ایزو ۱۵۴۰۸ ویژه فناوری اطلاعات
ایزو ۱۵۴۰۸ بخشهای زیر را با عنوان کلی فناوری اطلاعات – تکنیکهای امنیتی – معیارهای ارزیابی امنیت فناوری اطلاعات شامل میشود:
- بخش ۱: مقدمه و مدل کلی
- بخش ۲: اجزای عملکردی امنیتی
- بخش ۳: اجزای تضمین امنیت
سازمان جهانی استاندارد ایزو ۱۵۴۰۹ را در زمینه بهبود کلی فناوری اطلاعات تدوین کرد. میتوانید این استاندارد را برای اینکه در فضای کاری بهبود و امنیت ایجاد کنید اخذ کنید. با اخذ استانداردها علاوه بر بهبود کیفیت، اعتبار خود را افزایش میدهید. در ادامه، بخش اول این استاندارد را بررسی میکنیم.
فهرست مطالب
ایزو ۱۵۴۰۸ چیست؟
سازمان جهانی استاندارد، ایزو ۱۵۴۰۸ را به عنوان راهنمای توسعه، ارزیابی یا تهیه محصولات فناوری اطلاعات با عملکرد امنیتی مفید تدوین کرد. این سازمان انواع استانداردها را با هدف بهبود کیفیت در دسترس سازمانها قرار میدهد. سبک این استاندارد را عمدتاً انعطافپذیر تنظیم کردند تا طیف وسیعی از روشهای ارزیابی را قادر سازد بر ویژگیهای امنیتی محصولات فناوری اطلاعات اعمال شوند. بنابراین به کاربران این استاندارد بینالمللی هشدار میدهند که مراقب باشند تا کسی از این انعطافپذیری سوء استفاده نکند.
ایزو ۱۵۴۰۸ از داراییها در برابر افشای غیرمجاز، تغییر یا از دست دادن استفاده محافظت میکند. دستهبندیهای حفاظتی مربوط به این سه نوع شکست امنیت را به ترتیب محرمانه بودن، یکپارچگی و در دسترس بودن مینامیم. این استاندارد را میتوانیم برای جنبههای امنیت فناوری اطلاعات خارج از این سه مورد و خطرات ناشی از فعالیتهای انسانی و غیر انسانی اجرا کنیم. جدای از امنیت فناوری اطلاعات، ممکن است قابلیت استفاده در سایر حوزههای فناوری اطلاعات را نیز داشته باشیم.
ایزو ۱۵۴۰۸– بخش ۱: مقدمه و مدل کلی
کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات) و کمیته فرعی SC 27 (تکنیک های امنیت فناوری اطلاعات) در سال ۲۰۰۹ این استاندارد را تدوین کردهاند. سازمانهای حامی پروژه، به عنوان معیارهای مشترک ارزیابی امنیت فناوری اطلاعات، متن ایزو ۱۵۴۰۸ را منتشر کردند. این نسخه را از نظر فنی بازنگری و جایگزین نسخه دوم (ISO/IEC 15408-1:2005) کردهاند.
بررسی اجمالی ایزو ۱- ۱۵۴۰۸
این بخش از ایزو ۱۵۴۰۸ امکان مقایسه بین نتایج ارزیابیهای امنیتی مستقل را فراهم میکند. این استاندارد این کار را با ارائه مجموعهای از الزامات مشترک برای عملکرد امنیتی محصولات فناوری اطلاعات و اقدامات تضمینی اعمال شده برای این محصولات فناوری اطلاعات در طول ارزیابی امنیتی انجام میدهد. این محصولات فناوری اطلاعات را میتوانید در سخت افزار، سیستم عامل یا نرم افزار پیاده سازی کنید.
فرآیند ارزیابی سطحی این اطمینان را ایجاد میکند که عملکرد امنیتی محصولات فناوری اطلاعات و اقدامات تضمینی که روی آنها اعمال کردیم این الزامات را برآورده کند. نتایج ارزیابی ممکن است به مصرفکنندگان کمک کند تا تعیین کنند این محصولات فناوری اطلاعات چه مقدار نیازهای امنیتی آنها را برآورده میکنند.
محدوده کاربرد ایزو ۱- ۱۵۴۰۸
این بخش از ISO/IEC 15408 مفاهیم و اصول کلی ارزیابی امنیت فناوری اطلاعات را ایجاد میکند و مدل کلی را ارزیابی میکند که در کل بهعنوان مبنایی برای ارزیابی ویژگیهای امنیتی استفاده میشود.
این یک نمای کلی از تمام بخش های ایزو 15408 را ارائه میدهد و بخشهای مختلف استاندارد را توصیف میکند. اصطلاحات و اختصارات مورد استفاده در تمام بخشهای این استاندارد بینالمللی را تعریف میکند. مفهوم اصلی یک هدف ارزیابی (TOE) را ایجاد میکند. زمینه ارزیابی و مخاطبانی را که معیارهای ارزیابی به آنها خطاب میشود را توصیف میکند. مقدمهای بر مفاهیم اساسی امنیتی لازم برای ارزیابی محصولات فناوری اطلاعات ارائه میکند.
