ایزو ۱۵۴۰۸ فناوری اطلاعات فنون امنیتی

ایزو ۱۵۴۰۸ بخش‌های زیر را با عنوان کلی فناوری اطلاعات – تکنیک‌های امنیتی – معیارهای ارزیابی امنیت فناوری اطلاعات شامل می‌شود:

• بخش ۱: مقدمه و مدل کلی
• بخش ۲: اجزای عملکردی امنیتی
• بخش ۳: اجزای تضمین امنیت

سازمان جهانی استاندارد ایزو ۱۵۴۰۹ را در زمینه بهبود کلی فناوری اطلاعات تدوین کرد. می‌توانید این استاندارد را برای اینکه در فضای کاری بهبود و امنیت ایجاد کنید اخذ کنید. با اخذ استانداردها علاوه بر بهبود کیفیت، اعتبار خود را افزایش می‌دهید. در ادامه، بخش اول این استاندارد را بررسی می‌کنیم.

ایزو ۱۵۴۰۸ چیست؟

سازمان جهانی استاندارد، ایزو ۱۵۴۰۸ را به عنوان راهنمای توسعه، ارزیابی یا تهیه محصولات فناوری اطلاعات با عملکرد امنیتی مفید تدوین کرد. این سازمان انواع استانداردها را با هدف بهبود کیفیت در دسترس سازمان‌ها قرار می‌دهد. سبک این استاندارد را عمدتاً انعطاف‌پذیر تنظیم کردند تا طیف وسیعی از روش‌های ارزیابی را قادر سازد بر ویژگی‌های امنیتی محصولات فناوری اطلاعات اعمال شوند. بنابراین به کاربران این استاندارد بین‌المللی هشدار می‌دهند که مراقب باشند تا کسی از این انعطاف‌پذیری سوء استفاده نکند.

ایزو ۱۵۴۰۸ از دارایی‌ها در برابر افشای غیرمجاز، تغییر یا از دست دادن استفاده محافظت می‌کند. دسته‌بندی‌های حفاظتی مربوط به این سه نوع شکست امنیت را به ترتیب محرمانه بودن، یکپارچگی و در دسترس بودن می‌نامیم. این استاندارد را می‌توانیم برای جنبه‌های امنیت فناوری اطلاعات خارج از این سه مورد و خطرات ناشی از فعالیت‌های انسانی و غیر انسانی اجرا کنیم. جدای از امنیت فناوری اطلاعات، ممکن است قابلیت استفاده در سایر حوزه‌های فناوری اطلاعات را نیز داشته باشیم.

ایزو ۱۵۴۰۸ – بخش ۱: مقدمه و مدل کلی

کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات) و کمیته فرعی SC 27 (تکنیک های امنیت فناوری اطلاعات) در سال ۲۰۰۹ این استاندارد را تدوین کرده‌اند. سازمان‌های حامی پروژه، به عنوان معیارهای مشترک ارزیابی امنیت فناوری اطلاعات، متن ایزو ۱۵۴۰۸ را منتشر کردند. این نسخه را از نظر فنی بازنگری و جایگزین نسخه دوم (ISO/IEC 15408-1:2005) کرده‌اند.

بررسی اجمالی ایزو ۱- ۱۵۴۰۸

این بخش از ایزو ۱۵۴۰۸ امکان مقایسه بین نتایج ارزیابی‌های امنیتی مستقل را فراهم می‌کند. این استاندارد این کار را با ارائه مجموعه‌ای از الزامات مشترک برای عملکرد امنیتی محصولات فناوری اطلاعات و اقدامات تضمینی اعمال شده برای این محصولات فناوری اطلاعات در طول ارزیابی امنیتی انجام می‌دهد. این محصولات فناوری اطلاعات را می‌توانید در سخت افزار، سیستم عامل یا نرم افزار پیاده سازی کنید.

فرآیند ارزیابی سطحی این اطمینان را ایجاد می‌کند که عملکرد امنیتی محصولات فناوری اطلاعات و اقدامات تضمینی که روی آن‌ها اعمال کردیم این الزامات را برآورده کند. نتایج ارزیابی ممکن است به مصرف‌کنندگان کمک کند تا تعیین کنند این محصولات فناوری اطلاعات چه مقدار نیازهای امنیتی آن‌ها را برآورده می‌کنند.

محدوده کاربرد ایزو ۱- ۱۵۴۰۸

این بخش از ISO/IEC 15408 مفاهیم و اصول کلی ارزیابی امنیت فناوری اطلاعات را ایجاد می‌کند و مدل کلی را ارزیابی می‌کند که در کل به‌عنوان مبنایی برای ارزیابی ویژگی‌های امنیتی استفاده می‌شود.

