikáciu, musí sa najprv podrobiť akreditácii. Ide o proces posúdenia jeho kompetentnosti a spôsobilosti pre certifikačné činnosti.
V rámci akreditačného procesu príslušná akreditačná autorita na základe schválených akreditačných kritérií overí:
- odborné znalosti žiadateľa vo vzťahu k predmetu certifikácie,
- nezávislosť a nestrannosť,
- schopnosť vydávať, pravidelne preskúmavať a odnímať certifikáty,
- schopnosť vybavovať sťažnosti, týkajúce sa porušení certifikácie alebo spôsobu jej vykonávania.
V prípade schválenia vydá budúcemu certifikačnému orgánu osvedčenie, vďaka ktorému bude môcť certifikáty vydávať, obnovovať, preskúmavať ako aj odnímať.
Vo väčšine štátov existuje najmenej jedna ústredná akreditačná autorita. Ide o jedinú inštitúciu, ktorá môže vykonávať akreditáciu na základe právomoci, ktorú jej udelil zákon. Na Slovensku je ňou Slovenská národná akreditačná služba.
Prečo je certifikácia pre kybernetickú bezpečnosť dôležitá?
Certifikáty osôb, produktov, procesov alebo služieb vydané nestranným certifikačným orgánom predstavujú istý stupeň dôvery v to, že dané objekty spĺňajú národné alebo medzinárodné normy kvality, relevantné pre konkrétny trh alebo skupinu výrobkov.
Napríklad, certifikácia osôb slúži na potvrdenie, že držiteľ certifikátu disponuje príslušnými zručnosťami alebo vedomosťami, ktoré jeho práca vyžaduje.
V prípade audítora kybernetickej bezpečnosti certifikát potvrdzuje, že jeho držiteľ je schopný vykonať audit bezpečnostných opatrení v organizáciách a vydať dôveryhodnú expertnú správu o miere jej odolnosti voči kybernetickým bezpečnostným hrozbám.
Cieľom certifikácie produktov je naopak potvrdiť, že príslušný IT komponent spĺňa všetky podmienky určené v jeho pôvodnej formálnej špecifikácii.
V prípade informačných systémov môže testovanie a certifikácia pomôcť identifikovať konkrétne technické zraniteľnosti, ktoré, pokiaľ by zostali neodhalené, by mohli následne viesť ku bezpečnostným rizikám.
Spolu s certifikáciou manažérskych systémov sú obe predchádzajúce certifikácie užitočným nástrojom na meranie a riadenie kvality – v tomto prípade spoľahlivosti, a teda bezpečnosti, informácií spracúvaných v kybernetickom priestore.
Tento článok vznikol v spolupráci s Ivanom Makaturom, riaditeľom Kompetenčného a certifikačného centra kybernetickej bezpečnosti.
(Viliam Kaliňák)