BỘ THÔNG TIN VÀ TRUYỀN THÔNG
BÁO CÁO THUYẾT MINH
DỰ THẢO TIÊU CHUẨN QUỐC GIA
TCVN xxx: 2014
ISO/IEC TR 19791: 2010
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN –
ĐÁNH GIÁ AN TOÀN HỆ THỐNG VẬN HÀNH
Information Technology - Security Techniques - Security assessment of
operational systems
Hà Nội - 2017
1
MỤC LỤC
1. Tên gọi và ký hiệu tiêu chuẩn..................................................................................3
1.1 Tên tiêu chuẩn...................................................................................................................3
1.2 Ký hiệu..............................................................................................................................3
2. Tình hình tiêu chuẩn hóa trong và ngoài nước......................................................3
2.1 Ngoài nước........................................................................................................................3
Information technology - Security techniques -Application security - Part 1: Overview and
concepts...................................................................................................................................4
2.2 Trong nước........................................................................................................................6
3. Sở cứ và phương pháp xây dựng tiêu chuẩn..........................................................8
3.1 Lý do và mục đích xây dựng tiêu chuẩn...........................................................................8
3.2 Nhu cầu thực tế và khả năng áp dụng...............................................................................8
3.3 Sở cứ xây dựng tiêu chuẩn................................................................................................8
3.4 Phương pháp xây dựng tiêu chuẩn....................................................................................9
4. Giới thiệu tổng quan về bộ tiêu chuẩn ISO/IEC TR 19791:2010.........................9
4.1 Giới thiệu chung................................................................................................................9
4.2 Cấu trúc tiêu chuẩn ISO/IEC TR 19791:2010................................................................10
4.3 Đối tượng sử dụng...........................................................................................................11
5. Nội dung dự thảo TCVN xxx:2014........................................................................11
5.1 Nội dung TCVN xxx:2014..............................................................................................11
5.2 Cấu trúc TCVN xxx:2017...............................................................................................17
5.3 Bảng đối chiếu tài liệu viện dẫn......................................................................................17
6. Kiến nghị áp dụng..................................................................................................18
7. Các thuật ngữ và các từ viết tắt............................................................................19
2
1.
Tên gọi và ký hiệu tiêu chuẩn
1.1 Tên tiêu chuẩn
Công nghệ thông tin - Kỹ thuật an toàn - Đánh giá an toàn hệ thống vận hành
1.2 Ký hiệu
TCVN xxx:2017
2.
Tình hình tiêu chuẩn hóa trong và ngoài nước
2.1 Ngoài nước
Việc áp dụng hệ thống tiêu chuẩn trong lĩnh vực an toàn thông tin đã được triển khai
rộng khắp ở hầu hết các quốc gia trên thế giới. Hàng năm các tổ chức tiêu chuẩn quốc
tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin.
Các tiêu chuẩn về an toàn CNTT, bao gồm:
Ký hiệu tài liệu
Tiêu đề
Đánh giá an toàn CNTT
ISO/IEC 15408-1:2009
15408 Information Technology - Security Techniques Part 1: Evaluation Criteria for IT Security
ISO/IEC 15408-2:2009
Information Technology - Security Techniques Evaluation Criteria for IT - Part 2: Security functional
components
ISO/IEC 15408-3:2008
Information Technology - Security Techniques Evaluation Criteria for IT Security - Part 3: Security
assurance requirements
ISO/IEC 27006:2011
Information technology - Security techniques Requirements for bodies providing audit and
certification of information security management
systems
ISO/IEC 27007:2011
Information technology - Security techniques Guidelines for information security management
systems auditing
ISO/IEC TR 27008:2011
Information technology - Security techniques Guidelines for auditors on information security
controls.
ISO 19011:2011
Guidelines for auditing management systems
ISO/IEC 18045:2008
Information technology - Security Techniques Methodology for IT Security Evaluation
ISO/IEC TR 19791:2010
Information technology - Security Techniques Security assessment of operational systems
Hệ thống quản lý an toàn thông tin
ISO/IEC 27000:2012
Information technology - Security techniques Information security management systems - Overview
3
and vocabulary.
ISO/IEC 27001:2013
Information Technology - Security techniques Information
security
management
system
Requirements
ISO/IEC 27002:2013
Information technology - Security techniques - Code of
practice for infomation security management
ISO/IEC 27003:2010
Information technology
Information
security
implementation guidance
-
Security techniques management
system
An toàn mạng và ứng dụng
ISO/IEC 18043:2006
Information technology - Security techniques Selection, deployment and operations of intrusion
detection systems
ISO/IEC 27033-1:2009
Information technology - Security techniques - Network
security - Part 1: Overview and concepts.
