ISO 15408 (ایزو ۱۵۴۰۸): استاندارد ارزیابی امنیت فناوری اطلاعات
ISO 15408 چیست؟ استاندارد ایزو 15408 مربوط به ارزیابی امنیت فناوری اطلاعات است که اشتباهاً به عنوان استاندارد امنیت اطلاعات توسط برخی از سایت ها مکتوب شده است. آزمایش یا ارزیابی کنترلهای امنیتی برای تعیین میزان اجرای صحیح کنترلها، عملکرد مورد نظر و ایجاد نتیجه مطلوب با توجه به برآورده کردن الزامات امنیتی برای یک سیستم یا سازمان اطلاعاتی، توسط سازمان ایزو و به نام استاندارد ISO 15408 تدوین شده است.
استاندارد ایزو ۱۵۴۰۸: فناوری اطلاعات – تکنیکهای امنیتی – معیارهای ارزیابی امنیت
استاندارد بینالمللی ایزو ۱۵۴۰۸، بهبود کلی فناوری اطلاعات را هدف دارد و به عنوان یک راهنمای مفید برای توسعه، ارزیابی و تهیه محصولات فناوری اطلاعات با عملکرد امنیتی معرفی شده است. این استاندارد، به منظور بهبود کیفیت، محصولات و خدمات فناوری اطلاعات را تحت نظر دارد و استفاده از آن باعث افزایش اعتبار و اطمینان کاربران میشود.
بخش های استاندارد ISO 15408 (ایزو ۱۵۴۰۸)
این استاندارد به سه بخش کلی تقسیم میشود:
بخش ۱: مقدمه و مدل کلی
این بخش ابتدایی، مفاهیم و اهداف اصلی استاندارد را شرح میدهد. همچنین، مدل کلی برای ارزیابی و بهبود امنیت فناوری اطلاعات ارائه میشود.
بخش ۲: اجزای عملکردی امنیتی
در این بخش، اجزای مختلفی که برای تضمین امنیت فناوری اطلاعات لازم است، مورد بررسی قرار میگیرند. این اجزا شامل مواردی از جمله محرمانه بودن، یکپارچگی و در دسترس بودن هستند. تمرکز این بخش بر روی حفاظت از داراییها در برابر افشای غیرمجاز، تغییرات ناخواسته و از دست رفتن آنها است.
بخش ۳: اجزای تضمین امنیت
در این بخش، روشها و تکنیکهایی که برای تضمین امنیت فناوری اطلاعات ارائه میشوند، مورد بررسی قرار میگیرند. استفاده از این اجزا، کاربران را در مقابل خطرات ناشی از فعالیتهای انسانی و غیر انسانی محافظت میکند.
ایزو ۱۵۴۰۸ با تاکید بر انعطافپذیری، قادر به ارائه روشهای متنوعی برای ارزیابی و اجرای ویژگیهای امنیتی محصولات فناوری اطلاعات است. توصیه میشود که کاربران از این انعطافپذیری بهرهمند شوند، اما همچنان به دقت اقدام کنند تا از سوءاستفادههای ممکن جلوگیری کنند.
این استاندارد قابل استفاده در حوزههای مختلف فناوری اطلاعات است و به عنوان یک ابزار کاربردی برای بهبود و تضمین امنیت محصولات و خدمات ارائه شده توصیه میشود. به علاوه، از طریق استفاده از این استاندارد، ممکن است بتوان بهبودها و تغییرات در سایر حوزههای فناوری اطلاعات را نیز ایجاد کرد.
استاندارد ایزو ۱۵۴۰۸ – بخش ۱: مقدمه و مدل کلی
سازمانهای فناوری اطلاعات به منظور ارتقاء امنیت در محصولات خود، به همکاری با کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات) و کمیته فرعی SC 27 (تکنیکهای امنیت فناوری اطلاعات) پرداختهاند و نتیجه آن، استاندارد ایزو ۱۵۴۰۸ است. این استاندارد، به عنوان معیارهای ارزیابی امنیت فناوری اطلاعات، با هدف تدوین مجموعهای از الزامات مشترک برای امنیت و تضمین امنیتی محصولات فناوری اطلاعات، توسط سازمانهای حامی پروژه به عموم منتشر شده است. این نسخه، نسخه قبلی (ISO/IEC 15408-1:2005) را از نظر فنی بازنگری کرده و بهروز رسانی کرده است.
این استاندارد امکان مقایسه نتایج ارزیابیهای امنیتی مستقل را برای محصولات فناوری اطلاعات فراهم میآورد. با ارائه مجموعهای از مترادفها و الزامات مشترک برای امنیت و اقدامات تضمینی محصولات فناوری اطلاعات، این استاندارد از مصرفکنندگان و کاربران این محصولات حمایت میکند تا بتوانند بهترین انتخاب را برای نیازهای امنیتی خود انجام دهند. این محصولات میتوانند در سختافزارها، سیستمهای عامل یا نرمافزارها پیادهسازی شوند.
ارزیابی سطحی این استاندارد مطمئن میشود که عملکرد امنیتی محصولات فناوری اطلاعات و اقدامات تضمینی آنها، الزامات امنیتی را بهخوبی برآورده میکند. نتایج ارزیابی میتوانند به کاربران کمک کنند تا میزان امنیتی که این محصولات فناوری اطلاعات فراهم میآورند را بهتر درک کنند و بهمنظور انتخاب بهتر و آگاهانهتر در مورد استفاده از این محصولات، بهرهمند شوند.
