Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin

07:00 | 03/11/2023 | MẬT MÃ DÂN SỰ

Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của quá trình đánh giá, đó là người làm công tác đánh giá phải đảm bảo điều kiện kĩ thuật luôn đáp ứng khách quan và chủ quan. Do đó, năng lực của người đánh giá là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để công nhận lẫn nhau. Bài viết sau giới thiệu tiêu chuẩn ISO/IEC 19896-3:2018 yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên.

Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin

Bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) cho phép so sánh giữa các kết quả của các đánh giá an toàn độc lập, cung cấp một tập hợp các yêu cầu chung cho chức năng an toàn của các sản phẩm công nghệ thông tin (CNTT) và các biện pháp đảm bảo được áp dụng cho các sản phẩm CNTT trong quá trình đánh giá an toàn.

Bộ tiêu chuẩn TCVN 8709:2011(ISO/IEC 15408) được áp dụng trong nhiều chương trình chứng nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển và TCVN 11386:2016 (ISO/IEC 18045:2018) được sử dụng làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.

Tiêu chuẩn TCVN ISO/IEC 17025:2017 đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn ISO/IEC 17025:2017, 5.2.1 có quy định rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở giáo dục, đào tạo, kinh nghiệm hoặc chứng minh kỹ năng phù hợp”.

Tiêu chuẩn ISO/IEC 19896-3:2018 thiết lập ranh giới cho năng lực tối thiểu của các chuyên gia đánh giá TCVN 8709:2011 (ISO/IEC 15408) với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá TCVN 8709:2011(ISO/IEC 15408) liên quan đến các cơ quan và chương trình đánh giá sản phẩm CNTT. Tiêu chuẩn này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá sản phẩm an toàn CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018). TCVN 8709-1:2011 (ISO/IEC 15408-1) mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau như kiến thức, kỹ năng, kinh nghiệm, giáo dục và hiệu quả.

ISO/IEC 19896-3:2018 bao gồm các kiến thức và kỹ năng đặc biệt trong các lĩnh vực sau đây:

Lĩnh vực	Kiến thức	Kỹ năng
An toàn thông tin	Các nguyên tắc an toàn thông tin, các thuộc tính an toàn thông tin, các mối đe dọa và lỗ hổng an toàn thông tin.	Hiểu các yêu cầu về an toàn thông tin, hiểu bối cảnh.
Đánh giá an toàn thông tin	Kiến thức về TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016(ISO/IEC 18045:2018), hệ thống quản lý phòng thử nghiệm.	Kỹ năng đánh giá cơ bản, kỹ năng đánh giá điểm trung tâm, kỹ năng cần có khi đánh giá các lớp đảm bảo an toàn cụ thể, các kỹ năng cần có khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể.
Kiến trúc hệ thống thông tin	Công nghệ đang được đánh giá.	Hiểu sự tương tác của các thành phần an toàn và thông tin.
Thử nghiệm an toàn thông tin	Kỹ thuật kiểm tra an toàn thông tin, công cụ kiểm tra an toàn thông tin, vòng đời phát triển sản phẩm, loại kiểm tra.	Tạo và quản lý kế hoạch kiểm tra an toàn thông tin, kiểm tra thiết kế an toàn thông tin, chuẩn bị và tiến hành kiểm tra an toàn thông tin.

Đối tượng của ISO/IEC 19896-3:2018 này bao gồm các cơ quan công nhận và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình đánh giá, các phòng thử nghiệm, người đánh giá và các tổ chức cung cấp chứng chỉ nghề nghiệp.

Nội dung chính của Tiêu chuẩn ISO/IEC 19896-3:2018

Nội dung tiêu chuẩn ISO/IEC 19896-3:2018 bao gồm 8 điều, và 2 phụ lục. Cụ thể:

Điều 1: Phạm vi

Tài liệu này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).

Điều 2: Tài liệu tham khảo

Nội dung một phần hoặc toàn bộ của các tài liệu tham khảo dưới đây tạo nên yêu cầu của tài liệu này. Đối với tài liệu tham khảo ghi thời gian, duy nhất bản trích dẫn được áp dụng. Đối với các tài liệu tham khảo không ghi thời gian, thì phiên bản mới nhất của tài liệu được áp dụng (bao gồm mọi sửa đổi).

TCVN XXXXX-1:2022 (ISO/IEC 19896-1), Kỹ thuật an toàn CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá an toàn về CNTT.

TCVN 11386:2016 (ISO/IEC 18045:2018), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp luận để đánh giá an toàn CNTT TCVN ISO/IEC 17025:2017, Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.

