IT Systems & Products Trustworthy
سیستمهای فناوری اطلاعات امن را از طریق اینکه مدیریت امنیت و اقدامات مورد نیاز امنیتی مرتبط، در حوزههای زیرساخت، سازمان، نیروی انسانی و فنی، پیادهسازی شده و سپس توسط یک مرجع مستقل بررسی و با گواهینامه امنیت سیستم، تصدیق شدهاند، میتوان توصیف نمود. (تعریف National Plan for Information Infrastructure - NPSI)
شرکت TÜV IT با در نظر گرفتن این مفهوم، روشی را به منظور آزمایش و صدور گواهینامه سیستمها و محصولات پیچیده فناوری اطلاعات تحت نام ”صلاحیت امنیت“ - Security Qualification (SQ) توسعه داده است. هماکنون روش مذکور شامل طرح صدور گواهینامه در دو حوزه ذیل میباشد:
- (Trusted Site Security (TSS برای سیستمهای فناوری اطلاعات،
- (Trusted Product Security (TPS برای محصولات فناوری اطلاعات.
این روش مبتنی بر خدمت Tailored Assurance Service (CTAS) متعلق به سازمان انگلیسی CESG (The National Technical Authority for Information Assurance) طراحی شده است.
وابسته به کاربردهای مشخص و بهمنظور دستیابی به سطح اعتماد مطابق مدل مذکور، معیارهای مرتبط میتوانند مشتمل بر برپایی الزامات امنیتی فنی، الزامات مرتبط با معماری و طراحی، بازنگری فرآیند توسعه، قوانین نصب و بهرهبرداری، تحلیل نقاط ضعف، تحلیل آزمایشهای نفوذ، بازرسی کد منبع برنامه (Source Code) استفاده شده و الزامات مرتبط با مدیریت مناسب تغییرات، باشند.
به دلیل ساختار مناسب SQ، این معیار برای آزمایش و صدور گواهینامه محدوده وسیعی از سیستمها و محصولات فناوری اطلاعات، مناسب میباشد. این محدوده میتواند از یک جزء نرمافزاری (Software Component) ساده، راهحلهای دیواره آتش (Firewall) و برنامههای کاربردی تحت وب، تا شبکههای بسیار وسیع و در محدوده فناوریهای مختلف باشد.
بازرسی سیستمها و محصولات فناوری اطلاعات، بسته به کاربرد و ماهیت مستقل آنان، در راستای معیارهای این مدل و مبتنی بر استانداردها و راهنماهای مرتبط انجام میشود و جنبههای آزمایش، مبتنی بر چرخه عمر سیستمها و محصولات میباشد. سطح اعتماد، وابسته به تعداد الزامات برآورده شده در یک سیستم یا محصول فناوری اطلاعات بوده و مشتمل بر پنج سطح تضمین امنیت (Security Assurance Level - SEAL) میباشد.
ICS Security Compendium of the German BSI
IEC 62443 Industrial communication networks - Network and system security
VDI/VDE 2182 IT Security for Industrial Automation
ISO 27001 Information Technology - Security Techniques - ISMS - Requirements