ISO 15408 (ایزو ۱۵۴۰۸): استاندارد ارزیابی امنیت فناوری اطلاعات

ISO 15408 چیست؟ استاندارد ایزو 15408 مربوط به ارزیابی امنیت فناوری اطلاعات است که اشتباهاً به عنوان استاندارد امنیت اطلاعات توسط برخی از سایت ها مکتوب شده است. آزمایش یا ارزیابی کنترل‌های امنیتی برای تعیین میزان اجرای صحیح کنترل‌ها، عملکرد مورد نظر و ایجاد نتیجه مطلوب با توجه به برآورده کردن الزامات امنیتی برای یک سیستم یا سازمان اطلاعاتی، توسط سازمان ایزو و به نام استاندارد ISO 15408 تدوین شده است.

استاندارد ایزو ۱۵۴۰۸: فناوری اطلاعات – تکنیک‌های امنیتی – معیارهای ارزیابی امنیت

استاندارد بین‌المللی ایزو ۱۵۴۰۸، بهبود کلی فناوری اطلاعات را هدف دارد و به عنوان یک راهنمای مفید برای توسعه، ارزیابی و تهیه محصولات فناوری اطلاعات با عملکرد امنیتی معرفی شده است. این استاندارد، به منظور بهبود کیفیت، محصولات و خدمات فناوری اطلاعات را تحت نظر دارد و استفاده از آن باعث افزایش اعتبار و اطمینان کاربران می‌شود.

ISO 15408 (ایزو ۱۵۴۰۸) استاندارد ارزیابی امنیت فناوری اطلاعات

بخش های استاندارد ISO 15408 (ایزو ۱۵۴۰۸)

این استاندارد به سه بخش کلی تقسیم می‌شود:

بخش ۱: مقدمه و مدل کلی
این بخش ابتدایی، مفاهیم و اهداف اصلی استاندارد را شرح می‌دهد. همچنین، مدل کلی برای ارزیابی و بهبود امنیت فناوری اطلاعات ارائه می‌شود.

بخش ۲: اجزای عملکردی امنیتی
در این بخش، اجزای مختلفی که برای تضمین امنیت فناوری اطلاعات لازم است، مورد بررسی قرار می‌گیرند. این اجزا شامل مواردی از جمله محرمانه بودن، یکپارچگی و در دسترس بودن هستند. تمرکز این بخش بر روی حفاظت از دارایی‌ها در برابر افشای غیرمجاز، تغییرات ناخواسته و از دست رفتن آن‌ها است.

بخش ۳: اجزای تضمین امنیت
در این بخش، روش‌ها و تکنیک‌هایی که برای تضمین امنیت فناوری اطلاعات ارائه می‌شوند، مورد بررسی قرار می‌گیرند. استفاده از این اجزا، کاربران را در مقابل خطرات ناشی از فعالیت‌های انسانی و غیر انسانی محافظت می‌کند.

ایزو ۱۵۴۰۸ با تاکید بر انعطاف‌پذیری، قادر به ارائه روش‌های متنوعی برای ارزیابی و اجرای ویژگی‌های امنیتی محصولات فناوری اطلاعات است. توصیه می‌شود که کاربران از این انعطاف‌پذیری بهره‌مند شوند، اما همچنان به دقت اقدام کنند تا از سوءاستفاده‌های ممکن جلوگیری کنند.

این استاندارد قابل استفاده در حوزه‌های مختلف فناوری اطلاعات است و به عنوان یک ابزار کاربردی برای بهبود و تضمین امنیت محصولات و خدمات ارائه شده توصیه می‌شود. به علاوه، از طریق استفاده از این استاندارد، ممکن است بتوان بهبود‌ها و تغییرات در سایر حوزه‌های فناوری اطلاعات را نیز ایجاد کرد.

