خلاصه اسلایدهای سخنرانی پیرامون نظام ارزیابی امنیت محصولات فناوری اطلاعات راهنمای ارزیابی و دریافت گواهینامه امنیتی محصول

1. ‫استاندارد‬ ‫با‬ ‫آشنایی‬
ISO 15408
(
Common Criteria
)
‫توسط‬ ‫ارائه‬
:
‫صیاد‬ ‫مهدی‬
‫ویرایش‬
2024
‫اول‬ ‫بخش‬

2. ‫من‬ ‫درباره‬
•
‫سایبری‬ ‫امنیت‬ ‫متخصص‬ ‫و‬ ‫پژوهشگر‬ ،‫مشاور‬
•
‫از‬ ‫بیش‬
15
‫امنیت‬ ‫حوزه‬ ‫در‬ ‫کاری‬ ‫تجربه‬ ‫و‬ ‫فعالیت‬ ‫سال‬
‫برای‬ ‫سایبری‬
‫صنایع‬ ‫در‬ ‫مشتریان‬
‫مراکز‬ ،
‫مختلف‬ ‫کارهای‬ ‫و‬ ‫کسب‬ ‫و‬ ‫نظامی‬ ،‫دولتی‬
•
‫تخصصی‬ ‫های‬ ‫زمینه‬
:
•
‫ریسک‬ ‫مدیریت‬ ‫و‬ ‫امنیت‬ ‫استانداردهای‬ ‫استقرار‬ ‫و‬ ‫ممیزی‬
(
GRC
)
•
‫نفوذپذیری‬ ‫آزمون‬ ‫و‬ ‫امنیتی‬ ‫ارزیابی‬
(
IT/OT
)
•
‫رخداد‬ ‫به‬ ‫واکنش‬ ‫و‬ ‫امنیت‬ ‫عملیات‬
(
DFIR
)
•
‫تهدیدشناسی‬ ‫و‬ ‫مخاطره‬ ‫تحلیل‬
(
TM/TI
)
•
‫صنعتی‬ ‫کنترل‬ ‫و‬ ‫حیاتی‬ ‫های‬ ‫زیرساخت‬ ‫امنیت‬
•
‫ها‬ ‫دوره‬ ‫و‬ ‫مدارک‬
:
• MSc in Computer Engineering
• CCNA, CEH, ECSA, SEC542, SEC642, FOR572, ISO27001 LA, ITIL, OSCP
2

3. ‫جلسه‬ ‫عناوین‬
♦
‫مقدمه‬
♦
‫ها‬ ‫سامانه‬ ‫ارزیابی‬ ‫مبانی‬
♦
‫شده‬ ‫انجام‬ ‫کارهای‬ ‫و‬ ‫تاریخچه‬
♦
‫مشترک‬ ‫معیار‬ ‫معرفی‬
(
CC
)
♦
‫ذینفعان‬
/
‫ارزیابی‬ ‫در‬ ‫ها‬ ‫نقش‬
♦
‫مشترک‬ ‫معیار‬ ‫استاندارد‬ ‫شناسی‬ ‫اصطالح‬
♦
‫استفاده‬ ‫چگونگی‬ ‫و‬ ‫اسناد‬ ‫ساختار‬
♦
‫ها‬ ‫کالس‬ ‫و‬ ‫سازنده‬ ‫های‬ ‫بلوک‬
3
♦
‫در‬ ‫ها‬ ‫بخش‬ ‫دهی‬ ‫سازمان‬ ‫و‬ ‫ارتباط‬
ST
‫و‬
PP
♦
‫ارزیابی‬ ‫تضمین‬ ‫سطوح‬ ‫بررسی‬
(
EAL
)
♦
‫ارزیابی‬ ‫با‬ ‫مرتبط‬ ‫های‬ ‫فرم‬ ‫و‬ ‫اسناد‬
♦
‫امنی‬ ‫تضمین‬ ‫و‬ ‫کارکردی‬ ‫الزامات‬ ‫از‬ ‫استفاده‬
‫ت‬
♦
‫آزمایشگاه‬ ‫در‬ ‫ارزیابی‬ ‫شیوه‬ ‫بررسی‬
♦
‫ایران‬ ‫در‬ ‫محصول‬ ‫اعتبارسنجی‬ ‫و‬ ‫ارزیابی‬ ‫نظام‬

4. ‫گفتار‬ ‫پیش‬
•
‫تهدیدات‬
‫سایبری‬
‫و‬
‫ضرورت‬
‫توجه‬
‫به‬
‫امنیت‬
‫سایبری‬
‫در‬
‫زیر‬
‫ساخت‬
‫مل‬
‫ی‬
•
‫حاکمیت‬
=
‫قوانین‬
‫و‬
‫مقررات‬
+
‫نظارت‬
--
>
‫اطمینان‬
‫از‬
‫امنیت‬
•
‫کسب‬
‫و‬
‫کارها‬
‫برای‬
‫فعالیت‬
‫در‬
‫زیرساخت‬
‫های‬
‫دولتی‬
‫و‬
‫نظامی‬
‫باید‬
‫از‬
‫مجموعه‬
‫ای‬
‫از‬
‫الزامات‬
‫و‬
‫مقررات‬
‫امنیتی‬
‫پیروی‬
‫نمایند‬
.
•
‫سایر‬
‫کشورها‬
:
‫الزام‬
‫به‬
‫ایجاد‬
‫اقدامات‬
‫و‬
‫برنامه‬
،‫امنیت‬
‫در‬
‫دستگاه‬
‫های‬
‫دولت‬
‫ی‬
‫و‬
،‫نظامی‬
‫ارزیابی‬
‫امنیتی‬
‫محصوالت‬
‫و‬
‫خدمات‬
‫و‬
‫قوانین‬
‫امنیت‬
‫سایبری‬
•
‫ایران‬
:
‫مرکز‬
‫مدیریت‬
‫راهبـردی‬
‫افتا‬
‫و‬
‫سازمان‬
‫فناوری‬
‫اطالعات‬
‫به‬
‫طور‬
‫مشترک‬
‫عهده‬
‫دار‬
‫تامین‬
‫و‬
‫ارزیابی‬
‫امنیت‬
‫محصوالت‬
‫و‬
‫ارائه‬
‫گواهی‬
‫خدمات‬
‫امنیت‬
‫در‬
‫کشور‬
‫هستند‬
.
‫وزارت‬
،‫دفاع‬
‫اطالعات‬
‫و‬
‫پدافند‬
‫اقداماتی‬
‫انجام‬
‫می‬
‫دهند‬
.
•
‫نظام‬
‫های‬
‫افتا‬
:
•
‫اعتبار‬
‫سنجی‬
‫کنندگان‬‫عرضه‬
‫خدمات‬
‫افتا‬
(
‫مجوز‬
‫افتا‬
‫یا‬
‫گواهینامه‬
‫نما‬
-
‫نظام‬
‫مد‬
‫یریت‬
‫امنیت‬
‫اطالعات‬
)
•
‫نظام‬
‫ارم‬
(
‫ارزیابی‬
‫امنیتی‬
‫محصوالت‬
)
4
‫حاکمیت‬
‫بر‬ ‫نظارت‬
‫اجرا‬
،‫مشی‬ ‫خط‬
‫و‬ ‫قوانین‬
‫مقررات‬

5. ‫گفتار‬ ‫پیش‬
•
‫کنند‬ ‫می‬ ‫کار‬ ‫داده‬ ‫پردازش‬ ‫و‬ ‫اطالعاتی‬ ‫های‬ ‫فناوری‬ ‫با‬ ‫که‬ ‫حیاتی‬ ‫های‬ ‫زیرساخت‬
:
•
‫برق‬ ‫توزیع‬ ‫و‬ ‫تولید‬
•
‫استخراج‬
‫و‬
‫توزیع‬
‫و‬
‫پاالیش‬
‫نفت‬
‫و‬
‫گاز‬
•
‫سامانه‬
‫های‬
‫آبفا‬
‫و‬
‫سدها‬
•
‫حمل‬
‫و‬
‫نقل‬
•
‫صنایع‬
‫شیمیایی‬
‫و‬
‫دارویی‬
•
‫صنایع‬
‫تولیدی‬
‫و‬
‫کارخانه‬
‫جات‬
(
‫معادن‬
‫و‬
‫فلزات‬
)
•
‫ارتباطات‬
•
‫مالی‬
‫وبانکی‬
•
‫سامانه‬
‫ها‬
‫و‬
‫تجهیزات‬
‫الکترونیکی‬
‫موجود‬
‫در‬
‫زیرساخت‬
‫های‬
‫حیاتی‬
‫باید‬
‫به‬
‫طور‬
‫پیوسته‬
‫کار‬
‫کنند‬
.
•
‫از‬
‫کار‬
‫افتادن‬
‫یا‬
‫اختالل‬
‫زیاد‬
‫یا‬
‫کاهش‬
‫سطح‬
‫سرویس‬
‫می‬
‫تواند‬
‫منجر‬
‫به‬
‫پیامد‬
‫های‬
،‫اجتماعی‬
‫اقتصادی‬
‫یا‬
‫ح‬
‫تی‬
‫جانی‬
‫شود‬
!
5

6. ‫هشدار‬
‫مراتب‬ ‫به‬ ‫انتقامی‬ ‫تواند‬ ‫می‬ ‫کد‬ ‫خط‬ ‫چند‬
‫باشد‬ ‫بمب‬ ‫یک‬ ‫از‬ ‫تر‬ ‫ویرانگر‬
.
-Tom Ridge-
‫امریکا‬ ‫داخلی‬ ‫امنیت‬ ‫اسبق‬ ‫وزیر‬
6

7. ‫اتکاپذیری‬ ‫و‬ ‫امنیت‬ ‫مهندسی‬
(
DEPENDABILITY
)
►
‫های‬ ‫سامانه‬ ‫اساسی‬ ‫ویژگی‬
‫محاسباتی‬
:
▪
‫عملکردی‬ ‫قابلیت‬
–
Functionality
▪
‫سودمندی‬
–
Usability
▪
‫کارایی‬
-
Performance
▪
‫هزینه‬
-
Cost
▪
‫اتکاپذیری‬
–
Dependability
►
‫اتکاپذیری‬
=
‫اطمینان‬ ‫قابلیت‬ ‫از‬ ‫عبارتست‬
(
reliability
)
‫برابر‬ ‫در‬
‫های‬ ‫خرابی‬
‫غیرعمدی‬
‫امنیت‬ ‫و‬
(
Security
)
‫عمدی‬ ‫های‬ ‫خرابی‬ ‫برابر‬ ‫در‬
►
‫بحرانی‬ ‫سیستم‬
-
‫ایمنی‬
:
‫خ‬ ،‫اشکال‬ ‫عامل‬ ‫سه‬ ‫برابر‬ ‫در‬ ‫اتکاپذیری‬ ‫نیازمند‬
‫خرابی‬ ‫و‬ ‫طا‬
‫است‬
.
7
Dependability
• AVAILABILITY*
• RELIABILITY
• SAFETY
• CONFIDENTIALITY*
• INTEGRITY*
• MAINTAINABILITY

8. ‫اتکاپذیری‬ ‫و‬ ‫امنیت‬ ‫مهندسی‬
(
DEPENDABILITY
)
►
‫مهندسی‬
‫امنیت‬
:
‫ساخت‬
‫سامانه‬
‫هایی‬
‫که‬
‫در‬
‫مواجهه‬
‫با‬
‫سو‬
،‫قصد‬
،‫خطا‬
‫دستکاری‬
‫اتکا‬
‫پذیری‬
‫را‬
‫حفظ‬
‫کنند‬
.
►
‫تمرکز‬
‫بر‬
،‫فرآیندها‬
‫ابزارها‬
‫و‬
‫روش‬
‫های‬
‫مورد‬
‫نیاز‬
‫برای‬
‫طراحی‬
،
‫پیاده‬
‫سازی‬
‫و‬
‫آزمون‬
‫کامل‬
‫سامانه‬
‫ها‬
‫با‬
‫هدف‬
‫تطابق‬
‫سامانه‬
‫های‬
‫موجود‬
‫با‬
‫محیط‬
‫عملیاتی‬
.
8
Dependability
• AVAILABILITY*
• RELIABILITY
• SAFETY
• CONFIDENTIALITY*
• INTEGRITY*
• MAINTAINABILITY
‫امنیتی‬ ‫ارزیابی‬
(
CC
)
‫شود‬ ‫می‬ ‫بازی‬ ‫وارد‬

9. ‫ارزیابی‬
(
EVALUATION
)
9
‫امنیت‬ ‫ارزیابی‬
‫و‬ ‫ارزیابی‬ ‫منظور‬ ‫به‬ ‫ای‬ ‫رویه‬
‫و‬ ‫درست‬ ‫سازی‬ ‫پیاده‬ ‫گواهی‬
‫امنیتی‬ ‫کارکردهای‬ ‫مؤثر‬
‫محصول‬
IT

‫ارزیابی‬
:
‫یک‬ ‫وضعیت‬ ‫یا‬ ‫ارزش‬ ،‫اهمیت‬ ‫تعیین‬ ‫فرآیند‬
‫چیز‬
(
‫محصول‬
/
‫سامانه‬
)
▪
‫سنجی‬ ‫صحت‬
/
‫تایید‬
-
Verification
:
▪
‫کیفیت‬ ‫کنترل‬
(
QC
)
-
‫دهد‬ ‫می‬ ‫انجام‬ ‫را‬ ‫درست‬ ‫عملکرد‬
.
▪
‫سازی‬ ‫پیاده‬ ‫را‬ ‫شده‬ ‫تعریف‬ ‫عملکردهای‬ ‫درستی‬ ‫به‬ ‫سامانه‬ ‫اینکه‬ ‫بررسی‬ ‫فرآیند‬
‫می‬
‫کند‬
.
▪
‫است؟‬ ‫خطا‬ ‫بدون‬ ‫و‬ ‫شده‬ ‫مهندسی‬ ‫خوبی‬ ‫به‬ ‫سیستم‬
▪
‫محصول‬ ‫آیا‬
‫است‬ ‫شده‬ ‫ساخته‬ ‫درست‬
‫؟‬
(
‫م‬ ‫عمل‬ ‫ما‬ ‫انتظار‬ ‫مورد‬ ‫کارکردهای‬ ‫به‬ ‫توجه‬ ‫با‬
‫ی‬
‫کند‬
)
▪
‫سنجی‬ ‫اعتبار‬
–
Validation
:
▪
‫کیفیت‬ ‫تضمین‬
(
QA
)
-
‫نیاز‬ ‫پوشش‬ ‫کیفیت‬
‫مندی‬
‫کند‬ ‫می‬ ‫تضمین‬ ‫را‬ ‫ها‬
.
▪
‫استف‬ ‫نظر‬ ‫مورد‬ ‫اهداف‬ ‫و‬ ‫انتظارات‬ ‫میزان‬ ‫چه‬ ‫سامانه‬ ‫عملکرد‬ ‫اینکه‬ ‫بررسی‬ ‫فرآیند‬
‫اده‬
‫کننده‬
/
‫کند‬ ‫می‬ ‫برآورده‬ ‫را‬ ‫آن‬ ‫تولیدکننده‬
.
▪
‫در‬
‫عملکردها‬
‫دهد؟‬ ‫می‬ ‫پوشش‬ ‫را‬ ‫مشتری‬ ‫انتظارات‬ ‫و‬ ‫دارد‬ ‫کیفیت‬ ‫میزان‬ ‫چه‬
▪
‫آیا‬
ِ‫ل‬‫محصو‬
‫است؟‬ ‫شده‬ ‫ساخته‬ ‫کیفیت‬ ‫با‬
(
‫برآو‬ ‫را‬ ‫مشتری‬ ‫های‬ ‫نیازمندی‬ ‫میزان‬ ‫چه‬
‫رده‬
‫کند‬ ‫می‬
)

10. ‫امنیت‬ ‫ارزیابی‬
•
‫شهادت‬
/
‫براب‬ ‫در‬ ‫دهنده‬ ‫توسعه‬ ‫یک‬ ‫امنیتی‬ ‫اظهارات‬ ‫و‬ ‫ادعاها‬ ‫تصدیق‬
‫ر‬
‫مستقل‬ ‫طرف‬ ‫توسط‬ ،‫شده‬ ‫تعریف‬ ‫ارزیابی‬ ‫معیارهای‬
(
‫ثالث‬ ‫شخص‬
)
.
•
‫محصو‬ ‫ارتقای‬ ‫موجب‬ ‫و‬ ‫بخشد‬ ‫می‬ ‫امنیت‬ ‫را‬ ‫محصول‬ ‫توسعه‬ ‫فرآیند‬
‫ل‬
‫شود‬ ‫می‬
.
•
‫ارزیابی‬ ‫قابل‬ ‫ساده‬ ‫آزمایش‬ ‫یک‬ ‫توسط‬ ‫جامع‬ ‫امنیتی‬ ‫راهکارهای‬
‫نیستند‬
.
•
‫شود‬ ‫می‬ ‫بررسی‬ ‫محصول‬ ‫امنیت‬ ‫ارزیابی‬ ‫در‬
:
.1
‫افزار‬ ‫نرم‬ ‫مهندسی‬ ‫قواعد‬ ‫از‬ ‫دهنده‬ ‫توسعه‬ ‫پیروی‬
-
>
‫اطمینان‬ ‫قابلیت‬
.2
‫شده‬ ‫شناخته‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ‫تمامی‬ ‫برابر‬ ‫در‬ ‫محصول‬ ‫سازی‬ ‫امن‬
-
>
‫امن‬
‫یت‬
•
‫تفاوت‬
Evaluation
‫و‬
Assessment
10
Evaluation Assessment
Dependability
Security
Reliability

