Agenda. Kort om CC. Utvecklingen nu och framöver. Hur använda CC vid upphandling? CSEC roll CCRA. Internationellt Sverige. Konkurrens på lika villkor

Relevanta dokument
Vad är speciellt med IT-säkerhet?

Agenda SWEDISH CERTIFICATION BODY FOR IT SECURITY

IT-säkerhetsstandarden Common Criteria (CC) en introduktion. kbm rekommenderar 2007:2

Kryptosamverkan. Träffpunkt CC Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 SWEDISH CERTIFICATION BODY IT SECURITY

Konsoliderad version av

Ny samverkan till stöd vid upphandling av kryptolösningar

EU förhandlingar kring cybersäkerhetscertifiering

Europeisk samsyn på kryptomekanismer SOGIS nya kryptolista en översikt

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

Common Criteria Certification of Open Source Software

192 Guide för förenklad ST/PP

Statens inköpscentral

Rubrik. The European Cybersecurity Certification Framework. Informationssäkerhetskonferensen för offentlig sektor 2019

Temadag LABU 12. Upphandlaren/inköparens perspektiv. Anders Pihl

Sid 1 (7) Statens inköpscentral Dnr Kort för identifiering och behörighetskontrol KRAVKATALOG

Vad innebär de nya reglerna om offentlig upphandling för Dig och Ditt företag? Gävle 28 september 2017 Birgitta Laurent

Frukost möte Salems kommun Anna Karin Renström Ann-Christin Lindberg

UMEVA, Robertsfors kommun, Vännäs kommun, Bjurholms kommun, Vindelns kommun, Sorsele kommun.

Nya EU-direktiv om upphandling och koncessioner. Eva Sveman

Hållbar Upphandling. Nätverket Renare Mark Seminarium om upphandling inom förorenade områden Luleå 13 februari 2013

Nyheter inom offentlig upphandling. Mora 5 oktober 2017 Birgitta Laurent

Upphandlings- och inköpspolicy för Bengtsfors kommun

Miljökrav och sociala krav. Advokat Nicklas Hansson 17 februari 2016 i Malmö

Riktlinjer för utvärdering av anbud

Mars Vägledning för informations säkerhetsdeklarationen. Säkerhet vid anskaffning och utvecking av system

Umeå Kommun inbjuder till anbudsgivning gällande - Taxiresor -. Upphandlingen genomförs enligt Lagen om Offentlig Upphandling (LOU).

Viss översyn av verksamhet och organisation på informationssäkerhetsområdet

AffärsConcept. Hantering av handlingar när andra upphandlar för din räkning Den 19 maj 2015

Att göra affärer med Sävsjö kommun (Offentlig sektor)

Offentlig upphandling och små företag Upplands Bro 16 sept Ulrica Dyrke, Företagarna

Hur blir du leverantör till Vårgårda kommun?

Styrelsens för ackreditering och teknisk kontroll författningssamling

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

FEM TIPS HUR DU UPPHANDLAR AFFÄRSMÄSSIGT MED DE NYA DIREKTIVEN

Offentlig upphandling som miljöpolitiskt styrmedel. Upphandling 24. 1:a december Sofia Lundberg Per-Olov Marklund SNS rapport NR 30, 2015.

ANBUDSUTVÄRDERING Kommunikationsnät för AB Eidar Trollhättans Bostadsbolag

Utmärkt kvalitet för din skull

Riktlinjer för direktupphandling. Datum Versionsnummer 1.0

NYA UTVÄRDERINGSKRITERIER VID TILLDELNING AV KONTRAKT UPPHANDLINGSJURIDIK I PRAKTIKEN 20 SEPTEMBER 2016

SYSTGL GRANSKNINGSINSTRUKTION ISD 3.0

Lag (2007:1091) om offentlig upphandling

Lagen (2007:1091) om offentlig upphandling (LOU) vad gäller för samordningsförbund?

ESPD: En vägledning för upphandlare och leverantörer. Robin Anderson Boström, Upphandlingsmyndigheten

Betänkande Ds 2011:6 Ökad konkurrens på det uppdragsarkeologiska området - vissa ändringar i kulturminneslagen

Datum Vår referens Sida Dnr: (5) 1. Upphandling av telefoni till abonnenter utan fast eller landmobilt nät

Träffpunkt CC- Svenskt PP/cPP arbete. Ronny Janse, MSB Jan-Ove Larsson, FRA

Enskilda dialogmöten. Innehåll METODER FÖR TIDIG DIALOG

Har ni någon gång funderat på att lämna anbud i en offentlig upphandling, men därefter avstått från att göra det? Svarsalternativ

Offentlig upphandling - affärer för miljoner -

Tillämpning av ramavtal rättigheter och skyldigheter

Offentlig upphandling. LOU och LUF

PTS informationsmöte om eidas och betrodda tjänster

Bilaga. Sammanfattning

IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret.

