Bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) cho phép so sánh giữa các kết quả của các đánh giá an toàn độc lập, cung cấp một tập hợp các yêu cầu chung cho chức năng an toàn của các sản phẩm công nghệ thông tin (CNTT) và các biện pháp đảm bảo được áp dụng cho các sản phẩm CNTT trong quá trình đánh giá an toàn.
Bộ tiêu chuẩn TCVN 8709:2011(ISO/IEC 15408) được áp dụng trong nhiều chương trình chứng nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển và TCVN 11386:2016 (ISO/IEC 18045:2018) được sử dụng làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.
Tiêu chuẩn TCVN ISO/IEC 17025:2017 đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn ISO/IEC 17025:2017, 5.2.1 có quy định rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở giáo dục, đào tạo, kinh nghiệm hoặc chứng minh kỹ năng phù hợp”.
Tiêu chuẩn ISO/IEC 19896-3:2018 thiết lập ranh giới cho năng lực tối thiểu của các chuyên gia đánh giá TCVN 8709:2011 (ISO/IEC 15408) với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá TCVN 8709:2011(ISO/IEC 15408) liên quan đến các cơ quan và chương trình đánh giá sản phẩm CNTT. Tiêu chuẩn này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá sản phẩm an toàn CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018). TCVN 8709-1:2011 (ISO/IEC 15408-1) mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau như kiến thức, kỹ năng, kinh nghiệm, giáo dục và hiệu quả.
ISO/IEC 19896-3:2018 bao gồm các kiến thức và kỹ năng đặc biệt trong các lĩnh vực sau đây:
Lĩnh vực | Kiến thức | Kỹ năng |
An toàn thông tin | Các nguyên tắc an toàn thông tin, các thuộc tính an toàn thông tin, các mối đe dọa và lỗ hổng an toàn thông tin. | Hiểu các yêu cầu về an toàn thông tin, hiểu bối cảnh. |
Đánh giá an toàn thông tin | Kiến thức về TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016(ISO/IEC 18045:2018), hệ thống quản lý phòng thử nghiệm. | Kỹ năng đánh giá cơ bản, kỹ năng đánh giá điểm trung tâm, kỹ năng cần có khi đánh giá các lớp đảm bảo an toàn cụ thể, các kỹ năng cần có khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể. |
Kiến trúc hệ thống thông tin | Công nghệ đang được đánh giá. | Hiểu sự tương tác của các thành phần an toàn và thông tin. |
Thử nghiệm an toàn thông tin | Kỹ thuật kiểm tra an toàn thông tin, công cụ kiểm tra an toàn thông tin, vòng đời phát triển sản phẩm, loại kiểm tra. | Tạo và quản lý kế hoạch kiểm tra an toàn thông tin, kiểm tra thiết kế an toàn thông tin, chuẩn bị và tiến hành kiểm tra an toàn thông tin. |
Đối tượng của ISO/IEC 19896-3:2018 này bao gồm các cơ quan công nhận và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình đánh giá, các phòng thử nghiệm, người đánh giá và các tổ chức cung cấp chứng chỉ nghề nghiệp.
Nội dung chính của Tiêu chuẩn ISO/IEC 19896-3:2018
Nội dung tiêu chuẩn ISO/IEC 19896-3:2018 bao gồm 8 điều, và 2 phụ lục. Cụ thể:
Điều 1: Phạm vi
Tài liệu này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).
Điều 2: Tài liệu tham khảo
Nội dung một phần hoặc toàn bộ của các tài liệu tham khảo dưới đây tạo nên yêu cầu của tài liệu này. Đối với tài liệu tham khảo ghi thời gian, duy nhất bản trích dẫn được áp dụng. Đối với các tài liệu tham khảo không ghi thời gian, thì phiên bản mới nhất của tài liệu được áp dụng (bao gồm mọi sửa đổi).
TCVN XXXXX-1:2022 (ISO/IEC 19896-1), Kỹ thuật an toàn CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá an toàn về CNTT.
TCVN 11386:2016 (ISO/IEC 18045:2018), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp luận để đánh giá an toàn CNTT TCVN ISO/IEC 17025:2017, Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.
Điều 3: Thuật ngữ và định nghĩa
Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong TCVN XXXXX: 2022 (ISO/IEC 19896-1), TCVN 8709-1:2011 (ISO/IEC 15408-1), TCVN ISO/IEC 17025:2017, TCVN 11386:2016 (ISO/IEC 18045:2018) và những điều sau đây được áp dụng.
ISO và IEC duy trì cơ sở dữ liệu thuật ngữ để sử dụng trong chuẩn hóa tại các địa chỉ sau:
Tổ chức thực hiện các chính sách và bộ quy tắc do cơ quan đánh giá thiết lập, xác định môi trường đánh giá, bao gồm các tiêu chí và phương pháp luận cần thiết để tiến hành đánh giá an toàn CNTT. Phương pháp dựa trên kinh nghiệm và sự hiểu biết của một người nhất định.
Điều 4: Kiến thức
Quy định những gì một người đánh giá phải biết và có thể mô tả. Các khoản từ 4.2 đến 4.8 đề cập đến kiến thức cần thiết để đánh giá theo TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).
