SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK TECHNIKAI LEÍRÁS
A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 2
Metaadat-táblázat Megnevezés Leírás Cím (dc:title) Szolgáltatások megfelelıség vizsgálatában közremőködı szervezetekre vonatkozó elvárások Kulcsszó (dc:subject) Informatikai biztonság, megfelelıség vizsgálat, audit szervezet, értékelı szervezet, tanúsító szervezet Leírás (dc:description) Elektronikus szolgáltatások csak engedéllyel csatlakozhatnak a központi rendszerhez. A csatlakozási engedélyezés eljárás keretén belül biztosítania kell az informatikai biztonság megfelelı szintő megvalósulását, a biztonsági követelményeknek való megfelelés vizsgálatát. Az elektronikus szolgáltatások megfelelıség vizsgálatában három különbözı szervezet mőködik közre: értékelı szervezet (amely az informatikai termékek és rendszerek értékelését végzi), tanúsító szervezet (amely a termék értékelési eredmények megfelelıségét igazolja), audit szervezet (amely a szervezet auditálási eljárását hajtja végre). Jelen dokumentum e három szervezet típus feladatait határozza meg a rájuk vonatkozó különbözı követelmények megadásával. Típus (dc:type) Szöveg, táblázat Forrás (dc:source) Kapcsolat (dc:relation) e-közigazgatási Keretrendszer egyéb dokumentumai Terület (dc:coverage) KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek Létrehozó (dc:creator) e-közigazgatási Keretrendszer Kialakítása projekt Kiadó (dc:publisher) Miniszterelnöki Hivatal Résztvevı Hunguard Kft. (dc:contributor) Jogok (dc:rights) e-közigazgatási Keretrendszer Dátum (dc:date) 2008.09.19.. Formátum (dc:format).doc Azonosító (dc:identifier) Nyelv (dc:language) Magyar Verzió (dc:version) V1 Státusz (State) Végleges Fájlnév (FileName) EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.doc Méret (Size) Ár (Price) Felhasználási jogok Korlátlan (UserRights) EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 3
Verziókövetési táblázat A dokumentum neve Szolgáltatások megfelelıség vizsgálatában közremőködı szervezetekre vonatkozó elvárások A dokumentum készítıjének neve Hunguard Kft A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma 2008.09.19. Verziószám V1 Összes oldalszám 23 A projekt azonosítója E-közigazgatási keretrendszer kialakítása Változáskezelés Verzió Dátum A változás leírása V0.1 2008.08.21. Elsı tartalomjegyzék V0.2 2008.08.29. Elsı munkaváltozat V1 2008.09.19. MeH-nek átadott verzió EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 4
Szövegsablon Megnevezés Leírás 1. Elıszó (Foreword) 1. fejezet 2. Bevezetés (Preamble) 2. fejezet 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia nincs 8. Rövidítésgyőjtemény Hiba! A hivatkozási forrás nem található.. fejezet 9. Fogalomtár 10. Ábrák nincs 11. Képek nincs 12. Fogalmak Hiba! A hivatkozási forrás nem található.. fejezet 13. Verzió V1 14. Mellékletek (Appendix) nincs EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 5
Tartalomjegyzék 1. Elıszó... 7 2. Bevezetés... 7 2.1. A dokumentum célja... 7 2.2. A dokumentum felépítése... 8 3. Alkalmazási terület... 8 4. Rendelkezı hivatkozások... 9 5. Fogalom-meghatározások... 10 6. A megfelelıség vizsgálatban közremőködı szervezetekre vonatkozó elvárások... 11 6.1. Megbízhatósági követelmények... 11 6.1.1. Függetlenség... 12 6.1.2. Pénzügyi stabilitás... 12 6.1.3. Alkalmasság bizalmas feladatok ellátására... 12 6.2. Irányítási követelmények... 13 6.2.1. Minıségirányítási követelmények... 13 6.2.2. Információbiztonság irányítási követelmények... 14 6.2.3. ISO 9001 ÉS ISO 27001 integrált irányítási rendszer... 15 6.3. Mőszaki követelmények... 15 6.3.1. Az értékelı szervezetekre vonatkozó mőszaki követelmények... 15 6.3.1.1. Személyzet... 15 6.3.1.2. Elhelyezési és környezeti feltételek... 15 6.3.1.3. Vizsgálati módszerek (alkalmazott módszertan)... 16 6.3.1.4. Berendezések (szükséges eszközök)... 16 6.3.1.5. A vizsgálati eredmények minıségbiztosítása... 16 6.3.1.6. Az eredmények közzététele... 16 6.3.2. A tanúsító szervezetekre vonatkozó mőszaki követelmények... 16 6.3.2.1. Személyzet... 16 6.3.2.2. Elhelyezési és környezeti feltételek... 17 6.3.2.3. Vizsgálati módszerek (alkalmazott módszertan)... 17 6.3.2.4. Berendezések (szükséges eszközök)... 17 6.3.2.5. A vizsgálati eredmények minıségbiztosítása... 17 6.3.2.6. Az eredmények közzététele... 17 6.3.3. Az audit szervezetekre vonatkozó mőszaki követelmények... 17 6.3.3.1. Személyzet... 17 6.3.3.2. Elhelyezési és környezeti feltételek... 18 6.3.3.3. Vizsgálati módszerek (alkalmazott módszertan)... 