HUNG-TJ-MIBÉTS

Hasonló dokumentumok
TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

Tanúsítási Jelentés HUNG-TJ-MIBÉTS

Változáskezelés. A tanúsítási jelentést készítette: Juhász Judit. Tanúsítási

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

ÖSSZETETT TERMÉKEKRE VONATKOZÓ ÉRTÉKELÉSI MÓDSZERTAN

TANÚSÍTVÁNY. InfoScope Informatikai és Szolgáltató Kft. által kifejlesztett. mysigno API 3.1 elektronikus aláírás alkalmazás fejlesztő készlet v3.

TANÚSÍTÁSI JELENTÉS. XadesMagic v2.0.0 elektronikus aláírás alkalmazás fejlesztő készletről minősített elektronikus aláíráshoz HUNG-TJ

TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

TANÚSÍTVÁNY. Audi Hungaria Motor Kft.

TERMÉKEKRE VONATKOZÓ ÉRTÉKELÉSI MÓDSZERTAN

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

1. számú melléklet. A TCA v2.0 legfontosabb tulajdonságainak összefoglalása

TANÚSÍTÁSI JELENTÉS. InfoSigno AC SDK v HUNG-TJ

Tanúsítási jelentés Kofax Capture Hitelesítő modul (UserSign) HUNG-TJ-072/a-2016

RENDSZER TANÚSÍTÁSI JELENTÉS HUNG-TJ-MIBÉTS

TANÚSÍTÁSI JELENTÉS. mysigno API 3.1 v3.1. HUNG-TJ

TANÚSÍTVÁNY. tanúsítja, hogy a Noreg Kft. által kifejlesztett és forgalmazott. e-sealer 1.0-es verzió. aláíró alkalmazás

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-DS10F1_TANF-SW) MELLÉKLETE

TANÚSÍTVÁNY. tanúsítja, hogy az. SDA Stúdió Kft. által kifejlesztett

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

TANÚSÍTVÁNY. tanúsítja, hogy a. WSG Szerver Üzemeltető Kft. által kifejlesztetett. SMTR Tranzakció-kezelő és Archiváló szerver v1.0.

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

TANÚSÍTÁSI JELENTÉS. SMTR Tranzakció-kezelő és Archiváló szerver v1.0.0 / Elektronikus archiválási szoftver / HUNG-TJ-DA

TANÚSÍTVÁNY. tanúsítja, hogy a. Noreg Információvédelmi Kft. által kifejlesztett

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Szabványok, ajánlások

TANÚSÍTVÁNY. tanúsítja, hogy a. MÁV INFORMATIKA Kft. által kifejlesztett és forgalmazott. DSign UI 1.6. aláíró alkalmazás

MINŐSÍTÉS. az 1. számú mellékletben részletezett feltételrendszer teljesülése esetén

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. IngridSigno Feldolgozó Modul aláíró alkalmazás

HUNG-TJ-MIBÉTS

TANÚSÍTVÁNY (E-EG05T-TAN.SW) MELLÉKLETE

ROBOTHADVISELÉS S 2010

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. InfoCA megbízható rendszer hitelesítés-szolgáltatáshoz v2.5

TANÚSÍTÁSI JELENTÉS SIEMENS SZÁMLA ARCHIVÁLÓ RENDSZER HUNG-TJ-DA

tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott MultiSigno Standard aláíró alkalmazás komponens 1.

VIZSGÁLATI BIZONYÍTVÁNY

ELEKTRONIKUS BESZÁMOLÓ RENDSZER v_ TANÚSÍTÁSI JELENTÉS HUNG-TJ-MIBÉTS

TANÚSÍTVÁNY. tanúsítja, hogy a Utimaco Safeware AG által kifejlesztett és forgalmazott

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

Mi köze a minőséghez?

