Đề tài Khoa học Kỹ thuật


Giới thiệu bộ tiêu chuẩn ISO/IEC 18045



tải về 459.59 Kb.
trang3/4
Chuyển đổi dữ liệu26.11.2017
Kích459.59 Kb.
#2981
1   2   3   4

Giới thiệu bộ tiêu chuẩn ISO/IEC 18045


Bộ tiêu chuẩn ISO/IEC 18045 có tên là “Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống phương pháp đánh giá an toàn CNTT”. ISO/IEC 18045 được biên soạn bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ thông tin (Joint Technical Committee ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn CNTT (Information Technology Subcommittee SC 27, IT security techniques). Tài liệu chuẩn ISO/IEC 18045 được xuất bản bởi các tổ chức tài trợ dự án về các tiêu chuẩn chung dưới tiêu đề “Các tiêu chí chung cho đánh giá an toàn CNTT”.

Tiêu chuẩn ISO/IEC 18045 cung cấp hệ thống phương pháp đánh giá an toàn công nghệ thông tin cho các tiêu chí về an toàn quy định trong ISO/IEC 15408.



  • Phiên bản đầu tiên của tiêu chuẩn ISO/IEC 18045 là ISO/IEC 18045: 2005, tiêu chuẩn này đưa ra hệ thống các phương pháp đánh giá an toàn thông tin theo các chỉ tiêu mà tiêu chuẩn quốc tế ISO 15408:2005 đưa ra. Nội dung của tiêu chuẩn chỉ bao gồm hệ thống các phương pháp đánh giá cho phép đánh giá theo các cấp độ từ EAL 1 tới EAL 4 được quy định trong ISO 15408: 2005.

Nội dung tiêu chuẩn ISO 18045: 2005 bao gồm các Điều chính sau:

1. Giới thiệu

2. Phạm vi áp dụng

3. Thuật ngữ và định nghĩa

4. Ký hiệu và từ viết tắt

5. Tổng quan

6. Các quy ước

7. Các nhiệm vụ đánh giá chung

8. Đánh giá hồ sơ bảo vệ

9. Đánh giá mục tiêu bảo mật

10. Đánh giá an toàn thông tin theo cấp độ một

11. Đánh giá an toàn thông tin theo cấp độ hai

12. Đánh giá an toàn thông tin theo cấp độ ba

13. Đánh giá an toàn thông tin theo cấp độ bốn

14. Điều chỉnh sai sót

- Phiên bản thứ hai thay thế cho phiên bản đầu tiên đó là ISO/IEC 18045:2008 và đây cũng là phiên bản mới nhất hiện nay, tiêu chuẩn này đưa ra hệ thống phương pháp đánh giá an toàn thông tin theo các tiêu chí mà tiêu chuẩn ISO 15408:2008 đưa ra. Tại phiên bản này không đưa ra hệ thống phương pháp đánh giá theo các cấp độ từ EAL 1 tới EAL 4 mà đưa ra hệ thống phương pháp đánh giá theo các lớp. ISO/IEC 18045:2008 gồm những Điều sau:

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4. Ký hiệu và thuật ngữ viết tắt

5. Tổng quan

6. Các quy ước trong tiêu chuẩn

7. Quy trình đánh giá và các nhiệm vụ liên quan

8. Đánh giá APE

9. Đánh giá ASE

10. Lớp ADV: Phát triển

11. Lớp AGD: Tài liệu hướng dẫn

12. Lớp ALC: Hỗ trợ vòng đời

13. Lớp ATE: Kiểm thử

14. Lớp AVA: Đánh giá điểm yếu

15. Lớp ACO: Thành phần

Phụ Lục A: Hướng dẫn đánh giá chung

Phụ lục B: Đánh giá điểm yếu (AVA)

3 XÂY DỰNG TCVN VỀ HỆ THỐNG PHƯƠNG PHÁP ĐÁNH GIÁ AN TOÀN THÔNG TIN

3.1 Lựa chọn tài liệu tham khảo xây dựng TCVN


Hiện tại Việt Nam đã có bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408) về tiêu chí chung đánh giá an toàn CNTT nhưng chưa có một tiêu chuẩn nào về hệ thống phương pháp đánh giá an toàn cho các sản phẩm và hệ thống công nghệ thông tin.

