Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin

07:00 | 03/11/2023 | MẬT MÃ DÂN SỰ

Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của quá trình đánh giá, đó là người làm công tác đánh giá phải đảm bảo điều kiện kĩ thuật luôn đáp ứng khách quan và chủ quan. Do đó, năng lực của người đánh giá là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để công nhận lẫn nhau. Bài viết sau giới thiệu tiêu chuẩn ISO/IEC 19896-3:2018 yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên.

Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin

cho phép so sánh giữa các kết quả của các đánh giá an toàn độc lập, cung cấp một tập hợp các yêu cầu chung cho chức năng an toàn của các sản phẩm (CNTT) và các biện pháp đảm bảo được áp dụng cho các sản phẩm CNTT trong quá trình .

Bộ tiêu chuẩn TCVN 8709:2011(ISO/IEC 15408) được áp dụng trong nhiều chương trình chứng nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển và TCVN 11386:2016 (ISO/IEC 18045:2018) được sử dụng làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.

Tiêu chuẩn TCVN ISO/IEC 17025:2017 đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn ISO/IEC 17025:2017, 5.2.1 có quy định rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở giáo dục, đào tạo, kinh nghiệm hoặc chứng minh kỹ năng phù hợp”.

Tiêu chuẩn 19896-3:2018 thiết lập ranh giới cho năng lực tối thiểu của các chuyên gia đánh giá TCVN 8709:2011 (ISO/IEC 15408) với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá TCVN 8709:2011(ISO/IEC 15408) liên quan đến các cơ quan và chương trình đánh giá sản phẩm CNTT. Tiêu chuẩn này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá sản phẩm an toàn CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018). TCVN 8709-1:2011 (ISO/IEC 15408-1) mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau như kiến thức, , kinh nghiệm, giáo dục và hiệu quả.

ISO/IEC 19896-3:2018 bao gồm các kiến thức và kỹ năng đặc biệt trong các lĩnh vực sau đây:

Lĩnh vực	Kiến thức	Kỹ năng
An toàn thông tin	Các nguyên tắc an toàn thông tin, các thuộc tính an toàn thông tin, các mối đe dọa và lỗ hổng an toàn thông tin.	Hiểu các yêu cầu về an toàn thông tin, hiểu bối cảnh.
Đánh giá an toàn thông tin	Kiến thức về TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016(ISO/IEC 18045:2018), hệ thống quản lý phòng thử nghiệm.	Kỹ năng đánh giá cơ bản, kỹ năng đánh giá điểm trung tâm, kỹ năng cần có khi đánh giá các lớp đảm bảo an toàn cụ thể, các kỹ năng cần có khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể.
Kiến trúc hệ thống thông tin	Công nghệ đang được đánh giá.	Hiểu sự tương tác của các thành phần an toàn và thông tin.
Thử nghiệm an toàn thông tin	Kỹ thuật kiểm tra an toàn thông tin, công cụ kiểm tra an toàn thông tin, vòng đời phát triển sản phẩm, loại kiểm tra.	Tạo và quản lý kế hoạch kiểm tra an toàn thông tin, kiểm tra thiết kế an toàn thông tin, chuẩn bị và tiến hành kiểm tra an toàn thông tin.

Đối tượng của ISO/IEC 19896-3:2018 này bao gồm các cơ quan công nhận và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình đánh giá, các phòng thử nghiệm, người đánh giá và các tổ chức cung cấp chứng chỉ nghề nghiệp.

Nội dung chính của Tiêu chuẩn ISO/IEC 19896-3:2018

Nội dung tiêu chuẩn ISO/IEC 19896-3:2018 bao gồm 8 điều, và 2 phụ lục. Cụ thể:

Điều 1: Phạm vi

Tài liệu này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).

Điều 2: Tài liệu tham khảo

Nội dung một phần hoặc toàn bộ của các tài liệu tham khảo dưới đây tạo nên yêu cầu của tài liệu này. Đối với tài liệu tham khảo ghi thời gian, duy nhất bản trích dẫn được áp dụng. Đối với các tài liệu tham khảo không ghi thời gian, thì phiên bản mới nhất của tài liệu được áp dụng (bao gồm mọi sửa đổi).

TCVN XXXXX-1:2022 (ISO/IEC 19896-1), Kỹ thuật an toàn CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá an toàn về CNTT.