TANÚSÍTVÁNY. tanúsítja, hogy az. SMTR Tranzakció-kezelő és Archiváló szerver v valamint az

Tanúsítási jelentés Kofax Capture Hitelesítő modul (UserSign) HUNG-TJ

Tanúsítási jelentés. Az IHK_PB3 és az MP_IHK_proto rendszerekről, mint papíralapú dokumentumról történő elektronikus másolatkészítő rendszer

TANÚSÍTVÁNY (E-MS03T_TAN.SW) MELLÉKLETE

BIZTONSÁGI AUDIT. 13. óra

TANÚSÍTVÁNY (E-HT09T_TAN-01.ST) MELLÉKLETE

RENDSZEREKRE VONATKOZÓ ÉRTÉKELÉSI MÓDSZERTAN

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

TANÚSÍTVÁNY. tanúsítja, hogy az Axelero Rt. által kifejlesztett és forgalmazott. Marketline Integrált Aláíró Modul 2.0-ás verzió

Technológia az adatszivárgás ellen

Szolgáltatási szint megállapodás

VBD , VBD

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

MINŐSÍTÉS. igazolja, hogy. a Neumann János Digitális Könyvtár és Multimédia Központ Kht. által integrált

Bankkártya elfogadás a kereskedelmi POS terminálokon

TANÚSÍTVÁNY (E-DS06T_TAN-01.SW) MELLÉKLETE

Magyar Szabad Szoftver Tárház. Erdei Csaba Mátó Péter

30 MB INFORMATIKAI PROJEKTELLENŐR

TANÚSÍTVÁNY. tanúsítja, hogy az. ORGA Kartensysteme GmbH, Germany által előállított

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. Pénztár v aláíró alkalmazás

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

Kameleon Light Bootloader használati útmutató

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

TANÚSÍTVÁNY. tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott

INFORMATIKAI SZABÁLYZAT

Szolgáltatási szint megállapodás. Verzió: 1.0. (2010. december 13.)

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Informatikai biztonsági elvárások

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

FELÜLVIZSGÁLATI JEGYZŐKÖNYV MELLÉKLETE (I-UNI16F1_ TANF) TANF.ME {.{W... Szoftver utolsó változtatás időpont ja: december 12.

1. Bevezető. 2. Sérülékenységek

1. A Windows Vista munkakörnyezete 1

TANÚSÍTVÁNY (E-DS07T_TAN-01.SW) MELLÉKLETE TARTALOMJEGYZÉK

Informatikai Biztonsági Tanúsítási Szervezet. 2/14. sz. Megfelelőségi Tanúsítvány

TANÚSÍTVÁNY. Időbélyegzés szolgáltatás keretén belül: Időbélyegző aláíró kulcsok generálására, tárolására, időbélyegző aláírására;

A cloud szolgáltatási modell a közigazgatásban

BMEVIHIM134 Hálózati architektúrák NGN menedzsment vonatkozások: II. Üzemeltetés-támogatás és üzemeltetési folyamatok

DW 9. előadás DW tervezése, DW-projekt

OZW V7.0 firmware frissítés, Remote Tool Access részletes ismertető

Rendszerkezelési útmutató

FELÜLVIZSGÁLATI JEGYZŐKÖNYV MELLÉKLETE (I-UNI15F1_ TANF) TANF.ME-01 I-UNI15F1 I ... ~~~?... MATRI tanúsítási igazgató

IP alapú távközlés. Virtuális magánhálózatok (VPN)

A szakmai irányelvek jelentősége, szerepe

Könyvtári címkéző munkahely

TANÚSÍTVÁNY. Időbélyegzés szolgáltatás keretén belül: Időbélyegző aláíró kulcsok generálására, tárolására, időbélyegző aláírására;

TANÚSÍTVÁNY HUNGUARD tanúsítja, SafeNet Inc. ProtectServer Gold

Miskolci Egyetem Alkalmazott Informatikai Intézeti Tanszék A minőségbiztosítás informatikája. Készítette: Urbán Norbert

Informatikai prevalidációs módszertan

2011. ÓE BGK Galla Jánosné,

Informatikai projektellenőr szerepe/feladatai Informatika / Az informatika térhódítása Függőség az információtól / informatikától Információs

