Viestintäviraston suorittamat salaustuotearvioinnit ja -hyväksynnät. Arvioinnin ja hyväksynnän edellytykset sekä perittävät maksut

Samankaltaiset tiedostot
Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

7.4 Variability management

Olet vastuussa osaamisestasi

Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

LX 70. Ominaisuuksien mittaustulokset 1-kerroksinen 2-kerroksinen. Fyysiset ominaisuudet, nimellisarvot. Kalvon ominaisuudet

Tork Paperipyyhe. etu. tuotteen ominaisuudet. kuvaus. Väri: Valkoinen Malli: Vetopyyhe

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

Alkutarkastus, , SERJS2134, Jarmo Saunajoki

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Infrastruktuurin asemoituminen kansalliseen ja kansainväliseen kenttään Outi Ala-Honkola Tiedeasiantuntija

Lapuan myöntämä EU tuki SOLUTION asuinalueille omakoti- tai rivitaloa rakentaville

Security server v6 installation requirements

Security server v6 installation requirements

Tutkimuslääkkeiden GMP. Fimea Pirjo Hänninen

Tork Xpress Soft Multifold käsipyyhe. etu

Hankkeen toiminnot työsuunnitelman laatiminen

Miehittämätön meriliikenne

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Karjala hankealue Lemi

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

National Building Code of Finland, Part D1, Building Water Supply and Sewerage Systems, Regulations and guidelines 2007

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

Collaborative & Co-Creative Design in the Semogen -projects

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Pohjanmaa hankealue Alavus

Capacity Utilization

Viestintäviraston päätös käyttöoikeuden myöntämisestä pilotointikäyttöön

Viestintäviraston päätös käyttöoikeuden siirrosta

Increase of opioid use in Finland when is there enough key indicator data to state a trend?

IEC Standardin muutokset. Yleistä

Rekisteröiminen - FAQ

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Salasanan vaihto uuteen / How to change password

AKKREDITOITU SERTIFIOINTIELIN ACCREDITED CERTIFICATION BODY

AKKREDITOITU TESTAUSLABORATORIO ACCREDITED TESTING LABORATORY WE CERTIFICATION OY OPERATOR LABORATORY

7. Product-line architectures

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Sisävesidirektiivin soveltamisala poikkeussäännökset. Versio: puheenjohtajan ehdotus , neuvoston asiakirja 8780/16.

4x4cup Rastikuvien tulkinta

Information on Finnish Language Courses Spring Semester 2018 Päivi Paukku & Jenni Laine Centre for Language and Communication Studies

Installation instruction PEM

Organisaation kokonaissuorituskyvyn arviointi

AKKREDITOITU TARKASTUSLAITOS ACCREDITED INSPECTION BODY INSPECTA TARKASTUS OY

AKKREDITOITU TARKASTUSLAITOS ACCREDITED INSPECTION BODY DEKRA INSPECTION OY

HITSAUKSEN TUOTTAVUUSRATKAISUT

Työsuojelurahaston Tutkimus tutuksi - PalveluPulssi Peter Michelsson Wallstreet Asset Management Oy

Päätös MNC-tunnuksen myöntämisestä

Hankintailmoitus: Pohjois-Savon sairaanhoitopiirin kuntayhtymä/kiinteistöyksikkö : Puijon sairaalan Pääaula-alueen uudistus, Sähköurakka

Salausmenetelmät 2015/Harjoitustehtävät

Kansallinen hankintailmoitus: Mikkelin ammattikorkeakoulu Oy : Palvelimet ja kytkin

Social and Regional Economic Impacts of Use of Bioenergy and Energy Wood Harvesting in Suomussalmi

Innovative and responsible public procurement Urban Agenda kumppanuusryhmä. public-procurement

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa hankealue Sievi

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

ETELÄESPLANADI HELSINKI

Kansallinen hankintailmoitus: Mikkelin ammattikorkeakoulu Oy : Neuropsykiatrinen valmentaja -koulutukset (3)

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

Information on Finnish Language Courses Spring Semester 2017 Jenni Laine

Results on the new polydrug use questions in the Finnish TDI data

Information on Finnish Courses Autumn Semester 2017 Jenni Laine & Päivi Paukku Centre for Language and Communication Studies

