• No results found

5 Cybersäkerhetscertifiering i Sverige

5.3 Försvarets materielverk (FMV)

FMV:s organisation och uppgifter

Försvarets materielverk (FMV) ska i enlighet med Försvarsmaktens investeringsplan och uppdrag ansvara för upphandling av bl.a. varor och tjänster inom den del av materielförsörjningsområdet som inte omfattas av Försvarsmaktens upphandlingsansvar. FMV ska även biträda Försvarsmakten i bl.a. planeringen av materiel- och logistik- försörjningen samt med materielsystemkunskap. FMV ska också biträda Försvarsmakten med kompetens när det gäller upphandling och vidmakthållande.

FMV får inom sitt verksamhetsområde även tillhandahålla tjänster åt andra än Försvarsmakten.5

FMV är en s.k. industrisäkerhetsmyndighet enligt säkerhets- skyddslagen och har i betänkandet Kompletteringar till den nya säker-

hetsskyddslagen (SOU 2018:82) föreslagits bli tillsynsmyndighet

enligt säkerhetsskyddslagen för försvarsföretag.

Genom stärkt internationell samverkan under 2019 har FMV bi- dragit till att ta fram ett ramverk för stöd till att hantera cyberhot, sårbarheter och motåtgärder – något som kan användas av säkerhets- experter inom både stat och näringsliv. Arbetet är ett resultat av ett samarbete inom Multinational Industrial Security Working Group (MISWG) gällande strategier för nationell cybersäkerhet, policyer för nationell industrisäkerhet och bästa praxis i detta sammanhang. Mot bakgrund av att flera av deltagarländerna i MISWG redan har mot- svarande nationella modeller kan dessutom harmonisering uppnås.6

FMV/CSEC har att, i samverkan med MSB, medverka i europeiska och internationella arbetsgrupper i syfte att utarbeta detaljerade krav på it-säkerhet och evalueringsmetodik för specifika typer av it-produk- ter av intresse för Sverige, t.ex. USB-minnen och databashanterare.

5 FMV bedriver också försvarsunderrättelseverksamhet enligt 2 § förordningen (2000:131) om

försvarsunderrättelseverksamhet.

6 Samlad informations- och cybersäkerhetshandlingsplan 2019–2022, Redovisning mars 2020,

Cybersäkerhetscertifiering i Sverige SOU 2020:58

FMV och det nationella certifieringsorganet CSEC

Enligt myndighetens instruktion (5 §) ska det vid FMV finnas ett nationellt certifieringsorgan för it-säkerhet i produkter och system. FMV/certifieringsorganet ska verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat. Inom FMV be- drivs arbetet av enheten CSEC (Sveriges Certifieringsorgan för it- säkerhet) som har en oberoende ställning inom myndigheten.7

CSEC verkar som Sveriges nationella certifieringsorgan för it- säkerhet i produkter och system enligt den internationella standarden Common Criteria (CC). CSEC ackrediterades som nationellt certi- fieringsorgan 2008. Swedac utövar regelbunden tillsyn över CSEC för att säkerställa att certifieringsorganet håller den standard som ligger till grund för ackrediteringen.8

CSEC:s huvuduppgifter är att utöva tillsyn över evalueringar, granska evalueringsrapporter, skriva certifieringsrapporter, utfärda certifikat och publicera en lista på certifierade produkter. Produkter som certiferats av CSEC används bl.a. av Försvarsmakten.

CSEC ska licensiera9 evalueringsföretag och utöva tillsyn över deras verksamhet samt bidra med stöd och råd vid utnyttjandet av CC för kravspecifikation. CSEC deltar vidare i internationellt samarbete för tolkningar av CC och utveckling av standarder samt marknads- för CC.10 CSEC har även haft till uppgift att utveckla en nationell certifieringsordning för it-säkerhet med regler och metoder för obe- roende granskning11 och se till att ordningen följs. CSEC:s verksam- het styrs bl.a. av standarden ISO/IEC 17065 och lagen om ackredi- tering och teknisk kontroll.

Chefen för CSEC ansvarar för att förvalta och vidareutveckla cer- tifieringsordningen inom given budget och leder certifieringsorganets dagliga verksamhet inom ramen för certifieringsorganets uppgift.