Átírás:

Tanúsítási jelentés TikettPro EMT modul V2.11.68.68 HUNG-TJ-MIBÉTS-012-2016 Verzió: 1.0 Fájl: Minősítés: HUNG-TJ-MIBÉTS-012-2016_v10.pdf Nyilvános Oldalak: 13

Változáskezelés Verzió Dátum A változás leírása v0.1 2016.11.14. A szerkezet felállítása v0.2 2016.12.02. Belső egyeztetésre kiadott verzió v0.9 2016.12.05. Külső egyeztetésre kiadott verzió v1.0 2016.12.06. Végleges verzió A Tanúsítási Jelentést készítette: dr. Szabó István Hunguard Kft. Tanúsítási Divízió Tanúsítási Jelentés 2/13 Nyilvános

Tartalom I. Összefoglaló... 4 I.1. A tanúsítás (és az értékelés, melyen a tanúsítás alapul) jellemzői... 4 I.2. A tanúsítás tárgya... 4 I.3. A TOE biztonsági környezete és határai... 5 I.4. A rendszer főbb komponensének azonosítása... 6 II. A tanúsítás jellemzése... 7 II.1. Az alkalmazott értékelési módszer... 7 II.2. A tanúsításhoz felhasznált értékelési jelentések azonosítása... 7 II.3. Az értékeléshez felhasznált fejlesztői bizonyítékok... 7 II.4. Az értékelési folyamat tanúsítási szempontú ellenőrzése... 7 III. Az értékelés eredményei... 8 III.1. A garanciális biztonsági követelményeknek való megfelelés... 8 III.1.1. A biztonsági előirányzat értékelése... 8 III.1.2. A fejlesztés értékelése... 8 III.1.3. Az útmutatók értékelése... 8 III.1.4. Az életciklus támogatás értékelése... 8 III.1.5. A tesztelés értékelése... 9 III.1.6. A sebezhetőség értékelése... 9 IV. Következtetések... 10 V. A biztonságos felhasználás feltételei... 11 V.1. Az üzemeltetési környezetre vonatkozó biztonsági célok... 11 V.2. Javaslatok... 12 VI. Hivatkozások, rövidítések... 13 VI.1. A követelményeket tartalmazó dokumentum... 13 VI.2. Figyelembe vett mértékadó dokumentumok... 13 VI.2.1. Rövidítések... 13 Tanúsítási Jelentés 3/13 Nyilvános

I. Összefoglaló I.1. A tanúsítás (és az értékelés, melyen a tanúsítás alapul) jellemzői TOE név: TikettPro Elektronikus Másodpéldány Tároló TOE rövid neve: TOE verzió: TikettPro EMT modul V2.11.68.68 Fejlesztő: INFO*SYS Kft. 1063 Budapest, Szinyei Merse u. 5. Értékelő: Hunguard Kft. Értékelési Divízió 1123 Budapest, Kékgolyó u. 6. Értékelés befejezése: 2016. december 01. Az értékelés módszere: MIBÉTS Az értékelés garanciaszintje: I.2. A tanúsítás tárgya Fokozott (EAL3) A termék célja, hogy a közösségi közlekedés jegykiadási területén, jegykiadáskor keletkezett bizonylatok (számlák, nyugták stb.) biztonságos és zárt rendszerben történő tárolását, illetve a tárolt adatok külső eszközre történő archiválását biztosítsa a 23/2014. (VI. 30.) NGM rendelet 17. (1) bekezdésben szabályozottak szerint. Fontosabb funkciók: megőrzésre szánt adatok (bizonylatok - kinyomtatott számlák, nyugták- másodpéldányai) fogadása, tárolása; megőrzött bizonylatokat tároló állományok (másodpéldányok) digitális aláírása (utólagos módosítás kizárása); másodpéldányok fizikai védelme (EMT lezárása tokozása-, plombálás); tárolt dokumentumok lekérdezésének biztosítása (soros porton, EMT protokoll segítségével). Tanúsítási Jelentés 4/13 Nyilvános