18 6.3.3.4. Berendezések (szükséges eszközök)... 18 6.3.3.5. A vizsgálati eredmények minıségbiztosítása... 18 6.3.3.6. Az eredmények közzététele... 18 6.4. Referencia követelmények... 18 6.4.1. Az értékelı szervezetekre vonatkozó referencia követelmények... 18 6.4.2. A tanúsító szervezetekre vonatkozó referencia követelmények... 19 6.4.3. Az audit szervezetekre vonatkozó referencia követelmények... 19 6.5. NAT akkreditálásra irányuló közép távú elvárások... 19 6.5.1. Értékelı szervezetek: MSZ EN ISO/IEC 17025:2005... 19 6.5.2. Tanúsító szervezetek: MSZ EN 45011:1999... 20 6.5.3. Audit szervezetek: MSZ EN ISO/IEC 17021:2007... 21 7. Mellékletek... 23 8. Bibliográfia... 23 9. Rövidítésgyőjtemény... 23 10. Fogalomtár... 23 11. Ábrák... 23 12. Képek... 23 13. Táblázatok... 24 14. Verziószám... 24 EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 6
1. Elıszó Jelen dokumentum az e-közigazgatási Keretrendszer részét képezi. Elektronikus szolgáltatások csak engedéllyel csatlakozhatnak a központi rendszerhez. A csatlakozási engedélyezés eljárásrendjének biztosítania kell az informatikai biztonság megfelelı szintő megvalósulását. Ennek az eljárásrendnek a részét képezi egy elızetes auditálás és értékelés. Az auditálás és értékelés az elektronikus szolgáltatások megfelelıség vizsgálatának egymást kiegészítı két szempontját képviseli. Az auditálás a szolgáltató szervezetre irányul, s a dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések megfelelıségét igazolja. Az értékelés a szolgáltató informatikai rendszerre irányul, s a szoftver és hardver termékekbıl kialakított komplex informatikai rendszer adott technológiai értékelési szabványok (pl. Common Criteria, CEM, MIBÉTS) szerinti megfelelıségét igazolja. Lényegesen meggyorsíthatja és egyszerősítheti az értékelést, egyúttal növeli a pozitív eredmény valószínőségét, ha a rendszert (részben vagy teljesen) már korábban értékelt és tanúsított termékekbıl integrálják. Ilyen esetben a termékek pozitív vizsgálati eredményei külön vizsgálat nélkül újra felhasználhatók, s az értékelésnek csak a rendszer integrálással bevihetı lehetséges sebezhetıségekre kell koncentrálnia. Az elektronikus szolgáltatások megfelelıség vizsgálatában tehát három különbözı szervezet is közremőködik: értékelı szervezet (amely az informatikai termékek és rendszerek értékelését végzi), tanúsító szervezet (amely a termék értékelési eredmények megfelelıségét igazolja), audit szervezet (amely a szervezet auditálási eljárását hajtja végre). A jelen dokumentumban ezen közremőködı szervezetek (értékelı, tanúsító és audit szervezetek) meghatározott elvárások hozzájárulnak e szervezetek mőködésének elıkészítéséhez. 2. Bevezetés 2.1. A dokumentum célja A jelen dokumentum célja azoknak az elvárásoknak a meghatározása, melyek teljesítésével a központi rendszeren keresztül biztosított elektronikus szolgáltatások megfelelıség vizsgálatát EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 7
végzı audit és értékelı, valamint a termék szintő tanúsítást végzı tanúsító szervezetek felkészülhetnek mőködésükre. Ezeknek az elvárásoknak a teljesítésével olyan szállító-független, megfelelı szakmai kompetenciákkal rendelkezı laboratóriumok jönnek létre, amelyek értékelı, tanúsító és auditáló munkával segítik a biztonsági akkreditálás (engedélyezés) döntésének meghozatalát. 2.2. A dokumentum felépítése Az 1. fejezet elhelyezi a dokumentumot az e-közigazgatási Keretrendszeren belül, tájékoztatást adva a célközönségrıl és a kapcsolódó dokumentumokról. A 2. fejezet bevezetı információkat tartalmaz, megadva a dokumentum célját és felépítését. A 3. fejezet meghatározza az alkalmazás lehetséges területeit. A 4. és 5. fejezet a hivatkozásokat, illetve a fogalom-meghatározásokat tartalmazza. A 6. fejezet tartalmazza a dokumentum lényegi részét, 4 alfejezetben. A 6.1 alfejezet a megbízhatósági követelményeket (gazdasági, pénzügyi és bizalmassági alkalmasságot) határozza meg. A 6.2 alfejezet az irányítási követelményeket (szervezeti és szabályozási kérdéseket) tekinti át. A 6.3 alfejezet a mőszaki követelményeket (személyi, szakmai és tárgyi feltételeket) tárgyalja. A 6.4 alfejezet a referencia követelményeket (a bizonyított gyakorlati felkészültséget) fogalmazza meg. Végül a 6.5 alfejezet azokat a közép távra vonatkozó elvárásokat írja le, melyek a közremőködı szervezetektıl megfelelı NAT akkreditálást követelnek meg. Jelen dokumentumnak nincsenek mellékletei. A 8. - 14. fejezetek kiegészítı információkat tartalmaznak (8. Bibliográfia, 9. Rövidítésgyőjtemény, 10. Fogalomtár, 11. Ábrák, 12. Képek, 13. Táblázatok, 14. Verziószám). 3. Alkalmazási terület A jelen dokumentumban meghatározott követelmények a központi rendszeren keresztül biztosított elektronikus szolgáltatások megfelelıség vizsgálatát végzı audit és értékelı szervezetek, valamint a termék szintő tanúsítást végzı tanúsító szervezetek mőködésére EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 8
