Thuyết minh dự thảo tiêu chuẩn việt nam công nghệ thông tin – CÁc kỹ thuật an toàN –BỘ khung đẢm bảo an toàn công nghệ thông tin – phầN 1: giới thiệu và khái niệM



tải về 108.73 Kb.
Chuyển đổi dữ liệu02.11.2017
Kích108.73 Kb.

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

--------------



THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –BỘ KHUNG ĐẢM BẢO AN TOÀN CÔNG NGHỆ THÔNG TIN –

PHẦN 1: GIỚI THIỆU VÀ KHÁI NIỆM

HÀ NỘI, 2016
MỤC LỤC

1.TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN 4

2.ĐẶT VẤN ĐỀ 4

2.1Khái quát tình hình an toànthông tin trong nước và quốc tế 4

2.2Nhu cầu về đánh giá an toàn thông tin 8

2.3Sự cần thiết xây dựng tiêu chuẩn về đánh giá an toàn thông tin 9

3.GIỚI THIỆU TỔNG QUAN VỀ BỘ TIÊU CHUẨN ISO/IEC TR 15443 9

3.1Tổng quan về bộ tiêu chuẩn ISO/IEC TR 15443 9

3.2Các phiên bản của bộ tiêu chuẩn ISO/IEC TR 15443 10

3.3Đối tượng sử dụng tiêu chuẩn 11

4.GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU ISO/IEC TR 15443-1 11

4.1Mục tiêu của tiêu chuẩn 11

4.2Phạm vi tiêu chuẩn 11

4.3Cấu trúc tiêu chuẩn 12

4.4Một số nội dung chính trong tiêu chuẩn 12

5.DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN xxxx-1:201x 14

5.1Lý do xây dựng tiêu chuẩn 14

5.2Nhu cầu thực tế và khả năng áp dụng 15

5.3Mục đích xây dựng tiêu chuẩn 15

5.4Sở cứ xây dựng tiêu chuẩn 15

5.5Phương pháp xây dựng tiêu chuẩn 15

5.6Các nội dung dự thảo tiêu chuẩn quốc gia 16

6.KẾT LUẬN VÀ KIẾN NGHỊ 18

7.TÀI LIỆU THAM KHẢO 19



  1. TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN


Tên tiêu chuẩn: “Công nghệ thông tin –Các kỹ thuật an toàn – Bộ khungđảm bảo an toàn Công nghệ thông tin - Phần 1: Giới thiệu và khái niệm”

Ký hiệu tiêu chuẩn: TCVN xxxx-1:201x


  1. ĐẶT VẤN ĐỀ

    1. Khái quát tình hình an toànthông tin trong nước và quốc tế


      1. Tình hình quốc tế

Vấn đề an toàn thông tin ngày càng trở nên cấp bách trên toàn thế giới. Hàng loạt các sự cố về mạng, các cuộc tấn công ngày càng nhiều nhắm vào các hệ thống công nghệ thông tin trong các lĩnh vực ngân hàng, tài chính, thương mại, cơ quan chính phủ,…Bên cạnh việc liên tục cải tiến các công nghệ bảo mật, việc áp dụng hệ thống tiêu chuẩn an toàn thông tin đã được các quốc gia trên thế giới đặc biệt chú trọng.

Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin. Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 2700x. Bên cạnh những tiêu chuẩn về quản lý an toàn thông tin thì chuẩn về đánh giá an toàn thông tin cũng được các tổ chức tiêu chuẩn thế giới quan tâm.



Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 2700x cung cấp các hướng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin:

  • ISO/IEC 27000:2009 -Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

  • ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu

  • ISO/IEC 27002:2005 -Quy tắc thực hành quản lý an toàn thông tin

  • ISO/IEC 27003:2010 -Hướng dẫn thực thi hệ thống quản lý an toàn thông tin

  • ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường

  • ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin

  • ….

Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:

  • Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầuđảm bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn. Bộ tiêu chuẩn nàygồm có 3 phần:

  • ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung

  • ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn

  • ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn

  • Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn- Phương pháp ước lượng an toàn công nghệ thông tin. Tiêu chuẩn này được sử dụng cùng với các tiêu chí đánh giá an toàn trong bộ ISO/IEC 15408

  • Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ thông tin - Các kỹ thuật an toàn-Đánh giá an toàn các hệ thống hoạt động. Tiêu chuẩn này cung cấp các hướng dẫn và tiêu chí cho việc ước lượng an toàn các hệ thống hoạt động. Tiêu chuẩn này mở rộng hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống hoạt động mà trong tiêu chuẩn ISO/IEC 15408 không được đề cập.

  • Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phương pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn này gồm 2 phần:

  • ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm

  • ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 2: Các phân tích

Ngoài ra còn rất nhiều các tiêu chuẩn khác, tham khảo tại website: http://www.iso.org/

      1. Tình hình trong nước

Những năm gần đây, Việt Nam đã chú trọng xây dựng và ban hành hệ thống tiêu chuẩn liên quan đến an toàn thông tin. Ban đầu việc xây dựng các tiêu chuẩn chủ yếu tập trung vào các chuẩn liên quan đến từ vựng, khái niệm chung, kỹ thuật mật mã quản lý khoá. Những năm gần đây việc xây dựng tập trung vào hệ thống quản lý và đánh giá an toàn thông tin.

Một số tiêu chuẩn đã được ban hành (sắp xếp thứ tự theo năm ban hành):



  • TCVN 7326-1:2003 Thiết bị công nghệ thông tin. An toàn. Phần 1: Yêu cầu chung (IEC 60950-1:2001)

  • TCVN 7563-8:2005 Công nghệ thông tin. Từ vựng. Phần 8: An toàn (ISO/IEC 02382-8:1998)

  • TCVN 7562:2005 Công nghệ thông tin. Mã thực hành quản lý an toàn thông tin (ISO/IEC 17799:2000)

  • TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số

  • TCVN 7816:2007 Công nghệ thông tin. Kỹ thuật mật mã thuật toán mã dữ liệu AES

  • TCVN 7818-2:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời gian. Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002)

  • TCVN 7817-3:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá. Phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770-3:1999)

  • TCVN 7817-1:2007 Công nghệ thong tin. Kỹ thuật mật mã quản lý khoá. Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996)

  • TCVN 7818-1:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời gian. Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002)

  • TCVN 7563-14:2009 Công nghệ thông tin. Từ vựng. Phần 14: Độ tin cậy, khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)

  • TCVN 8051-1:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng công nghệ thông tin. Phần 1: Quản lý an toàn mạng (ISO/IEC 18028-1:2008)

  • TCVN ISO/IEC 27001:2009 Công nghệ thông tin. Hệ thống quản lý an toàn thông tin. Các yêu cầu (ISO/IEC 27001:2005)

  • TCVN 8051-2:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng công nghệ thông tin. Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028-2:2006)

  • TCVN 7818-3:2010 Công nghệ thông tin. Kỹ thuật an toàn. Dịch vụ tem thời gian. Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009)

  • TCVN 7817-4:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá. Phần 4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006)

  • TCVN 7817-2:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá. Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008)

  • TCVN ISO/IEC 27002:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005)

  • TCVN 8709-1:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 1: Giới thiệu và mô hình tổng quát (ISO/IEC 15408-1:2009)

  • TCVN 8709-2:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 2: Các thành phần chức năng an toàn (ISO/IEC 15408-2:2008)

  • TCVN 8709-3:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 3: Các thành phần đảm bảo an toàn (ISO/IEC 15408-3:2008)

  • TCVN 9801-1:2013 Công nghệ thông tin. Kỹ thuật an toànan toàn mạng. Phần 1: tổng quan và khái niệm

  • TCVN 9965:2013 Công nghệ thông tin. Kỹ thuật an toàn. Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1

  • TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)

  • TCVN 10295:2016 Công nghệ thông tin- Các kỹ thuật an toàn- Quản lý rủi ro an toàn thông tin (ISO/IEC 27005:2011)

Một số dự thảo tiêu chuẩn TCVN chưa ban hành:

  • Dự thảo TCVN (ISO/IEC 27033-2:2012)

  • Công nghệ Thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát (ISO/IEC 27033-3:2010)

  • Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường (ISO/IEC 27004:2009)

  • Công nghệ thông tin - Các ký thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (ISO/IEC 27003:2010)

  • Công nghệ thông tin - Các ký thuật an toàn - Quản lý an toàn thông tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC 27010:2012)

  • Dự thảo TCVN (ISO/IEC 27000:2009)

  • Dự thảo TCVN (ISO/IEC 27035:2011)
    1. Nhu cầu về đánh giá an toàn thông tin


Theo Nghị định 64-2007/NĐ-CP, An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống.

