Připojení České republiky k CCRA

Česká republika se na konci září 2004 připojila jako dvacátá země k mezinárodní dohodě o vzájemném uznávání certifikátů vydávaných v oblasti bezpečnosti informačních technologií pro osvědčení shody s kritérii "Common Criteria for Information Technology Security Evaluation" (dále jen "CC"). CC jsou také mezinárodní normou ISO/IEC 15408 a pod názvem "Společná kritéria pro hodnocení bezpečnosti informačních technologií" byla přijata jako česká národní norma ČSN ISO/IEC 15408.

Uvedená dohoda o uznávání certifikátů se nazývá "Arrangement on the Mutual Recognition of Common Criteria Certificates in the Field of IT Security", přičemž se tento název běžně zkracuje jako CCRA (Common Criteria Recognition Arrangement). Česká republika je v CCRA zastoupena Národním bezpečnostním úřadem.

NBÚ požádal o připojení k dohodě v lednu letošního roku a to jako účastník využívající certifikáty vydávané v rámci CCRA. V září letošního roku byla přijímací procedura úspěšně ukončena. Ředitel NBÚ Mgr. Jan Mareš podepsal CCRA dne 27. září 2004 na zasedání řídícího výboru CCRA v Berlíně, v předvečer zahájení páté mezinárodní konference o CC (ICCC). Příslušné listiny byly slavnostně předány zástupci České republiky v řídícím výboru CCRA dne 28. září v rámci zavedeného ceremoniálu pro přijímání nových účastníků a předávání nově vydaných certifikátů. Zástupcem České republiky v řídícím výboru CCRA se stal ředitel Technické sekce NBÚ Ing. Jaroslav Šmíd.

Tímto aktem je vymezeno, které certifikáty vydané v oblasti bezpečnosti informačních technologií bude NBÚ automaticky uznávat. Je třeba zdůraznit, že použití produktu nebo profilu ochrany certifikovaného podle CC ještě nezaručuje certifikovatelnost informačního systému podle zákona č. 148/1998 Sb. o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, nicméně je velmi důležitým stavebním kamenem při budování zabezpečeného informačního systému.

Další informace o CC, CCRA, vzájemně uznávané úrovni hodnocení podle CC, certifikovaných IT produktech a profilech ochrany.