Szoftvertermékek megfelelőségének tanúsítása nemzetközi szabványok szerint

 

 

 

Ajánlatkérő lap

Miért szükséges a szoftvertermékek megfelelőségének tanúsítása?

Az informatika rohamos fejlődésével a vállalatok működése mára már elképzelhetetlen informatikai/információs rendszerek alkalmazása nélkül. Nem csak az egyes folyamatok működését támogatják szoftverek, de az információs rendszerek a legtöbb szervezetben már a folyamatok, illetve az egész vállalatirányítás szerves részévé váltak.
Az informatikai piac – azon belül a szoftvergyártás is – hatalmas lendületet vett. Szinte minden feladatra számos szoftvermegoldás szerezhető be, legyen az dobozos termék, egy gyártó alkalmazásának testre szabása vagy teljesen új egyedi fejlesztés. A szoftvertermékek túlkínálata és az egyes termékek piacra kerülésének gyorsasága sok esetben korlátot szab a szoftver minőségének, felhasználhatóságának. A megrendelő sokszor nem tud(hat)ja előre, hogy a különböző ajánlatok mögötti termékek mennyire megbízhatóan működnek, mibe kerül majd az üzemeltetésük és a hibajavításuk, illetve milyen mértékben tudja azokat saját céljaira felhasználni.
A szoftvertermékek adott követelményekhez viszonyított megfelelőségének tanúsítása

  • egyrészt bizalmat (garanciát) ad a megrendelőnek a számára megfelelő és megbízható szoftvertermék kiválasztásakor,
  • másrészt marketingelőnyt jelent a szoftvergyártónak terméke megfelelőségének független tanúsításával.

Hogyan működik a szoftvertermékek tanúsításának rendszere?

A Magyar Szabványügyi Testület (MSZT) célja, hogy a tanúsított szoftvertermékek iránti bizalom növelésével segítse a megfelelő minőségű szoftverek használatát, és ezáltal hozzásegítse az azt használó szervezeteket hatékonyságuk növeléséhez, illetve kényszerítőleg hasson a szoftverfejlesztési piacon a szoftver-minőségbiztosítás szerepének növelésére.

A szoftvertermékek tanúsítási rendszerének alapját nemzetközi (ISO-) szabványok képezik.

Az értékeléshez szükséges minőségmodellek és mérőszámok a konkrét szoftver, a tanúsítói elvárások és a következő szabványok alapján választhatók ki:

  • ISO/IEC 25000:2014 Systems and software Engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Guide to SquaRE

(Szoftverfejlesztés. Szoftvertermék minőségi követelményei és értékelése (SQuaRE). Útmutató a SquaRE-hez)

  • ISO/IEC 25001:2014 Systems and software engineering - System and software Quality Requirements and Evaluation (SQuaRE) - Planning and management

(Szoftverfejlesztés. Szoftvertermék minőségi követelményei és értékelése (SQuaRE). Tervezés és kezelés)

  • ISO/IEC 25010:2011 Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models

(Rendszer- és szoftverfejlesztés. Rendszerek és szoftver minőségi követelményei és értékelése (SQuaRE).  Rendszer-  és szoftverminőség-modellek)

  • ISO/IEC TR 9126-2…4 sorozat Software engineering – Product quality

(Szoftverfejlesztés. Termékminőség)

A szoftvertermékek értékelési eljárása a következő szabványoknak felel meg:

  • ISO/IEC 25040:2011 Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Evaluation process

(Rendszer- és szoftverfejlesztés. Rendszerek és szoftver minőségi követelményei és értékelése (SQuaRE). Értékelési folyamat)

  • ISO/IEC 25041:2012 Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Evaluation guide for developers, acquirers and independent evaluators

(Rendszer- és szoftverfejlesztés. Rendszerek és szoftver minőségi követelményei és értékelése (SQuaRE). Értékelési útmutató fejlesztőknek, beszerzőknek és független értékelőknek)

