در این بخش به ادامه مباحث مرتبط به ارزیابی امنیتی محصولات فناوری اطلاعات برپایه رویکرد معیار مشترک(استاندارد ISO 15408) پرداخته خواهد شد. تهیه مستدات مربوط به اجرای ارزیابی، هدف امنیتی، پروفایل حفاظتی و بررسی کلاس های آزمون و تحلیل آسیب پذیری از جمله مباحث مطرح در این بخش هستند که تشریح می شوند

1. ‫استاندارد‬ISO 15408(COMMON CRITERIA)
‫دهنده‬ ‫ارائه‬:‫مهدی‬‫صیاد‬
‫سایبری‬ ‫امنیت‬ ‫پژوهشگر‬
‫آذر‬95
‫دوم‬ ‫بخش‬

2. ‫مطالب‬ ‫عناوین‬
‫مشارکت‬‫کنندگان‬‫در‬‫ارزیابی‬
،‫مستندات‬‫شواهد‬‫و‬‫گزارشات‬‫ارزیابی‬
‫ساختار‬‫پروفایل‬‫حفاظتی‬‫و‬‫هدف‬‫امنیتی‬‫و‬‫تشریح‬‫ارتب‬‫اطات‬
‫برنامه‬‫کاری‬‫ارزیابی‬(EWP)
‫بسته‬‫های‬‫کاری‬‫و‬‫ترتیب‬‫اجرا‬‫و‬‫وابستگی‬‫ها‬
‫چرخه‬‫ارزیابی‬‫فنی‬‫و‬‫تولید‬‫گزارش‬ETR
‫تشریح‬‫کالس‬‫آزمون‬‫و‬‫کالس‬‫تحلیل‬‫آسیب‬‫پذیری‬
‫بررسی‬‫هزینه‬‫های‬‫ارزیابی‬
‫چالش‬‫های‬‫ارزیابی‬‫امنیتی‬‫محصوالت‬
‫الگوی‬‫های‬‫مشابه‬‫ارزیابی‬
‫فرآیند‬‫کلی‬‫الگوی‬‫ارزیابی‬
‫ساختمان‬‫راهبردی‬‫معیار‬‫مشترک‬
‫ساختار‬‫سازمانی‬‫آزمایشگاه‬(CCTL)
‫به‬‫کارگیری‬‫کالس‬‫های‬‫ارزیابی‬‫معیارمشترک‬
‫نگاشت‬‫شیوه‬‫ارزیابی‬‫با‬‫استاندارد‬‫معیار‬‫مش‬‫ترک‬
‫مدل‬‫شیوه‬‫ارزیابی‬
‫صدور‬‫احکام‬‫ارزیابی‬
‫فعالیت‬‫ها‬‫و‬‫واحدهای‬‫کاری‬‫در‬‫ارزیابی‬
‫فرآیند‬‫ارزیابی‬‫محصول‬‫در‬‫آزمایشگاه‬
2

3. ‫مشابه‬ ‫الگوهای‬ ‫بررسی‬
‫سنگاپ‬‫ور‬‫امریکا‬ ‫مالزی‬‫هند‬
‫کره‬
‫جنوبی‬
‫ژاپن‬‫هلند‬
•‫تح‬ ‫اطالعات‬ ‫فناوری‬ ‫محصوالت‬ ‫امنیت‬ ‫ارزیابی‬ ‫الگوی‬‫ت‬
‫است‬ ‫شده‬ ‫اندازی‬ ‫راه‬ ‫کشورها‬ ‫در‬ ‫مختلف‬ ‫عناوین‬.
•‫سا‬ ‫خود‬ ‫حاکمیت‬ ‫قوانین‬ ‫و‬ ‫نیازها‬ ‫به‬ ‫بسته‬ ‫کشور‬ ‫هر‬‫ختار‬
‫نمای‬ ‫می‬ ‫ابالغ‬ ‫و‬ ‫تدوین‬ ‫را‬ ‫محصول‬ ‫ارزیابی‬ ‫های‬ ‫روال‬ ‫و‬‫د‬.CB
Board/AB
CCTL
Developer/
Vendor
3
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

4. ‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬‫محصول‬ ‫یک‬ 4
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

5. ‫مشترک‬ ‫معیار‬ ‫راهبردی‬ ‫ساختمان‬
‫استراتژی‬
‫مشی‬‫خط‬‫راهنما‬‫اسناد‬
‫ها‬ ‫رویه‬
‫ارزیابی‬ ‫الگوی‬ ‫مشی‬ ‫خط‬
‫گواهینامه‬ ‫دریافت‬ ‫راهنمای‬
‫محصوالت‬ ‫ثبت‬
‫شده‬ ‫گواهی‬
‫مصرف‬ ‫راهنمای‬
‫کننده‬
‫آزمایشگاه‬ ‫راهنمای‬
‫ارزیابی‬ ‫های‬
5
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

