§ 9
Postup a způsob certifikace kryptografického prostředku
(1) O provedení certifikace kryptografického prostředku pro požadovaný stupeň utajení utajovaných skutečností jsou oprávněni požádat
a) orgán státu,
b) organizace, které bylo pro tento stupeň utajení utajovaných skutečností vydáno potvrzení,
c) fyzická osoba, která byla pro tento stupeň utajovaných skutečností určena.
(2) Certifikace kryptografického prostředku se provádí na základě žádosti. Vzor žádosti o certifikaci kryptografického prostředku je uveden v příloze č. 3.
(3) K žádosti o certifikaci kryptografického prostředku se přikládají
a) vydané certifikáty jiných autorizovaných zkušeben, včetně výsledků měřících protokolů, a seznam norem, kterým kryptografický prostředek vyhověl,
b) potřebný počet kusů kryptografického prostředku k provedení jeho certifikace a v případě potřeby provedení jejich instalace v podmínkách certifikačního pracoviště nebo provedení úvodního seznámení s kryptografickým prostředkem.
(4) V závislosti na určení použití kryptografického prostředku se k žádosti o jeho certifikaci dále přikládá
a) pro stupeň utajení "Vyhrazené" dokumentace uvedená v příloze č. 2 odst. 1,
b) pro stupeň utajení "Důvěrné" dokumentace uvedená v příloze č. 2 odst. 2,
c) pro stupeň utajení "Tajné" dokumentace uvedená v příloze č. 2 odst. 3,
d) pro stupeň utajení "Přísně tajné" dokumentace uvedená v příloze č. 2 odst. 4.
(5) Úřad si v případě potřeby může dále vyžádat
a) další doplňující podklady nebo údaje potřebné k provedení certifikace kryptografického prostředku,
b) seznámení svého hodnotitelského týmu s kryptografickým prostředkem, a to zejména s instalací, parametry, pravidly používání, použitými kryptografickými klíči a klíčovým hospodářstvím,
c) poskytnutí možnosti využít uživatelského prostředí žadatele o certifikaci, ve kterém bude kryptografický prostředek používán, za účelem posouzení vlivu tohoto prostředí na bezpečnostní požadavky ochrany utajovaných skutečností,
d) doložení úrovně bezpečnostních opatření při výzkumu, vývoji, výrobě a distribuci certifikovaného prostředku a klíčového hospodářství.
(6) Úřad převezme žádost o certifikaci kryptografického prostředku, zkontroluje úplnost dokumentace přiložené podle odstavců 3 a 4 a potvrdí převzetí potřebného počtu kusů kryptografického prostředku. V případě zjištění nedostatků v úplnosti dokumentace přiložené podle odstavců 3 a 4 vyzve Úřad žadatele, aby ve stanoveném termínu nedostatky odstranil. Neodstraní-li žadatel vytčené nedostatky, Úřad certifikaci neprovede a žádost, včetně všech podkladů a kryptografických prostředků, vrátí žadateli. Na tento důsledek musí být žadatel upozorněn.
(7) Bude-li k provedení certifikace potřebné předložit další podklady nebo zabezpečit činnosti uvedené v odstavci 5, vyzve Úřad žadatele o předložení podkladů nebo zabezpečení činností ve stanoveném termínu. Nepředloží-li žadatel požadované podklady nebo nezabezpečí-li požadované činnosti, Úřad v certifikaci nepokračuje a žádost, včetně všech podkladů a kryptografických prostředků, vrátí žadateli. Na tento důsledek musí být žadatel ve výzvě upozorněn.
(8) Hodnocení kryptografického prostředku se provádí posouzením podkladů předložených žadatelem a ověřením shody zjištěných parametrů kryptografického prostředku s bezpečnostními standardy.
(9) Na základě výsledků hodnocení Úřad posoudí způsobilost kryptografického prostředku k ochraně utajovaných skutečností. Zjistí-li Úřad shodu hodnoceného kryptografického prostředku s bezpečnostními standardy, schválí jeho způsobilost a vydá žadateli certifikát. Vzor certifikátu kryptografického prostředku je uveden v příloze č. 4.
(10) Nesplňuje-li hodnocený kryptografický prostředek způsobilost pro požadovaný stupeň utajení a zjistí-li Úřad jeho shodu s bezpečnostními standardy pro nižší než požadovaný stupeň utajení, vydá Úřad certifikát pro tento nižší stupeň utajení.
(11) Uznat certifikát kryptografického prostředku potvrzující ověření a schválení způsobilosti pro ochranu utajovaných skutečností vydaný cizí mocí lze, pouze pokud tak stanoví mezinárodní smlouva, kterou je Česká republika vázána, nebo na základě vzájemnosti a shody hodnotících kritérií. Ve Věstníku Úřadu se uveřejní seznam certifikačních pracovišť cizí moci, jejichž certifikát kryptografického prostředku lze uznat, a seznam kryptografických prostředků certifikovaných cizí mocí, jejichž certifikát byl uznán Úřadem.
(12) Ve Věstníku Úřadu se uveřejní seznam certifikovaných technických prostředků pro jednotlivé stupně utajení s uvedením doby platnosti certifikátu.
(13) Úřad po skončení certifikace vrátí žadateli o certifikaci pouze jím předložené kryptografické prostředky. Žádost o certifikaci kryptografického prostředku, dokumentaci přiloženou k žádosti podle odstavce 3 a další doplňující podklady a údaje potřebné k provedení certifikace vyžádané podle odstavce 5 se žadateli o certifikaci nevracejí a zůstávají součástí certifikačního spisu.
(14) Doba platnosti certifikátu kryptografického prostředku vydaného Úřadem je
a) pro stupeň utajení "Vyhrazené" 6 let,
b) pro stupně utajení "Důvěrné", "Tajné" nebo "Přísně tajné" 5 let.
(15) Platnost certifikátu kryptografického prostředku zaniká uplynutím doby jeho platnosti nebo rozhodnutím Úřadu v případě, že kryptografický prostředek pozbyl shody s bezpečnostními standardy.