TCVN 11386:2016 (ISO/IEC 18045:2018), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp luận để đánh giá an toàn CNTT TCVN ISO/IEC 17025:2017, Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.

Điều 3: Thuật ngữ và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong TCVN XXXXX: 2022 (ISO/IEC 19896-1), TCVN 8709-1:2011 (ISO/IEC 15408-1), TCVN ISO/IEC 17025:2017, TCVN 11386:2016 (ISO/IEC 18045:2018) và những điều sau đây được áp dụng.

ISO và IEC duy trì cơ sở dữ liệu thuật ngữ để sử dụng trong chuẩn hóa tại các địa chỉ sau:

Nền tảng ISO Online: có sẵn tại .
IEC Electropedia: có sẵn tại .

Tổ chức thực hiện các chính sách và bộ quy tắc do cơ quan đánh giá thiết lập, xác định môi trường đánh giá, bao gồm các tiêu chí và phương pháp luận cần thiết để tiến hành đánh giá an toàn CNTT. Phương pháp dựa trên kinh nghiệm và sự hiểu biết của một người nhất định.

Điều 4: Kiến thức

Quy định những gì một người đánh giá phải biết và có thể mô tả. Các khoản từ 4.2 đến 4.8 đề cập đến kiến thức cần thiết để đánh giá theo TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).

- Hiểu biết về cơ quan đánh giá: Tất cả các đánh giá viên phải có kiến thức về các yêu cầu của cơ quan đánh giá hoặc cơ quan đánh giá có thể áp dụng cho các chương trình đánh giá mà họ được ủy quyền làm việc.

- Kiến thức về quy trình đánh giá.

- Kiến thức về phòng thử nghiệm và hệ thống quản lý của phòng thử nghiệm.

- Kiến thức về an toàn thông tin.

- Kiến thức về công nghệ được đánh giá

- Kiến thức cần thiết cho các lớp đảm bảo cụ thể

- Kiến thức cần thiết khi đánh giá các yêu cầu chức năng an toàn cụ thể

- Kiến thức cần thiết khi đánh giá các công nghệ cụ thể

Điều 5: Kỹ năng

Quy định bao gồm:

- Kỹ năng đánh giá cơ bản

- Các kỹ năng đánh giá cốt lõi được đưa ra trong TCVN 8709-3: 2011(ISO/IEC 15408-3). và TCVN 11386:2016 (ISO/IEC 18045:2018)

- Các kỹ năng cần thiết khi đánh giá các lớp đảm bảo an toàn cụ thể

- Các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể

Điều 6: Kinh nghiệm

Kinh nghiệm cốt lõi về các kỹ năng đánh giá được quy định trong Điều 5, có được trong lần đánh giá đầu tiên và tiếp theo do người đánh giá thực hiện. Với tư cách là một học viên, những kinh nghiệm đó cần đạt được dưới sự giám sát hoặc cố vấn của một người đánh giá có năng lực khác.

Điều 7: Đào tạo

Tất cả người đánh giá phải có trình độ đào tạo, chẳng hạn như bằng Cao đẳng, Cử nhân hoặc bằng cao hơn, có liên quan đến các yêu cầu được đề cập trong TCVN 8709:2011(ISO/IEC 15408) và các yêu cầu về phương pháp đánh giá trong TCVN 11386:2016 (ISO/IEC 18045:2018).

Điều 8: Hiệu quả

Bao gồm: Hiệu quả chung, hiệu quả của việc đánh giá, các trách nhiệm của chương trình đánh giá đối với tính hiệu quả của người đánh giá, hiệu quả trong việc thực hiện các đánh giá kịp thời, hiệu quả trong việc thực hiện các đánh giá chính xác, tính hiệu quả trong báo cáo kết quả.

Kết luận

Bài viết đã giới thiệu tổng quan về tiêu chuẩn ISO/IEC 19896-3:2018, hiện tại đang tiến hành biên soạn TCVN theo ISO/IEC 19896-3:2018. Để biết thêm chi tiết về các yêu cầu của đánh giá viên, độc giả tham khảo thêm ISO/IEC 19896-3:2018, hoặc phiên bản TCVN 13723-3 đã được công bố.

TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã

‹ › ×

Tin liên quan

Giới thiệu tiêu chuẩn ISO/IEC 19896-1:2018

09:00 | 13/10/2023

Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn

Giới thiệu tiêu chuẩn ISO/IEC 19896-2:2018

10:00 | 11/10/2023

Việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật hay không. Để tạo ra kết quả chuẩn xác của một cuộc đánh giá cũng phụ thuộc nhiều vào yếu tố con người. Bài viết sau sẽ giới thiệu về tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã.

Giới thiệu tiêu chuẩn TCVN 13178-1:2020

15:00 | 20/09/2023

Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó và/hoặc với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ. Các cơ chế xác thực thực thể ẩn danh được thiết kế để hỗ trợ các truyền thông ẩn danh đó. Các cơ chế này được định nghĩa là sự trao đổi thông tin giữa các thực thể và khi cần là sự trao đổi với bên thứ ba đáng tin cậy. Nội dung bài báo sẽ giới thiệu tổng quan về kỹ thuật xác thực thực thể ẩn danh và các nội dung chính của Tiêu chuẩn TCVN 13178-1:2020 Công nghệ thông tin – Các kỹ thuật an toàn – Xác thực thực thể ẩn danh.

Giới thiệu tiêu chuẩn TCVN 13178-2:2020

15:00 | 04/10/2023

Xác thực thực thể ẩn danh là một kiểu xác thực thực thể đặc biệt. Trong một cơ chế xác thực thực thể ẩn danh, với một thông báo được tạo ra trong giao thức xác thực, một thực thể trái phép không thể khám phá ra định danh của thực thể đang được xác thực (bên được xác thực). Cùng lúc đó, một bên xác thực được ủy quyền có thể không được phép biết định danh của thực thể đang được xác thực. Trong nội dung bài viết trước đã giới thiệu tổng quan về Xác thực thực thể ẩn danh tại TCVN 13178-1. Bài viết này sẽ tiếp tục giới thiệu tới độc giả các cơ chế xác thực thực thể ẩn danh dựa trên chữ ký sử dụng khóa công khai nhóm được quy định tại TCVN 13178-2.

Tin cùng chuyên mục

Một số tấn công lên hệ mật Mceliece

09:00 | 05/01/2023

Hệ mật McEliece là một hệ mật khóa công khai đầu tiên dựa trên lý thuyết mã hóa đại số với độ an toàn phụ thuộc vào độ khó của bài toán giải mã theo syndrome (thuộc mã khối tuyến tỉnh). Hệ mật McEliece là một trong 4 hệ mật lọt vào vòng 4 cuộc thi mật mã hậu lượng tử của NIST. Bài báo sẽ trình bày về hệ mật McEliece và một số tấn công lên hệ mật này.

Đổi mới trong công tác quản lý nhà nước về mật mã dân sự (phần 2)

10:00 | 29/07/2022

Đây là chủ đề của buổi Tọa đàm do Tạp chí An toàn thông tin tổ chức vào sáng ngày 27/7, với sự tham dự của Đại tá, TS. Hồ Văn Hương, Cục trưởng Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ.

Hướng tới mật mã phi tập trung

07:00 | 12/05/2022

Tại Hội thảo Nghiên cứu ứng dụng Mật mã và An toàn thông tin năm (CryptoIS 2022) do Học viện Kỹ thuật mật mã phối hợp với Viện Khoa học - Công nghệ mật mã và Tạp chí An toàn thông tin (Ban Cơ yếu Chính phủ) tổ chức, GS. Phan Dương Hiệu đã trình bày bày tham luận với chủ đề "Hướng tới mật mã phi tập trung" thu hút đông đảo sự quan tâm của các khách mời.

Hệ mật AEGIS và thực thi hệ mật trên thẻ thông minh

17:00 | 17/12/2021

Hệ mật có xác thực AEGIS là một trong hai hệ mật được đánh giá cao nhất trong cuộc thi CAESAR[1] diễn ra trên toàn thế giới từ năm 2012 – 2019. Ngoài các ưu điểm của hệ mật đã được đánh giá trong cuộc thi thì hệ mật AEGIS cũng nổi bật về mặt thời gian thực thi trên thẻ thông minh so với các hệ mật khác như ACORN, ASCON, CLOC và MORUS [7][8]. Bài báo này sẽ giới thiệu hệ mật và cách triển khai hệ mật trên thẻ thông minh.