7 FMV:s överdirektör har ansvaret för certifieringsorganet i de frågor där oberoende krävs. 8 Närmare bestämt är CSEC ackrediterat av Swedac som ett certifieringsorgan för säkerhet i

it-produkter.

9 Licensieringen sker efter de principer som tillämpas inom CCRA och SOG-IS MRA. 10 CSEC ska medverka i svenska och internationella standardiseringsorgan och forum för att

utveckla och förbättra standarder för kravställning och evaluering av it-säkerhet och krypto- grafi.

11 I den tidigare lydelsen av FMV:s instruktion (SFS 2007:854) föreskrevs att certifieringsorganet

SOU 2020:58 Cybersäkerhetscertifiering i Sverige

Chefen rapporterar till myndighetens överdirektör i frågor som rör certifieringsorganets verksamhet.12

CSEC representerar Sverige inom CCRA (Common Criteria Recognition Arrangement) i rollerna som nationellt certifieringsorgan och signatär. CSEC:s arbete bedrivs inom ramen för CCRA där sam- verkan för närvarande sker mellan 31 länder och deras berörda myn- digheter (varav 17 är ackrediterade att utfärda certifikat).13 CSEC representerar även Sverige inom den europeiska organisationen SOG- IS MRA.14 Medlemmarna i CCRA- och SOG-IS MRA-grupperna utövar tillsyn över CSEC och dess certifieringsordning i enlighet med respektive arrangemang. CSEC ingår för övrigt i Samverkansgruppen för informationssäkerhet (SAMFI, se avsnitt 5.10).

Mot bakgrund av Försvarsmaktens ansvar för kryptogodkännande verkar CSEC i nära samarbete med MUST (Militära underrättelse- och säkerhetstjänsten).15

Sveriges certifieringsordning för it-säkerhet

Under CSEC:s överinseende har en nationell certifieringsordning enligt CC inrättats för att säkerställa att utvärderingar av IKT-pro- dukter och skyddsprofiler utförs enligt höga och konsekventa stan- darder.16 Detta bidrar till förtroende för säkerheten i produkterna och profilerna. En certifieringsordning består av regler som gäller i certifieringsarbetet, dvs. inte bara tekniska krav utan samtliga regler om hur certifiering går till och vilka förutsättningarna är. CSEC är ägare av Sveriges certifieringsordning för it-säkerhet och har därmed haft ansvar för att utveckla och upprätthålla den. Vid implementeringen av ordningen verkar CSEC i enlighet med CCRA.17 Certifieringsord-

12 Överdirektörens befogenheter innefattar att godkänna CSEC-chefens beslut i ärenden rörande

överklaganden.

13 Evalueringsnivå (Evaluation Assurance Level, EAL) är en numerisk bedömning från 1–7 av

hur ingående och rigorös en säkerhetsgranskning enligt Common Criteria är. EAL 1 är den mest grundläggande nivån och den billigaste att såväl implementera som utvärdera, medan EAL 7 därmed är den mest rigorösa och dyraste. I CCRA erkänns upp till EAL 2 generellt och upp till EAL 4 för godkända internationella skyddsprofiler.

14 CCRA och SOG-IS MRA tillåter endast statliga certifieringsorgan.

15 CSEC har i enlighet med mål i en handlingsplan för informationssäkerhet 2012 tagit fram

en särskild kryptopolicy.

16 För ett certifieringsorgan är ISO/IEC 17065, Conformity assessment – Requirements for

bodies certifying products, processes and services, tillämplig i enlighet med regleringarna av CCRA, SOG-IS MRA och Swedac, för att säkerställa kvalitet på certifieringarna.