ISO/IEC 18045: 2008 cung cấp mô hình tổng quát hệ thống phương pháp đánh giá an toàn công nghệ thông tin dễ hiểu, có thể được sử dụng để tạo ra các hệ thống và sản phẩm tin cậy phản ánh sự cần thiết của thị trường… ISO/IEC 18045:2008 cũng là tài liệu đã được nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương ví dụ như:

- Tại Anh các tiêu chuẩn quốc gia tương đương: BS ISO/IEC 18045:2008

- Tại Nga các tiêu chuẩn quốc gia tương đương: ГОСТ Р ИСО/МЭК 18045-2008

- Tại Canada các tiêu chuẩn quốc gia tương đương: CAN/CSA-ISO/IEC 18045-09/ ISO/IEC 18045: 2008

- Tại Nam Mỹ các tiêu chuẩn quốc gia tương đương: SANS 18045:2010/ ISO/IEC 18045: 2008.....

ISO/IEC 18045:2008 là bộ tiêu chuẩn đi kèm với bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408), do vậy việc lựa chọn ISO/IEC 18045:2008 để xây dựng TCVN về hệ thống phương pháp đánh giá an toàn công nghệ thông tin là phù hợp.

3.2 Phương pháp xây dựng tiêu chuẩn


Trên cơ sở tham khảo các tiêu chuẩn về an toàn thông tin đã ban hành tại Việt Nam, các phương pháp xây dựng các tiêu chuẩn/ qui chuẩn, phương pháp xây dựng tiêu chuẩn này là chấp thuận tiêu chuẩn quốc tế với một số chỉnh sửa nhỏ như sau:

Chỉnh sửa về thể thức trình bày theo quy định hiện hành về trình bày Tiêu chuẩn quốc gia.


3.3 Nội dung của dự thảo tiêu chuẩn


Dự thảo tiêu chuẩn được xây dựng dựa theo phương pháp chấp thuận tiêu chuẩn quốc tế về nội dung. Tuy nhiên cấu trúc của tiêu chuẩn sẽ tuân theo cấu trúc được qui định của Tiêu chuẩn Việt Nam. TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Hệ phương pháp đánh giá an toàn thông tin” sẽ chấp thuận các Điều và Phụ lục của tiêu chuẩn ISO/IEC 18045: 2008, cụ thể như sau:

1. Phạm vi áp dụng: Đưa ra phạm vi áp dụng của tiêu chuẩn

2. Tài liệu viện dẫn: Đưa ra các tài liệu mà tiêu chuẩn viện dẫn

3. Thuật ngữ và định nghĩa: Giới thiệu các thuật ngữ được áp dụng trong tiêu chuẩn này.

4. Ký hiệu và thuật ngữ viết tắt: Giới thiệu các ký hiệu và thuật ngữ viết tắt được sử dụng trong tiêu chuẩn này.

5. Tổng quan: Giới thiệu bố cục của tiêu chuẩn.

6. Các quy ước trong tiêu chuẩn: Giới thiệu các quy ước trong tiêu chuẩn được sử dụng trong tiêu chuẩn này.

7. Quy trình đánh giá và các nhiệm vụ liên quan: Đưa ra quy trình đánh giá và các nhiệm vụ liên quan sử dụng trong việc đánh giá các chỉ tiêu đã được đưa ra trong các lớp TCVN 8701-3: 2011.

8. Lớp APE: Đánh giá hồ sơ bảo vệ

Điều này mô tả việc đánh giá của một PP. Các yêu cầu và hệ thống phương pháp để đánh giá PP là giống nhau đối với mỗi đánh giá PP, không phụ thuộc vào EAL (hoặc tập các yêu cầu đảm bảo khác) được đòi hỏi trong PP. Hệ thống phương pháp đánh giá trong Điều này dựa trên vào các yêu cầu về PP như đã quy định tại TCVN 8709-3: 2011 lớp APE.

