RELIANOID תאימות לתקן ISO/IEC 15408 (קריטריונים משותפים)

נבדק לאחרונה: ספטמבר 2025
מועד אחרון לסקירה הבאה: ספטמבר 2026

הצהרת תאימות ISO/IEC 15408

יישור אבטחה של Common Criteria עבור RELIANOID מאזן עומסים וארגון

RELIANOID מתיישב עם עקרונות ה- ISO / IEC 15408: 2022, הידוע גם ב קריטריונים משותפים להערכת אבטחת טכנולוגיית מידע (CC)תקן בינלאומי זה מאפשר הערכה מובנית של מאפייני האבטחה של מוצרי IT ולעתים קרובות נדרש ברכש ממשלתי ותשתיות קריטיות.

בעוד RELIANOID לא עבר הסמכה רשמית תחת הקריטריונים המשותפים, שלנו בקרות ארגוניות ו ארכיטקטורת פלטפורמת איזון עומסים מתואמים היטב עם ה- עקרונות רמת הבטחת הערכה משותפת (EAL), במיוחד בהקשר של פריסות ענן ופריסות מקומיות בסביבות בעלות אבטחה גבוהה.

מה זה ISO/IEC 15408?

תקן ISO/IEC 15408 מספק מסגרת להערכת אבטחת מוצרי IT באמצעות:

  • דרישות פונקציונליות אבטחה (SFR) – התכונות וההגנות שמספק מוצר
  • דרישות אבטחת אבטחה (SAR) – הראיות והתהליכים המדגימים כיצד תכונות אלו מיושמות בצורה מאובטחת

זה אומץ באופן נרחב על ידי סוכנויות לאומיות לביטחון סייבר ו מגזרים מוסדרים כגון ביטחון, אנרגיה, פיננסים ורכש ממשלתי.

היקף המוצר ויעד ההערכה (TOE)

השמיים אֶצבַּע מקיף את כל RELIANOID רכיבי ארגון:

  • מרכיבים: התקני חומרה, פלטפורמת תוכנה וממשקי ניהול (ממשק משתמש אינטרנטי, ממשק שורת פקודה (CLI), API).
  • מחזור החיים של LTS: כל גרסאות הארגון הן בעלות תמיכה ארוכת טווח. גרסה עיקרית נוכחית: v8 (נתמך עד יוני 2029).
  • מערכת הפעלה: תולעת ספרים של דביאן.
  • דגמי פריסה: בעיקר מקומי; נתמך גם בסביבות ענן והיברידיות.
  • טופולוגיות: עצמאי, מקובץ באשכולות ובמצב כפול עם שחזור מאסון (DR).

יישור ארגוני עם קריטריונים משותפים

RELIANOID פועל לפי עקרונות מרכזיים של אבטחת מידע ומחזור חיים של תקן ISO/IEC 15408 בכל הנוגע לשיטות הפיתוח, הפריסה והתפעול הפנימיות שלנו.

מודל יעדי אבטחה ואיום

אנו מקיימים מערכת פנימית מסמך יעד אבטחה בהתאם למבנה הקריטריונים המשותפים, המגדיר:

  • נכסים מוגנים (למשל, תעבורת רשת, תצורות, אישורים)
  • איומים שטופלו (למשל, הסלמת הרשאות, אדם בתווך, גישה לא מורשית)
  • הנחות ושיקולים סביבתיים (למשל, מיקום רשת מאובטח)

בקרות עיצוב ופיתוח

מחזור חיי פיתוח התוכנה המאובטח שלנו (SSDLC) משלב:

  • בדיקות אבטחה אוטומטיות יומיות (SAST, DAST)
  • סריקת פגיעויות של ספריות של צד שלישי
  • בקרת שינויים רשמית ותיעוד גרסאות
  • חתימת קוד ובדיקות שלמות שחרור

מיפוי דרישות פונקציונליות אבטחה (SFR)

RELIANOID Load Balancer מיישם מערך רחב של בקרות שוות ערך ל-SFR, כולל:

  • זיהוי ואימות (FIA): משתמשים מאמתים באמצעות סיסמאות, זוגות מפתחות או SSO. גישת API היא לכל משתמש באמצעות טוקנים שנוצרו; כל הממשקים תומכים בזרימות אימות מאובטחות.
  • בקרת גישה (AC/FMT/FDP): בקרת גישה מבוססת תפקידים נאכפת על פני כל הרכיבים והממשקים (Web, CLI, API), כולל בקרות לפי אובייקט בשירותי איזון עומסים.
  • ביקורת ואחריות (FAU): יומני ביקורת ויומני מערכת מאוחסנים כברירת מחדל למשך 7 ימים וניתן לייצא אותם או לשלב אותם עם פלטפורמות SIEM.
  • תמיכה קריפטוגרפית (FCS): קריפטוגרפיה חזקה עם אורכי מפתחות ארוכים. TLS גרסה 1.2 ומעלה כברירת מחדל (TLS גרסה 1.3 מועדף). פרוטוקולים/צפנים מדור קודם מושבתים כברירת מחדל וניתן להפעיל אותם ידנית במידת הצורך. מודולים אופציונליים מאומתים על ידי FIPS 140.
  • הגנת נתוני משתמש (FDP): נתוני משתמש מאוחסנים רק בעת הצורך ותמיד מוצפנים במנוחה (למשל, משתמשים וסיסמאות).
  • ניהול אבטחה (FMT): משתמש Root משמש כחשבון ניהול ראשי. משתמשים, קבוצות והרשאות נוספים ניתנים להגדרה דרך מודול RBAC.
  • הגנה על פונקציות אבטחה של TOE (FPT): אתחול מאובטח, מודולי ליבה חתומים וגישה למאגר המוגנת על ידי GPG מיושמים.
  • הגנת תקשורת (FTP/FTA): כל התקשורת מוצפנת; ניהול הסשנים כולל בקרות תפוגה ואימות מחדש.

יישור דרישות אבטחת אבטחה (SAR)

  • עיצוב ותיעוד: תיעוד פנימי (מודולים, דיאגרמות ארכיטקטורה) זמין ב... שלנו ידע בסיסי.
  • סקירות וסריקת קוד: סריקת קוד אוטומטית ובסיוע בינה מלאכותית עם ביקורות עמיתים ידניות.
  • ניהול פגיעות: סריקות פגיעויות שבועיות, דוחות רבעוניים וטאצ'ים המבוססים על מעקב CVE מתפרסמים במערכת שלנו ציר זמן.
  • בדיקות עצמאיות: בדיקות חדירה וסריקות חיצוניות ברמות האפליקציה, הרשת והתשתית.
  • בדיקה פורמלית: בדיקות אבטחה אוטומטיות יומיות עם כיסוי מורחב בכל מחזור שחרור.

תהליכי פיתוח ותחזוקה

  • SSDLC: דרישות ← עיצוב ← יישום ← בדיקות ← אימות ← שיפור מתמיד. מנוהל באמצעות Git, Gitea וכלי אוטומציה פנימיים.
  • ניהול שינויים ותצורה: זרימות עבודה לאישור, הליכי החזרה למצב קודם ותיעוד של שינויים שהוחלו בסביבות שונות.
  • ניהול שחרורים: עדכונים נארזים, נבדקים ומופצים בצורה מאובטחת. אימות טרום-ייצור מתבצע לפני קידום למאגרי ייצור.

אבטחה תפעולית

  • תגובה לאירוע: נהלי הסלמה ופתרון מוגדרים עם זמן תגובה ממוצע של כ-2 דקות.
  • מעקב: מדדים בזמן אמת עם מערכות משולבות לגילוי/מניעת חדירות. מודיעין איומים משותף עם פלטפורמות קהילתיות ותעשייתיות.
  • גיבוי ו-DR: גיבויים מוצפנים שבועיים עם בדיקות שחזור חודשיות.

שימוש בסביבות מוסדרות ומאושרות

למרות שאין אישור רשמי, RELIANOID תומך:

  • שילוב במערכות המוערכות על ידי Common Criteria
  • הערכות רכש של לקוחות בסביבות ממוקדות EAL
  • תיעוד מובנה התואם לתוכניות לאומיות (למשל, CCN-STIC, NIAP, BSI TR)

מדדי הבטחה וראיות

כדי לתמוך ביעדי הבטחת איכות התואמים לקריטריונים המשותפים, אנו מספקים:

  • הערות גרסה עם יומני שינויים מפורטים
  • תיעוד עיצוב אבטחה מונחה איומים
  • סריקת פגיעויות ודוחות תיקון בארכיון
  • מדריכי פריסה מאובטחים ורשימות תיוג לחיזוק

יישור ארגוני

  • ניהול אבטחה: צוות תאימות אבטחה בראשות מנכ"ל, מנהל טכנולוגיות ראשי ומנהל תפעול ראשי, המבטיח פיתוח מאובטח, תהליכים ותאימות.
  • הדרכת אבטחת עובדים: מפגשי הדרכה רבעוניים ומודעות מתמשכת לאיומי התעשייה.
  • ביקורות אבטחה פנימיות: ביקורות רבעוניות עם מעקב אחר תיקונים. הדוחות זמינים לציבור.
  • מדיניות: מדיניות שפורסמה הכוללת פרטיות, תגובה לאירועים, המשכיות עסקית, הפרדת נתונים גלובלית, סיכון צד שלישי, בקרת גישה, שימוש מקובל וטיפול בנתונים.

עדות תומכת

  • הכי מאוחר RELIANOID דוח אבטחה: אושר כגרסה המעודכנת ביותר.
  • בסיס ידע: ניירות עמדה, גיליונות נתונים ודיאגרמות ארכיטקטורה מעודכנים: ידע בסיסי.
  • הצהרות אחריות לקוחות: הצהרות שפורסמו עבור תעשיות מפוקחות, בהתאם לתקנות אבטחת הסייבר המתפתחות.

מחויבות לעקרונות הקריטריונים המשותפים

RELIANOID מחויב ל:

  • יישור פיתוח תכונות חדשות עם מתודולוגיית העיצוב של Common Criteria
  • תמיכה במאמצי הערכה בהובלת הלקוח
  • שמירה על סביבת פיתוח מאובטחת ומודעת לאיומים
  • הבטחת שקיפות ויושרה לאורך מחזור חיי המוצר

סקירות מסמכים

תַאֲרִיך תגובה
10th יולי 2025 פרסום ראשוני של יישור תאימות לתקן ISO/IEC 15408
2nd ספטמבר 2025 היקף TOE מורחב, מיפוי SFR מעודכן, יישור SAR, פרטי SSDLC ופעולות, ממשל ארגוני וראיות תומכות

יצירת קשר והבטחה

אנו מקבלים בברכה בקשות לחומרי הערכה טכניים, סיכומי יעדי אבטחה או תמיכה בפרויקטים של רכש לפי Common Criteria.

צרו קשר עם צוות התאימות והאבטחה שלנו

הורד את דוח האבטחה העדכני ביותר