ตั้งแต่ปี 1990 เป็นต้นมา ISO ได้พยายามกำหนดเกณฑ์การประเมินระดับสากลสำหรับความปลอดภัยของระบบสารสนเทศเพื่อวัตถุประสงค์ทั่วไป งานนี้นำไปสู่การกำเนิดของมาตรฐาน ISO 15408 ในเดือนมิถุนายน พ.ศ. 2542
มาตรฐาน ISO 15408 ซึ่งเพิ่งเผยแพร่สู่สาธารณะ ทำให้สามารถแยกแยะข้อกำหนดด้านการทำงานและข้อจำกัดด้านการรับประกันได้ โดยเป็นส่วนหนึ่งของการประเมินความปลอดภัยของระบบไอที คุณลักษณะที่ขาดมาตรฐานลูกพี่ลูกน้อง ITSec (เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ)
โครงการรักษาความปลอดภัยที่สอดคล้องกันมากขึ้น
” สิ่งนี้เกี่ยวข้องกับการสร้างความมั่นใจว่าในด้านหนึ่ง ฟังก์ชั่นความปลอดภัยมีความเกี่ยวข้อง มีประสิทธิภาพและนำไปใช้อย่างถูกต้อง และในทางกลับกัน กลไกการรักษาความปลอดภัยที่สำคัญทั้งหมดได้รับการทดสอบเพื่อสร้างความสามารถในการต้านทานการโจมตีทั้งทางตรงและทางอ้อม” Georges อธิบาย Faidherbe หัวหน้าฝ่ายมาตรฐานที่ CF6 ความสนใจของมาตรฐาน ISO 15408 คือการเสนอให้บริษัทต่างๆ มีความเป็นไปได้ในการสร้างความสอดคล้องอย่างแท้จริงในการรักษาความปลอดภัยของระบบข้อมูลของตน การประสานกันนี้ขึ้นอยู่กับข้อกำหนดด้านการทำงานสิบเอ็ดประการ (การเข้ารหัส การรับรองความถูกต้อง การระบุตัวตน ฯลฯ) และระดับการรับประกันเจ็ดระดับ (เช่น การต้านทานของกลไก) ” มาตรฐานนี้ทำให้สามารถสร้างโครงการรักษาความปลอดภัยในด้านเทคนิค องค์กร และเชิงบรรทัดฐานได้ โดยสอดคล้องกับความต้องการที่แสดงออกมาอย่างสมบูรณ์แบบ ต้นทุนและการนำไปใช้งานจะลดลง ในขณะที่มีการเสริมความปลอดภัย” Georges Faidherbe ยืนกราน แนวคิดพื้นฐานของมาตรฐานใหม่นี้ถูกกำหนดโดยโปรไฟล์การป้องกัน (PP) “โปรไฟล์การป้องกันคือชุดของความต้องการด้านความปลอดภัย โดยรวบรวมสภาพแวดล้อมการรักษาความปลอดภัยที่บริษัทดำเนินการ วัตถุประสงค์ด้านความปลอดภัยที่เก็บรักษาไว้ ข้อกำหนดด้านการทำงานและการรับประกัน และเอกสารประกอบที่จำเป็นสำหรับห้องปฏิบัติการประเมินผล” กล่าวต่อ สามารถเผยแพร่โปรไฟล์การป้องกันได้ มีจำหน่ายบนอินเทอร์เน็ตและบริษัทต่างๆ สามารถนำกลับมาใช้ใหม่ได้ ขึ้นอยู่กับโครงการที่พวกเขาต้องการดำเนินการ ตัวอย่างเช่น การรักษาความปลอดภัยอินทราเน็ตอาจอยู่ภายใต้ PP หลายรายการ ตามวัตถุประสงค์ด้านความปลอดภัยที่แตกต่างกัน
โปรไฟล์การป้องกันจะต้องได้รับการประเมินโดยศูนย์ที่ได้รับอนุมัติ
อย่างไรก็ตาม การใช้ซ้ำมีนัยถึงข้อจำกัด: บริษัทที่ใช้ PP ที่มีอยู่สามารถเพิ่มข้อกำหนดด้านความปลอดภัยให้กับ PP ที่เผยแพร่เท่านั้น และไม่สามารถลบออกได้ “วัตถุประสงค์คือเพื่อให้ระบบรักษาความปลอดภัยข้อมูลมีประสิทธิภาพมากขึ้น” Georges Faidherbe กล่าวเสริม สุดท้ายนี้ PP จะต้องได้รับการประเมินโดย Cesti (ศูนย์ประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ) ที่ได้รับอนุมัติ “CF6 ได้ยื่นขออนุมัติ Cesti จากบริการที่มีความสามารถของ SCSSI (Central Information Systems Security Service) ด้วยความเชี่ยวชาญที่สั่งสมมายาวนานกว่า 15 ปี” หัวหน้าฝ่ายมาตรฐานของ CF6 กล่าวสรุป -
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