vonatkoznak. Ezáltal a közigazgatási fejlesztési operatív programok végrehajtásával elkészülı rendszerekre irányuló megfelelıségi vizsgálatok eljárásrendjének részét képezi. Ugyanakkor a jelen dokumentumban meghatározott követelmények teljesítésével olyan audit, értékelı és tanúsító szervezetek kezdik meg mőködésüket, melyek más területeken (az elektronikus közigazgatáson kívül, a közszféra más területein, valamint a magánszférában) is végezhetnek biztonsági megfelelıség vizsgálatokat. 4. Rendelkezı hivatkozások A jelen dokumentumban megfogalmazott irányelvek és követelmények az alábbi mértékadó dokumentumokon alapulnak: [1]: MSZ EN ISO 9001:2001 Minıségirányítási rendszerek - Követelmények [2]: MSZ ISO/IEC 27001:2006 Informatika Biztonságtechnika - Az információbiztonság irányítási rendszerei - Követelmények [3]: MSZ EN ISO/IEC 17025:2005 Vizsgáló-és kalibrálólaboratóriumok felkészültségének általános követelményei [4]: MSZ EN 45011:1999 Terméktanúsítási rendszereket mőködtetı szervezetekre vonatkozó általános követelmények [5]: ISO/IEC WD 17065 Conformity assessment Requirements for bodies providing certification of product (including services) and processes [6]: MSZ EN ISO/IEC 17021:2007 Megfelelıségértékelés - Irányítási rendszerek auditját és tanúsítását végzı testületekre vonatkozó követelmények [7]: KIB 25. számú ajánlása - Magyar Informatikai Biztonsági Ajánlások (MIBA) [8]: KIB 25. számú ajánlása (MIBA) 25/1 kötet: Magyar Informatikai Biztonság Irányítási Keretrendszer (MIBIK) [9]: KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) [10]: KIB 25. számú ajánlása (MIBA) 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) [11]: KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan Az 1. táblázat a rendelkezı hivatkozások elérhetıségét adja meg. 1. táblázat A rendelkezı hivatkozások elérhetısége EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 9
Cím Külföldi elérhetıség Magyar elérhetıség MSZ EN ISO 9001:2001 Minıségirányítási rendszerek Követelmények MSZ EN ISO 9001:2001 MSZ ISO/IEC 27001:2006 Informatika Biztonságtechnika - Az információbiztonság irányítási rendszerei Követelmények MSZ ISO/IEC 27001:2006 MSZ EN ISO/IEC 17025:2005 Vizsgáló-és kalibrálólaboratóriumok felkészültségének általános követelményei MSZ EN 45011:1999 Terméktanúsítási rendszereket mőködtetı szervezetekre vonatkozó általános követelmények ISO/IEC WD 17065 Conformity assessment Requirements for bodies providing certification of product (including services) and processes MSZ EN ISO/IEC 17021:2007 Megfelelıségértékelés - Irányítási rendszerek auditját és tanúsítását végzı testületekre vonatkozó követelmények KIB 25. számú ajánlása - Magyar Informatikai Biztonsági Ajánlások (MIBA) KIB 25. számú ajánlása (MIBA) 25/1 kötet: Magyar Informatikai Biztonság Irányítási Keretrendszer (MIBIK) KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) KIB 25. számú ajánlása (MIBA) 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan ISO/IEC WD 17065 MSZ EN ISO/IEC 17025:2005 MSZ EN 45011:1999 MSZ EN ISO/IEC 17021:2007 EKK KIB 25 EEK KIB 25/1-1 EEK KIB 25/1-3 EEK KIB 25/2 EEK KIB 25/2-5 5. Fogalom-meghatározások Jelen dokumentum az alábbi kiegészítı fogalmakra épül, s ezeket az alábbi értelemben használja: Audit: A dokumentum-, a szervezet folyamataira vonatkozó menedzsment- és üzemeltetési biztonsági intézkedések szabványokban (pl. ISO 27001), ajánlásokban (pl. MIBA) és a nemzetközi legjobb gyakorlatokban (best practices) leírt elvárásoknak való megfelelıségének igazolása. [2] Audit szervezet: A szolgáltató szervezet informatikai biztonságának auditálását végzı, erre jogosult cég. Értékelés: Szoftver és hardver termékekbıl kialakított komplex informatikai rendszerek, alkalmazások adott technológiai értékelési szabványok (pl. Common Criteria, CEM, vagy MIBÉTS) szerinti megfelelıségi vizsgálata. Értékelı szervezet: A szolgáltató rendszer technológiai szempontú értékelését végzı, erre jogosult cég. EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 10