Điều 3: Thuật ngữ và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong TCVN XXXXX: 2022 (ISO/IEC 19896-1), TCVN 8709-1:2011 (ISO/IEC 15408-1), TCVN ISO/IEC 17025:2017, TCVN 11386:2016 (ISO/IEC 18045:2018) và những điều sau đây được áp dụng.

ISO và IEC duy trì cơ sở dữ liệu thuật ngữ để sử dụng trong chuẩn hóa tại các địa chỉ sau:

Nền tảng ISO Online: có sẵn tại https://www.iso.org/obp.
IEC Electropedia: có sẵn tại http://www.electropedia.org.

Tổ chức thực hiện các chính sách và bộ quy tắc do cơ quan đánh giá thiết lập, xác định môi trường đánh giá, bao gồm các tiêu chí và phương pháp luận cần thiết để tiến hành đánh giá an toàn CNTT. Phương pháp dựa trên kinh nghiệm và sự hiểu biết của một người nhất định.

Điều 4: Kiến thức

Quy định những gì một người đánh giá phải biết và có thể mô tả. Các khoản từ 4.2 đến 4.8 đề cập đến kiến thức cần thiết để đánh giá theo TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).

- Hiểu biết về cơ quan đánh giá: Tất cả các đánh giá viên phải có kiến thức về các yêu cầu của cơ quan đánh giá hoặc cơ quan đánh giá có thể áp dụng cho các chương trình đánh giá mà họ được ủy quyền làm việc.

- Kiến thức về quy trình đánh giá.

- Kiến thức về phòng thử nghiệm và hệ thống quản lý của phòng thử nghiệm.

- Kiến thức về an toàn thông tin.

- Kiến thức về công nghệ được đánh giá

- Kiến thức cần thiết cho các lớp đảm bảo cụ thể

- Kiến thức cần thiết khi đánh giá các yêu cầu chức năng an toàn cụ thể

- Kiến thức cần thiết khi đánh giá các công nghệ cụ thể

Điều 5: Kỹ năng

Quy định bao gồm:

- Kỹ năng đánh giá cơ bản

- Các kỹ năng đánh giá cốt lõi được đưa ra trong TCVN 8709-3: 2011(ISO/IEC 15408-3). và TCVN 11386:2016 (ISO/IEC 18045:2018)

- Các kỹ năng cần thiết khi đánh giá các lớp đảm bảo an toàn cụ thể

- Các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể

Điều 6: Kinh nghiệm

Kinh nghiệm cốt lõi về các kỹ năng đánh giá được quy định trong Điều 5, có được trong lần đánh giá đầu tiên và tiếp theo do người đánh giá thực hiện. Với tư cách là một học viên, những kinh nghiệm đó cần đạt được dưới sự giám sát hoặc cố vấn của một người đánh giá có năng lực khác.

Điều 7: Đào tạo

Tất cả người đánh giá phải có trình độ đào tạo, chẳng hạn như bằng Cao đẳng, Cử nhân hoặc bằng cao hơn, có liên quan đến các yêu cầu được đề cập trong TCVN 8709:2011(ISO/IEC 15408) và các yêu cầu về phương pháp đánh giá trong TCVN 11386:2016 (ISO/IEC 18045:2018).

Điều 8: Hiệu quả

Bao gồm: Hiệu quả chung, hiệu quả của việc đánh giá, các trách nhiệm của chương trình đánh giá đối với tính hiệu quả của người đánh giá, hiệu quả trong việc thực hiện các đánh giá kịp thời, hiệu quả trong việc thực hiện các đánh giá chính xác, tính hiệu quả trong báo cáo kết quả.

Kết luận

Bài viết đã giới thiệu tổng quan về tiêu chuẩn ISO/IEC 19896-3:2018, hiện tại Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đang tiến hành biên soạn TCVN theo ISO/IEC 19896-3:2018. Để biết thêm chi tiết về các yêu cầu của đánh giá viên, độc giả tham khảo thêm ISO/IEC 19896-3:2018, hoặc phiên bản TCVN 13723-3 đã được công bố.

TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã

‹ › ×

Tin liên quan

Giới thiệu tiêu chuẩn ISO/IEC 19896-1:2018

09:00 | 13/10/2023

Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn

Giới thiệu tiêu chuẩn ISO/IEC 19896-2:2018

10:00 | 11/10/2023

Việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật hay không. Để tạo ra kết quả chuẩn xác của một cuộc đánh giá cũng phụ thuộc nhiều vào yếu tố con người. Bài viết sau sẽ giới thiệu về tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã.