9. Lớp ASE: Đánh giá đích an toàn.

Điều này mô tả việc đánh giá một ST. Việc đánh giá ST nên được bắt đầu trước khi có bất kỳ hoạt động con đánh giá TOE do ST cung cấp cơ sở và bối cảnh để thực hiện các hoạt động con này. Hệ thống phương pháp đánh giá trong Điều này căn cứ vào các yêu cầu dựa trên ST theo quy định tại TCVN 8709-3: 2011 lớp ASE.

10. Lớp ADV: Phát triển

Mục đích của các hoạt động phát triển là đánh giá tài liệu thiết kế trong phạm vi thích hợp của nó để hiểu làm thế nào TSF đáp ứng các SFR và làm thế nào triển khai các SFR này mà không bị giả mạo hoặc bị bỏ qua. Sự hiểu biết này có thể đạt được thông qua thẩm tra các mô tả ngày càng tinh tế của các tài liệu thiết kế TSF. Tài liệu thiết kế bao gồm đặc tả chức năng (trong đó mô tả các giao diện của TSF), mô tả thiết kế TOE (trong đó mô tả kiến trúc của TSF xét về cách thức hoạt động để thực hiện các chức năng liên quan đến các SFR được yêu cầu), và mô tả triển khai (mô tả mức mã nguồn). Ngoài ra, có một mô tả kiến trúc an toàn (trong đó mô tả các đặc tính kiến trúc của TSF để giải thích cách thực thi an toàn của nó không thể bị can thiệp hoặc bị bỏ qua), mô tả nội bộ (trong đó mô tả như thế nào để TSF được kết cấu một cách dễ hiểu được khuyến khích), và một mô hình chính sách an toàn (trong đó chính thức mô tả các chính sách an toàn được thực thi bởi TSF).

11. Lớp AGD: Tài liệu hướng dẫn

Mục đích của hoạt động tài liệu hướng dẫn là để đánh giá tính đầy đủ của các tài liệu mô tả cách người sử dụng có thể xử lý các TOE một cách an toàn. Tài liệu hướng dẫn cần phân loại tài khoản theo các kiểu người sử dụng khác nhau (ví dụ như những người chấp nhận, cài đặt, quản trị hoặc vận hành TOE) mà các hành động không chính xác có thể ảnh hưởng xấu đến an toàn của TOE hoặc dữ liệu của nó.

Lớp tài liệu hướng dẫn được chia thành hai họ, họ thứ nhất đề cập tới hướng dẫn người dùng chuẩn bị (tất cả các công việc đã được thực hiện để chuyển đổi TOE được giao vào cấu hình đánh giá trong môi trường như được mô tả trong ST, nghĩa là là chấp nhận và cài đặt TOE) và họ thứ hai đề cập tới hướng dẫn người sử dụng vận hành (tất cả các công việc đã được thực hiện trong quá trình vận hành TOE trong cấu hình đánh giá của nó, nghĩa là vận hành và quản trị).

12. Lớp ALC: Hỗ trợ vòng đời

Mục đích của hoạt động hỗ trợ vòng đời là để xác định sự phù hợp của các thủ tục an toàn mà nhà phát triển sử dụng trong quá trình phát triển và bảo trì của TOE. Các thủ tục này bao gồm các mô hình vòng đời được sử dụng bởi nhà phát triển, quản lý cấu hình, các biện pháp an toàn được sử dụng trong suốt quá trình phát triển TOE, các công cụ được sử dụng bởi nhà phát triển trong suốt vòng đời của TOE, các xử lý lỗ hổng an toàn, và  hoạt động chuyển giao.

Kiểm soát kém việc phát triển và bảo trì của TOE có thể dẫn đến các điểm yếu trong triển khai thực hiện. Sự phù hợp với một mô hình vòng đời được xác định  có thể giúp để cải thiện kiểm soát trong lĩnh vực này. Một mô hình vòng đời có khả năng thành công được sử dụng cho TOE có thể mang đến sự tường minh trong việc đánh giá tiến độ phát triển của TOE.