Määräys. Viestintävirasto on määrännyt 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003) 129 :n nojalla: 1 Soveltamisala

Efficiency change over time

This notice in TED website:

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

AKKREDITOITU SERTIFIOINTIELIN ACCREDITED CERTIFICATION BODY

Kansallinen hankintailmoitus: Savon koulutuskuntayhtymä : Plasma- ja kaasuleikkauskone/kone- ja metalliala

EUROOPAN PARLAMENTTI

Other approaches to restrict multipliers

Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Portaaliteknologiat mahdollistavat ajattelutavan muutoksen


Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO

LUONNOS RT EN AGREEMENT ON BUILDING WORKS 1 THE PARTIES. May (10)

AKKREDITOITU TARKASTUSLAITOS ACCREDITED INSPECTION BODY DEKRA INSPECTION OY

Luvan pyytäminen matkaviestinverkon puhelinliittymien puhelinmarkkinointiin puhelun aikana

2 Description of Software Architectures

Päätösluonnos huomattavasta markkinavoimasta kiinteästä puhelinverkosta nousevan puheliikenteen tukkumarkkinoilla

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Gap-filling methods for CH 4 data

2017/S Contract notice. Supplies

EU GMP Guide Part IV: Guideline on GMP spesific to ATMP. Pirjo Hänninen

NAO- ja ENO-osaamisohjelmien loppuunsaattaminen ajatuksia ja visioita

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

Rotarypiiri 1420 Piiriapurahoista myönnettävät stipendit

Information on preparing Presentation

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

Software Signing System System overview and key domain concepts

Construction work for buildings relating to health

Viestintäviraston päätös radiouutisten sponsoroinnista

Kansallinen hankintailmoitus: HAAGA-HELIA Oy Ab : HAAGA-HELIA Oy Ab: Pasilan aktiivilaitteet 2011

Kysymys 5 Compared to the workload, the number of credits awarded was (1 credits equals 27 working hours): (4)

Tämä analyysi korvaa päivätyn analyysin /9520/2011 MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA LAPPI HANKEALUE 57 (KOLARI)

C++11 seminaari, kevät Johannes Koskinen

Kansallinen hankintailmoitus: Tampereen kaupunki : Ulkoalueiden hoito

Group 2 - Dentego PTH Korvake. Peer Testing Report

LYTH-CONS CONSISTENCY TRANSMITTER

Transkriptio:

Ohje 1 (4) Dnro: 20.11.2017 1487/651/2017 Viestintäviraston suorittamat salaustuotearvioinnit ja -hyväksynnät Tilaajan näkökulma Johdanto EU:n neuvoston turvallisuussäännöstön 1 mukaan jäsenvaltioiden on nimettävä kansallinen salaustuotteiden hyväksyntäviranomainen (CAA, Crypto Approval Authority). Viestintävirasto toimii Suomen kansallisena salaustuotteiden hyväksyntäviranomaisena ja sen tehtäviin kuuluu muun muassa salaustuotteiden arviointi ja hyväksyntä kansallisen ja kansainvälisen turvallisuusluokitellun tiedon suojaamiseksi. Hyväksynnän tuloksia on mahdollista hyödyntää ja käyttää pohjana, mikäli tilaaja hakee samalle tuotteelle EU-salaustuotehyväksyntää 2. Tässä ohjeessa kuvataan Viestintäviraston salaustuotearviointi- ja hyväksyntäprosessi tilaajan näkökulmasta. Arvioinnin ja hyväksynnän edellytykset sekä perittävät maksut Arvioinnin tilaajalta edellytetään, että se toimittaa riittävät tiedot arviointisuunnitelman tekoa varten, nimeää vähintään yhden soveltuvan teknisen yhteyshenkilön vastaamaan arvioinnissa esiin tuleviin kysymyksiin sekä sitoutuu arviointiprojektin aikatauluun. Tilaajalta edellytetään myös, että se omalta osaltaan mahdollistaa arviointiprojektin kannalta tarvittavat resurssit, joihin tyypillisesti sisältyy testattavan tuotteen ja pyydetyn dokumentaation toimittaminen, tuotteeseen liittyvä koulutus sekä soveltuvat henkilöstö- ja tilavaraukset. Viestintävirasto veloittaa arvioinnista työmäärään perustuvan maksun 3. Ennen arviointiprosessin aloittamista tilaajalla on oikeus saada Viestintävirastolta arvio työmäärästä ja maksun suuruudesta. 1 Neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (2013/488/EU). URL: http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2013:274:0001:0050:fi:pdf. 2 http://www.consilium.europa.eu/en/general-secretariat/corporate-policies/classified-information/informationassurance/ 3 https://www.viestintavirasto.fi/attachments/lvm_a_vivin_maksuista_toukokuu_2012_su.pdf Viestintävirasto Kommunikationsverket Finnish Communications Regulatory Authority Itämerenkatu 3 A PL 313 00181 Helsinki Puhelin 09 69 661 www.viestintävirasto.fi Östersjögatan 3A PB 313, FI-00181 Helsingfors, Finland Telefon +358 9 69 661 www.kommunikationsverket.fi Itämerenkatu 3A P.O. Box 313, FI-00181 Helsinki, Finland Telephone +358 9 69 661 www.ficora.fi