Informatikai biztonság: Az informatikai rendszer technikai részét (hardver) és az azon futó programokat (szoftver) érintı biztonsági szabályok összessége és alkalmazása annak érdekében, hogy megóvja vagy megelızze az illetéktelen felfedés, megismerés, manipuláció, adattörlés, illetve ilyen esetekben a rendszer nyújtotta szolgáltatásokhoz történı hozzáférés lehetıségét, valamint a informatikai/távközlési hálózatokat is magába foglaló rendszerek esetében a távközlést érintı biztonsági rendszabályok alkalmazásának összessége, mely egyfelıl biztosítja az illetéktelen személyek kizárását a távközlési hálózat értéket tartalmazó információihoz történı hozzáférésének és azok feldolgozásának lehetıségébıl, másfelıl a jogosultak számára garantálja a hozzájuk eljuttatott információk hitelességét. Központi rendszer (Központi elektronikus szolgáltató rendszer): Olyan elektronikus rendszer, amely együttesen magában foglalja az elektronikus kormányzati gerinchálózatot, a kormányzati portált, az ügyfélkaput, a kormányzati ügyfél-tájékoztató központot, valamint az ezeken megjelenı, ezeken keresztül elérhetı elektronikus szolgáltatásokat. Szolgáltató szervezet: A központi rendszeren keresztül elektronikus szolgáltatást nyújtó közigazgatási szerv. Szolgáltató rendszer: A szolgáltató szervezet elektronikus szolgáltatást nyújtó informatikai rendszere. Tanúsítás: Egy informatikai termék technológiai szempontú biztonsági értékelése eredményeinek hitelesítése és megerısítése, s ezen keresztül az eredmény összehasonlíthatóságának a biztosítása a séma keretében végzett összes értékelı (vizsgálólaboratórium) valamennyi értékelési eredményével. Tanúsító szervezet: A tanúsítást végrehajtó, erre jogosult cég. 6. A megfelelıség vizsgálatban közremőködı szervezetekre vonatkozó elvárások Az elektronikus szolgáltatások megfelelıség vizsgálatában három különbözı szervezet is közremőködik: értékelı szervezet (amely az informatikai termékek és rendszerek értékelését végzi), tanúsító szervezet (amely a termék értékelési eredmények megfelelıségét igazolja), audit szervezet (amely a szervezet auditálási eljárását hajtja végre). Az alábbiak e három szervezetre vonatkozó, részben közös, részben eltérı elvárásokat határozzák meg. A közös követelmények meghatározásánál az értékelı szervezet, tanúsító szervezet és audit szervezet kifejezés helyett a közremőködı szervezetek kifejezést használjuk. 6.1. Megbízhatósági követelmények A megbízhatóságra vonatkozó elvárások három különbözı területet érintenek: EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 11
megbízhatóság a közremőködı szervezet szakmai függetlenségében, pártatlanságában, megbízhatóság a közremőködı szervezet pénzügyi függetlenségében, stabilitásában, megbízhatóság bizalmas feladatok ellátására. A megbízhatóságra vonatkozó elvárások mindhárom közremőködı szervezetre azonosak. 6.1.1. Függetlenség A függetlenség kritikus fontosságú elvárás, mindhárom közremőködı szervezetre egyaránt vonatkozik. A függetlenség azt jelenti, hogy kimutatható legyen (a közremőködı szervezet képes legyen igazolni), hogy tevékenységében pártatlan, részrehajlás mentes, személyzetére nem nehezedik semmi olyan illetéktelen kereskedelmi, pénzügyi vagy más nyomás, amely befolyásolhatja munkája minıségét vagy értékítéletét. A közremőködı szervezet ne vegyen részt semmi olyan tevékenységben, amely veszélyeztetheti mások bizalmát tevékenysége feddhetetlenségében, szakmai döntéseinek függetlenségében. Különösen óvni kell a függetlenséget azon közremőködı szervezetek esetében, amelyek egy nagyobb szervezetnek a részei. Ebben az esetben a szervezeti felépítésnek és a szervezeten belüli döntési hierarchiának biztosítania kell, hogy az ellentétes érdekő részlegek (pl. olyan típusú termékeket gyártó vagy ezzel kereskedı részlegek, melyekkel kapcsolatos az értékelési, auditálási vagy tanúsítási tevékenység) ne befolyásolhassák a közremőködı szervezetek szakmai döntéseit. 6.1.2. Pénzügyi stabilitás A közremőködı szervezetek függetlenségét a pénzügyi stabilitás hiánya is veszélyeztetné. Ezért mindhárom közremőködı szervezetre egyaránt vonatkoznak az alábbi elvárások: A közremőködı szervezetnek nem lehet adó-, vagy járuléktartozása. A közremőködı szervezet egyetlen bankszámláján sem lehet sorban állás (3 évre visszamenıleg). 6.1.3. Alkalmasság bizalmas feladatok ellátására A közremőködı szervezetek munkájuk során a megbízó vagy más érintett bizalmas adataihoz is hozzáférhetnek, esetenként ennek megismerése a szakmai feladatok elvégzésének feltétele is. Ezért a közremőködı szervezetek megbízhatóságára az alábbi szervezeti és személyi elvárások is vonatkoznak: EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 12