6. ‫کالس‬ ‫از‬ ‫استفاده‬‫ارزیابی‬ ‫های‬
Vulnerability
Assessment
Guidance
Documents
Configuration
Management
Assurance
Maintenance
Life Cycle
Support
Delivery and
Operation
PPTestsDevelopment
ST
•‫استفاد‬ ‫درخواست‬ ‫مورد‬ ‫تضمین‬ ‫سطح‬ ‫براساس‬ ‫ارزیابی‬ ‫های‬ ‫کالس‬‫می‬ ‫ه‬
‫شوند‬
•‫س‬ ‫آن‬ ‫در‬ ‫شده‬ ‫تعیین‬ ‫ارزیابی‬ ‫های‬ ‫مؤلفه‬ ‫طریق‬ ‫از‬ ‫را‬ ‫امنیتی‬ ‫الزامات‬‫طح‬
‫شود‬ ‫می‬ ‫مشخص‬.
•‫تضمین‬ ‫سطح‬ ‫بر‬ ‫مبتنی‬ ‫ارزیابی‬ ‫اول‬ ‫فاز‬ ‫در‬1‫باشد‬ ‫می‬ ‫نظر‬ ‫مورد‬.
‫تضمین‬ ‫درسطح‬ ‫ارزیابی‬ ‫اجزای‬ ‫جدول‬1
‫بر‬ ‫توجه‬8+2‫حوزه‬
6
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

7. ‫نگاشت‬‫مشترک‬ ‫معیار‬ ‫با‬ ‫ارزیابی‬ ‫متدلوژی‬
‫معیار‬ ‫ارزیابی‬ ‫متدلوژی‬ ‫بر‬ ‫مبتنی‬‫مشترک‬
‫فعالیت‬•Class
‫زیرفعالیت‬•Family
‫اقدام‬•Component
‫واحدکاری‬• Element
‫زیرفعالیت‬ ‫هر‬ ‫های‬ ‫ورودی‬ ‫و‬ ‫اهداف‬ ‫بیان‬
7
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

8. ‫مدل‬‫ارزیابی‬ ‫شیوه‬ ‫عمومی‬
‫ارزیابی‬ ‫های‬ ‫زیرفعالیت‬
‫ارزیابی‬ ‫ورودی‬ ‫وظیفه‬
‫ارزیابی‬ ‫مورد‬ ‫وظیفه‬ ‫فنی‬ ‫صالحیت‬ ‫تشریح‬
‫ارزیابی‬ ‫خروجی‬ ‫وظیفه‬
‫شواهد‬/‫مدارک‬
‫ورودی‬
‫شواهد‬/‫مدارک‬
‫خروجی‬
ETR
For
Or
TOE
PP
‫امنیتی‬ ‫هدف‬
‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬
‫توس‬ ‫مستندات‬‫عه‬
‫حفاظ‬ ‫پروفایل‬‫تی‬
‫و‬.....
8
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

9. ‫صدور‬‫رای‬/‫حکم‬‫ارزیابی‬ ‫در‬
‫ارزیاب‬‫احکام‬‫را‬‫برای‬‫الزامات‬CC‫صادر‬‫می‬‫کند‬‫نه‬
‫برای‬CEM.
‫پایین‬‫ترین‬(‫کوچکترین‬)‫سطحی‬‫که‬‫ارزیاب‬‫می‬‫توان‬‫د‬
‫برای‬‫آن‬‫حکم‬‫صادر‬‫کند‬:
‫عنصر‬‫عمل‬‫ارزیاب‬
Evaluator action element
‫نتیجه‬‫ارزیابی‬
‫ارزیابی‬ ‫کالس‬
‫عنصر‬‫ارزیاب‬ ‫عمل‬
‫عنصر‬‫ارزیاب‬ ‫عمل‬
‫عنصر‬‫ارزیاب‬ ‫عمل‬
9
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

10. ‫فعالیت‬‫واحدهای‬ ‫و‬ ‫ها‬‫کاری‬
‫سطح‬
‫تضمین‬1
ASE_INT
ASE_OBJ
ASE_REQ
ASE_TSS
ASE_ECD
AGD_OPE
AGD_PRE
AVA_VANATE_IND
ALC_CMC
ALC_CMS
ADV_FSP
ASE(‫امنیتی‬ ‫هدف‬)
ADV(‫توسعه‬)
AGD(‫راهنما‬ ‫مستندات‬)
ALC(‫حیا‬ ‫چرخه‬ ‫پشتیبانی‬‫ت‬)
ATE(‫آزمون‬‫ها‬)
AVA(‫پذیری‬ ‫آسیب‬ ‫ارزیابی‬)
6
13
‫فعالیت‬
‫زیرفعالیت‬
13
50‫واحدکاری‬
‫اقدام‬/‫عمل‬
‫تضم‬ ‫الزامات‬ ‫کننده‬ ‫پشتیبانی‬ ،‫کارکردی‬ ‫الزامات‬‫هستند‬ ‫ین‬.
10
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

