المعايير المشتركة
المعايير المشتركة (بالإنجليزية: Common Criteria) هو معيار دولي (ISO / IEC 15408) للحصول على شهادة لتقييم أمن تكنولوجيا المعلومات. وهي حالياً في الإصدار 3.1 المراجعة 5.
المعايير المشتركة هي مجموعة من المقاييس الدولية التي تمكن لمطورى ومستخدمي نظام الكمبيوتر تحديد متطلبات الأمان الوظيفي والتأمين في (هدف الأمان)، ويمكن الحصول عليه من (ملفات تعريف الحماية). يمكن للمورّدين والمطورين بعد ذلك تقديم مطالبات حول سمات الأمان لمنتجاتهم، ويمكن لمؤدى الاختبارات تقييم المنتجات لتحديد ما إذا كانوا يلبون المطالبات بالفعل. بعبارة أخرى، توفر «المعايير المشتركة» تأكيدًا على أن عملية تحديد وتنفيذ وتقييم منتج أمان الكمبيوتر قد تمت بطريقة صارمة وقابلة للتكرار عند مستوى يتناسب مع البيئة المستهدفة للاستخدام.
المفاهيم الأساسية
يتم إجراء تقييمات المعايير المشتركة على منتجات وأنظمة أمان الكمبيوتر.
- هدف التقييم
- المنتج أو النظام الذي هو موضوع التقييم. يعمل التقييم على التحقق من صحة المطالبات المقدمة حول الهدف. ليكون الاستخدام العملي، يجب أن يتحقق التقييم من ميزات الأمان الخاصة بالهدف. يتم ذلك من خلال ما يلي:
- ملف تعريف الحماية
- مستند يتم إنشاؤه عادة بواسطة مستخدم أو مجتمع المستخدمين، والذي يحدد متطلبات الأمان لفئة من أجهزة الأمان (على سبيل المثال، البطاقة الذكية s تستخدم لتوفير توقيع رقمي s ، أو شبكة جدار الحماية) ذات الصلة بذلك المستخدم لغرض معين. يمكن أن يختار موردو المنتجات تطبيق المنتجات التي تتوافق مع واحد أو أكثر من (ملف تعريف حماية)، ويتم تقييم منتجاتهم مقابل تلك (ملفات تعريف الحماية). في مثل هذه الحالة، قد يستخدم (ملف تعريف الحماية) كقالب لـ (الهدف الأمني)، على الأقل سيضمن أن جميع المتطلبات في (ملفات تعريف الحماية) ذات الصلة تظهر أيضًا في وثيقة (الهدف الأمنى) المستهدفة. يمكن للعملاء الذين يبحثون عن أنواع معينة من المنتجات التركيز على تلك المعتمدة ضد (ملف تعريف الحماية) التي تلبي متطلباتهم.
- الهدف الأمنى
- هو المستند الذي يحدد «خصائص» الأمان الخاصة بـ (هدف التقييم). قد يتطلب (الهدف الأمنى)الامتثال لواحد أو أكثر من (ملفات تعريف الحماية). يتم تقييم (هدف التقييم) مقابل (المتطلبات الوظيفية للأمان) المنصوص عليها في (هدف التقييم)، لا أكثر ولا أقل. وهذا يسمح للبائعين بتكييف التقييم بحيث يتوافق بدقة مع القدرات المطلوبة لمنتجهم. وهذا يعني أن جدار الحماية للشبكة لا يحتاج إلى تلبية نفس المتطلبات الوظيفية لأنظمة إدارة قاعدة البيانات، وأن جدران الحماية المختلفة قد يتم تقييمها في الواقع مقابل قوائم مختلفة تمامًا من المتطلبات. يتم نشر (الهدف الأمنى) عادة بحيث يمكن للعملاء المحتملين تحديد ميزات الأمان المحددة التي تم اعتمادها من خلال التقييم.
- المتطلبات الوظيفية للأمان
- تحدد (وظائف الأمان) مقاييس معينة من الأمان الذي يجب أن يوفره المنتج. يقدم «المعايير المشتركة» كتالوج قياسي من هذه الوظائف. على سبيل المثال، قد يشير (المتطلبات الوظيفية للأمان) إلى كيفية استعمال المطور أو المستخدم للمنتج وكيفية تطويره وفقاً لهذا الكتالوج القياسى.
يمكن أن تختلف قائمة SFR من تقييم إلى آخر، حتى إذا كان هدفان هما نفس نوع المنتج. على الرغم من أن «المعايير المشتركة» لا تنص على تضمين أي SFRs في (هدف الأمان)، فإنه يحدد التبعيات حيث تعتمد العملية الصحيحة لدالة واحدة (مثل القدرة على الحد من الوصول وفقا للأدوار) على أخرى (مثل القدرة على تحديد الأدوار الفردية).
تحاول عملية التقييم أيضًا تحديد مستوى الثقة التي يمكن وضعها في ميزات أمان المنتج من خلال عمليات [ضمان الجودة]:
- متطلبات تأكيد الأمان
- وصف للتدابير المتخذة أثناء تطوير المنتج وتقييمه لضمان توافقه مع معايير الأمان المطالب بها. على سبيل المثال، قد يتطلب التقييم الاحتفاظ بكافة التعليمات البرمجية أو إجراء الاختبار الوظيفي الكامل. تقدم «المعايير المشتركة» كتالوجاً لهذه، وقد تختلف المتطلبات من تقييم إلى آخر. يتم توثيق متطلبات أهداف معينة أو أنواع من المنتجات في (هدف التقييم) و (ملف تعريف الحماية)، على التوالي.
- مستوى تأكيد التقييم
- التصنيف العددي الذي يصف عمق وتقييم الدقة. يقابل كل مستوى من (مستويات تأكيد التقيم) مجموعة من (متطلبات تأكيد الأمان) والتي تغطي عملية التطوير الكامل للمنتج بمستوى معين من الدقة. تسرد المعايير الشائعة سبعة مستويات، حيث تكون
(مستوى تأكيد التقييم 1) هو المستوى الأساسى (وبالتالي أقل تكلفة من ناحية التنفيذ والتقييم ويكون (مستوى تأكيد التقييم 7) الأكثر صرامة وتكلفة.
عادة، لن يقوم مؤلف (هدف الأمان) أو (ملف تعريف الحماية) بتحديد متطلبات التأكيد بشكل فردي، ربما الزيادة في تققيم المنتج يتطلب مستوى أعلى. وليس بالضرورة أن يتطلب (مستوى تأكيد التقييم) أعلى «ضمانًا أفضل»، ولكنها تعني فقط أن ضمان الأمان المقدم من (هدف التقييم) قد تم على نطاق أوسع من المقاييس والمعايير.
حتى الآن، كانت معظم المنتجات الأكثر تقييماً لـ (أهداف الأمان) هي منتجات تكنولوجيا المعلومات، على سبيل المثال، الجدران النارية، نظام التشغيل، البطاقات الذكية.
في بعض الأحيان يتم تحديد شهادة المعايير المشتركة لأجهزة تكنولوجيا المعلومات. معايير تتضمن، على سبيل المثال، التشغيل البيني، وإدارة النظام، وتدريب المستخدمين، وغيرها من معايير المنتج.
تفاصيل تنفيذ التشفير داخل (هدف التقييم) يكون خارج نطاق (المعايير المشتركة).
المراجع
وصلات خارجية
- بوابة أمن المعلومات
- بوابة الاقتصاد
- بوابة تقنية المعلومات
- بوابة علاقات دولية
- بوابة علم البيئة
- بوابة علم الحاسوب
- بوابة علوم