česky english Vítejte, dnes je středa 24. červenec 2024

Certifikační služby – Terminologie

DPS 2/2018 | Články
Autor: RNDr. Karel Jurák, Ph.D., Ing. Zuzana Nejezchlebová, CSc.

Následující příspěvek je zaměřen na terminologii z oblasti poskytování certifikačních služeb na vnitřním trhu České republiky. Je pokračováním příspěvků na témata: Elektronická identifikace, autentizace a důvěryhodné služby; Certifikace a akreditace. [DPS-AZ].

Poskytovatelé certifikačních služeb (Certification services providers) nabízí zajištění certifikátu pro:

  • organizace (systém managementu: kvality, environmentu atp.);
  • produkty (shoda s normou, bezpečnost elektrotechnická, radiační, …);
  • služby (profesionalita, důvěryhodnost, …);
  • osoby (způsobilost pro vykonávání jisté profese: svářeč, manažer bezpečnosti informací, projektový manažer státní správy, …).

Příklady názvů pro poskytovatele certifikačních služeb

Příslušné termíny a definice snadno získáme pomocí aplikace [OBP], Online Browsing Platform (obr. 1) nebo [IEC Glossary] (obr. 2).

Obr. 1, 2

Přeložené výsledky pro dotazy: „Certification organization“, „Certification body“ a „Certification authority“ jsou např. následující:

Certifikační organizace (Certification organization):

  • organizace, která vydává certifikáty pro výrobky XXX (organization which issues XXX certificates) (ISO/IEC 24761:2009);
  • organizace, která provádí certifikaci shody a je akreditována příslušným orgánem (organization that conducts certification of conformity and is accredited by an appropriate body) (ISO 12576-2:2008).

Certifikační orgán (Certification body):

  • nestranný orgán, vládní nebo nevládní, který má nezbytnou kompetenci k provádění certifikace shody podle daných pravidel (ISO/TS 21003-7: 2008);
  • orgán, který provádí hodnocení shody třetí stranou a který používá příslušná certifikační schémata (third-party conformity assessment body operating certification schemes) (ISO/IEC 29110-2-1:2015).

Certifikační autorita (Certification Authority):

  • důvěryhodná entita pro vytváření a přidělování certifikátů veřejného klíče (entity trusted to create and assign public key certificates) – viz též obr. 3 (ISO/IEC 20009-2:2013);
  • autorita důvěryhodná pro jednu nebo více stran pro vytváření a přidělování certifikátů (ISO/IEC 18307:2001).

Obr. 3

Příklady certifikačních služeb v ČR

Certifikační autorita (například APCS eIdentity a. s., [eIdentity]) musí být akreditována (MIČR/MVČR) pro výkon činnosti akreditovaného poskytovatele certifikačních služeb v souladu se zákonem:

  • 227/2000 Sb., o elektronickém podpisu (electronic signature);
  • 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (trust services for electronic transactions).

Certifikační autorita pro IPMA (International Project Management Association); příklady:

  • Společnost pro projektové řízení (SPŘ);
  • MVČR, Institut státní správy, Certifikace manažerů ve státní správě podle IPMA.

Kvalifikovaní poskytovatelé certifikačních služeb musí podle vyhlášky 378/2006 Sb. provádět audit systému řízení bezpečnosti informací podle ČSN ISO/IEC 27001 [MV]. Tito poskytovatelé nabízí např.:

  • vydávání kvalifikovaných certifikátů (qualified certificates);
  • vydávání kvalifikovaných systémových certifikátů (qualified system certificates);
  • vydávání kvalifikovaných časových razítek (qualified electronic time stamps).

Mezi kvalifikované poskytovatele certifikačních služeb patří např.:

  • První certifikační autorita, a. s. (I. Certification Authority);
  • Česká pošta, s. p.;
  • eIdentity a. s.

Certifikace v oblasti kybernetické bezpečnosti (Cyber-Security) zajištuje kybernetickou bezpečnost v příslušných resortech ČR. Vychází ze Systému řízení bezpečnosti informací, ISMS (Information Security Management System). Certifikace se provádí podle normy ISO/ IEC 27001.

Národní bezpečnostní úřad NBÚ provádí mj. certifikaci technických prostředků, informačních systémů, kryptografických prostředků a kryptografických pracovišť [UTB Zlín].

Český institut pro akreditaci provádí akreditaci např. pro:

  • certifikační orgány certifikující osoby;
  • certifikační orgány certifikující produkty;
  • certifikační orgány certifikující systémy managementu.

Certifikační orgán CQS (Association for Quality System Certification) získal řadu akreditací ČIA, např.:

  • pro certifikaci systémů managementu jakosti (certification of quality management systems) podle ČSN EN ISO 9001:2016;
  • pro certifikaci systémů environmentálního managementu (certification of environmental management systems) podle ČSN EN ISO 14001:2016;
  • pro certifikaci systémů managementu bezpečnosti a ochrany zdraví při práci;
  • pro certifikaci systémů managementu bezpečnosti informací podle ČSN ISO/IEC 27001:2014;
  • pro všechny systémy (certification of management systems) podle ČSN EN ISO/IEC 17021:2011.

Zákazník certifikačního orgánu by si měl na webu prověřit, kdo zvolený orgán akreditoval, zda je akreditace dosud platná a podle které normy (např. ČIA akreditovala EZU podle ČSN EN ISO/IEC 17065:2013). Zda je certifikovaný produkt (hmotný produkt, proces, služba) uveden v Osvědčení o akreditaci, které je povinnou přílohou na webu akreditující instituce atd.

Literatura

[csWiki] csWikipedia: https://cs.wikipedia.org/

  • Certifikační autorita
  • Certifikační organizace
  • CERT
  • Český institut pro akreditaci
  • Poskytovatel certifikačních služeb
  • Systém řízení bezpečnosti informací

[ČIA] Český institut pro akreditaci, Akreditované subjekty, http://www.cia.cz

[DPS-AZ]

  • Certifikace a akreditace – Terminologie, DPS-AZ, č.4/2016
  • Elektronická identifikace, autentizace a důvěryhodné služby, DPS-AZ, č.1/2018

[eIdentity] APCS eIdentity a.s, http://www.eidentity.cz/ServicesDescription.html

[enWiki] enWikipedia: https://en.wikipedia.org Category: Certificate authorities

[IEC Glossary] http://std.iec.ch/glossary

[MV] http://www.mvcr.cz Přehled kvalifikovaných poskytovatelů certifikačních služeb

[OBP] Online Browsing Platform, www.iso.org/obp/ui/

[UTB Zlín] Máčala, Zavedení systému řízení bezpečnosti informací holdingu Kovárna VIVA a.s, dipl. práce, 2016

[WikiComm] Wikimedia Commons: File:PublicKeyCertificateDiagram It.svg (obr. 3)