آشنایی با استاندارد معیار مشترک Common Criteria

هدف از استاندارد ISO15408 موسوم به استاندارد معیار مشترک (CC)، ارائه روشی برای آزمون امنیتی است. روش معیار مشترک برای بهبود سازگاری در ارزیابی امنیتی محصولات و سیستم‌ها ارائه شده است. این روش یک تلاش جهانی برای تعریف روش ارزیابی امنیتی محصولات IT است که توسط هر دو مولفه مشتری و ارائه‌کننده محصولات شناخته شده است. به طور خلاصه، روش معیار مشترک یک راهنمای مفید برای توسعه محصولات و سیستم‌‌ها با توابع امنیتی مورد نیاز و خرید محصولات تجاری بر اساس این نیازمندی‌ها است. اعتبار اسناد تولیدشده و نتیجه آزمون توسط متخصصان آزمون بررسی می‌شود.
این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه می‌کند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندی‌های امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستم‌ها ارائه می‌کند. بخش دوم، مجموعه‌ای از اجزای عملکردی امنیتی را ارائه می‌کند که از آن به عنوان یک روش استاندارد برای بیان نیازمندی‌های امنیتی محصولات و سیستم‌های IT استفاده می‌شود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه می‌کند که می‌تواند به عنوان روش استاندارد بیان نیازمندی‌های اطمینان برای محصولات و سیستم‌های IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندی‌های عملکردی امنیتی و نیازمندی‌های تضمینی امنیت تشکیل شده است.
در بخش دوم از روش معیار مشترک یازده رده برای نیازمندی‌های عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانال‌ها و مسیرهای قابل اعتماد، حفاظت از داده‌های کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی.
در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیب‌پذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون.
همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه می‌کند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایین‌ترین سطح تضمین است و از EAL1 تا EAL4 به‌تدریج دقت و جزئیات ارزیابی افزایش می‌یابد.

بیان انتزاعی اصطلاحات و واژه‌های فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندی‌های امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف می‌کند. یکی از مهم‌ترین پیش‌نیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساخت‌یافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشت‌های متفاوت از روند دقیق ارزیابی می‌شود.
نکته دیگر زمان‌بر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند می‌شود.
اشکال دیگری که به‌کارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.

[1] Audit

[2] Operation

[3] Delivery

[4] Evaluation Assurance Level

0 آموزش / امنیت 8089
مطالب مشابه
ارسال نظر
عکس خوانده نمی شود

Copyright © 2009-2020 Netel.org. All rights reserved. Edit & customize by AmnGah

انتشار مجدد مطالب وب‌سایت بدون ذکر منبع ممنوع است.

استفاده تجاری از محتویات وب‌سایت بدون کسب اجازه كتبی از آزمایشگاه ممنوع است.

Version 2019-04-01