11. ‫شده‬ ‫انجام‬ ‫کارهای‬ ‫و‬ ‫تاریخچه‬
•
Trusted Computer System Evaluation Criteria (TCSEC)
•
‫امریکا‬ ‫دفاع‬ ‫وزارت‬ ‫تایید‬ ‫مورد‬ ‫استاندارد‬
–
Orange book - DoD 5200.28
•
‫ملی‬ ‫مرکز‬ ‫توسط‬
‫ای‬ ‫رایانه‬ ‫امنیت‬
(
NCSC
)
‫مجموعه‬ ‫زیر‬
NSA
•
‫انتشار‬
:
1983
-
‫رسانی‬ ‫بروز‬
:
1985
•
Information Technology Security Evaluation Criteria (ITSEC)
•
‫دهی‬ ‫اعتبار‬ ‫و‬ ‫ارزیابی‬ ‫برای‬ ‫اروپا‬ ‫اتحادیه‬ ‫کمیسیون‬ ‫تایید‬ ‫مورد‬ ‫استاندارد‬
‫امنیت‬ ‫محصوالت‬
IT
•
‫تابعه‬ ‫کشورهای‬ ‫و‬ ‫انگلیس‬ ،‫هلند‬ ،‫آلمان‬ ،‫فرانسه‬ ‫توسط‬
•
‫انتشار‬
:
1990
-
‫رسانی‬ ‫بروز‬
:
1991
11
1996
‫مشترک‬ ‫معیار‬
(
CC
)
‫شد‬ ‫میدان‬ ‫وارد‬

12. ‫استاندارد‬ ‫معرفی‬
ISO 15408/CC
•
‫اطال‬ ‫فناوری‬ ‫و‬ ‫ای‬ ‫رایانه‬ ‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫برای‬ ‫المللی‬ ‫بین‬ ‫استاندارد‬
‫عات‬
•
‫اطالعات‬ ‫فناوری‬ ‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫برای‬ ‫مشترک‬ ‫معیار‬
:
•
‫عملکردی‬ ‫های‬ ‫نیازمندی‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ‫بیان‬ ‫برای‬ ‫کاری‬ ‫چارچوب‬
/
‫های‬ ‫سامانه‬ ‫و‬ ‫محصوالت‬ ‫در‬ ‫نیاز‬ ‫مورد‬ ‫امنیتی‬
‫اطالعات‬ ‫فناوری‬
(
‫افزار‬ ‫نرم‬ ،‫افزار‬ ‫میان‬ ،‫افزار‬ ‫سخت‬
)
‫است‬
.
•
‫شم‬ ‫به‬ ‫محصول‬ ‫امنیتی‬ ‫کارکردهای‬ ‫دهی‬ ‫گواهی‬ ‫و‬ ‫ارزیابی‬ ،‫توسعه‬ ‫راهنمای‬ ‫عنوان‬ ‫به‬
‫ار‬
‫رود‬ ‫می‬
.
•
‫سند‬ ‫ویرایش‬ ‫آخرین‬
:
3.1
‫ویرایش‬
5
(
2017
)
•
‫استاندارد‬ ‫نسخه‬ ‫آخرین‬
ISO/IEC 15408:2022
12

13. •
‫فهرستی‬
‫از‬
‫ویژگی‬
‫های‬
‫امنیتی‬
‫را‬
‫در‬
‫اختیار‬
‫قرار‬
‫نمی‬
‫دهد‬
.
‫مجموعه‬
‫الزام‬
‫ات‬
‫مشترک‬
‫برای‬
‫کارکردهای‬
‫امنیتی‬
‫محصول‬
‫را‬
‫تعریف‬
‫می‬
‫کند‬
.
•
‫تا‬ ‫کند‬ ‫می‬ ‫فراهم‬ ‫کاری‬ ‫و‬ ‫ساز‬
❑
‫محصوالت‬ ‫کاربران‬ ‫و‬ ‫خریداران‬
IT
‫کنند‬ ‫معین‬ ‫را‬ ‫خود‬ ‫امنیتی‬ ‫نیازهای‬
.
❑
‫کنند‬ ‫می‬ ‫بیان‬ ‫محصول‬ ‫امنیتی‬ ‫های‬ ‫ویژگی‬ ‫خصوص‬ ‫در‬ ‫را‬ ‫خود‬ ‫ادعاهای‬ ‫سازندگان‬
.
❑
‫ارزی‬ ‫مورد‬ ‫را‬ ‫محصول‬ ‫تولیدکننده‬ ‫ادعاهای‬ ‫توانند‬ ‫می‬ ‫تایید‬ ‫و‬ ‫آزمون‬ ‫های‬ ‫آزمایشگاه‬
‫ابی‬
‫دهند‬ ‫قرار‬
.
13
ISO/IEC
15408
‫استاندارد‬ ‫معرفی‬
ISO 15408/CC

14. ‫مشترک‬ ‫معیار‬ ‫پیدایش‬
14
V3.1 R5:2017
Now

15. ‫دهندگان‬ ‫توسعه‬
CC
‫نهاد‬
/
‫سازمان‬ ‫کشور‬ ‫قاره‬
‫امنیت‬ ‫مرکز‬
‫ارتباطات‬
(
CSE
) ‫کانادا‬
‫امریکای‬
‫شمالی‬
‫آژانس‬
‫ملی‬ ‫امنیت‬
(
NSA
/)
‫استاندارد‬ ‫و‬ ‫فناوری‬ ‫ملی‬ ‫موسسه‬
(
NIST
) ‫امریکا‬
‫مرکز‬
‫اطالعاتی‬ ‫های‬ ‫سیستم‬ ‫امنیت‬ ‫خدمات‬
(
SCSSI
) ‫فرانسه‬
‫اروپا‬
‫آلمان‬ ‫اطالعات‬ ‫امنیت‬ ‫دفتر‬
(
GISA
) ‫آلمان‬
‫دفتر‬
‫ملی‬ ‫ارتباطات‬ ‫امنیت‬
(
NL-NCSA
) ‫هلند‬
‫گروه‬
‫ارتباطات‬ ‫و‬ ‫الکترونیک‬ ‫امنیت‬
(
CESG
) ‫انگلیس‬
15

16. ‫مشترک‬ ‫معیار‬ ‫خواستگاه‬
•
‫کننده‬ ‫مصرف‬ ‫دیدگاه‬ ‫از‬
/
‫کاربر‬
:
❑
‫اطالعات‬ ‫فناوری‬ ‫محصوالت‬ ‫برای‬ ‫امنیتی‬ ‫الزامات‬ ‫مستقل‬ ‫تعریف‬ ‫برای‬ ‫ای‬ ‫شیوه‬
▪
‫افزار‬ ‫سخت‬
-
‫افزار‬ ‫نرم‬
-
‫افزار‬ ‫میان‬
•
‫سازنده‬ ‫دیدگاه‬ ‫از‬
/
‫دهنده‬ ‫توسعه‬
:
❑
‫خاص‬ ‫محصول‬ ‫یک‬ ‫امنیتی‬ ‫های‬ ‫قابلیت‬ ‫تشریح‬ ‫برای‬ ‫ای‬ ‫شیوه‬
•
‫ارزیابی‬ ‫دیدگاه‬ ‫از‬
/
‫دهنده‬ ‫اعتبار‬
:
❑
‫محصول‬ ‫یک‬ ‫امنیتی‬ ‫های‬ ‫ویژگی‬ ‫بودن‬ ‫باور‬ ‫قابل‬ ‫میزان‬ ‫سنجش‬ ‫برای‬ ‫ابزاری‬
16

17. ‫مشترک‬ ‫معیار‬ ‫طرح‬ ‫در‬ ‫ها‬ ‫نقش‬
‫بدنه‬
‫اعتبار‬
/
‫گواهی‬
CMVP/CCEVS
‫تا‬ ‫و‬ ‫تست‬ ‫آزمایشگاه‬
‫یید‬ ‫سازنده‬
/
‫تولیدکننده‬ ‫مشتری‬
/
‫کننده‬ ‫مصرف‬
‫تایید‬ ‫و‬ ‫نظارت‬
/
‫صدورگواهی‬
‫با‬ ‫سنجی‬ ‫تطابق‬
CC
‫و‬
‫اجرای‬ ‫برا‬ ‫نظارت‬
CEM
‫انطباق‬ ‫آزمون‬
(
‫اظهارات‬ ‫و‬ ‫ادعاها‬
)
‫از‬ ‫استفاده‬
CEM
‫آزمون‬ ‫برای‬
CC
‫تولید‬ ‫و‬ ‫طراحی‬
HW/SW/FW
‫از‬ ‫استفاده‬
SFR
‫و‬
SAR
‫در‬
CC
‫نیازمندی‬ ‫تعیین‬
/
‫خرید‬
•
‫تست‬ ‫نتایج‬ ‫بازبینی‬
•
‫نامه‬ ‫گواهی‬ ‫صدور‬
•
‫تضمین‬ ‫جامع‬ ‫طرح‬ ‫پیشبرد‬
‫ملی‬ ‫اطالعات‬
•
‫الگوریتم‬ ‫تست‬
•
‫اسناد‬ ‫بازبینی‬
•
‫منبع‬ ‫کد‬ ‫بازبینی‬
•
‫فیزی‬ ‫و‬ ‫عملیاتی‬ ‫تست‬
‫کی‬
•
‫و‬
...
•
‫مرز‬ ‫و‬ ‫محدوده‬ ‫تعیین‬
•
‫ق‬ ‫قابل‬ ‫عملیاتی‬ ‫مد‬ ‫تعریف‬
‫بول‬
•
‫امنیتی‬ ‫مشی‬ ‫خط‬
•
‫امنیتی‬ ‫کارکردهای‬ ‫تعریف‬
•
‫ضمانت‬ ‫و‬ ‫امنیت‬
(
‫اطمینان‬
)
(
‫با‬ ‫محصوالت‬ ‫و‬ ‫ها‬ ‫برنامه‬
‫ماژول‬
‫متنوع‬ ‫های‬
)
17
CMVP: Cryptographic Module Validation Program → CST Lab
CCEVS: Common criteria evaluation scheme → CCTL

18. ‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫طرح‬ ‫در‬ ‫ها‬ ‫نقش‬ ‫ارتباط‬
(
CCEVS
)
18
•
‫کننده‬ ‫مصرف‬
/
‫مشتری‬
•
(
Customer
)
•
‫تولیدکننده‬
/
‫دهنده‬ ‫توسعه‬
•
(
Vendor/Developer
)
•
‫ارزیابی‬ ‫آزمایشگاه‬
•
(
CCTL/CCFL
)
•
‫گواهی‬ ‫بدنه‬
•
(
CB
)
•
‫اعتباربخشی‬ ‫بدنه‬
•
(
AB
)
‫سازنده‬
/
‫دهنده‬ ‫توسعه‬
‫آزمایشگاه‬
‫ارزیابی‬ ‫و‬ ‫آزمون‬
‫مرجع‬
‫اعتباربخشی‬
‫صدورگواهی‬ ‫مرجع‬
‫بخشی‬ ‫اعتبار‬
‫ارزیابی‬ ‫گزارشات‬
‫تایید‬
/
‫بازبینی‬
‫کننده‬ ‫مصرف‬
/
‫مشتری‬
‫نیازها‬ ‫بیان‬
‫محصول‬

19. ‫مشترک‬ ‫معیار‬ ‫المللی‬ ‫بین‬ ‫نامه‬ ‫توافق‬
(
CCRA
)
•
‫معیار‬
‫مشترک‬
(
CC
)
‫به‬
‫همراه‬
‫روشگان‬
‫ارزیابی‬
‫مشترک‬
(
CEM
)
‫مبنای‬
‫فنی‬
‫برای‬
‫توافق‬
‫نامه‬
‫بین‬
‫المللی‬
(
CCRA
)
‫ایجاد‬
‫می‬
‫کند‬
‫که‬
‫اطمینان‬
‫می‬
‫دهد‬
:
•
،‫محصوالت‬
‫توسط‬
‫آزمایشگاه‬
‫های‬
‫دارای‬
‫مجوز‬
‫ذی‬
‫صالح‬
‫و‬
‫مستقل‬
‫به‬
‫منظور‬
‫س‬
‫نجش‬
‫برآورده‬
‫شدن‬
‫های‬‫ویژگی‬
‫امنیتی‬
‫یا‬
‫دستیابی‬
‫به‬
‫سطح‬
‫اطمینان‬
،‫خاص‬
‫ارزیاب‬
‫ی‬
‫می‬
‫شوند‬
.
•
‫مستندات‬
،‫پشتیبان‬
‫در‬
‫فرآیند‬
‫ارزیابی‬
‫معیار‬
‫مشترک‬
‫برای‬
‫بیان‬
‫معیارها‬
‫و‬
‫شیوه‬
‫های‬
‫ارزیابی‬
‫فناوری‬
‫های‬
‫خاص‬
‫مورد‬
‫استفاده‬
‫قرار‬
‫می‬
‫گیرد‬
.
•
‫گواهی‬
‫ویژگی‬
‫های‬
‫امنیتی‬
‫برای‬
‫محصول‬
‫مورد‬
‫ارزیابی‬
‫می‬
‫تواند‬
‫توسط‬
‫مراکز‬
/
‫بدنه‬
‫های‬
‫صدور‬
‫گواهی‬
‫صادر‬
‫شود‬
(
Certificate Authorizing Schemes
)
•
‫گواهی‬
‫نامه‬
‫های‬
‫صادر‬
‫شده‬
‫برای‬
‫محصوالت‬
‫توسط‬
‫تمامی‬
‫امضا‬
‫کنندگان‬
‫تواف‬
‫ق‬
‫نامه‬
‫به‬
‫رسمیت‬
‫شناخته‬
‫می‬
‫شود‬
.
19
CC
CEM
CCRA

20. ‫مشترک‬ ‫معیار‬ ‫المللی‬ ‫بین‬ ‫نامه‬ ‫توافق‬
(
CCRA
)
•
16
‫دهنده‬ ‫گواهی‬ ‫کشور‬
:
•
‫ژاپن‬ ،‫ایتالیا‬ ،‫هند‬ ،‫آلمان‬ ،‫فرانسه‬ ،‫کانادا‬ ،‫استرالیا‬
،‫مالزی‬ ،
‫ا‬ ،‫سوئد‬ ،‫اسپانیا‬ ،‫سنگاپور‬ ،‫جنوبی‬ ‫کره‬ ،‫نروژ‬ ،‫هلند‬
‫یاالت‬
‫ترکیه‬ ،‫امریکا‬ ‫متحده‬
•
15
‫کننده‬ ‫استفاده‬ ‫کشور‬
:
•
‫مجارس‬ ،‫یونان‬ ،‫فنالند‬ ،‫اتیوپی‬ ،‫دانمارک‬ ،‫چک‬ ،‫اتریش‬
،‫تان‬
‫قط‬ ،‫لهستان‬ ،‫پاکستان‬ ،‫نیوزلند‬ ،‫اسرائیل‬ ،‫اندونزی‬
،‫ر‬
‫اسلواکی‬ ،‫انگلیس‬
20
CC
CEM
CCRA
‫تایید‬ ‫مورد‬
31
‫کشور‬

21. ‫مدارک‬ ‫نمونه‬
CC
21

22. ‫ادعا‬ ‫بیانیه‬
(
CLAIM
)
‫در‬ ‫اعتبارسنجی‬ ‫و‬
CC
•
‫دهی‬ ‫گواهی‬ ‫و‬ ‫تایید‬ ‫و‬ ‫ارزیابی‬ ،‫ادعا‬ ‫طرح‬ ‫بر‬ ‫مبتنی‬ ‫رویکرد‬
•
‫کند‬ ‫اثبات‬ ‫باید‬ ‫سازنده‬
:
.1
‫از‬ ‫استفاده‬ ‫با‬ ‫اطالعات‬ ‫فناوری‬ ‫محصول‬
‫افزار‬ ‫نرم‬ ‫توسعه‬ ‫الگوهای‬
‫بر‬ ‫مبتنی‬
‫اصول‬
(
‫های‬ ‫مدل‬
)
‫مهندس‬
‫نرم‬ ‫ی‬
‫افزار‬
‫و‬
‫امنیتی‬ ‫های‬ ‫ویژگی‬
‫است‬ ‫شده‬ ‫تولید‬
.
.2
‫برابر‬ ‫در‬ ‫اطالعات‬ ‫فناوری‬ ‫محصول‬
‫شده‬ ‫شناخته‬ ‫تهدیدات‬ ‫و‬ ‫پذیری‬ ‫آسیب‬
‫است‬ ‫امن‬
.
•
‫اسناد‬ ‫قالب‬ ‫در‬ ‫ادعا‬ ‫طرح‬ ‫و‬ ‫محصول‬ ‫جزئیات‬ ‫سطوح‬ ‫توصیف‬
:
❑
‫امنیتی‬ ‫کارکردهای‬ ‫تعریف‬
(
‫امنیتی‬ ‫هدف‬ ‫در‬
-
ST
)
❑
‫تشریح‬
‫محصول‬ ‫کارکردی‬
❑
‫باال‬ ‫سطح‬ ‫طراحی‬
❑
‫پایین‬ ‫سطح‬ ‫طراحی‬
❑
‫سازی‬ ‫پیاده‬
(
‫منبع‬ ‫کد‬
)
22
‫کارکردها‬ ‫تعریف‬
‫ی‬
‫امنیتی‬
‫کارکردی‬ ‫توصیف‬
‫باال‬ ‫سطح‬ ‫طراحی‬
‫سطح‬ ‫طراحی‬
‫پایین‬
‫سازی‬ ‫پیاده‬
(
‫منبع‬ ‫کد‬
)

23. ‫محصول‬ ‫آزمون‬ ‫و‬ ‫توسعه‬ ‫روال‬
23
‫نرم‬
‫توسعه‬
‫های‬
‫مدل‬
‫از‬
‫استفاده‬
‫با‬
‫محصولتان‬
‫کنید‬
‫اثبات‬
‫باید‬
‫ار‬
‫ز‬
‫اف‬
‫اس‬
‫مقاوم‬
‫شده‬
‫شناخته‬
‫های‬
‫ی‬
‫پذیر‬
‫آسیب‬
‫ابر‬
‫ر‬
‫ب‬
‫ر‬
‫د‬
‫و‬
‫یافته‬
‫توسعه‬
‫ت‬
.

