آشنایی با استاندارد معیار مشترک Common Criteria
هدف از استاندارد ISO15408 موسوم به استاندارد معیار مشترک (CC)، ارائه روشی برای آزمون امنیتی است. روش معیار مشترک برای بهبود سازگاری در ارزیابی امنیتی محصولات و سیستمها ارائه شده است. این روش یک تلاش جهانی برای تعریف روش ارزیابی امنیتی محصولات IT است که توسط هر دو مولفه مشتری و ارائهکننده محصولات شناخته شده است. به طور خلاصه، روش معیار مشترک یک راهنمای مفید برای توسعه محصولات و سیستمها با توابع امنیتی مورد نیاز و خرید محصولات تجاری بر اساس این نیازمندیها است. اعتبار اسناد تولیدشده و نتیجه آزمون توسط متخصصان آزمون بررسی میشود.
این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه میکند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندیهای امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستمها ارائه میکند. بخش دوم، مجموعهای از اجزای عملکردی امنیتی را ارائه میکند که از آن به عنوان یک روش استاندارد برای بیان نیازمندیهای امنیتی محصولات و سیستمهای IT استفاده میشود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه میکند که میتواند به عنوان روش استاندارد بیان نیازمندیهای اطمینان برای محصولات و سیستمهای IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندیهای عملکردی امنیتی و نیازمندیهای تضمینی امنیت تشکیل شده است.
در بخش دوم از روش معیار مشترک یازده رده برای نیازمندیهای عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانالها و مسیرهای قابل اعتماد، حفاظت از دادههای کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی.
در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیبپذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون.
همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه میکند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمهرسمی، بازبینی طراحی و آزمون نیمهرسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایینترین سطح تضمین است و از EAL1 تا EAL4 بهتدریج دقت و جزئیات ارزیابی افزایش مییابد.
بیان انتزاعی اصطلاحات و واژههای فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندیهای امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف میکند. یکی از مهمترین پیشنیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساختیافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشتهای متفاوت از روند دقیق ارزیابی میشود.
نکته دیگر زمانبر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند میشود.
اشکال دیگری که بهکارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.
[1] Audit
[2] Operation
[3] Delivery
[4] Evaluation Assurance Level
این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه میکند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندیهای امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستمها ارائه میکند. بخش دوم، مجموعهای از اجزای عملکردی امنیتی را ارائه میکند که از آن به عنوان یک روش استاندارد برای بیان نیازمندیهای امنیتی محصولات و سیستمهای IT استفاده میشود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه میکند که میتواند به عنوان روش استاندارد بیان نیازمندیهای اطمینان برای محصولات و سیستمهای IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندیهای عملکردی امنیتی و نیازمندیهای تضمینی امنیت تشکیل شده است.
در بخش دوم از روش معیار مشترک یازده رده برای نیازمندیهای عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانالها و مسیرهای قابل اعتماد، حفاظت از دادههای کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی.
در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیبپذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون.
همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه میکند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمهرسمی، بازبینی طراحی و آزمون نیمهرسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایینترین سطح تضمین است و از EAL1 تا EAL4 بهتدریج دقت و جزئیات ارزیابی افزایش مییابد.
بیان انتزاعی اصطلاحات و واژههای فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندیهای امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف میکند. یکی از مهمترین پیشنیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساختیافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشتهای متفاوت از روند دقیق ارزیابی میشود.
نکته دیگر زمانبر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند میشود.
اشکال دیگری که بهکارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.
[1] Audit
[2] Operation
[3] Delivery
[4] Evaluation Assurance Level