A szoftvertermékek minőségének általános meghatározása nehéz és sokszor nem egyértelmű. Következik ez abból is, hogy a különböző termékek célja, funkcionalitása, felhasználási körülményei nagyon eltérőek, és a termék használata során bekövetkezett hibák is nagyon sokféle hatást fejthetnek ki. Mást és mást jelent a minőség a szoftverek gyártója, kereskedője, üzemeltetője, felhasználója számára is.  A funkcionális megfelelőségen túlmenően sokszor nagy szerepük van az úgynevezett nem funkcionális jellemzőknek (pl. megbízhatóság, üzemeltethetőség, terhelhetőség, biztonság, hordozhatóság stb.) is.
Ezért – az előbbiekben felsorolt nemzetközi szabványoknak megfelelve – különböző minőségtulajdonságokat határoztunk meg, amelyekhez a konkrét elvárások, követelmények besorolhatók, és amelyek értékeléséhez hozzárendelhetők a szabvány szerinti mérőszámok. A csoportokba sorolt minőségtulajdonságokat lásd később. Természetesen egy konkrét szoftvertermék értékelése során irreálisan nagy ráfordításigényű és nem is szükséges minden lehetséges minőség-tulajdonság teljes mértékű vizsgálata. A megrendelő dönti el, hogy számára melyik tulajdonság vizsgálata fontos és arra vonatkoztatva rendeli meg a tanúsítást.
A szoftvertermékek adott tulajdonságának adott követelménnyel szembeni megfelelése még így is többféleképpen értelmezhető, attól függően, hogy a megfelelést milyen szigorúan értelmezzük. A szoftvertermék alkalmazása során egy lehetséges hiba hatása – a szoftvertermék felhasználási célja, módja, környezete stb. függvényében – lehet elenyésző, számottevő vagy akár kritikus is. Az ISO/IEC TR 9126-2…4 sorozatnak megfelelve 4 integritási szintet (A, B, C, D) határoztunk meg. Ezek azt jelentik, hogy az adott integritási szint esetén egy hiba bekövetkezésekor annak súlyossága milyen mértékű lehet. Az integritási szintek értelmezésére példákat lásd később. Az egyes integritási szintek függvényében az értékelési vizsgálatok mélysége, szigorúsága, kiterjedése különböző. A szükséges vizsgálatok munkaráfordítási igényei szélsőséges esetekben akár két nagyságrendben is különbözhetnek egymástól. A megrendelő dönti el, hogy milyen integritási szinten rendeli meg a tanúsítást.
Az adott szoftvertermék értékeléséhez szükséges minimális értékelési követelmények:

  • az adott szoftvertermék (futó) programkódja;
  • az adott szoftvertermék fejlesztői dokumentációja (pl. rendszerterv, programspecifikációk) és a    felhasználói dokumentáció (pl. felhasználói kézikönyv);
  • a megrendelő által meghatározott megfelelési követelmények és integritási szintek;
  • szoftvergyártó, mint megrendelő esetén dokumentáltan szabályozott, működő hibajavítási és verziókiadási folyamat.

A szoftvertermék tanúsítása során szükségszerűen a tanúsításban résztvevők rendelkezésére állnak a tanúsítás tárgyát képező programkódok, azok dokumentációi, illetve a kapcsolódó megrendelői igények és egyeztetések feljegyzései, valamint a szoftvertermék tanúsítási folyamatának vizsgálati feljegyzései és információi. A tanúsításban résztvevők biztosítják – és a tanúsítási szerződésben garantálják – ezeknek az információknak csak és kizárólag az adott tanúsítás céljára történő felhasználását és bizalmas, üzleti titokként való kezelését.

Miről szól a szoftvertermékre vonatkozó tanúsítvány?

Az MSZT a tanúsítványon tanúsítja, hogy:

  • a (név, cím) szoftvergyártó XXX nevű X.X verziószámú szoftvertermékének
  • XXX tulajdonsága
    • XXX követelményeknek
    • xxx integritási szinten

 

  • az ISO/IEC 25010:2011, ISO/IEC TR 9126-2:2003, ISO/IEC TR 9126-3:2003 és ISO/IEC TR  9126-4:2004 szabványok szerinti minőségmodell-értelmezésben, az ISO/IEC 25040:2011, ISO/IEC 25001:2014 és ISO/IEC 25041:2012 szabványok szerinti eljárással lefolytatott vizsgálat(ok) alapján megfelelt.
  • A fenti szoftvergyártó a fenti szoftvertermék tekintetében érvényes és működő szoftver- hibajavítási, és -kiadási folyamatot tart fenn és működtet.
  • A tanúsítvány érvényessége az adott verziójú termékre folyamatos.

Mit kell tennie, ha ügyfelünk szeretne lenni?

