Giới thiệu chung

Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh,... đã đưa ra hệ thống tiêu chí đánh giá ATTT đối với các hệ thống CNTT, nội dung các tiêu chí ngày càng được hoàn chỉnh. Ví dụ như Sách Da cam (năm 1983); Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); Sách Đỏ (năm 1987); Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991); Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....

Việc kiểm định, đánh giá chất lượng sản phẩm là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình. 

Tuy nhiên, để tạo ra kết quả của một cuộc đánh giá cũng sẽ phụ thuộc vào yếu tố con người. Các tổ chức đánh giá sự phù hợp thuộc các Bộ quản lý chuyên ngành có năng lực không đồng đều và phân bố chưa phù hợp, ví dụ như số lượng tổ chức giám định tương đối lớn nhưng các tổ chức có chất lượng đáp ứng các tiêu chuẩn quốc tế, chuyên sâu rất ít, không đủ năng lực đáp ứng đối với công việc phục vụ quản lý nhà nước. 

Tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã. Nhiều chứng nhận, kế hoạch xác nhận và các thỏa thuận công nhận đã được phát triển sử dụng nó làm cơ sở. ISO/IEC 19790 cho phép so sánh giữa các kết quả của các dự án thử nghiệm an toàn độc lập. ISO/IEC 24759 hỗ trợ điều này bằng cách cung cấp một tập hợp các yêu cầu thử nghiệm chung để kiểm tra mô-đun mật mã để phù hợp với ISO/IEC 19790.

Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của các chứng đánh giá hoặc chứng nhận đó là các yêu cầu về kiến thức, kỹ năng và hiệu quả của từng kiểm thử viên chịu trách nhiệm thực hiện các dự án thử nghiệm. ISO/IEC 17025, thường được quy định như một tiêu chuẩn mà các cơ sở thử nghiệm tuân theo, trong mục 5.2.1 nêu rõ rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở được giáo dục phù hợp, đào tạo, kinh nghiệm hoặc kỹ năng được chứng minh”.

Đối tượng hướng đến của tài liệu này bao gồm các cơ quan đánh giá và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình dự án thử nghiệm, cơ sở thử nghiệm, kiểm thử viên và các tổ chức cung cấp chứng chỉ và công nhận chuyên nghiệp. Tài liệu này thiết lập cơ sở cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của kiểm thử viên ISO/IEC 19790 với mục tiêu thiết lập sự phù hợp trong các yêu cầu đào tạo các chuyên gia thử nghiệm ISO/IEC 19790 liên quan đến các chương trình thử nghiệm sự phù hợp của mô-đun mật mã.

Các nội dung chính được quy định trong tiêu chuẩn ISO/IEC 19896-2:2018

Tiêu chuẩn ISO/IEC 19896-2:2018 được chia thành các điều sau:

Kiến thức (Điều 6): Kiến thức là những gì người kiểm tra biết và có thể mô tả. Từ mục 6 đến mục 9 đề cập đến phạm vi kiến thức và các yêu cầu đào tạo cần thiết để thử nghiệm phù hợp với TCVN 11295:2016 (ISO/IEC 19790) và TCVN 12211:2018 (ISO/IEC 24759). Các kiến thức bao gồm:

- Kiến thức kỹ thuật, chuyên ngành

- Kiến thức về các tiêu chuẩn ISO/IEC 19790, ISO/IEC 24759, và một số Tiêu chuẩn ISO/IEC bổ sung

- Kiến thức về chương trình xác nhận

Kỹ năng (Điều 7): Việc đào tạo cho kiểm thử viên thường có được thông qua kinh nghiệm nghề nghiệp trong ngành công nghệ thông tin hoặc trong quá trình họ liên kết với cơ sở thử nghiệm hoặc do yêu cầu của các tổ chức chuyên nghiệp. Các kỹ năng bao gồm: Thử nghiệm thuật toán, kiểm tra an toàn vật lý, phân tích kênh kề, loại công nghệ.

Kinh nghiệm (Điều 8): Kiểm thử viên phải ghi lại các hoạt động đào tạo và thử nghiệm của họ phù hợp với chương trình xác nhận và các yêu cầu của cơ sở thử nghiệm.

Giáo dục (Điều 9) và Hiệu quả (Điều 10). Mỗi mục tương ứng với một khía cạnh của các yêu cầu về kiến thức, kỹ năng, kinh nghiệm, giáo dục và yêu cầu hiệu quả của các cá nhân thực hiện các hoạt động thử nghiệm như được giới thiệu trong ISO/IEC 19896-1 với kế hoạch phù hợp sử dụng ISO/IEC 19790 và ISO/IEC 24759.

Kết luận

Bài viết đã giới thiệu tổng quan các nội dung chính của tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn đối với sản phẩm mật mã.