Giới thiệu chung
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh,... đã đưa ra hệ thống tiêu chí đánh giá ATTT đối với các hệ thống CNTT, nội dung các tiêu chí ngày càng được hoàn chỉnh. Ví dụ như Sách Da cam (năm 1983); Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); Sách Đỏ (năm 1987); Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991); Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Việc kiểm định, đánh giá chất lượng sản phẩm là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Tuy nhiên, để tạo ra kết quả của một cuộc đánh giá cũng sẽ phụ thuộc vào yếu tố con người. Các tổ chức đánh giá sự phù hợp thuộc các Bộ quản lý chuyên ngành có năng lực không đồng đều và phân bố chưa phù hợp, ví dụ như số lượng tổ chức giám định tương đối lớn nhưng các tổ chức có chất lượng đáp ứng các tiêu chuẩn quốc tế, chuyên sâu rất ít, không đủ năng lực đáp ứng đối với công việc phục vụ quản lý nhà nước.
Tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã. Nhiều chứng nhận, kế hoạch xác nhận và các thỏa thuận công nhận đã được phát triển sử dụng nó làm cơ sở. ISO/IEC 19790 cho phép so sánh giữa các kết quả của các dự án thử nghiệm an toàn độc lập. ISO/IEC 24759 hỗ trợ điều này bằng cách cung cấp một tập hợp các yêu cầu thử nghiệm chung để kiểm tra mô-đun mật mã để phù hợp với ISO/IEC 19790.
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của các chứng đánh giá hoặc chứng nhận đó là các yêu cầu về kiến thức, kỹ năng và hiệu quả của từng kiểm thử viên chịu trách nhiệm thực hiện các dự án thử nghiệm. ISO/IEC 17025, thường được quy định như một tiêu chuẩn mà các cơ sở thử nghiệm tuân theo, trong mục 5.2.1 nêu rõ rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở được giáo dục phù hợp, đào tạo, kinh nghiệm hoặc kỹ năng được chứng minh”.
Đối tượng hướng đến của tài liệu này bao gồm các cơ quan đánh giá và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình dự án thử nghiệm, cơ sở thử nghiệm, kiểm thử viên và các tổ chức cung cấp chứng chỉ và công nhận chuyên nghiệp. Tài liệu này thiết lập cơ sở cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của kiểm thử viên ISO/IEC 19790 với mục tiêu thiết lập sự phù hợp trong các yêu cầu đào tạo các chuyên gia thử nghiệm ISO/IEC 19790 liên quan đến các chương trình thử nghiệm sự phù hợp của mô-đun mật mã.
Các nội dung chính được quy định trong tiêu chuẩn ISO/IEC 19896-2:2018
Tiêu chuẩn ISO/IEC 19896-2:2018 được chia thành các điều sau:
Kiến thức (Điều 6): Kiến thức là những gì người kiểm tra biết và có thể mô tả. Từ mục 6 đến mục 9 đề cập đến phạm vi kiến thức và các yêu cầu đào tạo cần thiết để thử nghiệm phù hợp với TCVN 11295:2016 (ISO/IEC 19790) và TCVN 12211:2018 (ISO/IEC 24759). Các kiến thức bao gồm:
- Kiến thức kỹ thuật, chuyên ngành
- Kiến thức về các tiêu chuẩn ISO/IEC 19790, ISO/IEC 24759, và một số Tiêu chuẩn ISO/IEC bổ sung
- Kiến thức về chương trình xác nhận
Kỹ năng (Điều 7): Việc đào tạo cho kiểm thử viên thường có được thông qua kinh nghiệm nghề nghiệp trong ngành công nghệ thông tin hoặc trong quá trình họ liên kết với cơ sở thử nghiệm hoặc do yêu cầu của các tổ chức chuyên nghiệp. Các kỹ năng bao gồm: Thử nghiệm thuật toán, kiểm tra an toàn vật lý, phân tích kênh kề, loại công nghệ.
Kinh nghiệm (Điều 8): Kiểm thử viên phải ghi lại các hoạt động đào tạo và thử nghiệm của họ phù hợp với chương trình xác nhận và các yêu cầu của cơ sở thử nghiệm.
Giáo dục (Điều 9) và Hiệu quả (Điều 10). Mỗi mục tương ứng với một khía cạnh của các yêu cầu về kiến thức, kỹ năng, kinh nghiệm, giáo dục và yêu cầu hiệu quả của các cá nhân thực hiện các hoạt động thử nghiệm như được giới thiệu trong ISO/IEC 19896-1 với kế hoạch phù hợp sử dụng ISO/IEC 19790 và ISO/IEC 24759.
Kết luận
Bài viết đã giới thiệu tổng quan các nội dung chính của tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn đối với sản phẩm mật mã.
TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
16:00 | 21/07/2023
15:00 | 15/07/2024
07:00 | 03/11/2023
09:00 | 19/07/2023
14:00 | 14/06/2023
13:00 | 29/12/2023
15:00 | 24/10/2023
07:00 | 29/06/2024
Trong thời kỳ đổi mới hội nhập của đất nước, với sự phát triển của khoa học - công nghệ, nhất là công nghệ thông tin và truyền thông, cuộc Cách mạng công nghiệp lần thứ tư, việc xây dựng, phát triển Chính phủ điện tử và Chuyển đổi số là vô cùng thiết yếu. Các sản phẩm dịch vụ mật mã dân sự không chỉ được sử dụng để bảo vệ thông tin thuộc bí mật nhà nước mà còn được dùng rộng rãi để bảo vệ thông tin trong Chính phủ điện tử và giao dịch điện tử.
14:00 | 23/05/2024
Tiêm lỗi nguồn điện (Power Fault Injection - PFI) là một trong những tấn công mạnh mẽ nhất để phá vỡ hệ thống bảo mật. PFI không tấn công trực tiếp vào các phép tính của thuật toán, mà tập trung vào sự thực thi vật lý của các thiết bị mật mã. Đối tượng chính mà kỹ thuật tấn công này khai thác là các linh kiện điện tử (chip mật mã) luôn tiêu thụ nguồn điện, hệ quả là, đầu ra của bộ sinh số ngẫu nhiên vật lý bị suy giảm mạnh, khi điện áp đầu vào nằm trong điều kiện tấn công. Bài báo này đề xuất mạch thiết kế một Bộ tạo số ngẫu nhiên thực TRNG (true random number generator) trong chip Spartan3 XC3S1000 bằng công cụ Altium Designer, thực hiện tấn công tiêm lỗi nguồn điện trên thiết bị và đánh giá các kết quả đầu ra.
14:00 | 04/07/2023
Đó là dự báo của công ty nghiên cứu MarketsandMarkets có trụ sở tại Ấn Độ và các chi nhánh tại Mỹ và Vương quốc Anh. Thị trường mật mã lượng tử toàn cầu ước tính giá trị khoảng 500 triệu USD vào năm 2023. Giống như bản thân công nghệ lượng tử đang phát triển nhanh chóng, thị trường mật mã lượng tử sẽ phát triển vượt bậc trong nửa thập kỷ tới đây.
10:00 | 14/04/2023
Sau 5 năm ban hành và triển khai, Nghị định số 53/2018/NĐ-CP ngày 16/4/2018 của Chính phủ sửa đổi, bổ sung Nghị định số 58/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự đã cho thấy nhiều bất cập cần sửa đổi, bổ sung.