I.3. A TOE biztonsági környezete és határai A TOE az EMT-n futó szoftver (a mikrokontrollerhez feltöltött firmware-rel együtt). Az alábbi ábra szemlélteti az implementációt és a TOE határát: 1. ábra A TOE alkotóelemei, definíciója és határvonala (piros vonallal jelölve) Minden más eszköz az EMT architektúrában (a hardverelemek, mint a mikrokontroller, az SD kártyák, a crypto chip, a SAM modul, az FRAM és a tápellátás) a működési környezet részének tekinthető. Ezért a felsorolt elemek nem részei a TOE-nak. Különösen, a szervizes munkaállomása és a szoftvere kívül esnek a TOE határán. Az EMT TikettPro fizikai interfészei Az EMT modul három interfésszel rendelkezik: Kommunikációs port: 10 pines csatlakozóval rendelkező soros port, amelyen keresztül a kommunikáló fél (jegykiadó gép) csatlakozni képes az EMT modulhoz. Normál működés esetén ezen a porton érkezik minden hasznos adat, amit az EMT modulnak tárolnia és őriznie kell. Debug port: egy pines csatlakozóval rendelkező soros port, amelyen keresztül a szervizes munkatárs a szerviz funkciókat el tudja érni, inicializálni, illetve karban tudja tartani az eszközt. Szerviz üzemben ezen a porton keresztül történik a firmware feltöltése, az eszköz inicializálása (nyugtakiadó géphez rendelése), valamint a hardver diagnosztizálása (ha korábban blokkolt állapotba került az eszköz). SD kártya csatlakozási felület: az EMT modulban az adatok tárolása SD kártyákon történik. Az SD kártya természeténél fogva eltávolítható. Az eltávolításra csak a doboz megbontása után van lehetőség, így a dobozon lévő plomba/matrica érvényessége igazolja az SD kártyák sértetlenségét. Az SD kártya kivételével az SD kártya bármely szabványos SD kártya olvasó által olvasható, azon FAT16, vagy FAT32 fájlrendszeren lévő fájlokban a nyugtainformáció és a napló is rendelkezésre áll. Tanúsítási Jelentés 5/13 Nyilvános

I.4. A rendszer főbb komponensének azonosítása Értékelt TOE verzió: Fájlnév Verzió SHA256 lenyomat 2.11.68.68.bin V2.11.68.68 0A4D776287881E85209095897C33D9C9 80B69070B1AAB1A029A8B0F78A299CA1 Tanúsítási Jelentés 6/13 Nyilvános

II. A tanúsítás jellemzése Jelen tanúsítás a biztonsági előirányzatában (ST) lefektetetett követelmények teljesülését vizsgálja. II.1. Az alkalmazott értékelési módszer A TikettPro EMT modul termék értékelésére a MIBÉTS (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma) értékelési módszertant alkalmazták. A MIBÉTS értékelési módszertana a KIB (Közigazgatási Informatikai Bizottság) 28. számú ajánlásának (Az E-közigazgatási Keretrendszer követelménytár, 2009) részét képezi az alábbi címen: Termékekre vonatkozó értékelési módszertan. Az értékelés garanciaszintje MIBÉTS fokozott, mely a CC (Common Criteria, MSZ ISO/IEC 15408) szerinti EAL3-as szintnek feleltethető meg. II.2. A tanúsításhoz felhasznált értékelési jelentések azonosítása Rendszer Értékelési Jelentés: TikettPro EMT modul V2.11.68.68 ÉRTÉKELÉSI JELENTÉS v1.0 II.3. Az értékeléshez felhasznált fejlesztői bizonyítékok Az értékelés, a fejlesztőkkel történt folyamatos konzultáció mellett, az alábbi fejlesztői bizonyítékok végleges verzióit használta fel: Fájlnév Verzió EMT_modul_STv10.docx 1.0 EMT_modul_ADV_ARC.docx 1.0 EMT_modul_ADV_FSP.docx 1.0 EMT_modul_ADV_TDS.docx 1.0 EMT_modul_ALC_CM.docx 1.0 EMT_modul_ALC_DEL.docx 1.0 EMT_modul_ALC_DVS.docx 1.0 EMT_modul_ALC_LCD.docx 1.0 EMT_modul_ATE_COV.docx 1.0 EMT_modul_ATE_FUN.docx 1.0 Üzemeltetői_kézikönyv_v1.0_pdf.doc 1.0 TikettPro_EMT_telepitesi_leiras_v1.6.docx 1.6 tikettpro_emt_rendszerleiras_v2.10.doc 2.10 tpemt_tesztelesi_dokumentacio_v1.2_tanusitasi_tesztek.doc 1.2 II.4. Az értékelési folyamat tanúsítási szempontú ellenőrzése A Tanúsítási Jelentés készítői a teljes értékelési folyamatot figyelemmel kísérték, ellenőrizték: az értékelési folyamatok módszertani szempontú ellenőrzésével; különböző szakértői megbeszéléseken való részvétellel. Tanúsítási Jelentés 7/13 Nyilvános