A közremőködı szervezetek magyar, cégbíróságon (vagy más bíróságon) bejegyzett, önálló jogi személyek legyenek. A közremőködı szervezetek sikeres nemzetbiztonsági ellenırzésen essenek át. A közremőködı szervezet értékelést/tanúsítást/auditálást végzı munkatársai közül legalább 3 fıre nemzetbiztonsági ellenırzés igazolja e személyek feddhetetlenségét. 6.2. Irányítási követelmények Az irányítási követelmények szervezeti és szabályozási kérdésekre vonatkoznak. Az irányítási vonatkozó elvárások mindhárom közremőködı szervezetre azonosak, röviden az alábbiakkal foglalhatók össze: a közremőködı szervezet rendelkezzen MSZ EN ISO 9001:2000 szabvány alapján auditált, vagy ezzel egyenértékő (pl. ISO 9002:2000) auditált, érvényes minıségirányítási rendszerrel; a közremőködı szervezet rendelkezzen MSZ ISO/IEC 27001:2006 információvédelmi szabvány alapján auditált, vagy ezzel egyenértékő auditált, érvényes információbiztonság irányítási rendszerrel. 6.2.1. Minıségirányítási követelmények A minıségirányítás azzal kíván külsı felekben bizalmat teremteni egy szervezet tevékenysége iránt, hogy a minıségi követelmények teljesülésére összpontosít. A minıségirányítási rendszer kiépítése felkészülésbıl (tanácsadó segítségével, vagy saját munkatárs kiképzésével) valamint egy független fél auditjából áll. Az MSZ EN ISO 9001:2000 szabvány legfontosabb elvárása szerint a közremőködı szervezetnek létre kell hoznia, dokumentálnia kell, be kell vezetnie és fenn kell tartania egy minıségirányítási rendszert, valamint folyamatosan fejlesztenie kell annak eredményességét. A szabvány meghatározza, hogy milyen dokumentációkat kell elkészíteni a minıségirányítási rendszerhez, és hogy hogyan kell kezelni ezeket. A szabvány elvárja a közremőködı szervezet vezetıségétıl, hogy bizonyítsa a minıségirányítási rendszer bevezetésével és továbbfejlesztésével kapcsolatos elkötelezettségét, a vevık (partnerek) elvárásainak meghatározását és kielégítését, egy megfelelı minıségpolitika kialakítását, a minıségi célok kitőzését, a felelısségi és hatáskörök meghatározását, valamint tervszerő idıközönként átvizsgálja a minıségirányítási rendszert a szükséges változtatások felismerése érdekében. EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 13
A közremőködı szervezetben biztosítani kell a minıségirányítási rendszer bevezetéséhez, fenntartásához és folyamatos fejlesztéséhez szükséges megfelelı (emberi, infrastrukturális és munkakörnyezetbeli) erıforrásokat. A közremőködı szervezet által biztosított szolgáltatásra (értékelésre, auditálásra vagy tanúsításra) a szabvány elvárja a szükséges folyamatok megtervezését, valamint a szolgáltatásra vonatkozó követelmények meghatározását és átvizsgálását is. A közremőködı szervezetnek szolgáltatását szabályozott feltételek között kell megterveznie, illetve végrehajtania. A közremőködı szervezetnek figyelemmel kell kísérnie, ezen belül mérnie, elemeznie és folyamatosan fejlesztenie kell szolgáltatásának megfelelıségét. 6.2.2. Információbiztonság irányítási követelmények Az információbiztonság irányítás azzal kíván külsı felekben bizalmat teremteni egy szervezet tevékenysége iránt, hogy az informatikai biztonság követelményei teljesülésére összpontosít. Az információbiztonsági irányítás rendszer kiépítése felkészülésbıl (tanácsadó segítségével, vagy saját munkatárs kiképzésével) valamint egy független fél auditjából áll. Az MSZ ISO/IEC 27001:2006 szabvány legfontosabb elvárása szerint a közremőködı szervezetnek ki kell alakítania, dokumentálnia kell, be kell vezetnie, mőködtetnie kell, majd folyamatosan figyelemmel kell kísérnie és idıszakosan át kell vizsgálnia egy információbiztonsági irányítás rendszert (ISMS), valamint folyamatosan fejlesztenie kell annak eredményességét. A szabvány meghatározza, hogy milyen dokumentációkat kell elkészíteni az információbiztonság rendszerhez, és hogy hogyan kell kezelni ezeket. A szabvány elvárja a közremőködı szervezet vezetıségétıl, hogy bizonyítsa az ISMS kialakítása, bevezetése, mőködtetése, figyelemmel kisérése, átvizsgálása, fenntartása és fejlesztése iránti elkötelezettségét, valamint az ehhez szükséges erıforrások biztosítását. A közremőködı szervezetben tervezett idıközönként biztosítani kell az ISMS belsı auditálását. A vezetıségnek is tervezett idıközönként át kell vizsgálnia a szervezet ISMS-ét, hogy biztosítsa annak folyamatos alkalmasságát, megfelelıségét és eredményességét. A közremőködı szervezetnek folyamatosan javítania kell az ISMS hatékonyságát, beavatkozó és megelızı tevékenységeket kell végeznie az ISMS-követelményekkel kapcsolatos nemmegfelelıségek kiküszöbölésére. EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 14
