Giới thiệu chung
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh,... đã đưa ra hệ thống tiêu chí đánh giá ATTT đối với các hệ thống CNTT, nội dung các tiêu chí ngày càng được hoàn chỉnh. Ví dụ như Sách Da cam (năm 1983); Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); Sách Đỏ (năm 1987); Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991); Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Việc kiểm định, đánh giá chất lượng sản phẩm là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Tuy nhiên, để tạo ra kết quả của một cuộc đánh giá cũng sẽ phụ thuộc vào yếu tố con người. Các tổ chức đánh giá sự phù hợp thuộc các Bộ quản lý chuyên ngành có năng lực không đồng đều và phân bố chưa phù hợp, ví dụ như số lượng tổ chức giám định tương đối lớn nhưng các tổ chức có chất lượng đáp ứng các tiêu chuẩn quốc tế, chuyên sâu rất ít, không đủ năng lực đáp ứng đối với công việc phục vụ quản lý nhà nước.
Tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã. Nhiều chứng nhận, kế hoạch xác nhận và các thỏa thuận công nhận đã được phát triển sử dụng nó làm cơ sở. ISO/IEC 19790 cho phép so sánh giữa các kết quả của các dự án thử nghiệm an toàn độc lập. ISO/IEC 24759 hỗ trợ điều này bằng cách cung cấp một tập hợp các yêu cầu thử nghiệm chung để kiểm tra mô-đun mật mã để phù hợp với ISO/IEC 19790.
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của các chứng đánh giá hoặc chứng nhận đó là các yêu cầu về kiến thức, kỹ năng và hiệu quả của từng kiểm thử viên chịu trách nhiệm thực hiện các dự án thử nghiệm. ISO/IEC 17025, thường được quy định như một tiêu chuẩn mà các cơ sở thử nghiệm tuân theo, trong mục 5.2.1 nêu rõ rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở được giáo dục phù hợp, đào tạo, kinh nghiệm hoặc kỹ năng được chứng minh”.
Đối tượng hướng đến của tài liệu này bao gồm các cơ quan đánh giá và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình dự án thử nghiệm, cơ sở thử nghiệm, kiểm thử viên và các tổ chức cung cấp chứng chỉ và công nhận chuyên nghiệp. Tài liệu này thiết lập cơ sở cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của kiểm thử viên ISO/IEC 19790 với mục tiêu thiết lập sự phù hợp trong các yêu cầu đào tạo các chuyên gia thử nghiệm ISO/IEC 19790 liên quan đến các chương trình thử nghiệm sự phù hợp của mô-đun mật mã.
Các nội dung chính được quy định trong tiêu chuẩn ISO/IEC 19896-2:2018
Tiêu chuẩn ISO/IEC 19896-2:2018 được chia thành các điều sau:
Kiến thức (Điều 6): Kiến thức là những gì người kiểm tra biết và có thể mô tả. Từ mục 6 đến mục 9 đề cập đến phạm vi kiến thức và các yêu cầu đào tạo cần thiết để thử nghiệm phù hợp với TCVN 11295:2016 (ISO/IEC 19790) và TCVN 12211:2018 (ISO/IEC 24759). Các kiến thức bao gồm:
- Kiến thức kỹ thuật, chuyên ngành
- Kiến thức về các tiêu chuẩn ISO/IEC 19790, ISO/IEC 24759, và một số Tiêu chuẩn ISO/IEC bổ sung
- Kiến thức về chương trình xác nhận
Kỹ năng (Điều 7): Việc đào tạo cho kiểm thử viên thường có được thông qua kinh nghiệm nghề nghiệp trong ngành công nghệ thông tin hoặc trong quá trình họ liên kết với cơ sở thử nghiệm hoặc do yêu cầu của các tổ chức chuyên nghiệp. Các kỹ năng bao gồm: Thử nghiệm thuật toán, kiểm tra an toàn vật lý, phân tích kênh kề, loại công nghệ.
Kinh nghiệm (Điều 8): Kiểm thử viên phải ghi lại các hoạt động đào tạo và thử nghiệm của họ phù hợp với chương trình xác nhận và các yêu cầu của cơ sở thử nghiệm.
Giáo dục (Điều 9) và Hiệu quả (Điều 10). Mỗi mục tương ứng với một khía cạnh của các yêu cầu về kiến thức, kỹ năng, kinh nghiệm, giáo dục và yêu cầu hiệu quả của các cá nhân thực hiện các hoạt động thử nghiệm như được giới thiệu trong ISO/IEC 19896-1 với kế hoạch phù hợp sử dụng ISO/IEC 19790 và ISO/IEC 24759.
Kết luận
Bài viết đã giới thiệu tổng quan các nội dung chính của tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn đối với sản phẩm mật mã.
TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
16:00 | 21/07/2023
15:00 | 15/07/2024
07:00 | 03/11/2023
09:00 | 19/07/2023
14:00 | 14/06/2023
13:00 | 29/12/2023
15:00 | 24/10/2023
09:00 | 05/09/2024
Theo các chuyên gia bảo mật thì điện thoại Android dễ bị nhiễm phần mềm độc hại hơn so với iPhone. Trong thực tế, khi người dùng truy cập vào các trang web, ứng dụng của bên thứ ba hoặc tương tác với tin nhắn văn bản và email lạ, khi đó vô tình có thể đã khiến cho thiết bị điện thoại của mình bị cài đặt phần mềm độc hại. Tuy nhiên, nếu biết cách thì người dùng có thể chủ động kiểm tra và xử lý trên điện thoại Android của mình khi bị lây nhiễm.
09:00 | 13/10/2023
Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn
14:00 | 24/08/2023
Các chuyên gia nghiên cứu bảo mật thuộc Đại học Cornell (Vương quốc Anh) đã phát triển một hình thức lấy cắp mật khẩu đăng nhập tài khoản của người dùng theo cách ít ai ngờ đến.
16:00 | 21/07/2023
Ngày 20/7, tại Thành phố Hồ Chí Minh, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị tập huấn về mật mã dân sự năm 2023 và triển khai Nghị định số 32/2023/NĐ-CP ngày 09/6/2023 của Chính phủ.