Értékelési divízió

A HUNGUARD Kft. értékelési tevékenysége során szoftvertermékek, továbbá működtetett rendszerek biztonsági, illetve biztonsághoz kapcsolódó jogszabályi megfelelőségének értékelésével foglalkozik.

A szoftvertermékek értékelésének elsődleges célja, hogy a termék minőségét és biztonságosságát illetően érthető, elfogadható és a különböző érdekelt felek – fejlesztők, szállítók, vásárlók, felhasználók, értékelők, tanúsító testületek – által jól használható támpontot nyújtson az adott szoftver jellemzőit illetően.

 

Értékelési divíziónk a következő két fő területen az alábbi módszertanokat alkalmazza:

1. Szoftvertermékek információtechnikai biztonsági értékelése

Ez az értékelési módszertan az üzletmenet- és biztonságkritikus szoftvertermékekre alkalmazható, több éves gyakorlattal elsősorban az alábbi célterületeken végezzük értékeléseinket:

  • Hálózati és mobil szoftverbiztonság

Az értékelést meghatározó szabványok: OWASP Application Security Verification Standard és az OWASP Mobile Application Security Verification alapján az (OWASP Web Security Testing Guide-dal kiegészített) OWASP Application Security Verification Standard és az (OWASP Mobile Security Testing Guide-dal kiegészített) OWASP Mobile Application Security Verification Standard módszertanok.

  • Szoftverbiztonság

Az értékelés az ISO/IEC 15408 szabványban meghatározott modell, valamint az ennek megfelelő értékelési módszertant tartalmazó ISO/IEC 18045 elvárásait követi. Az értékelés végeredménye egy ISO/IEC 18045 módszertan alapján készült értékelési jelentés.

Az értékelés különböző fejlesztői bizonyítékokon – biztonsági előirányzat, biztonsági tervdokumentációk, útmutató dokumentumok, életciklus támogatással kapcsolatos dokumentumok, teszteléssel kapcsolatos dokumentumok, valamint maga a futtatható és tesztelhető szoftver – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemzőre koncentrál.

Vizsgálólaboratóriumunk az ISO/IEC 15408 szabványban meghatározott hét értékelési garanciaszint közül az alábbiakra dolgozott ki részletes módszertani eljárásrendet: EAL2, EAL3, EAL4.

  • Elektronikus aláírási szoftver termékek biztonsága

Az értékelést meghatározó szabvány: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for applications for signature creation and signature validation ETSI TS 119 101 nemzetközi szabvány, a NIST SP 800-53A által meghatározott értékelési módszertan felhasználásával

  • Kriptográfiai biztonság

Ez az értékelési módszertan a kriptográfiai mechanizmusokat megvalósító szoftver modulokra alkalmazható.

A szoftvertermékek kriptográfiai biztonságára vonatkozó értékelés az [ISO/IEC 19790] szabványban meghatározott modellen (kriptográfiai modulok biztonsági követelményei) alapul.

Vizsgálólaboratóriumunk a [ISO/IEC 19790] szabványban meghatározott négy biztonsági szint közül a Level-1 szintre dolgozott ki részletes módszertani eljárásrendet. az ISO/IEC 24759 értékelési módszertan alapján.

 

2. Informatikai rendszerek biztonsági értékelése

Ez az értékelési eljárás az üzletmenet- és biztonságkritikus informatikai rendszerekre alkalmazható. Az értékelés különböző fejlesztői bizonyítékokon – rendszer biztonsági előirányzat, biztonsági tervek, útmutatók, tesztelésre vonatkozó dokumentáció – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemzőre koncentrál.

A működtetett rendszerekre vonatkozó értékelés a NIST SP 800-53A (Assessing Security and Privacy Controls in Federal Information Systems and Organizations Building Effective Assessment Plans) vizsgálati módszertanon alapul, melynek esetén a vizsgálandó követelményeket vagy a NIST 800-53 rev4 (Security and Privacy Controls for Federal Information Systems and Organizations) dokumentum (low, moderate és high szintekre), vagy az ennek honosításaként kiadott 41/2015. (VII.15.) BM rendelet tartalmazza (1-5 biztonsági osztályokra). Az értékelési követelmények egyes felhasználói területeken kiegészülhet jogszabályokban megfogalmazott egyéb követelményekkel is, ennek megfelelően a fő értékelési területek:

  • Informatikai rendszerbiztonság / Informatikai biztonsági megfelelőségi vizsgálata (NIST SP 800-53 vagy 41/2015. (VII.15.) BM rendelet követelményei alapján)
  • Elektronikus aláírási rendszerek vizsgálata (ETSI TS 119 101, MSZ EN 419241-1 alapján)
  • Papír-elektronikus konverzió / Papír alapú dokumentumok elektronikus konverziója (451/2016. (XII.19. Korm. Rendelet 55-58. §, valamint ETSI TS 119 101 követelményeinek megfelelés)
  • Auditált elektronikus hírközlő eszközök értékelése (26/2020 MNB rendelet II. fejezet követelményei alapján)
  • Digitális archiválási rendszerek értékelése zárt rendszerben vagy elektronikus aláírással (1/2018. (VI.29.) ITM rendelet és ETSI TS 101 533-1 előírásai alapján)
  • Elektronikus azonosítási és bizalmi szolgáltatásokat nyújtó rendszerek megfelelőségi értékelése (az eIDAS rendelet és a kapcsolódó ETSI szabványok, valamint a 24/2016 BM rendelet figyelembe vételével).
  • A HUNGUARD Kft. szervezetében a hatékonyság és a professzionális ügyfélkiszolgálás érdekében szervezési és adminisztratív, valamint kereskedelmi kérdésekben elkülönült…
  • Tanúsítási divízió
    2016 febr. 04
    Vállalkozásunkat első körben 2002-ben az Informatikai és Hírközlési Miniszter jelölte ki 006/2002 regisztrációs számon elektronikus aláírási termék tanúsító…