ISO/IEC 27033-2:2012
Information technology - Security techniques - Network
security - Part 2: Guidelines for the design and
implementation of network security.
ISO/IEC 27033-3:2010
Information technology - Security techniques - Network
security - Part 3: Reference networking scenarios Threats, design techniques and control issues.
ISO/IEC 27033-4:2014
Information technology - Security techniques - Network
security - Part 4: Securing communications between
networks using security gateways
ISO/IEC 27033-5:2013
Information technology - Security techniques - Network
security - Part 5: Securing communications across
networks using Virtual Private Networks (VPNs).
ISO/IEC 27033-6
Information technology - Security techniques - Network
security - Part 6: IP convergence.
ISO/IEC 27033-7
Information technology - Security techniques - Network
security - Part 7: Wireless.
Information technology - Security techniques
ISO/IEC 27034:2011
-Application security - Part 1: Overview and concepts.
Mô đun mật mã
ISO/IEC
19790:2012
FDIS Information Technology - Security Techniques Security Requirements for Cryptographic Modules.
ISO/IEC 13888-1:2009
Information technology - Security techniques - Nonrepudiation - Part 1: General
ISO/IEC 13888-2:2010
Information technology - Security techniques - Nonrepudiation - Part 2: Mechanisms using symmetric
4
techniques
ISO/IEC 13888-3:2009
Information technology - Security techniques - Nonrepudiation - Part 3: Mechanisms using asymmetric
techniques
ISO/IEC NP 24759:2014
Information Technology - Security Techniques - test
Requirements for Cryptographic Modules.
Quản lý rủi ro
ISO/IEC 27005:2011
Information technology - Security
Information security risk management
techniques
-
ISO/IEC 16085:2006
Systems and software engineering - Life cycle
processes - Risk management
Quản lý sự cố và tính liên tục
ISO/IEC 27031:20011
Information technology - Security techniques Guidelines for information and communications
technology readiness for business continuity
ISO/IEC 27035:2011
Information technology - Security techniques
Information security incident management
-
Khung chuẩn đảm bảo an toàn CNTT
ISO/IEC
1:2012
TR
15443- Information technology - Security techniques - Security
assurance framework - Part 1: Introduction and
concepts.
ISO/IEC
1:2012
TR
15443- Information technology - Security techniques - A
framework for IT security assurance - Part 2: Assurance
methods.
Quản lý dịch vụ
ISO/IEC 20000:2011
Information technology - Service management
Quản lý định danh
ISO/IEC 24760-1:2011
Information technology - Security techniques - A
framework for identity management - Part 1:
Terminology and concepts.
Nhận xét: Trong số các tiêu chuẩn trên, chỉ có chuẩn ISO/IEC 19791 nói về đánh giá
an toàn hệ thống vận hành.
Cho đến nay, tiêu chuẩn ISO/IEC 19791 được áp dụng rộng rãi trên thế giới và rất
nhiều nước biên dịch và có tiêu chuẩn quốc gia hoàn toàn tương đương với các phiên
bản của ISO 19791. Đây được xem là bộ các tiêu chí để đánh giá an toàn hệ thống vận
hành.
Một số nước đã áp dụng chuẩn ISO/IEC 19791 để xây dựng nên các tiêu chuẩn quốc
gia:
Quốc gia
Tiêu chuẩn tại mỗi quốc gia
5
ANSI/INCITS/ ISO/IEC TR 19791:2006*Approved 2009-11-11
Mỹ
Tây Ban Nha
Information technology - Security techniques - Security assessment
of operational systems.
UNE ISO/IEC TR 19791:2010
Information Technology - Security
Assessment Of Operational Systems.
Techniques
-
Security
Tổ chức AENOR của Tây Ban Nha
Latvia
ISO/IEC NP TR 19791:2010
Technologies de l'information - Techniques de sécurité - Évaluation
de la sécurité des systèmes opérationnels.
Latvian Standard (LVS)
NEN NPR ISO/IEC TR 19791:2006
Nederland
New Zealand
Information Technology - Security Techniques - Security assessment
Of Operational Systems.
PD ISO/IEC TR 19791:2010
Information technology. Security techniques. Security assessment of
operational systems.
Đan Mạch
DS ISO/IEC TR 19791:2010
Information Technology - Security Techniques - Security
Assessment Of Operational Systems.