24. ‫تضمین‬ ‫سطوح‬ ‫معرفی‬
‫عنوان‬
‫تضمین‬ ‫سطح‬
Functionally tested
Structurally tested
Methodically tested and checked
Methodically Designed, tested and reviewed
Semi-formally Designed and tested
Semi-formallyVerified Design and tested
FormallyVerified Design and tested
24
‫امنیت‬ ‫تضمین‬ ‫سطح‬
(
EAL
)
EAL 1
EAL 2
EAL 3
EAL 4
EAL 5
EAL 6
EAL 7
‫سخت‬ ‫شدت‬ ‫و‬ ‫عمق‬
‫میش‬ ‫بیشتر‬ ‫گیری‬
‫ود‬

25. ‫های‬ ‫بخش‬ ‫و‬ ‫ساختار‬
CC
‫امنی‬ ‫مهندسی‬ ‫و‬ ‫ارزیابی‬ ‫برای‬ ‫یافته‬ ‫ساخت‬ ‫مدلی‬
‫ت‬
25

26. ‫شناسی‬ ‫اصطالح‬
‫معنی‬ ‫ترجمه‬ ‫اصطالح‬
‫است‬ ‫ارزیابی‬ ‫هدف‬ ‫که‬ ‫ای‬ ‫سامانه‬ ‫یا‬ ‫محصول‬
. ‫هدف‬
‫ارزیابی‬ ‫مورد‬ Target Of
Evaluation(TOE)
‫در‬ ‫هرآنچه‬
TOE
‫گیرد‬ ‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫یا‬ ‫است‬ ‫مصرف‬ ‫قابل‬
. ‫ارزیابی‬ ‫مورد‬ ‫هدف‬ ‫منبع‬ TOE Resource
‫مورد‬ ‫هدف‬ ‫که‬ ‫افزار‬ ‫میان‬ ،‫افزار‬ ‫نرم‬ ،‫افزار‬ ‫سخت‬ ‫از‬ ‫متشکل‬ ‫ای‬ ‫مجموعه‬
‫ارزیابی‬
‫است‬ ‫متکی‬ ‫آن‬ ‫به‬ ‫شده‬ ‫تعیین‬ ‫امنیتی‬ ‫مشی‬ ‫خط‬ ‫اجرای‬ ‫برای‬
.
‫هدف‬ ‫امنیتی‬ ‫کارکرد‬
‫ارزیابی‬ ‫مورد‬
TOE Security
Function (TSF)
‫دارایی‬ ‫توزیع‬ ‫و‬ ‫حفاظت‬ ،‫مدیریت‬ ‫چگونگی‬ ‫که‬ ‫امنیتی‬ ‫قواعد‬ ‫از‬ ‫ای‬ ‫مجموعه‬
‫در‬ ‫ها‬
‫هدف‬
‫کند‬ ‫می‬ ‫تنظیم‬ ‫را‬ ‫ارزیابی‬ ‫مورد‬
‫امنیتی‬ ‫مشی‬ ‫خط‬
‫ارزیابی‬ ‫مورد‬ ‫هدف‬
TOE Security
Policy (TSP)
‫یک‬ ‫و‬ ‫کاربر‬ ‫یک‬ ‫آن‬ ‫با‬ ‫که‬ ‫ای‬ ‫وسیله‬
TSF
‫مطابق‬
TSP
‫برقرار‬ ‫ارتباط‬ ‫یکدیگر‬ ‫با‬
‫کنند‬ ‫می‬
.
‫مطمئن‬ ‫کانال‬ Trusted
Channel
‫کند‬ ‫می‬ ‫مشخص‬ ‫را‬ ‫محصول‬ ‫در‬ ‫ارائه‬ ‫قابل‬ ‫امنیتی‬ ‫کارکردی‬ ‫الزامات‬
. ‫امنیت‬ ‫کارکردی‬ ‫الزامات‬ Security Functional
Requirements(SFRs)
‫کن‬ ‫می‬ ‫مشخص‬ ‫را‬ ‫محصول‬ ‫در‬ ‫کارگیری‬ ‫به‬ ‫قابل‬ ‫امنیتی‬ ‫تضمین‬ ‫الزامات‬
‫د‬
. ‫امنیت‬ ‫تضمین‬ ‫الزامات‬ Security Assurance
Requirements(SARs)
26

27. ‫شناسی‬ ‫اصطالح‬
2
‫معنی‬ ‫ترجمه‬ ‫اصطالح‬
‫مجموعه‬
‫الزامات‬
‫امنیتی‬
‫مورد‬
‫نیاز‬
‫کاربر‬
‫در‬
‫پیاده‬
‫سازی‬
‫و‬
‫مستقل‬
‫از‬
‫محصول‬
‫و‬
‫ب‬
‫رای‬
‫یک‬
‫فناوری‬
‫است‬
.
‫معموال‬
‫توسط‬
‫کاربر‬
‫یا‬
‫جامعه‬
‫کاربران‬
‫ایجاد‬
‫می‬
‫شود‬
(
‫یا‬
‫هر‬
‫ش‬
‫خص‬
‫دیگر‬
)
.
‫حفاظتی‬ ‫پروفایل‬ Protection Profile
(PP)
‫سندی‬
‫که‬
‫ویژگی‬
‫های‬
‫امنیتی‬
‫هدف‬
‫مورد‬
‫ارزیابی‬
‫را‬
‫مشخص‬
‫می‬
‫کند‬
.
‫در‬
‫واقع‬
‫ای‬
‫ن‬
‫سند‬
‫پیاده‬
‫سازی‬
‫سفارشی‬
‫الزامات‬
‫برای‬
‫یک‬
‫محصول‬
‫خاص‬
‫است‬
(
‫وابسته‬
‫به‬
‫م‬
‫حصول‬
)
.
‫هر‬
‫هدف‬
‫مورد‬
‫ارزیابی‬
‫در‬
‫برابر‬
SFR
‫هایی‬
‫که‬
‫در‬
ST
‫مشخص‬
‫شده‬
‫ارزیابی‬
‫می‬
‫شود‬
.
‫نه‬
‫کمتر‬
‫و‬
‫نه‬
‫بیشتر‬
(
‫مگر‬
‫در‬
‫موارد‬
‫خاص‬
)
.
‫امنیتی‬ ‫هدف‬ SecurityTarget
(ST)
‫مجموعه‬
‫ای‬
‫متشکل‬
‫از‬
‫مولفه‬
‫های‬
‫تضمین‬
‫که‬
‫در‬
‫طول‬
‫ارزیابی‬
‫مورد‬
‫بررسی‬
‫قرار‬
‫می‬
‫گیرند‬
‫و‬
‫سطح‬
‫تضمین‬
‫تعریف‬
‫شده‬
‫در‬
CC
‫را‬
‫به‬
‫خود‬
‫اختصاص‬
‫می‬
‫دهد‬
)
1
‫تا‬
7
.(
‫سطح‬
‫ارزیا‬ ‫تضمین‬
‫بی‬
EvaluationAssurance
Level (EAL)
‫کوچکترین‬
‫دسته‬
‫از‬
‫عناصر‬
‫قابل‬
‫انتخاب‬
‫در‬
CC
. ‫مولفه‬
/
‫جز‬ Component
‫گروهی‬
‫از‬
‫اجزا‬
‫که‬
‫هدف‬
‫مشترکی‬
‫دارند‬
‫اما‬
‫در‬
‫رویکرد‬
‫ممکن‬
‫است‬
‫متفاوت‬
‫باشند‬
. ‫خانواده‬ Family
‫مجموعه‬
‫ای‬
‫از‬
‫خانواده‬
‫ها‬
‫با‬
‫رویکرد‬
‫مشترک‬
. ‫کالس‬ Class
‫مجموعه‬
‫ای‬
‫از‬
‫اجزای‬
‫عملکرد‬
‫یا‬
‫تضمین‬
‫با‬
‫قابلیت‬
‫استفاده‬
‫مجدد‬
‫که‬
‫برای‬
‫پو‬
‫شش‬
‫خط‬
‫مشی‬
‫های‬
‫امنیت‬
‫مورد‬
‫استفاده‬
‫قرار‬
‫میگیرند‬
.
‫پکیج‬
‫فقط‬
‫می‬
‫تواند‬
‫شامل‬
‫زی‬
‫رمجموعه‬
‫ای‬
‫از‬
SFRs
‫یا‬
SARs
‫باشد‬
.
‫ترکیب‬
‫هردو‬
‫فقط‬
‫برای‬
‫بسته‬
EAL
‫مجاز‬
‫است‬
.
‫بسته‬ Package
27

28. ‫مشترک‬ ‫معیار‬ ‫ساختار‬
-
‫اصلی‬ ‫اسناد‬
•
‫مشترک‬ ‫معیار‬
❑
Part1
:
‫تعریف‬ ،‫محصول‬ ‫ارزیابی‬ ‫مبانی‬ ،‫کلی‬ ‫مفاهیم‬
PP
‫و‬
ST
❑
Part2
:
‫استاندارد‬ ‫و‬ ‫مدون‬ ‫شیوه‬ ‫به‬ ،‫امنیت‬ ‫عملکردی‬ ‫الزامات‬ ‫فهرست‬
o
‫اند؟‬ ‫کدام‬ ‫امنیتی‬ ‫عملکردهای‬
❑
Part3
:
‫استاندارد‬ ‫و‬ ‫مدون‬ ‫شیوه‬ ‫به‬ ،‫تضمین‬ ‫الزامات‬ ‫فهرست‬
o
‫شده‬ ‫سازی‬ ‫پیاده‬ ‫و‬ ‫طراحی‬ ‫امنیتی‬ ‫عملکردهای‬ ‫دقتی‬ ‫و‬ ‫عمق‬ ‫چه‬ ‫با‬
‫اند‬
‫؟‬
❑
CEM
:
‫کند‬ ‫می‬ ‫مشخص‬ ‫را‬ ‫گیرند‬ ‫می‬ ‫قرار‬ ‫ارزیابی‬ ‫مورد‬ ‫معیارها‬ ‫آن‬ ‫در‬ ‫که‬ ‫روشی‬
.
o
‫است‬ ‫ارزیابی‬ ‫کنندگان‬ ‫بازبینی‬ ‫و‬ ‫ارزیابان‬ ‫برای‬ ‫راهنمایی‬
.
o
‫دهنده‬ ‫اعتبار‬ ‫بدنه‬ ‫به‬ ‫ارزیابی‬ ‫گزارشات‬
(
AB/CB
)
‫شود‬ ‫می‬ ‫ارسال‬
o
‫قرا‬ ‫محرمانه‬ ‫دسته‬ ‫در‬ ‫باید‬ ‫اند‬ ‫حساس‬ ‫اطالعات‬ ‫حاوی‬ ‫ارزیابی‬ ‫گزارشات‬ ‫که‬ ‫آنجا‬ ‫از‬
‫ر‬
‫گیرند‬
.
❑
‫تواند‬ ‫می‬ ‫کشور‬ ‫هر‬
‫مخصوص‬ ‫ارزیابی‬ ‫الگوی‬
‫نماید‬ ‫ایجاد‬ ‫و‬ ‫توسعه‬ ‫خود‬ ‫به‬
.
28

29. ‫از‬ ‫چگونگه‬ ‫و‬ ‫کسانی‬ ‫چه‬
CC
‫کنند؟‬ ‫می‬ ‫استفاده‬
‫ارزیابان‬
/
‫ناظران‬ ‫دهنده‬ ‫توسعه‬
/
‫سازنده‬ ‫کننده‬ ‫مصرف‬
/
‫مشتری‬ ‫عنوان‬
‫سند‬
‫دهی‬ ‫مرجع‬ ‫اهداف‬ ‫و‬ ‫پایه‬ ‫اطالعات‬ ‫برای‬
‫راهنمای‬ ‫گیرد‬ ‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬
‫ساختار‬
ST
‫و‬
PP
‫برای‬ ‫مرجعی‬ ‫و‬ ‫پایه‬ ‫اطالعات‬ ‫برای‬
‫مشخصه‬ ‫تدوین‬ ‫و‬ ‫الزامات‬ ‫توسعه‬
‫امنیتی‬ ‫های‬
TOE
‫استفاده‬ ‫مورد‬
‫قرار‬
‫گیرد‬ ‫می‬
‫و‬ ‫پایه‬ ‫اطالعات‬ ‫برای‬
‫و‬ ‫تعاریف‬
‫استفاد‬ ‫مورد‬ ‫کاری‬ ‫چارچوب‬ ‫بیان‬
‫ه‬
‫گیرد‬ ‫قرارمی‬
.
‫راهنمای‬
‫ساختار‬
PP
.
Part 1: Introduction
and
General Model
‫در‬ ‫الزامی‬ ‫بیانیه‬ ‫صورت‬ ‫به‬ ‫استفاده‬
‫ارزیابی‬
‫عملکردهای‬ ‫تشخیص‬ ‫منظور‬ ‫به‬ ‫معیار‬
‫در‬ ‫ادعا‬ ‫مورد‬ ‫امنیتی‬
TOE
‫های‬ ‫بیانیه‬ ‫تفسیر‬ ‫برای‬ ‫مرجع‬
‫توس‬ ‫و‬ ‫امنیتی‬ ‫عملکردهای‬ ‫الزامات‬
‫عه‬
‫امنیت‬ ‫کارکردی‬ ‫های‬ ‫مشخصه‬
TOE
‫تدوین‬ ‫و‬ ‫بیان‬ ‫برای‬ ‫مرجع‬ ‫و‬ ‫راهنما‬
‫امنیتی‬ ‫کارکردی‬ ‫الزامات‬
.
Part 2: Security
Functional
Requirements
‫در‬ ‫الزامی‬ ‫بیانیه‬ ‫صورت‬ ‫به‬ ‫استفاده‬
‫ارزیابی‬
‫تضمین‬ ‫سطح‬ ‫منظورتعیین‬ ‫به‬ ‫معیار‬
TOE
‫و‬
‫ارزیابی‬ ‫در‬ ‫همچنین‬
PP
‫و‬
ST
‫برای‬ ‫مرجعی‬ ‫عنوان‬ ‫به‬ ‫استفاده‬
‫تض‬ ‫الزامات‬ ‫های‬ ‫بیانیه‬ ‫تفسیر‬
‫و‬ ‫مین‬
‫تضمین‬ ‫رویکردهای‬ ‫تعیین‬
TOE
‫تعی‬ ‫در‬ ‫راهنما‬ ‫عنوان‬ ‫به‬ ‫استفاده‬
‫ین‬
‫تضمین‬ ‫نیاز‬ ‫مورد‬ ‫سطوح‬
Part 3: Security
Assurance
Requirements
29

30. ‫سازنده‬ ‫های‬ ‫بلوک‬
:
SFRS
•
‫امنیت‬ ‫عملکردی‬ ‫الزامات‬
-
Security Functional Requirements
❑
‫شوند‬ ‫می‬ ‫بندی‬ ‫دسته‬ ‫ها‬ ‫کالس‬ ‫قالب‬ ‫در‬
.
‫بندی‬ ‫دسته‬ ‫ترین‬ ‫عمومی‬ ‫کالس‬
❑
‫است‬ ‫امنیت‬ ‫الزامات‬
.
‫دارند‬ ‫تمرکز‬ ‫حوزه‬ ‫یک‬ ‫بر‬ ‫کالس‬ ‫اعضای‬ ‫تمامی‬
.
❑
11
‫عملکردی‬ ‫کالس‬
❑
‫است‬ ‫خانواده‬ ‫تعدادی‬ ‫شامل‬ ‫کالس‬ ‫هر‬
.
30
Security Audit Communication
Cryptographic
Support
Identification and
Authentication
Trusted Path/Channels
User Data
Protection
Security
Management
Resource
Utilization
TOE Access
Privacy
Protection of the
TSF
11 Class - SFRs