Mục đích của hoạt động quản lý cấu hình là để hỗ trợ khách hàng trong việc xác định TOE được đánh giá, để đảm bảo rằng hạng mục cấu hình được xác định duy nhất, và đầy đủ các thủ tục được sử dụng bởi nhà phát triển để kiểm soát và theo dõi các thay đổi được thực hiện cho TOE. Điều này bao gồm chi tiết về những thay đổi được theo dõi,  cách thức các thay đổi tiềm năng được áp dụng, và mức độ tự động hóa được sử dụng để giảm phạm vi lỗi.

Các thủ tục an toàn phát triển dự định để bảo vệ TOE và các thông tin thiết kế liên quan của nó khỏi sự can thiệp hoặc tiết lộ. Can thiệp vào quá trình phát triển có thể cho phép tạo ra các điểm yếu có chủ định. Tiết lộ thông tin thiết kế có thể cho phép khai thác các điểm yếu dễ dàng hơn. Tính đầy đủ của các thủ tục sẽ phụ thuộc vào bản chất của TOE và sự phát triển quá trình.

Việc sử dụng các công cụ phát triển được xác định và áp dụng các tiêu chuẩn thực hiện bởi nhà phát triển và bởi các bên thứ ba tham gia vào quá trình phát triển giúp đảm bảo rằng các điểm yếu không phát sinh trong quá trình tinh chỉnh.

Hoạt động khắc phục thiếu sót được dự kiến để theo dõi các thiếu sót an toàn, để xác định các hành động hiệu chỉnh, và phân phối các thông tin hành động hiệu chỉnh đến  người dùng TOE.

Mục đích của hoạt động chuyển giao là để đánh giá mức độ đầy đủ về tài liệu của các thủ tục được sử dụng để đảm bảo rằng TOE được chuyển giao cho khách hàng mà không sửa đổi.

13. Lớp ATE: Kiểm thử

Mục đích của hoạt động này là để xác định xem các đáp ứng của TOE như mô tả trong ST và theo quy định tại các bằng chứng đánh giá (được mô tả trong lớp ADV). Xác định này được thực hiện thông qua một số sự kết hợp của nhà phát triển về kiểm thử chức năng của TSF (kiểm thử chức năng (ATE_FUN)) và kiểm trhủ độc lập TSF bởi người đánh giá (kiểm thử độc lập (ATE_IND)). Ở mức thấp nhất đảm bảo, không có yêu cầu cho sự tham của nhà gia phát triển, vì vậy việc kiểm thử chỉ được tiến hành bởi những người đánh giá, sử dụng các thông tin sẵn có hạn chế về TOE. Đảm bảo bổ sung được tăng thêm khi nhà phát triển tham gia cả trong kiểm thử và cung cấp thêm thông tin về các TOE, và là người đánh giá gia tăng các hoạt động kiểm thử độc lập.

14. Lớp AVA: Đánh giá điểm yếu

Mục đích của các hoạt động đánh giá điểm yếu là để xác định khả năng khai thác các sai sót hoặc điểm yếu của TOE trong môi trường vận hành. Việc xác định này dựa trên phân tích các bằng chứng đánh giá và tìm kiếm các tài liệu công bố bởi người đánh giá và được hỗ trợ bằng cách kiểm thử thâm nhập của người đánh giá.

15. Lớp ACO: Thành phần

Mục tiêu hoạt động này là để xác định xem các thành phần có thể được tích hợp một cách an toàn theo quy định trong ST cho TOE kết hợp. Điều này đạt được thông qua kiểm tra kiểm thử của các giao diện giữa các thành phần, được hỗ trợ bằng cách kiểm tra việc thiết kế của các thành phần và tiến hành phân tích điểm yếu.