عملکردهای مختلفی را تعریف میکند که توسط آنها اجزای عملکردی و تضمینی ارائه شده در ISO/IEC 15408-2 و ISO/IEC 15408-3 را میتوانند از طریق استفاده از عملیات مجاز تنظیم کنند.
مفاهیم کلیدی پروفیلهای حفاظتی (PP)، بستههای الزامات امنیتی و موضوع انطباق مشخص شده و پیامدهای ارزیابی و نتایج ارزیابی را شرح داده است. این بخش از ایزو ۱۵۴۰۸ دستورالعملهایی را برای مشخصات اهداف امنیتی (ST) و شرحی از سازماندهی اجزا در سراسر مدل ارائه میدهد. اطلاعات کلی در مورد روش ارزیابی و محدوده طرحهای ارزیابی را ارائه میکند.
موضوعات خارج از محدوده ایزو ۱۵۴۰۸
برخی موضوعات را شامل تکنیکهای تخصصی در حوزه امنیت فناوری اطلاعات میدانیم، پس آنها را خارج از محدوده ایزو ۱۵۴۰۸ در نظر میگیریم. برخی از آنها را در زیر عنوان میکنیم:
الف) ایزو ۱۵۴۰۸ معیارهای ارزیابی امنیتی مربوط به اقدامات امنیتی را پوشش نمیدهد که مستقیماً به عملکرد امنیت فناوری اطلاعات مرتبط باشد. با این حال اغلب میتواند امنیت قابل توجهی را از طریق اقدامات اداری مانند کنترلهای سازمانی، پرسنلی، فیزیکی و رویهای به دست آورد یا از آن حمایت کند.
ب) ارزیابی برخی از جنبههای فیزیکی فنی امنیت فناوری اطلاعات مانند کنترل تابش الکترومغناطیسی را به طور خاص پوشش نمیدهد، اگرچه بسیاری از مفاهیم پرداخته شده در آن منطقه را قابل اجرا خواهد کرد.
ج) این استاندارد به روش ارزیابی که بر اساس آن معیارها باید اعمال شوند، نمیپردازد.
د) به چارچوب اداری و قانونی که براساس آن معیارها ممکن است توسط مقامات ارزیابی اعمال شود، نمیپردازد. با این حال، انتظار داریم که اهداف ارزیابی را در چنین چارچوبی مشخص کند.
ه) رویههای استفاده از نتایج ارزیابی در اعتباربخشی را در محدوده خود نمیگنجاند. از آنجایی که سایر تکنیکها را برای ارزیابی ویژگیهای غیر مرتبط با فناوری اطلاعات و ارتباط آنها با بخشهای امنیتی فناوری اطلاعات مناسبتر میداند، اعتباربخشها باید مقررات جداگانهای برای این جنبهها ایجاد کنند.
و) ایزو ۱۵۴۰۸ موضوع معیارهای ارزیابی کیفیت ذاتی الگوریتمهای رمزنگاری را بررسی نمیکند. اگر ارزیابی را مستقل از ویژگیهای ریاضی رمزنگاری مورد نیاز انجام دهد، طرح ارزیابی که اعمال میکند را باید پیشبینی کنیم.
نتیجهگیری
وقتی یک محصول فناوری اطلاعات را که ارزیابی کرده باشیم، تنها در زمینه ویژگیهای امنیتی ارزیابی شده و روشهای ارزیابی مورد استفاده معنا پیدا میکند. به مقامات ارزیابی توصیه میکنیم که محصولات، خواص و روشها را به دقت بررسی و مشخص کنند تا ارزیابی نتایج معنی داری ارائه دهد. علاوه بر این، به خریداران محصولات ارزیابی شده نیز توصیه میکنیم که این زمینه را به دقت در نظر بگیرند تا مشخص کنند که آیا محصولی که ارزیابی کردند برای نیازهای خاص آنها مفید واقع میشود یا خیر.
اخذ گواهینامه ایزو معتبر
ایزوسیستم در زمینهی مشاوره، پیادهسازی و اخذ ایزو برای مشاغل مختلف فعالیت میکند که منتج به گرفتن ایزو و دریافت ایزو معتبر خواهد شد. مشاوران این مجموعه به صورت غیرحضوری قبل و بعد از اخذ قرارداد پشتیبانی لازم را از مجموعه شما انچام میدهند. برای کسب اطلاعات بیشتر دربارهی انواع گواهینامه ایزو میتوانید از طریق شمارههای ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ با ما در تماس باشید یا از طریق تکمیل فرم اخذ ایزو کارشناسان ما با شما تماس خواهند گرفت.
این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.
ایزوسیستم برترین مرکز صدور مدارک بین المللی ایزو و دارنده مجوز سازمان صنعت، معدن و تجارت می باشد.
هشدار: مراقب نیش مراکز بدون مجوز رسمی در حوزه ی خدمات مشاوره و صدور گواهینامه های ایزو باشید!