Dansk Standards
Nga
Anh
ISO/IEC/TR 19791-2010 information technology
techniques security assesment of operational systems.
security
BS PD ISO/IEC/TR 19791:2010 information technology security
techniques security assesment of operational systems.
British Standards
Đức
ISO/IEC/TR 19791:2006: Information Technology - Security
Techniques - Security assessment of operational systems.
Bewertung der Sicherheit von Systemen im Betrieb
Hà Lan
DPR ISO/IEC TR 19791:2010 information technology security
techniques security assesment of operational systems.
Hàn Quốc
ISO/IEC DTR 19791 information technology security techniques
security assesment of operational systems.
……………..
2.2 Trong nước
6
Trước tình hình an toàn thông tin phải đối mặt với nhiều thách thức, rủi ro, Việt Nam
đã chú trọng xây dựng và ban hành hệ thống tiêu chuẩn liên quan đến an toàn thông
tin. Các tiêu chuẩn đã và đang xây dựng tập trung vào 2 khía cạnh đó là quản lý và
đánh giá an toàn thông tin.
Một số tiêu chuẩn đã được ban hành:
+ TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Hệ thống quản lý an toàn
thông tin - Các yêu cầu.
+ TCVN ISO/IEC 27002:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Quy
tắc thực hành Quản lý an toàn thông tin.
+ TCVN 8709-1:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí
đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát.
+ TCVN 8709-2:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí
đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn.
+ TCVN 8709-3:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí
đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn.
+ TCVN 10295:2014 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro
an toàn thông tin (ISO/IEC 27005).
+ TCVN 9965:2013 (ISO/IEC 27013:2012) Công nghệ thông tin - Kỹ thuật an
ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC
20000-1.
+ TCVN 9801-1:2013 (ISO/IEC 27033-1:2009) Công nghệ thông tin - Kỹ thuật
an ninh - An ninh mạng - Phần 1: Tổng quan và khái niệm.
+ TCVN ISO 19011:2013 (ISO/IEC 19011:2011) Hướng dẫn đánh giá hệ thống
quản lý.
Một số tiêu chuẩn đang dự thảo:
+ Công nghệ Thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn
thiết kế và triển khai an toàn mạng. (theo ISO/IEC 27033-2).
+ Công nghệ Thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản
kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát
(theo ISO/IEC 27033-3) - Tiêu chuẩn này đã được thẩm định.
+ Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Đo
lường (theo ISO/IEC 27004:2009).
+ Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống
quản lý an toàn thông tin (ISO/IEC 27003:2010).
+ Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin cho
truyền thông liên tổ chức, liên ngành (ISO/IEC 27010:2012).
+ Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin
- Tổng quan và từ vựng (ISO/IEC 27000:2012)
7
Nhận xét:
3.
-
Các tiêu chuẩn, qui chuẩn trên chỉ đề cập đến an toàn thông tin ở mức độ chung.
-
Chưa có tiêu chuẩn, quy chuẩn đánh giá an toàn cho các hệ thống vận hành.
Sở cứ và phương pháp xây dựng tiêu chuẩn
3.1 Lý do và mục đích xây dựng tiêu chuẩn
Đánh giá an toàn hệ thống vận hành là một nhu cầu thực tế, giúp người dùng xác định
xem hệ thống vận hành an toàn thông tin có đủ an toàn và tin cậy khi đưa vào sử dụng
không, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không, hệ thống
có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như
thế nào. Ngoài ra, việc đánh giá an toàn hệ thống vận hành còn giúp các cơ quan đánh
giá chịu trách nhiệm phê duyệt và xác nhận hành động đánh giá đảm bảo các yêu cầu
về an toàn thông tin.
Hiện tại Việt Nam đã có bộ tiêu chuẩn TCVN 8709 về các tiêu chí đánh giá an toàn
cho các sản phẩm và hệ thống CNTT và TCVN ISO/IEC 27001:2009 đề cập đến hệ
thống quản lý an toàn thông tin nhưng cả hai tiêu chuẩn này không đưa ra được các
tiêu chí, phương pháp luận để đánh giá hệ thống vận hành.
Để đánh giá an toàn cho các hệ thống vận hành, việc đưa ra mô hình tổng thể và các
tiêu chí chung để đánh giá là điều hết sức cần thiết, nhằm đạt được sự nhất quán và
khách quan trong các kết quả đánh giá.
