Értékelési divízió

A HUNGUARD Kft. értékelési tevékenysége során szoftvertermékek, továbbá működtetett rendszerek biztonsági, illetve biztonsághoz kapcsolódó jogszabályi megfelelőségének értékelésével foglalkozik.

A szoftvertermékek értékelésének elsődleges célja, hogy a termék minőségét és biztonságosságát illetően érthető, elfogadható és a különböző érdekelt felek – fejlesztők, szállítók, vásárlók, felhasználók, értékelők, tanúsító testületek – által jól használható támpontot nyújtson az adott szoftver jellemzőit illetően.

 

Értékelési divíziónk a következő három fő területen az alábbi módszertanokat alkalmazza:

1. Szoftvertermékek biztonsági értékelése

Ez az értékelési módszertan az üzletmenet- és biztonságkritikus szoftvertermékekre alkalmazható, maga az értékelés az ISO/IEC 15408 szabványban meghatározott modell, valamint az ennek megfelelő értékelési módszertant tartalmazó ISO/IEC 18045 elvárásait követi. Az értékelés végeredménye egy ISO/IEC 18045 módszertan alapján készült értékelési jelentés.

Az értékelés különböző fejlesztői bizonyítékokon – biztonsági előirányzat, biztonsági tervdokumentációk, útmutató dokumentumok, életciklus támogatással kapcsolatos dokumentumok, teszteléssel kapcsolatos dokumentumok, valamint maga a futtatható és tesztelhető szoftver – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemzőre koncentrál.

Vizsgálólaboratóriumunk az ISO/IEC 15408 szabványban meghatározott hét értékelési garanciaszint közül az alábbiakra dolgozott ki részletes módszertani eljárásrendet: EAL2, EAL3, EAL4.

Ennek mentén értékelési divíziónk felkészült az ISO/IEC 18045 módszertan alapján kiadott KIB 28. számú ajánlásában meghatározott értékelés, MIBÉTS keretében alkalmazandó egyszerűsített, honosított változatára is mindhárom értékelési garanciaszintre. Ezek a MIBÉTS alap, amely megfelel az ISO/IEC 15408 által meghatározott EAL2-nek; a MIBÉTS fokozott, amely megfelel az ISO/IEC 15408 által meghatározott EAL3-nak; illetve a MIBÉTS kiemelt, amely megfelel az ISO/IEC 15408 által meghatározott EAL4-nek.

A MIBÉTS keretében végzett értékelés végeredménye egy MIBÉTS módszertan alapján készült értékelési jelentés.

2. Informatikai rendszerek biztonsági értékelése

Ez az értékelési módszertan az üzletmenet- és biztonságkritikus informatikai rendszerekre alkalmazható. Az informatikai rendszerek biztonságára vonatkozó értékelés a KIB 28. számú ajánlásában meghatározott rendszerértékelési módszertan elvárásait követi. Az értékelés különböző fejlesztői bizonyítékokon – rendszer biztonsági előirányzat, biztonsági tervek, útmutatók, tesztelésre vonatkozó dokumentáció – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemzőre koncentrál.

Vizsgálólaboratóriumunk a KIB 28. számú ajánlás rendszer értékelési módszertanában meghatározott mindhárom rendszer garanciacsomagra – SAP: Security Assurance Package – részletes módszertani eljárásrendet dolgozott ki, ezek a SAP alap, SAP fokozott, SAP kiemelt.

Az értékelés végeredménye egy a KIB 28. számú ajánlás rendszer értékelési módszertana alapján készült rendszer értékelési jelentés.

A működtetett rendszerekre vonatkozó értékelés a MIBÉTS módszertanon kívül alapulhat a NIST SP 800-53A (Assessing Security and Privacy Controls in Federal Information Systems and Organizations Building Effective Assessment Plans) vizsgálati módszertanon, melynek esetén a vizsgálandó követelményeket vagy a NIST 800-53 rev4 (Security and Privacy Controls for Federal Information Systems and Organizations) dokumentum (low, moderate és high szintekre), vagy az ennek honosításaként kiadott 41/2015. (VII.15.) BM rendelet tartalmazza (1-5 biztonsági osztályokra).

3. Szoftvertermékek kriptográfiai biztonságának értékelése

Ez az értékelési módszertan a kriptográfiai mechanizmusokat megvalósító szoftvermodulokra alkalmazható.

A szoftvertermékek kriptográfiai biztonságára vonatkozó értékelés az ISO/IEC 19790 szabványban meghatározott modellen – a kriptográfiai modulok biztonsági követelményein – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemző alábbi kriptográfiai szempontú segédjellemzőire – bizalmasság, sértetlenség és letagadhatatlanság – koncentrál. Vizsgálólaboratóriumunk az ISO/IEC 19790 szabványban meghatározott négy biztonsági szint közül a legalsóra – Level-1 – dolgozott ki részletes módszertani eljárásrendet.

 

  • A HUNGUARD Kft. szervezetében a hatékonyság és a professzionális ügyfélkiszolgálás érdekében szervezési és adminisztratív, valamint kereskedelmi kérdésekben elkülönült…
  • Tanúsítási divízió
    2016 febr. 04
    Vállalkozásunkat első körben 2002-ben az Informatikai és Hírközlési Miniszter jelölte ki 006/2002 regisztrációs számon elektronikus aláírási termék tanúsító…