SlideShare une entreprise Scribd logo

ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم

Mahdi Sayyad
Mahdi Sayyad

در این بخش به ادامه مباحث مرتبط به ارزیابی امنیتی محصولات فناوری اطلاعات برپایه رویکرد معیار مشترک(استاندارد ISO 15408) پرداخته خواهد شد. تهیه مستدات مربوط به اجرای ارزیابی، هدف امنیتی، پروفایل حفاظتی و بررسی کلاس های آزمون و تحلیل آسیب پذیری از جمله مباحث مطرح در این بخش هستند که تشریح می شوند

Logiciels
1  sur  33
Télécharger pour lire hors ligne
‫استاندارد‬ISO 15408(COMMON CRITERIA) ‫دهنده‬ ‫ارائه‬:‫مهدی‬‫صیاد‬ ‫سایبری‬ ‫امنیت‬ ‫پژوهشگر‬ ‫آذر‬95 ‫دوم‬ ‫بخش‬
‫مطالب‬ ‫عناوین‬ ‫مشارکت‬‫کنندگان‬‫در‬‫ارزیابی‬ ،‫مستندات‬‫شواهد‬‫و‬‫گزارشات‬‫ارزیابی‬ ‫ساختار‬‫پروفایل‬‫حفاظتی‬‫و‬‫هدف‬‫امنیتی‬‫و‬‫تشریح‬‫ارتب‬‫اطات‬ ‫برنامه‬‫کاری‬‫ارزیابی‬(EWP) ‫بسته‬‫های‬‫کاری‬‫و‬‫ترتیب‬‫اجرا‬‫و‬‫وابستگی‬‫ها‬ ‫چرخه‬‫ارزیابی‬‫فنی‬‫و‬‫تولید‬‫گزارش‬ETR ‫تشریح‬‫کالس‬‫آزمون‬‫و‬‫کالس‬‫تحلیل‬‫آسیب‬‫پذیری‬ ‫بررسی‬‫هزینه‬‫های‬‫ارزیابی‬ ‫چالش‬‫های‬‫ارزیابی‬‫امنیتی‬‫محصوالت‬ ‫الگوی‬‫های‬‫مشابه‬‫ارزیابی‬ ‫فرآیند‬‫کلی‬‫الگوی‬‫ارزیابی‬ ‫ساختمان‬‫راهبردی‬‫معیار‬‫مشترک‬ ‫ساختار‬‫سازمانی‬‫آزمایشگاه‬(CCTL) ‫به‬‫کارگیری‬‫کالس‬‫های‬‫ارزیابی‬‫معیارمشترک‬ ‫نگاشت‬‫شیوه‬‫ارزیابی‬‫با‬‫استاندارد‬‫معیار‬‫مش‬‫ترک‬ ‫مدل‬‫شیوه‬‫ارزیابی‬ ‫صدور‬‫احکام‬‫ارزیابی‬ ‫فعالیت‬‫ها‬‫و‬‫واحدهای‬‫کاری‬‫در‬‫ارزیابی‬ ‫فرآیند‬‫ارزیابی‬‫محصول‬‫در‬‫آزمایشگاه‬ 2
‫مشابه‬ ‫الگوهای‬ ‫بررسی‬ ‫سنگاپ‬‫ور‬‫امریکا‬ ‫مالزی‬‫هند‬ ‫کره‬ ‫جنوبی‬ ‫ژاپن‬‫هلند‬ •‫تح‬ ‫اطالعات‬ ‫فناوری‬ ‫محصوالت‬ ‫امنیت‬ ‫ارزیابی‬ ‫الگوی‬‫ت‬ ‫است‬ ‫شده‬ ‫اندازی‬ ‫راه‬ ‫کشورها‬ ‫در‬ ‫مختلف‬ ‫عناوین‬. •‫سا‬ ‫خود‬ ‫حاکمیت‬ ‫قوانین‬ ‫و‬ ‫نیازها‬ ‫به‬ ‫بسته‬ ‫کشور‬ ‫هر‬‫ختار‬ ‫نمای‬ ‫می‬ ‫ابالغ‬ ‫و‬ ‫تدوین‬ ‫را‬ ‫محصول‬ ‫ارزیابی‬ ‫های‬ ‫روال‬ ‫و‬‫د‬.CB Board/AB CCTL Developer/ Vendor 3 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬‫محصول‬ ‫یک‬ 4 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫مشترک‬ ‫معیار‬ ‫راهبردی‬ ‫ساختمان‬ ‫استراتژی‬ ‫مشی‬‫خط‬‫راهنما‬‫اسناد‬ ‫ها‬ ‫رویه‬ ‫ارزیابی‬ ‫الگوی‬ ‫مشی‬ ‫خط‬ ‫گواهینامه‬ ‫دریافت‬ ‫راهنمای‬ ‫محصوالت‬ ‫ثبت‬ ‫شده‬ ‫گواهی‬ ‫مصرف‬ ‫راهنمای‬ ‫کننده‬ ‫آزمایشگاه‬ ‫راهنمای‬ ‫ارزیابی‬ ‫های‬ 5 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫کالس‬ ‫از‬ ‫استفاده‬‫ارزیابی‬ ‫های‬ Vulnerability Assessment Guidance Documents Configuration Management Assurance Maintenance Life Cycle Support Delivery and Operation PPTestsDevelopment ST •‫استفاد‬ ‫درخواست‬ ‫مورد‬ ‫تضمین‬ ‫سطح‬ ‫براساس‬ ‫ارزیابی‬ ‫های‬ ‫کالس‬‫می‬ ‫ه‬ ‫شوند‬ •‫س‬ ‫آن‬ ‫در‬ ‫شده‬ ‫تعیین‬ ‫ارزیابی‬ ‫های‬ ‫مؤلفه‬ ‫طریق‬ ‫از‬ ‫را‬ ‫امنیتی‬ ‫الزامات‬‫طح‬ ‫شود‬ ‫می‬ ‫مشخص‬. •‫تضمین‬ ‫سطح‬ ‫بر‬ ‫مبتنی‬ ‫ارزیابی‬ ‫اول‬ ‫فاز‬ ‫در‬1‫باشد‬ ‫می‬ ‫نظر‬ ‫مورد‬. ‫تضمین‬ ‫درسطح‬ ‫ارزیابی‬ ‫اجزای‬ ‫جدول‬1 ‫بر‬ ‫توجه‬8+2‫حوزه‬ 6 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫نگاشت‬‫مشترک‬ ‫معیار‬ ‫با‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫معیار‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫بر‬ ‫مبتنی‬‫مشترک‬ ‫فعالیت‬•Class ‫زیرفعالیت‬•Family ‫اقدام‬•Component ‫واحدکاری‬• Element ‫زیرفعالیت‬ ‫هر‬ ‫های‬ ‫ورودی‬ ‫و‬ ‫اهداف‬ ‫بیان‬ 7 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫مدل‬‫ارزیابی‬ ‫شیوه‬ ‫عمومی‬ ‫ارزیابی‬ ‫های‬ ‫زیرفعالیت‬ ‫ارزیابی‬ ‫ورودی‬ ‫وظیفه‬ ‫ارزیابی‬ ‫مورد‬ ‫وظیفه‬ ‫فنی‬ ‫صالحیت‬ ‫تشریح‬ ‫ارزیابی‬ ‫خروجی‬ ‫وظیفه‬ ‫شواهد‬/‫مدارک‬ ‫ورودی‬ ‫شواهد‬/‫مدارک‬ ‫خروجی‬ ETR For Or TOE PP ‫امنیتی‬ ‫هدف‬ ‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬ ‫توس‬ ‫مستندات‬‫عه‬ ‫حفاظ‬ ‫پروفایل‬‫تی‬ ‫و‬..... 8 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫صدور‬‫رای‬/‫حکم‬‫ارزیابی‬ ‫در‬ ‫ارزیاب‬‫احکام‬‫را‬‫برای‬‫الزامات‬CC‫صادر‬‫می‬‫کند‬‫نه‬ ‫برای‬CEM. ‫پایین‬‫ترین‬(‫کوچکترین‬)‫سطحی‬‫که‬‫ارزیاب‬‫می‬‫توان‬‫د‬ ‫برای‬‫آن‬‫حکم‬‫صادر‬‫کند‬: ‫عنصر‬‫عمل‬‫ارزیاب‬ Evaluator action element ‫نتیجه‬‫ارزیابی‬ ‫ارزیابی‬ ‫کالس‬ ‫عنصر‬‫ارزیاب‬ ‫عمل‬ ‫عنصر‬‫ارزیاب‬ ‫عمل‬ ‫عنصر‬‫ارزیاب‬ ‫عمل‬ 9 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫فعالیت‬‫واحدهای‬ ‫و‬ ‫ها‬‫کاری‬ ‫سطح‬ ‫تضمین‬1 ASE_INT ASE_OBJ ASE_REQ ASE_TSS ASE_ECD AGD_OPE AGD_PRE AVA_VANATE_IND ALC_CMC ALC_CMS ADV_FSP ASE(‫امنیتی‬ ‫هدف‬) ADV(‫توسعه‬) AGD(‫راهنما‬ ‫مستندات‬) ALC(‫حیا‬ ‫چرخه‬ ‫پشتیبانی‬‫ت‬) ATE(‫آزمون‬‫ها‬) AVA(‫پذیری‬ ‫آسیب‬ ‫ارزیابی‬) 6 13 ‫فعالیت‬ ‫زیرفعالیت‬ 13 50‫واحدکاری‬ ‫اقدام‬/‫عمل‬ ‫تضم‬ ‫الزامات‬ ‫کننده‬ ‫پشتیبانی‬ ،‫کارکردی‬ ‫الزامات‬‫هستند‬ ‫ین‬. 10 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫محصول‬ ‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬‫آزمایشگاه‬ ‫در‬ •‫فاز‬1:‫سازی‬ ‫آماده‬ ‫سازی‬ ‫آماده‬ ‫و‬ ‫مشاوره‬ •‫فاز‬2:‫ارزیابی‬ ‫هدف‬ ‫اسناد‬ ‫ارزیابی‬ •‫فاز‬3:‫محصول‬ ‫فنی‬ ‫ارزیابی‬ ‫محصول‬ ‫ارزیابی‬ •‫فاز‬4:‫محصول‬ ‫ارزیابی‬ ‫پایان‬ ‫گواهی‬ ‫صدور‬ 11 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫توسط‬ ‫تحویل‬ ‫قابل‬ ‫اسناد‬‫دهنده‬ ‫توسعه‬|‫های‬ ‫قالب‬ ‫و‬ ‫گزارشات‬ ‫و‬ ‫ها‬ ‫فرم‬‫ارزیابی‬ 12
‫تایی‬ ‫بدنه‬‫د‬ AB ‫ارزیاب‬ CCTL ‫دهنده‬ ‫توسعه‬ ‫ارزیابی‬ ‫در‬ ‫کنندگان‬ ‫شرکت‬ ‫گواهی‬ ‫بدنه‬ CB 13 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫ارزیاب‬ ‫توسعه‬ ‫دهنده‬ •‫اعتباری‬ ‫فرم‬ •‫قالب‬‫داد‬ ‫قرار‬ ‫فرم‬ •‫آزمایشگاه‬ ‫کاری‬ ‫طرح‬ ‫قالب‬ •‫گزارش‬‫امنیتی‬ ‫هدف‬ ‫مقدماتی‬ ‫ارزیابی‬(‫سازی‬ ‫آماده‬ ‫مرحله‬) •‫امنیتی‬ ‫هدف‬ ‫سند‬ ‫نهایی‬ ‫ارزیابی‬ ‫گزارش‬(‫سا‬ ‫نهایی‬ ‫مرحله‬‫زی‬ ‫امنیتی‬ ‫هدف‬) •‫محصول‬ ‫تست‬ ‫روش‬ ‫طرح‬(ATE) •‫نفوذ‬ ‫آزمون‬ ‫طرح‬(AVA) •‫محصول‬ ‫تست‬ ‫گزارش‬ •‫نفوذ‬ ‫آزمون‬ ‫گزارش‬ •‫ارزیابی‬ ‫مشاهدات‬ ‫سند‬(OR) •‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ ‫سند‬(ETR) ‫قالب‬ ‫و‬ ‫ها‬ ‫فرم‬ ،‫اسناد‬‫گزارشات‬ •‫قالب‬‫امنیتی‬ ‫هدف‬ •‫قالب‬‫کارکردها‬ ‫مشخصات‬ ‫توصیف‬ ‫سند‬(ADV) •‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬ ‫سند‬ ‫قالب‬(‫کاربری‬/‫مدیریتی‬) •‫پیکربندی‬ ‫مدیریت‬ ‫محدوده‬ ‫و‬ ‫ها‬ ‫قابلیت‬ ‫سند‬ •‫باال‬ ‫سطح‬ ‫طراحی‬/‫پایین‬ ‫سطح‬ •‫محصول‬ ‫منبع‬ ‫کد‬(‫الزام‬ ‫صورت‬ ‫در‬) AB/CB •‫راهنمای‬‫محصول‬ ‫امنیتی‬ ‫ارزیابی‬ ‫طرح‬ •‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫های‬ ‫آزمایشگاه‬ ‫راهنمای‬‫فتا‬ •‫آزمایشگاه‬ ‫بخشی‬ ‫اعتبار‬ ‫راهنمای‬ •‫فعالیت‬ ‫گواهی‬ ‫صدور‬ ‫جهت‬ ‫الزم‬ ‫مدارک‬ ‫و‬ ‫اسناد‬ 14 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫حفاظتی‬ ‫پروفایل‬(PP) ProtectionProfile PP introduction Conformance claims Security problem definitions Extended components Security objectives Security requirements PP reference TOE overview CC conformance claim PP claim Conformance rationale Conformance statement Threats Organizational security policies Assumptions Security objectives for the TOE Security objectives for the operational environment Security objectives rationale Extended components definition Security functional requirements Security assurance requirements Security requirements rationale 15 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫امنیتی‬ ‫هدف‬(ST) SecurityTarget ST introduction Conformance claims Security problem definitions Extended components Security objectives Security requirements PP reference TOE reference TOE overview TOE description CC conformance claim PP claim Package claim Conformance rationale Threats Organizational security policies Assumptions Security objectives for the TOE Security objectives for the operational environment Security objectives rationale Extended components definition Security functional requirements Security assurance requirements Security requirements rationale TOE summary specifications TOE summary specifications 16 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫مختلف‬ ‫های‬ ‫بخش‬ ‫بین‬ ‫ارتباط‬ Assumptions Organizational Security PolicyThreats Security Objectives for the operational environments Security Objectives for the TOE Security Functional requirements Assurance Functional requirements 17 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫ارزیابی‬ ‫کاری‬ ‫طرح‬ ‫ارزیاب‬ ‫توسط‬/‫شامل‬ ‫و‬ ‫شود‬ ‫می‬ ‫نوشته‬ ‫ارزیابان‬: •‫خالصه‬ ‫و‬ ‫معرفی‬TOE •‫ارزیابان‬ ‫های‬ ‫فعالیت‬(‫کاری‬ ‫های‬ ‫بسته‬ ‫تعریف‬WP) •‫زمانبندی‬ ‫همراه‬ ‫به‬ ‫ارزیابی‬ ‫های‬ ‫استراتژی‬ ‫و‬ ‫نیاز‬ ‫مورد‬ ‫دادنی‬ ‫تحویل‬ ‫موارد‬ •‫ارزیابی‬ ‫کاری‬ ‫طرح‬ ‫روی‬ ‫بر‬ ‫باید‬ ‫دهندگان‬ ‫توسعه‬ ‫و‬ ‫ارزیابان‬(EWP)‫شده‬ ‫آورده‬ ‫های‬ ‫فعالیت‬ ‫و‬ ‫کنند‬ ‫توافق‬ ‫آن‬ ‫در‬. ‫کاری‬ ‫های‬ ‫بسته‬(Work Package:) •‫های‬ ‫کالس‬ ‫از‬ ‫یک‬ ‫هر‬ ‫با‬ ‫مرتبط‬ ‫ارزیابی‬ ‫های‬ ‫فعالیت‬CC‫شود‬ ‫می‬ ‫تعریف‬ ‫کاری‬ ‫بسته‬ ‫قالب‬ ‫در‬. •‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫طریق‬ ‫از‬ ‫ارزیابان‬ ‫های‬ ‫فعالیت‬WP‫شود‬ ‫می‬ ‫تکمیل‬ ،. •‫هستند‬ ‫ترتیب‬ ‫دارای‬ ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬(‫قبل‬ ‫های‬ ‫فعالیت‬ ‫اجرای‬ ‫به‬ ‫ها‬ ‫فعالیت‬ ‫برخی‬‫خود‬ ‫ی‬ ‫هستند‬.) •‫دارای‬ ‫بسته‬ ‫هر‬‫ورودی‬‫و‬‫خروجی‬‫است‬ ‫ها‬ ‫بسته‬ ‫دیگر‬ ‫با‬ ‫ارتباط‬ ‫و‬(‫ارزیابی‬ ‫مدل‬ ‫مطابق‬CC) •‫ارزیابی‬ ‫میانی‬ ‫گزارش‬ ‫یک‬ ‫کاری‬ ‫بسته‬ ‫هر‬ ‫اتمام‬ ‫از‬ ‫بعد‬(ETR)‫شود‬ ‫می‬ ‫صادر‬. Evaluation Work Plan (EWP) - - - Work Packages 18 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫کاری‬ ‫بسته‬(work package) ‫مالحضات‬ ‫معادل‬‫التین‬ ‫عنوان‬‫کاری‬ ‫بسته‬ ‫کاری‬ ‫بسته‬ ‫شناسه‬(WPID) ‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ‫ارزیابی‬ PP Evaluation ‫ارزیابی‬‫حفاظ‬ ‫پروفایل‬‫تی‬ WP2000 ‫ارزیابی‬‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ST Evaluation ‫ارزیابی‬‫امنیتی‬ ‫هدف‬ WP3000 ‫پیکربندی‬ ‫مدیریت‬(CM)،‫توسعه‬ ‫محیط‬ ‫امنیت‬ Development Environment Evaluation ‫ارزیابی‬‫توسعه‬ ‫محیط‬ ‫محصول‬ WP4000 ،‫کارکردی‬ ‫های‬ ‫مشخصه‬‫محصول‬ ‫طراحی‬(،‫پایین‬ ‫سطح‬ ،‫باال‬ ‫سطح‬ ‫ها‬ ‫ماژول‬ ‫و‬ ‫اجزا‬ ‫ردگیری‬ ‫قابلیت‬)‫آزمون‬ ،‫دهنده‬ ‫توسعه‬ ‫آزمون‬ ، ‫مستقل‬ Implementation Evaluation ‫ارزیابی‬‫سازی‬ ‫پیاده‬ ‫محصول‬ WP5000 ‫راهنمای‬‫و‬ ‫انتقال‬ ‫اسناد‬ ،‫اندازی‬ ‫راه‬ ‫و‬ ‫نصب‬ ،‫مدیریت‬ ،‫کاربر‬ ‫تحویل‬ Operational Evaluation ‫عملیات‬ ‫ارزیابی‬‫محصول‬ ‫پشتیبان‬ ‫اسناد‬ ‫و‬ WP6000 ‫سنجش‬‫کارکردها‬ ‫قوت‬(SOF)،‫محصول‬ ‫کارکرد‬ ‫سوء‬ ‫تحلیل‬ ، ‫پذ‬ ‫آسیب‬ ‫تحلیل‬ ،‫دهنده‬ ‫توسعه‬ ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬‫یری‬ ‫نفوذ‬ ‫تست‬ ،‫مستقل‬ Vulnerability Evaluation ‫ارزیبابی‬‫پذیری‬ ‫آسیب‬ WP7000 ،‫مشکالت‬ ‫گزارش‬‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ Reporting ‫گزارش‬‫دهی‬ WP8000 ‫شناسه‬ ‫یک‬ ‫با‬ ‫کاری‬ ‫هربسته‬(ID)‫شود‬ ‫می‬ ‫متمایز‬ ‫و‬ ‫تعریف‬. 19 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫وابستگی‬ ST Evaluation (ASE) Implementation Evaluation FD  HLD  LLD (ADV_ARC/ ADV_TDS/ ADV_IMP) Development Environment Evaluation CM/Development Security (ALC_CMC,CMS/ALC_DVS) Tests Evaluation (ATE_FUC/ATE_COV/ ATE_DPT) Vulnerability Evaluation Developer’s VA SOF Misuse Independent VA Operational Environment Evaluation Guidance Documents/Setup and Installation/ Delivery (AGD_PRE/AGD_OPE) HLD: High Level design FS: Functional Specification LLD: Low Level design VA: Vulnerability Assessment SOF: Strength of Functions TOEEvaluation 20 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫ترتیب‬(‫برای‬EAL1) ‫ارزیابی‬ST ASE ‫مشخصات‬ ‫کارمردی‬ ADV_FSP ‫و‬ ‫معماری‬ ‫طراحی‬ • ADV_ARC • ADV_TDS ‫سازی‬ ‫پیاده‬ ‫ارائه‬ ‫حیات‬ ‫چرخه‬ ‫و‬ • ADV_IMP • ALC_CMC • ALC_CMS ‫راهنما‬ ‫اسناد‬ • AGD_PRE • AGD_OPE ‫محصول‬ ‫آزمون‬ (‫دهنده‬ ‫توسعه‬) • ATE_FUN • ATE_COV • ATE_DPT ‫مستقل‬ ‫آزمون‬ (‫ارزیاب‬) ATE_IND ‫آسیب‬ ‫تحلیل‬ ‫پذیری‬ AVA_VAN 21 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫تحویل‬ ‫قابل‬ ‫موارد‬ ‫و‬ ‫اسناد‬ •‫آزمایشگاه‬ ‫به‬ ‫معرفی‬ ‫و‬ ‫درخواست‬ •‫امنیتی‬ ‫هدف‬(ST) •‫کارکردی‬ ‫مشخصات‬ •‫باال‬ ‫سطح‬ ‫طراحی‬ •‫پایین‬ ‫سطح‬ ‫طراحی‬ •‫ها‬ ‫نگاشت‬ ‫و‬ ‫تناظرها‬ ‫نمایش‬(‫بین‬ ‫متناظر‬ ‫خروجی‬ ‫و‬ ‫انتزاعی‬ ‫طراحی‬ ‫ردگیری‬ ‫قابلیت‬TFS) •‫ها‬ ‫آزمون‬ ‫مشخصات‬(‫عمق‬ ‫و‬ ‫پوشش‬ ‫تحلیل‬ ‫شامل‬) •‫مدیریتی‬ ‫راهنمای‬ •‫سازی‬ ‫پیاده‬ ‫و‬ ‫اندازی‬ ‫راه‬ ،‫نصب‬ ‫راهنمای‬ •‫کاربری‬ ‫راهنمای‬ •‫پیکربندی‬ ‫مدیریت‬ ‫اطالعات‬CM(‫تغییرات‬ ‫و‬ ‫نسخه‬ ‫مدیریت‬) •‫تحویل‬ ‫و‬ ‫انتقال‬ ‫رویه‬ ‫اطالعات‬(Delivery) •‫توسعه‬ ‫محیط‬ ‫امنیت‬ ‫اطالعات‬ •‫کارکرد‬ ‫قوت‬ ‫تحلیل‬(SOF) •‫کاربرد‬ ‫سوء‬ ‫موارد‬ ‫تحلیل‬(Misuse) •‫پذیری‬ ‫آسیب‬ ‫تحلیل‬(‫دهنده‬ ‫توسعه‬ ‫توسط‬) •‫ارزیابی‬ ‫مورد‬ ‫محصول‬ ‫منبع‬ ‫کند‬(TOE) •‫ارزیابی‬ ‫مورد‬ ‫محصول‬(TOE) 22 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫فنی‬ ‫ارزیابی‬ ‫چرخه‬ OR:‫اشکاالت‬ ‫و‬ ‫ها‬ ‫خطا‬ ‫گزارش‬ ‫برای‬ ‫جزئی‬(minor)-‫جهت‬ ‫رود‬ ‫می‬ ‫انتظار‬ ‫شوند‬ ‫طرف‬ ‫بر‬ ‫کاری‬ ‫بسته‬ ‫تکمیل‬. FN‫و‬OR‫توسط‬‫ارزیاب‬‫و‬‫به‬ ‫توسعه‬‫دهنده‬‫صادر‬‫می‬‫شوند‬. FN:‫برای‬‫گزارش‬‫خطا‬‫ها‬‫و‬ ‫اشکاالت‬‫وخیم‬(major) ‫فتی‬ ‫ارزیابی‬ ‫میانی‬ ‫گزارش‬:‫پایان‬ ‫در‬ ‫ارزیابی‬ST‫محصول‬ ‫آزمون‬ ‫پایان‬ ‫و‬(TOE) ‫شود‬ ‫می‬ ‫صادر‬ ‫ارزیاباب‬ ‫توسط‬. ‫گزارش‬‫فنی‬‫ارزیابی‬(ETR):‫شامل‬ ‫نتایج‬‫تمامی‬‫مراحل‬‫ارزیابی‬(‫بسته‬‫های‬ ‫کاری‬)‫و‬‫احکام‬‫صادر‬‫شده‬‫است‬. ST Evaluation TOE Evaluation ETR (Final)ETR (Interim) ETR (Interim) Observation Reports/ Fault Notifications Observation Reports/ Fault Notifications 23 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ EvaluationTechnicalReport(ETR) Introduction Architectural description of TOE Evaluation Conclusions and recommendations Results of Evaluation List of evaluation evidence List of acronyms/Glossary of terms Observation reports 24 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫آزمون‬ ‫کالس‬ ‫ها‬ ‫آزمون‬ ‫دسته‬ ‫دو‬ ‫شامل‬: ‫آزمون‬‫توسعه‬‫دهنده‬:‫شامل‬‫آزمون‬‫هایی‬‫که‬‫توسط‬‫توسعه‬‫دهنده‬‫بر‬‫روی‬TOE ‫انجام‬‫می‬‫شود‬.‫شامل‬‫آزمون‬‫پوشش‬‫و‬‫عمق‬. ‫آزمون‬‫مستقل‬:‫توسط‬‫ارزیاب‬‫با‬‫توجه‬‫به‬‫اطالعاتی‬‫که‬‫از‬TOE‫در‬‫اختیار‬‫دارد‬‫به‬ ‫صورت‬‫مستقل‬‫انجام‬‫می‬‫گیرد‬. ‫در‬‫ارزیابی‬‫سطح‬‫پایین‬‫الزامی‬‫نیست‬. ‫هدف‬‫از‬‫انجام‬‫این‬‫فعالیت‬‫اثبات‬‫آن‬‫است‬‫که‬‫آیا‬‫محصول‬(TOE)‫آنگونه‬‫که‬‫در‬ST ‫معرفی‬‫و‬‫در‬‫شواهد‬‫بدست‬‫آمده‬‫از‬‫ارزیابی‬(‫تشریح‬‫شده‬‫درکالس‬ADV) ‫مشخص‬‫شده‬،‫است‬‫رفتار‬‫می‬‫کند‬. ‫در‬‫پایین‬‫ترین‬‫سطح‬‫تضمین‬‫الزامی‬‫برای‬‫توسعه‬‫دهنده‬‫برای‬‫ارائه‬‫آزمون‬‫م‬‫حصول‬ ‫وجود‬‫ندارد‬‫و‬‫تنها‬‫آزمون‬‫مستقل‬‫توسط‬‫ارزیاب‬(‫با‬‫اطالعات‬‫محدود‬‫در‬‫دسترس‬) ‫انجام‬‫می‬‫شود‬. ATE_COV ATE_DTP ATE_FUN ATE_IND Tests (ATE) 25 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫پذیری‬ ‫آسیب‬ ‫تحلیل‬ ‫کالس‬ •‫تحلیل‬‫آسیب‬‫پذیری‬‫شامل‬‫فعالیت‬‫هایی‬‫الزام‬‫شده‬‫در‬‫کالس‬‫آسیب‬‫پذیری‬‫معیار‬‫مشترک‬‫است‬. •‫با‬‫هدف‬‫اطمینان‬‫از‬‫اینکه‬TOE‫از‬‫دیدگاه‬،‫ساخت‬،‫عملیات‬‫پیکربندی‬‫و‬‫سوء‬‫کاربرد‬‫دارای‬‫آسیب‬‫پذیری‬ ‫قابل‬‫بهره‬‫برداری‬‫نیست‬. •‫ارزیاب‬‫باید‬‫تایید‬‫کند‬‫که‬‫آسیب‬‫پذیری‬‫ها‬‫در‬‫محیط‬‫اجرایی‬‫هدف‬‫قابل‬‫بهره‬‫برداری‬‫نیست‬. •‫تایید‬‫نبود‬‫آسیب‬‫پذیری‬‫قابل‬‫بهره‬‫برداری‬‫از‬‫طریق‬‫بررسی‬‫تحلیل‬‫آسیب‬‫پذیری‬‫توسعه‬‫دهنده‬‫و‬‫اجرای‬ ‫تحلیل‬‫آسیب‬‫پذیری‬‫مستقل‬‫توسط‬‫ارزیاب‬‫حاصل‬‫می‬‫گردد‬. ‫تحلیل‬‫آسیب‬‫پذیری‬‫توسعه‬‫دهنده‬:‫در‬‫سطوح‬‫پایین‬‫ارزیابی‬‫الزامی‬‫نیست‬. ‫تحلیل‬‫آسیب‬‫پذیری‬‫مستقل‬:‫همه‬‫سطوح‬‫ارزیابی‬‫می‬‫شود‬‫و‬‫مبتنی‬‫بر‬‫درجه‬‫مقاومت‬‫در‬‫برابر‬‫مهاجم‬(AP) Vulnerability Assessment (AVA) 26 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫حمله‬ ‫پتانسیل‬ ‫حمله‬ ‫پتانسیل‬(Attack Potential) •‫معیار‬‫ای‬ ‫شده‬ ‫تعریف‬ ‫پیش‬ ‫از‬‫که‬‫حمله‬ ‫برابر‬ ‫در‬ ‫محصول‬ ‫مقاومت‬ ‫میزان‬‫احتمالی‬‫را‬ ‫مهاجم‬‫می‬‫سنجد‬. •‫پتانسیل‬‫اصلی‬ ‫معیار‬ ‫سه‬ ‫براساس‬ ‫حمله‬‫انگیزه‬،‫تخصص‬‫و‬‫حمله‬ ‫منابع‬‫شود‬ ‫می‬ ‫تعیین‬. •‫مهاجم‬ ‫حمله‬ ‫پتانسیل‬ ،‫برداری‬ ‫بهره‬ ‫قابل‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ،‫عملیاتی‬ ‫محیط‬ ‫هر‬ ‫برای‬(‫م‬ ‫توانایی‬‫در‬ ‫هاجم‬ ‫حمله‬)‫شود‬ ‫می‬ ‫محاسبه‬ ،. ‫محاسبه‬ ‫معیارهای‬ •‫شده‬ ‫سپری‬ ‫زمان‬(Elapsed Time):1-19‫امتیاز‬ •‫ویژه‬ ‫تخصص‬(Special expertise):0-8‫امتیاز‬ •‫محصول‬ ‫دانش‬(Knowledge of TOE):0-10‫امتیاز‬ •‫فرصت‬ ‫پنجره‬(Window of opportunity):0-10‫امتیاز‬(‫مثال‬:‫نیاز‬ ‫مورد‬ ‫های‬ ‫نمونه‬ ‫تعداد‬) •‫افزار‬ ‫سخت‬/‫نیاز‬ ‫مورد‬ ‫تجهیزات‬ ‫یا‬ ‫افزار‬ ‫نرم‬(HW/SW):0-9‫امتیاز‬ ‫نهایی‬ ‫ارزیابی‬ •‫است‬ ‫مقاوم‬ ‫زیر‬ ‫حمله‬ ‫پتانسیل‬ ‫با‬ ‫حمالت‬ ‫برابر‬ ‫در‬ ‫محصول‬: o‫مقدماتی‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬10‫باشد‬ ‫امتیاز‬. o‫یافته‬ ‫افزایش‬ ‫مقدماتی‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬14‫باشد‬ ‫امتیاز‬. o‫متوسط‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬20‫باشد‬ ‫امتیاز‬. o‫زیاد‬:‫نیازمند‬ ‫حداقل‬ ‫حمالت‬ ‫موفقیت‬ ‫اگر‬25‫باشد‬ ‫امتیاز‬ AVA_VAN.1 AVA_VAN.2 EAL 1-3 AVA_VAN.3EAL 4 AVA_VAN.4ELA 5 AVA_VAN.5ELA 6,7 ‫مقدماتی‬ ‫مقدماتی‬-‫یافته‬ ‫افزایش‬ ‫متوسط‬ ‫زیاد‬ 27 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫ارزیابی‬ ‫های‬ ‫هزینه‬ ‫بررسی‬ ‫ارزیابی‬ ‫های‬ ‫هزینه‬ ‫ارزیابی‬ ‫پیش‬ ‫ارزیابی‬ ‫گواهینامه‬ ‫داخلی‬ ‫هزینه‬ ‫قیمت‬ ‫بر‬ ‫موثر‬ ‫عوامل‬ •‫تضمین‬ ‫سطح‬ •‫عملکرد‬ ‫حوزه‬ •‫محصول‬ ‫طراحی‬ •‫مشکالت‬ ‫با‬ ‫برخورد‬ ‫زمان‬ ‫بر‬ ‫موثر‬ ‫عوامل‬ •‫ادعا‬ ‫مورد‬ ‫تضمین‬ ‫بسته‬ •‫شده‬ ‫اضافه‬ ‫امنیتی‬ ‫های‬ ‫قابلیت‬ •‫محصول‬ ‫توسعه‬ ‫زمانی‬ ‫های‬ ‫بازه‬ •‫شده‬ ‫تحویل‬ ‫های‬ ‫ارزیابی‬ ‫کیفیت‬ •‫ارزیاب‬ ‫منابع‬ ‫و‬ ‫دهنده‬ ‫توسعه‬ ‫به‬ ‫دسترسی‬ ‫قابلیت‬ •‫ارزیاب‬ ‫و‬ ‫دهنده‬ ‫توسعه‬ ‫بین‬ ‫ارتباطات‬ ‫کیفیت‬ 28
‫توجه‬ ‫نیست‬ ‫بودن‬ ‫نقص‬ ‫بی‬ ‫و‬ ‫کامل‬ ‫معنای‬ ‫به‬ ‫گواهینامه‬ ‫صدور‬ ‫نیس‬ ‫محصول‬ ‫بودن‬ ‫نفوذ‬ ‫غیرقابل‬ ‫معنای‬ ‫به‬ ‫گواهینامه‬ ‫دریافت‬‫ت‬ Certification Perfection 29 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫نیازها‬ ‫و‬ ‫ها‬ ‫چالش‬ ‫مشترک‬ ‫ادبیات‬ /‫حفاظتی‬ ‫پروفایل‬ ‫زبانی‬ ‫ابهامات‬ ‫و‬ ‫اشتباهات‬‫و‬‫مفه‬‫ومی‬ ‫بومی‬ ‫زبان‬ ‫به‬ ‫تبدیل‬ ‫در‬ ‫تخصصی‬ ‫پرسنل‬ (‫مهندسی‬‫تست‬‫امنیت‬ ‫و‬) ‫و‬ ‫مستندات‬ ‫نظام‬ ‫یکپارچه‬ ‫های‬ ‫رویه‬ ‫اختیارات‬ ‫و‬ ‫مجوزها‬ ‫الزم‬(ISO17025‫درجه‬ ، ‫و‬ ‫اطالعات‬ ‫بنده‬ ‫طبقه‬..). ‫گذاری‬ ‫قیمت‬ ‫سیاست‬ 30 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
‫تشکر‬ ‫با‬ ‫پایان‬ 31
32
‫منابع‬ 1) Algirdas Avizienis, Fundamental Concepts of Computer System Dependability, ARP/IEEE-RAS Workshop on Robot Dependability,2001. 2) Common Criteria Familiarization (slides), NIST. 3) Common Criteria for IT Security Evaluation, Part 1, 2 & 3, 2012. http://www.commoncriteriaportal.org/cc/ 4) Common Criteria User Guides, 1999. https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm 5) Common Criteria Evaluation methodology, http://www.commoncriteriaportal.org/cc/ 6) FAA System Security Testing and Evaluation, MITRE TECHNICAL REPORT,2003. 7) Seungjoo Kim, security analysis and evaluation lab slides, Korean university. 2012. 8) Managing IT security using common criteria, ISACA –CETIC Meeting, 2007. 9) Common Criteria and Protection Profiles: How to Evaluate Information, SANS Institute, 2003. 10) Applying the Common Criteria to the Certification & Accreditation of Department of Defense Unclassified Information Technology Systems, SANS Institute, 2003. 11) Trusted Computer System Evaluation Criteria(DoD5200.28), Department Of Defense, 1985. 12) Common Criteria IT Security Evaluation & the National Information Assurance Partnership Facts Sheet. 13) FIPS140-2: Security Requirements For Cryptographic Modules, National Institute of Standards and Technology,2001. 14) NIST Special Publication 800-53.r4: Security and Privacy Controls for Federal Information Systems and Organizations, 2013. 15) NIST Special Publication 800-53A.r4:Assessing Security and Privacy Controls for Federal Information Systems and Organizations, 2014. 16) NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment, 2008. 33

Recommandé

ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتMahdi Sayyad
 
Autonomous Navigation of UGV Based on AHRS, GPS and LiDAR
Autonomous Navigation of UGV Based on AHRS, GPS and LiDARAutonomous Navigation of UGV Based on AHRS, GPS and LiDAR
Autonomous Navigation of UGV Based on AHRS, GPS and LiDARJohn Liu
 
Calibration as a risk management strategy
Calibration as a risk management strategyCalibration as a risk management strategy
Calibration as a risk management strategyAlliance Calibration
 
MATERI ISO IEC 17025-2017 - LA (1) (1).pptx
MATERI ISO IEC 17025-2017 - LA (1) (1).pptxMATERI ISO IEC 17025-2017 - LA (1) (1).pptx
MATERI ISO IEC 17025-2017 - LA (1) (1).pptxRahmaidaSari1
 
Understanding Cybersecurity in Medical Devices and Applications
Understanding Cybersecurity in Medical Devices and ApplicationsUnderstanding Cybersecurity in Medical Devices and Applications
Understanding Cybersecurity in Medical Devices and ApplicationsEMMAIntl
 
Dokümantasyon yönetimi
Dokümantasyon yönetimiDokümantasyon yönetimi
Dokümantasyon yönetimiMustafa Unç
 
Testing Technology Stack
Testing Technology StackTesting Technology Stack
Testing Technology StackUnmesh Ballal
 
API TESTING
API TESTINGAPI TESTING
API TESTINGSijan Bhandari
 

Recommandé

ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتMahdi Sayyad
 
Autonomous Navigation of UGV Based on AHRS, GPS and LiDAR
Autonomous Navigation of UGV Based on AHRS, GPS and LiDARAutonomous Navigation of UGV Based on AHRS, GPS and LiDAR
Autonomous Navigation of UGV Based on AHRS, GPS and LiDARJohn Liu
 
Calibration as a risk management strategy
Calibration as a risk management strategyCalibration as a risk management strategy
Calibration as a risk management strategyAlliance Calibration
 
MATERI ISO IEC 17025-2017 - LA (1) (1).pptx
MATERI ISO IEC 17025-2017 - LA (1) (1).pptxMATERI ISO IEC 17025-2017 - LA (1) (1).pptx
MATERI ISO IEC 17025-2017 - LA (1) (1).pptxRahmaidaSari1
 
Understanding Cybersecurity in Medical Devices and Applications
Understanding Cybersecurity in Medical Devices and ApplicationsUnderstanding Cybersecurity in Medical Devices and Applications
Understanding Cybersecurity in Medical Devices and ApplicationsEMMAIntl
 
Dokümantasyon yönetimi
Dokümantasyon yönetimiDokümantasyon yönetimi
Dokümantasyon yönetimiMustafa Unç
 
Testing Technology Stack
Testing Technology StackTesting Technology Stack
Testing Technology StackUnmesh Ballal
 
API TESTING
API TESTINGAPI TESTING
API TESTINGSijan Bhandari
 
ISO26262-6 Software development process (Ver 3.0)
ISO26262-6 Software development process (Ver 3.0)ISO26262-6 Software development process (Ver 3.0)
ISO26262-6 Software development process (Ver 3.0)Hongseok Lee
 
Commercializing antibody-drug conjugates: a CMO’s journey
Commercializing antibody-drug conjugates: a CMO’s journeyCommercializing antibody-drug conjugates: a CMO’s journey
Commercializing antibody-drug conjugates: a CMO’s journeyMerck Life Sciences
 
Support, Operation, Performance Evaluation and Improvement Elements
Support, Operation, Performance Evaluation and Improvement ElementsSupport, Operation, Performance Evaluation and Improvement Elements
Support, Operation, Performance Evaluation and Improvement ElementsTeam Web Africa
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awarenessÃsħâr Ãâlâm
 
Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Ali Fuad R
 
La nuova norma ISO 14001:2015
La nuova norma ISO 14001:2015La nuova norma ISO 14001:2015
La nuova norma ISO 14001:2015Geosolution Srl
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
ISO 19011 İc Denetçi Eğitimi
ISO 19011 İc Denetçi EğitimiISO 19011 İc Denetçi Eğitimi
ISO 19011 İc Denetçi EğitimiFırat Özel
 
Tu primer script en Katalon - Paso a Paso
Tu primer script en Katalon - Paso a PasoTu primer script en Katalon - Paso a Paso
Tu primer script en Katalon - Paso a PasoArgentesting
 
Internal audit-checklist-example
Internal audit-checklist-exampleInternal audit-checklist-example
Internal audit-checklist-exampleHoang Nguyen
 
Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları İbrahim ATAY
 
How to Design a Quality system that meets compliance requirements 2014
How to Design a Quality system that meets compliance requirements 2014How to Design a Quality system that meets compliance requirements 2014
How to Design a Quality system that meets compliance requirements 2014Gilead Sciences
 
Use case of rpa
Use case of rpaUse case of rpa
Use case of rpassuser9a50211
 
Introduction to 9001 2015
Introduction to 9001 2015 Introduction to 9001 2015
Introduction to 9001 2015 ismail Latiff
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
Operational Risk Management and Bpm
Operational Risk Management and BpmOperational Risk Management and Bpm
Operational Risk Management and BpmNathaniel Palmer
 
AWARENESS ISO 9001:2015
AWARENESS ISO 9001:2015AWARENESS ISO 9001:2015
AWARENESS ISO 9001:2015Arfi Maulana
 
Cloud Testing - A New Age Approach to Testing
Cloud Testing - A New Age Approach to TestingCloud Testing - A New Age Approach to Testing
Cloud Testing - A New Age Approach to TestingSoftware Testing Solution
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
Computerized system validation (CSV) as a requirement for good manufacturing ...
Computerized system validation (CSV) as a requirement for good manufacturing ...Computerized system validation (CSV) as a requirement for good manufacturing ...
Computerized system validation (CSV) as a requirement for good manufacturing ...Ahmed Hasham
 
ISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfMahdi Sayyad
 
RUP (Rational Unified Process)
RUP (Rational Unified Process)RUP (Rational Unified Process)
RUP (Rational Unified Process)Javad Pourhosaini
 

Contenu connexe

Tendances

ISO26262-6 Software development process (Ver 3.0)
ISO26262-6 Software development process (Ver 3.0)ISO26262-6 Software development process (Ver 3.0)
ISO26262-6 Software development process (Ver 3.0)Hongseok Lee
 
Commercializing antibody-drug conjugates: a CMO’s journey
Commercializing antibody-drug conjugates: a CMO’s journeyCommercializing antibody-drug conjugates: a CMO’s journey
Commercializing antibody-drug conjugates: a CMO’s journeyMerck Life Sciences
 
Support, Operation, Performance Evaluation and Improvement Elements
Support, Operation, Performance Evaluation and Improvement ElementsSupport, Operation, Performance Evaluation and Improvement Elements
Support, Operation, Performance Evaluation and Improvement ElementsTeam Web Africa
 
Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Ali Fuad R
 
La nuova norma ISO 14001:2015
La nuova norma ISO 14001:2015La nuova norma ISO 14001:2015
La nuova norma ISO 14001:2015Geosolution Srl
 
ISO 19011 İc Denetçi Eğitimi
ISO 19011 İc Denetçi EğitimiISO 19011 İc Denetçi Eğitimi
ISO 19011 İc Denetçi EğitimiFırat Özel
 
Tu primer script en Katalon - Paso a Paso
Tu primer script en Katalon - Paso a PasoTu primer script en Katalon - Paso a Paso
Tu primer script en Katalon - Paso a PasoArgentesting
 
Internal audit-checklist-example
Internal audit-checklist-exampleInternal audit-checklist-example
Internal audit-checklist-exampleHoang Nguyen
 
Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları İbrahim ATAY
 
How to Design a Quality system that meets compliance requirements 2014
How to Design a Quality system that meets compliance requirements 2014How to Design a Quality system that meets compliance requirements 2014
How to Design a Quality system that meets compliance requirements 2014Gilead Sciences
 
Introduction to 9001 2015
Introduction to 9001 2015 Introduction to 9001 2015
Introduction to 9001 2015 ismail Latiff
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
Operational Risk Management and Bpm
Operational Risk Management and BpmOperational Risk Management and Bpm
Operational Risk Management and BpmNathaniel Palmer
 
AWARENESS ISO 9001:2015
AWARENESS ISO 9001:2015AWARENESS ISO 9001:2015
AWARENESS ISO 9001:2015Arfi Maulana
 
Cloud Testing - A New Age Approach to Testing
Cloud Testing - A New Age Approach to TestingCloud Testing - A New Age Approach to Testing
Cloud Testing - A New Age Approach to TestingSoftware Testing Solution
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
Computerized system validation (CSV) as a requirement for good manufacturing ...
Computerized system validation (CSV) as a requirement for good manufacturing ...Computerized system validation (CSV) as a requirement for good manufacturing ...
Computerized system validation (CSV) as a requirement for good manufacturing ...Ahmed Hasham
 

Tendances (20)

ISO26262-6 Software development process (Ver 3.0)
ISO26262-6 Software development process (Ver 3.0)ISO26262-6 Software development process (Ver 3.0)
ISO26262-6 Software development process (Ver 3.0)
 
Commercializing antibody-drug conjugates: a CMO’s journey
Commercializing antibody-drug conjugates: a CMO’s journeyCommercializing antibody-drug conjugates: a CMO’s journey
Commercializing antibody-drug conjugates: a CMO’s journey
 
Support, Operation, Performance Evaluation and Improvement Elements
Support, Operation, Performance Evaluation and Improvement ElementsSupport, Operation, Performance Evaluation and Improvement Elements
Support, Operation, Performance Evaluation and Improvement Elements
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013
 
La nuova norma ISO 14001:2015
La nuova norma ISO 14001:2015La nuova norma ISO 14001:2015
La nuova norma ISO 14001:2015
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
 
ISO 19011 İc Denetçi Eğitimi
ISO 19011 İc Denetçi EğitimiISO 19011 İc Denetçi Eğitimi
ISO 19011 İc Denetçi Eğitimi
 
Tu primer script en Katalon - Paso a Paso
Tu primer script en Katalon - Paso a PasoTu primer script en Katalon - Paso a Paso
Tu primer script en Katalon - Paso a Paso
 
Internal audit-checklist-example
Internal audit-checklist-exampleInternal audit-checklist-example
Internal audit-checklist-example
 
Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları
 
How to Design a Quality system that meets compliance requirements 2014
How to Design a Quality system that meets compliance requirements 2014How to Design a Quality system that meets compliance requirements 2014
How to Design a Quality system that meets compliance requirements 2014
 
Use case of rpa
Use case of rpaUse case of rpa
Use case of rpa
 
Introduction to 9001 2015
Introduction to 9001 2015 Introduction to 9001 2015
Introduction to 9001 2015
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
 
Operational Risk Management and Bpm
Operational Risk Management and BpmOperational Risk Management and Bpm
Operational Risk Management and Bpm
 
AWARENESS ISO 9001:2015
AWARENESS ISO 9001:2015AWARENESS ISO 9001:2015
AWARENESS ISO 9001:2015
 
Cloud Testing - A New Age Approach to Testing
Cloud Testing - A New Age Approach to TestingCloud Testing - A New Age Approach to Testing
Cloud Testing - A New Age Approach to Testing
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
Computerized system validation (CSV) as a requirement for good manufacturing ...
Computerized system validation (CSV) as a requirement for good manufacturing ...Computerized system validation (CSV) as a requirement for good manufacturing ...
Computerized system validation (CSV) as a requirement for good manufacturing ...
 

Similaire à ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم

ISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfMahdi Sayyad
 
RUP (Rational Unified Process)
RUP (Rational Unified Process)RUP (Rational Unified Process)
RUP (Rational Unified Process)Javad Pourhosaini
 
چارچوب محتوای توگف
چارچوب محتوای توگفچارچوب محتوای توگف
چارچوب محتوای توگفAmir Darajeh
 
مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...
مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...
مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...Mohammad Ahmadzadeh
 
2- Agile BABOK - Ali Razi
2- Agile BABOK - Ali Razi2- Agile BABOK - Ali Razi
2- Agile BABOK - Ali RaziAli Moghadam
 
امنیت استفاده از نرم افزارهای متن باز در نیازهای کلان
امنیت استفاده از نرم افزارهای متن باز در نیازهای کلانامنیت استفاده از نرم افزارهای متن باز در نیازهای کلان
امنیت استفاده از نرم افزارهای متن باز در نیازهای کلانAli Yazdani
 
ِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studiesِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studiesMahdi Sayyad
 
در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب
در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب
در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب Mohammad Ahmadzadeh
 
از مباشرتِ داده‌ها تا حکمرانیِ داده‌ها
از مباشرتِ داده‌ها تا حکمرانیِ داده‌هااز مباشرتِ داده‌ها تا حکمرانیِ داده‌ها
از مباشرتِ داده‌ها تا حکمرانیِ داده‌هاHosseinieh Ershad Public Library
 
ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری
ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری
ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاریArash Bande Khoda
 
Scrum Challenges | By Yaghob Yavari
Scrum Challenges | By Yaghob YavariScrum Challenges | By Yaghob Yavari
Scrum Challenges | By Yaghob YavariIran Agile Community
 
10- Scrum Challenges - Yaghob Yavari
10- Scrum Challenges - Yaghob Yavari10- Scrum Challenges - Yaghob Yavari
10- Scrum Challenges - Yaghob YavariAli Moghadam
 
agil software managment by scrunm in tfs
agil software managment by scrunm in tfsagil software managment by scrunm in tfs
agil software managment by scrunm in tfsReza Rahimy
 
نرم افزار مدیریت جامع تولید
نرم افزار مدیریت جامع تولید نرم افزار مدیریت جامع تولید
نرم افزار مدیریت جامع تولید mehdi85
 

Similaire à ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم (20)

ISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdf
 
RUP (Rational Unified Process)
RUP (Rational Unified Process)RUP (Rational Unified Process)
RUP (Rational Unified Process)
 
چارچوب محتوای توگف
چارچوب محتوای توگفچارچوب محتوای توگف
چارچوب محتوای توگف
 
مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...
مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...
مستندسازی پروژه های عمرانی در فاز اجرا-Documentation of Construction Projects...
 
resumeh aali1
resumeh aali1resumeh aali1
resumeh aali1
 
2- Agile BABOK - Ali Razi
2- Agile BABOK - Ali Razi2- Agile BABOK - Ali Razi
2- Agile BABOK - Ali Razi
 
Agile & BABOK | By Ali Razi
Agile & BABOK | By Ali RaziAgile & BABOK | By Ali Razi
Agile & BABOK | By Ali Razi
 
ISO 19650
ISO 19650ISO 19650
ISO 19650
 
Software Test
Software TestSoftware Test
Software Test
 
مدیریت کیفیت داده
مدیریت کیفیت دادهمدیریت کیفیت داده
مدیریت کیفیت داده
 
امنیت استفاده از نرم افزارهای متن باز در نیازهای کلان
امنیت استفاده از نرم افزارهای متن باز در نیازهای کلانامنیت استفاده از نرم افزارهای متن باز در نیازهای کلان
امنیت استفاده از نرم افزارهای متن باز در نیازهای کلان
 
ِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studiesِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studies
 
در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب
در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب
در نگهداشت و مدیریت دارائی ITILبکارگیری چارچوب
 
از مباشرتِ داده‌ها تا حکمرانیِ داده‌ها
از مباشرتِ داده‌ها تا حکمرانیِ داده‌هااز مباشرتِ داده‌ها تا حکمرانیِ داده‌ها
از مباشرتِ داده‌ها تا حکمرانیِ داده‌ها
 
ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری
ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری
ارائه پایان نامه:بهبود روش ارزیابی معماری نرم افزار از دید مدیریت برون سپاری
 
Scrum Challenges | By Yaghob Yavari
Scrum Challenges | By Yaghob YavariScrum Challenges | By Yaghob Yavari
Scrum Challenges | By Yaghob Yavari
 
10- Scrum Challenges - Yaghob Yavari
10- Scrum Challenges - Yaghob Yavari10- Scrum Challenges - Yaghob Yavari
10- Scrum Challenges - Yaghob Yavari
 
testing
testingtesting
testing
 
agil software managment by scrunm in tfs
agil software managment by scrunm in tfsagil software managment by scrunm in tfs
agil software managment by scrunm in tfs
 
نرم افزار مدیریت جامع تولید
نرم افزار مدیریت جامع تولید نرم افزار مدیریت جامع تولید
نرم افزار مدیریت جامع تولید
 

ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم

  • 1. ‫استاندارد‬ISO 15408(COMMON CRITERIA) ‫دهنده‬ ‫ارائه‬:‫مهدی‬‫صیاد‬ ‫سایبری‬ ‫امنیت‬ ‫پژوهشگر‬ ‫آذر‬95 ‫دوم‬ ‫بخش‬
  • 2. ‫مطالب‬ ‫عناوین‬ ‫مشارکت‬‫کنندگان‬‫در‬‫ارزیابی‬ ،‫مستندات‬‫شواهد‬‫و‬‫گزارشات‬‫ارزیابی‬ ‫ساختار‬‫پروفایل‬‫حفاظتی‬‫و‬‫هدف‬‫امنیتی‬‫و‬‫تشریح‬‫ارتب‬‫اطات‬ ‫برنامه‬‫کاری‬‫ارزیابی‬(EWP) ‫بسته‬‫های‬‫کاری‬‫و‬‫ترتیب‬‫اجرا‬‫و‬‫وابستگی‬‫ها‬ ‫چرخه‬‫ارزیابی‬‫فنی‬‫و‬‫تولید‬‫گزارش‬ETR ‫تشریح‬‫کالس‬‫آزمون‬‫و‬‫کالس‬‫تحلیل‬‫آسیب‬‫پذیری‬ ‫بررسی‬‫هزینه‬‫های‬‫ارزیابی‬ ‫چالش‬‫های‬‫ارزیابی‬‫امنیتی‬‫محصوالت‬ ‫الگوی‬‫های‬‫مشابه‬‫ارزیابی‬ ‫فرآیند‬‫کلی‬‫الگوی‬‫ارزیابی‬ ‫ساختمان‬‫راهبردی‬‫معیار‬‫مشترک‬ ‫ساختار‬‫سازمانی‬‫آزمایشگاه‬(CCTL) ‫به‬‫کارگیری‬‫کالس‬‫های‬‫ارزیابی‬‫معیارمشترک‬ ‫نگاشت‬‫شیوه‬‫ارزیابی‬‫با‬‫استاندارد‬‫معیار‬‫مش‬‫ترک‬ ‫مدل‬‫شیوه‬‫ارزیابی‬ ‫صدور‬‫احکام‬‫ارزیابی‬ ‫فعالیت‬‫ها‬‫و‬‫واحدهای‬‫کاری‬‫در‬‫ارزیابی‬ ‫فرآیند‬‫ارزیابی‬‫محصول‬‫در‬‫آزمایشگاه‬ 2
  • 3. ‫مشابه‬ ‫الگوهای‬ ‫بررسی‬ ‫سنگاپ‬‫ور‬‫امریکا‬ ‫مالزی‬‫هند‬ ‫کره‬ ‫جنوبی‬ ‫ژاپن‬‫هلند‬ •‫تح‬ ‫اطالعات‬ ‫فناوری‬ ‫محصوالت‬ ‫امنیت‬ ‫ارزیابی‬ ‫الگوی‬‫ت‬ ‫است‬ ‫شده‬ ‫اندازی‬ ‫راه‬ ‫کشورها‬ ‫در‬ ‫مختلف‬ ‫عناوین‬. •‫سا‬ ‫خود‬ ‫حاکمیت‬ ‫قوانین‬ ‫و‬ ‫نیازها‬ ‫به‬ ‫بسته‬ ‫کشور‬ ‫هر‬‫ختار‬ ‫نمای‬ ‫می‬ ‫ابالغ‬ ‫و‬ ‫تدوین‬ ‫را‬ ‫محصول‬ ‫ارزیابی‬ ‫های‬ ‫روال‬ ‫و‬‫د‬.CB Board/AB CCTL Developer/ Vendor 3 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 4. ‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬‫محصول‬ ‫یک‬ 4 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 5. ‫مشترک‬ ‫معیار‬ ‫راهبردی‬ ‫ساختمان‬ ‫استراتژی‬ ‫مشی‬‫خط‬‫راهنما‬‫اسناد‬ ‫ها‬ ‫رویه‬ ‫ارزیابی‬ ‫الگوی‬ ‫مشی‬ ‫خط‬ ‫گواهینامه‬ ‫دریافت‬ ‫راهنمای‬ ‫محصوالت‬ ‫ثبت‬ ‫شده‬ ‫گواهی‬ ‫مصرف‬ ‫راهنمای‬ ‫کننده‬ ‫آزمایشگاه‬ ‫راهنمای‬ ‫ارزیابی‬ ‫های‬ 5 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 6. ‫کالس‬ ‫از‬ ‫استفاده‬‫ارزیابی‬ ‫های‬ Vulnerability Assessment Guidance Documents Configuration Management Assurance Maintenance Life Cycle Support Delivery and Operation PPTestsDevelopment ST •‫استفاد‬ ‫درخواست‬ ‫مورد‬ ‫تضمین‬ ‫سطح‬ ‫براساس‬ ‫ارزیابی‬ ‫های‬ ‫کالس‬‫می‬ ‫ه‬ ‫شوند‬ •‫س‬ ‫آن‬ ‫در‬ ‫شده‬ ‫تعیین‬ ‫ارزیابی‬ ‫های‬ ‫مؤلفه‬ ‫طریق‬ ‫از‬ ‫را‬ ‫امنیتی‬ ‫الزامات‬‫طح‬ ‫شود‬ ‫می‬ ‫مشخص‬. •‫تضمین‬ ‫سطح‬ ‫بر‬ ‫مبتنی‬ ‫ارزیابی‬ ‫اول‬ ‫فاز‬ ‫در‬1‫باشد‬ ‫می‬ ‫نظر‬ ‫مورد‬. ‫تضمین‬ ‫درسطح‬ ‫ارزیابی‬ ‫اجزای‬ ‫جدول‬1 ‫بر‬ ‫توجه‬8+2‫حوزه‬ 6 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 7. ‫نگاشت‬‫مشترک‬ ‫معیار‬ ‫با‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫معیار‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫بر‬ ‫مبتنی‬‫مشترک‬ ‫فعالیت‬•Class ‫زیرفعالیت‬•Family ‫اقدام‬•Component ‫واحدکاری‬• Element ‫زیرفعالیت‬ ‫هر‬ ‫های‬ ‫ورودی‬ ‫و‬ ‫اهداف‬ ‫بیان‬ 7 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 8. ‫مدل‬‫ارزیابی‬ ‫شیوه‬ ‫عمومی‬ ‫ارزیابی‬ ‫های‬ ‫زیرفعالیت‬ ‫ارزیابی‬ ‫ورودی‬ ‫وظیفه‬ ‫ارزیابی‬ ‫مورد‬ ‫وظیفه‬ ‫فنی‬ ‫صالحیت‬ ‫تشریح‬ ‫ارزیابی‬ ‫خروجی‬ ‫وظیفه‬ ‫شواهد‬/‫مدارک‬ ‫ورودی‬ ‫شواهد‬/‫مدارک‬ ‫خروجی‬ ETR For Or TOE PP ‫امنیتی‬ ‫هدف‬ ‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬ ‫توس‬ ‫مستندات‬‫عه‬ ‫حفاظ‬ ‫پروفایل‬‫تی‬ ‫و‬..... 8 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 10. ‫فعالیت‬‫واحدهای‬ ‫و‬ ‫ها‬‫کاری‬ ‫سطح‬ ‫تضمین‬1 ASE_INT ASE_OBJ ASE_REQ ASE_TSS ASE_ECD AGD_OPE AGD_PRE AVA_VANATE_IND ALC_CMC ALC_CMS ADV_FSP ASE(‫امنیتی‬ ‫هدف‬) ADV(‫توسعه‬) AGD(‫راهنما‬ ‫مستندات‬) ALC(‫حیا‬ ‫چرخه‬ ‫پشتیبانی‬‫ت‬) ATE(‫آزمون‬‫ها‬) AVA(‫پذیری‬ ‫آسیب‬ ‫ارزیابی‬) 6 13 ‫فعالیت‬ ‫زیرفعالیت‬ 13 50‫واحدکاری‬ ‫اقدام‬/‫عمل‬ ‫تضم‬ ‫الزامات‬ ‫کننده‬ ‫پشتیبانی‬ ،‫کارکردی‬ ‫الزامات‬‫هستند‬ ‫ین‬. 10 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 11. ‫محصول‬ ‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬‫آزمایشگاه‬ ‫در‬ •‫فاز‬1:‫سازی‬ ‫آماده‬ ‫سازی‬ ‫آماده‬ ‫و‬ ‫مشاوره‬ •‫فاز‬2:‫ارزیابی‬ ‫هدف‬ ‫اسناد‬ ‫ارزیابی‬ •‫فاز‬3:‫محصول‬ ‫فنی‬ ‫ارزیابی‬ ‫محصول‬ ‫ارزیابی‬ •‫فاز‬4:‫محصول‬ ‫ارزیابی‬ ‫پایان‬ ‫گواهی‬ ‫صدور‬ 11 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 12. ‫توسط‬ ‫تحویل‬ ‫قابل‬ ‫اسناد‬‫دهنده‬ ‫توسعه‬|‫های‬ ‫قالب‬ ‫و‬ ‫گزارشات‬ ‫و‬ ‫ها‬ ‫فرم‬‫ارزیابی‬ 12
  • 13. ‫تایی‬ ‫بدنه‬‫د‬ AB ‫ارزیاب‬ CCTL ‫دهنده‬ ‫توسعه‬ ‫ارزیابی‬ ‫در‬ ‫کنندگان‬ ‫شرکت‬ ‫گواهی‬ ‫بدنه‬ CB 13 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 14. ‫ارزیاب‬ ‫توسعه‬ ‫دهنده‬ •‫اعتباری‬ ‫فرم‬ •‫قالب‬‫داد‬ ‫قرار‬ ‫فرم‬ •‫آزمایشگاه‬ ‫کاری‬ ‫طرح‬ ‫قالب‬ •‫گزارش‬‫امنیتی‬ ‫هدف‬ ‫مقدماتی‬ ‫ارزیابی‬(‫سازی‬ ‫آماده‬ ‫مرحله‬) •‫امنیتی‬ ‫هدف‬ ‫سند‬ ‫نهایی‬ ‫ارزیابی‬ ‫گزارش‬(‫سا‬ ‫نهایی‬ ‫مرحله‬‫زی‬ ‫امنیتی‬ ‫هدف‬) •‫محصول‬ ‫تست‬ ‫روش‬ ‫طرح‬(ATE) •‫نفوذ‬ ‫آزمون‬ ‫طرح‬(AVA) •‫محصول‬ ‫تست‬ ‫گزارش‬ •‫نفوذ‬ ‫آزمون‬ ‫گزارش‬ •‫ارزیابی‬ ‫مشاهدات‬ ‫سند‬(OR) •‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ ‫سند‬(ETR) ‫قالب‬ ‫و‬ ‫ها‬ ‫فرم‬ ،‫اسناد‬‫گزارشات‬ •‫قالب‬‫امنیتی‬ ‫هدف‬ •‫قالب‬‫کارکردها‬ ‫مشخصات‬ ‫توصیف‬ ‫سند‬(ADV) •‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬ ‫سند‬ ‫قالب‬(‫کاربری‬/‫مدیریتی‬) •‫پیکربندی‬ ‫مدیریت‬ ‫محدوده‬ ‫و‬ ‫ها‬ ‫قابلیت‬ ‫سند‬ •‫باال‬ ‫سطح‬ ‫طراحی‬/‫پایین‬ ‫سطح‬ •‫محصول‬ ‫منبع‬ ‫کد‬(‫الزام‬ ‫صورت‬ ‫در‬) AB/CB •‫راهنمای‬‫محصول‬ ‫امنیتی‬ ‫ارزیابی‬ ‫طرح‬ •‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫های‬ ‫آزمایشگاه‬ ‫راهنمای‬‫فتا‬ •‫آزمایشگاه‬ ‫بخشی‬ ‫اعتبار‬ ‫راهنمای‬ •‫فعالیت‬ ‫گواهی‬ ‫صدور‬ ‫جهت‬ ‫الزم‬ ‫مدارک‬ ‫و‬ ‫اسناد‬ 14 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 15. ‫حفاظتی‬ ‫پروفایل‬(PP) ProtectionProfile PP introduction Conformance claims Security problem definitions Extended components Security objectives Security requirements PP reference TOE overview CC conformance claim PP claim Conformance rationale Conformance statement Threats Organizational security policies Assumptions Security objectives for the TOE Security objectives for the operational environment Security objectives rationale Extended components definition Security functional requirements Security assurance requirements Security requirements rationale 15 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 16. ‫امنیتی‬ ‫هدف‬(ST) SecurityTarget ST introduction Conformance claims Security problem definitions Extended components Security objectives Security requirements PP reference TOE reference TOE overview TOE description CC conformance claim PP claim Package claim Conformance rationale Threats Organizational security policies Assumptions Security objectives for the TOE Security objectives for the operational environment Security objectives rationale Extended components definition Security functional requirements Security assurance requirements Security requirements rationale TOE summary specifications TOE summary specifications 16 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 17. ‫مختلف‬ ‫های‬ ‫بخش‬ ‫بین‬ ‫ارتباط‬ Assumptions Organizational Security PolicyThreats Security Objectives for the operational environments Security Objectives for the TOE Security Functional requirements Assurance Functional requirements 17 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 18. ‫ارزیابی‬ ‫کاری‬ ‫طرح‬ ‫ارزیاب‬ ‫توسط‬/‫شامل‬ ‫و‬ ‫شود‬ ‫می‬ ‫نوشته‬ ‫ارزیابان‬: •‫خالصه‬ ‫و‬ ‫معرفی‬TOE •‫ارزیابان‬ ‫های‬ ‫فعالیت‬(‫کاری‬ ‫های‬ ‫بسته‬ ‫تعریف‬WP) •‫زمانبندی‬ ‫همراه‬ ‫به‬ ‫ارزیابی‬ ‫های‬ ‫استراتژی‬ ‫و‬ ‫نیاز‬ ‫مورد‬ ‫دادنی‬ ‫تحویل‬ ‫موارد‬ •‫ارزیابی‬ ‫کاری‬ ‫طرح‬ ‫روی‬ ‫بر‬ ‫باید‬ ‫دهندگان‬ ‫توسعه‬ ‫و‬ ‫ارزیابان‬(EWP)‫شده‬ ‫آورده‬ ‫های‬ ‫فعالیت‬ ‫و‬ ‫کنند‬ ‫توافق‬ ‫آن‬ ‫در‬. ‫کاری‬ ‫های‬ ‫بسته‬(Work Package:) •‫های‬ ‫کالس‬ ‫از‬ ‫یک‬ ‫هر‬ ‫با‬ ‫مرتبط‬ ‫ارزیابی‬ ‫های‬ ‫فعالیت‬CC‫شود‬ ‫می‬ ‫تعریف‬ ‫کاری‬ ‫بسته‬ ‫قالب‬ ‫در‬. •‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫طریق‬ ‫از‬ ‫ارزیابان‬ ‫های‬ ‫فعالیت‬WP‫شود‬ ‫می‬ ‫تکمیل‬ ،. •‫هستند‬ ‫ترتیب‬ ‫دارای‬ ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬(‫قبل‬ ‫های‬ ‫فعالیت‬ ‫اجرای‬ ‫به‬ ‫ها‬ ‫فعالیت‬ ‫برخی‬‫خود‬ ‫ی‬ ‫هستند‬.) •‫دارای‬ ‫بسته‬ ‫هر‬‫ورودی‬‫و‬‫خروجی‬‫است‬ ‫ها‬ ‫بسته‬ ‫دیگر‬ ‫با‬ ‫ارتباط‬ ‫و‬(‫ارزیابی‬ ‫مدل‬ ‫مطابق‬CC) •‫ارزیابی‬ ‫میانی‬ ‫گزارش‬ ‫یک‬ ‫کاری‬ ‫بسته‬ ‫هر‬ ‫اتمام‬ ‫از‬ ‫بعد‬(ETR)‫شود‬ ‫می‬ ‫صادر‬. Evaluation Work Plan (EWP) - - - Work Packages 18 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 19. ‫کاری‬ ‫بسته‬(work package) ‫مالحضات‬ ‫معادل‬‫التین‬ ‫عنوان‬‫کاری‬ ‫بسته‬ ‫کاری‬ ‫بسته‬ ‫شناسه‬(WPID) ‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ‫ارزیابی‬ PP Evaluation ‫ارزیابی‬‫حفاظ‬ ‫پروفایل‬‫تی‬ WP2000 ‫ارزیابی‬‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ST Evaluation ‫ارزیابی‬‫امنیتی‬ ‫هدف‬ WP3000 ‫پیکربندی‬ ‫مدیریت‬(CM)،‫توسعه‬ ‫محیط‬ ‫امنیت‬ Development Environment Evaluation ‫ارزیابی‬‫توسعه‬ ‫محیط‬ ‫محصول‬ WP4000 ،‫کارکردی‬ ‫های‬ ‫مشخصه‬‫محصول‬ ‫طراحی‬(،‫پایین‬ ‫سطح‬ ،‫باال‬ ‫سطح‬ ‫ها‬ ‫ماژول‬ ‫و‬ ‫اجزا‬ ‫ردگیری‬ ‫قابلیت‬)‫آزمون‬ ،‫دهنده‬ ‫توسعه‬ ‫آزمون‬ ، ‫مستقل‬ Implementation Evaluation ‫ارزیابی‬‫سازی‬ ‫پیاده‬ ‫محصول‬ WP5000 ‫راهنمای‬‫و‬ ‫انتقال‬ ‫اسناد‬ ،‫اندازی‬ ‫راه‬ ‫و‬ ‫نصب‬ ،‫مدیریت‬ ،‫کاربر‬ ‫تحویل‬ Operational Evaluation ‫عملیات‬ ‫ارزیابی‬‫محصول‬ ‫پشتیبان‬ ‫اسناد‬ ‫و‬ WP6000 ‫سنجش‬‫کارکردها‬ ‫قوت‬(SOF)،‫محصول‬ ‫کارکرد‬ ‫سوء‬ ‫تحلیل‬ ، ‫پذ‬ ‫آسیب‬ ‫تحلیل‬ ،‫دهنده‬ ‫توسعه‬ ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬‫یری‬ ‫نفوذ‬ ‫تست‬ ،‫مستقل‬ Vulnerability Evaluation ‫ارزیبابی‬‫پذیری‬ ‫آسیب‬ WP7000 ،‫مشکالت‬ ‫گزارش‬‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ Reporting ‫گزارش‬‫دهی‬ WP8000 ‫شناسه‬ ‫یک‬ ‫با‬ ‫کاری‬ ‫هربسته‬(ID)‫شود‬ ‫می‬ ‫متمایز‬ ‫و‬ ‫تعریف‬. 19 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 20. ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫وابستگی‬ ST Evaluation (ASE) Implementation Evaluation FD  HLD  LLD (ADV_ARC/ ADV_TDS/ ADV_IMP) Development Environment Evaluation CM/Development Security (ALC_CMC,CMS/ALC_DVS) Tests Evaluation (ATE_FUC/ATE_COV/ ATE_DPT) Vulnerability Evaluation Developer’s VA SOF Misuse Independent VA Operational Environment Evaluation Guidance Documents/Setup and Installation/ Delivery (AGD_PRE/AGD_OPE) HLD: High Level design FS: Functional Specification LLD: Low Level design VA: Vulnerability Assessment SOF: Strength of Functions TOEEvaluation 20 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 21. ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫ترتیب‬(‫برای‬EAL1) ‫ارزیابی‬ST ASE ‫مشخصات‬ ‫کارمردی‬ ADV_FSP ‫و‬ ‫معماری‬ ‫طراحی‬ • ADV_ARC • ADV_TDS ‫سازی‬ ‫پیاده‬ ‫ارائه‬ ‫حیات‬ ‫چرخه‬ ‫و‬ • ADV_IMP • ALC_CMC • ALC_CMS ‫راهنما‬ ‫اسناد‬ • AGD_PRE • AGD_OPE ‫محصول‬ ‫آزمون‬ (‫دهنده‬ ‫توسعه‬) • ATE_FUN • ATE_COV • ATE_DPT ‫مستقل‬ ‫آزمون‬ (‫ارزیاب‬) ATE_IND ‫آسیب‬ ‫تحلیل‬ ‫پذیری‬ AVA_VAN 21 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 22. ‫تحویل‬ ‫قابل‬ ‫موارد‬ ‫و‬ ‫اسناد‬ •‫آزمایشگاه‬ ‫به‬ ‫معرفی‬ ‫و‬ ‫درخواست‬ •‫امنیتی‬ ‫هدف‬(ST) •‫کارکردی‬ ‫مشخصات‬ •‫باال‬ ‫سطح‬ ‫طراحی‬ •‫پایین‬ ‫سطح‬ ‫طراحی‬ •‫ها‬ ‫نگاشت‬ ‫و‬ ‫تناظرها‬ ‫نمایش‬(‫بین‬ ‫متناظر‬ ‫خروجی‬ ‫و‬ ‫انتزاعی‬ ‫طراحی‬ ‫ردگیری‬ ‫قابلیت‬TFS) •‫ها‬ ‫آزمون‬ ‫مشخصات‬(‫عمق‬ ‫و‬ ‫پوشش‬ ‫تحلیل‬ ‫شامل‬) •‫مدیریتی‬ ‫راهنمای‬ •‫سازی‬ ‫پیاده‬ ‫و‬ ‫اندازی‬ ‫راه‬ ،‫نصب‬ ‫راهنمای‬ •‫کاربری‬ ‫راهنمای‬ •‫پیکربندی‬ ‫مدیریت‬ ‫اطالعات‬CM(‫تغییرات‬ ‫و‬ ‫نسخه‬ ‫مدیریت‬) •‫تحویل‬ ‫و‬ ‫انتقال‬ ‫رویه‬ ‫اطالعات‬(Delivery) •‫توسعه‬ ‫محیط‬ ‫امنیت‬ ‫اطالعات‬ •‫کارکرد‬ ‫قوت‬ ‫تحلیل‬(SOF) •‫کاربرد‬ ‫سوء‬ ‫موارد‬ ‫تحلیل‬(Misuse) •‫پذیری‬ ‫آسیب‬ ‫تحلیل‬(‫دهنده‬ ‫توسعه‬ ‫توسط‬) •‫ارزیابی‬ ‫مورد‬ ‫محصول‬ ‫منبع‬ ‫کند‬(TOE) •‫ارزیابی‬ ‫مورد‬ ‫محصول‬(TOE) 22 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 23. ‫فنی‬ ‫ارزیابی‬ ‫چرخه‬ OR:‫اشکاالت‬ ‫و‬ ‫ها‬ ‫خطا‬ ‫گزارش‬ ‫برای‬ ‫جزئی‬(minor)-‫جهت‬ ‫رود‬ ‫می‬ ‫انتظار‬ ‫شوند‬ ‫طرف‬ ‫بر‬ ‫کاری‬ ‫بسته‬ ‫تکمیل‬. FN‫و‬OR‫توسط‬‫ارزیاب‬‫و‬‫به‬ ‫توسعه‬‫دهنده‬‫صادر‬‫می‬‫شوند‬. FN:‫برای‬‫گزارش‬‫خطا‬‫ها‬‫و‬ ‫اشکاالت‬‫وخیم‬(major) ‫فتی‬ ‫ارزیابی‬ ‫میانی‬ ‫گزارش‬:‫پایان‬ ‫در‬ ‫ارزیابی‬ST‫محصول‬ ‫آزمون‬ ‫پایان‬ ‫و‬(TOE) ‫شود‬ ‫می‬ ‫صادر‬ ‫ارزیاباب‬ ‫توسط‬. ‫گزارش‬‫فنی‬‫ارزیابی‬(ETR):‫شامل‬ ‫نتایج‬‫تمامی‬‫مراحل‬‫ارزیابی‬(‫بسته‬‫های‬ ‫کاری‬)‫و‬‫احکام‬‫صادر‬‫شده‬‫است‬. ST Evaluation TOE Evaluation ETR (Final)ETR (Interim) ETR (Interim) Observation Reports/ Fault Notifications Observation Reports/ Fault Notifications 23 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 24. ‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ EvaluationTechnicalReport(ETR) Introduction Architectural description of TOE Evaluation Conclusions and recommendations Results of Evaluation List of evaluation evidence List of acronyms/Glossary of terms Observation reports 24 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 25. ‫آزمون‬ ‫کالس‬ ‫ها‬ ‫آزمون‬ ‫دسته‬ ‫دو‬ ‫شامل‬: ‫آزمون‬‫توسعه‬‫دهنده‬:‫شامل‬‫آزمون‬‫هایی‬‫که‬‫توسط‬‫توسعه‬‫دهنده‬‫بر‬‫روی‬TOE ‫انجام‬‫می‬‫شود‬.‫شامل‬‫آزمون‬‫پوشش‬‫و‬‫عمق‬. ‫آزمون‬‫مستقل‬:‫توسط‬‫ارزیاب‬‫با‬‫توجه‬‫به‬‫اطالعاتی‬‫که‬‫از‬TOE‫در‬‫اختیار‬‫دارد‬‫به‬ ‫صورت‬‫مستقل‬‫انجام‬‫می‬‫گیرد‬. ‫در‬‫ارزیابی‬‫سطح‬‫پایین‬‫الزامی‬‫نیست‬. ‫هدف‬‫از‬‫انجام‬‫این‬‫فعالیت‬‫اثبات‬‫آن‬‫است‬‫که‬‫آیا‬‫محصول‬(TOE)‫آنگونه‬‫که‬‫در‬ST ‫معرفی‬‫و‬‫در‬‫شواهد‬‫بدست‬‫آمده‬‫از‬‫ارزیابی‬(‫تشریح‬‫شده‬‫درکالس‬ADV) ‫مشخص‬‫شده‬،‫است‬‫رفتار‬‫می‬‫کند‬. ‫در‬‫پایین‬‫ترین‬‫سطح‬‫تضمین‬‫الزامی‬‫برای‬‫توسعه‬‫دهنده‬‫برای‬‫ارائه‬‫آزمون‬‫م‬‫حصول‬ ‫وجود‬‫ندارد‬‫و‬‫تنها‬‫آزمون‬‫مستقل‬‫توسط‬‫ارزیاب‬(‫با‬‫اطالعات‬‫محدود‬‫در‬‫دسترس‬) ‫انجام‬‫می‬‫شود‬. ATE_COV ATE_DTP ATE_FUN ATE_IND Tests (ATE) 25 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 26. ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬ ‫کالس‬ •‫تحلیل‬‫آسیب‬‫پذیری‬‫شامل‬‫فعالیت‬‫هایی‬‫الزام‬‫شده‬‫در‬‫کالس‬‫آسیب‬‫پذیری‬‫معیار‬‫مشترک‬‫است‬. •‫با‬‫هدف‬‫اطمینان‬‫از‬‫اینکه‬TOE‫از‬‫دیدگاه‬،‫ساخت‬،‫عملیات‬‫پیکربندی‬‫و‬‫سوء‬‫کاربرد‬‫دارای‬‫آسیب‬‫پذیری‬ ‫قابل‬‫بهره‬‫برداری‬‫نیست‬. •‫ارزیاب‬‫باید‬‫تایید‬‫کند‬‫که‬‫آسیب‬‫پذیری‬‫ها‬‫در‬‫محیط‬‫اجرایی‬‫هدف‬‫قابل‬‫بهره‬‫برداری‬‫نیست‬. •‫تایید‬‫نبود‬‫آسیب‬‫پذیری‬‫قابل‬‫بهره‬‫برداری‬‫از‬‫طریق‬‫بررسی‬‫تحلیل‬‫آسیب‬‫پذیری‬‫توسعه‬‫دهنده‬‫و‬‫اجرای‬ ‫تحلیل‬‫آسیب‬‫پذیری‬‫مستقل‬‫توسط‬‫ارزیاب‬‫حاصل‬‫می‬‫گردد‬. ‫تحلیل‬‫آسیب‬‫پذیری‬‫توسعه‬‫دهنده‬:‫در‬‫سطوح‬‫پایین‬‫ارزیابی‬‫الزامی‬‫نیست‬. ‫تحلیل‬‫آسیب‬‫پذیری‬‫مستقل‬:‫همه‬‫سطوح‬‫ارزیابی‬‫می‬‫شود‬‫و‬‫مبتنی‬‫بر‬‫درجه‬‫مقاومت‬‫در‬‫برابر‬‫مهاجم‬(AP) Vulnerability Assessment (AVA) 26 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 27. ‫حمله‬ ‫پتانسیل‬ ‫حمله‬ ‫پتانسیل‬(Attack Potential) •‫معیار‬‫ای‬ ‫شده‬ ‫تعریف‬ ‫پیش‬ ‫از‬‫که‬‫حمله‬ ‫برابر‬ ‫در‬ ‫محصول‬ ‫مقاومت‬ ‫میزان‬‫احتمالی‬‫را‬ ‫مهاجم‬‫می‬‫سنجد‬. •‫پتانسیل‬‫اصلی‬ ‫معیار‬ ‫سه‬ ‫براساس‬ ‫حمله‬‫انگیزه‬،‫تخصص‬‫و‬‫حمله‬ ‫منابع‬‫شود‬ ‫می‬ ‫تعیین‬. •‫مهاجم‬ ‫حمله‬ ‫پتانسیل‬ ،‫برداری‬ ‫بهره‬ ‫قابل‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ،‫عملیاتی‬ ‫محیط‬ ‫هر‬ ‫برای‬(‫م‬ ‫توانایی‬‫در‬ ‫هاجم‬ ‫حمله‬)‫شود‬ ‫می‬ ‫محاسبه‬ ،. ‫محاسبه‬ ‫معیارهای‬ •‫شده‬ ‫سپری‬ ‫زمان‬(Elapsed Time):1-19‫امتیاز‬ •‫ویژه‬ ‫تخصص‬(Special expertise):0-8‫امتیاز‬ •‫محصول‬ ‫دانش‬(Knowledge of TOE):0-10‫امتیاز‬ •‫فرصت‬ ‫پنجره‬(Window of opportunity):0-10‫امتیاز‬(‫مثال‬:‫نیاز‬ ‫مورد‬ ‫های‬ ‫نمونه‬ ‫تعداد‬) •‫افزار‬ ‫سخت‬/‫نیاز‬ ‫مورد‬ ‫تجهیزات‬ ‫یا‬ ‫افزار‬ ‫نرم‬(HW/SW):0-9‫امتیاز‬ ‫نهایی‬ ‫ارزیابی‬ •‫است‬ ‫مقاوم‬ ‫زیر‬ ‫حمله‬ ‫پتانسیل‬ ‫با‬ ‫حمالت‬ ‫برابر‬ ‫در‬ ‫محصول‬: o‫مقدماتی‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬10‫باشد‬ ‫امتیاز‬. o‫یافته‬ ‫افزایش‬ ‫مقدماتی‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬14‫باشد‬ ‫امتیاز‬. o‫متوسط‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬20‫باشد‬ ‫امتیاز‬. o‫زیاد‬:‫نیازمند‬ ‫حداقل‬ ‫حمالت‬ ‫موفقیت‬ ‫اگر‬25‫باشد‬ ‫امتیاز‬ AVA_VAN.1 AVA_VAN.2 EAL 1-3 AVA_VAN.3EAL 4 AVA_VAN.4ELA 5 AVA_VAN.5ELA 6,7 ‫مقدماتی‬ ‫مقدماتی‬-‫یافته‬ ‫افزایش‬ ‫متوسط‬ ‫زیاد‬ 27 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 28. ‫ارزیابی‬ ‫های‬ ‫هزینه‬ ‫بررسی‬ ‫ارزیابی‬ ‫های‬ ‫هزینه‬ ‫ارزیابی‬ ‫پیش‬ ‫ارزیابی‬ ‫گواهینامه‬ ‫داخلی‬ ‫هزینه‬ ‫قیمت‬ ‫بر‬ ‫موثر‬ ‫عوامل‬ •‫تضمین‬ ‫سطح‬ •‫عملکرد‬ ‫حوزه‬ •‫محصول‬ ‫طراحی‬ •‫مشکالت‬ ‫با‬ ‫برخورد‬ ‫زمان‬ ‫بر‬ ‫موثر‬ ‫عوامل‬ •‫ادعا‬ ‫مورد‬ ‫تضمین‬ ‫بسته‬ •‫شده‬ ‫اضافه‬ ‫امنیتی‬ ‫های‬ ‫قابلیت‬ •‫محصول‬ ‫توسعه‬ ‫زمانی‬ ‫های‬ ‫بازه‬ •‫شده‬ ‫تحویل‬ ‫های‬ ‫ارزیابی‬ ‫کیفیت‬ •‫ارزیاب‬ ‫منابع‬ ‫و‬ ‫دهنده‬ ‫توسعه‬ ‫به‬ ‫دسترسی‬ ‫قابلیت‬ •‫ارزیاب‬ ‫و‬ ‫دهنده‬ ‫توسعه‬ ‫بین‬ ‫ارتباطات‬ ‫کیفیت‬ 28
  • 29. ‫توجه‬ ‫نیست‬ ‫بودن‬ ‫نقص‬ ‫بی‬ ‫و‬ ‫کامل‬ ‫معنای‬ ‫به‬ ‫گواهینامه‬ ‫صدور‬ ‫نیس‬ ‫محصول‬ ‫بودن‬ ‫نفوذ‬ ‫غیرقابل‬ ‫معنای‬ ‫به‬ ‫گواهینامه‬ ‫دریافت‬‫ت‬ Certification Perfection 29 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 30. ‫نیازها‬ ‫و‬ ‫ها‬ ‫چالش‬ ‫مشترک‬ ‫ادبیات‬ /‫حفاظتی‬ ‫پروفایل‬ ‫زبانی‬ ‫ابهامات‬ ‫و‬ ‫اشتباهات‬‫و‬‫مفه‬‫ومی‬ ‫بومی‬ ‫زبان‬ ‫به‬ ‫تبدیل‬ ‫در‬ ‫تخصصی‬ ‫پرسنل‬ (‫مهندسی‬‫تست‬‫امنیت‬ ‫و‬) ‫و‬ ‫مستندات‬ ‫نظام‬ ‫یکپارچه‬ ‫های‬ ‫رویه‬ ‫اختیارات‬ ‫و‬ ‫مجوزها‬ ‫الزم‬(ISO17025‫درجه‬ ، ‫و‬ ‫اطالعات‬ ‫بنده‬ ‫طبقه‬..). ‫گذاری‬ ‫قیمت‬ ‫سیاست‬ 30 By Mahdi sayad | Email: mehdi.sayad@yahoo.com
  • 32. 32
  • 33. ‫منابع‬ 1) Algirdas Avizienis, Fundamental Concepts of Computer System Dependability, ARP/IEEE-RAS Workshop on Robot Dependability,2001. 2) Common Criteria Familiarization (slides), NIST. 3) Common Criteria for IT Security Evaluation, Part 1, 2 & 3, 2012. http://www.commoncriteriaportal.org/cc/ 4) Common Criteria User Guides, 1999. https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm 5) Common Criteria Evaluation methodology, http://www.commoncriteriaportal.org/cc/ 6) FAA System Security Testing and Evaluation, MITRE TECHNICAL REPORT,2003. 7) Seungjoo Kim, security analysis and evaluation lab slides, Korean university. 2012. 8) Managing IT security using common criteria, ISACA –CETIC Meeting, 2007. 9) Common Criteria and Protection Profiles: How to Evaluate Information, SANS Institute, 2003. 10) Applying the Common Criteria to the Certification & Accreditation of Department of Defense Unclassified Information Technology Systems, SANS Institute, 2003. 11) Trusted Computer System Evaluation Criteria(DoD5200.28), Department Of Defense, 1985. 12) Common Criteria IT Security Evaluation & the National Information Assurance Partnership Facts Sheet. 13) FIPS140-2: Security Requirements For Cryptographic Modules, National Institute of Standards and Technology,2001. 14) NIST Special Publication 800-53.r4: Security and Privacy Controls for Federal Information Systems and Organizations, 2013. 15) NIST Special Publication 800-53A.r4:Assessing Security and Privacy Controls for Federal Information Systems and Organizations, 2014. 16) NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment, 2008. 33