6.2.3. ISO 9001 ÉS ISO 27001 integrált irányítási rendszer [1] és [2] szabványok összhangban vannak egymással, ezért könnyen megoldható együttes, integrált bevezetésük és mőködtetésük is. Az így kialakított irányítási rendszer mindkét szabványok követelményeit teljesíteni tudja. 6.3. Mőszaki követelmények A mőszaki követelmények jelentısen eltérnek a három közremőködı szervezet esetén, ezért az alábbiak ezeket külön tárgyalják. A mőszaki követelmények az alábbiak szerint csoportosíthatók: személyzet, elhelyezési és környezeti feltételek, vizsgálati módszerek (alkalmazott módszertan), berendezések (szükséges eszközök), a vizsgálati eredmények minıségbiztosítása, az eredmények közzététele 6.3.1. Az értékelı szervezetekre vonatkozó mőszaki követelmények 6.3.1.1. Személyzet Az értékelı szervezetnek rendelkeznie kell az alábbi szakmai képzettségő szakértıkkel: legalább 3 fı felsıfokú mőszaki végzettségő szakértı (elıny a módszertan továbbfejlesztésére képes tudományos fokozattal rendelkezı szakértı). Az értékelı szervezetnek rendelkeznie kell legalább 1-1, értékelésben tapasztalattal rendelkezı szakértıvel az alábbi területeken: informatikai biztonság, kriptográfiai biztonság, operációs rendszerek, tőzfalak, hálózati rendszer architektúra, forrásnyelvő szoftverelemzés, szoftver-tesztelés, hálózati tesztelési módszerek, áthatolási tesztelések. 6.3.1.2. Elhelyezési és környezeti feltételek Az értékelı szervezetben a tesztelési és sebezhetıség vizsgálati tevékenységeket végzı laboratóriumi hálózatot teljesen el kell különíteni az értékelı szervezet hálózatának többi részétıl. EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 15
6.3.1.3. Vizsgálati módszerek (alkalmazott módszertan) Az értékelı szervezet által alkalmazott módszertan az alábbi legyen: MIBÉTS értékelési módszertan, vagy ezzel egyenértékő (pl. CEM). 6.3.1.4. Berendezések (szükséges eszközök) Az értékelı szervezetnek rendelkeznie kell speciális (tesztelı és sebezhetıséget vizsgáló) berendezésekkel. 6.3.1.5. A vizsgálati eredmények minıségbiztosítása Az értékelı szervezetnek rendelkeznie kell a végleges vizsgálati eredmények (értékelési jelentés) ellenırzésére és jóváhagyására vonatkozó belsı eljárásokkal. 6.3.1.6. Az eredmények közzététele Az értékelı szervezet végleges vizsgálati eredménye az értékelési jelentés. Az értékelési jelentést a MIBÉTS módszertan által meghatározott szerkezetben és tartalommal kell elkészíteni. Az értékelési jelentés nem nyilvános dokumentum, az értékelés megbízója, valamint termék értékelés esetén a tanúsító szervezet, míg rendszer értékelés esetén az akkreditor számára készül. (A megbízó és az értékelı szervezet közös megegyezésével az értékelési jelentés egyes részei nyilvánosságra hozhatók.) 6.3.2. A tanúsító szervezetekre vonatkozó mőszaki követelmények 6.3.2.1. Személyzet A tanúsító szervezetnek rendelkeznie kell az alábbi szakmai képzettségő szakértıkkel: legalább 2 fı felsıfokú mőszaki végzettségő szakértı (elıny a módszertan továbbfejlesztésére képes tudományos fokozattal rendelkezı szakértı). A tanúsító szervezetnek rendelkeznie kell legalább 1-1, értékelésben és tanúsításban tapasztalattal rendelkezı szakértıvel az alábbi területeken: informatikai biztonság, kriptográfiai biztonság, operációs rendszerek, tőzfalak, hálózati rendszer architektúra, forrásnyelvő szoftverelemzés, szoftver-tesztelés, EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 16
hálózati tesztelési módszerek, áthatolási tesztelések. 6.3.2.2. Elhelyezési és környezeti feltételek Nincs speciális elvárás (az irányítási követelményekben lefedett elvárásokon túl). 6.3.2.3. Vizsgálati módszerek (alkalmazott módszertan) A tanúsító szervezet által alkalmazott módszertan az alábbi legyen: MIBÉTS módszertan, vagy ezzel egyenértékő (pl. CEM). 6.3.2.4. Berendezések (szükséges eszközök) A tanúsító szervezetnek nem kell rendelkeznie speciális berendezésekkel. 6.3.2.5. A vizsgálati eredmények minıségbiztosítása A tanúsító szervezetnek rendelkeznie kell a végleges vizsgálati eredmények (tanúsítási jelentés, tanúsítvány) ellenırzésére és jóváhagyására vonatkozó belsı eljárásokkal. 6.3.2.6. Az eredmények közzététele A tanúsító szervezet végleges vizsgálati eredménye a tanúsítási jelentés és a tanúsítvány. A tanúsítási jelentést és a tanúsítványt a MIBÉTS séma által meghatározott szerkezetben és tartalommal kell elkészíteni. Mind a tanúsítási jelentés, mind a tanúsítvány nyilvános dokumentum. 6.3.3. Az audit szervezetekre vonatkozó mőszaki követelmények 6.3.3.1. Személyzet Az audit szervezetnek rendelkeznie kell az alábbi szakmai képzettségő szakértıkkel: legalább 2 fı felsıfokú végzettségő szakértı (elıny a módszertan továbbfejlesztésére képes tudományos fokozattal rendelkezı szakértı). Az audit szervezetnek rendelkeznie kell legalább 1-1, auditálásban tapasztalattal rendelkezı szakértıvel az alábbi területeken: informatikai rendszerek tervezése, fejlesztése és üzemeltetése, informatikai biztonság irányítása, emberi erıforrás kezelés, EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 17
