A Hunguard Kft. értékelési divíziója (a továbbiakban vizsgálólaboratórium) szoftvertermékek értékelésével foglalkozik.
A szoftvertermék értékelés elsődleges célja, hogy a szoftvertermék minőségét illetően olyan eredményeket biztosítson, amelyek érthetőek, elfogadhatóak és amelyekre különböző érdekelt felek (fejlesztők, szállítók, vásárlók, felhasználók, értékelők, tanúsító testületek) támaszkodhatnak.
Az értékelési folyamat egy lépésről lépésre haladó folyamatként írható le. A vizsgálólaboratóriumunk által alkalmazott értékelési folyamat egy olyan általános absztrakt folyamat, amely az [MSZ ISO/IEC 9126] szabványban definiált modellt követi. Ezért e folyamat alkalmazható az [ISO/IEC 12207] szabványban az életciklusra meghatározott valamennyi fő folyamat (beszerzés, szállítás, fejlesztés, üzemeltetés, karbantartás) esetében. Ez az értékelési folyamat különböző értékelési módszertanok szerint is végrehajtható. Az egyes értékelési módszertanok a szoftver minőség különböző szempontjaira fókuszálnak.
Vizsgálólaboratóriumunk az alábbi három értékelési módszertant alkalmazza:
1. Szoftvertermékek minőségének értékelése
Ez az értékelési módszertan valamennyi készen kapható szoftvertermékre alkalmazható.
A szoftvertermékek minőségére vonatkozó értékelés az [ISO/IEC 25051] szabványban meghatározott követelmények teljesülését vizsgálja és igazolja.
Az értékelés a termékleírásra és a felhasználói dokumentumokra vonatkozó általános követelményeken túl, a szoftverre vonatkozó minőségi követelményekre irányul, ez utóbbi keretén belül az [MSZ ISO/IEC 9126] szabványban meghatározott szoftverminőségi jellemzőkre: funkcionalitás, megbízhatóság, használhatóság, hatékonyság, karbantarthatóság, hordozhatóság.
Vizsgálólaboratóriumunk az [MSZ ISO/IEC 9126] szabványban meghatározott négy értékelési szint közül az alsó háromra dolgozott ki részletes módszertani eljárásrendet.
Az értékelés végeredménye egy [ISO/IEC 25051] által meghatározott megfelelés értékelési jelentés.
2. Szoftvertermékek biztonsági értékelése
Ez az értékelési módszertan az üzletmenet- és biztonság-kritikus szoftvertermékekre alkalmazható.
A szoftvertermékek biztonságára vonatkozó értékelés az [MSZ ISO/IEC 15408] szabványban meghatározott modell (az informatikai biztonságértékelés szempontjai), valamint az ennek megfelelő értékelési módszertant tartalmazó [ISO/IEC 18045] elvárásait követi.
Az értékelés különböző fejlesztői bizonyítékokon (köztük a termék különböző szempontú leírásai, a felhasználói dokumentumok és a futtatható szoftver) alapul, s az [MSZ ISO/IEC 9126] szabványban meghatározott funkcionalitás szoftverminőségi jellemző egyik segédjellemzőjére, a biztonságra koncentrál.
Vizsgálólaboratóriumunk az [MSZ ISO/IEC 15408] szabványban meghatározott hét értékelési garanciaszint közül az alsó négyre dolgozott ki részletes módszertani eljárásrendet.
Az értékelés végeredménye egy [ISO/IEC 18045] módszertan alapján készült értékelési jelentés.
Vizsgálólaboratóriumunk felkészült az [ISO/IEC 18045] módszertan [MIBÉTS] keretében alkalmazandó egyszerűsített, honosított változatára [MIBÉTS-V] is, amely lényegében a nemzetközi módszertan egy részhalmazát jelenti.
A MIBÉTS keretében végzett értékelés végeredménye egy MIBÉTS módszertan alapján készült értékelési jelentés.
3. Szoftvertermékek kriptográfiai biztonságának értékelése
Ez az értékelési módszertan a kriptográfiai mechanizmusokat megvalósító szoftver modulokra alkalmazható.
A szoftvertermékek kriptográfiai biztonságára vonatkozó értékelés az [ISO/IEC 19790] szabványban meghatározott modellen (kriptográfiai modulok biztonsági követelményei) alapul, s az [MSZ ISO/IEC 9126] szabványban javaslatként meghatározott biztonság segédjellemző egy speciális szempontjára, a kriptográfiai biztonságra koncentrál.
Vizsgálólaboratóriumunk a [ISO/IEC 19790] szabványban meghatározott négy biztonsági szint közül az alsó háromra dolgozott ki részletes módszertani eljárásrendet.
Az értékelés végeredménye egy [ISO/IEC 19790] alapján készült értékelési jelentés.
Mértékadó dokumentumok:
[ISO/IEC 9126] |
ISO/IEC 9126-1:2001 Information technology – Software engineering – Product quality – Part 1. Quality model |
[ISO/IEC 18045] |
ISO/IEC 18045:2005 Information technology – Security techniques – Methodology for IT security evaluation |
[ISO/IEC 19790] |
ISO/IEC 19790:2006 Information technology - Security techniques — Security requirements for cryptographic modules |
[ISO/IEC 25051] |
ISO/IEC 25051:2006 Szoftvertervezés – Szoftvertermékekre vonatkozó minőségi követelmények és értékelés (SQuaRE) – Minőségi követelmények és tesztelési előírások a kereskedelemben készen kapható (COTS) szoftvertermékekre |
ISO/IEC TR 9126-1:2003 |
Information technology – Software engineering – Product quality – Part 1. External metrics |
ISO/IEC TR 9126-2:2003 |
Information technology – Software engineering – Product quality – Part 2. Internal metrics |
ISO/IEC TR 9126-3:2004 |
Information technology – Software engineering – Product quality – Part 3. Quality in use metrics |
[ISO/IEC 15408] |
ISO/IEC 15408-1:2005 Information technology - Security techniques — Evaluation criteria for IT security – Part 1: Introduction and general model – Part 2: Security functional requirements – Part 3: Security functional requirements |
[MIBA] |
Közigazgatási Informatikai Bizottság (KIB) 25. számú ajánlása - Magyar Informatikai Biztonsági Ajánlások |
[MIBÉTS]: |
KIB 25. számú ajánlása (MIBA) – 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma |
[MIBÉTS-V] |
KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan |
[MSZ ISO/IEC 9126] |
MSZ ISO/IEC 9126:2000 Informatika. Szoftvertermékek értékelése. Minőségi jellemzők és használatuk irányelvei |
[MSZ ISO/IEC 12207] |
MSZ ISO/IEC 12207:2000 Informatika. Szoftveréletciklus-folyamatok |
[MSZ ISO/IEC 15408] |
MSZ ISO/IEC 15408:2003 Informatika – Biztonságtechnika – Az informatikai biztonságértékelés közös szempontjai – 1. rész: Bevezetés és általános modell - 2. rész: A biztonság funkcionális követelményei – 3. rész: A biztonság garanciális követelményei |