31. ‫سازنده‬ ‫های‬ ‫بلوک‬
:
SARS
•
‫امنیت‬ ‫تضمین‬ ‫الزامات‬
-
Security Assurance Requirements
❑
‫شوند‬ ‫می‬ ‫بندی‬ ‫دسته‬ ‫ها‬ ‫کالس‬ ‫قالب‬ ‫در‬
.
‫ال‬ ‫بندی‬ ‫دسته‬ ‫ترین‬ ‫عمومی‬ ‫کالس‬
‫زامات‬
‫است‬ ‫امنیت‬
.
‫دارند‬ ‫تمرکز‬ ‫حوزه‬ ‫یک‬ ‫بر‬ ‫کالس‬ ‫اعضای‬ ‫تمامی‬
.
❑
8
‫عملکردی‬ ‫کالس‬
❑
‫است‬ ‫خانواده‬ ‫تعدادی‬ ‫شامل‬ ‫کالس‬ ‫هر‬
.
❑
‫مشترک‬ ‫معیار‬
7
‫از‬ ‫تضمین‬ ‫بسته‬
1
‫تا‬
7
‫کند‬ ‫می‬ ‫ارائه‬
.
o
EAL1
:
‫است‬ ‫شده‬ ‫آزموده‬ ‫عملکردی‬
.
o
EAL2
:
‫است‬ ‫شده‬ ‫آزموده‬ ‫ساختاری‬
.
o
EAL3
:
‫است‬ ‫شده‬ ‫بررسی‬ ‫و‬ ‫آزمون‬ ‫اصولی‬
.
o
EAL4
:
‫است‬ ‫شده‬ ‫بازبینی‬ ‫و‬ ‫آزمون‬ ،‫طراحی‬ ‫اصولی‬
.
o
EAL5
:
‫است‬ ‫شده‬ ‫آزموده‬ ‫و‬ ‫طراحی‬ ‫رسمی‬ ‫نیمه‬ ‫طور‬ ‫به‬
.
o
EAL6
:
‫است‬ ‫شده‬ ‫آزموده‬ ‫و‬ ‫شده‬ ‫تایید‬ ‫طراحی‬ ‫رسمی‬ ‫نیمه‬ ‫طور‬ ‫به‬
.
o
EAL7
:
‫است‬ ‫شده‬ ‫تایید‬ ‫آزمون‬ ‫و‬ ‫طراحی‬ ‫رسما‬
.
31
Configuration
Management
Guidance
Documents
Delivery and
Operation
Life Cycle Support
Development
Assurance
Maintenance
Tests
Vulnerability
Assessment
PP Evaluation ST Evaluation
10 Class - SARs

32. ‫در‬ ‫گذاری‬ ‫نشان‬ ‫و‬ ‫کالس‬ ‫ساختار‬
CC
•
‫مشترک‬ ‫معیار‬ ‫های‬ ‫کالس‬
❑
‫درختی‬ ‫ساختار‬ ‫با‬ ‫فهرست‬
❑
‫رسمی‬ ‫گذاری‬ ‫نشان‬ ‫الگوی‬
(
‫توافق‬ ‫مورد‬
)
32
‫ش‬ ‫نمی‬ ‫انتخاب‬ ‫مستقل‬
‫ود‬
‫روشن‬ ‫و‬ ‫صریح‬ ‫بیان‬
‫الزام‬ ‫واقعی‬ ‫دسته‬
،‫مشترک‬ ‫هدف‬
‫متفاوت‬ ‫رویکرد‬
‫رویکرد‬ ‫و‬ ‫هدف‬
‫مشترک‬
‫کالس‬
‫خانواده‬
‫مؤلفه‬ ‫مؤلفه‬
‫عنصر‬ ‫عنصر‬
‫خانواده‬
‫مؤلفه‬
FIA_UID_1.1
Functional Class:
Identification and
Authentication
Family: User
Identification
Component/Elem
ent:Timing of
identification

33. ‫کارکردی‬ ‫های‬ ‫کالس‬
(
SFRS
)
‫هدف‬ ‫کامل‬ ‫نام‬ ‫نام‬
‫شده‬ ‫کوتاه‬
‫گزارش‬ ‫و‬ ‫تحلیل‬ ،‫ذخیره‬ ،‫دریافت‬ ،‫نظارت‬
‫امنیتی‬ ‫رویدادهای‬ ‫با‬ ‫مرتبط‬ ‫اطالعات‬ Security Audit FUA
‫انکار‬ ‫غیرقابل‬ ‫از‬ ‫اطمینان‬
(
non-repudiation
)
‫انتقال‬ ‫حال‬ ‫در‬ ‫اطالعات‬ ‫مقصد‬ ‫و‬ ‫مبدا‬ ‫هویت‬ ‫بودن‬
. Communication FCO
‫مدیریت‬
‫رمزنگاری‬ ‫کلیدهای‬ ‫از‬ ‫استفاده‬ ‫عملیات‬ ‫کنترل‬ ‫و‬ Cryptographic Support FCS
‫حفاظت‬
1
)
‫درون‬ ‫آن‬ ‫به‬ ‫وابسته‬ ‫امنیتی‬ ‫های‬ ‫ویژگی‬ ‫و‬ ‫کاربر‬ ‫داده‬
TOE
2
)
‫و‬ ‫شده‬ ‫خارج‬ ،‫شده‬ ‫وارد‬ ‫داده‬
‫شده‬ ‫ذخیره‬ Data Protection FDP
‫و‬ ‫کاربران‬ ‫به‬ ‫امنیتی‬ ‫های‬ ‫ویژگی‬ ‫صحیح‬ ‫تخصیص‬ ‫و‬ ‫مجاز‬ ‫کاربران‬ ‫ابهام‬ ‫بدون‬ ‫شناسایی‬ ‫از‬ ‫اطمینان‬
‫اشیا‬
Identification and
Authentication
FIA
‫داده‬ ،‫امنیتی‬ ‫های‬ ‫ویژگی‬ ‫مدیریت‬
TSF
،
‫امنیتی‬ ‫نقشهای‬ ‫تعریف‬ ‫و‬ ‫امنیتی‬ ‫عملکردهای‬ Security Management FMT
‫کاربران‬ ‫هویت‬ ‫از‬ ‫استفاده‬ ‫سوء‬ ‫و‬ ‫شناسایی‬ ‫برابر‬ ‫در‬ ‫محافظت‬ Privacy FPR
‫توابع‬ ‫و‬ ‫داده‬ ‫صحت‬ ‫و‬ ‫یکپارچگی‬ ‫نگهداری‬ ‫و‬ ‫حفظ‬
TSF Protection ofTSF FPT
‫ها‬ ‫سرویس‬ ‫به‬ ‫دهی‬ ‫اولویت‬ ‫تخصیص‬ ‫و‬ ‫خطا‬ ‫تحمل‬ ‫طریق‬ ‫از‬ ‫سامانه‬ ‫منابع‬ ‫بودن‬ ‫دسترس‬ ‫در‬ ‫از‬ ‫اطمینان‬ Resource Utilization FRU
‫کاربر‬ ‫نشست‬ ‫برقراری‬ ‫کنترل‬ TOE Access FTA
‫و‬ ‫کاربران‬ ‫بین‬ ‫مطمئن‬ ‫ارتباطی‬ ‫مسیر‬ ‫برقراری‬
TFS
،
‫بین‬ ‫همچنین‬ ‫و‬
TFS
‫محصوالت‬ ‫دیگر‬ ‫و‬
(
‫تایید‬ ‫مورد‬
)
IT
Trusted Path/Channel FTP
33

34. ‫امنیت‬ ‫کارکردی‬ ‫کالس‬ ‫با‬ ‫محصول‬ ‫توسعه‬
(
SFRS
)
•
SFR
‫شوند‬ ‫دیده‬ ‫محصول‬ ‫در‬ ‫باید‬ ‫که‬ ‫هستند‬ ‫مشترکی‬ ‫امنیتی‬ ‫کارکردی‬ ‫الزامات‬ ‫مجموعه‬ ‫ها‬
.
•
‫از‬ ‫محصوالت‬ ‫کننده‬ ‫تولید‬
SFR
‫محصول‬ ‫در‬ ‫امنیت‬ ‫کارکردهای‬ ‫توسعه‬ ‫برای‬ ‫راهنما‬ ‫عنوان‬ ‫به‬ ‫ها‬
‫کند‬ ‫می‬ ‫استفاده‬
•
‫مثال‬
:
‫شود‬ ‫می‬ ‫هویت‬ ‫احراز‬ ،‫مشخص‬ ‫نقش‬ ‫با‬ ‫کاربر‬ ‫یک‬ ‫چگونگی‬
.
•
‫سازی‬ ‫پیاده‬ ‫چگونگی‬ ‫مشترک‬ ‫معیار‬
SFR
‫تشریح‬ ‫را‬ ‫ها‬
‫نمی‬
‫کند‬
‫بی‬ ‫را‬ ‫ها‬ ‫آن‬ ‫وابستگی‬ ‫و‬ ‫رابطه‬ ‫بلکه‬
‫ان‬
‫کند‬ ‫می‬
•
‫مثال‬
:
‫موفق‬ ‫نا‬ ‫تالش‬ ‫چند‬ ‫از‬ ‫بعد‬ ‫سامانه‬ ‫به‬ ‫دسترسی‬ ‫شدن‬ ‫محدود‬
‫وابسته‬
‫مبتنی‬ ‫هویت‬ ‫احراز‬ ‫قابلیت‬ ‫به‬
‫نقش‬ ‫بر‬
‫است‬ ‫کاربر‬
.
•
‫مح‬ ‫در‬ ‫استفاده‬ ‫مورد‬ ‫های‬ ‫فناوری‬ ‫با‬ ‫مرتبط‬ ‫حفاظتی‬ ‫های‬ ‫پروفایل‬ ‫از‬ ‫توان‬ ‫می‬ ‫دهنده‬ ‫توسعه‬
‫صول‬
‫بگیرد‬ ‫کمک‬ ‫خود‬
.
34

35. ‫تضمین‬ ‫های‬ ‫کالس‬
(
SARS
)
‫هدف‬ ‫کامل‬ ‫نام‬ ‫نام‬
‫شده‬ ‫کوتاه‬
‫یک‬ ‫اصالح‬ ‫و‬ ‫پاالیش‬ ،‫توسعه‬ ‫فرآیند‬ ‫کنترل‬
TOE
‫آن‬ ‫مرتبط‬ ‫اسناد‬ ‫و‬
. Configuration Management ACM
‫اندازی‬ ‫راه‬ ‫و‬ ‫تولید‬ ،‫نصب‬ ،‫تحویل‬ ‫از‬ ‫اطمینان‬
TOE Delivery and Operation ADO
‫روشمند‬ ‫توسعه‬ ‫فرآیند‬ ‫از‬ ‫اطمینان‬
(
‫مدون‬
)
‫و‬ ‫مشخصات‬ ‫تعیین‬ ‫مختلف‬ ‫سطوح‬ ‫اعمال‬ ‫طریق‬ ‫از‬
‫ها‬ ‫آن‬ ‫بین‬ ‫سازگاری‬ ‫ارزیابی‬ ‫و‬ ‫طراحی‬
. Development ADV
‫امن‬ ‫عملکرد‬ ‫و‬ ‫استفاده‬ ‫های‬ ‫جنبه‬ ‫همه‬ ‫اینکه‬ ‫از‬ ‫اطمینان‬
TOE
‫کاربری‬ ‫و‬ ‫مدیریتی‬ ‫راهنمای‬ ‫در‬
‫است‬ ‫شده‬ ‫مستند‬
. Guidance Documents AGD
‫طوریکه‬ ‫به‬ ‫نگهداری‬ ‫و‬ ‫تعمیر‬ ،‫عملیات‬ ‫فاز‬ ‫جریان‬ ‫در‬ ‫روشمند‬ ‫فرآیندهای‬ ‫از‬ ‫پیروی‬ ‫از‬ ‫اطمینان‬
‫رود‬ ‫نمی‬ ‫بین‬ ‫از‬ ‫امنیتی‬ ‫یکپارچگی‬
. Life Cycle Support ALC
‫مستقل‬ ‫وآزمون‬ ‫عملکردی‬ ‫آزمون‬ ،‫آزمون‬ ‫عمق‬ ،‫آزمون‬ ‫مناسب‬ ‫پوشش‬ ‫از‬ ‫اطمینان‬ Tests ATE
‫استفا‬ ‫سو‬ ،‫برداری‬ ‫بهره‬ ‫قابل‬ ‫پنهان‬ ‫مسیرهای‬ ‫نظیر‬ ‫پنهان‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ‫وجود‬ ‫تحلیل‬
‫یا‬ ‫ده‬
‫نادرست‬ ‫پیکربندی‬
TOE
،
‫های‬ ‫نامه‬ ‫گواهی‬ ‫نفوذ‬ ‫و‬ ‫زدن‬ ‫دور‬ ،‫ازکارانداختن‬ ‫امکان‬
(
‫مجوزهای‬
)
‫امنیتی‬
Vulnerability Analysis AVA
‫دهد‬ ‫می‬ ‫نشان‬
ST
‫است‬ ‫مناسب‬ ‫فنی‬ ‫لحاظ‬ ‫از‬ ‫و‬ ‫سازگار‬ ‫کامل‬
.
‫عنوان‬ ‫به‬ ‫استفاده‬ ‫برای‬ ‫همچنین‬
‫ارزیابی‬ ‫اساس‬
TOE
‫است‬ ‫سودمند‬
. ST Evaluation AST
‫دهد‬ ‫می‬ ‫نشان‬
PP
‫است‬ ‫مناسب‬ ‫فنی‬ ‫لحاظ‬ ‫از‬ ‫و‬ ‫سازگار‬ ،‫کامل‬
. PP Evaluation APE
35

36. ‫تضمین‬ ‫های‬ ‫کالس‬ ‫با‬ ‫محصول‬ ‫ارزیابی‬
36
‫امنیتی‬ ‫هدف‬
Security
Target
‫توسعه‬ ‫فرآیندهای‬ ‫مناسب‬ ‫دهی‬ ‫سازمان‬ ‫از‬ ‫اطمینان‬
Life Cycle Support(ALC)
‫اینکه‬ ‫از‬ ‫اطمینان‬
TOE
‫نه‬ ،‫دهد‬ ‫می‬ ‫انجام‬ ‫است‬ ‫مدعی‬ ‫که‬ ‫آنچه‬ ‫دقیقا‬
‫کمتر‬ ‫نه‬ ‫و‬ ‫بیشتر‬
Test(ATE)
Vulnerability Assessment(AVA)
‫اینکه‬ ‫از‬ ‫اطمینان‬
ST
‫و‬ ‫دقت‬ ‫با‬
‫است‬ ‫شده‬ ‫سازی‬ ‫پیاده‬ ‫کامل‬
Development(ADV)
Security target
Evaluation(ASE)
‫درست‬ ‫استقرار‬ ‫از‬ ‫اطمینان‬
TOE
‫کاربر‬ ‫بوسیله‬
Guidance
Documents(AGD)

37. ‫ها‬ ‫بخش‬ ‫سازماندهی‬ ‫و‬ ‫ارتباط‬
•
‫حفاظتی‬ ‫پروفایل‬
(
PP
:)
❑
‫ورودی‬
:
‫بسته‬
،‫ها‬
‫مولفه‬
،‫ها‬
‫الزامات‬
‫الحاقی‬
❑
‫الزامات‬
‫مستقل‬
‫از‬
‫پیاده‬
‫سازی‬
(
‫وابسته‬
‫به‬
‫فنا‬
‫وری‬
)
•
‫امنیتی‬ ‫هدف‬
(
ST
:)
❑
‫ورودی‬
:
‫بسته‬
،‫ها‬
‫مولفه‬
،‫ها‬
‫الزامات‬
‫الحاقی‬
❑
‫الزامات‬
‫برای‬
‫یک‬
‫پیاده‬
‫سازی‬
‫خاص‬
(
‫وابسته‬
‫پیا‬
‫ده‬
‫سازی‬
)
•
‫ها‬ ‫بسته‬
(
Package
)
❑
‫ورودی‬
:
‫ترکیبی‬
‫از‬
‫الزامات‬
‫عملکرد‬
‫یا‬
‫تضمین‬
(
‫ن‬
‫می‬
‫توانند‬
‫شامل‬
‫هر‬
‫دو‬
‫باشند‬
)
•
‫الزامات‬ ‫مستقل‬ ‫توسعه‬ ‫قابلیت‬
❑
‫معیار‬ ‫از‬ ‫غیر‬ ‫الزامات‬ ‫و‬ ‫معیارها‬ ‫تعریف‬
‫مشترک‬
37