Mặt khác, nhiều người tiêu dùng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển. Bởi vậy, người tiêu dùng có thể nâng cao tin cậy trong các biện pháp an toàn của một sản phẩm hoặc hệ thống CNTT bằng cách đặt hàng phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn.

Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp người dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn và tin cậy chưa khi đưa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào. Ngoài ra, việc đánh giá an toàn thông tin còn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin.

Đánh giá an toàn thông tin cho một sản phẩm, dịch vụ hay hệ thống công nghệ thông tin cần phải nắm rõ được các yêu cầu đảm bảo an toàn thông tin, các tiêu chí và các phương pháp đánh giá an toàn thông tin cho sản phẩm, dịch vụ hay hệ thống đó.

Việc sử dụng các tiêu chí đánh giá sẽ làm tăng tính tin cậy trong các yếu tố khác nhau của mô hình đánh giá sự phù hợp bảo đảm an toàn(SACA). Nhiều tiêu chí đánh giá đòi hỏi có các kinh nghiệm chuyên gia và kiến thức cơ bản, nhằm đạt được sự nhất quán và khách quan trong các kết quả đánh giá.

Để tăng cường sự nhất quán và khách quan cho các kết quả đánh giá, cần có một quy trình công nhận hayphê chuẩn. Quy trình này xem xét kỹ càng một cách độc lập các kết quả đánh giá để đưa ra chứng nhận hay phê chuẩn về mức độ an toàn cho các sản phẩm, dịch vụ hay hệ thống CNTT khi vào sử dụng.

    1. Sự cần thiết xây dựng tiêu chuẩn về đánh giá an toàn thông tin


Thời gian qua Bộ Thông tin và Truyền thôngđã tổ chức xây dựng và đề nghị ban hành nhiều dự thảo tiêu chuẩn quốc gia về an toàn thông tin. Các tiêu chuẩn này sẽ là cơ sở giúp các tổ chức, doanh nghiệp thực hiện quản lý các vấn đề về an toàn thông tin một cách tổng thể và hiệu quả. Bên cạnh các tiêu chuẩn về quản lý cũng cần quan tâm đến các tiêu chuẩn liên quan đến đánh giá an toàn thông tin. Đánh giá an toàn thông tin cũng là một mắt xích không thể thiếu trong quá trình đảm bảo an toàn thông tin cho các sản phẩm, dịch vụ hay hệ thống công nghệ thông tin. Đến thời điểm hiện tại, tiêu chuẩn quốc gia liên quan về đánh giá an toàn thông tin mới ban hành được một bộ tiêu chuẩn TCVN 8709:2011 (tuân theo ISO /IEC 15408:2009). Như vậy tiêu chuẩn quốc gia về mảng này còn đang thiếu hụt rất lớn.

Hơn nữa đánh giá an toàn thông tin cũng là một nhu cầu thiết thực, giúp tổ chức doanh nghiệp xác định được mức độ an toàn của sản phẩm, dịch vụ hay hệ thống công nghệ thông tin.


  1. GIỚI THIỆU TỔNG QUAN VỀ BỘ TIÊU CHUẨN ISO/IEC TR 15443

    1. Tổng quan về bộ tiêu chuẩn ISO/IEC TR 15443


Bộ tiêu chuẩn ISO/IEC TR 15443 có tên gọi là “ Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin”. ISO/IEC TR 15443 được biên soạn bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ thông tin (Joint Technical Committee ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn CNTT (Information Technology Subcommittee SC 27, IT security techniques). ISO/IEC TR 15443 được xây dựng trên cơ sở xem xét, kiểm tra và đánh giá các phương pháp góp phần bảo đảm các sản phẩm và hệ thống công nghệ thông tin phù hợp với các tiêu chuẩn an toàn từ SC 27 và những tiêu chuẩn khác (ví dụ như SC 21 và ETSI).

Mục tiêu của bộ tiêu chuẩn ISO/IEC TR 15443 là mô tả về chủ đề bảo đảm an toàn, cung cấp các khái niệm cơ bản và trình bày các kỹ thuật bảo đảm an toàn khác nhau. Bộ tiêu chuẩn này cung cấp khung đưa ra các trường hợp bảo đảm an toàn thích hợp. Khung này cũng cung cấp hướng dẫn cho các chuyên gia an toàn công nghệ thông tin trong việc sử dụng bảo đảm để đạt được tính tin cậy mà một giao phẩm được đưa ra đáp ứng các yêu cầu về bảo đảm an toàn công nghệ thông tin. Bộ tiêu chuẩn này nghiên cứu các kỹ thuật bảo đảm an toàn, các phương pháp bảo đảm an toàn được đề xuất bởi nhiều tổ chức.



Bộ tiêu chuẩn ISO/IEC TR 15443 bao gồm các nội dung sau:

  1. các thuật ngữ và định nghĩa liên quan đến chủ đề bảo đảm an toàn

  2. các khái niệm cơ bản liên quan đến bảo đảm an toàn

  3. hướng dẫn cho việc lựa chọn, áp dụng, phối hợp và công nhận của các phương pháp bảo đảm

  4. trình bày các thuộc tính chung và thuộc tính riêng biệt của các phương pháp bảo đảm

  5. một khung mẫu để xác định vị trí của phương pháp bảo đảm hiện có và chỉ ra mối quan hệ giữa các phương pháp đó
    1. Các phiên bản của bộ tiêu chuẩn ISO/IEC TR 15443


Phiên bản thứ nhất của Bộ tiêu chuẩn ISO/IEC TR 15443 gồm 3 phần sau, trong đó phần 1 và 2 được biên soạn năm 2005 phần 3 được biên soạn năm 2007, dưới tiêu đề chung là Công nghệ thông tin – Kỹ thuật an toàn – Khung bảo đảm an toàn công nghệ thông tin:

  • Phần 1: Tổng quan và khung (Part 1: Overview and framework)

  • Phần 2: Các phương pháp bảo đảm (Part 2: Assurance methods)

  • Phần 3: Phân tích các phương pháp bảo đảm (Part 3: Analysis of assurance methods)

Phiên bản thứ hai của Bộ tiêu chuẩn ISO/IEC TR 15443 được biên soạn năm 2012 gồm 2 phần sau, dưới tiêu đề chung là Công nghệ thông tin – Kỹ thuật an toàn – Khung bảo đảm an toàn công nghệ thông tin, và hoàn toàn thay thế phiên bản thứ nhất:

  • Phần 1: Giới thiệu và Khái niệm (Part 1: Introduction and concepts)

  • Phần 2: Các phân tích (Part 2: Analysis)
    1. Đối tượng sử dụng tiêu chuẩn


Các đối tượng cụ thể sử dụng bộ tiêu chuẩn này sẽ bao gồm:

  • Bên thu mua (một cá nhân hoặc tổ chức thu mua một hệ thống, sản phẩm phần mềm hoặc dịch vụ phần mềm từ một bên cung cấp);

  • Bên phát triển (một cá nhân hoặc tổ chức thực hiện các hoạt động phát triển, bao gồm phân tích yêu cầu, thiết kế, thử nghiệm và có thể tích hợp trong tiến trình vòng đời phần mềm)

  • Bên bảo trì (một cá nhân hoặc tổ chức thực hiện các hoạt động bảo trì);

  • Bên cung cấp (một cá nhân hoặc tổ chức ký hợp đồng với nhà thu mua để cung cấp một hệ thống, sản phẩm phần mềm hoặc dịch vụ phần mềm tuân theo các điều khoản trong hợp đồng);

  • Người dùng (một cá nhân hoặc tổ chức sử dụng sản phẩm để thực hiện một chức năng riêng biệt);

  • Bên ước lượng, kiểm thử/ đánh giá (một cá nhân hoặc tổ chức thực hiện một đánh giá; ví dụ bên đánh giá có thể là phòng kiểm thử, phòng chất lượng của một tổ chức phát triển phần mềm, tổ chức quản trị hoặc một người dùng).
  1. GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU ISO/IEC TR 15443-1

    1. Mục tiêu của tiêu chuẩn


Tiêu chuẩn ISO/IEC TR 15443-1:2012 Giới thiệu và khái niệm: cung cấp tổng quan về các định nghĩa, khái niệm cơ bản và mô tả chung về bảo đảm an toàn. Phần này nhằm mục đích cung cấp các kiến thức cơ bản cần thiết để sử dụng cho việc phân tích được trình bày trong ISO/IEC TR 15443-2:2012 một cách thích hợp.
    1. Phạm vi tiêu chuẩn


Tiêu chuẩn ISO/IEC TR 15443-1:2012 định nghĩa các thuật ngữ và thiết lập một tập hợp các khái niệm và mối quan hệ giữa chúng đã được khái quát và tổ chức lại để hiểu rõ về việc bảo đảm an toàn công nghệ thông tin, nhờ đó tạo ra được một cơ sở để chia sẻ hiểu biết về các khái niệm và nguyên tắc trọng tâm của bộ tiêu chuẩn này qua cộng đồng người dùng. Tiêu chuẩn này cũng cung cấp thông tin cơ bản cho người sử dụng của tiêu chuẩn ISO/IEC TR 15443-2:2012.
    1. Cấu trúc tiêu chuẩn


Tiêu chuẩn này gồm 11 điều cụ thể như sau:

Điều 1 Phạm vi áp dụng

Điều 2 Tài liệu viện dẫn

Điều 3 Thuật ngữ và định nghĩa

Điều 4 Các thuật ngữ viết tắt

Điều 5 Khái niệm bảo đảm an toàn: giới thiệu các khái niệm về bảo đảm an toàn và nhằm mục đích bổ sung thêm các khái niệm bảo đảm chung được đưa ra trong ISO/IEC 15026-1:2010 cho bảo đảm phần mềm và hệ thống.

Điều 6 Cấu trúc bảo đảm an toàn: mô tả mối quan hệ giữa an toàn của giao phẩm và các quy trình bảo đảm an toàn, cung cấp bảo đảm an toàn đã yêu cầu.

Điều 7 Kỹ thuật SACA: giới thiệu khái niệm về kỹ thuật SACA, các quy trình cơ bản mà các phương pháp bảo đảm an toàn dựa vào. Chi tiết về các kỹ thuật này sẽ được trình bày trong ISO/IEC TR 15443-2:2012.

Điều 8 Phương pháp SACA: định nghĩa rộng hơn về phương pháp SACA đã đưa ra trong 3.26. Đề cập đến các khía cạnh khác nhau của bảo đảm an toàn nhằm giải thích các khía cạnh khác nhau của bảo đảm an toàn có thể ảnh hưởng như thế nào tới an toàn công nghệ thông tin.

Điều 9 CASCO: mô tả sự phù hợp trong việc áp dụng phương pháp đánh giá nếu kết quả thu được là lặp lại và được sử dụng để so sánh bảo đảm an toàn đã cung cấp bởi các giao phẩm khác nhau.

Điều 10Mô hình SACA: đề cập đến mô hình SACA trong đó gồm có lưu đồ, cơ quan đánh giá SACA và một số ví dụ mẫu về mô hình SACA.

Điều 11 Các khía cạnh tạo nên sự bảo đảm an toàn: xem xét một số khía cạnh của sự hợp thành và sự liên quan của các sản phẩm công nghệ thông tin trong việc bảo đảm an toàn.


    1. Một số nội dung chính trong tiêu chuẩn


  • Khái niệm bảo đảm an toàn:

An toàn thường được mô tả trong các thuộc tính an toàn. Thuộc tính an toàn then chốt bao gồm như tính bí mật, tính toàn vẹn và tính sẵn sàng. Ngoài ra còn bao gồm các tính chống chối bỏ và tính xác thực.

Đối với vấn đề bảo đảm, các thuộc tính được xem xét đến có thể bao gồm độ tin cậy, tính chắc chắn, chất lượng, tính sống còn và tùy thuộc vào một số tính bảo mật cá nhân.Bảo đảm và tính tin cậy là không giống nhau và không thể được sử dụng thay cho nhau.



  • Cấu trúc bảo đảm an toàn:mô tả mối quan hệ giữa an toàn giao phẩm và bảo đảm an toàn



  • Kỹ thuật SACA: đề cập đến các phương pháp bảo đảm dựa trên ước lượng, tính đúng đắn, bảo đảm dự đoán. Việc xác định bảo đảm an toàn và kỹ thuật thích hợp là một quyết định dựa trên các chính sách bảo đảm an toàn tổ chức, các yêu cầu kinh doanh, và các loại giao phẩm.

  • Phương pháp SACA:là Quy trình, thủ tục hoặc kỹ thuật có hệ thống cho việc thu thập bằng chứng bảo đảm an toàn và xác nhận chắc chắn các tuyên bố bảo đảm an toàn.

Các cách tiếp cận trong phương pháp SACA đó là: Đánh giá trực tiếp, Đánh giá gián tiếp, Đánh giá tĩnh, Đánh giá động hoặc có thể kết hợp của các phương pháp trên

  • Lưu đồ SACA: Một phương pháp SACA cụ thể được thực hiện bằng cách nhấn mạnh đến bối cảnh trong đó phương pháp được thực thi được định nghĩa bởi CASCO như một "Lưu đồ đánh giá sự phù hợp" thường được gọi là một “lưu đồ" hay "chương trình" trong lĩnh vực an toàn công nghệ thông tin.

Sơ đồ dưới đây mô tả mối quan hệ tổng quan giữa các thực thể trong bảo đảm an toàn:

Trong thực tế, mô hình này là đặc biệt đơn giản và các thực thể được thể hiện trong mô hình có thể được kết hợp, hoặc được xuất hiện nhiều lần.


  1. DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN xxxx-1:201x

    1. Lý do xây dựng tiêu chuẩn


Như đã trình bày ở mục 2.2, 2.3 song song với quản lý an toàn thông tin thì đánh giá an toàn thông tin trở nên hết sức cấp thiết, giúp cho người dùng xác định xem sản phẩm hoặc hệ thống công nghệ thông tin có đủ an toàn và tin cậy chưa, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không, hay chúng sử dụng các biện pháp kỹ thuật an toàn có phù hợp không, mức độ an toàn như thế nào. Ngoài ra, việc đánh giá an toàn thông tin còn giúp các doanh nghiệp, tổ chức trong việc phát triển các sản phẩm và hệ thống công nghệ thông tin đảm bảo các yêu cầu an toàn thông tin.

Để đánh giá an toàn thông tin cho các sản phẩm, hệ thống hay dịch vụ CNTT, việc đưa ra bộ khung đảm bảo an toàn là điều hết sức cần thiết nhằm hướng dẫn cho người dùng trong việc lựa chọn và kết hợp các phương pháp đảm bảo thích hợp cho sản phẩm, hệ thống hay dịch vụ an toàn CNTT.

Hiện tại Việt Nam chưa có tiêu chuẩn nào về khung bảo đảm an toàn CNTT. Tiêu chuẩn này đưa ra các khái niệm liên quan về đảm bảo an toàn CNTT, cung cấp thông tin cơ bản cho người sử dụng phần 2 của bộ tiêu chuẩn này. Bộ tiêu chuẩn này giúp cho các chuyên gia CNTT trong việc lựa chọn và kết hợp các phương pháp bảo đảm thích hợp cho sản phẩm, dịch vụ hay hệ thống CNTT.

    1. Nhu cầu thực tế và khả năng áp dụng


Việc đảm bảo an toàn thông tin cho các hệ thống, sản phẩm hay dịch vụ công nghệ thông tin là một nhu cầu cần thiết trên thực tế. Bộ tiêu chuẩn này giúp cho các chuyên gia bảo mật công nghệ thông tin, các tổ chức nắm bắt được các tiêu chí đánh giá phù hợp đảm bảo an toàn công nghệ thông tin, lựa chọn và kết hợp được các phương pháp đảm bảo an toàn thông tin cho hệ thống, sản phẩm hay dịch vụ công nghệ thông tin.
    1. Mục đích xây dựng tiêu chuẩn


Xây dựng tiêu chuẩn nhằm bổ sung thêm tiêu chuẩn vào hệ thống tiêu chuẩn trong lĩnh vực an toàn thông tin hiện còn đang thiếu nhiều của Việt Nam, để khuyến nghị áp dụng tại Việt Nam.
    1. Sở cứ xây dựng tiêu chuẩn


Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn ISO/IEC TR 15443-1:2012. Đây cũng là tài liệu đã được nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương.
    1. Phương pháp xây dựng tiêu chuẩn


Tiêu chuẩn ISO/IEC TR 15443-1:2012 Information technology - Security techniques - Security assurance framework Part 1: Introduction and concepts được tham chiếu làm cơ sở để xây dựng tiêu chuẩn này

Trên cơ sở tham khảo các tiêu chuẩn về an toàn thông tin đã ban hành tại Việt Nam, các phương pháp xây dựng các tiêu chuẩn/ quy chuẩn, phương pháp xây dựng tiêu chuẩn này là chấp thuận nguyên vẹn từ tài liệu gốc

Các thuật ngữ được định nghĩa trong phần đầu được sử dụng xuyên suốt toàn bộ tiêu chuẩn. Tuy nhiên, trong tiêu chuẩn nhiều từ tiếng anh tuỳ vào ngữ cảnh khi biên dịch sẽ không hoàn toàn được dịch giống nhau.

    1. Các nội dung dự thảo tiêu chuẩn quốc gia


Dự thảo tiêu chuẩn được xây dựng theo phương pháp chấp thuận nguyên vẹn về nội dung và cấu trúc từ tài liệu gốc.

Bảng đối chiếu tiêu chuẩn viện dẫn:



STT

Nội dung tiêu chuẩn

Tài liệu viện dẫn

ISO/IEC 15443-2:2012

Sửa đổi, bổ sung

1

Phạm vi áp dụng

Scope

Chấp thuận nguyên vẹn

2

Tài liệu viện dẫn

Normativereferences

Chấp thuận nguyên vẹn

3

Thuật ngữ và định nghĩa

Terms and definitions

Chấp thuận nguyên vẹn

4

Các thuật ngữ viết tắt

Abbreviated Terms

Chấp thuận nguyên vẹn

5

Khái niệm bảo đảm an toàn

5.1-5.10


Concepts of security assurance

5.1-5.10


Chấp thuận nguyên vẹn

6

Cấu trúc bảo đảm an toàn

6.1-6.5



The structure of security assurance

6.1-6.5


Chấp thuận nguyên vẹn

7

Kỹ thuật SACA

7.1-7.2


SACA techniques

7.1-7.2


Chấp thuận nguyên vẹn

8

Phương pháp SACA

8.1-8.7


SACA methods

8.1-8.7


Chấp thuận nguyên vẹn

9

CASCO

9.1


CASCO

9.1


Chấp thuận nguyên vẹn

10

Mô hình SACA

10.1-10.3



SACA Paradigms

10.1-10.3



Chấp thuận nguyên vẹn

11

Các khía cạnh tạo nên sự bảo đảm an toàn

11.1-11.3



Aspects of the composition of security assurance

11.1-11.3



Chấp thuận nguyên vẹn


  1. KẾT LUẬN VÀ KIẾN NGHỊ


Để thống nhất tên tiêu chuẩn trong quá trình thực hiện, nhóm thực hiện đề xuất thay đổi tên tiêu chuẩn so với “đề án” xây dựng ban đầu: “Công nghệ thông tin – Các kỹ thuật an toàn – Bộ khung đảm bảo an toàn công nghệ thông tin” điều chỉnh thành “Công nghệ thông tin – Kỹ thuật an toàn – Khung bảo đảm an toàn công nghệ thông tin”.

Thực tiễn cho thấy, bảo đảm an toàn thông tin là một nhu cầu, tiêu chuẩn về an toàn thông tin cho các hệ thống, sản phẩm hay dịch vụ công nghệ thông tin ở Việt Nam vẫn còn thiếu và chưa được triển khai áp dụng.

Tiêu chuẩn TCVN xxxx-1:201x cung cấp tổng quan về các định nghĩa, khái niệm cơ bản và mô tả chung về bảo đảm an toàn. Tiêu chuẩn này nhằm mục đích cung cấp các kiến thức cơ bản cần thiết để sử dụng cho việc phân tích được trình bày trong TCVN xxxx-2:201x.Bộ tiêu chuẩn TCVN xxxx:201x giúp cho các chuyên gia bảo mật công nghệ thông tin, các tổ chức nắm bắt được các tiêu chí đánh giá phù hợp đảm bảo an toàn công nghệ thông tin, lựa chọn và kết hợp được các phương pháp đảm bảo an toàn thông tin cho hệ thống, sản phẩm hay dịch vụ công nghệ thông tin.

Do đó việc xây dựng và ban hành tiêu chuẩn TCVN xxxx-1:201x là cần thiết.


  1. TÀI LIỆU THAM KHẢO


[1] ISO/IEC 15443-1:2012 Information technology - Security techniques - Security assurance framework Part 1: Introduction and Concepts

[2] ISO/IEC 15443-2:2012 Information technology - Security techniques - Security assurance framework Part 2: Analysis



[2] Danh mục tiêu chuẩn TCVN trên website của tổng cục tiêu chuẩn đo lường chất lượng Việt Nam (http://portal.tcvn.vn/)

[3] Danh mục TCVN trên website của Bộ Thông tin và truyền thông (http://mic.gov.vn)



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©tieuluan.info 2017
được sử dụng cho việc quản lý

    Quê hương