امنیت سیستم و محصول

سیستم‌های فناوری اطلاعات امن را از طریق اینکه مدیریت امنیت و اقدامات مورد نیاز امنیتی مرتبط، در حوزه‌های زیرساخت، سازمان، نیروی انسانی و فنی، پیاده‌سازی شده‌ و سپس توسط یک مرجع مستقل بررسی و با گواهینامه امنیت سیستم، تصدیق شده‌اند، می‌توان توصیف نمود. (تعریف National Plan for Information Infrastructure - NPSI)

شرکت TÜV IT با در نظر گرفتن این مفهوم، روشی را به منظور آزمایش و صدور گواهینامه سیستم‌ها و محصولات پیچیده فناوری اطلاعات تحت نام ”صلاحیت امنیت“ - Security Qualification (SQ) توسعه داده است. هم‌اکنون روش مذکور شامل طرح صدور گواهینامه در دو حوزه ذیل می‌باشد:

• (Trusted Site Security (TSS برای سیستم‌های فناوری اطلاعات،
• (Trusted Product Security (TPS برای محصولات فناوری اطلاعات.

این روش مبتنی بر خدمت Tailored Assurance Service (CTAS) متعلق به سازمان انگلیسی CESG (The National Technical Authority for Information Assurance) طراحی شده است.

وابسته به کاربردهای مشخص و به‌منظور دستیابی به سطح اعتماد مطابق مدل مذکور، معیارهای مرتبط می‌توانند مشتمل بر برپایی الزامات امنیتی فنی، الزامات مرتبط با معماری و طراحی، بازنگری فرآیند توسعه، قوانین نصب و بهره‌برداری، تحلیل نقاط ضعف، تحلیل آزمایش‌های نفوذ، بازرسی کد منبع برنامه (Source Code) استفاده شده و الزامات مرتبط با مدیریت مناسب تغییرات، باشند.

به دلیل ساختار مناسب SQ، این معیار برای آزمایش و صدور گواهینامه محدوده وسیعی از سیستم‌ها و محصولات فناوری اطلاعات، مناسب می‌باشد. این محدوده می‌تواند از یک جزء نرم‌افزاری (Software Component) ساده، راه‌حل‌های دیواره آتش (Firewall) و برنامه‌های کاربردی تحت وب، تا شبکه‌های بسیار وسیع و در محدوده فناوری‌های مختلف باشد.

بازرسی سیستم‌ها و محصولات فناوری اطلاعات، بسته به کاربرد و ماهیت مستقل آنان، در راستای معیارهای این مدل و مبتنی بر استانداردها و راهنماهای مرتبط انجام می‌شود و جنبه‌های آزمایش، مبتنی بر چرخه عمر سیستم‌ها و محصولات می‎باشد. سطح اعتماد، وابسته به تعداد الزامات برآورده شده در یک سیستم یا محصول فناوری اطلاعات بوده و مشتمل بر پنج سطح تضمین امنیت (Security Assurance Level - SEAL) می‌باشد.