38. ‫ارزیابی‬ ‫تضمین‬ ‫سطوح‬ ‫بررسی‬
‫توضیحات‬ ‫عنوان‬ ‫سطح‬
‫تضمی‬
‫ن‬
‫پایین‬
‫ترین‬
‫سطح‬
‫ارزیابی‬
‫برای‬
‫محصول‬
.
‫در‬
‫زمانی‬
‫که‬
‫میزان‬
‫اندکی‬
‫اطمینان‬
‫در‬
‫عملکرد‬
‫درست‬
‫سامانه‬
‫مورد‬
‫نیا‬
‫ز‬
‫است‬
.
‫اما‬
‫تهدیدات‬
‫امنیت‬
‫به‬
‫طور‬
‫جدی‬
‫مورد‬
‫توجه‬
‫نیست‬
.
‫مورد‬
‫استفاده‬
‫در‬
‫زمانی‬
‫که‬
‫تضمین‬
‫مستقل‬
‫یک‬
/
‫چند‬
‫عملکرد‬
‫مد‬
‫نظر‬
‫است‬
.
‫آزمون‬
‫مستقل‬
‫برای‬
‫برخی‬
‫ویژگی‬
‫ها‬
‫و‬
‫بررسی‬
‫اسناد‬
‫راهنما‬
‫در‬
‫این‬
‫سطح‬
‫انجام‬
‫می‬
‫شود‬
.
/
‫در‬
‫بسیاری‬
‫موارد‬
‫در‬
‫عمل‬
‫ک‬
‫اربرد‬
‫ندارد‬
.
Functionally tested EAL1
‫بهترین‬
‫سطح‬
‫برای‬
‫دستیابی‬
‫به‬
‫سطح‬
‫تضمین‬
‫بدون‬
‫تحمیل‬
‫کارهای‬
‫اضافی‬
‫به‬
‫سمت‬
‫توسعه‬
‫دهنده‬
.
‫نیازمن‬
‫د‬
‫همکاری‬
‫توسعه‬
‫دهنده‬
‫در‬
‫تحویل‬
‫اطالعات‬
‫طراحی‬
‫و‬
‫نتایج‬
‫آزمون‬
(
‫بدون‬
‫تحمیل‬
‫زمان‬
‫و‬
‫هزینه‬
‫اضافی‬
)
.
‫مناسب‬
‫برای‬
‫توسعه‬
‫دهندگان‬
‫ی‬
‫با‬
‫مستندات‬
‫کم‬
‫و‬
‫عدم‬
‫به‬
‫کارگیری‬
‫کامل‬
‫معیارهای‬
‫مهندسی‬
‫امنیت‬
.
‫وقتی‬
‫که‬
‫اسناد‬
‫کامل‬
‫توسعه‬
‫محصول‬
‫در‬
‫دست‬
‫رس‬
‫نیست‬
‫یا‬
‫دسترسی‬
‫به‬
‫توسعه‬
‫دهنده‬
‫با‬
‫محدودیت‬
‫مواجه‬
‫است‬
.
‫وقتی‬
‫که‬
‫توسعه‬
‫دهنده‬
‫نیازمند‬
‫سطح‬
‫کم‬
‫تا‬
‫متوسط‬
‫ضمی‬
‫ن‬
‫است‬
.
Structurally tested
EAL2
‫امکان‬
‫دستیابی‬
‫توسعه‬
‫دهنده‬
‫به‬
‫حداکثر‬
‫سطح‬
‫تضمین‬
‫در‬
‫مهندسی‬
‫امنیت‬
‫بدون‬
‫تکرار‬
‫یا‬
‫ایجاد‬
‫تغییرات‬
‫اس‬
‫اسی‬
‫در‬
‫طراحی‬
‫را‬
‫می‬
‫دهد‬
.
‫قابل‬
‫استفاده‬
‫در‬
‫شرایطی‬
‫که‬
‫توسعه‬
‫دهنده‬
‫یا‬
‫کاربران‬
‫نیازمند‬
‫سطح‬
‫متوسطی‬
‫از‬
‫تضمین‬
‫امنیت‬
‫به‬
‫ط‬
‫ور‬
‫مستقل‬
‫هستند‬
.
‫بررسی‬
‫محصول‬
‫و‬
‫طراحی‬
‫بدون‬
‫نیاز‬
‫به‬
‫مهندسی‬
‫مجدد‬
.
‫در‬
‫این‬
‫سطح‬
‫از‬
‫آزمون‬
‫جعبه‬
،‫خاکستری‬
‫نتایج‬
‫ان‬
‫تخابی‬
‫آزمون‬
‫توسعه‬
‫دهنده‬
‫و‬
‫شواهد‬
‫بررسی‬
‫توسعه‬
‫دهنده‬
‫برای‬
‫یافتن‬
‫آسیب‬
‫پذیری‬
‫های‬
،‫آشکار‬
‫استفاده‬
‫می‬
‫شود‬
.
‫ک‬
‫نترل‬
‫های‬
‫محیط‬
‫توسعه‬
‫و‬
‫مدیریتپیکربندی‬
TOE
‫مورد‬
‫نیاز‬
‫است‬
.
Methodically tested
and checked
EAL3
‫اجازه‬
‫دستیابی‬
‫به‬
‫باالترین‬
‫سطح‬
‫تضمین‬
‫امنیت‬
‫در‬
‫مقایسه‬
‫با‬
‫تجارب‬
‫توسعه‬
‫تجاری‬
‫خوب‬
‫را‬
‫می‬
‫دهد‬
.
‫بیانگ‬
‫ر‬
‫توسعه‬
‫خوب‬
‫محصول‬
‫است‬
.
‫باالترین‬
‫سطحی‬
‫است‬
‫که‬
(
‫به‬
‫احتمال‬
‫زیاد‬
‫به‬
‫لحاظ‬
‫اقتصادی‬
)
‫برای‬
‫مقاوم‬
‫سازی‬
‫یک‬
‫محصول‬
‫امکان‬
‫پذیراست‬
.
‫قابل‬
‫اجرا‬
‫در‬
‫زمانی‬
‫که‬
‫سطح‬
‫متوسط‬
‫تا‬
‫زیاد‬
‫تضمین‬
‫امنیت‬
‫به‬
‫طور‬
‫مستقل‬
‫مورد‬
‫نیاز‬
‫است‬
.
‫در‬
‫این‬
‫سطح‬
‫تحلی‬
‫ل‬
‫سطح‬
‫پایین‬
‫از‬
‫ماژول‬
‫های‬
TOE
‫و‬
‫زیر‬
‫مجموعه‬
‫ای‬
‫از‬
‫پیاده‬
‫سازی‬
‫اجرا‬
‫می‬
‫شود‬
.
‫آزمون‬
‫توسط‬
‫جستجوی‬
‫مستقل‬
‫آسیب‬
‫پذیری‬
،‫ها‬
‫کن‬
‫ترل‬
‫های‬
‫توسعه‬
‫از‬
‫طریق‬
‫مدل‬
‫چرخه‬
،‫حیات‬
‫شناسایی‬
‫ابزارها‬
‫و‬
‫مدیریت‬
‫پیکربندی‬
‫خودکار‬
‫صورت‬
‫می‬
‫پذیرد‬
.
Methodically
Designed, tested and
reviewed
EAL4
38

39. ‫ارزیابی‬ ‫تضمین‬ ‫سطوح‬ ‫بررسی‬
2
‫توضیحات‬ ‫عنوان‬ ‫سطح‬
‫تضمی‬
‫ن‬
‫امکان‬
‫دستیابی‬
‫به‬
‫باالترین‬
‫سطح‬
‫تضمین‬
‫امنیت‬
‫در‬
‫مقایسه‬
‫با‬
‫تجارب‬
‫توسعه‬
‫تجاری‬
‫خیلی‬
‫دقیق‬
‫ر‬
‫ا‬
‫می‬
‫دهد‬
.
‫برای‬
‫محصوالتی‬
‫که‬
‫سطح‬
‫متوسطی‬
‫از‬
‫تکنیک‬
‫های‬
‫ویژه‬
‫مهندسی‬
‫امنیت‬
‫را‬
‫پشتیبانی‬
‫می‬
‫کنند‬
.
‫چنین‬
‫محص‬
‫والتی‬
‫اساسا‬
‫با‬
‫هدف‬
‫دستیابی‬
‫به‬
EAL5
‫طراحی‬
‫می‬
‫شوند‬
.
‫احتماال‬
‫هزینه‬
‫های‬
‫اضافی‬
‫در‬
‫طراحی‬
‫برای‬
‫پوشش‬
‫الزامات‬
EAL5
‫نیاز‬
‫دارند‬
.
‫در‬
‫شرایطی‬
‫که‬
‫توسعه‬
‫دهندگان‬
‫یا‬
‫کاربران‬
‫نیازمند‬
‫سطح‬
‫باالی‬
‫تضمین‬
،‫امنیت‬
‫بدون‬
‫تحمیل‬
‫هزی‬
‫نه‬
‫های‬
‫غیرمنطقی‬
‫برای‬
‫پیاده‬
‫سازی‬
‫تکنیک‬
‫های‬
‫ویژه‬
‫مهندسی‬
‫امنیت‬
‫هستند‬
.
‫ارائه‬
‫تحلیل‬
‫از‬
‫تمامی‬
‫موارد‬
‫پیا‬
‫ده‬
‫سازی‬
.
‫جستجو‬
‫مستقل‬
‫برای‬
‫یافتن‬
‫آسیب‬
‫پذیری‬
‫ها‬
‫در‬
‫این‬
،‫سطح‬
‫باید‬
‫مقاومت‬
‫محصول‬
‫در‬
‫برابر‬
‫حمالت‬
‫مهاجمی‬
‫ن‬
‫با‬
‫پتانسیل‬
‫حمله‬
‫متوسط‬
‫را‬
‫اطمینان‬
‫دهد‬
.
‫تحلیل‬
‫کانال‬
‫مخفی‬
‫و‬
‫طراحی‬
‫ماژوالر‬
‫نیز‬
‫الزم‬
‫است‬
.
Semi-formally
Designed and tested
EAL5
‫به‬
‫توسعه‬
‫دهنده‬
‫امکان‬
‫دستیابی‬
‫به‬
‫سطح‬
‫تضمین‬
‫امنیت‬
‫باال‬
‫از‬
‫طریق‬
‫بکارگیری‬
‫تکنیک‬
‫های‬
‫مهند‬
‫سی‬
‫امنیت‬
‫برای‬
‫محیط‬
‫های‬
‫توسعه‬
‫خیلی‬
‫دقیق‬
‫را‬
‫می‬
‫دهد‬
.
‫به‬
‫منظور‬
‫تولید‬
‫محصول‬
‫برای‬
‫حفاظت‬
‫دارای‬
‫های‬
‫با‬
‫ارزش‬
‫باال‬
‫در‬
‫مق‬
‫ابل‬
‫مخاطرات‬
‫مهم‬
(
‫موارد‬
‫نظامی‬
)
.
‫ارزیابی‬
‫در‬
‫این‬
‫سطح‬
‫نیازمند‬
‫تحلیل‬
‫با‬
‫استفاده‬
‫از‬
‫رویکرد‬
‫ماژوالر‬
‫و‬
‫الیه‬
‫به‬
‫ال‬
‫یه‬
‫در‬
‫طراحی‬
‫و‬
‫نمایش‬
‫ساخت‬
‫یافته‬
‫پیاده‬
‫سازی‬
‫است‬
.
‫جستجو‬
‫مستقل‬
‫برای‬
‫یافتن‬
‫آسیب‬
‫پذیری‬
،‫ها‬
‫باید‬
‫م‬
‫قاومت‬
‫محصول‬
‫در‬
‫برابر‬
‫حمالت‬
‫مهاجمین‬
‫با‬
‫پتانسیل‬
‫حمله‬
‫باال‬
‫را‬
‫اطمینان‬
‫دهد‬
.
‫جستجو‬
‫برای‬
‫کانال‬
‫های‬
‫پنهان‬
‫باید‬
‫سی‬
‫ستماتیک‬
‫باشد‬
.
‫محیط‬
‫توسعه‬
‫و‬
‫کنترل‬
‫های‬
‫مدیریت‬
‫پیکربندی‬
‫بیشتر‬
‫تقویت‬
‫شده‬
‫است‬
.
Semi-formallyVerified
Design and tested
EAL6
‫باالترین‬
‫سطح‬
‫تضمین‬
‫در‬
‫ارزیابی‬
.
‫قابل‬
‫استفاده‬
‫برای‬
‫توسعه‬
‫محصول‬
‫هایی‬
‫که‬
‫در‬
‫شرایط‬
‫مخاطره‬
‫بسیار‬
‫باال‬
‫و‬
‫از‬
‫دارایی‬
‫های‬
‫حیاتی‬
/
‫بحرانی‬
‫محافظت‬
‫می‬
‫کنند‬
.
‫در‬
‫این‬
‫محیط‬
‫ها‬
‫ارزش‬
‫باالی‬
‫دارایی‬
‫مورد‬
‫محافظت‬
‫هزینه‬
‫های‬
‫زیاد‬
‫و‬
‫اضافی‬
‫را‬
‫توج‬
‫یه‬
‫می‬
‫کند‬
.
‫این‬
‫سطح‬
،‫ارزیابی‬
‫شامل‬
‫ارائه‬
‫رسمی‬
‫خصوصیات‬
،‫عملکردی‬
‫طراحی‬
‫سطح‬
‫باال‬
‫و‬
‫تسلیم‬
‫مکاتبات‬
‫خاص‬
‫است‬
.
‫شواهد‬
‫آزمون‬
‫جعبه‬
‫سفید‬
‫توسعه‬
‫دهنده‬
‫و‬
‫تایید‬
‫مستقل‬
‫و‬
‫کامل‬
‫نتایج‬
‫آزمون‬
‫توسعه‬
‫دهنده‬
‫الزامی‬
‫است‬
.
‫پیچیدگی‬
‫طراحی‬
‫باید‬
‫به‬
‫حداقل‬
‫برسد‬
FormallyVerified
Design and tested
EAL7
39

40. ‫ارزیابی‬ ‫تضمین‬ ‫سطوح‬ ‫بررسی‬
3
40

‫ارزیابی‬ ‫درجه‬ ‫افزایش‬
(
7
~
1
)
‫شود‬ ‫می‬ ‫ارزیابی‬ ‫در‬ ‫دقت‬ ‫افزایش‬ ‫باعث‬

‫توانایی‬ ‫برابر‬ ‫در‬ ‫مقاومت‬ ‫افزایش‬ ‫با‬ ‫دقت‬ ‫سطح‬ ‫افزایش‬
(
‫پتانس‬
‫یل‬
)
‫است‬ ‫همراه‬ ‫حمله‬
❑
‫حمله‬ ‫انگیزه‬ ‫و‬ ‫منابع‬ ،‫تخصص‬ ‫اساس‬ ‫بر‬

‫ارزیابی‬ ‫سطوح‬
=
‫بلوغ‬
/
‫تضمین‬ ‫سطح‬ ‫تعالی‬
❑
‫غیررسمی‬
--
<
‫رسمی‬ ‫نیمه‬
--
<
‫رسمی‬

‫قابلیت‬ ‫بلوغ‬ ‫مدل‬ ‫با‬ ‫مقایسه‬ ‫قابل‬
Capability Maturity Model(CMM)-
❑
‫افزار‬ ‫نرم‬ ‫توسعه‬ ‫سطوح‬ ‫سازماندهی‬ ‫و‬ ‫تعیین‬ ‫برای‬ ‫مدل‬ ‫یک‬
❑
‫باالتر‬ ‫سطح‬
=
‫بهتر‬ ‫توسعه‬ ‫فرآیند‬

‫امروز‬ ‫به‬ ‫تا‬ ‫اعضا‬ ‫بین‬ ‫شده‬ ‫شناخته‬ ‫تجاری‬ ‫تضمین‬ ‫سطح‬ ‫حداکثر‬
:
ELA 4
‫ح‬ ‫توانایی‬ ‫برابر‬ ‫در‬ ‫مقاومت‬
‫مله‬
‫مقدماتی‬
‫مقدماتی‬
‫افزایش‬
‫یافته‬
‫متوسط‬
‫زیاد‬

41. ‫ارزیابی‬ ‫تضمین‬ ‫سطوح‬ ‫بررسی‬
4
41
‫ارزیابی‬ ‫تضمین‬ ‫سطح‬
‫کاربرد‬ ‫قابل‬ ‫مؤلفه‬ ‫شماره‬
‫پذیری‬ ‫آسیب‬ ‫ارزیابی‬ ‫کالس‬
AVA_VAN
‫مهاجم‬ ‫حمله‬ ‫پتانسیل‬ ‫برابر‬ ‫در‬ ‫مقاومت‬ ‫میزان‬ ‫بیانگر‬
▪
1
،
2
:
‫مقدماتی‬
(
‫تضمین‬ ‫سطح‬
1
‫تا‬
3
)
▪
3
:
‫یافته‬ ‫افزایش‬ ‫مقدماتی‬
(
‫تضمین‬ ‫سطح‬
4
)
▪
4
:
‫متوسط‬
(
‫تضمین‬ ‫سطح‬
5
)
▪
5
:
‫زیاد‬
(
‫تضمین‬ ‫سطح‬
6
‫و‬
7
)

