RELIANOID ISO/IEC 15408 (ühiskriteeriumide) vastavus

Viimati arvustatud: septembris 2025
Järgmise ülevaatuse tähtaeg: septembris 2026

ISO/IEC 15408 vastavusavaldus

Common Criteria Security Joondus ettevõtte jaoks RELIANOID Koormuse tasakaalustaja ja korraldus

RELIANOID on kooskõlas põhimõtetega ISO / IEC 15408: 2022, Mida tuntakse ka Infotehnoloogia turvalisuse hindamise ühised kriteeriumid (CC)See rahvusvaheliselt tunnustatud standard võimaldab IT-toodete turvaomaduste struktureeritud hindamist ning on sageli nõutav valitsuse ja kriitilise infrastruktuuri hangetes.

Kui RELIANOID ei ole läbinud ametlikku sertifitseerimist Common Criteria alusel, meie organisatsioonilised kontrollimeetmed ja koormuse tasakaalustamise platvormi arhitektuur on tugevalt kooskõlas Ühiste kriteeriumide hindamise kindlustaseme (EAL) põhimõtted, eriti pilve- ja kohapealsete juurutuste kontekstis kõrge kindlusega keskkondades.

Mis on ISO/IEC 15408?

ISO/IEC 15408 pakub raamistiku IT-toodete turvalisuse hindamiseks järgmiste vahenditega:

  • Turvalisuse funktsionaalsed nõuded (SFR-id) – toote pakutavad omadused ja kaitsemeetmed
  • Turvalisuse tagamise nõuded (SAR-id) – tõendid ja protsessid, mis näitavad, kuidas neid funktsioone turvaliselt rakendatakse

See on laialdaselt omaks võetud riiklikud küberturvalisuse agentuurid ja reguleeritud sektorid näiteks kaitse, energeetika, rahandus ja riigihanked.

Toote ulatus ja hindamise eesmärk (TOE)

. Varvas hõlmab kõiki RELIANOID Ettevõtte komponendid:

  • Komponendid: Riistvaraseadmed, tarkvaraplatvorm ja haldusliidesed (veebikasutajaliides, käsuliides, API).
  • LTS-i elutsükkel: Kõik ettevõtte versioonid on pikaajalise toega. Praegune põhiversioon: v8 (toetatud kuni juuni 2029).
  • Operatsioonisüsteem: Debiani raamatukoi.
  • Juurutusmudelid: Peamiselt kohapeal; toetatud ka pilve- ja hübriidkeskkondades.
  • Topoloogiad: Eraldiseisev, klasterdatud ja kaherežiimiline koos katastroofidejärgse taastamisega (DR).

Organisatsiooni vastavus ühistele kriteeriumidele

RELIANOID Järgime ISO/IEC 15408 peamisi tagamise ja elutsükli põhimõtteid oma sisemises arendus-, juurutamis- ja tegevuspraktikas.

Turvalisuse sihtmärgi ja ohu mudel

Me hoiame sisemist Turvalisuse eesmärgi dokument kooskõlas Common Criteria struktuuriga, määratledes:

  • Kaitstud varad (nt võrguliiklus, konfiguratsioonid, volitused)
  • Käsitletud ohud (nt privileegide eskaleerimine, vahemees, volitamata juurdepääs)
  • Eeldused ja keskkonnakaalutlused (nt turvaline võrgu paigutus)

Projekteerimis- ja arenduskontrollid

Meie turvaline tarkvaraarenduse elutsükkel (SSDLC) hõlmab järgmist:

  • Igapäevane automatiseeritud turvatestimine (SAST, DAST)
  • Kolmandate osapoolte teekide haavatavuste skannimine
  • Formaalne muudatuste kontroll ja versioonitud väljalaskedokumentatsioon
  • Koodi allkirjastamise ja avaldamise terviklikkuse kontrollid

Turvalisuse funktsionaalsete nõuete (SFR) kaardistamine

RELIANOID Koormuse tasakaalustaja rakendab laia valikut SFR-iga samaväärseid juhtelemente, sealhulgas:

  • Identifitseerimine ja autentimine (FIA): Kasutajad autentivad paroolide, võtmepaaride või SSO abil. API-juurdepääs on kasutajapõhine genereeritud tunnuste abil; kõik liidesed toetavad turvalisi autentimisvooge.
  • Juurdepääsu kontroll (AC/FMT/FDP): Rollipõhist juurdepääsukontrolli rakendatakse kõigis komponentides ja liidestes (veeb, CLI, API), sealhulgas objektipõhistes kontrollides koormuse tasakaalustamise teenustes.
  • Audit ja vastutus (FAU): Auditi- ja süsteemilogisid säilitatakse vaikimisi 7 päeva ning neid saab eksportida või SIEM-platvormidega integreerida.
  • Krüptograafiline tugi (FCS): Tugev krüptograafia pikkade võtmetega. Vaikimisi TLS v1.2 või uuem (eelistatav on TLS v1.3). Vananenud protokollid/šifrid on vaikimisi keelatud ja vajadusel saab need käsitsi lubada. Valikulised FIPS 140-valideeritud moodulid.
  • Kasutajaandmete kaitse (FDP): Kasutajaandmeid salvestatakse ainult vajaduse korral ja need on alati krüpteeritud puhkeolekus (nt kasutajad ja paroolid).
  • Turvahaldus (FMT): Juurkasutaja on peamine administraatori konto. Täiendavaid kasutajaid, rühmi ja õigusi saab konfigureerida RBAC-mooduli kaudu.
  • TOE turvafunktsioonide (FPT) kaitse: Rakendatud on turvaline alglaadimine, allkirjastatud kerneli moodulid ja GPG-kaitstud repositooriumile juurdepääs.
  • Sidekaitse (FTP/FTA): Kogu suhtlus on krüpteeritud; seansihaldus hõlmab aegumise ja uuesti autentimise kontrolli.