- Hiểu biết về cơ quan đánh giá: Tất cả các đánh giá viên phải có kiến thức về các yêu cầu của cơ quan đánh giá hoặc cơ quan đánh giá có thể áp dụng cho các chương trình đánh giá mà họ được ủy quyền làm việc.
- Kiến thức về quy trình đánh giá.
- Kiến thức về phòng thử nghiệm và hệ thống quản lý của phòng thử nghiệm.
- Kiến thức về an toàn thông tin.
- Kiến thức về công nghệ được đánh giá
- Kiến thức cần thiết cho các lớp đảm bảo cụ thể
- Kiến thức cần thiết khi đánh giá các yêu cầu chức năng an toàn cụ thể
- Kiến thức cần thiết khi đánh giá các công nghệ cụ thể
Điều 5: Kỹ năng
Quy định bao gồm:
- Kỹ năng đánh giá cơ bản
- Các kỹ năng đánh giá cốt lõi được đưa ra trong TCVN 8709-3: 2011(ISO/IEC 15408-3). và TCVN 11386:2016 (ISO/IEC 18045:2018)
- Các kỹ năng cần thiết khi đánh giá các lớp đảm bảo an toàn cụ thể
- Các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể
Điều 6: Kinh nghiệm
Kinh nghiệm cốt lõi về các kỹ năng đánh giá được quy định trong Điều 5, có được trong lần đánh giá đầu tiên và tiếp theo do người đánh giá thực hiện. Với tư cách là một học viên, những kinh nghiệm đó cần đạt được dưới sự giám sát hoặc cố vấn của một người đánh giá có năng lực khác.
Điều 7: Đào tạo
Tất cả người đánh giá phải có trình độ đào tạo, chẳng hạn như bằng Cao đẳng, Cử nhân hoặc bằng cao hơn, có liên quan đến các yêu cầu được đề cập trong TCVN 8709:2011(ISO/IEC 15408) và các yêu cầu về phương pháp đánh giá trong TCVN 11386:2016 (ISO/IEC 18045:2018).
Điều 8: Hiệu quả
Bao gồm: Hiệu quả chung, hiệu quả của việc đánh giá, các trách nhiệm của chương trình đánh giá đối với tính hiệu quả của người đánh giá, hiệu quả trong việc thực hiện các đánh giá kịp thời, hiệu quả trong việc thực hiện các đánh giá chính xác, tính hiệu quả trong báo cáo kết quả.
Bài viết đã giới thiệu tổng quan về tiêu chuẩn ISO/IEC 19896-3:2018, hiện tại Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đang tiến hành biên soạn TCVN theo ISO/IEC 19896-3:2018. Để biết thêm chi tiết về các yêu cầu của đánh giá viên, độc giả tham khảo thêm ISO/IEC 19896-3:2018, hoặc phiên bản TCVN 13723-3 đã được công bố.
TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
09:00 | 13/10/2023
15:00 | 15/07/2024
10:00 | 11/10/2023
15:00 | 20/09/2023
15:00 | 04/10/2023
09:00 | 05/09/2024
Theo các chuyên gia bảo mật thì điện thoại Android dễ bị nhiễm phần mềm độc hại hơn so với iPhone. Trong thực tế, khi người dùng truy cập vào các trang web, ứng dụng của bên thứ ba hoặc tương tác với tin nhắn văn bản và email lạ, khi đó vô tình có thể đã khiến cho thiết bị điện thoại của mình bị cài đặt phần mềm độc hại. Tuy nhiên, nếu biết cách thì người dùng có thể chủ động kiểm tra và xử lý trên điện thoại Android của mình khi bị lây nhiễm.
17:00 | 22/12/2023
Bài viết giới thiệu tóm tắt nội dung tiêu chuẩn TCVN 11367-2:2016 đặc tả một số mật mã phi đối xứng, quy định các giao diện chức năng và các phương pháp đúng đắn sử dụng các mật mã phi đối xứng, cũng như chính xác hóa chức năng và định dạng bản mã cho một số mật mã phi đối xứng.
17:00 | 15/11/2022
Giao thức SSL/TLS được sử dụng để bảo mật kênh truyền cho rất nhiều dịch vụ mạng hiện nay như: dịch vụ Web, Email, Database, VoIP... TLS 1.3 là phiên bản mới nhất của giao thức này với nhiều ưu điểm như tốc độ nhanh và độ an toàn cao hơn so với các phiên bản trước [1]. Bài viết này sẽ trình bày chi tiết về cách thức hoạt động và thuật toán mật mã được sử dụng trong TLS 1.3.
09:00 | 13/06/2022
Trong vài năm trở lại đây, mã QR đang được áp dụng hết sức phổ biến cho các giải pháp kiểm soát ra vào, check-in địa điểm, thanh toán,… bởi đặc tính đơn giản, không yêu cầu tiếp xúc trực tiếp. Tuy nhiên, việc sử dụng mã QR truyền thống cũng tiềm ẩn nguy cơ mất an toàn thông tin, như có thể bị làm giả hoặc được sử dụng sai mục đích, không đúng đối tượng được ủy quyền.