Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin

07:00 | 03/11/2023 | MẬT MÃ DÂN SỰ

Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của quá trình đánh giá, đó là người làm công tác đánh giá phải đảm bảo điều kiện kĩ thuật luôn đáp ứng khách quan và chủ quan. Do đó, năng lực của người đánh giá là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để công nhận lẫn nhau. Bài viết sau giới thiệu tiêu chuẩn ISO/IEC 19896-3:2018 yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên.

Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin

Bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) cho phép so sánh giữa các kết quả của các đánh giá an toàn độc lập, cung cấp một tập hợp các yêu cầu chung cho chức năng an toàn của các sản phẩm công nghệ thông tin (CNTT) và các biện pháp đảm bảo được áp dụng cho các sản phẩm CNTT trong quá trình đánh giá an toàn.

Bộ tiêu chuẩn TCVN 8709:2011(ISO/IEC 15408) được áp dụng trong nhiều chương trình chứng nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển và TCVN 11386:2016 (ISO/IEC 18045:2018) được sử dụng làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.

Tiêu chuẩn TCVN ISO/IEC 17025:2017 đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn ISO/IEC 17025:2017, 5.2.1 có quy định rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở giáo dục, đào tạo, kinh nghiệm hoặc chứng minh kỹ năng phù hợp”.

Tiêu chuẩn ISO/IEC 19896-3:2018 thiết lập ranh giới cho năng lực tối thiểu của các chuyên gia đánh giá TCVN 8709:2011 (ISO/IEC 15408) với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá TCVN 8709:2011(ISO/IEC 15408) liên quan đến các cơ quan và chương trình đánh giá sản phẩm CNTT. Tiêu chuẩn này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá sản phẩm an toàn CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018). TCVN 8709-1:2011 (ISO/IEC 15408-1) mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau như kiến thức, kỹ năng, kinh nghiệm, giáo dục và hiệu quả.

ISO/IEC 19896-3:2018 bao gồm các kiến thức và kỹ năng đặc biệt trong các lĩnh vực sau đây:

Lĩnh vực	Kiến thức	Kỹ năng
An toàn thông tin	Các nguyên tắc an toàn thông tin, các thuộc tính an toàn thông tin, các mối đe dọa và lỗ hổng an toàn thông tin.	Hiểu các yêu cầu về an toàn thông tin, hiểu bối cảnh.
Đánh giá an toàn thông tin	Kiến thức về TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016(ISO/IEC 18045:2018), hệ thống quản lý phòng thử nghiệm.	Kỹ năng đánh giá cơ bản, kỹ năng đánh giá điểm trung tâm, kỹ năng cần có khi đánh giá các lớp đảm bảo an toàn cụ thể, các kỹ năng cần có khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể.
Kiến trúc hệ thống thông tin	Công nghệ đang được đánh giá.	Hiểu sự tương tác của các thành phần an toàn và thông tin.
Thử nghiệm an toàn thông tin	Kỹ thuật kiểm tra an toàn thông tin, công cụ kiểm tra an toàn thông tin, vòng đời phát triển sản phẩm, loại kiểm tra.	Tạo và quản lý kế hoạch kiểm tra an toàn thông tin, kiểm tra thiết kế an toàn thông tin, chuẩn bị và tiến hành kiểm tra an toàn thông tin.

Đối tượng của ISO/IEC 19896-3:2018 này bao gồm các cơ quan công nhận và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình đánh giá, các phòng thử nghiệm, người đánh giá và các tổ chức cung cấp chứng chỉ nghề nghiệp.

Nội dung chính của Tiêu chuẩn ISO/IEC 19896-3:2018

Nội dung tiêu chuẩn ISO/IEC 19896-3:2018 bao gồm 8 điều, và 2 phụ lục. Cụ thể:

Điều 1: Phạm vi

Tài liệu này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).

Điều 2: Tài liệu tham khảo

Nội dung một phần hoặc toàn bộ của các tài liệu tham khảo dưới đây tạo nên yêu cầu của tài liệu này. Đối với tài liệu tham khảo ghi thời gian, duy nhất bản trích dẫn được áp dụng. Đối với các tài liệu tham khảo không ghi thời gian, thì phiên bản mới nhất của tài liệu được áp dụng (bao gồm mọi sửa đổi).

TCVN XXXXX-1:2022 (ISO/IEC 19896-1), Kỹ thuật an toàn CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá an toàn về CNTT.