11. ‫محصول‬ ‫ارزیابی‬ ‫کلی‬ ‫فرآیند‬‫آزمایشگاه‬ ‫در‬
•‫فاز‬1:‫سازی‬ ‫آماده‬
‫سازی‬ ‫آماده‬ ‫و‬ ‫مشاوره‬
•‫فاز‬2:‫ارزیابی‬ ‫هدف‬ ‫اسناد‬ ‫ارزیابی‬
•‫فاز‬3:‫محصول‬ ‫فنی‬ ‫ارزیابی‬
‫محصول‬ ‫ارزیابی‬
•‫فاز‬4:‫محصول‬ ‫ارزیابی‬ ‫پایان‬
‫گواهی‬ ‫صدور‬
11
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

12. ‫توسط‬ ‫تحویل‬ ‫قابل‬ ‫اسناد‬‫دهنده‬ ‫توسعه‬|‫های‬ ‫قالب‬ ‫و‬ ‫گزارشات‬ ‫و‬ ‫ها‬ ‫فرم‬‫ارزیابی‬
12

13. ‫تایی‬ ‫بدنه‬‫د‬
AB
‫ارزیاب‬
CCTL
‫دهنده‬ ‫توسعه‬
‫ارزیابی‬ ‫در‬ ‫کنندگان‬ ‫شرکت‬
‫گواهی‬ ‫بدنه‬
CB
13
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

14. ‫ارزیاب‬
‫توسعه‬
‫دهنده‬
•‫اعتباری‬ ‫فرم‬
•‫قالب‬‫داد‬ ‫قرار‬ ‫فرم‬
•‫آزمایشگاه‬ ‫کاری‬ ‫طرح‬ ‫قالب‬
•‫گزارش‬‫امنیتی‬ ‫هدف‬ ‫مقدماتی‬ ‫ارزیابی‬(‫سازی‬ ‫آماده‬ ‫مرحله‬)
•‫امنیتی‬ ‫هدف‬ ‫سند‬ ‫نهایی‬ ‫ارزیابی‬ ‫گزارش‬(‫سا‬ ‫نهایی‬ ‫مرحله‬‫زی‬
‫امنیتی‬ ‫هدف‬)
•‫محصول‬ ‫تست‬ ‫روش‬ ‫طرح‬(ATE)
•‫نفوذ‬ ‫آزمون‬ ‫طرح‬(AVA)
•‫محصول‬ ‫تست‬ ‫گزارش‬
•‫نفوذ‬ ‫آزمون‬ ‫گزارش‬
•‫ارزیابی‬ ‫مشاهدات‬ ‫سند‬(OR)
•‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ ‫سند‬(ETR)
‫قالب‬ ‫و‬ ‫ها‬ ‫فرم‬ ،‫اسناد‬‫گزارشات‬
•‫قالب‬‫امنیتی‬ ‫هدف‬
•‫قالب‬‫کارکردها‬ ‫مشخصات‬ ‫توصیف‬ ‫سند‬(ADV)
•‫محصول‬ ‫با‬ ‫کار‬ ‫راهنمای‬ ‫سند‬ ‫قالب‬(‫کاربری‬/‫مدیریتی‬)
•‫پیکربندی‬ ‫مدیریت‬ ‫محدوده‬ ‫و‬ ‫ها‬ ‫قابلیت‬ ‫سند‬
•‫باال‬ ‫سطح‬ ‫طراحی‬/‫پایین‬ ‫سطح‬
•‫محصول‬ ‫منبع‬ ‫کد‬(‫الزام‬ ‫صورت‬ ‫در‬)
AB/CB
•‫راهنمای‬‫محصول‬ ‫امنیتی‬ ‫ارزیابی‬ ‫طرح‬
•‫محصوالت‬ ‫امنیتی‬ ‫ارزیابی‬ ‫های‬ ‫آزمایشگاه‬ ‫راهنمای‬‫فتا‬
•‫آزمایشگاه‬ ‫بخشی‬ ‫اعتبار‬ ‫راهنمای‬
•‫فعالیت‬ ‫گواهی‬ ‫صدور‬ ‫جهت‬ ‫الزم‬ ‫مدارک‬ ‫و‬ ‫اسناد‬
14
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

15. ‫حفاظتی‬ ‫پروفایل‬(PP)
ProtectionProfile
PP introduction
Conformance claims
Security problem
definitions
Extended components
Security objectives
Security requirements
PP reference
TOE overview
CC conformance claim
PP claim
Conformance rationale
Conformance statement
Threats
Organizational security policies
Assumptions
Security objectives for the TOE
Security objectives for the operational environment
Security objectives rationale
Extended components definition
Security functional requirements
Security assurance requirements
Security requirements rationale
15
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

16. ‫امنیتی‬ ‫هدف‬(ST)
SecurityTarget ST introduction
Conformance claims
Security problem
definitions
Extended components
Security objectives
Security requirements
PP reference
TOE reference
TOE overview
TOE description
CC conformance claim
PP claim
Package claim
Conformance rationale
Threats
Organizational security policies
Assumptions
Security objectives for the TOE
Security objectives for the operational environment
Security objectives rationale
Extended components definition
Security functional requirements
Security assurance requirements
Security requirements rationale
TOE summary
specifications
TOE summary specifications
16
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