2 (4) Arviointiprosessin vaiheet Arviointiprosessi koostuu seitsemästä keskeisestä vaiheesta sekä näitä täydentävistä osavaiheista. Seuraavassa kuvataan keskeiset vaiheet sillä tarkkuudella, että se antaa tilaajalle selkeän yleiskuvan siltä vaadittavista toimista. Arviointiprosessin kulku on havainnollistettu kuvassa 1. 1. Pyyntö tai yhteydenotto Viestintävirastolle Arviointiprosessi alkaa tilaajan sähköpostiyhteydenotolla Viestintäviraston Kyberturvallisuuskeskukseen 4. Yhteydenotossa tulee ilmetä minkälaisesta tuotteesta on kyse, missä vaiheessa tuotteen kehitys on (suunnitteilla, valmisteilla, tuotannossa) sekä tuotteelle tavoiteltu suojaustaso. Tarvittaessa Viestintävirasto pyytää lisätietoja tilaajalta. 2. Pyynnön tarkastus ja Viestintäviraston vastaus Vastaanotettuaan pyynnön Viestintävirasto pyrkii vastaamaan pyynnön tekijälle kahden viikon kuluessa. Edellyttäen että tuote ja sen kehitysvaihe ovat arviointiprosessin kannalta sopivalla tasolla, toimittaa Viestintävirasto tilaajalle ehdotuksen esipalaverin ajaksi sekä listan esipalaveriin vaadittavista dokumenteista. 3. Esipalaveri valmistajan ja Viestintäviraston välillä Esipalaveri pidetään valmistajan ja Viestintäviraston arvioijien kesken. Esipalaverissa keskustellaan asiakkaan toimittamasta dokumentaatiosta, joita ovat muun muassa: Tuotteen toiminnallinen kuvaus - Käydään läpi tuotelupaus, tuotteen suorituskyky sekä toiminnallisuus. Lisäksi käydään läpi tuotteen kokonaisarkkitehtuuria ja sitä ympäröiviä elementtejä sekä uhkamalleja. Tuotteen salaustekniikka - Käydään läpi tuotteen salaustekniset ominaisuudet ja ratkaisut sekä avaintenhallinta. Arvioinnin tavoitetaso - Käydään läpi arvioinnin tavoitetaso ja sen saavutettavuus tuotteella aiotussa käyttötarkoituksessa. Aikaisemmat arvioinnit ja testaukset - Käydään läpi aiemmin tehdyt arvioinnit ja testaukset. Yritysturvallisuuteen ja tuotekehitykseen liittyvät turvallisuusasiat - katselmoidaan valmistajan tietoturvallisuusjärjestelyt ja tilaajan/viranomaisen mahdollinen tarve hakea valmistajasta yritysturvallisuusselvitystä Viestintä - Keskustellaan asiakkaan kanssa voiko tuotteesta tai sen käynnissä olevasta arvioinnista viestiä esimerkiksi sidosryhmille. Tarkempi kuvaus kaikista tuotearviointiin vaadittavista materiaaleista esitetään liitteenä olevassa listassa. Ennen arviointisuunnitelman laatimista ja sopimuksen tekoa tulee asiakkaan toimittaa dokumentaatio listan kohdista 1-4. Ensimmäinen esipalaveri voidaan kuitenkin järjestää, vaikka tarkkaa dokumentaatiota em. 4 Sähköpostiosoite caa@ficora.fi

