Giới thiệu chung
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh,... đã đưa ra hệ thống tiêu chí đánh giá ATTT đối với các hệ thống CNTT, nội dung các tiêu chí ngày càng được hoàn chỉnh. Ví dụ như Sách Da cam (năm 1983); Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); Sách Đỏ (năm 1987); Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991); Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Việc kiểm định, đánh giá chất lượng sản phẩm là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Tuy nhiên, để tạo ra kết quả của một cuộc đánh giá cũng sẽ phụ thuộc vào yếu tố con người. Các tổ chức đánh giá sự phù hợp thuộc các Bộ quản lý chuyên ngành có năng lực không đồng đều và phân bố chưa phù hợp, ví dụ như số lượng tổ chức giám định tương đối lớn nhưng các tổ chức có chất lượng đáp ứng các tiêu chuẩn quốc tế, chuyên sâu rất ít, không đủ năng lực đáp ứng đối với công việc phục vụ quản lý nhà nước.
Tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã. Nhiều chứng nhận, kế hoạch xác nhận và các thỏa thuận công nhận đã được phát triển sử dụng nó làm cơ sở. ISO/IEC 19790 cho phép so sánh giữa các kết quả của các dự án thử nghiệm an toàn độc lập. ISO/IEC 24759 hỗ trợ điều này bằng cách cung cấp một tập hợp các yêu cầu thử nghiệm chung để kiểm tra mô-đun mật mã để phù hợp với ISO/IEC 19790.
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của các chứng đánh giá hoặc chứng nhận đó là các yêu cầu về kiến thức, kỹ năng và hiệu quả của từng kiểm thử viên chịu trách nhiệm thực hiện các dự án thử nghiệm. ISO/IEC 17025, thường được quy định như một tiêu chuẩn mà các cơ sở thử nghiệm tuân theo, trong mục 5.2.1 nêu rõ rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở được giáo dục phù hợp, đào tạo, kinh nghiệm hoặc kỹ năng được chứng minh”.
Đối tượng hướng đến của tài liệu này bao gồm các cơ quan đánh giá và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình dự án thử nghiệm, cơ sở thử nghiệm, kiểm thử viên và các tổ chức cung cấp chứng chỉ và công nhận chuyên nghiệp. Tài liệu này thiết lập cơ sở cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của kiểm thử viên ISO/IEC 19790 với mục tiêu thiết lập sự phù hợp trong các yêu cầu đào tạo các chuyên gia thử nghiệm ISO/IEC 19790 liên quan đến các chương trình thử nghiệm sự phù hợp của mô-đun mật mã.
Các nội dung chính được quy định trong tiêu chuẩn ISO/IEC 19896-2:2018
Tiêu chuẩn ISO/IEC 19896-2:2018 được chia thành các điều sau:
Kiến thức (Điều 6): Kiến thức là những gì người kiểm tra biết và có thể mô tả. Từ mục 6 đến mục 9 đề cập đến phạm vi kiến thức và các yêu cầu đào tạo cần thiết để thử nghiệm phù hợp với TCVN 11295:2016 (ISO/IEC 19790) và TCVN 12211:2018 (ISO/IEC 24759). Các kiến thức bao gồm:
- Kiến thức kỹ thuật, chuyên ngành
- Kiến thức về các tiêu chuẩn ISO/IEC 19790, ISO/IEC 24759, và một số Tiêu chuẩn ISO/IEC bổ sung
- Kiến thức về chương trình xác nhận
Kỹ năng (Điều 7): Việc đào tạo cho kiểm thử viên thường có được thông qua kinh nghiệm nghề nghiệp trong ngành công nghệ thông tin hoặc trong quá trình họ liên kết với cơ sở thử nghiệm hoặc do yêu cầu của các tổ chức chuyên nghiệp. Các kỹ năng bao gồm: Thử nghiệm thuật toán, kiểm tra an toàn vật lý, phân tích kênh kề, loại công nghệ.
Kinh nghiệm (Điều 8): Kiểm thử viên phải ghi lại các hoạt động đào tạo và thử nghiệm của họ phù hợp với chương trình xác nhận và các yêu cầu của cơ sở thử nghiệm.
Giáo dục (Điều 9) và Hiệu quả (Điều 10). Mỗi mục tương ứng với một khía cạnh của các yêu cầu về kiến thức, kỹ năng, kinh nghiệm, giáo dục và yêu cầu hiệu quả của các cá nhân thực hiện các hoạt động thử nghiệm như được giới thiệu trong ISO/IEC 19896-1 với kế hoạch phù hợp sử dụng ISO/IEC 19790 và ISO/IEC 24759.
Kết luận
Bài viết đã giới thiệu tổng quan các nội dung chính của tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn đối với sản phẩm mật mã.
TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
16:00 | 21/07/2023
07:00 | 03/11/2023
09:00 | 19/07/2023
14:00 | 14/06/2023
13:00 | 29/12/2023
15:00 | 24/10/2023
09:00 | 03/03/2023
Hệ thống mật mã RSA (thuật toán mã hóa khóa công khai, lược đồ chữ ký số) cũng như tất cả các nguyên thuỷ mật mã khác, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã trong hệ thống mật mã RSA là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ thống mật mã này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức, các nhà khoa học quan tâm nghiên cứu. Trong bài viết này chúng tôi tổng hợp và giới thiệu về các kết quả và dự đoán về khả năng thám mã RSA dựa trên phân tích RSA mô đun lô, các độ dài RSA mô đun lô hiện tại được cho là an toàn, từ đó đưa ra khuyến cáo về độ dài mô đun lô RSA dùng cho các ứng dụng bảo mật và an toàn thông tin.
12:00 | 23/09/2022
Sự kiện Trường hè mật mã do Hiệp hội Quốc tế về Nghiên cứu mật mã (International Association for Cryptographic Research - IACR) phối hợp cùng Viện Nghiên cứu cao cấp về Toán (International Association for Cryptographic Research - VIASM) tổ chức thành công vào cuối tháng 8 vừa qua đã đem lại một môi trường học thuật đa dạng để khơi dậy việc đào tạo nguồn nhân lực chất lượng cao trong lĩnh vực mật mã. Từ đó góp phần xây dựng nền tảng kiến thức cho nhiều bạn trẻ đi theo các hướng nghiên cứu chủ chốt và hiện đại về mật mã của thế giới.
16:00 | 09/08/2022
Trong một bài báo được xuất bản gần đây, các nhà nghiên cứu đã chứng minh rằng một chiếc PC có bộ xử lý lõi đơn (yếu hơn một chiếc máy tính xách tay tốt) có thể phá vỡ thuật toán hậu lượng tử từng là ứng cử viên để trở thành tiêu chuẩn vàng cho mã hóa chỉ trong một giờ đồng hồ.
09:00 | 08/07/2022
Công nghệ thông tin ngày càng phát triển và góp phần làm thay đổi diện mạo nền kinh tế, tạo ra lĩnh vực thương mại mới là thương mại điện tử. Nhờ sức mạnh của thông tin số hóa mà mọi hoạt động thương mại truyền thống ngày nay đã được tiến hành trực tuyến, giúp các bên tham gia tiết kiệm được chi phí, thời gian, tăng hiệu suất và nâng cao năng lực cạnh tranh. Tuy nhiên, thương mại điện tử cũng phải đối mặt với thách thức lớn về an toàn, bảo mật thông tin khi các hoạt động gian lận, đánh cắp dữ liệu cá nhân, lừa đảo, tấn công các dịch vụ web ngày một tinh vi. Bài báo dưới đây sẽ nêu lên vai trò của an toàn thông tin và giải pháp cho phát triển bền vững thương mại điện tử.