استاندارد ایزو ۱۵۴۰۸ – بخش ۱: مقدمه و مدل کلی

سازمان‌های فناوری اطلاعات به منظور ارتقاء امنیت در محصولات خود، به همکاری با کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات) و کمیته فرعی SC 27 (تکنیک‌های امنیت فناوری اطلاعات) پرداخته‌اند و نتیجه آن، استاندارد ایزو ۱۵۴۰۸ است. این استاندارد، به عنوان معیارهای ارزیابی امنیت فناوری اطلاعات، با هدف تدوین مجموعه‌ای از الزامات مشترک برای امنیت و تضمین امنیتی محصولات فناوری اطلاعات، توسط سازمان‌های حامی پروژه به عموم منتشر شده است. این نسخه، نسخه قبلی (ISO/IEC 15408-1:2005) را از نظر فنی بازنگری کرده و به‌روز رسانی کرده است.

این استاندارد امکان مقایسه نتایج ارزیابی‌های امنیتی مستقل را برای محصولات فناوری اطلاعات فراهم می‌آورد. با ارائه مجموعه‌ای از مترادف‌ها و الزامات مشترک برای امنیت و اقدامات تضمینی محصولات فناوری اطلاعات، این استاندارد از مصرف‌کنندگان و کاربران این محصولات حمایت می‌کند تا بتوانند بهترین انتخاب را برای نیازهای امنیتی خود انجام دهند. این محصولات می‌توانند در سخت‌افزارها، سیستم‌های عامل یا نرم‌افزارها پیاده‌سازی شوند.

ارزیابی سطحی این استاندارد مطمئن می‌شود که عملکرد امنیتی محصولات فناوری اطلاعات و اقدامات تضمینی آن‌ها، الزامات امنیتی را به‌خوبی برآورده می‌کند. نتایج ارزیابی می‌توانند به کاربران کمک کنند تا میزان امنیتی که این محصولات فناوری اطلاعات فراهم می‌آورند را بهتر درک کنند و به‌منظور انتخاب بهتر و آگاهانه‌تر در مورد استفاده از این محصولات، بهره‌مند شوند.

محدوده کاربرد استاندارد ایزو ۱- ۱۵۴۰۸

این بخش از استاندارد ایزو/IEC ۱۵۴۰۸ مفاهیم و اصول کلی ارزیابی امنیت فناوری اطلاعات را بیان می‌کند و یک مدل کلی برای ارزیابی ویژگی‌های امنیتی فراهم می‌آورد.

این بخش به‌عنوان یک مرجع اجمالی برای سایر بخش‌های استاندارد عمل می‌کند و توضیحاتی در مورد اجزای مختلف آن ارائه می‌دهد. این بخش تعاریفی از اصطلاحات و اختصارات استفاده‌شده در تمام استاندارد را آورده و مفهوم اصلی هدف ارزیابی (TOE) را مشخص می‌کند. همچنین، زمینه‌ها و مخاطبانی که معیارهای ارزیابی برای آن‌ها قابل استفاده است، را تشریح می‌کند. این بخش، مباحث اساسی امنیتی لازم برای ارزیابی محصولات فناوری اطلاعات را به مخاطبان ارائه می‌دهد.

بخش‌های مختلف ایزو ۱- ۱۵۴۰۸ اقدامات و عملکردهای مختلفی را تعریف می‌کنند که از طریق آن‌ها می‌توان اجزای عملکردی و تضمینی که در استانداردهای ایزو/IEC ۱۵۴۰۸-۲ و ایزو/IEC ۱۵۴۰۸-۳ ارائه شده‌اند، را تنظیم نمود.

در این بخش، مفاهیم کلیدی مانند پروفیل‌های حفاظتی (PP)، بسته‌های الزامات امنیتی و موضوع انطباق مشخص شده‌اند و پیامدها و نتایج ارزیابی شرح داده شده‌اند. همچنین، این بخش، راهنمایی‌ها و دستورالعمل‌هایی را برای مشخصات اهداف امنیتی (ST) و نظم و ترتیب اجزا در سراسر مدل ارائه می‌دهد. علاوه بر این، اطلاعات کلی در مورد روش‌های ارزیابی و محدوده طرح‌های ارزیابی نیز در این بخش ارائه شده‌است.