3 (4) kohdista ei olisi toimitettu. Mikäli arviointisuunnittelun edellyttämiä tietoja ja dokumentaatiota ei saada järjestettyä esipalavereihin tai niitä ei pystytä toimittamaan esipalaverien jälkeen, arvioidaan arviointiprosessin päättäminen tapauskohtaisesti. 4. Arviointisuunnitelma ja sopimuksenteko Viestintävirasto laatii arviointisuunnitelman, jossa kuvataan yleisellä tasolla kyseisen tuotteen arviointiin liittyvät asiakokonaisuudet sekä arvioinnin aikataulutus. Tilaajalle annetaan mahdollisuus kommentoida arviointisuunnitelmaa ja suunnitelma viimeistellään yhteistyössä tilaajan kanssa. Kun Viestintävirasto on alustavasti arvioinut salaustuotearvioinnin laajuuden ja työmäärän, solmitaan sopimus arvioinnista Viestintäviraston ja tilaajan välillä. 5. Arviointi Tuotteen arvioinnin tarkoituksena on tutkia täyttääkö tuote sille asetetut tietoturvavaatimukset sekä toimiiko tuote kuvatulla tavalla. Arvioinnin edetessä tilaajalle tai valmistajalle raportoidaan keskeisiä havaintoja, joiden pohjalta valmistajan on mahdollista tehdä tuotteeseen muutoksia. Mahdollisten muutosten jälkeen testit uusitaan tarvittavin osin sekä jatketaan tuotteen testaamista arviointisuunnitelman mukaisesti. Arviointi voidaan aloittaa, kun asiakas on toimittanut materiaalin liitteenä olevan listan kohdista 5-8. 6. Loppuraportti Kun arviointi on saatu päätökseen, annetaan arvio tuotteen vaatimustenmukaisuudesta. Vaatimustenmukaisille tuotteille myönnettävä hyväksyntä koskee tiettyä tuoteversiota ja on voimassa toistaiseksi. Hyväksytyt salaustuotteet lisätään Viestintäviraston ylläpitämälle hyväksyttyjen salaustuotteiden listalle 5, ellei arvioinnin tilaaja tai valmistaja halua pitää hyväksyntää poissa julkisuudesta. 7. Tuotteen elinkaarenhallinta Hyväksytyn tuotteen uudet ohjelmisto- tai tuoteversiot eivät automaattisesti ole hyväksyttyjä. Mikäli muutetulle tuotteelle halutaan hyväksyntää, tulee asiasta olla yhteydessä Viestintäviraston Kyberturvallisuuskeskukseen. Arviointiprosessin aikana voidaan kuitenkin sopia valmistajan kanssa siitä, millaisia muutoksia hyväksynnän saaneelle tuotteelle voidaan tehdä ilman erillistä yhteydenottoa. Kriittisten ohjelmistohaavoittuvuuksien korjaamisen tulisi tapahtua mahdollisimman nopeasti ja asiasta tulisi olla välittömästi yhteydessä Kyberturvallisuuskeskukseen. 5 www.ncsa.fi > Asiakirjat > https://www.viestintavirasto.fi/attachments/tietoturva/ncsa_salausratkaisut.pdf