Strategier vid överprövning

NYA GRUNDER FÖR UTVÄRDERING AV ANBUD MALMÖ DEN17 FEBRUARI 2016

Dnr: /9.72 1(5)

DOM Meddelad i Falun

Förfrågningsunderlag: Marknadsföring och försäljning av snickeriprodukter på den nordiska objektmarknaden

Inköps- och upphandlingsriktlinjer

Vad gäller enligt LOU? Mathias Sylwan Upphandlingsteknik & Investeringsbeslut Stockholm 12 september 2013

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION DEFINIERA (ISD-D) Inklusive 3 bilagor

Att våga och lyckas påverka offentlig upphandling

Ärende: Ärende 9 Dnr Förslag till yttrande: Granskning av upphandlingar. Utbildningsnämnden

Syfte och organisation. Hör gärna av dig till oss om du har fler frågor När trader avtalet om samgåendet i kraft?

Så blir den nya lagstiftningen om hållbar upphandling. Hållbar upphandling 14 mars 2016 Lisa Sennström

Upphandlingspolicy. för Borlänge, Falun, Gagnef, Ludvika och Säter

ÅSTORPS KOMMUNS FÖRFATTNINGSSAMLING

Upphandling Samverkansrådet 10 februari 2014

Inköps- och upphandlingspolicy

Upphandling i kommunala bolag

OFFENTLIG UPPHANDLING

Vägledning för informationssäkerhetsdeklarationen

DOM Meddelad i Stockholm

Version September Branschöverenskommelse upphandling av livsmedel

Utvärderingsmodeller vid offentlig upphandling

Anbudsförfrågan på upphandling av Hantverkartjänster Målare

Möjligheterna i LOU Presentation av gällande juridik och regelverk. Mathias Sylvan UHC-dagen Folkets Hus i Säter

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖR UPPHANDLING

FMV:s yttrande över betänkandet SOU 2015:23 avseende informations- och cybersäkerhet i Sverige strategi och åtgärder för säker information i staten

Tilldelningsbeslut ekonomisystem

Vår styrka är kombinationen av verksamhetskunnande samt ledande kompetens inom ITmanagement

Jämställda upphandlingar

ISD. Etablering av ISD inom FMV. Dan Olofsson PrL ISD

ONORMALT LÅGA ANBUD STOCKHOLM DEN 23 FEBRUARI 2016

VINSTERNA MED LOU ANBUDSGIVNING

Alternativa avropsmetoder i ramavtal Varför inte?

Kompetens i upphandling och köp av tekniska konsulttjänster

Arbetsrättsliga villkor. Charlotta Frenander Upphandlingskonferensen 23 november 2017

Lagen om offentlig upphandling (LOU) och Upphandlingsutredningens analys

Innovationsupphandling av återanvändningssystem Bilaga 2 - Om innovationsupphandling

ISE GRANSKNINGSINSTRUKTION ISD 3.0

PRIMES. [2] Juridiska ramar och policyramar för hållbar upphandling. Energikontor Sydost

De viktigaste rättsfallen på upphandlingsområdet vilka rättsfall kommer att påverka dig under 2019?

Självregistrering för leverantör

Metodbeskrivning för framtagning av ITSS 2: IT-säkerhetsarkitektur. Framtagning av ITSS 2

Upphandling av revisionstjänst avseende KemI:s ledningssystem enligt ISO och ISO 9001

STOCKHOLMS STADS UPPHANDLINGSPOLICY

Politikerutbildning 29 mars Peter Lindgren Upphandlingschef Kristianstads kommun

Transkript:

- Kravställning på IT-säkerhetsprodukter Försvarets Materielverk/CSEC 2005 Document ID Issue 0.1 Cybersäkerhet SESAM 2012-05-10 Dag Ströman Verksamhetschef FMV/CSEC 1

Agenda Kort om CC CSEC roll CCRA Utvecklingen nu och framöver Internationellt Sverige Hur använda CC vid upphandling? Konkurrens på lika villkor 2

Att ställa krav på IT-säkerhet innebär att 1. Definera tillgångar, hot, angripare och riskvillighet 2. Ange krav på säkerhetsfunktioner 3. Ange krav på tillit (assurans) Säkerhetskrav = krav på funktion och assurans 3