موضوعات خارج از محدوده استاندارد ایزو ۱- ۱۵۴۰۸

در استاندارد ایزو ۱- ۱۵۴۰۸، برخی موضوعات تخصصی در حوزه امنیت فناوری اطلاعات به‌طور صریح پوشش داده نشده‌اند و از محدوده این استاندارد خارج می‌مانند. در زیر، به برخی از این موضوعات اشاره می‌کنیم:

الف) این استاندارد معیارهای ارزیابی امنیتی مربوط به اقدامات امنیتی که به‌طور مستقیم به عملکرد امنیت فناوری اطلاعات مرتبط هستند، پوشش نمی‌دهد. با این حال، اغلب امنیت قابل توجهی از طریق اقدامات اداری مانند کنترل‌های سازمانی، پرسنلی، فیزیکی و رویه‌ای به دست آورده یا از آن حمایت می‌شود.

ب) ارزیابی برخی از جنبه‌های فیزیکی و فنی امنیت فناوری اطلاعات، مانند کنترل تابش الکترومغناطیسی، به‌طور خاص پوشش نمی‌دهد، اگرچه بسیاری از مفاهیم در این حوزه را قابل اجرا خواهد کرد.

ج) این استاندارد به روش‌های ارزیابی که بر اساس آن معیارها باید اعمال شوند، پرداخته نمی‌کند.

د) به چارچوب اداری و قانونی که براساس آن معیارها ممکن است توسط مقامات ارزیابی اعمال شوند، پرداخته نمی‌شود. با این حال، انتظار داریم که اهداف ارزیابی در چنین چارچوبی مشخص شود.

ه) رویه‌های استفاده از نتایج ارزیابی در اعتباربخشی در محدوده استاندارد ایزو ۱- ۱۵۴۰۸ قرار نمی‌گیرند. از آنجایی که سایر تکنیک‌ها برای ارزیابی ویژگی‌های غیر مرتبط با فناوری اطلاعات و ارتباط آن‌ها با بخش‌های امنیتی فناوری اطلاعات مناسب‌تر می‌باشند، اعتباربخش‌ها باید مقررات جداگانه‌ای برای این جنبه‌ها ایجاد کنند.

و) استاندارد ایزو ۱- ۱۵۴۰۸ موضوع معیارهای ارزیابی کیفیت ذاتی الگوریتم‌های رمزنگاری را بررسی نمی‌کند. اگر ارزیابی را مستقل از ویژگی‌های ریاضی رمزنگاری مورد نیاز انجام دهد، طرح ارزیابی که اعمال می‌شود باید پیش‌بینی کننده‌ی مناسبی داشته باشد.

نتیجه‌گیری
هنگامی که یک محصول فناوری اطلاعات را که تحت ارزیابی قرار گرفته، بررسی می‌کنیم، تنها در زمینه ویژگی‌های امنیتی آن ارزیابی می‌شود و روش‌های ارزیابی مورد استفاده به این حوزه مرتبط می‌شوند. به مقامات ارزیابی توصیه می‌کنیم که محصولات، خواص و روش‌ها را به دقت بررسی و مشخص کنند تا نتایج ارزیابی معناداری ارائه دهند. همچنین، به خریداران محصولات ارزیابی شده نیز توصیه می‌شود که این موضوع را به دقت در نظر بگیرند تا بتوانند تصمیم‌گیری بهتری برای انتخاب محصولات مناسب برای نیازهای خود انجام دهند.

جهت اخذ انواع گواهینامه های معتبر ایزو می توانید از طریق WhatsApp با مرکز مشاوره ایران گواه در تماس باشید.

برای امتیاز به این نوشته کلیک کنید!

[کل: 0 میانگین: 0]