4 (4) SALAUSTUOTEARVIOINTI JA -HYVÄKSYNTÄPROSESSI Valmistaja Yhteinen Viestintävirasto 1. Arviointipyyntö tai yhteydenotto Viestintävirastolle 2. Pyynnön tarkastus ja Viestintäviraston vastaus Dokumentaation toimitus 3. Esipalaveri valmistajan kanssa (tarvittaessa useampi) Tuotteeseen tutustuminen ja vaatimusten toimittaminen Suunnitelman kommentointi 4. Arviointisuunnitelma ja sopimusneuvottelut Korjaukset 6.Arviointi Löytöjen raportoiminen 7. Loppuraportti Hylkäys Hyväksyntä Tuote Viestintäviraston listalle 8. Tuotteen elinkaarenhallinta

Appendix 1 (3) 20.11.2017 Materials required for a full cryptographic product evaluation 1 Evaluation reports of previous certifications (FIPS, CC, etc. if relevant) 2 Functional description A functional description must be supplied to enable an overall understanding of what the cryptographic product is intended to provide. This encompasses the following information: (a) a system description in the context of the operating environment (to estimate the threats the cryptographic product is exposed to, and to determine the strength level;) (b) an overview of the functionality including the use-cases relevant for the evaluation; (c) a high level description of the architecture; (d) high level design documentation; (e) any external (non standard-) interfaces; and (f) any other relevant security functionality. 3 Cryptographic specification All cryptographic functions as part of the security functions of the cryptographic product are to be described in detail. In particular the following information is required: (a) cryptographic algorithm for data encryption; (b) cryptographic algorithm for key encryption; (c) cryptographic algorithm initialisation; (d) authentication and integrity mechanisms; (e) random number generation; (f) protocol descriptions where cryptographic information is involved, such as cryptographic synchronisation and key exchange mechanisms; and (g) test data and test keys for verification of the correct implementation of the cryptographic algorithm(s). Viestintävirasto Kommunikationsverket Finnish Communications Regulatory Authority Itämerenkatu 3 A PL 313 00181 Helsinki Puhelin 09 69 661 www.viestintävirasto.fi Östersjögatan 3A PB 313, FI-00181 Helsingfors, Finland Telefon +358 9 69 661 www.kommunikationsverket.fi Itämerenkatu 3A P.O. Box 313, FI-00181 Helsinki, Finland Telephone +358 9 69 661 www.ficora.fi

2 (3) 4 Key management scheme Description covering the following functions: key generation, key material fabrication, key protection, key registration, key establishment, key distribution, key storage, key archiving, key revocation, key renewal/replacement, key recovery, key destruction, crypto-period of key and type of certificate. Description of the procedure and/or mechanism for emergency erasure of keys. Description of the distribution, handling and crypto-periods of physical keys (keycards) is not required at this point. 5 Testing keys and encryption samples As an example: given a set of pre-defined root keys (these are keys in the top of the key architecture chain) and other similar material such as Diffie-Hellman secrets, samples of encrypted data (with pre-defined plaintext) must be provided. 6 Source code All source code of the product must be of good quality and well documented and commented, including cryptographic functions and key management. When read together with the documentation, the source code must be understandable to a person who is not familiar with the product code base beforehand, but has an understanding of cryptography and programming in general. Some of the documentation may be external to the source code, for example API descriptions. In practice this includes, but is not limited to, the following: the purpose of functions, their parameters, return values, and error handling is described; naming of functions, variables, data structures etc. is descriptive and consistent; non-trivial data structures, variables, and code logic is described; well-known algorithms used/implemented are identified, proprietary algorithms are described in more detail (both crypto and other algorithms); unusual or otherwise unexpected decisions/logic/algorithms used in the code are justified; unused code is identified or removed altogether; coding style is consistent and the code is logically structured; duplication of cryptographic code is avoided; heavy re-use of functions which includes intense branching which in turn makes the code harder to interpret is avoided; secure coding practices are followed.

3 (3) 7 Description of product development processes The description should outline at least the following processes: (a) software development process that should include a general description of requirements, architecture and design, implementation, testing methodologies, deployment, maintenance; (b) manufacturing process; (c) product lifetime management process; (d) vulnerability management process. 8 Functional equipment and instruction manuals For further information concerning this list, please contact National Cryptographic Approval Authority in FICORA by email: caa@ficora.fi or ncsa@ficora.fi.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute