ایزو ۱۵۴۰۸ (استاندارد امنیت فناوری اطلاعات)

جهت ایزو ۱۵۴۰۸ استاندارد امنیت فناوری اطلاعات ایزوکیا آماده ارائه خدمات به شرکت ها و سازمان ها می باشد.

ایزو ۱۵۴۰۸ (آشنایی با ایزو ۱۵۴۰۸)

امروزه مدیریت فناوری اطلاعات در سازمان‌ها با توجه به تنوع فناوری‌ها و گسترش نفوذ کاربردهای فناوری اطلاعات در تمامی عرصه‌های کسب و کار به امری پیچیده و غامض تبدیل شده ‌است.
از طرفی جایگاه و اهمیت فناوری اطلاعات در سازمان‌ها با توجه به گسترش نفوذ آن در عرصه‌های مختلف کسب و کار ارتقاء یافته‌ است. این اهمیت تا به حدی است که برخی از خدمات سازمان‌ها بدون کمک فناوری اطلاعات قابل ارائه به مشتریان نمی‌باشد.
پیچیدگی و اهمیت فناوری اطلاعات در سازمان‌ها سبب شده ‌است، مدیریت موثر آن جزء دغدغه‌های مدیریت ارشد هر سازمانی باشد.تبعیت از چارچوب‌‌ها و استانداردهای مدیریت فناوری اطلاعات یکی از راهکارهای کاهش این دغدغه‌ها می‌باشد.
استاندارد ایزو ۱۵۴۰۸ چارچوبی است که در آن کاربران نیازمندی‌های عملکردی امنیت خود را بیان می‌دارند. تولیدکنندگان نسبت به پیاده‌سازی ویژگی‌های امنیتی محصولات خود اقدام می‌کنند و در نهایت آزمایشگاه‌ها نسبت به ارزیابی محصولات به منظور اطمینان از تأمین نیازمندی‌های امنیتی اقدام می‌نمایند. در واقع این استاندارد بستری را فراهم می‌آورد که در آن فرآیند تعیین مشخصات، پیاده‌سازی و ارزیابی ویژگی‌های امنیتی محصولات کامپیوتری تحت کنترل قرار گیرد.

استاندارد امنیت فناوری اطلاعات مورد استفاده موارد زیر است:

الف)این استاندارد( ایزو ۱۵۴۰۸ ) شامل پارامترها ی بررسی و ارزیابی وابسته به اقدامات امنیتی اجرایی نمی باشد. همچنین ایـن اقـدامات به صورت مستقیم وابسته به اقدامات امنیتی فناوری اطلاعات نمی باشد.
.این چنین مشخص شده که قسمت قابل توجه ای از امنیت TOE(هدف ارزیـابی ) می تواند از روشهای اجرایی مانند:کنترل های فیزیکی،پرستلی و رویه ای استفاده کند.فرضیات ایمنی که برای فعالیت های امنیتی در فضای TOE در نظر گرفته می شوند، شایستگی تاثیر گذاری روی اقدامات امنیتی و روبرو شدن با تهدیدهای معروف شده را دارند.
ب)بررسی دید فیزیکی و راه کار امنیت فناوری اطلاعات همانند نظارت  مکان جریان الکترومغناطیسی به صورت ویژه زیر پوشش نیست،این در صورتی است که تعدادی از موارد مد نظر برای این سطح قابل اعمال خواهند بود. این استاندارد به صورت ویژه بعضی از جهات محافظت فیزیکی از TOE را مورد توجه قرار می دهد.
پ) در واقع ایزو ۱۵۴۰۸:ISO 15408 هیچ کدام از روندهای ارزیابی و قالب قانونی و عملیاتی که احتمال دارد بعنوان مقیاسی بوسیله ی مسئولین ارزیابی مورد استفاده قرار می گیرد را مورد توجه قرار نمی دهد. این در صورتی است که توقع می رود ایـن اسـتاندارد برای مقاصد ارزیابی در عرصه ی این گونه قالب و روشی استفاده می شود.
ت) روند بهره وری از نتایج ارزیابی در معین نمودن اعتبار محصول و یا سیستم خـارج از محدوده این اسـتاندارد (ایزو ISO 15408)  است.مشخص نمودن اعتبار سیستم یا محصول،یک روند اجرایی است که جواز  کارایی محصول یا سیسـتم فنـاوری اطلاعات در یک محیط تماما  عملیاتی عرضه نمی شود. ارزیابی، بر تمام بخش های تامینی خدمت یا محصول مربوط به صورت مستقیم یا غیر مستقیم بر فرایندهای ایمن در فناوری اطلاعات متمرکز می شود. نتایج این ارزیابی می تواند کمک شایانی به بهبود روند تعیین اعتبار کند.
ث) ایزو  ۱۵۴۰۸ معیار ارزیابی در جهت الگوریتم های رمزنگاری را بررسی نمی کند. برای بررسی ویژگی های الگوریتم های رمز نگاری باید سنجش مستقلی در TOE انجام شود. برای انجام این روند باید تمهیدات لازم و مشخص قبل از اجرای فرایند در نظر گرفته شود. در این قسمت از استاندارد الزاماتی در راستای تضمین امنیت فناوری اطلاعات دو روش را پیشنهاد می دهد:
۱- ساختار PP: یا پروفایل حفاظتی این امکان را می دهد تا از الزامات امنیتی این استاندارد بتوان استفاده مجدد نمود.
۲- ساختار ST: یا اهداف امنیتی الزاماتی را جهت سنجش محصول یا خدمت مشخص می کند که این هدف همان TOE یا هدف ارزیابی نامیده می شود. این هدف امنیتی پایه و اساس ارزیابی این استاندارد می باشد که باید توسط بازرسان مورد استفاده قرار گیرد.

مخاطب مورد نظر استاندارد  امنیت فناوری اطلاعات

در بررسی خصوصیات امنیتی خدمات و محصولات در حوزه فناوری اطلاعات با سه دسته افراد روبرو می شویم:
۱-    مصرف کنندگان هدف ارزیابی (TOE)
۲-    تولید کنندگان هدف ارزیابی (TOE)
۳-    ارزیابان هدف ارزیابی (TOE)
الزامات این استاندارد نیازهای این سه دسته افراد را تامین می کند. تمامی این افراد به عنوان کاربر اصلی استاندارد ایزو ۱۵۴۰۸در نظر گرفته می شود.

جهت اخذ فوری این گواهینامه می توانید از این صفحه اقدام نمایید. همچنین اگر نیازمند به اخذ ارزان این ایزو هستید نیز می توانید از وب سایت ایزوکیا در خواست خود را ثبت نمایید.

ویژگی های گواهینامه

افزایش سطح امنیت اطلاعات در سازمان‌ها

جهانی شدن و ایجاد مزیت‌های رقابتی در صادرات

دریافت نمودن گواهینامه بین المللی معتبر با کد رجیسترینگ

ایجاد احساس اعتماد و اطمینان خاطر در مشتریان

کاهش یافتن خطرات ناشی از سرقت اطلاعات

راه‌اندازی سیستمی جامع، پویا و امن