17. ‫مختلف‬ ‫های‬ ‫بخش‬ ‫بین‬ ‫ارتباط‬
Assumptions
Organizational
Security PolicyThreats
Security Objectives for the
operational environments
Security Objectives for
the TOE
Security Functional
requirements
Assurance Functional
requirements
17
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

18. ‫ارزیابی‬ ‫کاری‬ ‫طرح‬
‫ارزیاب‬ ‫توسط‬/‫شامل‬ ‫و‬ ‫شود‬ ‫می‬ ‫نوشته‬ ‫ارزیابان‬:
•‫خالصه‬ ‫و‬ ‫معرفی‬TOE
•‫ارزیابان‬ ‫های‬ ‫فعالیت‬(‫کاری‬ ‫های‬ ‫بسته‬ ‫تعریف‬WP)
•‫زمانبندی‬ ‫همراه‬ ‫به‬ ‫ارزیابی‬ ‫های‬ ‫استراتژی‬ ‫و‬ ‫نیاز‬ ‫مورد‬ ‫دادنی‬ ‫تحویل‬ ‫موارد‬
•‫ارزیابی‬ ‫کاری‬ ‫طرح‬ ‫روی‬ ‫بر‬ ‫باید‬ ‫دهندگان‬ ‫توسعه‬ ‫و‬ ‫ارزیابان‬(EWP)‫شده‬ ‫آورده‬ ‫های‬ ‫فعالیت‬ ‫و‬
‫کنند‬ ‫توافق‬ ‫آن‬ ‫در‬.
‫کاری‬ ‫های‬ ‫بسته‬(Work Package:)
•‫های‬ ‫کالس‬ ‫از‬ ‫یک‬ ‫هر‬ ‫با‬ ‫مرتبط‬ ‫ارزیابی‬ ‫های‬ ‫فعالیت‬CC‫شود‬ ‫می‬ ‫تعریف‬ ‫کاری‬ ‫بسته‬ ‫قالب‬ ‫در‬.
•‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫طریق‬ ‫از‬ ‫ارزیابان‬ ‫های‬ ‫فعالیت‬WP‫شود‬ ‫می‬ ‫تکمیل‬ ،.
•‫هستند‬ ‫ترتیب‬ ‫دارای‬ ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬(‫قبل‬ ‫های‬ ‫فعالیت‬ ‫اجرای‬ ‫به‬ ‫ها‬ ‫فعالیت‬ ‫برخی‬‫خود‬ ‫ی‬
‫هستند‬.)
•‫دارای‬ ‫بسته‬ ‫هر‬‫ورودی‬‫و‬‫خروجی‬‫است‬ ‫ها‬ ‫بسته‬ ‫دیگر‬ ‫با‬ ‫ارتباط‬ ‫و‬(‫ارزیابی‬ ‫مدل‬ ‫مطابق‬CC)
•‫ارزیابی‬ ‫میانی‬ ‫گزارش‬ ‫یک‬ ‫کاری‬ ‫بسته‬ ‫هر‬ ‫اتمام‬ ‫از‬ ‫بعد‬(ETR)‫شود‬ ‫می‬ ‫صادر‬.
Evaluation
Work Plan
(EWP)
-
-
-
Work
Packages
18
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

19. ‫کاری‬ ‫بسته‬(work package)
‫مالحضات‬ ‫معادل‬‫التین‬ ‫عنوان‬‫کاری‬ ‫بسته‬ ‫کاری‬ ‫بسته‬ ‫شناسه‬(WPID)
‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ‫ارزیابی‬ PP Evaluation ‫ارزیابی‬‫حفاظ‬ ‫پروفایل‬‫تی‬ WP2000
‫ارزیابی‬‫ابهام‬ ‫بدون‬ ‫تشریح‬ ‫و‬ ‫ها‬ ‫بخش‬ ‫و‬ ‫بندها‬ ST Evaluation ‫ارزیابی‬‫امنیتی‬ ‫هدف‬ WP3000
‫پیکربندی‬ ‫مدیریت‬(CM)،‫توسعه‬ ‫محیط‬ ‫امنیت‬
Development
Environment
Evaluation
‫ارزیابی‬‫توسعه‬ ‫محیط‬
‫محصول‬ WP4000
،‫کارکردی‬ ‫های‬ ‫مشخصه‬‫محصول‬ ‫طراحی‬(،‫پایین‬ ‫سطح‬ ،‫باال‬ ‫سطح‬
‫ها‬ ‫ماژول‬ ‫و‬ ‫اجزا‬ ‫ردگیری‬ ‫قابلیت‬)‫آزمون‬ ،‫دهنده‬ ‫توسعه‬ ‫آزمون‬ ،
‫مستقل‬
Implementation
Evaluation
‫ارزیابی‬‫سازی‬ ‫پیاده‬
‫محصول‬ WP5000
‫راهنمای‬‫و‬ ‫انتقال‬ ‫اسناد‬ ،‫اندازی‬ ‫راه‬ ‫و‬ ‫نصب‬ ،‫مدیریت‬ ،‫کاربر‬
‫تحویل‬
Operational
Evaluation
‫عملیات‬ ‫ارزیابی‬‫محصول‬
‫پشتیبان‬ ‫اسناد‬ ‫و‬ WP6000
‫سنجش‬‫کارکردها‬ ‫قوت‬(SOF)،‫محصول‬ ‫کارکرد‬ ‫سوء‬ ‫تحلیل‬ ،
‫پذ‬ ‫آسیب‬ ‫تحلیل‬ ،‫دهنده‬ ‫توسعه‬ ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬‫یری‬
‫نفوذ‬ ‫تست‬ ،‫مستقل‬
Vulnerability
Evaluation
‫ارزیبابی‬‫پذیری‬ ‫آسیب‬ WP7000
،‫مشکالت‬ ‫گزارش‬‫ارزیابی‬ ‫فنی‬ ‫گزارش‬ Reporting ‫گزارش‬‫دهی‬ WP8000
‫شناسه‬ ‫یک‬ ‫با‬ ‫کاری‬ ‫هربسته‬(ID)‫شود‬ ‫می‬ ‫متمایز‬ ‫و‬ ‫تعریف‬.
19
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

20. ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫وابستگی‬
ST
Evaluation
(ASE)
Implementation Evaluation
FD  HLD  LLD
(ADV_ARC/
ADV_TDS/
ADV_IMP)
Development
Environment Evaluation
CM/Development Security
(ALC_CMC,CMS/ALC_DVS)
Tests Evaluation
(ATE_FUC/ATE_COV/
ATE_DPT)
Vulnerability
Evaluation
Developer’s VA
SOF
Misuse
Independent VA
Operational Environment Evaluation
Guidance Documents/Setup and
Installation/ Delivery
(AGD_PRE/AGD_OPE)
HLD: High Level design
FS: Functional Specification
LLD: Low Level design
VA: Vulnerability Assessment
SOF: Strength of Functions
TOEEvaluation
20
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

21. ‫کاری‬ ‫های‬ ‫بسته‬ ‫اجرای‬ ‫ترتیب‬(‫برای‬EAL1)
‫ارزیابی‬ST
ASE
‫مشخصات‬
‫کارمردی‬
ADV_FSP
‫و‬ ‫معماری‬
‫طراحی‬
• ADV_ARC
• ADV_TDS
‫سازی‬ ‫پیاده‬ ‫ارائه‬
‫حیات‬ ‫چرخه‬ ‫و‬
• ADV_IMP
• ALC_CMC
• ALC_CMS
‫راهنما‬ ‫اسناد‬
• AGD_PRE
• AGD_OPE
‫محصول‬ ‫آزمون‬
(‫دهنده‬ ‫توسعه‬)
• ATE_FUN
• ATE_COV
• ATE_DPT
‫مستقل‬ ‫آزمون‬
(‫ارزیاب‬)
ATE_IND
‫آسیب‬ ‫تحلیل‬
‫پذیری‬
AVA_VAN
21
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

22. ‫تحویل‬ ‫قابل‬ ‫موارد‬ ‫و‬ ‫اسناد‬
•‫آزمایشگاه‬ ‫به‬ ‫معرفی‬ ‫و‬ ‫درخواست‬
•‫امنیتی‬ ‫هدف‬(ST)
•‫کارکردی‬ ‫مشخصات‬
•‫باال‬ ‫سطح‬ ‫طراحی‬
•‫پایین‬ ‫سطح‬ ‫طراحی‬
•‫ها‬ ‫نگاشت‬ ‫و‬ ‫تناظرها‬ ‫نمایش‬(‫بین‬ ‫متناظر‬ ‫خروجی‬ ‫و‬ ‫انتزاعی‬ ‫طراحی‬ ‫ردگیری‬ ‫قابلیت‬TFS)
•‫ها‬ ‫آزمون‬ ‫مشخصات‬(‫عمق‬ ‫و‬ ‫پوشش‬ ‫تحلیل‬ ‫شامل‬)
•‫مدیریتی‬ ‫راهنمای‬
•‫سازی‬ ‫پیاده‬ ‫و‬ ‫اندازی‬ ‫راه‬ ،‫نصب‬ ‫راهنمای‬
•‫کاربری‬ ‫راهنمای‬
•‫پیکربندی‬ ‫مدیریت‬ ‫اطالعات‬CM(‫تغییرات‬ ‫و‬ ‫نسخه‬ ‫مدیریت‬)
•‫تحویل‬ ‫و‬ ‫انتقال‬ ‫رویه‬ ‫اطالعات‬(Delivery)
•‫توسعه‬ ‫محیط‬ ‫امنیت‬ ‫اطالعات‬
•‫کارکرد‬ ‫قوت‬ ‫تحلیل‬(SOF)
•‫کاربرد‬ ‫سوء‬ ‫موارد‬ ‫تحلیل‬(Misuse)
•‫پذیری‬ ‫آسیب‬ ‫تحلیل‬(‫دهنده‬ ‫توسعه‬ ‫توسط‬)
•‫ارزیابی‬ ‫مورد‬ ‫محصول‬ ‫منبع‬ ‫کند‬(TOE)
•‫ارزیابی‬ ‫مورد‬ ‫محصول‬(TOE)
22
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

23. ‫فنی‬ ‫ارزیابی‬ ‫چرخه‬
OR:‫اشکاالت‬ ‫و‬ ‫ها‬ ‫خطا‬ ‫گزارش‬ ‫برای‬
‫جزئی‬(minor)-‫جهت‬ ‫رود‬ ‫می‬ ‫انتظار‬
‫شوند‬ ‫طرف‬ ‫بر‬ ‫کاری‬ ‫بسته‬ ‫تکمیل‬.
FN‫و‬OR‫توسط‬‫ارزیاب‬‫و‬‫به‬
‫توسعه‬‫دهنده‬‫صادر‬‫می‬‫شوند‬.
FN:‫برای‬‫گزارش‬‫خطا‬‫ها‬‫و‬
‫اشکاالت‬‫وخیم‬(major)
‫فتی‬ ‫ارزیابی‬ ‫میانی‬ ‫گزارش‬:‫پایان‬ ‫در‬
‫ارزیابی‬ST‫محصول‬ ‫آزمون‬ ‫پایان‬ ‫و‬(TOE)
‫شود‬ ‫می‬ ‫صادر‬ ‫ارزیاباب‬ ‫توسط‬.
‫گزارش‬‫فنی‬‫ارزیابی‬(ETR):‫شامل‬
‫نتایج‬‫تمامی‬‫مراحل‬‫ارزیابی‬(‫بسته‬‫های‬
‫کاری‬)‫و‬‫احکام‬‫صادر‬‫شده‬‫است‬.
ST Evaluation
TOE Evaluation
ETR
(Final)ETR
(Interim) ETR
(Interim)
Observation Reports/
Fault Notifications
Observation Reports/
Fault Notifications
23
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

24. ‫ارزیابی‬ ‫فنی‬ ‫گزارش‬
EvaluationTechnicalReport(ETR)
Introduction
Architectural description
of TOE
Evaluation
Conclusions and
recommendations
Results of Evaluation
List of evaluation evidence
List of acronyms/Glossary
of terms
Observation reports
24
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

25. ‫آزمون‬ ‫کالس‬
‫ها‬ ‫آزمون‬ ‫دسته‬ ‫دو‬ ‫شامل‬:
‫آزمون‬‫توسعه‬‫دهنده‬:‫شامل‬‫آزمون‬‫هایی‬‫که‬‫توسط‬‫توسعه‬‫دهنده‬‫بر‬‫روی‬TOE
‫انجام‬‫می‬‫شود‬.‫شامل‬‫آزمون‬‫پوشش‬‫و‬‫عمق‬.
‫آزمون‬‫مستقل‬:‫توسط‬‫ارزیاب‬‫با‬‫توجه‬‫به‬‫اطالعاتی‬‫که‬‫از‬TOE‫در‬‫اختیار‬‫دارد‬‫به‬
‫صورت‬‫مستقل‬‫انجام‬‫می‬‫گیرد‬.
‫در‬‫ارزیابی‬‫سطح‬‫پایین‬‫الزامی‬‫نیست‬.
‫هدف‬‫از‬‫انجام‬‫این‬‫فعالیت‬‫اثبات‬‫آن‬‫است‬‫که‬‫آیا‬‫محصول‬(TOE)‫آنگونه‬‫که‬‫در‬ST
‫معرفی‬‫و‬‫در‬‫شواهد‬‫بدست‬‫آمده‬‫از‬‫ارزیابی‬(‫تشریح‬‫شده‬‫درکالس‬ADV)
‫مشخص‬‫شده‬،‫است‬‫رفتار‬‫می‬‫کند‬.
‫در‬‫پایین‬‫ترین‬‫سطح‬‫تضمین‬‫الزامی‬‫برای‬‫توسعه‬‫دهنده‬‫برای‬‫ارائه‬‫آزمون‬‫م‬‫حصول‬
‫وجود‬‫ندارد‬‫و‬‫تنها‬‫آزمون‬‫مستقل‬‫توسط‬‫ارزیاب‬(‫با‬‫اطالعات‬‫محدود‬‫در‬‫دسترس‬)
‫انجام‬‫می‬‫شود‬.
ATE_COV
ATE_DTP
ATE_FUN
ATE_IND
Tests (ATE)
25
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

26. ‫پذیری‬ ‫آسیب‬ ‫تحلیل‬ ‫کالس‬
•‫تحلیل‬‫آسیب‬‫پذیری‬‫شامل‬‫فعالیت‬‫هایی‬‫الزام‬‫شده‬‫در‬‫کالس‬‫آسیب‬‫پذیری‬‫معیار‬‫مشترک‬‫است‬.
•‫با‬‫هدف‬‫اطمینان‬‫از‬‫اینکه‬TOE‫از‬‫دیدگاه‬،‫ساخت‬،‫عملیات‬‫پیکربندی‬‫و‬‫سوء‬‫کاربرد‬‫دارای‬‫آسیب‬‫پذیری‬
‫قابل‬‫بهره‬‫برداری‬‫نیست‬.
•‫ارزیاب‬‫باید‬‫تایید‬‫کند‬‫که‬‫آسیب‬‫پذیری‬‫ها‬‫در‬‫محیط‬‫اجرایی‬‫هدف‬‫قابل‬‫بهره‬‫برداری‬‫نیست‬.
•‫تایید‬‫نبود‬‫آسیب‬‫پذیری‬‫قابل‬‫بهره‬‫برداری‬‫از‬‫طریق‬‫بررسی‬‫تحلیل‬‫آسیب‬‫پذیری‬‫توسعه‬‫دهنده‬‫و‬‫اجرای‬
‫تحلیل‬‫آسیب‬‫پذیری‬‫مستقل‬‫توسط‬‫ارزیاب‬‫حاصل‬‫می‬‫گردد‬.
‫تحلیل‬‫آسیب‬‫پذیری‬‫توسعه‬‫دهنده‬:‫در‬‫سطوح‬‫پایین‬‫ارزیابی‬‫الزامی‬‫نیست‬.
‫تحلیل‬‫آسیب‬‫پذیری‬‫مستقل‬:‫همه‬‫سطوح‬‫ارزیابی‬‫می‬‫شود‬‫و‬‫مبتنی‬‫بر‬‫درجه‬‫مقاومت‬‫در‬‫برابر‬‫مهاجم‬(AP)
Vulnerability Assessment (AVA)
26
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

27. ‫حمله‬ ‫پتانسیل‬
‫حمله‬ ‫پتانسیل‬(Attack Potential)
•‫معیار‬‫ای‬ ‫شده‬ ‫تعریف‬ ‫پیش‬ ‫از‬‫که‬‫حمله‬ ‫برابر‬ ‫در‬ ‫محصول‬ ‫مقاومت‬ ‫میزان‬‫احتمالی‬‫را‬ ‫مهاجم‬‫می‬‫سنجد‬.
•‫پتانسیل‬‫اصلی‬ ‫معیار‬ ‫سه‬ ‫براساس‬ ‫حمله‬‫انگیزه‬،‫تخصص‬‫و‬‫حمله‬ ‫منابع‬‫شود‬ ‫می‬ ‫تعیین‬.
•‫مهاجم‬ ‫حمله‬ ‫پتانسیل‬ ،‫برداری‬ ‫بهره‬ ‫قابل‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ،‫عملیاتی‬ ‫محیط‬ ‫هر‬ ‫برای‬(‫م‬ ‫توانایی‬‫در‬ ‫هاجم‬
‫حمله‬)‫شود‬ ‫می‬ ‫محاسبه‬ ،.
‫محاسبه‬ ‫معیارهای‬
•‫شده‬ ‫سپری‬ ‫زمان‬(Elapsed Time):1-19‫امتیاز‬
•‫ویژه‬ ‫تخصص‬(Special expertise):0-8‫امتیاز‬
•‫محصول‬ ‫دانش‬(Knowledge of TOE):0-10‫امتیاز‬
•‫فرصت‬ ‫پنجره‬(Window of opportunity):0-10‫امتیاز‬(‫مثال‬:‫نیاز‬ ‫مورد‬ ‫های‬ ‫نمونه‬ ‫تعداد‬)
•‫افزار‬ ‫سخت‬/‫نیاز‬ ‫مورد‬ ‫تجهیزات‬ ‫یا‬ ‫افزار‬ ‫نرم‬(HW/SW):0-9‫امتیاز‬
‫نهایی‬ ‫ارزیابی‬
•‫است‬ ‫مقاوم‬ ‫زیر‬ ‫حمله‬ ‫پتانسیل‬ ‫با‬ ‫حمالت‬ ‫برابر‬ ‫در‬ ‫محصول‬:
o‫مقدماتی‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬10‫باشد‬ ‫امتیاز‬.
o‫یافته‬ ‫افزایش‬ ‫مقدماتی‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬14‫باشد‬ ‫امتیاز‬.
o‫متوسط‬:‫نیازمند‬ ‫حداقل‬ ‫حمله‬ ‫موفقیت‬ ‫اگر‬20‫باشد‬ ‫امتیاز‬.
o‫زیاد‬:‫نیازمند‬ ‫حداقل‬ ‫حمالت‬ ‫موفقیت‬ ‫اگر‬25‫باشد‬ ‫امتیاز‬
AVA_VAN.1
AVA_VAN.2
EAL
1-3
AVA_VAN.3EAL
4
AVA_VAN.4ELA
5
AVA_VAN.5ELA
6,7
‫مقدماتی‬
‫مقدماتی‬-‫یافته‬ ‫افزایش‬
‫متوسط‬
‫زیاد‬
27
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

28. ‫ارزیابی‬ ‫های‬ ‫هزینه‬ ‫بررسی‬
‫ارزیابی‬ ‫های‬ ‫هزینه‬
‫ارزیابی‬ ‫پیش‬
‫ارزیابی‬
‫گواهینامه‬
‫داخلی‬ ‫هزینه‬
‫قیمت‬ ‫بر‬ ‫موثر‬ ‫عوامل‬
•‫تضمین‬ ‫سطح‬
•‫عملکرد‬ ‫حوزه‬
•‫محصول‬ ‫طراحی‬
•‫مشکالت‬ ‫با‬ ‫برخورد‬
‫زمان‬ ‫بر‬ ‫موثر‬ ‫عوامل‬
•‫ادعا‬ ‫مورد‬ ‫تضمین‬ ‫بسته‬
•‫شده‬ ‫اضافه‬ ‫امنیتی‬ ‫های‬ ‫قابلیت‬
•‫محصول‬ ‫توسعه‬ ‫زمانی‬ ‫های‬ ‫بازه‬
•‫شده‬ ‫تحویل‬ ‫های‬ ‫ارزیابی‬ ‫کیفیت‬
•‫ارزیاب‬ ‫منابع‬ ‫و‬ ‫دهنده‬ ‫توسعه‬ ‫به‬ ‫دسترسی‬ ‫قابلیت‬
•‫ارزیاب‬ ‫و‬ ‫دهنده‬ ‫توسعه‬ ‫بین‬ ‫ارتباطات‬ ‫کیفیت‬
28

29. ‫توجه‬
‫نیست‬ ‫بودن‬ ‫نقص‬ ‫بی‬ ‫و‬ ‫کامل‬ ‫معنای‬ ‫به‬ ‫گواهینامه‬ ‫صدور‬
‫نیس‬ ‫محصول‬ ‫بودن‬ ‫نفوذ‬ ‫غیرقابل‬ ‫معنای‬ ‫به‬ ‫گواهینامه‬ ‫دریافت‬‫ت‬
Certification Perfection
29
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

30. ‫نیازها‬ ‫و‬ ‫ها‬ ‫چالش‬
‫مشترک‬ ‫ادبیات‬
/‫حفاظتی‬ ‫پروفایل‬
‫زبانی‬ ‫ابهامات‬ ‫و‬ ‫اشتباهات‬‫و‬‫مفه‬‫ومی‬
‫بومی‬ ‫زبان‬ ‫به‬ ‫تبدیل‬ ‫در‬
‫تخصصی‬ ‫پرسنل‬
(‫مهندسی‬‫تست‬‫امنیت‬ ‫و‬)
‫و‬ ‫مستندات‬ ‫نظام‬
‫یکپارچه‬ ‫های‬ ‫رویه‬
‫اختیارات‬ ‫و‬ ‫مجوزها‬
‫الزم‬(ISO17025‫درجه‬ ،
‫و‬ ‫اطالعات‬ ‫بنده‬ ‫طبقه‬..).
‫گذاری‬ ‫قیمت‬ ‫سیاست‬
30
By Mahdi sayad | Email: mehdi.sayad@yahoo.com

31. ‫تشکر‬ ‫با‬
‫پایان‬
31

32. 32

33. ‫منابع‬
1) Algirdas Avizienis, Fundamental Concepts of Computer System Dependability, ARP/IEEE-RAS Workshop on Robot Dependability,2001.
2) Common Criteria Familiarization (slides), NIST.
3) Common Criteria for IT Security Evaluation, Part 1, 2 & 3, 2012. http://www.commoncriteriaportal.org/cc/
4) Common Criteria User Guides, 1999. https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm
5) Common Criteria Evaluation methodology, http://www.commoncriteriaportal.org/cc/
6) FAA System Security Testing and Evaluation, MITRE TECHNICAL REPORT,2003.
7) Seungjoo Kim, security analysis and evaluation lab slides, Korean university. 2012.
8) Managing IT security using common criteria, ISACA –CETIC Meeting, 2007.
9) Common Criteria and Protection Profiles: How to Evaluate Information, SANS Institute, 2003.
10) Applying the Common Criteria to the Certification & Accreditation of Department of Defense Unclassified Information Technology
Systems, SANS Institute, 2003.
11) Trusted Computer System Evaluation Criteria(DoD5200.28), Department Of Defense, 1985.
12) Common Criteria IT Security Evaluation & the National Information Assurance Partnership Facts Sheet.
13) FIPS140-2: Security Requirements For Cryptographic Modules, National Institute of Standards and Technology,2001.
14) NIST Special Publication 800-53.r4: Security and Privacy Controls for Federal Information Systems and Organizations, 2013.
15) NIST Special Publication 800-53A.r4:Assessing Security and Privacy Controls for Federal Information Systems and Organizations, 2014.
16) NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment, 2008.
33