ISO/IEC 15408-1-2005 – “Axborot texnologiyasi. Xavfsizlikni ta’minlash metodlari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari”
ISO/IEC 15408-2005 xalqaro standarti ISO/IEC JTC 1 «Axborot texnologiyalari» Birgalikdagi texnik qo‘mita, SC 27 «AT xavfsizligini ta’minlash metodlari va vositalari» kichik qo‘mita tomonidan tayyorlangan. ISO/IEC 15408-2005 ga o‘xshash matn «Axborot texnologiyalari xavfsizligini baholashning umumiy mezonlari» 2.3-versiya (2.3 UM deb nomlanadi) sifatida «Umumiy mezonlar» loyihasining homiy-tashkilotlari tomonidan e’lon qilingan.
Standartning ikkinchi tahriri texnik jihatdan qayta ishlashga to‘g‘ri kelgan birinchi tahrir (ISO/IEC 15408:1999)ni bekor qiladi va uni almashtiradi.
ISO/IEC 15408-2005 ga o‘xshash bo‘lgan O‘z DSt ISO/IEC 15408 «Axborot texnologiyalari - Xavfsizlikni ta’minlash metodlari va vositalari - Axborot texnologiyalari xavfsizligini baholash mezonlari» umumiy sarlavha ostidagi quyidagi qismlardan tashkil topgan:
1-qism: Kirish va umumiy model;
2-qism: Xavfsizlikka qo‘yiladigan funksional talablar;
3-qism: Xavfsizlikka qo‘yiladigan ishonch talablari.
O‘z DSt ISO/IEC 15408 xavfsizlikni mustaqil baholash natijalarini qiyoslash imkoniyatini beradi. Bunga AT mahsulotlari va tizimlarining xavfsizlik funksiyalariga va xavfsizlikni baholashda ularga qo‘llaniladigan ishonch choralariga qo‘yiladigan talablar umumiy to‘plamining taqdim etilishi bilan erishiladi.
Bunday mahsulotlar yoki tizimlarning xavfsizlik funksiyalari, shuningdek oldindan qo‘llaniladigan ishonch choralari qo‘yiladigan talablarga javob berishi bois, baholash jarayonida belgilangan ishonch darajasiga erishiladi. Baholash natijalari iste’molchilarga AT mahsulotlari yoki tizimlari ularning taxmin qilinayotgan qo‘llanilishi uchun yetarli darajada xavfsiz ekanligiga va ulardan foydalanishda bashoratqilinayotgan xavf-xatarlarning maqbulligiga ishonch hosil qilishlariga yordam berishi mumkin.
O‘z DSt ISO/IEC 15408 AT mahsulotlari va tizimlarining xavfsizlik funksiyalari bilan ishlab chiqilishidagi kabi, shunday funksiyali tijorat mahsulotlari va tizimlarining sotib olinishida ham qo‘llanma sifatida foydali. ATning bunday mahsuloti yoki tizimining baholanishi baholash ob’ekti (BO) deb ataladi. Bunday BOga, masalan, operasion tizimlar, hisoblash tarmoqlari, taqsimlangan tizimlar va ilovalar kiradi.
O‘zDStISO/IEC 15408 axborotni ruxsat etilmagan tarzda ochish, modifikasiya qilish yoki undan foydalanish imkoniyatini yo‘qotishdan muhofaza qilinishiga yo‘naltirilgan. Xavfsizlik buzilishining ushbu uchta turiga taalluqli bo‘lgan muhofaza toifalari, odatda, mos ravishda, konfidensiallik, butunlik va foydalana olishlik deb ataladi. Shuningdek, O‘zDStISO/IEC 15408 AT xavfsizligining ushbu uchta tushuncha doirasidan tashqaridagi jihatlariga qo‘llanilishi mumkin. O‘z DSt ISO/IEC 15408 insonning g‘araz niyatli harakatlari kabi, boshqa harakatlar natijasida yuzaga keladigan axborot tahdidlariga qaratilgan, shuningdek O‘z DSt ISO/IEC 15408 inson omili bilan bog‘liq bo‘lmagan ba’zi bir tahdidlar uchun ham qo‘llanilishi mumkin. Bundan tashqari, O‘z DSt ISO/IEC 15408 ATning boshqa sohalarida qo‘llanilishi mumkin, biroq ularning vakolati qat’iy chegaralangan AT xavfsizligi sohasidan tashqarida deklarasiya qilinmaydi.
O‘zDStISO/IEC 15408 apparat, dasturiy-apparat va dasturiy vositalar tomonidan amalga oshiriladigan AT xavfsizligi choralariga qo‘llaniladi. Agar, ayrim baholash jihatlari faqat amalgaoshirishning ba’zi bir usullari uchun qo‘llanilishi taxmin qilinsa, bu tegishli mezonlarni bayon qilishda ko‘rsatib o‘tiladi.
Do'stlaringiz bilan baham: |