Giới thiệu chung
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh,... đã đưa ra hệ thống tiêu chí đánh giá ATTT đối với các hệ thống CNTT, nội dung các tiêu chí ngày càng được hoàn chỉnh. Ví dụ như Sách Da cam (năm 1983); Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); Sách Đỏ (năm 1987); Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991); Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Việc kiểm định, đánh giá chất lượng sản phẩm là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Tuy nhiên, để tạo ra kết quả của một cuộc đánh giá cũng sẽ phụ thuộc vào yếu tố con người. Các tổ chức đánh giá sự phù hợp thuộc các Bộ quản lý chuyên ngành có năng lực không đồng đều và phân bố chưa phù hợp, ví dụ như số lượng tổ chức giám định tương đối lớn nhưng các tổ chức có chất lượng đáp ứng các tiêu chuẩn quốc tế, chuyên sâu rất ít, không đủ năng lực đáp ứng đối với công việc phục vụ quản lý nhà nước.
Tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã. Nhiều chứng nhận, kế hoạch xác nhận và các thỏa thuận công nhận đã được phát triển sử dụng nó làm cơ sở. ISO/IEC 19790 cho phép so sánh giữa các kết quả của các dự án thử nghiệm an toàn độc lập. ISO/IEC 24759 hỗ trợ điều này bằng cách cung cấp một tập hợp các yêu cầu thử nghiệm chung để kiểm tra mô-đun mật mã để phù hợp với ISO/IEC 19790.
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của các chứng đánh giá hoặc chứng nhận đó là các yêu cầu về kiến thức, kỹ năng và hiệu quả của từng kiểm thử viên chịu trách nhiệm thực hiện các dự án thử nghiệm. ISO/IEC 17025, thường được quy định như một tiêu chuẩn mà các cơ sở thử nghiệm tuân theo, trong mục 5.2.1 nêu rõ rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở được giáo dục phù hợp, đào tạo, kinh nghiệm hoặc kỹ năng được chứng minh”.
Đối tượng hướng đến của tài liệu này bao gồm các cơ quan đánh giá và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình dự án thử nghiệm, cơ sở thử nghiệm, kiểm thử viên và các tổ chức cung cấp chứng chỉ và công nhận chuyên nghiệp. Tài liệu này thiết lập cơ sở cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của kiểm thử viên ISO/IEC 19790 với mục tiêu thiết lập sự phù hợp trong các yêu cầu đào tạo các chuyên gia thử nghiệm ISO/IEC 19790 liên quan đến các chương trình thử nghiệm sự phù hợp của mô-đun mật mã.
Các nội dung chính được quy định trong tiêu chuẩn ISO/IEC 19896-2:2018
Tiêu chuẩn ISO/IEC 19896-2:2018 được chia thành các điều sau:
Kiến thức (Điều 6): Kiến thức là những gì người kiểm tra biết và có thể mô tả. Từ mục 6 đến mục 9 đề cập đến phạm vi kiến thức và các yêu cầu đào tạo cần thiết để thử nghiệm phù hợp với TCVN 11295:2016 (ISO/IEC 19790) và TCVN 12211:2018 (ISO/IEC 24759). Các kiến thức bao gồm:
- Kiến thức kỹ thuật, chuyên ngành
- Kiến thức về các tiêu chuẩn ISO/IEC 19790, ISO/IEC 24759, và một số Tiêu chuẩn ISO/IEC bổ sung
- Kiến thức về chương trình xác nhận
Kỹ năng (Điều 7): Việc đào tạo cho kiểm thử viên thường có được thông qua kinh nghiệm nghề nghiệp trong ngành công nghệ thông tin hoặc trong quá trình họ liên kết với cơ sở thử nghiệm hoặc do yêu cầu của các tổ chức chuyên nghiệp. Các kỹ năng bao gồm: Thử nghiệm thuật toán, kiểm tra an toàn vật lý, phân tích kênh kề, loại công nghệ.
Kinh nghiệm (Điều 8): Kiểm thử viên phải ghi lại các hoạt động đào tạo và thử nghiệm của họ phù hợp với chương trình xác nhận và các yêu cầu của cơ sở thử nghiệm.
Giáo dục (Điều 9) và Hiệu quả (Điều 10). Mỗi mục tương ứng với một khía cạnh của các yêu cầu về kiến thức, kỹ năng, kinh nghiệm, giáo dục và yêu cầu hiệu quả của các cá nhân thực hiện các hoạt động thử nghiệm như được giới thiệu trong ISO/IEC 19896-1 với kế hoạch phù hợp sử dụng ISO/IEC 19790 và ISO/IEC 24759.
Kết luận
Bài viết đã giới thiệu tổng quan các nội dung chính của tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn đối với sản phẩm mật mã.
TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
16:00 | 21/07/2023
07:00 | 03/11/2023
09:00 | 19/07/2023
14:00 | 14/06/2023
13:00 | 29/12/2023
15:00 | 24/10/2023
09:00 | 13/10/2023
Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn
15:00 | 24/02/2022
Zodiac-340 là một bản mã dựa trên các mã pháp cổ điển là thay thế và hoán vị, nhưng việc phá nó không hề dễ. Trong [1] cũng đã trích dẫn nhiều bài viết về lời giải của Zodiac-340. Trên trang web của Hiệp hội quốc tế về nghiên cứu mật mã, ngày 12/12/2021 đã xuất bản bài viết của Joachim von zur Gathen với nhan đề “Unicity distance of the Zodiac-340 cipher”. Bài viết này sẽ trình bày lại kết quả của nghiên cứu này.
16:00 | 03/09/2021
Bài viết giới thiệu về khái niệm thuật toán mã hóa có tính chất bảo toàn định dạng (Format Preserving Encryption - FPE), tức là bản mã có cùng định dạng với bản rõ, cũng như trình bày một ví dụ và quá trình chuẩn hóa kiểu thuật toán này.
10:00 | 15/08/2021
Xếp hạng bảo mật hoặc xếp hạng an ninh mạng là một phép đo dựa trên dữ liệu, khách quan và chính xác về tình hình và hiệu suất an ninh mạng của một tổ chức. Để tìm hiểu thêm về lợi ích của xếp hạng bảo mật, Maria Henriquez, Phóng viên của Tạp chí Security (PV) đã có cuộc phỏng vấn “5 phút” với Christos Kalantzis, Giám đốc Công nghệ tại SecurityScorecard. Trước đây, Kalantzis đã xây dựng và lãnh đạo các nhóm kỹ thuật cho FireEye, Tenable, Netflix và YouSendIt. Kalantzis lớn lên ở Montreal, Canada, bắt đầu sự nghiệp phân tích cơ sở dữ liệu cho các công ty như Matrox, CGI, Sync và InterTrade. Tạp chí An toàn thông tin giới thiệu bài phỏng vấn nói trên.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