TCVN 11386:2016 (ISO/IEC 18045:2018), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp luận để đánh giá an toàn CNTT TCVN ISO/IEC 17025:2017, Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.

Điều 3: Thuật ngữ và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong TCVN XXXXX: 2022 (ISO/IEC 19896-1), TCVN 8709-1:2011 (ISO/IEC 15408-1), TCVN ISO/IEC 17025:2017, TCVN 11386:2016 (ISO/IEC 18045:2018) và những điều sau đây được áp dụng.

ISO và IEC duy trì cơ sở dữ liệu thuật ngữ để sử dụng trong chuẩn hóa tại các địa chỉ sau:

Nền tảng ISO Online: có sẵn tại https://www.iso.org/obp.
IEC Electropedia: có sẵn tại http://www.electropedia.org.

Tổ chức thực hiện các chính sách và bộ quy tắc do cơ quan đánh giá thiết lập, xác định môi trường đánh giá, bao gồm các tiêu chí và phương pháp luận cần thiết để tiến hành đánh giá an toàn CNTT. Phương pháp dựa trên kinh nghiệm và sự hiểu biết của một người nhất định.

Điều 4: Kiến thức

Quy định những gì một người đánh giá phải biết và có thể mô tả. Các khoản từ 4.2 đến 4.8 đề cập đến kiến thức cần thiết để đánh giá theo TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).

- Hiểu biết về cơ quan đánh giá: Tất cả các đánh giá viên phải có kiến thức về các yêu cầu của cơ quan đánh giá hoặc cơ quan đánh giá có thể áp dụng cho các chương trình đánh giá mà họ được ủy quyền làm việc.

- Kiến thức về quy trình đánh giá.

- Kiến thức về phòng thử nghiệm và hệ thống quản lý của phòng thử nghiệm.

- Kiến thức về an toàn thông tin.

- Kiến thức về công nghệ được đánh giá

- Kiến thức cần thiết cho các lớp đảm bảo cụ thể

- Kiến thức cần thiết khi đánh giá các yêu cầu chức năng an toàn cụ thể

- Kiến thức cần thiết khi đánh giá các công nghệ cụ thể

Điều 5: Kỹ năng

Quy định bao gồm:

- Kỹ năng đánh giá cơ bản

- Các kỹ năng đánh giá cốt lõi được đưa ra trong TCVN 8709-3: 2011(ISO/IEC 15408-3). và TCVN 11386:2016 (ISO/IEC 18045:2018)

- Các kỹ năng cần thiết khi đánh giá các lớp đảm bảo an toàn cụ thể

- Các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể

Điều 6: Kinh nghiệm

Kinh nghiệm cốt lõi về các kỹ năng đánh giá được quy định trong Điều 5, có được trong lần đánh giá đầu tiên và tiếp theo do người đánh giá thực hiện. Với tư cách là một học viên, những kinh nghiệm đó cần đạt được dưới sự giám sát hoặc cố vấn của một người đánh giá có năng lực khác.

Điều 7: Đào tạo

Tất cả người đánh giá phải có trình độ đào tạo, chẳng hạn như bằng Cao đẳng, Cử nhân hoặc bằng cao hơn, có liên quan đến các yêu cầu được đề cập trong TCVN 8709:2011(ISO/IEC 15408) và các yêu cầu về phương pháp đánh giá trong TCVN 11386:2016 (ISO/IEC 18045:2018).

Điều 8: Hiệu quả

Bao gồm: Hiệu quả chung, hiệu quả của việc đánh giá, các trách nhiệm của chương trình đánh giá đối với tính hiệu quả của người đánh giá, hiệu quả trong việc thực hiện các đánh giá kịp thời, hiệu quả trong việc thực hiện các đánh giá chính xác, tính hiệu quả trong báo cáo kết quả.

Kết luận

Bài viết đã giới thiệu tổng quan về tiêu chuẩn ISO/IEC 19896-3:2018, hiện tại Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đang tiến hành biên soạn TCVN theo ISO/IEC 19896-3:2018. Để biết thêm chi tiết về các yêu cầu của đánh giá viên, độc giả tham khảo thêm ISO/IEC 19896-3:2018, hoặc phiên bản TCVN 13723-3 đã được công bố.

TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã

‹ › ×

Tin liên quan

Giới thiệu tiêu chuẩn ISO/IEC 19896-1:2018

09:00 | 13/10/2023

Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn

Giới thiệu tiêu chuẩn ISO/IEC 19896-2:2018

10:00 | 11/10/2023

Việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật hay không. Để tạo ra kết quả chuẩn xác của một cuộc đánh giá cũng phụ thuộc nhiều vào yếu tố con người. Bài viết sau sẽ giới thiệu về tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã.