این یک نمای کلی از تمام بخش های ایزو  ۱۵۴۰۸را ارائه می‌دهد و بخش‌های مختلف استاندارد را توصیف می‌کند. اصطلاحات و اختصارات مورد استفاده در تمام بخش‌های این استاندارد بین‌المللی را تعریف می‌کند. مفهوم اصلی یک هدف ارزیابی (TOE) را ایجاد میکند. زمینه ارزیابی و مخاطبانی را که معیارهای ارزیابی به آن‌ها خطاب می‌شود را توصیف می‌کند. مقدمه‌ای بر مفاهیم اساسی امنیتی لازم برای ارزیابی محصولات فناوری اطلاعات ارائه می‌کند.

عملکردهای مختلفی را تعریف می‌کند که توسط آنها اجزای عملکردی و تضمینی ارائه شده در ISO/IEC 15408-2 و ISO/IEC 15408-3 را می‎توانند از طریق استفاده از عملیات مجاز تنظیم کنند.

مفاهیم کلیدی پروفیل‌های حفاظتی (PP)، بسته‎های الزامات امنیتی و موضوع انطباق مشخص شده و پیامدهای ارزیابی و نتایج ارزیابی را شرح داده است. این بخش از ایزو ۱۵۴۰۸ دستورالعمل‌هایی را برای مشخصات اهداف امنیتی (ST) و شرحی از سازماندهی اجزا در سراسر مدل ارائه می‌دهد. اطلاعات کلی در مورد روش ارزیابی و محدوده طرح‌های ارزیابی را ارائه می‌کند.

موضوعات خارج از محدوده ایزو ۱۵۴۰۸

برخی موضوعات را شامل تکنیک‌های تخصصی در حوزه امنیت فناوری اطلاعات می‌دانیم، پس آن‌ها را خارج از محدوده ایزو ۱۵۴۰۸ در نظر می‌گیریم. برخی از آن‌ها را در زیر عنوان می‌کنیم:

الف) ایزو ۱۵۴۰۸ معیارهای ارزیابی امنیتی مربوط به اقدامات امنیتی را پوشش نمی‌دهد که مستقیماً به عملکرد امنیت فناوری اطلاعات مرتبط باشد. با این حال اغلب می‌تواند امنیت قابل توجهی را از طریق اقدامات اداری مانند کنترل‌های سازمانی، پرسنلی، فیزیکی و رویه‌ای به دست آورد یا از آن حمایت کند.

ب) ارزیابی برخی از جنبه‌های فیزیکی فنی امنیت فناوری اطلاعات مانند کنترل تابش الکترومغناطیسی را به طور خاص پوشش نمی‌دهد، اگرچه بسیاری از مفاهیم پرداخته شده در آن منطقه را قابل اجرا خواهد کرد.

ج) این استاندارد به روش ارزیابی که بر اساس آن معیارها باید اعمال شوند، نمی‌پردازد.

د) به چارچوب اداری و قانونی که براساس آن معیارها ممکن است توسط مقامات ارزیابی اعمال شود، نمی‌پردازد. با این حال، انتظار داریم که اهداف ارزیابی را در چنین چارچوبی مشخص کند.

ه) رویه‌های استفاده از نتایج ارزیابی در اعتباربخشی را در محدوده خود نمی‌گنجاند. از آنجایی که سایر تکنیک‌ها را برای ارزیابی ویژگی‌های غیر مرتبط با فناوری اطلاعات و ارتباط آن‌ها با بخش‌های امنیتی فناوری اطلاعات مناسب‌تر می‌داند، اعتباربخش‌ها باید مقررات جداگانه‌ای برای این جنبه‌ها ایجاد کنند.

و) ایزو ۱۵۴۰۸ موضوع معیارهای ارزیابی کیفیت ذاتی الگوریتم‌های رمزنگاری را بررسی نمی‌کند. اگر ارزیابی را مستقل از ویژگی‌های ریاضی رمزنگاری مورد نیاز انجام دهد، طرح ارزیابی که اعمال می‌کند را باید پیش‌بینی کنیم.

نتیجه‌گیری

وقتی یک محصول فناوری اطلاعات را که ارزیابی کرده باشیم، تنها در زمینه ویژگی‌های امنیتی ارزیابی شده و روش‌های ارزیابی مورد استفاده معنا پیدا می‌کند. به مقامات ارزیابی توصیه می‎کنیم که محصولات، خواص و روش‌ها را به دقت بررسی و مشخص کنند تا ارزیابی نتایج معنی داری ارائه دهد. علاوه بر این، به خریداران محصولات ارزیابی شده نیز توصیه می‌کنیم که این زمینه را به دقت در نظر بگیرند تا مشخص کنند که آیا محصولی که ارزیابی کردند برای نیازهای خاص آن‌ها مفید واقع می‌شود یا خیر.