Sveriges Certifieringsorgan för IT-säkerhet

Sveriges Certifieringsorgan för IT-säkerhet (CSEC) är en oberoende enhet inom Försvarets materielverk. CSEC verkar som Sveriges nationella certifieringsorgan för IT-säkerhet i produkter och system enligt standarden Common Criteria (ISO/IEC 15408), vilket är en standard som används för kravställning och opartisk granskning av IT-säkerhet. CSEC är Sveriges representant i "Common Criteria Recognition Agreement" (CCRA)^[1] samt "Mutual Recognition Agreement of Information Technology Security Certificates" (SOG-IS MRA)^[2].

Tillkomst[redigera | redigera wikitext]

Genom förordningen med instruktion för Försvarets materielverk (FMV) beslutade regeringen år 2007 att det vid FMV ska finnas ett "nationellt certifieringsorgan för it-säkerhet i produkter och system". FMV och certifieringsorganet ska verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat. Certifieringsorganet utgörs av myndighetens enhet Sveriges Certifieringsorgan för it-säkerhet (CSEC), som har en oberoende ställning inom myndigheten.^[3]

Verksamhet[redigera | redigera wikitext]

CSEC har till uppgift att utveckla den nationella certifieringsordningen för it-säkerhet med regler och metoder för oberoende granskning och se till att ordningen följs. CSEC:s verksamhet styrs bl.a. av standarden ISO/IEC 17065 och lagen om ackreditering och teknisk kontroll som bygger på EG-förordningen 765/20084. CSEC verkar också som Sveriges nationella certifieringsorgan för it-säkerhet i produkter och system enligt den internationella standarden Common Criteria (CC). CSEC:s huvuduppgifter är att skriva certifieringsrapporter, utfärda certifikat och publicera en lista på certifierade produkter samt granska evalueringsrapporter och utöva tillsyn över evalueringar.^[3]

Tillsyn[redigera | redigera wikitext]

CSEC ska även licensiera evalueringsföretag och utöva tillsyn över deras verksamhet samt bidra med stöd och råd vid utnyttjandet av CC för kravspecifikation. CSEC deltar även i internationellt samarbete för tolkningar av CC och utveckling av standarder samt marknadsför CC. CSEC representerar Sverige i arbetet inom ramen för Common Criteria Recognition Arrangement (CCRA) i rollerna som nationellt certifieringsorgan och signatär, där samverkan för närvarande sker mellan 31 länder, varav 17 är ackrediterade att utfärda certifikat upp till och med evalueringsnivå EAL2 och upp till EAL4 för skyddsprofiler med tillhörande stöddokument.^[3]

Samarbeten[redigera | redigera wikitext]

CSEC representerar även Sverige inom den europeiska organisationen SOGIS-MRA. Medlemmarna i CCRA- och SOGIS-MRA-grupperna utövar även vis tillsyn över CSEC och dess certifieringsordning i enlighet med respektive arrangemang. CSEC representerar även FMV i det nationella cybersäkerhetscentret.^[3]

CSEC verkar i nära samarbete med Militära underrättelse- och säkerhetstjänsten (MUST) i nationella frågor om kryptering. MUST granskar och godkänner också it-säkerhetsprodukter för användning i säkerhetskänslig verksamhet.^[3]

Den svenska myndigheten Swedac är nationellt ackrediteringsorgan. Det innebär att myndigheten bl.a. ackrediterar evalueringslaboratorier, certifieringsorgan och kontrollorgan enligt internationella standarder och regelverk. Swedac ackrediterade CSEC som nationellt certifieringsorgan 2008.

Swedac utövar även regelbunden tillsyn över CSEC för att säkerställa att certifieringsorganet håller den standard som ligger till grund för ackrediteringen.^[3]

Sveriges Certifieringsorgan för IT-säkerhet (CSEC) hemsida: www.csec.se

Referenser[redigera | redigera wikitext]

Noter[redigera | redigera wikitext]

Tryckta källor[redigera | redigera wikitext]

• Cederstierna, Nils mfl. (2021) (pdf). Sveriges säkerhet – behov av starkare skydd för nätverks- och informationssystem (SOU 2021:63). Elanders Sverige AB. ISBN 978-91-525-0177-1. https://www.regeringen.se/49ea02/contentassets/0b9d3e7bf39d48e5bac810fc3d4d77d4/sou-2021_63_webb.pdf 

Externa länkar[redigera | redigera wikitext]

• Officiell webbsida