Giới thiệu tiêu chuẩn TCVN 13178-1:2020

15:00 | 20/09/2023

Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó và/hoặc với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ. Các cơ chế xác thực thực thể ẩn danh được thiết kế để hỗ trợ các truyền thông ẩn danh đó. Các cơ chế này được định nghĩa là sự trao đổi thông tin giữa các thực thể và khi cần là sự trao đổi với bên thứ ba đáng tin cậy. Nội dung bài báo sẽ giới thiệu tổng quan về kỹ thuật xác thực thực thể ẩn danh và các nội dung chính của Tiêu chuẩn TCVN 13178-1:2020 Công nghệ thông tin – Các kỹ thuật an toàn – Xác thực thực thể ẩn danh.

Giới thiệu tiêu chuẩn TCVN 13178-2:2020

15:00 | 04/10/2023

Xác thực thực thể ẩn danh là một kiểu xác thực thực thể đặc biệt. Trong một cơ chế xác thực thực thể ẩn danh, với một thông báo được tạo ra trong giao thức xác thực, một thực thể trái phép không thể khám phá ra định danh của thực thể đang được xác thực (bên được xác thực). Cùng lúc đó, một bên xác thực được ủy quyền có thể không được phép biết định danh của thực thể đang được xác thực. Trong nội dung bài viết trước đã giới thiệu tổng quan về Xác thực thực thể ẩn danh tại TCVN 13178-1. Bài viết này sẽ tiếp tục giới thiệu tới độc giả các cơ chế xác thực thực thể ẩn danh dựa trên chữ ký sử dụng khóa công khai nhóm được quy định tại TCVN 13178-2.

Tin cùng chuyên mục

Về một phương pháp tạo hộp thế động cho thuật toán mật mã dựa trên ánh xạ Chaotic

14:00 | 25/03/2024

Bài báo giới thiệu một phương pháp dựa trên đặc tính hỗn loạn của ánh xạ 2D MCCM và 2D logistic để thiết kế hộp S (S-box) động phụ thuộc khóa. Đánh giá một số tính chất mật mã của một số hộp thế được tạo ra.

Triển khai đồng bộ Quy chuẩn quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự

09:00 | 05/02/2024

Ngày 24/01, Ban Cơ yếu Chính phủ ban hành kế hoạch triển khai thực hiện Thông tư 96/2023/TT-BQP ngày 29/11/2023 của Bộ trưởng Bộ Quốc phòng về “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ”.

An toàn thông tin, chìa khóa cho phát triển bền vững thương mại điện tử

09:00 | 08/07/2022

Công nghệ thông tin ngày càng phát triển và góp phần làm thay đổi diện mạo nền kinh tế, tạo ra lĩnh vực thương mại mới là thương mại điện tử. Nhờ sức mạnh của thông tin số hóa mà mọi hoạt động thương mại truyền thống ngày nay đã được tiến hành trực tuyến, giúp các bên tham gia tiết kiệm được chi phí, thời gian, tăng hiệu suất và nâng cao năng lực cạnh tranh. Tuy nhiên, thương mại điện tử cũng phải đối mặt với thách thức lớn về an toàn, bảo mật thông tin khi các hoạt động gian lận, đánh cắp dữ liệu cá nhân, lừa đảo, tấn công các dịch vụ web ngày một tinh vi. Bài báo dưới đây sẽ nêu lên vai trò của an toàn thông tin và giải pháp cho phát triển bền vững thương mại điện tử.

Zero trust có thực sự là xu hướng bảo mật cho những năm tới?

13:00 | 23/06/2022

Zero trust là tư duy bảo mật được phát triển với mục tiêu xây dựng một mô hình bảo mật nhằm bảo vệ mọi tài nguyên trong hệ thống IT/OT khỏi các đối tượng không có quyền hạn. Mô hình bảo mật Zero trust được thiết kế nhằm đảm bảo khả năng kiểm soát các tài nguyên có trong một hệ thống thông tin. Mô hình này yêu cầu định danh, quản lý và kiểm soát danh tính (con người hoặc máy móc), tài khoản người dùng, quyền truy cập thông tin và thiết bị vận hành, thiết bị đầu cuối trên mọi môi trường mạng, cũng như là mối liên kết, kết nối của mọi hạ tầng hệ thống có trong một hệ thống thông tin.