42. ‫در‬ ‫پیشنهاد‬ ‫و‬ ‫درخواست‬ ‫مدل‬
CC
42
‫محصول‬
•
‫حامی‬
/
‫سازنده‬
‫درخواست‬ ‫ارائه‬
/
‫وجود‬
PP
‫؟‬
•
‫گواهی‬ ‫بدنه‬
‫درخواس‬ ‫برای‬ ‫پیشنهاد‬
‫ت‬
‫قالب‬ ‫در‬
ST
•
‫ارزیاب‬

43. ‫های‬ ‫ویژگی‬ ‫نگاشت‬
CC
‫پروژه‬ ‫دریافت‬ ‫سیستم‬ ‫و‬
‫پارادایم‬
cc
‫پارادایم‬
‫سیستم‬
‫اکتساب‬
‫مالحظات‬
‫پروفایل‬
‫حفاظتی‬
(
pp
)
‫درخواست‬
‫پیشنهاد‬ ‫طرح‬ ‫برای‬
(
RFP
)
‫چه‬
‫چیزی‬
‫خواسته‬
‫شده؟‬
:
،‫نیازها‬
‫الزامات‬
‫و‬
‫خواسته‬
‫های‬
‫مشتری‬
‫را‬
‫ارائه‬
‫می‬
‫دهد‬
.
‫هدف‬
‫امنیتی‬
‫پیشنهاد‬ ‫طرح‬
‫درخواست‬ ‫برای‬
(
Proposal
)
‫چه‬
‫چیزی‬
‫ارائه‬
‫خواهد‬
‫شد؟‬
:
‫موارد‬
‫خواسته‬
‫شده‬
‫چگونه‬
‫توسط‬
‫تامین‬
‫کننده‬
‫برآورده‬
‫می‬
‫شود‬
.
‫هدف‬
‫ارزیابی‬
(
TOE
)
‫تحویل‬ ‫سامانه‬
‫شده‬ ‫داده‬
‫نمود‬
‫قابل‬
‫مشاهده‬
/
‫فیزیکی‬
‫از‬
‫پیاده‬
‫سازی‬
‫موارد‬
‫باال‬
‫توسط‬
‫تامین‬
‫کننده‬
.
‫سامانه‬
‫شده‬ ‫ارزیابی‬
‫قبول‬ ‫مورد‬ ‫سامانه‬
(
‫پذیرفته‬
‫شده‬
)
‫نشان‬
‫دهنده‬
‫آن‬
‫است‬
‫که‬
‫سه‬
‫مورد‬
‫ارائه‬
‫شده‬
‫فوق‬
‫با‬
‫یکدیگر‬
‫به‬
‫خوبی‬
‫سازگار‬
‫و‬
‫قابل‬
‫قبول‬
‫هستند‬
.
43

44. ‫تضمین‬ ‫و‬ ‫ارزیابی‬ ‫قلمرو‬
44
‫دارند‬ ‫وجود‬ ‫نیز‬ ‫دیگر‬ ‫ارزیابی‬ ‫های‬ ‫طرح‬ ‫و‬ ‫ها‬ ‫نظام‬
.
CC
‫نیست‬ ‫تنها‬
!

45. CC
‫نیست‬ ‫تنها‬
!
45

46. ‫مشترک‬ ‫معیار‬ ‫معایب‬ ‫و‬ ‫مزایا‬
46
►
‫دهد‬ ‫می‬ ‫ارائه‬ ‫ارزیابی‬ ‫برای‬ ‫قدرتمند‬ ‫راهنمای‬ ‫و‬ ‫ساختار‬ ‫مشترک‬ ‫معیار‬
►
‫مجدد‬ ‫کاربرد‬ ‫از‬ ‫پشتیبانی‬
❑
‫مشترک‬ ‫معیار‬ ‫فهرست‬
❑
‫حفاظتی‬ ‫پروفایل‬ ‫کتابخانه‬
-
‫خاص‬ ‫های‬ ‫فناوری‬ ‫برای‬
►
‫تهدیدات‬ ‫بهتر‬ ‫سیستماتیک‬ ‫شناسایی‬
►
‫مستندات‬ ‫بهینه‬ ‫مدیریت‬
►
‫کیفیت‬ ‫تضمین‬ ‫بهبود‬
►
‫کند‬ ‫می‬ ‫کمک‬ ‫نگهداری‬ ‫و‬ ‫توسعه‬ ‫فرآیند‬ ‫به‬ ‫مهندسی‬ ‫مدل‬
❑
‫است‬ ‫موجود‬ ‫مدل‬ ‫در‬ ‫اطالعات‬ ‫تمامی‬
o
‫الزامات‬ ،‫اهداف‬ ،‫تهدیدات‬ ،‫ها‬ ‫دارایی‬
❑
‫دارد‬ ‫منطق‬ ‫همچنین‬
o
‫پیوندها‬ ‫گیری‬ ‫ره‬ ‫امکان‬ ‫با‬ ‫کامل‬ ‫جداول‬
o
‫مدل‬ ‫به‬ ‫متصل‬ ‫منطقی‬ ‫توجیه‬
►
‫مدل‬ ‫بر‬ ‫مبتنی‬ ‫رویکرد‬
❑
‫مدل‬
(
‫سند‬ ‫نه‬
)
‫دهد‬ ‫می‬ ‫تکامل‬ ‫و‬ ‫مدیریت‬ ‫را‬
❑
‫کند‬ ‫می‬ ‫تولید‬ ‫سند‬
‫مشترک‬ ‫معیار‬
‫خوبه‬ ‫خیلی‬
...

47. ‫مشترک‬ ‫معیار‬ ‫معایب‬ ‫و‬ ‫مزایا‬
►
‫باال‬ ‫تضمین‬ ‫سطوح‬ ‫به‬ ‫دستیابی‬ ‫منظور‬ ‫به‬ ‫رسمی‬ ‫الزام‬
►
‫پذیر‬ ‫توسعه‬
(
Extended-Component
)
‫زنده‬ ‫همچنان‬ ‫و‬
►
‫فناوری‬ ‫تکامل‬ ‫و‬ ‫نیاز‬ ‫مطابق‬ ‫حفاظتی‬ ‫های‬ ‫پروفایل‬ ‫رسانی‬ ‫روز‬ ‫به‬ ‫امکان‬ ‫و‬ ‫پذیری‬ ‫انعطاف‬
►
‫مشا‬ ‫فناوری‬ ‫دارای‬ ‫محصوالت‬ ‫برای‬ ‫موجود‬ ‫و‬ ‫یافته‬ ‫توسعه‬ ‫حفاظتی‬ ‫پروفایل‬ ‫چند‬ ‫ترکیب‬ ‫از‬ ‫استفاده‬
‫به‬
►
‫رمزنگاری‬ ‫الزامات‬ ‫از‬ ‫استفاده‬ ‫مثال‬ ‫عنوان‬ ‫به‬
FIBS 140-2
‫مانند‬ ‫محصول‬ ‫در‬
‫مسیریاب‬
،
‫دیوارآتش‬
►
‫استانداردها‬ ‫دیگر‬ ‫معیارهای‬ ‫با‬ ‫تطابق‬
❑
ISO/IEC 17799:2005
‫و‬
ISO27002
❑
ISO27001
‫و‬
EBIOS
►
‫ارزیاب‬ ‫برای‬ ‫مزایا‬
:
❑
‫استاندارد‬ ‫چارچوب‬
o
‫روشن‬ ‫و‬ ‫صریح‬ ‫ارزیابی‬ ‫معیار‬
o
‫است‬ ‫اطالعات‬ ‫فناوری‬ ‫امنیت‬ ‫در‬ ‫دقیق‬ ‫و‬ ‫جدی‬ ‫رویکرد‬ ‫یک‬ ‫برپایه‬
❑
‫برای‬ ‫اعمال‬ ‫قابل‬
o
‫گواهی‬ ‫صدور‬
–
‫تر‬ ‫وسیع‬ ‫کاربردهای‬ ‫و‬ ‫ها‬ ‫دامنه‬ ‫و‬
❑
‫فرآیند‬ ‫در‬ ‫ارزیاب‬
CC
‫دارد‬ ‫حضور‬
❑
‫ارزیابی‬ ‫تضمین‬ ‫سطوح‬
:
‫پذیر‬ ‫تکامل‬ ‫مقیاس‬
o
‫یابد‬ ‫بهبود‬ ‫ابتدا‬ ‫باید‬ ‫آنچه‬ ،‫هدف‬ ،‫موجود‬ ‫وضعیت‬ 47
‫برای‬ ‫بهترین‬
‫ارزیابی؟‬

48. ‫مشترک‬ ‫معیار‬ ‫معایب‬ ‫و‬ ‫مزایا‬
►
‫است‬ ‫نگر‬ ‫کلی‬ ‫و‬ ‫کالن‬ ‫بسیار‬
►
‫پردازند‬ ‫می‬ ‫کلی‬ ‫الزامات‬ ‫و‬ ‫کاری‬ ‫چارچوب‬ ‫بیان‬ ‫به‬ ‫فقط‬
.
►
‫بیان‬ ‫را‬ ‫سازی‬ ‫پیاده‬ ‫چگونگی‬ ‫و‬ ‫خاص‬ ‫امنیتی‬ ‫ویژگی‬
‫نمی‬
‫کند‬
►
‫خوب‬ ‫رمزنگاری‬ ‫های‬ ‫ماژول‬ ‫پوشش‬ ‫و‬ ‫سنجی‬ ‫اعتبار‬
‫نیست‬
►
‫گواهی‬ ‫و‬ ‫پوشش‬ ‫را‬ ‫رمزنگاری‬
‫نمی‬
‫دهد‬
:
‫به‬ ‫ارجاع‬
FIBS 140-2
►
‫دارد‬ ‫زیاد‬ ‫سازی‬ ‫مستند‬ ‫و‬ ‫کاری‬ ‫رویه‬
►
‫سطوح‬ ‫برای‬
4
‫نیست‬ ‫جهانی‬ ‫توافق‬ ‫مورد‬ ‫باال‬ ‫به‬
►
‫دارد‬ ‫نیاز‬ ‫باال‬ ‫تخصص‬ ‫با‬ ‫افراد‬
48
‫و‬ ‫سخت‬ ‫خیلی‬
‫است‬ ‫پیچیده‬

49. ‫و‬ ‫مستندات‬ ‫معرفی‬ ،‫امنیتی‬ ‫ارزیابی‬ ‫روال‬
‫ایران‬ ‫در‬ ‫محصول‬ ‫ارزیابی‬ ‫نظام‬
‫دوم‬ ‫بخش‬

50. ‫جلسه‬ ‫عناوین‬
2
❑
‫برنامه‬
‫کاری‬
‫ارزیابی‬
(
EWP
)
❑
‫بسته‬
‫های‬
‫کاری‬
‫و‬
‫ترتیب‬
‫اجرا‬
‫و‬
‫وابستگی‬
‫ها‬
❑
‫چرخه‬
‫ارزیابی‬
‫فنی‬
‫و‬
‫تولید‬
‫گزارش‬
ETR
❑
‫تشریح‬
‫کالس‬
‫آزمون‬
‫و‬
‫کالس‬
‫تحلیل‬
‫آسیب‬
‫پذیری‬
❑
‫ارزیابی‬
‫امنیتی‬
‫محصول‬
‫در‬
‫ایران‬
❑
‫چالش‬
‫ها‬
‫و‬
‫آینده‬
‫ارزیابی‬
‫امنیتی‬
‫محصول‬
❑
‫فرآیند‬
‫کلی‬
‫الگوی‬
‫ارزیابی‬
❑
‫به‬
‫کارگیری‬
‫کالس‬
‫های‬
‫ارزیابی‬
‫معیارمشترک‬
❑
‫مدل‬
‫شیوه‬
‫ارزیابی‬
❑
‫صدور‬
‫احکام‬
‫ارزیابی‬
❑
‫فعالیت‬
‫ها‬
‫و‬
‫واحدهای‬
‫کاری‬
‫در‬
‫ارزیابی‬
❑
‫فرآیند‬
‫ارزیابی‬
‫محصول‬
‫در‬
‫آزمایشگاه‬
❑ ،‫مستندات‬
‫شواهد‬
‫و‬
‫گزارشات‬
‫ارزیابی‬
50

51. ‫جهان‬ ‫اعتبارسنجی‬ ‫و‬ ‫ارزیابی‬ ‫الگوهای‬
51
‫سنگاپ‬
‫ور‬
‫امریکا‬ ‫مالزی‬
‫هند‬
‫کره‬
‫جنوبی‬
‫ژاپن‬
‫هلند‬
❑
‫تح‬ ‫اطالعات‬ ‫فناوری‬ ‫محصوالت‬ ‫امنیت‬ ‫ارزیابی‬ ‫الگوی‬
‫ت‬
‫است‬ ‫شده‬ ‫اندازی‬ ‫راه‬ ‫کشورها‬ ‫در‬ ‫مختلف‬ ‫عناوین‬
.
❑
‫س‬ ‫خود‬ ‫حاکمیت‬ ‫قوانین‬ ‫و‬ ‫نیازها‬ ‫به‬ ‫بسته‬ ‫کشور‬ ‫هر‬
‫اختار‬
‫نمای‬ ‫می‬ ‫ابالغ‬ ‫و‬ ‫تدوین‬ ‫را‬ ‫محصول‬ ‫ارزیابی‬ ‫های‬ ‫روال‬ ‫و‬
‫د‬
.
CB
Board/AB
CCTL
Developer/
Vendor

52. ‫مشترک‬ ‫معیار‬ ‫راهبری‬ ‫نظام‬
52
‫ی‬‫اتژ‬‫ر‬‫است‬
‫ی‬
‫مش‬
‫خط‬
‫اهنما‬
‫ر‬
‫اسناد‬
‫ها‬‫یه‬‫و‬‫ر‬
‫محصوالت‬ ‫سنجی‬‫ر‬‫اعتبا‬ ‫و‬ ‫ارزیابی‬ ‫ی‬‫الگو‬‫ی‬ ‫مش‬‫خط‬
‫گواهینامه‬ ‫یافت‬‫ر‬‫د‬ ‫اهنمای‬‫ر‬
‫محصوالت‬ ‫ثبت‬
‫شده‬ ‫گواهی‬
‫مصرف‬ ‫اهنمای‬‫ر‬
‫تولید‬ ‫و‬‫کننده‬
‫کننده‬
(
PP,ST
)
‫مایشگاه‬‫ز‬‫آ‬ ‫اهنمای‬‫ر‬
‫ارزیابی‬ ‫های‬

53. ‫با‬ ‫ارزیابی‬
SARS
‫و‬
EAL
Vulnerability
Assessment
Guidance
Documents
Configuration
Management
Assurance
Maintenance
Life Cycle
Support
Delivery and
Operation
PP
Tests
Development
ST
53
❑
‫کیفیت‬ ‫تضمین‬ ‫فرآیندهای‬ ‫براساس‬ ‫ارزیابی‬
(
QA
)
‫به‬ ‫نسبت‬ ‫اطمینان‬ ‫از‬ ‫سطحی‬
‫کند‬ ‫می‬ ‫ایجاد‬ ‫را‬ ‫محصول‬ ‫امنیتی‬ ‫های‬ ‫ویژگی‬
.
❑
‫امنیت‬ ‫تضمین‬ ‫الزامات‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫ارزیابی‬ ‫فرآیند‬
(
SARs
)
‫سطح‬ ‫و‬
‫تضمین‬
(
EAL
)
‫شود‬ ‫می‬ ‫انجام‬ ‫نیاز‬ ‫مورد‬
.
❑
‫ها‬ ‫مؤلفه‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ‫تضمین‬ ‫سطح‬ ‫هر‬
/
‫نماید‬ ‫می‬ ‫الزام‬ ‫را‬ ‫تضمین‬ ‫اقدامات‬
.
❑
‫تضمین‬ ‫سطح‬ ‫اغلب‬
1
‫باشد‬ ‫می‬ ‫نظر‬ ‫مورد‬
.
‫تضمین‬ ‫سطح‬‫ر‬‫د‬ ‫ارزیابی‬ ‫ای‬‫ز‬‫اج‬ ‫ل‬‫جدو‬
1
‫بر‬ ‫توجه‬
8
+
2
‫حوزه‬

54. ‫مشترک‬ ‫معیار‬ ‫با‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫نگاشت‬
❑
‫مشترک‬ ‫معیار‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫بر‬ ‫مبتنی‬
54
‫فعالیت‬
• Class
‫یرفعالیت‬‫ز‬
• Famil
y
‫اقدام‬
• Component
‫ی‬‫واحدکار‬
• Elemen
t
❑
‫زیرفعالیت‬ ‫هر‬ ‫های‬ ‫ورودی‬ ‫و‬ ‫اهداف‬ ‫بیان‬

55. ‫ارزیابی‬ ‫شیوه‬ ‫عمومی‬ ‫مدل‬
55
‫ارزیابی‬ ‫های‬ ‫زیرفعالیت‬
‫ارزیابی‬ ‫ورودی‬ ‫وظیفه‬
‫ارزیابی‬ ‫مورد‬ ‫وظیفه‬ ‫فنی‬ ‫صالحیت‬ ‫تشریح‬
‫ارزیابی‬ ‫خروجی‬ ‫وظیفه‬
‫شواهد‬
/
‫مدارک‬
‫ورودی‬
‫شواهد‬
/
‫مدارک‬
‫خروجی‬
ETR
For
Or
TO
E
PP
‫امنیتی‬ ‫هدف‬
‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬
‫توس‬ ‫مستندات‬
‫عه‬
‫حفاظ‬ ‫پروفایل‬
‫تی‬
‫و‬
.....