Phụ Lục A: Hướng dẫn đánh giá chung

Mục đích của phần này là đưa ra hướng dẫn chung về cung cấp chứng cớ kỹ thuật về các kết quả đánh giá. Việc sử dụng hướng dẫn chung này giúp người đánh giá đạt được tính khách quan, lặp lại của công việc.

Phụ lục B: Đánh giá điểm yếu (AVA)

Phụ lục này giải thích về tiêu chí AVA_VAN và các ví dụ về ứng dụng của chúng. Phụ lục này không định nghĩa tiêu chí AVA; định nghĩa này có thể được tìm thấy trong TCVN 8709-3:2011 lớp AVA: Đánh giá điểm yếu.

Phụ lục này gồm 2 phần chính:

a) Hướng dẫn để hoàn thành phân tích điểm yếu độc lập. Phần này được tóm tắt trong mục B.1 và được mô tả chi tiết hơn trong mục B.2. Các mục này mô tả cách một người đánh giá sẽ tiếp cận việc phân tích điểm yếu độc lập.

b) Cách mô tả và sử dụng khả năng tấn công giả định của kẻ tấn công. Phần này được mô tả trong các mục từ B.3 đển B.5. Những mục này đưa ra một ví dụ mô tả được mô tả và được sử dụng như thế nào, và một số ví dụ về chúng.



Bảng đối chiếu nội dung của TCVN với tiêu chuẩn tham chiếu như trong Bảng 1.

Bảng 1 - Bảng đối chiếu tiêu chuẩn tham chiếu

Dự thảo TCVN “Công nghệ thông tin - Các kỹ thuật an toàn - Hệ phương pháp đánh giá an toàn thông tin”

ISO/IEC 18045:2008

Ghi chú

1

Phạm vi áp dụng

1

Có điều chỉnh và bổ sung ISO/IEC 18045:2008, Điều 1

2

Tài liệu tham chiếu

2

Có điều chỉnh ISO/IEC 18045:2008, Điều 2

3

Thuật ngữ và định nghĩa

3

Chấp thuận ISO/IEC 18045:2008, Điều 3

4

Các ký hiệu và thuật ngữ viết tắt

4

Chấp thuận ISO/IEC 18045:2008, Điều 4

5

Tổng quan

5

Chấp thuận ISO/IEC 18045:2008, Điều 5

6

Các quy ước trong tiêu chuẩn

6

Chấp thuận ISO/IEC 18045:2008, Điều 6

7

Quy trình đánh giá và các nhiệm vụ liên quan

7

Chấp thuận ISO/IEC 18045:2008, Điều 7

8

Lớp APE: Đánh giá hồ sơ bảo vệ

8

Chấp thuận ISO/IEC 18045:2008, Điều 8

9

Lớp ASE: Đánh giá đích an toàn

9

Chấp thuận ISO/IEC 18045:2008, Điều 9

10

Lớp ADV: Phát triển

10

Chấp thuận ISO/IEC 18045:2008, Điều 10

11

Lớp AGD: Tài liệu hướng dẫn

11

Chấp thuận ISO/IEC 18045:2008, Điều 11

12

Lớp ALC: Hỗ trợ vòng đời

12

Chấp thuận ISO/IEC 18045:2008, Điều 12

13

Lớp ATE: Kiểm thử

13

Chấp thuận ISO/IEC 18045:2008, Điều 13

14

Lớp AVA: Đánh giá điểm yếu

14

Chấp thuận ISO/IEC 18045:2008, Điều 14

15

Lớp ACO: Thành phần

15

Chấp thuận ISO/IEC 18045:2008, Điều 15

Phụ lục A

Phụ lục A: Hướng dẫn đánh giá chung

Phụ lục A

Chấp thuận ISO/IEC 18045:2008, Phụ lục A

Phụ lục B

Phụ lục B: Đánh giá điểm yếu (AVA)

Phụ lục B

Chấp thuận ISO/IEC 18045:2008, Phụ lục B




  1. tải về 459.59 Kb.

    Chia sẻ với bạn bè của bạn:
1   2   3   4




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©tieuluan.info 2022
được sử dụng cho việc quản lý

    Quê hương