III. Az értékelés eredményei III.1. A garanciális biztonsági követelményeknek való megfelelés Az értékelés módszertana a MIBÉTS termékekre vonatkozó értékelési módszertanát (KIB 28. számú ajánlása) követte, az eredmények leírása is az ott meghatározott jelöléseket alkalmazza. III.1.1. A biztonsági előirányzat értékelése Értékelői feladatelem ASE_INT: Biztonsági előirányzat, Bevezetés ASE_CCL: Biztonsági előirányzat, Megfelelőségi nyilatkozatok ASE_SPD: Biztonsági előirányzat, Biztonsági probléma meghatározás ASE_OBJ: Biztonsági előirányzat, Biztonsági célok ASE_ECD: Biztonsági előirányzat, Kiterjesztett biztonsági követelmények ASE_REQ: Biztonsági előirányzat, Biztonsági követelmények ASE_TSS: Biztonsági előirányzat, Az értékelés tárgya összefoglaló előírása határozat III.1.2. A fejlesztés értékelése Értékelői feladatelem ADV_ARC.1: Biztonsági szerkezet leírás ADV_FSP.3: Funkcionális specifikáció teljes összegzéssel ADV_TDS.2: Szerkezeti terv határozat III.1.3. Az útmutatók értékelése Értékelői feladatelem AGD_OPE.1: Üzemeltetési felhasználói útmutató AGD_PRE.1: Előkészítő eljárások határozat III.1.4. Az életciklus támogatás értékelése Értékelői feladatelem ALC_CMC.3: Engedélyezéssel kapcsolatos intézkedések ALC_CMS.3: A megvalósítási reprezentáció CM lefedettsége ALC_DEL.1: Szállítási eljárások ALC_DVS.1: A biztonsági intézkedések azonosítása ALC_LCD.1: A fejlesztő által meghatározott életciklus modell határozat Tanúsítási Jelentés 8/13 Nyilvános

III.1.5. A tesztelés értékelése Értékelői feladatelem ATE_FUN.1: Funkcionális tesztelés ATE_COV.2: A lefedettség vizsgálata ATE_DPT.1: Az alap terv tesztelése ATE_IND.2: Független tesztelés - minta határozat III.1.6. A sebezhetőség értékelése A sérülékenység vizsgálat során olyan tesztesetek kerültek végrehajtásra, amelyek a TOE biztonsági funkcióinak megkerülését tesztelték. Ezt kiegészítette a forráskódban a biztonságkritikus (elsősorban a kriptográfiai műveleteket végrehajtó) kódrészletek vizsgálata. Ellenőrzésre kerültek a TOE által használt harmadik feles alkalmazások a nyílt sérülékenység adatbázisok által. A fenti vizsgálatok nem tártak fel kockázatokat, így az értékelés eredménye alapján a TOE üzemeltetési környezetében ellenáll egy alap támadó képességgel rendelkező támadónak. Értékelői feladatelem AVA_VAN.2: Sebezhetőség vizsgálat határozat Tanúsítási Jelentés 9/13 Nyilvános

