IT termék tanúsítása

Informatikai termékek és rendszerek biztonságtechnikája
ISO/IEC 15408:2008

Az 1980-as évek közepétől jelentős erőfeszítések történtek nemzeti és nemzetközi keretekben az információtechnológia egyik alapvető kérdésének, az informatikai termékek és rendszerek biztonságának egységes elvek és módszerek szerint történő kezelésére.

Miért alkalmazzuk a követelmény rendszert?

Az egyes termékek fejlesztői, forgalmazói számára a szabvány szerinti értékelés versenyelőnyt jelenthet, azaz objektív összehasonlításra adhat alapot a piacon lévő egyéb termékekkel. A szabvány hatálya alá eső, az általa vizsgált főbb funkciók közül kiemelendően fontos a naplózás, a jogosultság kezelés, az információáramlás, a konfigurációkezelés, a kriptogáfia, az integritás-bizalmasság – hitelesség – letagadhatatlanság kérdéskör érvényesülése. A szabvány szerint végzett vizsgálat, ellenőrzés és értékelés tematikája kiterjed a tervezés, a dokumentáció, a tesztelés kérdéskörére.

A szabvány keretében három eltérő vizsgálat létezik.

• A védelmi profil (röviden PP – Protection Profile) a tényleges kivitelezéstől független biztonsági követelmények halmazát jelenti. A védelmi profil egy adott termékcsoport biztonsági követelményeit tartalmazza. Az első vizsgálati típus a védelmi profil ellenőrzése. Az ellenőrzés célja, hogy a védelmi profil teljes, konzisztens, műszakilag megalapozott, és alkalmas egy termék kiértékelésében követelményjegyzékként való felhasználásra.
• A biztonsági cél (röviden ST – Security Target) olyan biztonsági követelmények és specifikációk halmazát jelenti, amely alapját képezheti egy termék biztonsági értékelésének. Az előző fogalomhoz képest most egy termékkel szembeni vizsgálatot, meglapozó elvárásokat látunk. A második ellenőrzési lehetőség a biztonsági cél vizsgálata. Az ellenőrzés célja, hogy az átadott ST teljes, konzisztens, műszakilag megalapozott és alkalmas egy termék kiértékelésében követelményjegyzékként való felhasználásra, továbbá összhangban van az általa hivatkozott PP-kel.
• A harmadik fogalom a terméké (röviden TOE – Target of Evaluation). A fogalom egy informatikai rendszert, annak többek között adminisztrátori és felhasználói dokumentációját jelenti. A TOE elsősorban a kereskedelmi forgalmazásra fejlesztett termékek vagy rendszerek informatikai-biztonsági funkcióinak értékelésére alkalmas. Ilyenek például az operációs rendszerek, hálózati, osztott rendszerek és alkalmazások. Az előzőekben meghatározott ST ellenőrzést követően nyílik lehetőség arra, hogy az adott termék minősítése megtörténjen. Az ellenőrzés konkrét célja, hogy az adott termék megfelel-e az általa hivatkozott ST-beli biztonsági követelményeknek.

A tanúsítás előnyei

A Certop, mint független, akkreditált tanúsító szervezet által kiadott tanúsítvány

  • a nemzetközileg elfogadott szabvány szerint végzett objektív vizsgálat bizonyítéka,
  • növeli a termék értékét,
  • bizonyíték, hogy a termék fejlesztője, felhasználója felelősséget vállal a termékért a meghatározott garanciaszint mértékéig,
  • javítja a termék megítélését, hírnevét, növeli nemzetközi elismertségét.