MENU
  1. IT Systems & Products Trustworthy
  2. امنیت فناوری اطلاعات
  3. فناوری اطلاعات

IT Systems & Products Trustworthy

 

سیستم‌های فناوری اطلاعات امن را از طریق اینکه مدیریت امنیت و اقدامات مورد نیاز امنیتی مرتبط، در حوزه‌های زیرساخت، سازمان، نیروی انسانی و فنی، پیاده‌سازی شده‌ و سپس توسط یک مرجع مستقل بررسی و با گواهینامه امنیت سیستم، تصدیق شده‌اند، می‌توان توصیف نمود. (تعریف National Plan for Information Infrastructure - NPSI)

شرکت TÜV IT با در نظر گرفتن این مفهوم، روشی را به منظور آزمایش و صدور گواهینامه سیستم‌ها و محصولات پیچیده فناوری اطلاعات تحت نام ”صلاحیت امنیت“ - Security Qualification (SQ) توسعه داده است. هم‌اکنون روش مذکور شامل طرح صدور گواهینامه در دو حوزه ذیل می‌باشد:

  • (Trusted Site Security (TSS برای سیستم‌های فناوری اطلاعات،
  • (Trusted Product Security (TPS برای محصولات فناوری اطلاعات.

این روش مبتنی بر خدمت Tailored Assurance Service (CTAS) متعلق به سازمان انگلیسی CESG (The National Technical Authority for Information Assurance) طراحی شده است.

وابسته به کاربردهای مشخص و به‌منظور دستیابی به سطح اعتماد مطابق مدل مذکور، معیارهای مرتبط می‌توانند مشتمل بر برپایی الزامات امنیتی فنی، الزامات مرتبط با معماری و طراحی، بازنگری فرآیند توسعه، قوانین نصب و بهره‌برداری، تحلیل نقاط ضعف، تحلیل آزمایش‌های نفوذ، بازرسی کد منبع برنامه (Source Code) استفاده شده و الزامات مرتبط با مدیریت مناسب تغییرات، باشند.

به دلیل ساختار مناسب SQ، این معیار برای آزمایش و صدور گواهینامه محدوده وسیعی از سیستم‌ها و محصولات فناوری اطلاعات، مناسب می‌باشد. این محدوده می‌تواند از یک جزء نرم‌افزاری (Software Component) ساده، راه‌حل‌های دیواره آتش (Firewall) و برنامه‌های کاربردی تحت وب، تا شبکه‌های بسیار وسیع و در محدوده فناوری‌های مختلف باشد.

بازرسی سیستم‌ها و محصولات فناوری اطلاعات، بسته به کاربرد و ماهیت مستقل آنان، در راستای معیارهای این مدل و مبتنی بر استانداردها و راهنماهای مرتبط انجام می‌شود و جنبه‌های آزمایش، مبتنی بر چرخه عمر سیستم‌ها و محصولات می‎باشد. سطح اعتماد، وابسته به تعداد الزامات برآورده شده در یک سیستم یا محصول فناوری اطلاعات بوده و مشتمل بر پنج سطح تضمین امنیت (Security Assurance Level - SEAL) می‌باشد.

 

 ICS Security Compendium of the German BSI 

IEC 62443 Industrial communication networks - Network and system security 

VDI/VDE 2182 IT Security for Industrial Automation 

ISO 27001 Information Technology - Security Techniques - ISMS - Requirements

In order to provide you with a pleasant online experience, we use cookies on our website. By expressing your consent at tuev-nord.de you agree to the use of cookies. Further information, e.g. how you can object to the use of cookies at any time, can be found in our cookie guidelines and data protection settings.