Ha érdekli ajánlatunk, kérjen további információt tanúsítási menedzsereinktől, illetve töltse le ajánlatkérő lapunkat és juttassa el hozzánk. Örömmel üdvözöljük ügyfeleink között. A testre szabott ajánlat elkészítése előtt – szükség esetén – a szakkifejezések értelmezése, és az Ön számára optimális tanúsítási célok közös kialakítása érdekében konzultáljon tanúsítási menedzsereinkkel, illetve a szoftverméréseket végző alvállalkozónkkal (INFOBIZ Kft., szoftvermeres@infobiz.hu).

A szoftvertermék tanúsításának lépéseit lásd később.

Szoftvertermékek minőségtulajdonságai

A meghatározott (további minőségtulajdonságokra bontható) minőségtulajdonság-csoportok a következők:

  • Funkcionális alkalmazhatóság:
    • funkcionális teljesség
    • funkcionális helyesség
    • funkcionális megfelelőség
  • Hatékonyság:
    • időszükséglet
    • erőforrás-kihasználás
    • kapacitás
  • Kompatibilitás:
    • együttműködő képesség
    • rendszeralkotó képesség
  • Használhatóság:
    • érthetőség
    • megtanulhatóság
    • működtethetőség
    • felhasználói hibavédelem
    • felhasználói felületi esztétika
    • hozzáférhetőség
  • Megbízhatóság:
    • érettség
    • elérhetőség
    • hibatűrő képesség
    • helyreállíthatóság
  • Biztonság:
    • bizalmasság
    • megbízhatóság
    • letagadhatatlanság
    • elszámoltathatóság
    • hitelesség
  • Karbantarthatóság:
    • modularitás
    • újrahasznosíthatóság
    • elemezhetőség
    • módosíthatóság
    • tesztelhetőség
  • Hordozhatóság:
    • variálhatóság
    • telepíthetőség
    • kiválthatóság
  • Használatbeli minőség:
    • hatékonyság
    • termelékenység
    • elégedettség
    • kockázatmentesség
    • alkalmazási környezetfedettség

Szoftvertermékek integritási szintjei

A rendszer, illetve adott szoftvertermék hibáinak lehetséges következményei:

Szempont

Értékelési szintek

 

A

B

C

D

Személyek és anyagi javak biztonsága

Sok ember halála

Emberi élet veszélyeztetése

Anyagi károk, emberek sérülésének veszélye

Kis anyagi károk, emberek nincsenek veszélyben

Gazdasági, pénzügyi következmények

Pénzügyi katasztrófa
(a vállalat nem
éli túl)

Nagy gazdasági veszteség (veszélyezteti a vállalat létét)

Jelentős gazdasági veszteség (érinti a vállalatot)

Jelentéktelen gazdasági veszteség

Informatikai adat- és szolgáltatásbiztonság

Stratégiai adatok és szolgáltatások védelme

Kritikus adatok és szolgáltatások védelme

Hibák kockázata elleni védelem

Nincs azonosított kockázat

A környezet biztonsága

Visszafordíthatatlan környezeti károk

Helyreállítható környezeti károk

Helyi környezet-szennyezés

Nincs azonosított környezeti kockázat

Marketing

A termék (és a vállalat) léte forog kockán

Súlyos piacvesztési kockázatok

Csekély piaci kockázat

Nincs azonosított piaci kockázat

 

Szoftvertermékek tanúsításának lépései

Tanúsítási eljárás
A tanúsítási eljárás lényege annak igazolása, hogy a vonatkozó szabvány szerinti eljárás alapján a szoftvertermék (adott termék, adott verziószámmal) a meghatározott integritási szinten megfelel a megrendelő által meghatározott követelményeknek, és szoftvergyártó, mint megrendelő esetén a szoftvertermék hibajavításához és verziókiadásához alkalmazott eljárás a termék későbbi hibajavításai során is garantálja a megfelelést.

1. Az eljárás lépései a következők:

  • Az értékelési követelmények meghatározása

Cél a termékértékelés céljának, kereteinek meghatározása és dokumentálása, majd ezek alapján az értékeléshez szükséges munkaerő-ráfordítási igény megállapítása.
Ez a lépés a megrendelő ajánlatkérő lapon megadott igényeiből indul ki. A szükséges mérési/vizsgálati mélység a megrendelővel szoros egyeztetésben határozható meg az értékelés céljával, az értékelésre kiválasztott minőségtulajdonságokkal és a meghatározott integritási szinttel összhangban. Ezek együttese alapján tervezhető meg az értékeléshez szükséges munkaerő-ráfordítási igény.
A lépés eredménye a megrendelőre szabott tanúsítási ajánlat, amely a konkrét szoftvertermék értékelésének követelményeit is tartalmazza. Az ajánlat elfogadása és a tanúsításra szóló szerződés megkötése után folytatódik a tanúsítási folyamat.