Giới thiệu tiêu chuẩn TCVN 13178-1:2020

15:00 | 20/09/2023

Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó và/hoặc với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ. Các cơ chế xác thực thực thể ẩn danh được thiết kế để hỗ trợ các truyền thông ẩn danh đó. Các cơ chế này được định nghĩa là sự trao đổi thông tin giữa các thực thể và khi cần là sự trao đổi với bên thứ ba đáng tin cậy. Nội dung bài báo sẽ giới thiệu tổng quan về kỹ thuật xác thực thực thể ẩn danh và các nội dung chính của Tiêu chuẩn TCVN 13178-1:2020 Công nghệ thông tin – Các kỹ thuật an toàn – Xác thực thực thể ẩn danh.

Giới thiệu tiêu chuẩn TCVN 13178-2:2020

15:00 | 04/10/2023

Xác thực thực thể ẩn danh là một kiểu xác thực thực thể đặc biệt. Trong một cơ chế xác thực thực thể ẩn danh, với một thông báo được tạo ra trong giao thức xác thực, một thực thể trái phép không thể khám phá ra định danh của thực thể đang được xác thực (bên được xác thực). Cùng lúc đó, một bên xác thực được ủy quyền có thể không được phép biết định danh của thực thể đang được xác thực. Trong nội dung bài viết trước đã giới thiệu tổng quan về Xác thực thực thể ẩn danh tại TCVN 13178-1. Bài viết này sẽ tiếp tục giới thiệu tới độc giả các cơ chế xác thực thực thể ẩn danh dựa trên chữ ký sử dụng khóa công khai nhóm được quy định tại TCVN 13178-2.

Tin cùng chuyên mục

NIST SP 800-22 và những cẩn trọng khi sử dụng (Phần I)

23:00 | 02/09/2022

Trong các ứng dụng mật mã, việc đánh giá chất lượng của bộ sinh số ngẫu nhiên và giả ngẫu nhiên đóng vai trò cực kỳ quan trọng, và việc đánh giá tính ngẫu nhiên theo thống kê là một yêu cầu cơ bản nhất trong quá trình đánh giá đó. NIST SP 800-22 đã được đưa ra và trở thành một công cụ hữu ích, phổ biến nhất cho việc đánh giá tính ngẫu nhiên theo thống kê đối với các bộ sinh trên. Tuy nhiên, cho đến nay dù được sử dụng khá rộng rãi nhưng vẫn còn những điểm bất cập trong bộ kiểm tra này, khi một số kiểm tra thống kê còn chưa chính xác. Trong nội dung của bài báo, chúng tôi sẽ đưa ra một góc nhìn chung về bộ kiểm tra tính ngẫu nhiên theo thống kê NIST SP 800-22 cho các bộ tạo số ngẫu nhiên và giả ngẫu nhiên, đồng thời trình bày các vấn đề còn tồn tại và đưa ra một vài lưu ý đối với việc sử dụng công cụ này.

Khái niệm và sức mạnh của xếp hạng bảo mật

10:00 | 15/08/2021

Xếp hạng bảo mật hoặc xếp hạng an ninh mạng là một phép đo dựa trên dữ liệu, khách quan và chính xác về tình hình và hiệu suất an ninh mạng của một tổ chức. Để tìm hiểu thêm về lợi ích của xếp hạng bảo mật, Maria Henriquez, Phóng viên của Tạp chí Security (PV) đã có cuộc phỏng vấn “5 phút” với Christos Kalantzis, Giám đốc Công nghệ tại SecurityScorecard. Trước đây, Kalantzis đã xây dựng và lãnh đạo các nhóm kỹ thuật cho FireEye, Tenable, Netflix và YouSendIt. Kalantzis lớn lên ở Montreal, Canada, bắt đầu sự nghiệp phân tích cơ sở dữ liệu cho các công ty như Matrox, CGI, Sync và InterTrade. Tạp chí An toàn thông tin giới thiệu bài phỏng vấn nói trên.

Những thách thức với việc tuân thủ trong Cloud

09:00 | 01/07/2021

Về bản chất, các chương trình tuân thủ bao gồm các chính sách và thủ tục nội bộ tổ chức được thiết kế để giải quyết các mối đe dọa hoặc rủi ro đã nhận thấy đối với một lĩnh vực, ngành nghề hoặc trong cộng đồng, nhưng làm thế nào để có thể đảm bảo rằng chúng sẽ phát triển khi cơ sở hạ tầng triển khai, môi trường và ứng dụng thay đổi, đặc biệt là trong đám mây?

SolarMarker đánh cắp dữ liệu và mật khẩu người dùng từ các trình duyệt

07:00 | 29/06/2021

Những kẻ tấn công đằng sau phần mềm độc hại SolarMarker đang sử dụng các tài liệu PDF chứa các từ khóa tối ưu hóa công cụ tìm kiếm (SEO) để tăng khả năng hiển thị của chúng trên các công cụ tìm kiếm, nhằm đưa các nạn nhân tiềm năng đến phần mềm độc hại trên một trang web độc hại giả mạo Google Drive.