IV. Következtetések Az értékelés fő következtetése az alábbi: A TikettPro EMT modul V2.11.68.68 megfelel biztonsági előirányzatának, kielégíti az abban megfogalmazott funkcionális és garanciális biztonsági követelményeket. Az értékelés eredménye alapján a Tanúsító megállapítja, hogy a TikettPro EMT modul V2.11.68.68, mint informatikai biztonsági funkciókat megvalósító szoftver termék megfelel a KIB 28-as Ajánlásában szereplő MIBÉTS módszertan szerinti fokozott biztonsági szintnek (ami ethető a CC EAL 3-es szintjének). Tanúsítási Jelentés 10/13 Nyilvános

V. A biztonságos felhasználás feltételei V.1. Az üzemeltetési környezetre vonatkozó biztonsági célok Az értékelés következtetései a biztonsági előirányzatban megfogalmazott, az üzemeltetési környezetre vonatkozó feltételezések teljesülésén múlnak. Ezek a feltételek (melyeket a TikettPro EMT modul nem kezel, nem kényszerít ki, hanem elvárja, hogy az informatikai és a nem informatikai környezete teljesítse) az alábbiak: OE.MEGBÍZHATÓ_ADMIN: A TOE adminisztrátorának megbízhatónak kell lennie és maradéktalanul követnie kell a munkautasításokban foglalt utasításokat. OE.RIASZTÁS: A TOE adminisztrátorának a hibajelzés után a lehető leghamarabb vizsgálnia és értékelnie kell a kritikus naplóbejegyzéseket, amelyeket a TOE állított elő és tárolt. OE.PUBLIKUS_KULCS: A szervizesnek kötelessége a publikus kulcsot kinyerni a TOE-ból és azt megfelelő módon tárolni. OE.NAPLÓ_ANALÍZIS: A TOE központi adminisztrátorának rendszeres időközönként analizálnia kell a TOE által generált naplóbejegyzéseket, ellenőriznie kell a napló integritását és a naplóban foglaltaknak megfelelően reagálnia kell. OE.SZERVIZ_INTERVALLUM: A TOE szervizei közötti időnek A telepítési útmutatóban meghatározottnak kell lennie ahhoz, hogy az eddigiekben megfogalmazott biztonsági célok teljesülhessenek. OE.TOE_FIZIKAI_KÖRNYEZET: A TOE olyan helyre van beépítve, ahonnan illetéktelenek csak aránytalanul nagy erőforrás igénybevételével tudnák csak kiszerelni. OE.HW: A TOE olyan eszközön legyen implementálva, mely alkalmas az EMT modulban lévő szoftverek futtatásához, a fenyegetések kivédéséhez. OE.SW_FEJLESZTÉS_BIZTONSÁGA: A TOE szoftver frissítéseit biztonságos, megbízható környezetben hozzák létre megbízható eszközökön. Csak arra feljogosított személy férjen hozzá ezekhez az eszközökhöz és a szoftverekhez. OE.TOE_SZÁLLÍTÁS: A TOE-t csak biztonságos módon, emberi felügyelet mellett lehet a szerviz helyszínéről a nyugtakiadó géphez és viszont szállítani. OE.KRIPTOGRÁFIAI_MEGFELELÉS: A TOE senkinek sem teheti láthatóvá az adatelem privát kulcsait. A TOE nem biztosíthat interfészt a megosztott kulcsok kinyerésére sem az üzemi használat során (az üzemi tartományban). OE.TÁRTERÜLET: A nyugtaadatok és a napló tárolására szolgáló SD kártya kapacitása kellően nagy legyen, hogy ne következhessen be adatvesztés a TOE szervizintervallumán belül. OE.BIZTONSÁGOS_KME: A TOE központi menedzsment eszköze biztonságosan van konfigurálva és használva, különösen az alábbi komponensek vonatkozásában: az operációs rendszere naprakész, a legújabb frissítések telepítve vannak az operációs rendszer gyártójának ajánlásai szerint, naprakész rosszindulatú kód elleni védelemmel rendelkezik. Az eszközön nem lehet más általános célú számítástechnikai szoftver (pl. fordítóprogramot nem tartalmazhat), illetve nem futhat rajta semmilyen szolgáltatás a működéséhez feltétlenül szükséges szolgáltatásokon túl. Tanúsítási Jelentés 11/13 Nyilvános