Turvalisuse tagamise nõuete (SAR) vastavusse viimine

  • Kujundus ja dokumentatsioon: Sisemine dokumentatsioon (moodulid, arhitektuuriskeemid) on saadaval meie Alusteadmised.
  • Koodiülevaated ja skaneerimine: Automatiseeritud ja tehisintellekti abil koodiskannimine koos vastastikuse käsitsi ülevaatamise abil.
  • Haavatavuse haldamine: Iganädalased haavatavuste skaneeringud, kvartaliaruanded ja CVE-tõkete abil jälgitavad paranduste väljalasked avaldatakse meie ajakava.
  • Sõltumatu testimine: Välised penetratsioonitestid ja skaneeringud rakenduse, võrgu ja infrastruktuuri tasandil.
  • Formaalne testimine: Igapäevased automatiseeritud turvatestid laiendatud katvusega iga väljalasketsükli jooksul.

Arendus- ja hooldusprotsessid

  • SSDLC: Nõuded → Disain → Rakendamine → Testimine → Valideerimine → Pidev täiustamine. Hallatud Giti, Gitea ja sisemiste automatiseerimistööriistadega.
  • Muudatuste ja konfiguratsiooni haldamine: Kinnitamise töövood, tagasipööramisprotseduurid ja keskkondades rakendatud muudatuste dokumenteerimine.
  • Väljalaske haldamine: Värskendused pakitakse, testitakse ja levitatakse turvaliselt. Enne tootmisrepositooriumidesse edastamist tehakse eeltootmise valideerimine.

Operatiivne turvalisus

  • Intsidentidele reageerimine: Määratletud eskalatsiooni- ja lahendusprotseduurid keskmise reageerimisajaga ~2 minutit.
  • Järelevalve: Reaalajas mõõdikud integreeritud sissetungimise tuvastamise/ennetamise süsteemidega. Ohuinfot jagatakse kogukonna ja tööstusplatvormidega.
  • Varundamine ja DR: Iganädalased krüpteeritud varukoopiad koos igakuise taastamistestiga.

Kasutamine reguleeritud ja sertifitseeritud keskkondades

Kuigi ametlikult sertifitseeritud pole, RELIANOID toetab:

  • Integreerimine Common Criteria alusel hinnatud süsteemidesse
  • Klientide hankehinnangud EAL-kesksetes keskkondades
  • Struktureeritud dokumentatsioon, mis on kooskõlas riiklike skeemidega (nt CCN-STIC, NIAP, BSI TR)

Kindlustusmeetmed ja tõendid

Common Criteriaga kooskõlas olevate kindlust tagavate eesmärkide toetamiseks pakume:

  • Väljalaskemärkmed koos üksikasjalike muudatuste logidega
  • Ohupõhise turvalisuse disaini dokumentatsioon
  • Arhiveeritud haavatavuste skannimine ja paranduste aruanded
  • Turvalise juurutamise juhendid ja tugevdamise kontrollnimekirjad

Organisatsiooni vastavusse viimine

  • Turvalisuse juhtimine: Turvalisuse nõuetele vastavuse meeskond, mida juhivad tegevjuht, tehnoloogiadirektor ja tegevjuht, tagades turvalise arenduse, protsesside ja vastavusnõuete ühtlustamise.
  • Töötajate turvakoolitus: Kvartalis toimuvad koolitused ja pidev teadlikkus valdkonna ohtudest.
  • Sisemised turvaauditid: Kvartaliauditid koos parandusmeetmete jälgimisega. Aruanded on avalikult kättesaadavad.
  • Eeskirjad: Avaldatud privaatsus-, intsidentidele reageerimise, äritegevuse järjepidevuse, globaalse andmete eraldamise, kolmandate osapoolte riski, juurdepääsukontrolli, vastuvõetava kasutamise ja andmetöötluse põhimõtted.

Toetavad tõendid

  • Latest RELIANOID Turvaaruanne: Kinnitatud kõige ajakohasemaks versiooniks.
  • Teadmistepagas: Uuendatud tehnilised dokumendid, andmelehed ja arhitektuuridiagrammid: Alusteadmised.
  • Kliendi garantiiavaldused: Avaldatud avaldused reguleeritud tööstusharudele, mis on kooskõlas arenevate küberturvalisuse eeskirjadega.

Pühendumine ühistele kriteeriumidele

RELIANOID on pühendunud:

  • Uute funktsioonide arendamise ühtlustamine Common Criteria disainimetoodikaga
  • Kliendikesksete hindamispüüdluste toetamine
  • Ohuteadliku ja turvalise arenduskeskkonna säilitamine
  • Läbipaistvuse ja terviklikkuse tagamine kogu toote elutsükli vältel

Dokumendi ülevaated

kuupäevkommentaar
10 juuli 2025ISO/IEC 15408 vastavusse viimise esmane avaldamine
2 september 2025Laiendatud TOE ulatus, ajakohastatud SFR-kaardistus, SAR-i vastavus, SSDLC ja operatsioonide üksikasjad, organisatsiooni juhtimine ja toetavad tõendid

Kontakt ja kinnitus

Ootame tehnilise hindamismaterjali, turbe-eesmärkide kokkuvõtete või Common Criteria hankeprojektide toe päringuid.

Võtke ühendust meie vastavus- ja turbemeeskonnaga

Laadige alla uusim turvaaruanne