2. Az értékelés meghatározása

Cél az értékelés hatáskörének és az elvégzendő méréseknek a meghatározása.
Feladatok:

  • az értékelésre benyújtott termékkomponensek azonosítása,
  • a termékkomponensek értékelésének alapját képező minőségtulajdonságok és az azok értékelését lehetővé tevő mérőszámok azonosítása,
  • annak ellenőrzése, hogy a termékleírásban felsorolt komponensekről elegendő információ áll-e rendelkezésre az értékelési követelményeknek megfelelően és a megszabott mérések elégségesek-e az értékelés céljainak eléréséhez (szükség esetén a hiányzó termékdokumentációk bekérése vagy az értékelési követelmények és/vagy az értékelés céljának módosítása a megrendelővel dokumentáltan egyeztetett módon),
  • az értékelés meghatározásának dokumentálása.

3. Az értékelés megtervezése

Cél az értékelési terv elkészítése, amely leírja az értékeléshez szükséges lépéseket és erőforrásokat.
Az értékelési terv két részből áll:

  • az értékelési eljárások dokumentációja,
  • az értékelési tevékenységek ütemezése.

4. Az értékelés végrehajtása

Cél az értékelés meghatározásában és az értékelési tervben meghatározott értékelési követelmények alapján a mérések és ellenőrzések elvégzése a szoftveren, majd a mérési eredmények összegezése jegyzőkönyvben.

5. A megfelelési vizsgálatok eredményeinek jóváhagyása (validálása)

A vizsgálati dokumentumokat az MSZT értékeli, megvizsgálva, hogy a dokumentumokban leírt vizsgálatok lépései megfelelnek-e a vonatkozó szabványok előírásainak és eredményei a követelményeknek, valamint a szoftverminőségre vonatkozó szabványok (ISO/IEC 25010:2011 és ISO/IEC TR 9126-2…4 sorozat) követelményeinek. Értékelő jelentést készít, amelyben rögzíti a követelményeknek való megfelelőséget, illetve a szükséges kiegészítő vizsgálatokat.

6. A tanúsítvány odaítélése

Cél a tanúsítási okirat odaítélése a vizsgálati dokumentumok értékelése és az elvégzett mérések jegyzőkönyve alapján. A tanúsítási okirat és jel kiadásáról az MSZT hivatalos közleményt jelentet meg és felveszi a terméket a tanúsított termékek jegyzékébe.

A tanúsítvány érvényessége

A szoftvertermék megfelelőségére vonatkozó MSZT-tanúsítvány csak a gyártó adataival, a szoftvertermék nevével és verziószámával azonosított adott szoftvertermék értékelési követelményekben meghatározott minőségtulajdonságnak való, a meghatározott konkrét követelményekkel szembeni és meghatározott integritási szinten vizsgált megfelelésére érvényes.
Az érvényességnek – miután ugyanarról a szoftverkódról van szó – a tanúsítás érvényességének kezdetétől számítva időbeli korlátja nincs, a tanúsítvány érvényessége folyamatos.
A szoftvergyártó, mint megrendelő ezt az érvényességet kiterjesztheti ugyanannak a terméknek a  későbbi, javított alverzióira is, amennyiben az az alverzió ugyanannak a terméknek (megegyezik a  funkcionalitás, a rendszerterv verziója és a felhasználói dokumentáció verziója) csupán a működés során felmerült hibajavításait tartalmazza és rendelkezik dokumentáltan szabályozott – és a tanúsítás során bemutatott – hibakezelési és verziókiadási folyamattal.
A tanúsítvány érvényessége nem terjeszthető ki olyan termékverzióra, amelyben már új vagy módosított funkcionalitások lépnek fel. Ebben az esetekben ez új terméknek minősül, és arra új tanúsítási eljárást kell lefolytatni. Ha a szoftvertermék megelőző verziójának tanúsítása már megtörtént, az új tanúsítás elvégzése kedvezményes lehet. A részletekért hívja tanúsítási menedzsereinket.

Kapcsolattartó:

Szalai Lívia, Tanúsítási Titkárság főosztályvezetője
tel: 06 1 456-6934
e-mail: l.szalai"kukac"mszt.hu

szoftverméréseket végző alvállalkozónk INFOBIZ Kft., szoftvermeres@infobiz.hu