fizikai környezet biztonsága. 6.3.3.2. Elhelyezési és környezeti feltételek Nincs speciális elvárás (az irányítási követelményekben lefedett elvárásokon túl). 6.3.3.3. Vizsgálati módszerek (alkalmazott módszertan) Az audit szervezet által alkalmazott módszertan az alábbi legyen: IBIV módszertan, vagy ezzel egyenértékő. 6.3.3.4. Berendezések (szükséges eszközök) Az audit szervezetnek nem kell rendelkeznie speciális berendezésekkel. 6.3.3.5. A vizsgálati eredmények minıségbiztosítása Az audit szervezetnek rendelkeznie kell a végleges vizsgálati eredmények (audit jelentés) ellenırzésére és jóváhagyására vonatkozó belsı eljárásokkal. 6.3.3.6. Az eredmények közzététele Az audit szervezet végleges vizsgálati eredménye az audit jelentés. Az audit jelentést az IBIV módszertan által meghatározott szerkezetben és tartalommal kell elkészíteni. Az audit jelentés nem nyilvános dokumentum, az auditálás megbízója, valamint az akkreditor számára készül. (A megbízó és az audit szervezet közös megegyezésével az audit jelentés egyes részei nyilvánosságra hozhatók.) 6.4. Referencia követelmények A referenciákra vonatkozó elvárások hasonlók, de jellegüket tekintve el is térnek egymástól. 6.4.1. Az értékelı szervezetekre vonatkozó referencia követelmények Az értékelı szervezet legalább két különbözı termékre vagy rendszerre vonatkozóan rendelkezzen referenciával, informatikai termék vagy rendszer technológiai szempontú biztonsági értékelésében. EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 18
6.4.2. A tanúsító szervezetekre vonatkozó referencia követelmények A tanúsító szervezet legalább két különbözı termékre vonatkozóan rendelkezzen referenciával, informatikai termék technológiai szempontú biztonsági tanúsításában. 6.4.3. Az audit szervezetekre vonatkozó referencia követelmények Az audit szervezet legalább két különbözı szervezetre vonatkozóan rendelkezzen referenciával, informatikai biztonsági irányítási rendszer auditálásában. 6.5. NAT akkreditálásra irányuló közép távú elvárások Középtávon (3 éven belül) a közremőködı szervezeteknek tovább kell lépniük a rájuk vonatkozó követelmények kielégítésének hitelt érdemlı bizonyításában. Ennek leghatékonyabb módja, ha fı tevékenységüket akkreditáltatják a Nemzeti Akkreditáló Testülettel. A NAT akkreditálást jelentısen megkönnyíti (elıkészíti) az [1] és [2] szabványoknak megfelelést bizonyító tanúsítás. Ugyanakkor a NAT akkreditálás folyamatában a minıség- és információbiztonsági irányítás rendszer vizsgálatán túl ellenırzésre kerül a közremőködı szervezet által alkalmazott módszertan és a személyzet erre vonatkozó jártassága is. Az akkreditálás szempontjából a különbözı típusú közremőködı szervezetekre más és más szabványok vonatkoznak, az alábbiak ezért ezeket külön tekintik át. 6.5.1. Értékelı szervezetek: MSZ EN ISO/IEC 17025:2005 A [3] szabvány elsıdleges célja, hogy minden olyan követelményt tartalmazzon, amelyet a vizsgálólaboratóriumoknak ki kell elégíteniük, ha igazolni akarják, hogy minıségirányítási rendszert mőködtetnek, mőszakilag felkészültek, és mőszakilag érvényes eredményeket képesek szolgáltatni. A szabvány a vizsgálólaboratóriumok felkészültségének általános követelményeit a következı szerkezetben tárgyalja: a) irányítási követelmények aa) szervezet, ab) minıségirányítási rendszer ac) dokumentum kezelési rendszer ad) ajánlatkérésekre, az ajánlatok és a szerzıdések átvizsgálására vonatkozó rendszer ae) alvállalkozók alkalmazásának rendje af) szolgáltatások és szállítások megrendelésének rendje EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 19
