Az elektronikus aláírási termékekkel szemben támasztott irányadó követelmények forrásai

Az alább részletezett általános követelmények konzisztens részrendszerét kell az egyes aláírási termékek tanúsítása során irányadónak tekinteni. A konzisztens részrendszert meghatározzák az aláírási termék specifikumai (pl. SmartCard, PC-ben szoftver, kriptográfiai hardver modul stb.), valamint a funkcióval és az alkalmazással szemben meghatározott kockázatelemzés.

·           CEN 14167-1:2003 munkacsoport egyezmény: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures

·           CWA 14169: 2004 Secure Signature-creation devices "EAL 4+"

·           CWA 14170: 2004 Security requirements for signature creation applications

·           CWA 14171: 2004 General guidelines for electronic signature verification

·           CWA 14890-1:2004 Application Interface for smart cards used as Secure Signature Creation Devices - Part 1: Basic requirements

·           CWA 14890-2:2004 Application Interface for smart cards used as Secure Signature Creation Devices - Part 2: Additional Services

·           Mobile Signature Service Security Framework; ETSI TR 102 206 V1.1.3 2003-08

 

Tanúsítványt aláíró kriptográfiai modulra vonatkozó speciális irányadó követelmény rendszer:

 

ISO/IEC  19790 Information technology -- Security techniques -- Methodology for IT security evaluation (mely megfelel az amerikai FIPS PUB 140-2 szabványnak)

A NIST FIPS (Federal Information Processing Standard) kiadványai közül a FIPS‑140‑2 kiadvány határozza meg azt a szabványt, amelyet állami szerveknek kell az Egyesült Államokban felhasználniuk, ha kriptográfia alapú biztonsági rendszereket akarnak használni érzékeny, vagy értékes adatok védelmére, ennek európai szabványosítása az ISO/IEC 19790.

 

A Nemzeti Hírközlési Hatóság iránymutatásai (elérhetők az NHH honlapján):

 

• Kriptográfiai algoritmusokra vonatkozó elvárások /A Nemzeti Hírközlési Hatóság határozatai/:

HL-21917-9,10,11,12,13,14/2008. számú határozat a felhasználható biztonságos kriptográfiai algoritmusokról, valamint a hozzájuk tartozó paraméterekről a mellékletekben foglaltaknak megfelelően.

• Ajánlás elektronikus archiválási szolgáltatások nyújtásához felhasznált megbízható rendszerekre vonatkozó biztonsági követelményekre, NHH, 2007.07.07.
• Ajánlás Eljárásrendi követelményekre elektronikus aláírás felhasználásával végzett elektronikus archiválási szolgáltatások szolgáltatói számára, NHH, 2007.07.07.
• Elektronikus archiválási szolgáltatásokkal kapcsolatos hatósági tájékoztató, NHH, 2007.07.07.

 

Nem tartoznak közvetlenül az elektronikus aláírási termékek tanúsításának normatív dokumentumai közé az általános informatikai biztonsággal kapcsolatos követelmények, de az aláírásra kerülő dokumentumok adott informatikai környezetben keletkeznek, az aláírások aktivizálása, ellenőrzése folyamatában - az aláírás-létrehozó eszközön kívül - közreműködik az általános informatikai környezet, ezért annak biztonságát meghatározó dokumentumok az aláírás területén is meghatároznak szempontokat. Különösen fontossá teszi ezt a tényt, hogy

·     egyrészt ezen a területen is kiadásra kerültek magyar szabványok,

·     másrészt Magyarország 2003.09.19.-én csatlakozott a CCRA megállapodáshoz /Common Criteria Recognition Arrangement, Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security: Megállapodás a Közös szempontok szerinti tanúsítványok elfogadásáról az informatikai biztonság területén/, melyből az informatikai biztonság területén feladatok és előírások vonatkoznak ránk, többek között az, hogy kötelező érvénnyel el kell fogadni a CC tanúsítványokat, illetve a CCRA egyezményt aláíró tagállamoknak, bár nem tartanak fenn CC informatikai biztonsági értékelési kapacitást, mégis kifejezetten elő kell segíteniük (érdekelteknek kell lenniük) a tanúsított termékek és védelmi profilok használatában.

