المعايير المشتركة (CC) هي معيار دولي (ISO/IEC 15408) لتقييم منتجات أمن تكنولوجيا المعلومات. ويوفر إرشادات ومواصفات لضمان تلبية هذه المنتجات معايير الأمان المعترف بها، وخاصة بالنسبة للحكومة وغيرها من البيئات الأمنية العالية.
تم إنشاء المعايير المشتركة في أواخر التسعينيات، وتحمل رسميًا اسم المعايير المشتركة لتقييم أمن تكنولوجيا المعلومات.
المكونات الرئيسية للمعايير المشتركة
يتكون معيار المعايير المشتركة من عنصرين أساسيين:
- ملفات تعريف الحماية. يحدد ملف تعريف الحماية مجموعة من متطلبات الأمان المخصصة لفئة منتج معينة، مثل جدران الحماية, التشفير وحدات أو أنظمة المصادقة. تضمن ملفات تعريف الحماية أن المنتجات التي يتم تقييمها لنفس الغرض تلبي توقعات الأمان المتسقة بالإضافة إلى توافقها مع معايير الصناعة والمعايير الحكومية.
- مستويات ضمان التقييم. تقيس EALs عمق ودقة تقييم المنتج. وهي تتراوح من EAL1 إلى EAL7. يمثل EAL1 مستوى أساسيًا من ضمان الأمان، ويشير EAL 7 إلى تقييم شامل ولكنه لا يعني أن المنتج أكثر أمانًا بطبيعته.
عملية شهادة المعايير المشتركة
لإرسال منتج للحصول على شهادة المعايير العامة، يجب على الموردين اتباع عدة خطوات للتأكد من أن المنتج يلبي معايير CC:
- إعداد الأهداف الأمنية. يقوم البائع بإعداد هدف أمني، وهو مستند يوضح بالتفصيل وظائف أمن المنتجوالقدرات والبيئة التشغيلية المقصودة. يحدد ST أيضًا ملف تعريف الحماية ومستوى ضمان التقييم الذي يستهدفه البائع.
- التقييم المختبري. بعد اكتمال الهدف الأمني، يقوم مختبر اختبار مستقل، معتمد من قبل ترتيب التعرف على المعايير المشتركة (CCRA)، بتقييم المنتج. يقوم المختبر بمراجعة المنتج وفقًا للمعايير الموضحة في ملف تعريف الحماية المختار ومستوى ضمان التقييم. وهم يتحققون من أن ميزات المنتج تتوافق مع مطالبات الأمان ويختبرونها مقابلها التهديدات الأمنية المحتملة.
- إصدار الشهادة. بعد التقييم الناجح، يحصل المنتج على شهادة المعايير المشتركة. توفر هذه الشهادة للعملاء ضمانًا بأن المطالبات الأمنية للمنتج قد تم التحقق منها بشكل مستقل.
ترتيب الاعتراف بالمعايير المشتركة
CCRA هي اتفاقية دولية تسهل القبول العالمي للمعايير المشتركة المعتمدة منتجات. توافق الدول الأعضاء على الاعتراف بالشهادات التي تصل إلى EAL2، والتي تمكن بائعي المنتجات من الحصول على شهادة مقبولة دوليًا دون الخضوع لتقييمات منفصلة في كل دولة.
حاليًا، تشارك أكثر من 30 دولة، بما في ذلك الولايات المتحدة وكندا والمملكة المتحدة وألمانيا، في CCRA، مما يجعلها معيارًا معترفًا به عالميًا لشهادات المنتجات الأمنية.
مزايا وقيود المعايير المشتركة
في حين أن إطار المعايير المشتركة يوفر مزايا كبيرة، إلا أنه يحتوي أيضًا على بعض القيود.
المزايا
- الاعتراف الدولي. يتم الاعتراف بشهادة المعايير المشتركة من قبل الحكومات والمنظمات على مستوى العالم، مما يقلل الحاجة إلى شهادات متعددة عبر البلدان المختلفة.
- الاتساق في معايير الأمن. باستخدام ملفات تعريف الحماية، تعمل المعايير المشتركة على توحيد توقعات الأمان، مما يضمن الاتساق في أمان المنتج عبر الفئات المماثلة.
- التحقق المستقل. توفر الشهادة تقييمًا محايدًا للبائع، مما يوفر للعملاء التحقق غير المتحيز من ميزات أمان المنتج.
القيود
- التكلفة والوقت مكثفة. يعد الحصول على الشهادة، خاصة في مستويات EALs الأعلى، عملية مكلفة وطويلة، مما يجعل من الصعب على الشركات الصغيرة المشاركة.
- سوء تفسير مستويات EAL. إن الافتراض بأن مستويات EALs الأعلى تضمن أمانًا أفضل هو افتراض غير صحيح، حيث تشير EALs فقط إلى شمولية عملية التقييم.
- تحديث التحديات. تعتمد الشهادة على المنتج كما تم تقييمه. لذلك، التحديثات المستقبلية أو بقع قد لا تحتفظ تلقائيًا بالشهادة الأصلية، مما يتطلب إعادة التقييم في بعض الحالات.
الأهمية المتطورة للمعايير المشتركة في الأمن السيبراني
في عصر حيث الأمن السيبراني نظرًا لأن التهديدات أصبحت معقدة بشكل متزايد، تظل المعايير المشتركة عنصرًا حيويًا في بناء الثقة في منتجات أمن تكنولوجيا المعلومات. ومع تطور التهديدات الأمنية، فإن الحاجة إلى نهج موحد لتقييم المنتجات الأمنية أمر بالغ الأهمية لكل من القطاعين الحكومي والتجاري.
ومع الدعم المستمر من الدول الأعضاء والتحديثات على المعايير، تتطور المعايير المشتركة لمواجهة التحديات الأمنية الناشئة، مما يجعلها ذات صلة بالمنتجات الأمنية من الجيل التالي، بما في ذلك تلك التي تتضمن الأمن السحابي, منظمة العفو الدولية و إنترنت الأشياء التقنيات.
تحقق من لدينا الدليل النهائي لتخطيط الأمن السيبراني للشركات، والتعرف على ضوابط الأمن السيبراني وكيفية وضعها. يستكشف الأنواع الشائعة من هجمات البرامج الضارة وكيفية الوقاية منها, نصائح لبناء ثقافة الأمن السيبراني في شركتك و التحديات الرائدة في مجال الأمن السيبراني للمؤسسات.