ag) az ügyfelek kiszolgálásának rendje ah) panaszok kezelése ai) a nem megfelelı munka kezelése aj) helyesbítı tevékenységek b) mőszaki követelmények ba) általános intézkedések bb) személyzet bc) elhelyezési és környezeti feltételek bd) vizsgálati és kalibrálási módszerek és a módszerek érvényesítése be) berendezés bf) a mérés visszavezethetısége bg) mintavétel bh) a vizsgálati és kalibrálási tárgyak kezelése bi) a vizsgálati és a kalibrálási eredmények minıségének biztosítása bj) az eredmények közlése. 6.5.2. Tanúsító szervezetek: MSZ EN 45011:1999 A [4] (és a munka tervezet formában lévı [5]) szabványban leírt követelmények elsıdleges célja, hogy ezeket a terméktanúsítási rendszereket mőködtetı szervezetek általános kritériumnak tekintsék. Ugyanakkor e kritériumok bıvítendık a biztonság speciális követelményeivel is. A [4] szabvány a terméktanúsítási rendszereket mőködtetı szervezetekre vonatkozó általános követelményeket a következı csoportosításban tárgyalja: a) a tanúsító szervezetre vonatkozó követelmények aa) általános követelmények ab) szervezet ac) tevékenységek ad) alvállalkozás ae) minıségügyi rendszer af) a tanúsítás megadásának, fenntartásának, kiterjesztésének, felfüggesztésének és visszavonásának feltételei és eljárásai ag) belsı auditok és vezetıségi átvizsgálások ah) dokumentáció ai) feljegyzések aj) bizalmas kezelés b) a tanúsító személyzetre vonatkozó követelmények ba) általános elıírás bb) képzettségi kritériumok c) a tanúsítási követelmények módosítása d) fellebbezések, panaszok és viták e) a tanúsítás kérelmezése f) felkészülés a tanúsításra g) tanúsítás h) tanúsítási jelentés i) döntés a tanúsításról EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 20
j) felügyelet k) jogosítványok, tanúsítványok és megfelelıségi jelek alkalmazása l) a szállítókkal szembeni panaszok 6.5.3. Audit szervezetek: MSZ EN ISO/IEC 17021:2007 A [6] szabvány elsıdleges célja a különbözı típusú menedzsment rendszerek auditálásának szakszerőségére, ellentmondás mentességére és pártatlanságára vonatkozó követelmények és alapelvek meghatározása. A szabvány az auditáló szervezetekre vonatkozó általános követelményeket és alapelveket az alábbi felépítésben tárgyalja: a) alapelvek aa) pártatlanság ab) szakszerőség ac) felelısség ad) nyitottság ae) bizalmasság af) a panaszokra való reagáló készség b) általános követelmények ba) jogi és szerzıdésbeli kérdések bb) a pártatlanság irányítása bc) felelısség és pénzügyi megalapozottság c) szerkezeti követelmények ca) szervezeti struktúra és a felsı vezetés cb) a pártatlanságot ırzı bizottság d) erıforrás követelmények da) a vezetıség és a személyzet szakszerősége db) az auditálási tevékenységekbe bevont személyekre vonatkozó elvárások dc) belsı auditorok és belsı mőszaki szakértık bevonása dd) személyzetre vonatkozó feljegyzések de) alvállalkozók bevonása e) információra vonatkozó követelmények ea) nyilvánosan elérhetı információk eb) auditálási dokumentációk ec) az auditált ügyfelek listája ed) az auditálási eredményre való hivatkozás és megfelelıségi jelek alkalmazása ee) bizalmasság ef) információcsere az ügyfelekkel f) folyamatra vonatkozó követelmények fa) általános követelmények fb) kezdeti auditálás fc) nyomon követés fd) újra auditálás fe) különleges auditálás ff) az audit eredmények felfüggesztése, visszavonása vagy hatókörének szőkítése fg) fellebbezések fh) panaszok EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 21
fi) a kérelmezık és az ügyfelek nyilvántartása g) irányítás rendszerre vonatkozó követelmények ga) 1. lehetıség: az ISO 9001 szerinti irányítás rendszer követelmények gb) 2. lehetıség: általánosított irányítás rendszer követelmények EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 22
7. Mellékletek - 8. Bibliográfia - 9. Rövidítésgyőjtemény A 2. táblázat a dokumentumban használt rövidítéseket és jelentésüket tartalmazza. 2. táblázat - A dokumentumban használt rövidítések Rövidítés Angol Magyar CC Common Criteria Közös szempontok CEM Common Evaluation Methodology Közös értékelési módszertan EN European Norm Európai szabvány IBIV Informatikai Biztonság Irányításának Vizsgálata ISMS Information Security Management System Információbiztonsági irányítási rendszer ISO International Standards Organisation Nemzetközi Szabványügyi Szervezet MIBA --- Magyar Informatikai Biztonsági Ajánlások MIBÉTS --- Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma MIBIK --- Magyar Informatikai Biztonság Irányítási Keretrendszer MSZ --- Magyar szabvány NAT --- Nemzeti Akkreditáló Testület 10. Fogalomtár - 11. Ábrák - 12. Képek - EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 23
13. Táblázatok 1. táblázat A rendelkezı hivatkozások elérhetısége 2. táblázat - A dokumentumban használt rövidítések 14. Verziószám V1 EKK_ekozig_szolg_megf_vizsg_kozremuk_szerv_vonatk_elvaras_080919_V1.docx 24