 

Kapcsolódó hazai ajánlások:

A Közigazgatási Informatikai Bizottság 25. számú ajánlása: a Magyar Informatikai Biztonsági Ajánlások (MIBA) ajánlássorozata, amely három fő területre fókuszálva 12, önállóan is használható dokumentumban került megjelentetésre.  A MIBA az ITB 8., 12., és 16. számú ajánlásait váltja fel, azok kibővítése és jelentős kiegészítése révén.

·           A KIB 25. számú ajánlása: Magyar Informatikai Biztonsági Ajánlások (MIBA) 1.0 verzió:

• A KIB 25. számú ajánlása: 25/2. kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) 1.0 verzió
• A KIB 25. számú ajánlása: 25/2-1. segédlet: MIBÉTS - Modell és Folyamatok 1.0 verzió
• A KIB 25. számú ajánlása: 25/2-2. segédlet: MIBÉTS – Útmutató a Megbízók számára 1.0 verzió
• A KIB 25. számú ajánlása: 25/2-3. segédlet: MIBÉTS – Útmutató a Fejlesztők számára 1.0 verzió
• A KIB 25. számú ajánlása: 25/2-4. segédlet: MIBÉTS – Útmutató Értékelőknek 1.0 verzió
• A KIB 25. számú ajánlása: 25/2-5. segédlet: MIBÉTS – Értékelési módszertan 1.0 verzió

 

·           A Közigazgatási Informatikai Bizottság 26. számú ajánlása: A Magyarországon elektronikus azonosításra, hitelesítésre, aláírásra és elektronikus azonosítók hordozására alkalmas eszközök követelményei (HUNeID) 1.0 verzió

 

·           A Közigazgatási Informatikai Bizottság 28. számú ajánlása: Az E-Közigazgatási Keretrendszer projekt eredményeként létrehozott Követelménytár alábbi részhalmaza /mely alapvetően a KIB 25-ös – MIBÉTS -ajánlás továbbfejlesztése:

• IT biztonsági követelmények
• Biztonsági tervezési útmutató
• IT biztonsági követelményrendszer - biztonsági szintek követelményei
• IT biztonsági Követelményrendszer érvényesítésének módja
• IT biztonsági szintek és biztonsági kategorizálási minta
• Útmutató az IT biztonsági szintek meghatározásához
• Termékek, szolgáltatások értékelésének, auditjának előkészítése
• Termékekre vonatkozó értékelési módszertan
• Összetett termékekre vonatkozó értékelési módszertan
• Rendszerekre vonatkozó értékelési módszertan
• Létező tanúsítások megfeleltetése - Technikai leírás
• Útmutató rendszer-integrátorok számára
• Útmutató rendszer-értékelők számára
• Útmutató tanúsítók számára
• Útmutató akkreditorok számára

 

Megjegyzés: a fenti KIB 25 és KIB 28 Ajánlások jelentős részét a Hunguard Kft dolgozta ki.

 

Kapcsolódó, a tanúsítást támogató egyéb nemzetközi dokumentumok:

 

MSZ ISO/IEC 15408-1:2002  (=Common Criteria)

Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 1. rész: Bevezetés és általános modell (idt ISO/IEC 15408-1:1999)

MSZ ISO/IEC 15408-2:2003

Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 2. rész: A biztonság funkcionális követelményei (idt ISO/IEC 15408-2:1999)

MSZ ISO/IEC 15408-3:2003

Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 3. rész: A biztonság garanciális követelményei (idt ISO/IEC 15408-3:1999)

ISO/IEC 18045:2005:

Information technology -- Security techniques -- Methodology for IT security evaluation

 A Közös értékelési módszertan (CEM) a Közös szempontok (CC) társdokumentuma. Célja, hogy leírja azokat a tevékenységeket, melyeket egy értékelő elvégez egy CC szerinti értékelés folyamán.

 

MSZ ISO/IEC 17799, továbbá az ennek megfelelő MSZ ISO/IEC 27001:2006

Ez a szabvány, amely „Az informatikai biztonság menedzselésének eljárásrendje”, azoknak ad ajánlásokat, akik a saját szervezetük körében a biztonság kezdeményezéséért, megvalósításáért és megtartásáért felelnek. Arra tervezték, hogy közös alapot szolgáltasson a szervezetek hatékony biztonságmenedzselési gyakorlatához és átfogja az informatikai biztonság minden területét.