OE.KME_HOZZÁFÉRÉS_SZABÁLYOZÁS: A TOE központi menedzsment eszköze (KME) hozzáférései kontrolláltak. A beléptetés nem automatikus és a használat visszaellenőrizhető (a KME naplózásának köszönhetően). A hozzáférés korlátozás alapja lehet fizikai (pl. fizikai hozzáférés korlátozás a KME-hez), és/vagy logikai (pl. az operációs rendszer által nyújtott azonosító és hitelesítő eszközzel). OE.KME_KAPCSOLAT: A TOE és a TOE központi menedzsment eszköze közötti kapcsolatnak megbízható linknek kell lennie. OE.KME_FIZIKAI_KÖRNYEZET: A TOE központi menedzsment eszköze biztonságos helyen van tárolva. A KME csak a TOE menedzsmentje esetén van használatban. OE.ADATOK_ELLENŐRZÉSE: A TOE-ból kinyert adatok ellenőrzését biztosítani kell a KME eszközön. OE.SW_VÉDELEM: Szoftver (firmware) frissítést a TOE-re telepítésével összefüggő feladatokat kizárólag a gyártói szerviz megbízható adminisztrátora végezheti. V.2. Javaslatok Az Értékelési Jelentés kilenc javaslatot tesz a termékkel kapcsolatban. A Tanúsító ezekkel a javaslatokkal egyetért és nyomatékosan felhívja a fejlesztő figyelmét azok figyelembevételére. Tanúsítási Jelentés 12/13 Nyilvános

VI. Hivatkozások, rövidítések VI.1. A követelményeket tartalmazó dokumentum MIBÉTS 2009 Termékekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum, v4 2008.09.19) (a KIB 28-as számú Ajánlás része) VI.2. Figyelembe vett mértékadó dokumentumok Common Criteria for Information Technology Security Evaluation (September 2012 -version 3.1, revision 4) Part 1: Introduction and general model Common Criteria for Information Technology Security Evaluation (September 2012 -version 3.1, revision 4) Part 2: Security functional components Common Criteria for Information Technology Security Evaluation (September 2012 -version 3.1, revision 4) Part 3: Security assurance components Common Methodology for Information Technology Security Evaluation (September 2012 - version 3.1, revision 4) VI.2.1. Rövidítések ADV (Assurance: Development) AGD (Assurance: Guidance documents) ALC (Assurance: Life cycle support) ASE (Assurance: Security Target) ATE (Assurance: Tests) AVA (Assurance:Vulnerability assessment) CC (Common Criteria) CEM (Common Evaluation Methodology) CM (Configuration management) EAL (Evaluation Assurance Level) ETR (Evaluation Technical Report) KIB MIBÉTS ST (Security Target) TOE (Target of Evaluation) Fejlesztés értékelése Útmutató dokumentumok értékelése Életciklus támogatás értékelése Biztonsági előirányzat értékelése Tesztelés értékelése Sebezhetőségi elemzés értékelése Közös szempontok Közös értékelési módszertan Konfiguráció kezelés Értékelési garanciaszint Értékelési jelentés Közigazgatási Informatikai Bizottság Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma Biztonsági előirányzat TOE, Értékelés tárgya Tanúsítási Jelentés 13/13 Nyilvános

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés