Đề tài Khoa học Kỹ thuật



tải về 459.59 Kb.
trang1/4
Chuyển đổi dữ liệu26.11.2017
Kích459.59 Kb.
#2981
  1   2   3   4

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO THUYẾT MINH

DỰ THẢO TIÊU CHUẨN QUỐC GIA

TCVN xxx:2015

ISO/IEC 18045:2008

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN -HỆ THỐNG PHƯƠNG PHÁP ĐÁNH GIÁ

AN TOÀN CÔNG NGHỆ THÔNG TIN

Information Technology - Security Techniques - Methodology for IT security evaluation

Hà Nội, năm 2015




MỤC LỤC

1TỔNG QUAN VỀ NHU CẦU ĐÁNH GIÁ AN TOÀN THÔNG TIN 3

1.1 Khái niệm về an toàn thông tin 3

1.2 Khái niệm về đánh giá an toàn thông tin 3

1.3 Nhu cầu về đánh giá an toàn thông tin và các tiêu chí đánh giá chung 4

2TÌNH HÌNH TIÊU CHUẨN HÓA VỀ AN TOÀN THÔNG TIN VÀ ĐÁNH GIÁ AN TOÀN THÔNG TIN 5

2.1 Các tiêu chuẩn quốc tế về an toàn thông tin và đánh giá an toàn thông tin 5

42.2 Tình hình xây dựng, công bố TCVN về an toàn thông tin và đánh giá an toàn thông tin 11

5 Trong thời gian qua, Bộ Thông tin và Truyền thông đã tổ chức xây dựng và đề nghị công bố nhiều tiêu chuẩn quốc gia về an toàn thông tin và đánh giá an toàn thông tin. Những bộ tiêu chuẩn chính cụ thể là: 11

6Bộ Thông tin và Truyền thông đã xây dựng và đề nghị công bố các TCVN tương đương với các phần trong bộ tiêu chuẩn ISO/IEC 27000, đó là ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27010. Hiện nay Bộ Thông tin và Truyền thông vẫn đang tiếp tục hoàn thiện để công bố tiếp các TCVN tương đương với ISO/IEC 27033, ISO/IEC 27035… 11

72.3 Giới thiệu Bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408) 11

1.1Giới thiệu bộ tiêu chuẩn ISO/IEC 18045 15

3 XÂY DỰNG TCVN VỀ HỆ THỐNG PHƯƠNG PHÁP ĐÁNH GIÁ AN TOÀN THÔNG TIN 17

3.1 Lựa chọn tài liệu tham khảo xây dựng TCVN 17

3.2 Phương pháp xây dựng tiêu chuẩn 17

3.3 Nội dung của dự thảo tiêu chuẩn 18

1KẾT LUẬN VÀ KIẾN NGHỊ 23

8CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT TRONG TCVN 8709 VÀ TCVN xxx:2015 (ISO/IEC 18045:2008) 23



1TỔNG QUAN VỀ NHU CẦU ĐÁNH GIÁ AN TOÀN THÔNG TIN

1.1 Khái niệm về an toàn thông tin


Thông tin được lưu trữ bởi các sản phẩm và hệ thống CNTT là một tài nguyên quan trọng cho sự thành công của tổ chức đó, là tài sản của một cá nhân hay tổ chức. Các thông tin cá nhân lưu trữ trong hệ thống thông tin cần được giữ bí mật, bảo vệ và không bị thay đổi khi không được phép. Trong khi các sản phẩm và hệ thống CNTT thực hiện các đảm bảo của chúng, các thông tin cần được kiểm soát để đảm bảo chúng được bảo vệ chống lại các nguy cơ, ví dụ như việc phổ biến và thay đổi thông tin không mong muốn và trái phép, nguy cơ mất mát thông tin.

An toàn thông tin là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm an toàn phần cứng và phần mềm theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; duy trì các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng (theo định nghĩa trong Nghị định 64-2007/NĐ-CP).

Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng.

Như vậy khái niệm đảm bảo an toàn thông tin bao hàm đảm bảo an toàn cho cả phần cứng và phần mềm. An toàn phần cứng là bảo đảm hoạt động cho cơ sở hạ tầng thông tin. An toàn phần mềm gồm các hoạt động quản lý, kỹ thuật nhằm bảo vệ hệ thống thông tin, đảm bảo đảm cho các hệ thống thực hiện đúng đảm bảo, phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy. An toàn công nghệ thông tin là đảm bảo an toàn kỹ thuật cho các sản phẩm, dịch vụ và hệ thống công nghệ thông tin.


1.2 Khái niệm về đánh giá an toàn thông tin


Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống.

Mặt khác, nhiều người tiêu dùng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển. Bởi vậy, người tiêu dùng có thể nâng cao tin cậy trong các biện pháp an toàn của một sản phẩm hoặc hệ thống CNTT bằng cách đặt hàng phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn.


1.3 Nhu cầu về đánh giá an toàn thông tin và các tiêu chí đánh giá chung


Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp người dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn và tin cậy chưa khi đưa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào. Ngoài ra, việc đánh giá an toàn thông tin còn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin.

Thực tế cho thấy, một mô hình tổng thể cho đánh giá an toàn thông tin hết sức cần thiết. Mô hình này không những đáp ứng nhu cầu đảm bảo an toàn các hệ thống thông tin, mà đồng thời còn là một phương tiện hữu hiệu để khảo sát qui hoạch, phát triển hệ thống và đánh giá kết quả.

Để đạt được sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh giá cần được thực hiện theo một khung của mô hình chính thức trong đó các tiêu chí đánh giá chung (Common Criteria), các thành phần giám sát chất lượng của quá trình đánh giá và các tổ chức có thẩm quyền đánh giá tương thích với nhau trong cùng một ngữ cảnh đánh giá.

Sử dụng phương pháp đánh giá chung làm tăng thêm tính chính xác và khách quan của kết quả đánh giá, song chỉ sử dụng phương pháp đánh giá chung vẫn chưa đủ. Cần có những tiêu chí đánh giá chung và lược đồ đánh giá. Nhiều tiêu chí đánh giá đòi hỏi có các kinh nghiệm chuyên gia và kiến thức cơ bản, nhằm đạt được sự nhất quán và khách quan trong các kết quả đánh giá.

Để tăng cường sự nhất quán và khách quan cho các kết quả đánh giá, cần có một quy trình công nhận/phê chuẩn. Quy trình này xem xét kỹ càng một cách độc lập các kết quả đánh giá để đưa ra chứng nhận/ phê chuẩn về mức độ an toàn cho các sản phẩm/ hệ thống CNTT khi vào sử dụng.



tải về 459.59 Kb.

Chia sẻ với bạn bè của bạn:
  1   2   3   4




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©tieuluan.info 2022
được sử dụng cho việc quản lý

    Quê hương