Standarden Common Criteria Del 1 Introduktion och grundläggande modell Del 2 Katalog med funktionella säkerhetskrav Del 3 Katalog med assuranskrav CEM - Common Evaluation Methodology - Granskningsregler 4

Viktiga begrepp Protection Profile Köparens dokument Security Target Säljarens dokument Certifikat kvitto på att kraven klaras 5

EAL Evaluation Assurance Level Potentiella hot från: Arbete i konstruktion och granskning EAL7 EAL6 EAL5 Fientligt sinnad konstruktör Främmande makt Kvalificerad programmerare EAL4 EAL3 EAL2 EAL1 Hacker eller programmerare Erfaren användare Intresserad användare Nyfiken användare 6

CSECs roll Utvecklare Evalueringsföretag Certifieringsorgan Tillhandahåller produkt och dokumentation Analyserar dokumentation och testar produkten gentemot ställda krav CSEC granskar och övervakar evalueringsföretaget och utfärdar ett certifikat 7

Cerifikatet beskriver Angriparen Hotbild Säkerhetsfunktioner Säkerhetsarkitektur Evalueringsnivå Driftsättning Krav på omgivning 8

CCRA Common Criteria Recognition Arrangement Långvarigt samarbete mellan försvars- och infosäkmyndigheter USA, Storbritannien, Tyskland, Frankrike, Holland, Australien, Kanada m fl. Certifikat ges ut i 15 länder erkänns i 26 länder 9

Utvecklingen nu och framöver Internationellt Sverige om PP Protection Profile 10

Utvecklingen internationellt Fokus på PP Svensk beteckning: Skyddsprofil EAL-nivå mindre central, istället preciserad granskning i PP CCRA liten grupp med hög tillit transparens inom överenskomna områden generellt lägre nivå ( EAL2 ) Internationell samverkan pågår först PP USB andra gemensamma PP på gång Exempel på PP commoncriteriaportal.org 321 PP www.niap-ccevs.org/evolution/pps/ 11

NIAP National Information Assurance Partnership www.niap-ccevs.org/evolution/pps/ 12

Utvecklingen i Sverige FMV:s första PP-upphandling pågår Datasluss MSB driver flera PP-projekt, i samverkan med flera myndigheter Smart telefon Hårddiskkrypto VPN-lösning USB-minne PP USB under certifiering Kan väntas bli underlag för upphandling 13

14

PP Protection Profile Kan ett dokument certifieras??? Jovisst! Kontroll av stringens och logik tydlig produktbeskrivning hot och miljö säk.krav säk.funktioner + assurans Köparens dokument Skrivs ofta för bred användargrupp Gemensam hotbild och miljökrav 15

Utdrag ur LOU (OBS - nedkortad text) 12 kap. Tilldelning av kontrakt 1 En upphandlande myndighet skall anta antingen 1. det anbud som är det ekonomiskt mest fördelaktiga för den upphandlande myndigheten, eller 2. det anbud som innehåller det lägsta priset. Vid bedömningen skall myndigheten ta hänsyn till olika kriterier såsom driftkostnader, kostnadseffektivitet, kvalitet, funktionella och tekniska egenskaper, service och tekniskt stöd. 16

Konkurrens på lika villkor Upphandling med LOU Lägsta pris och otydliga säkerhetskrav leverantör med ingen eller billig säkerhet gynnas Ekonomiskt mest fördelaktiga och tydliga säkerhetskrav leverantör som uppfyller ställda krav gynnas Det offentliga den största kunden stor påverkan! 17

Hur använda CC vid upphandling? Använd Common Criteria-portalen Finns redan PP som som motsvarar era krav/behov? Ange att produkter som certifierats enligt PP ges fördel vid upphandling. Om inte: Överväg att ta fram en egen PP. Finns redan certifierade produkter som motsvarar behoven? Ställ krav på CC-certifikat, EAL-nivå och funktionalitet och inbjud företagen till upphandlingen. Finns ej certifierade produkter som motsvarar behoven? Kräv att leverantören minst tillhandahåller en Security Target, vilken granskats inom CCRA. Överväg dessutom: Ge fördel vid upphandling till den produkt som är på väg att certifieras och som minst har EAL-nivå som motsvarar kraven. 18

Varför Common Criteria!? En allt viktigare referens i branschen! Sverige Globalt En fungerande metod för kravställning! Bidrar till konkurrens på lika villkor Mer arbete behövs framöver - mer internationell samverkan gemensamma PP förtydliga hur granskning ska ske hur bygga säkra system av säkra komponenter? 19

Tack för ordet! - Frågor? Martin Bergling dag.stroman@fmv.se 20

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss