RELIANOID الامتثال لمعيار ISO/IEC 15408 (المعايير المشتركة)

آخر مراجعة: سبتمبر 2025
موعد المراجعة القادمة: سبتمبر 2026

بيان الامتثال لمعيار ISO/IEC 15408

محاذاة المعايير الأمنية المشتركة لـ RELIANOID موازن التحميل والتنظيم

RELIANOID يتماشى مع مبادئ ISO / IEC 15408: 2022، والمعروفة أيضا باسم المعايير المشتركة لتقييم أمن تكنولوجيا المعلوماتيتيح هذا المعيار المعترف به دوليًا إجراء تقييم منظم لخصائص أمان منتجات تكنولوجيا المعلومات، وهو مطلوب غالبًا في المشتريات الحكومية والبنية التحتية الحيوية.

بينما RELIANOID لم تخضع لشهادة رسمية بموجب المعايير المشتركة، الضوابط التنظيمية و هندسة منصة موازنة التحميل تتماشى بقوة مع مبادئ مستوى ضمان التقييم بالمعايير المشتركة (EAL)، لا سيما في سياق النشر السحابي والمحلي في بيئات ذات ضمانات عالية.

ما هو ISO / IEC 15408؟

توفر ISO/IEC 15408 إطارًا لتقييم أمان منتجات تكنولوجيا المعلومات من خلال:

  • المتطلبات الوظيفية الأمنية (SFRs) - الميزات والحماية التي يوفرها المنتج
  • متطلبات ضمان الأمن (SARs) - الأدلة والعمليات التي توضح كيفية تنفيذ هذه الميزات بشكل آمن

يتم اعتماده على نطاق واسع من قبل وكالات الأمن السيبراني الوطنية و القطاعات المنظمة مثل الدفاع، والطاقة، والمالية، والمشتريات الحكومية.

نطاق المنتج وهدف التقييم (TOE)

استخدم TOE يشمل الجميع RELIANOID مكونات المؤسسة:

  • المكونات: الأجهزة، ومنصة البرامج، وواجهات الإدارة (واجهة المستخدم على الويب، وواجهة سطر الأوامر، وواجهة برمجة التطبيقات).
  • دورة حياة LTS: جميع إصدارات Enterprise مدعومة طويل الأمد. الإصدار الرئيسي الحالي: v8 (مدعوم حتى يونيو 2029).
  • نظام التشغيل: ديبيان بوكوورم.
  • نماذج النشر: يتم تقديمه بشكل أساسي في الموقع؛ كما يتم دعمه في البيئات السحابية والهجينة.
  • الطوبولوجيات: مستقل، ومجمع، ومزدوج الوضع مع الاسترداد من الكوارث (DR).

التوافق التنظيمي مع المعايير المشتركة

RELIANOID تتبع مبادئ الضمان الأساسية ودورة الحياة الخاصة بمعيار ISO/IEC 15408 في ممارسات التطوير والنشر والتشغيل الداخلية لدينا.

نموذج الهدف والتهديد الأمني

نحن نحافظ على الداخلية مستند هدف الأمان متوافقة مع هيكل المعايير المشتركة، والتي تحدد:

  • الأصول المحمية (على سبيل المثال، حركة مرور الشبكة، والتكوينات، وبيانات الاعتماد)
  • التهديدات التي تمت معالجتها (على سبيل المثال، تصعيد الامتيازات، والتدخل من قبل الوسيط، والوصول غير المصرح به)
  • الافتراضات والاعتبارات البيئية (على سبيل المثال، وضع الشبكة الآمنة)

ضوابط التصميم والتطوير

تتضمن دورة تطوير البرمجيات الآمنة (SSDLC) الخاصة بنا ما يلي:

  • اختبار الأمان الآلي اليومي (SAST، DAST)
  • فحص الثغرات الأمنية في مكتبات الطرف الثالث
  • التحكم الرسمي في التغيير ووثائق الإصدار المُنسَّقة
  • توقيع التعليمات البرمجية والتحقق من سلامة الإصدار

تعيين متطلبات الوظائف الأمنية (SFR)

RELIANOID ينفذ Load Balancer مجموعة واسعة من عناصر التحكم المكافئة لـ SFR، بما في ذلك:

  • التعريف والمصادقة (FIA): يقوم المستخدمون بالمصادقة عبر كلمات المرور أو أزواج المفاتيح أو تسجيل الدخول الموحد. يكون الوصول إلى واجهة برمجة التطبيقات (API) لكل مستخدم باستخدام الرموز المولدة؛ وتدعم جميع الواجهات تدفقات المصادقة الآمنة.
  • التحكم في الوصول (AC/FMT/FDP): يتم فرض التحكم في الوصول المستند إلى الأدوار عبر جميع المكونات والواجهات (الويب، CLI، API)، بما في ذلك عناصر التحكم لكل كائن في خدمات موازنة التحميل.
  • التدقيق والمساءلة (FAU): يتم تخزين سجلات التدقيق والنظام بشكل افتراضي لمدة 7 أيام ويمكن تصديرها أو دمجها مع منصات SIEM.
  • الدعم التشفيري (FCS): تشفير قوي بأطوال مفاتيح عالية. TLS الإصدار 1.2 أو أعلى افتراضيًا (يُفضل TLS الإصدار 1.3). البروتوكولات/التشفيرات القديمة مُعطّلة افتراضيًا، ويمكن تفعيلها يدويًا عند الحاجة. وحدات اختيارية معتمدة وفقًا لمعيار FIPS 140.
  • حماية بيانات المستخدم (FDP): يتم تخزين بيانات المستخدم فقط عند الحاجة إليها ويتم تشفيرها دائمًا في حالة السكون (على سبيل المثال، المستخدمين وكلمات المرور).
  • إدارة الأمن (FMT): يعمل المستخدم الجذر كحساب إداري أساسي. يمكن تكوين المستخدمين والمجموعات والأذونات الإضافية عبر وحدة RBAC.
  • حماية وظائف أمن TOE (FPT): تم تنفيذ التمهيد الآمن ووحدات النواة الموقعة والوصول إلى المستودع المحمي بواسطة GPG.
  • حماية الاتصالات (FTP/FTA): يتم تشفير كافة الاتصالات؛ وتتضمن إدارة الجلسة عناصر التحكم في انتهاء الصلاحية وإعادة المصادقة.

محاذاة متطلبات ضمان الأمن (SAR)

  • التصميم والتوثيق: الوثائق الداخلية (الوحدات، مخططات الهندسة المعمارية) متاحة في موقعنا الموسوعة المعرفية.
  • مراجعة الكود والمسح الضوئي: مسح الكود آليًا وبمساعدة الذكاء الاصطناعي مع المراجعات اليدوية بين الأقران.
  • إدارة الضعف: عمليات مسح الثغرات الأمنية الأسبوعية، والتقارير ربع السنوية، وإصدارات التصحيحات التي تتبع CVE والتي تم نشرها في الجدول الزمني.
  • الاختبار المستقل: اختبارات الاختراق والفحص الخارجية على مستوى التطبيق والشبكة والبنية الأساسية.
  • الاختبار الرسمي: اختبارات أمان آلية يومية مع تغطية موسعة لكل دورة إصدار.

عمليات التطوير والصيانة

  • SSDLC: المتطلبات ← التصميم ← التنفيذ ← الاختبار ← التحقق ← التحسين المستمر. يُدار باستخدام Git وGitea وأدوات الأتمتة الداخلية.
  • إدارة التغيير والتكوين: سير عمل الموافقة، وإجراءات التراجع، وتوثيق التغييرات المطبقة عبر البيئات.
  • إدارة الإفراج: يتم تجميع التحديثات واختبارها وتوزيعها بشكل آمن. يتم التحقق من صحة ما قبل الإنتاج قبل ترقيتها إلى مستودعات الإنتاج.

الأمن التشغيلي

  • الاستجابة للتهديات : تحديد إجراءات التصعيد والحل مع متوسط ​​وقت للاستجابة يبلغ حوالي دقيقتين.
  • رصد: مقاييس آنية مع أنظمة متكاملة للكشف عن الاختراقات ومنعها. تتم مشاركة معلومات التهديدات مع منصات المجتمع والقطاع.
  • النسخ الاحتياطي والاسترداد بعد الكوارث: نسخ احتياطية مشفرة أسبوعية مع اختبار الاستعادة شهريًا.

الاستخدام في البيئات المنظمة والمعتمدة

على الرغم من عدم اعتمادها رسميًا، RELIANOID يدعم:

  • التكامل في الأنظمة التي يتم تقييمها وفقًا للمعايير المشتركة
  • تقييمات مشتريات العملاء في البيئات التي تركز على اللغة الإنجليزية كلغة ثانية
  • توثيق منظم يتماشى مع المخططات الوطنية (على سبيل المثال، CCN-STIC، NIAP، BSI TR)

تدابير الضمان والأدلة

لدعم أهداف الضمان المتوافقة مع المعايير المشتركة، فإننا نقدم:

  • ملاحظات الإصدار مع سجلات التغييرات التفصيلية
  • توثيق تصميم الأمان القائم على التهديدات
  • أرشفة تقارير فحص الثغرات الأمنية والتصحيحات
  • أدلة النشر الآمن وقوائم التحقق من التحصين

المحاذاة التنظيمية

  • حوكمة الأمن: فريق الامتثال الأمني ​​بقيادة الرئيس التنفيذي والمدير التقني والمدير التنفيذي للعمليات لضمان التطوير الآمن والعمليات ومواءمة الامتثال.
  • تدريب أمن الموظفين: دورات تدريبية ربع سنوية وتوعية مستمرة بتهديدات الصناعة.
  • عمليات التدقيق الأمني ​​الداخلي: عمليات تدقيق ربع سنوية مع تتبع الإصلاحات. التقارير متاحة للعامة.
  • سياسات: السياسات المنشورة التي تغطي الخصوصية، والاستجابة للحوادث، واستمرارية الأعمال، وفصل البيانات العالمية، ومخاطر الطرف الثالث، والتحكم في الوصول، والاستخدام المقبول، ومعالجة البيانات.

الادلة الداعمة

  • الأحدث RELIANOID تقرير الأمان: تم تأكيد أن هذا هو الإصدار الأحدث.
  • قاعدة المعرفة: تم تحديث الكتب البيضاء وبيانات البيانات ومخططات الهندسة المعمارية: الموسوعة المعرفية.
  • بيانات ضمان العملاء: بيانات منشورة للصناعات الخاضعة للتنظيم، تتماشى مع لوائح الأمن السيبراني المتطورة.

الالتزام بمبادئ المعايير المشتركة

RELIANOID تلتزم بما يلي:

  • مواءمة تطوير الميزات الجديدة مع منهجية تصميم المعايير المشتركة
  • دعم جهود التقييم التي يقودها العملاء
  • الحفاظ على بيئة تطوير آمنة واعية بالتهديدات
  • ضمان الشفافية والنزاهة عبر دورة حياة المنتج

مراجعة المستندات

التاريخ كيف
شنومكست يوليو شنومكس النشر الأولي لمواءمة الامتثال لمعيار ISO/IEC 15408
2nd سبتمبر 2025 نطاق TOE الموسع، وتحديث خرائط SFR، ومحاذاة البحث والإنقاذ، وتفاصيل SSDLC وOps، والحوكمة التنظيمية، والأدلة الداعمة

الاتصال والضمان

نحن نرحب بطلبات الحصول على مواد التقييم الفني، أو ملخصات أهداف الأمن، أو الدعم لمشاريع المشتريات ذات المعايير المشتركة.

اتصل بفريق الامتثال والأمان لدينا

تنزيل أحدث تقرير أمني