محدوده کاربرد استاندارد ایزو ۱- ۱۵۴۰۸
این بخش از استاندارد ایزو/IEC ۱۵۴۰۸ مفاهیم و اصول کلی ارزیابی امنیت فناوری اطلاعات را بیان میکند و یک مدل کلی برای ارزیابی ویژگیهای امنیتی فراهم میآورد.
این بخش بهعنوان یک مرجع اجمالی برای سایر بخشهای استاندارد عمل میکند و توضیحاتی در مورد اجزای مختلف آن ارائه میدهد. این بخش تعاریفی از اصطلاحات و اختصارات استفادهشده در تمام استاندارد را آورده و مفهوم اصلی هدف ارزیابی (TOE) را مشخص میکند. همچنین، زمینهها و مخاطبانی که معیارهای ارزیابی برای آنها قابل استفاده است، را تشریح میکند. این بخش، مباحث اساسی امنیتی لازم برای ارزیابی محصولات فناوری اطلاعات را به مخاطبان ارائه میدهد.
بخشهای مختلف ایزو ۱- ۱۵۴۰۸ اقدامات و عملکردهای مختلفی را تعریف میکنند که از طریق آنها میتوان اجزای عملکردی و تضمینی که در استانداردهای ایزو/IEC ۱۵۴۰۸-۲ و ایزو/IEC ۱۵۴۰۸-۳ ارائه شدهاند، را تنظیم نمود.
در این بخش، مفاهیم کلیدی مانند پروفیلهای حفاظتی (PP)، بستههای الزامات امنیتی و موضوع انطباق مشخص شدهاند و پیامدها و نتایج ارزیابی شرح داده شدهاند. همچنین، این بخش، راهنماییها و دستورالعملهایی را برای مشخصات اهداف امنیتی (ST) و نظم و ترتیب اجزا در سراسر مدل ارائه میدهد. علاوه بر این، اطلاعات کلی در مورد روشهای ارزیابی و محدوده طرحهای ارزیابی نیز در این بخش ارائه شدهاست.
موضوعات خارج از محدوده استاندارد ایزو ۱- ۱۵۴۰۸
در استاندارد ایزو ۱- ۱۵۴۰۸، برخی موضوعات تخصصی در حوزه امنیت فناوری اطلاعات بهطور صریح پوشش داده نشدهاند و از محدوده این استاندارد خارج میمانند. در زیر، به برخی از این موضوعات اشاره میکنیم:
الف) این استاندارد معیارهای ارزیابی امنیتی مربوط به اقدامات امنیتی که بهطور مستقیم به عملکرد امنیت فناوری اطلاعات مرتبط هستند، پوشش نمیدهد. با این حال، اغلب امنیت قابل توجهی از طریق اقدامات اداری مانند کنترلهای سازمانی، پرسنلی، فیزیکی و رویهای به دست آورده یا از آن حمایت میشود.
ب) ارزیابی برخی از جنبههای فیزیکی و فنی امنیت فناوری اطلاعات، مانند کنترل تابش الکترومغناطیسی، بهطور خاص پوشش نمیدهد، اگرچه بسیاری از مفاهیم در این حوزه را قابل اجرا خواهد کرد.
ج) این استاندارد به روشهای ارزیابی که بر اساس آن معیارها باید اعمال شوند، پرداخته نمیکند.
د) به چارچوب اداری و قانونی که براساس آن معیارها ممکن است توسط مقامات ارزیابی اعمال شوند، پرداخته نمیشود. با این حال، انتظار داریم که اهداف ارزیابی در چنین چارچوبی مشخص شود.
ه) رویههای استفاده از نتایج ارزیابی در اعتباربخشی در محدوده استاندارد ایزو ۱- ۱۵۴۰۸ قرار نمیگیرند. از آنجایی که سایر تکنیکها برای ارزیابی ویژگیهای غیر مرتبط با فناوری اطلاعات و ارتباط آنها با بخشهای امنیتی فناوری اطلاعات مناسبتر میباشند، اعتباربخشها باید مقررات جداگانهای برای این جنبهها ایجاد کنند.
و) استاندارد ایزو ۱- ۱۵۴۰۸ موضوع معیارهای ارزیابی کیفیت ذاتی الگوریتمهای رمزنگاری را بررسی نمیکند. اگر ارزیابی را مستقل از ویژگیهای ریاضی رمزنگاری مورد نیاز انجام دهد، طرح ارزیابی که اعمال میشود باید پیشبینی کنندهی مناسبی داشته باشد.
نتیجهگیری
هنگامی که یک محصول فناوری اطلاعات را که تحت ارزیابی قرار گرفته، بررسی میکنیم، تنها در زمینه ویژگیهای امنیتی آن ارزیابی میشود و روشهای ارزیابی مورد استفاده به این حوزه مرتبط میشوند. به مقامات ارزیابی توصیه میکنیم که محصولات، خواص و روشها را به دقت بررسی و مشخص کنند تا نتایج ارزیابی معناداری ارائه دهند. همچنین، به خریداران محصولات ارزیابی شده نیز توصیه میشود که این موضوع را به دقت در نظر بگیرند تا بتوانند تصمیمگیری بهتری برای انتخاب محصولات مناسب برای نیازهای خود انجام دهند.
جهت اخذ انواع گواهینامه های معتبر ایزو می توانید از طریق WhatsApp با مرکز مشاوره ایران گواه در تماس باشید.
