تعيين روش شناسي مناسب درخصوص ارزيابي امنيتي تجهيزات مرتبط با فناوري اطلاعات و ارتباطات صنعت برق

Determining the appropriate methodology for the security evaluation of equipment related to information and communication technology in the power industry

برقراري امنيت در زيرساخت‌هاي حياتي كشور، يكي از مهمترين اقداماتي است كه بايد به منظور ارتقاء امنيت كشور به آن پرداخته شود. استراتژي‌هاي مقاوم امنيتي به صورت يك پروسه پويا بايد مرتب پياده‌سازي شود و انجام ارزيابي امنيتي از مهمترين اقدامات در اين پروسه است. ارزيابي امنيتي از دو بعد سيستم و محصول مطرح مي‌باشد. اولين گام در ارزيابي امنيتي يك محصول، تعيين متدولوژي ارزيابي مي‌باشد كه در اين مقاله مورد بررسي قرار مي‌گيرد. استانداردهاي مختلفي در حوزه ارزيابي فني امنيتي ICT عمومي وجود دارند. در اين مقاله ابتدا به بررسي اين استانداردها پرداخته شده است. سپس استانداردها و گزارشات مطرح در حوزه صنعتي بررسي و به مقايسه آنها پرداخته شده و در نهايت نيز بر اساس نتايج حاصله و ملاحظات خاص تجهيزات فناوري اطلاعات و ارتباطات خاص صنعت برق متدولوژي مناسب ارائه شده است.رقراري امنيت در زيرساخت‌هاي حياتي كشور، يكي از مهمترين اقداماتي است كه بايد به منظور ارتقاء امنيت كشور به آن پرداخته شود. استراتژي‌هاي مقاوم امنيتي به صورت يك پروسه پويا بايد مرتب پياده‌سازي شود و انجام ارزيابي امنيتي از مهمترين اقدامات در اين پروسه است. ارزيابي امنيتي از دو بعد سيستم و محصول مطرح مي‌باشد. اولين گام در ارزيابي امنيتي يك محصول، تعيين متدولوژي ارزيابي مي‌باشد كه در اين مقاله مورد بررسي قرار مي‌گيرد. استانداردهاي مختلفي در حوزه ارزيابي فني امنيتي ICT عمومي وجود دارند. در اين مقاله ابتدا به بررسي اين استانداردها پرداخته شده است. سپس استانداردها و گزارشات مطرح در حوزه صنعتي بررسي و به مقايسه آنها پرداخته شده و در نهايت نيز بر اساس نتايج حاصله و ملاحظات خاص تجهيزات فناوري اطلاعات و ارتباطات خاص صنعت برق متدولوژي مناسب ارائه شده است.

Providing security in the vital infrastructures of the country, is one of the essential operations that must be taken in order to improve the security of the country. Resistant security strategies need to be regularly implemented as a dynamic process to improve security, and security evaluation is one of the most important steps in this process. Methodology in the field of evaluation in both technical and managerial dimensions is discussed in the laboratory. There are various standards in the field of general ICT technical-security evaluation. The most important are ISO / IEC 15408, ISO / IEC 27001 and NIST SP 800-53. In the present paper, these standards are first examined. Then, the standards and reports in the industrial field have been reviewed and compared, and finally, based on the results and special considerations of information and communication technology equipment in the electricity industry, the appropriate methodology has been presented.