Értékelési divízió

A HUNGUARD Kft. értékelési tevékenysége során szoftvertermékek, továbbá működtetett rendszerek biztonsági, illetve biztonsághoz kapcsolódó jogszabályi megfelelőségének értékelésével foglalkozik.

A szoftvertermékek értékelésének elsődleges célja, hogy a termék minőségét és biztonságosságát illetően érthető, elfogadható és a különböző érdekelt felek – fejlesztők, szállítók, vásárlók, felhasználók, értékelők, tanúsító testületek – által jól használható támpontot nyújtson az adott szoftver jellemzőit illetően.

Értékelési divíziónk a következő két fő területen az alábbi módszertanokat alkalmazza:

1. Szoftvertermékek információtechnikai biztonsági értékelése

Ez az értékelési módszertan az üzletmenet- és biztonságkritikus szoftvertermékekre alkalmazható, több éves gyakorlattal elsősorban az alábbi célterületeken végezzük értékeléseinket:

• Hálózati és mobil szoftverbiztonság

Az értékelést meghatározó szabványok: OWASP Application Security Verification Standard és az OWASP Mobile Application Security Verification alapján az (OWASP Web Security Testing Guide-dal kiegészített) OWASP Application Security Verification Standard és az (OWASP Mobile Security Testing Guide-dal kiegészített) OWASP Mobile Application Security Verification Standard módszertanok.

• Szoftverbiztonság

Az értékelés az ISO/IEC 15408 szabványban meghatározott modell, valamint az ennek megfelelő értékelési módszertant tartalmazó ISO/IEC 18045 elvárásait követi. Az értékelés végeredménye egy ISO/IEC 18045 módszertan alapján készült értékelési jelentés.

Az értékelés különböző fejlesztői bizonyítékokon – biztonsági előirányzat, biztonsági tervdokumentációk, útmutató dokumentumok, életciklus támogatással kapcsolatos dokumentumok, teszteléssel kapcsolatos dokumentumok, valamint maga a futtatható és tesztelhető szoftver – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemzőre koncentrál.

Vizsgálólaboratóriumunk az ISO/IEC 15408 szabványban meghatározott hét értékelési garanciaszint közül az alábbiakra dolgozott ki részletes módszertani eljárásrendet: EAL2, EAL3, EAL4.

• Elektronikus aláírási szoftver termékek biztonsága

Az értékelést meghatározó szabvány: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for applications for signature creation and signature validation ETSI TS 119 101 nemzetközi szabvány, a NIST SP 800-53A által meghatározott értékelési módszertan felhasználásával

• Kriptográfiai biztonság

Ez az értékelési módszertan a kriptográfiai mechanizmusokat megvalósító szoftver modulokra alkalmazható.

A szoftvertermékek kriptográfiai biztonságára vonatkozó értékelés az [ISO/IEC 19790] szabványban meghatározott modellen (kriptográfiai modulok biztonsági követelményei) alapul.

Vizsgálólaboratóriumunk a [ISO/IEC 19790] szabványban meghatározott négy biztonsági szint közül a Level-1 szintre dolgozott ki részletes módszertani eljárásrendet. az ISO/IEC 24759 értékelési módszertan alapján.

2. Informatikai rendszerek biztonsági értékelése

Ez az értékelési eljárás az üzletmenet- és biztonságkritikus informatikai rendszerekre alkalmazható. Az értékelés különböző fejlesztői bizonyítékokon – rendszer biztonsági előirányzat, biztonsági tervek, útmutatók, tesztelésre vonatkozó dokumentáció – alapul, és az ISO/IEC 25010 szabványban meghatározott biztonság jellemzőre koncentrál.

A működtetett rendszerekre vonatkozó értékelés a NIST SP 800-53A (Assessing Security and Privacy Controls in Federal Information Systems and Organizations Building Effective Assessment Plans) vizsgálati módszertanon alapul, melynek esetén a vizsgálandó követelményeket vagy a NIST 800-53 rev5 (korábban rev4) (Security and Privacy Controls for Federal Information Systems and Organizations) dokumentum (low, moderate és high szintekre), vagy az ennek honosításaként kiadott 41/2015. (VII.15.) BM rendelet tartalmazza (1-5 biztonsági osztályokra), később pedig a 7/2024 (VI.24.) MK rendelet 2. melléklete szerint (Alap, jelentős, magas biztonsági osztályokra). Az értékelési követelmények egyes felhasználói területeken kiegészülhet jogszabályokban megfogalmazott egyéb követelményekkel is, ennek megfelelően a fő értékelési területek:

• Informatikai rendszerbiztonság / Informatikai biztonsági megfelelőségi vizsgálata (NIST SP 800-53 vagy 7/2024 (VI.24.) rendelet követelményei alapján)
• Elektronikus aláírási rendszerek vizsgálata (ETSI TS 119 101, MSZ EN 419241-1 alapján)
• Papír-elektronikus konverzió / Papír alapú dokumentumok elektronikus konverziója (321/2024. (XI.6. Korm. Rendelet 69-74. §, valamint ETSI TS 119 101 követelményeinek megfelelés)
• Auditált elektronikus hírközlő eszközök értékelése (29/2024 (VI. 24.) MNB rendelet követelményei alapján)
• Digitális archiválási rendszerek értékelése zárt rendszerben vagy elektronikus aláírással (1/2018. (VI.29.) ITM rendelet és ETSI TS 101 533-1 előírásai alapján)
• Elektronikus azonosítási és bizalmi szolgáltatásokat nyújtó rendszerek megfelelőségi értékelése (az eIDAS rendelet és a kapcsolódó ETSI szabványok, valamint a 24/2016 BM rendelet figyelembe vételével).
• V2X PKI szolgáltatást megvalósító rendszerek értékelése (Certificate Policy for Deployment and Operation of European Cooperative Intelligent Transport Systems (C-ITS) EU C-ITS Certificate Policy illetve a NIST SP 800-53A alapján).