56. ‫رای‬ ‫صدور‬
/
‫ارزیابی‬ ‫در‬ ‫حکم‬
•
‫ارزیاب‬
‫احکام‬
‫را‬
‫برای‬
‫الزامات‬
CC
‫صادر‬
‫می‬
‫کند‬
‫نه‬
‫برای‬
CEM
.
•
‫پایین‬
‫ترین‬
(
‫کوچکترین‬
)
‫سطحی‬
‫که‬
‫ارزیاب‬
‫می‬
‫تواند‬
‫برای‬
‫آن‬
‫حکم‬
‫صادر‬
‫کند‬
:
✓
‫عنصر‬
‫عمل‬
‫ارزیاب‬
✓
Evaluator action element
56
‫ارزیابی‬ ‫نتیجه‬
‫ارزیابی‬ ‫کالس‬
‫ارزیابی‬ ‫مولفه‬
‫ارزیاب‬‫عمل‬‫عنصر‬
‫ارزیاب‬‫عمل‬‫عنصر‬
‫ارزیاب‬‫عمل‬‫عنصر‬

57. ‫کاری‬ ‫واحدهای‬ ‫و‬ ‫ها‬ ‫فعالیت‬
‫سطح‬
‫تضمین‬
1
ASE_INT
ASE_OBJ
ASE_REQ
ASE_TSS
ASE_ECD
AGD_OPE
AGD_PRE
AVA_VAN
ATE_IND
ALC_CMC
ALC_CMS
ADV_FSP
57
ASE
(
‫امنیتی‬ ‫هدف‬
)
ADV
(
‫توسعه‬
)
AGD
(
‫راهنما‬ ‫مستندات‬
)
ALC
(
‫حیا‬ ‫چرخه‬ ‫پشتیبانی‬
‫ت‬
)
ATE
(
‫آزمون‬
‫ها‬
)
AVA
(
‫پذیری‬ ‫آسیب‬ ‫ارزیابی‬
)
6
13
‫فعالیت‬
‫یرفعالیت‬‫ز‬
13
50
‫ی‬‫واحدکار‬
‫اقدام‬
/
‫عمل‬
‫تضم‬ ‫الزامات‬ ‫کننده‬ ‫پشتیبانی‬ ،‫کارکردی‬ ‫الزامات‬
‫هستند‬ ‫ین‬
.

58. ‫توسط‬ ‫تحویل‬ ‫قابل‬ ‫اسناد‬
‫دهنده‬ ‫توسعه‬
|
‫های‬ ‫قالب‬ ‫و‬ ‫گزارشات‬ ‫و‬ ‫ها‬ ‫فرم‬
‫ارزیابی‬
58

59. ‫ارزیاب‬
‫دهنده‬ ‫توسعه‬
‫ارزیابی‬ ‫در‬ ‫کنندگان‬ ‫شرکت‬
59
‫افتا‬
AB
CB
‫سازمان‬
‫شرکت‬ ‫از‬ ‫یک‬ ‫هر‬
‫کنندگان‬
‫د‬
‫ر‬
‫مستندا‬ ‫از‬ ‫بخشی‬ ‫ارزیابی‬
‫ت‬
‫کند‬ ‫می‬ ‫ایجاد‬ ‫را‬ ‫مرتبط‬

60. ‫ارزیاب‬
‫دهنده‬ ‫توسعه‬
•
‫ی‬‫اعتبار‬ ‫فرم‬
•
‫داد‬‫قرار‬ ‫فرم‬ ‫قالب‬
•
‫مایشگاه‬‫ز‬‫آ‬ ‫ی‬‫کار‬ ‫طرح‬ ‫قالب‬
(
EWP
)
•
‫امنیتی‬ ‫هدف‬ ‫مقدماتی‬‫ارزیابی‬ ‫ش‬‫ر‬‫گزا‬
(
‫ی‬‫ساز‬ ‫آماده‬ ‫مرحله‬
)
•
‫امنیتی‬ ‫هدف‬ ‫سند‬ ‫نهایی‬‫ارزیابی‬ ‫ش‬‫ر‬‫گزا‬
(
‫ا‬ ‫هدف‬ ‫ی‬‫ساز‬ ‫نهایی‬ ‫مرحله‬
‫منیتی‬
)
•
‫ل‬‫محصو‬‫تست‬‫روش‬ ‫طرح‬
(
ATE
)
•
‫نفوذ‬ ‫ن‬‫مو‬‫ز‬‫آ‬ ‫طرح‬
(
AVA
)
•
‫ل‬‫محصو‬‫تست‬‫ش‬‫ر‬‫گزا‬
•
‫نفوذ‬ ‫ن‬‫مو‬‫ز‬‫آ‬‫ش‬‫ر‬‫گزا‬
•
‫ارزیابی‬ ‫مشاهدات‬ ‫سند‬
(
OR
)
•
‫ارزیابی‬ ‫فنی‬‫ش‬‫ر‬‫گزا‬ ‫سند‬
(
ETR
)
‫گزارشات‬ ‫قالب‬ ‫و‬ ‫ها‬ ‫فرم‬ ،‫اسناد‬
60
•
‫امنیتی‬ ‫هدف‬ ‫قالب‬
(
ST
)
•
‫قالب‬
‫کارکردها‬ ‫مشخصات‬ ‫توصیف‬ ‫سند‬
(
ADV
)
•
‫ل‬‫محصو‬ ‫با‬‫کار‬‫اهنمای‬‫ر‬ ‫سند‬ ‫قالب‬
(
‫ی‬‫بر‬‫ر‬‫کا‬
/
‫مدیریتی‬
)
•
‫پيكربندي‬ ‫مديريت‬‫محدوده‬‫و‬ ‫ها‬ ‫قابليت‬ ‫سند‬
•
‫باال‬ ‫سطح‬ ‫احی‬‫ر‬‫ط‬
/
‫پایین‬ ‫سطح‬
•
‫ل‬‫محصو‬‫منبع‬ ‫کد‬
(
‫ام‬‫ز‬‫ال‬ ‫صورت‬‫در‬
)
‫افتا‬
•
‫ل‬‫محصو‬‫امنیتی‬‫ارزیابی‬ ‫طرح‬‫اهنمای‬‫ر‬
•
‫فتا‬‫محصوالت‬ ‫امنیتی‬‫ارزیابی‬ ‫های‬ ‫مایشگاه‬‫ز‬‫آ‬‫اهنمای‬‫ر‬
•
‫مایشگاه‬‫ز‬‫آ‬‫ی‬ ‫بخش‬‫اعتبار‬‫اهنمای‬‫ر‬
•
‫فعالیت‬ ‫گواهی‬‫ر‬‫صدو‬ ‫جهت‬‫م‬‫ز‬‫ال‬ ‫ك‬‫ر‬‫مدا‬‫و‬ ‫اسناد‬

61. ‫حفاظتی‬ ‫پروفایل‬
(
PP
)
61
Protection
Profile
PP introduction
Conformance claims
Security problem
definitions
Extended components
Security objectives
Security requirements
PP reference
TOE overview
CC conformance claim
PP claim
Conformance rationale
Conformance statement
Threats
Organizational security policies
Assumptions
Security objectives for theTOE
Security objectives for the operational environment
Security objectives rationale
Extended components definition
Security functional requirements
Security assurance requirements
Security requirements rationale

62. ‫امنیتی‬ ‫هدف‬
(
ST
)
62
Security
Target
ST introduction
Conformance claims
Security problem
definitions
Extended components
Security objectives
Security requirements
PP reference
TOE reference
TOE overview
TOE description
CC conformance claim
PP claim
Package claim
Conformance rationale
Threats
Organizational security policies
Assumptions
Security objectives for the TOE
Security objectives for the operational environment
Security objectives rationale
Extended components definition
Security functional requirements
Security assurance requirements
Security requirements rationale
TOE summary
specifications TOE summary specifications

63. ‫مختلف‬ ‫های‬ ‫بخش‬ ‫بین‬ ‫ارتباط‬
PP/ST
63
Assumptions
Organizational Security
Policy
Threats
Security Objectives for the
operational environments
Security Objectives for the
TOE
Security Functional
requirements
Assurance Functional
requirements

64. ‫آزمایشگاه‬ ‫در‬ ‫محصول‬ ‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬
•
‫فاز‬
۱
:
‫ی‬‫ساز‬‫آماده‬
‫سازی‬ ‫آماده‬ ‫و‬ ‫مشاوره‬
•
‫فاز‬
2
:
‫ارزیابی‬ ‫هدف‬‫اسناد‬‫ارزیابی‬
•
‫فاز‬
3
:
‫ل‬‫محصو‬ ‫فنی‬‫ارزیابی‬
‫محصول‬ ‫ارزیابی‬
•
‫فاز‬
4
:
‫ل‬‫محصو‬‫ارزیابی‬‫پایان‬
‫گواهی‬ ‫صدور‬
64

65. ‫ارزیابی‬ ‫کاری‬ ‫طرح‬
65
EWP
‫ارزیاب‬ ‫توسط‬
/
‫شامل‬ ‫و‬ ‫شود‬ ‫می‬ ‫نوشته‬ ‫ارزیابان‬
:
•
‫خالصه‬ ‫و‬ ‫معرفی‬
TOE
•
‫ارزیابان‬ ‫های‬ ‫فعالیت‬
(
‫کاری‬ ‫های‬ ‫بسته‬ ‫تعریف‬
WP
)
•
‫زمانبندی‬ ‫همراه‬ ‫به‬ ‫ارزیابی‬ ‫های‬ ‫استراتژی‬ ‫و‬ ‫نیاز‬ ‫مورد‬ ‫دادنی‬ ‫تحویل‬ ‫موارد‬
•
‫ارزیابی‬ ‫کاری‬ ‫طرح‬ ‫روی‬ ‫بر‬ ‫باید‬ ‫دهندگان‬ ‫توسعه‬ ‫و‬ ‫ارزیابان‬
(
EWP
)
‫شده‬ ‫آورده‬ ‫های‬ ‫فعالیت‬ ‫و‬
‫کنند‬ ‫توافق‬ ‫آن‬ ‫در‬
.
‫کاری‬ ‫های‬ ‫بسته‬
(
Work Package
)
:
•
‫های‬ ‫کالس‬ ‫از‬ ‫یک‬ ‫هر‬ ‫با‬ ‫مرتبط‬ ‫ارزیابی‬ ‫های‬ ‫فعالیت‬
CC
‫شود‬ ‫می‬ ‫تعریف‬ ‫کاری‬ ‫بسته‬ ‫قالب‬ ‫در‬
.
•
‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫طریق‬ ‫از‬ ‫ارزیابان‬ ‫های‬ ‫فعالیت‬
WP
‫شود‬ ‫می‬ ‫تکمیل‬ ،
.
•
‫هستند‬ ‫ترتیب‬ ‫دارای‬ ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬
(
‫قبل‬ ‫های‬ ‫فعالیت‬ ‫اجرای‬ ‫به‬ ‫ها‬ ‫فعالیت‬ ‫برخی‬
‫خود‬ ‫ی‬
‫هستند‬
.)
•
‫دارای‬ ‫بسته‬ ‫هر‬
‫ورودی‬
‫و‬
‫خروجی‬
‫است‬ ‫ها‬ ‫بسته‬ ‫دیگر‬ ‫با‬ ‫ارتباط‬ ‫و‬
(
‫ارزیابی‬ ‫مدل‬ ‫مطابق‬
CC
)
•
‫ارزیابی‬ ‫میانی‬ ‫گزارش‬ ‫یک‬ ‫کاری‬ ‫بسته‬ ‫هر‬ ‫اتمام‬ ‫از‬ ‫بعد‬
(
ETR
)
‫شود‬ ‫می‬ ‫صادر‬
.
Evaluation
Work Plan
(EWP)
-
-
-
Work
Packages

66. ‫کاری‬ ‫بسته‬
(
WORK PACKAGE
)
66
‫مالحضات‬ ‫معادل‬
‫التین‬ ‫عنوان‬
‫ی‬‫کار‬‫بسته‬ ‫ی‬‫کار‬‫بسته‬ ‫شناسه‬
(
WPID
)
‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ‫ارزیابی‬ PP Evaluation ‫ارزیابی‬
‫حفاظتی‬‫پروفایل‬ WP2000
‫ارزیابی‬
‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ST Evaluation ‫ارزیابی‬
‫امنیتی‬ ‫هدف‬ WP3000
‫پیکربندی‬ ‫مدیریت‬
(
CM
)
،
‫توسعه‬ ‫محیط‬ ‫امنیت‬
Development
Environment
Evaluation
‫ارزیابی‬
‫توسعه‬ ‫محیط‬
‫ل‬‫محصو‬ WP4000
،‫کارکردی‬ ‫های‬ ‫مشخصه‬
‫محصول‬ ‫طراحی‬
(
،‫پایین‬ ‫سطح‬ ،‫باال‬ ‫سطح‬
‫ها‬ ‫ماژول‬ ‫و‬ ‫اجزا‬ ‫ردگیری‬ ‫قابلیت‬
)
‫آزمون‬ ،‫دهنده‬ ‫توسعه‬ ‫آزمون‬ ،
‫مستقل‬
Implementation
Evaluation
‫ارزیابی‬
‫ی‬‫ساز‬ ‫پیاده‬
‫ل‬‫محصو‬ WP5000
‫راهنمای‬
‫و‬ ‫انتقال‬ ‫اسناد‬ ،‫اندازی‬ ‫راه‬ ‫و‬ ‫نصب‬ ،‫مدیریت‬ ،‫کاربر‬
‫تحویل‬
Operational
Evaluation
‫عملیات‬‫ارزیابی‬
‫و‬ ‫ل‬‫محصو‬
‫پشتیبان‬ ‫اسناد‬ WP6000
‫سنجش‬
‫کارکردها‬ ‫قوت‬
(
SOF
)
،‫محصول‬ ‫کارکرد‬ ‫سوء‬ ‫تحلیل‬ ،
‫پذ‬ ‫آسیب‬ ‫تحلیل‬ ،‫دهنده‬ ‫توسعه‬ ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬
‫یری‬
‫نفوذ‬ ‫تست‬ ،‫مستقل‬
Vulnerability
Evaluation
‫ارزیابی‬
‫ی‬‫پذیر‬‫آسیب‬ WP7000
،‫مشکالت‬ ‫گزارش‬
‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ Reporting ‫ش‬‫ر‬‫ا‬‫ز‬‫گ‬
‫دهی‬ WP8000
‫شناسه‬ ‫یک‬ ‫با‬ ‫ی‬‫کار‬ ‫هربسته‬
(
ID
)
‫شود‬ ‫می‬‫متمایز‬‫و‬ ‫تعریف‬
.

67. ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫وابستگی‬
67
ST
Evaluation
(ASE)
Implementation Evaluation
FD → HLD → LLD
(ADV_ARC/
ADV_TDS/
ADV_IMP)
Development
Environment Evaluation
CM/Development Security
(ALC_CMC,CMS/ALC_DVS)
Tests Evaluation
(ATE_FUC/ATE_COV
/ATE_DPT)
Vulnerability
Evaluation
Developer’sVA
SOF
Misuse
IndependentVA
Operational Environment Evaluation
Guidance Documents/Setup and Installation/
Delivery
(AGD_PRE/AGD_OPE)
HLD: High Level design
FS: Functional Specification
LLD: Low Level design
VA:Vulnerability Assessment
SOF: Strength of Functions
TOE
Evaluation

68. ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫ترتیب‬
(
‫برای‬
EAL1
)
68
‫ارزیابی‬
ST
ASE
‫مشخصات‬
‫کارکردی‬
ADV_FSP
‫احی‬‫ر‬‫ط‬‫و‬‫ی‬‫معمار‬
• ADV_ARC
• ADV_TDS
‫و‬ ‫ی‬‫ساز‬ ‫پیاده‬ ‫ائه‬‫ر‬‫ا‬
‫حیات‬ ‫چرخه‬
• ADV_IMP
• ALC_CMC
• ALC_CMS
‫اهنما‬‫ر‬ ‫اسناد‬
• AGD_PRE
• AGD_OPE
‫ل‬‫محصو‬ ‫ن‬‫مو‬‫ز‬‫آ‬
(
‫دهنده‬ ‫توسعه‬
)
• ATE_FUN
• ATE_COV
• ATE_DPT
‫مستقل‬ ‫ن‬‫مو‬‫ز‬‫آ‬
(
‫ارزیاب‬
)
ATE_IND
‫آسیب‬‫تحلیل‬
‫ی‬‫پذیر‬
AVA_VAN

69. ‫تحویل‬ ‫قابل‬ ‫موارد‬ ‫و‬ ‫اسناد‬
69
•
‫آزمایشگاه‬ ‫به‬ ‫معرفی‬ ‫و‬ ‫درخواست‬
•
‫امنیتی‬ ‫هدف‬
(
ST
)
•
‫کارکردی‬ ‫مشخصات‬
•
‫باال‬ ‫سطح‬ ‫طراحی‬
•
‫پایین‬ ‫سطح‬ ‫طراحی‬
•
‫ها‬ ‫نگاشت‬ ‫و‬ ‫تناظرها‬ ‫نمایش‬
(
‫بین‬ ‫متناظر‬ ‫خروجی‬ ‫و‬ ‫انتزاعی‬ ‫طراحی‬ ‫ردگیری‬ ‫قابلیت‬
TFS
)
•
‫ها‬ ‫آزمون‬ ‫مشخصات‬
(
‫عمق‬ ‫و‬ ‫پوشش‬ ‫تحلیل‬ ‫شامل‬
)
•
‫سازی‬ ‫پیاده‬ ‫و‬ ‫اندازی‬ ‫راه‬ ،‫نصب‬ ‫راهنمای‬
•
‫مدیریتی‬ ‫راهنمای‬
•
‫کاربری‬ ‫راهنمای‬
•
‫پیکربندی‬ ‫مدیریت‬ ‫اطالعات‬
CM
(
‫تغییرات‬ ‫و‬ ‫نسخه‬ ‫مدیریت‬
)
•
‫تحویل‬ ‫و‬ ‫انتقال‬ ‫رویه‬ ‫اطالعات‬
(
Delivery
)
•
‫توسعه‬ ‫محیط‬ ‫امنیت‬ ‫اطالعات‬
•
‫کارکرد‬ ‫قوت‬ ‫تحلیل‬
(
SOF
)
•
‫کاربرد‬ ‫سوء‬ ‫موارد‬ ‫تحلیل‬
(
Misuse
)
•
‫پذیری‬ ‫آسیب‬ ‫تحلیل‬
(
‫دهنده‬ ‫توسعه‬ ‫توسط‬
)
•
‫ارزیابی‬ ‫مورد‬ ‫محصول‬ ‫منبع‬ ‫کند‬
(
TOE
)
•
‫ارزیابی‬ ‫مورد‬ ‫محصول‬
(
TOE
)

70. ‫آزمایشگاه‬ ‫در‬ ‫فنی‬ ‫ارزیابی‬ ‫چرخه‬
70
▪
OR
:
‫اشکاالت‬ ‫و‬ ‫ها‬ ‫خطا‬ ‫گزارش‬ ‫برای‬
‫جزئی‬
(
minor
)
-
‫جهت‬ ‫رود‬ ‫می‬ ‫انتظار‬
‫شوند‬ ‫طرف‬ ‫بر‬ ‫کاری‬ ‫بسته‬ ‫تکمیل‬
.
▪
FN
‫و‬
OR
‫توسط‬
‫ارزیاب‬
‫و‬
‫به‬
‫توسعه‬
‫دهنده‬
‫صادر‬
‫می‬
‫شوند‬
.
▪
FN
:
‫برای‬
‫گزارش‬
‫خطا‬
‫ها‬
‫و‬
‫اشکاالت‬
‫وخیم‬
(
major
)
▪
‫فتی‬ ‫ارزیابی‬ ‫میانی‬ ‫گزارش‬
:
‫پایان‬ ‫در‬
‫ارزیابی‬
ST
‫محصول‬ ‫آزمون‬ ‫پایان‬ ‫و‬
(
TOE
)
‫شود‬ ‫می‬ ‫صادر‬ ‫ارزیاباب‬ ‫توسط‬
.
▪
‫گزارش‬
‫فنی‬
‫ارزیابی‬
(
ETR
)
:
‫شامل‬
‫نتایج‬
‫تمامی‬
‫مراحل‬
‫ارزیابی‬
(
‫بسته‬
‫های‬
‫کاری‬
)
‫و‬
‫احکام‬
‫صادر‬
‫شده‬
‫است‬
.
ST Evaluation
TOE Evaluation
ETR
(Final)
ETR
(Interim) ETR
(Interim)
Observation Reports/
Fault Notifications
Observation Reports/
Fault Notifications

71. ‫ارزیابی‬ ‫فنی‬ ‫گزارش‬
71
Evaluation
Technical
Report(ETR)
Introduction
Architectural description of
TOE
Evaluation
Conclusions and
recommendations
Results of Evaluation
List of evaluation evidence
List of acronyms/Glossary of
terms
Observation reports

72. ‫آزمون‬ ‫کالس‬
72
‫ها‬ ‫آزمون‬ ‫دسته‬ ‫دو‬ ‫شامل‬
:
▪
‫آزمون‬
‫توسعه‬
‫دهنده‬
:
‫شامل‬
‫آزمون‬
‫هایی‬
‫که‬
‫توسط‬
‫توسعه‬
‫دهنده‬
‫بر‬
‫روی‬
TOE
‫انجام‬
‫می‬
‫شود‬
.
‫شامل‬
‫آزمون‬
‫پوشش‬
‫و‬
‫عمق‬
.
▪
‫آزمون‬
‫مستقل‬
:
‫توسط‬
‫ارزیاب‬
‫با‬
‫توجه‬
‫به‬
‫اطالعاتی‬
‫که‬
‫از‬
TOE
‫در‬
‫اختیار‬
‫دارد‬
‫به‬
‫صورت‬
‫مستقل‬
‫انجام‬
‫می‬
‫گیرد‬
.
▪
‫در‬
‫ارزیابی‬
‫سطح‬
‫پایین‬
‫الزامی‬
‫نیست‬
.
❑
‫هدف‬
‫از‬
‫انجام‬
‫این‬
‫فعالیت‬
‫اثبات‬
‫آن‬
‫است‬
‫که‬
‫آیا‬
‫محصول‬
(
TOE
)
‫آنگونه‬
‫که‬
‫در‬
ST
‫معرفی‬
‫و‬
‫در‬
‫شواهد‬
‫بدست‬
‫آمده‬
‫از‬
‫ارزیابی‬
(
‫تشریح‬
‫شده‬
‫درکالس‬
ADV
)
‫مشخص‬
‫شده‬
،‫است‬
‫رفتار‬
‫می‬
‫کند‬
.
❑
‫در‬
‫پایین‬
‫ترین‬
‫سطح‬
‫تضمین‬
‫الزامی‬
‫برای‬
‫توسعه‬
‫دهنده‬
‫برای‬
‫ارائه‬
‫آزمون‬
‫م‬
‫حصول‬
‫وجود‬
‫ندارد‬
‫و‬
‫تنها‬
‫آزمون‬
‫مستقل‬
‫توسط‬
‫ارزیاب‬
(
‫با‬
‫اطالعات‬
‫محدود‬
‫در‬
‫دسترس‬
)
‫انجام‬
‫می‬
‫شود‬
.
ATE_COV
ATE_DTP
ATE_FUN
ATE_IND
Tests (ATE)

73. ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬ ‫کالس‬
73
•
‫تحلیل‬
‫آسیب‬
‫پذیری‬
‫شامل‬
‫فعالیت‬
‫هایی‬
‫الزام‬
‫شده‬
‫در‬
‫کالس‬
‫آسیب‬
‫پذیری‬
‫معیار‬
‫مشترک‬
‫اس‬
‫ت‬
.
•
‫با‬
‫هدف‬
‫اطمینان‬
‫از‬
‫اینکه‬
TOE
‫از‬
‫دیدگاه‬
،‫ساخت‬
،‫عملیات‬
‫پیکربندی‬
‫و‬
‫سوء‬
‫کاربرد‬
‫دارای‬
‫آسیب‬
‫پذیر‬
‫ی‬
‫قابل‬
‫بهره‬
‫برداری‬
‫نیست‬
.
•
‫ارزیاب‬
‫باید‬
‫تایید‬
‫کند‬
‫که‬
‫آسیب‬
‫پذیری‬
‫ها‬
‫در‬
‫محیط‬
‫اجرایی‬
‫هدف‬
‫قابل‬
‫بهره‬
‫برداری‬
‫نیست‬
.
•
‫تایید‬
‫نبود‬
‫آسیب‬
‫پذیری‬
‫قابل‬
‫بهره‬
‫برداری‬
‫از‬
‫طریق‬
‫بررسی‬
‫تحلیل‬
‫آسیب‬
‫پذیری‬
‫توسعه‬
‫دهن‬
‫ده‬
‫و‬
‫اجرای‬
‫تحلیل‬
‫آسیب‬
‫پذیری‬
‫مستقل‬
‫توسط‬
‫ارزیاب‬
‫حاصل‬
‫می‬
‫گردد‬
.
✓
‫تحلیل‬
‫آسیب‬
‫پذیری‬
‫توسعه‬
‫دهنده‬
:
‫در‬
‫سطوح‬
‫پایین‬
‫ارزیابی‬
‫الزامی‬
‫نیست‬
.
✓
‫تحلیل‬
‫آسیب‬
‫پذیری‬
‫مستقل‬
:
‫همه‬
‫سطوح‬
‫ارزیابی‬
‫می‬
‫شود‬
‫و‬
‫مبتنی‬
‫بر‬
‫درجه‬
‫مقاومت‬
‫در‬
‫برابر‬
‫مهاجم‬
(
AP
)
Vulnerability Assessment (AVA)

74. ‫پذیری‬ ‫آسیب‬ ‫ارزیابی‬ ‫در‬ ‫حمله‬ ‫پتانسیل‬
74
❑
‫حمله‬ ‫پتانسیل‬
(
Attack Potential
)
•
‫احتمالی‬ ‫حمله‬ ‫برابر‬ ‫در‬ ‫محصول‬ ‫مقاومت‬ ‫میزان‬ ‫که‬ ‫ای‬ ‫شده‬ ‫تعریف‬ ‫پیش‬ ‫از‬ ‫معیار‬
‫سنجد‬ ‫می‬ ‫را‬ ‫مهاجم‬
.
•
‫اصلی‬ ‫معیار‬ ‫سه‬ ‫براساس‬ ‫حمله‬ ‫پتانسیل‬
‫انگیزه‬
،
‫تخصص‬
‫و‬
‫حمله‬ ‫منابع‬
‫شود‬ ‫می‬ ‫تعیین‬
.
•
‫مهاجم‬ ‫حمله‬ ‫پتانسیل‬ ،‫برداری‬ ‫بهره‬ ‫قابل‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ،‫عملیاتی‬ ‫محیط‬ ‫هر‬ ‫برای‬
(
‫م‬ ‫توانایی‬
‫در‬ ‫هاجم‬
‫حمله‬
)
‫شود‬ ‫می‬ ‫محاسبه‬ ،
.
❑
‫محاسبه‬ ‫معیارهای‬
•
‫شده‬ ‫سپری‬ ‫زمان‬
(
ElapsedTime
)
:
1
-
19
‫امتیاز‬
•
‫ویژه‬ ‫تخصص‬
(
Special expertise
)
:
0
-
8
‫امتیاز‬
•
‫محصول‬ ‫از‬ ‫دانش‬
(
Knowledge of TOE
)
:
0
-
10
‫امتیاز‬
•
‫فرصت‬ ‫پنجره‬
(
Window of opportunity
)
:
0
-
10
‫امتیاز‬
(
‫مثال‬
:
‫نیاز‬ ‫مورد‬ ‫های‬ ‫نمونه‬ ‫تعداد‬
)
•
‫افزار‬ ‫سخت‬
/
‫نیاز‬ ‫مورد‬ ‫تجهیزات‬ ‫یا‬ ‫افزار‬ ‫نرم‬
(
HW/SW
)
:
0
-
9
‫امتیاز‬
❑
‫نهایی‬ ‫ارزیابی‬
•
‫است‬ ‫مقاوم‬ ‫زیر‬ ‫حمله‬ ‫پتانسیل‬ ‫با‬ ‫حمالت‬ ‫برابر‬ ‫در‬ ‫محصول‬
:
o
‫مقدماتی‬
:
‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬
10
‫باشد‬ ‫امتیاز‬
.
o
‫یافته‬ ‫افزایش‬ ‫مقدماتی‬
:
‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬
14
‫باشد‬ ‫امتیاز‬
.
o
‫متوسط‬
:
‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬
20
‫باشد‬ ‫امتیاز‬
.
o
‫زیاد‬
:
‫نیازمند‬ ‫حداقل‬ ‫حمالت‬ ‫موفقیت‬ ‫اگر‬
25
‫باشد‬ ‫امتیاز‬
AVA_VAN.1
AVA_VAN.2
EAL
1-3
AVA_VAN.3
EAL
4
AVA_VAN.4
ELA
5
AVA_VAN.5
ELA
6,7
‫مقدماتی‬
‫مقدماتی‬
-
‫یافته‬ ‫افزایش‬
‫متوسط‬
‫زیاد‬

75. ‫ایران‬ ‫اعتبارسنجی‬ ‫و‬ ‫ارزیابی‬ ‫الگوهای‬
75
‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬
(
‫ارم‬
)
‫انجام‬ ‫زیر‬ ‫اهداف‬ ‫با‬ ‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬
‫شود‬‫می‬
:
.1
‫در‬ ‫استفاده‬ ‫مورد‬ ‫محصوالت‬ ‫امنیت‬ ‫از‬ ‫اطمینان‬ ‫حصول‬
‫های‬‫دستگاه‬
‫موضو‬ ‫اجرایی‬
‫ع‬
‫ماده‬
(
5
)
‫کشوری‬ ‫خدمات‬ ‫مدیریت‬ ‫قانون‬
.2
‫و‬ ‫افتا‬ ‫محصوالت‬ ‫توسعه‬ ‫و‬ ‫طراحی‬ ‫از‬ ‫حمایت‬
‫ضدبدافزار‬
‫بومی‬
.3
‫شناسایی‬
‫های‬‫شرکت‬
‫محصوالت‬ ‫تولیدکننده‬ ‫بومی‬
.4
‫آن‬ ‫فنی‬ ‫مشخصه‬ ‫و‬ ‫بومی‬ ‫محصوالت‬ ‫شناسایی‬
‫ها‬
.5
‫فعال‬ ‫از‬ ‫سازمان‬ ‫یافتن‬ ‫اطالع‬ ،‫بومی‬ ‫تولیدکنندگان‬ ‫با‬ ‫ارتباط‬ ‫امکان‬ ‫برقراری‬
‫و‬ ‫یت‬
‫ایشان‬ ‫مشکالت‬
.6
‫و‬ ‫محصوالت‬ ‫حوزه‬ ‫در‬ ‫کار‬ ‫و‬ ‫کسب‬ ‫رونق‬
‫شرکت‬
‫ها‬
:
‫منج‬ ‫خارجی‬ ‫محصوالت‬ ‫خرید‬ ‫منع‬
‫ر‬
‫شدن‬ ‫فعال‬ ‫به‬
‫شرکت‬
‫های‬
‫بومی‬ ‫محصوالت‬ ‫تولید‬ ‫رونق‬ ‫و‬ ‫داخلی‬
‫گردد‬‫می‬

76. ‫ایران‬ ‫در‬ ‫اعتبارسنجی‬ ‫و‬ ‫ارزیابی‬
76
‫تعاریف‬
•
‫افتا‬ ‫مرکز‬
:
‫راهبردی‬ ‫مدیریت‬ ‫مرکز‬
‫افتای‬
‫جمهوری‬ ‫ریاست‬
.
•
‫سازمان‬
:
‫ایران‬ ‫اطالعات‬ ‫فناوری‬ ‫سازمان‬
.
•
‫مشترک‬ ‫معیار‬ ‫امنیتی‬ ‫ارزیابی‬ ‫استاندارد‬
(
ISO15408
:)
‫استاندارد‬ ‫یا‬ ‫مشترک‬ ‫معیار‬ ‫استاندارد‬
‫امنیتی‬ ‫ارزیابی‬
‫است‬ ‫محصوالت‬
.
•
‫آزمایشگاه‬
(
Labratory
:)
‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫آزمایشگاه‬
‫فتا‬
.
•
‫تولیدکننده‬
(
Developer
)
‫محصول‬ ‫ارزیابی‬ ‫متقاضی‬ ‫یا‬ ‫و‬ ‫محصول‬ ‫کننده‬ ‫تولید‬
.
•
‫ارزیاب‬
(
Evaluator
)
‫که‬ ‫آزمایشگاه‬ ‫کارمند‬
‫ی‬‫وظیفه‬
‫دارد‬ ‫را‬ ‫محصول‬ ‫ارزیابی‬
.
•
‫بردار‬‫بهره‬
:
‫بردار‬‫بهره‬
‫ای‬‫حوزه‬
‫و‬ ‫استفاده‬ ‫آن‬ ‫در‬ ‫محصول‬ ‫که‬ ‫است‬
‫برداری‬‫بهره‬
‫شود‬‫می‬
.

77. ‫ایران‬ ‫در‬ ‫اعتبارسنجی‬ ‫و‬ ‫ارزیابی‬
77