Cybersäkerhetscertifiering i Sverige SOU 2020:58

ningar tillhandahåller ramar för internationellt erkännande av certi- fikat som utfärdats enligt respektive ordning. Den svenska certifier- ingsordningen ger grunder för utvärderingar och certifieringar genom att beskriva och genomföra nödvändiga rättsliga ramar och processer. Därmed upprätthålls principer om lämplighet, opartiskhet, korrekt- het och effektivitet i alla utvärderingsaktiviteter.18

CSEC har tagit fram ett dokument som beskriver processen för klagomålshanteringen (SP-007 Quality Manual). CSEC dokumenterar och utreder alla formella klagomål som är riktade mot certifierings- aktiviteter där certifieringsorganet är ansvarigt. CSEC registrerar ändringsförfrågningar och hanterar identifierade avvikelser genom internrevisioner. Ställning tas till om klagomålet avser certifierings- verksamheten och klaganden informeras om att klagomålet tagits emot och att det kommer att behandlas som ett klagomål. Klago- målet ska sedan undersökas, vid behov med hjälp av oberoende tek- niska experter. CSEC ska bestämma om åtgärder vidtagits på felaktiga grunder och upprätta en plan för genomförande av korrigerande åtgärder. Rapportering sker till Change Control Board och chefen för CSEC ansvarar för beslutet vid styrelsen om ett klagomål. När klagoärendet avslutats kommer ska kvalitetsansvarig (Quality Man- ager) se till att klaganden informeras om resultatet av klagomålet och informera denne om sin rätt att överklaga.

En klagande som inte är nöjd med ett beslut eller resultatet av ett klagomål som gäller certifieringsverksamheten kan lämna in ett över- klagande.19 För att bevara opartiskheten behandlas överklaganden av personal som inte är inblandad i det överklagade beslutet. Över- klagandet hanteras av kvalitetsansvarig.20 Beslutet om resultatet av överklagandet fattas av chefen för CSEC. Det beslutade utfallet av överklagandet ska godkännas av ledande befattningshavare.

Ömsesidigt erkännande av certifikat

Certifikat som utfärdas inom ramen för den svenska certifierings- ordningen kan vara föremål för ömsesidigt erkännande enligt CCRA, EA MLA (The European cooperation for accreditation multilateral

18 CSEC:s dokument SP-001, Certification and Evaluation Scheme – Scheme Overview, ver-

sion 28.0, den 24 september 2019.

SOU 2020:58 Cybersäkerhetscertifiering i Sverige

agreement) och SOG-IS MRA. Ett certifikat utfärdat av CSEC kan omfattas av alla dessa avtal. Det är möjligt att delta i en certifiering där endast ett av avtalen refereras till. Vilken överenskommelse om ömsesidigt erkännande som är tillämpligt på en specifik certifiering kommer att dokumenteras i certifieringsavtalet. En kund som ansöker om certifiering kan välja vilka avtal om ömsesidigt erkännande som certifieringen ska omfattas av.

Numera begränsas giltigheten av CC-certifikat som är ömsesidigt erkända inom CCRA och SOG-IS MRA över tid. Giltighetstiden är högst fem år från dagen för utfärdandet av certifikatet.

CCRA och SOG-IS MRA medför bl.a. inom krypto- och säker- hetsskyddsområdet endast ett begränsat ömsesidigt erkännande av certifikat. De nationella reglerna kring vilka kryptografiska funk- tioner som får användas, hur dessa ska kontrolleras och vem som får utföra kontrollerna kan vara mycket känsligt. De nationella reglerna har företräde framför såväl CCRA som SOG-IS MRA.

CSEC kan utfärda certifikat med krav på överensstämmelse mot CC på samtliga assuransnivåer, mot CCRA avseende CC-assurans- komponenter i antingen en gemensam skyddsprofil (collaborative Protection Profile, cPP) eller lägre assuransnivåer (EAL 1 och 2), samt mot SOG-IS MRA gällande assuransnivåerna 1–421. CSEC kan också utfärda nationella certifikat som inte omfattas av något av de ovanstående avtalen om ömsesidigt erkännande och med krav på överensstämmelse mot CC på samtliga assuransnivåer.

Ömsesidigt erkännande enligt CCRA22 av certifikat som utfär- dats inom den nationella certifieringsordningen är föremål för vissa krav på själva ordningen, som att genomgå periodiska utvärderingar av andra deltagare i CCRA och uppfylla särskilda restriktioner för hantering av skyddad information som delas mellan deltagarna.

21 Deltagarna i SOG-IS MRA accepterar CSEC som certifieringsorgan upp till assuransnivå 4. 22 Detta gäller även SOG-IS MRA.

Cybersäkerhetscertifiering i Sverige SOU 2020:58