Một số vấn đề về Tiêu chuẩn Yêu cầu an toàn cho Môđun Mật mã

Trong lĩnh vực công nghệ thông tin, nhu cầu sử dụng các cơ chế mật mã để bảo vệ thông tin liên tục gia tăng. Tính an toàn và tin cậy của các cơ chế như vậy phụ thuộc trực tiếp vào các môđun mật mã, trong đó các cơ chế này được thực thi. Trước yêu cầu này, Tiêu chuẩn Quốc gia Việt Nam TCVN 11295:2016 ISO/IEC 19790:2012 “Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho môđun mật mã” đã được công bố theo đề nghị của Ban Cơ yếu Chính phủ. Tiêu chuẩn này đã bước đầu đáp ứng cho công tác tiêu chuẩn, kiểm định, đánh giá trong lĩnh vực mật mã. Bài viết dưới đây sẽ phân tích một số vấn đề liên quan đến việc triển khai tiêu chuẩn mới này.

Hệ thống quản lý An toàn thông tin theo tiêu chuẩn ISO 27001:2013

Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế - ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.

Giới thiệu một số tiêu chuẩn an toàn thông tin quốc tế (phần 2)

CC-IS là các yêu cầu chứng nhận cần tuân thủ bắt buộc đối với các sản phẩm an toàn thông tin cho thị trường mua sắm cho cơ quan chính phủ của Trung Quốc. Các sản phẩm an toàn thông tin không thuộc lĩnh vực mua sắm cho cơ quan chính phủ thì áp dụng tự nguyện. Cơ quan chỉ định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực hiện chứng nhận CC-IS bao gồm 08 mục sản phẩm và được mở rộng thành 13 loại sản phẩm cụ thể.

Giới thiệu một số tiêu chuẩn an toàn thông tin quốc tế (phần 1)

Tiêu chuẩn quốc tế ISO/IEC 27001:2005 giới thiệu một mô hình tuần hoàn là “Lập kế hoạch – Thực hiện –Kiểm tra – Thi hành” (“Plan-Do-Check-Act” - PDCA) có mục đích thiết lập, thực thi, giám sát và cải thiện hiệu quả Hệ thống quản lý an toàn thông tin.

Qúa trình hình thành các Tiêu chuẩn An toàn thông tin

Tạp chí An toàn thông tin đã giới thiệu phần I của bài viết “Quá trình hình thành các Tiêu chuẩn an toàn thông tin. Trong phần 2 này, phần tiếp theo sẽ giới thiệu nội dung về “Các tiêu chuẩn đánh giá và các tiêu chuẩn đặc tả kỹ thuật sản phẩm ATTT”.

Dự thảo sơ bộ Khung an toàn mạng của NIST

Theo yêu cầu của Tổng thống Mỹ, từ tháng 1/2013, Viện Tiêu chuẩn và Công nghệ Mỹ(NIST) được giao nhiệm vụ phát triển một tài liệu được gọi là Khung an toàn mạng (Cybersecurity Framework).

NIST công bố Hướng dẫn ngăn chặn và xử lý sự cố phần mềm độc hại phiên bản 800-83 v1 cho máy tính

Theo đó, phần mềm độc hại được xác định là bất kỳ chương trình bí mật đưa vào một chương trình khác với mục đích làm tổn hại tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống dữ liệu, các ứng dụng hay hệ điều hành của nạn nhân.

Áp dụng chuẩn bảo mật PCI DSS cho ngân hàng

Trước nguy cơ bị tấn công đánh cắp dữ liệu, mất an toàn thông tin, hiện nhiều ngân hàng, tổ chức thẻ tại Việt Nam đang đẩy mạnh áp dụng và tuân thủ tiêu chuẩn bảo mật Payment Card Indutry Data Security Standard (PCI DSS) để hạn chế rủi ro, phát triển kinh doanh.

Tiêu chuẩn đánh giá mô - đun mật mã FIPS 140-2

Các sản phẩm bảo mật và an toàn thông tin (BM&ATTT) khi được triển khai để bảo vệ dữ liệu nhạy cảm thì người sử dụng đều muốn có được sự đảm bảo tối thiểu rằng nó có đầy đủ các tính năng an toàn như nhà sản xuất đã tuyên bố.

Áp dụng tiêu chuẩn tương thích môi trường cho các thiết bị mật mã

Các thiết bị mật mã điện tử trong quá trình triển khai sử dụng có thể gặp những hỏng hóc nhất định. Việc nghiên cứu, phân tích nguyên nhân sinh ra lỗi, đánh giá tỷ lệ lỗi để xử lý hạn chế lỗi cần dựa trên các cơ sở lý thuyết về mạch điện tử, bán dẫn, cơ khí, độ tin cậy....

Các tin khác