Cho đến nay, tiêu chuẩn ISO/IEC 19791 được áp dụng rộng rãi trên thế giới và rất
nhiều nước biên dịch và có tiêu chuẩn quốc gia hoàn toàn tương đương với các phiên
bản của ISO 19791. Đây được xem là bộ các tiêu chí để đánh giá an toàn hệ thống vận
hành. Tiêu chuẩn này:
+ Xác định và mô hình hệ thống vận hành.
+ Mở rộng phạm vi đánh giá TCVN 8709.
+ Đưa ra phương pháp và quy trình thực hiện đánh giá an toàn cho hệ thống vận
hành.
+ Bổ sung thêm tiêu chí đánh giá giải quyết các khía cạnh mà TCVN 8709 không
bao phủ hết.
Hiện tại Việt Nam chưa có một tiêu chuẩn nào về đánh giá an toàn cho các hệ thống
vận hành. Do đó, việc xây dựng tiêu chuẩn này không chỉ giúp các tổ chức đánh giá có
thể dựa vào đó để đánh giá an toàn các hệ thống vận hành mà còn giúp hoàn thiện các
tiêu chuẩn về an toàn thông tin nói chung và các tiêu chuẩn thuộc nhóm đánh giá nói
riêng.
3.2 Nhu cầu thực tế và khả năng áp dụng
Tiêu chuẩn này sẽ giúp các tổ chức đánh giá có thể dựa vào đó thực hiện đánh giá an
toàn cho các hệ thống vận hành an toàn thông tin. Nó cũng là một tài liệu hướng dẫn
giúp cho các doanh nghiệp trong việc phát triển các sản phẩm và hệ thống công nghệ
thông tin đảm bảo các yêu cầu về an toàn thông tin.
3.3 Sở cứ xây dựng tiêu chuẩn
8
Các phân tích ở trên cho thấy: Các tiêu chuẩn ISO/IEC là các tiêu chuẩn phù hợp với
phạm vi của đề tài, đã được nhiều quốc gia chấp thuận áp dụng.
Sau khi xem xét nội dung dự thảo TCVN “Công nghệ thông tin - Các kỹ thuật an toàn
- Đánh giá an toàn cho các hệ thống thông tin” và rà soát các tiêu chuẩn ISO/IEC liên
quan đến nội dung đề tài, nhóm chủ trì nhận thấy chỉ có bộ tiêu chuẩn ISO/IEC TR
19791:2010 đưa ra các tiêu chí rõ ràng và đầy đủ, phù hợp để phục vụ việc đánh giá hệ
thống vận hành an toàn thông tin.
Do đó, để xây dựng bộ tiêu chuẩn TCVN “Công nghệ thông tin - Các kỹ thuật an toàn
- Đánh giá an toàn cho các hệ thống thông tin - phần 1”, nhóm chủ trì đã lựa chọn tài
liệu quốc tế: ISO/IEC TR 19791:2010. Information technology - Security
Techniques - Security assessment of operational systems
Đây cũng là tài liệu đã được nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng các
tiêu chuẩn quốc gia tương đương.
3.4 Phương pháp xây dựng tiêu chuẩn
- Căn cứ vào việc phân tích tài liệu cũng như sở cứ xây dựng tiêu chuẩn, nhóm chủ trì
đã chọn ISO/IEC TR 19791:2010 là tài liệu tham chiếu làm cơ sở để xây dựng tiêu
chuẩn này.
- Trên cơ sở rà soát các tiêu chuẩn quốc tế và các quy chuẩn kỹ thuật, tiêu chuẩn quốc
gia về công nghệ thông tin, cũng như tham khảo các phương pháp xây dựng các tiêu
chuẩn/qui chuẩn, nhóm chủ trì đã xây dựng tiêu chuẩn này theo phương pháp chấp
thuận nguyên vẹn có chỉnh sửa nhỏ như sau:
+ Chỉnh sửa về hình thức trình bày để phù hợp với thể thức trình bày Tiêu chuẩn
quốc gia theo thông tư 03/2011/TT-BTTTT và TCVN 1-2:2008.
+ Phần lời nói đầu, nhóm chủ trì tự xây dựng để phù hợp với qui định xây dựng
TCVN.
+ Phần 2. Tài liệu viện dẫn trong dự thảo sẽ viện dẫn trực tiếp một số tài liệu viện
dẫn (ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008, ISO/IEC 15408-3:2008)
của ISO/IEC TR 19791:2010 đến các TCVN tương đương (TCVN 87091:2011, TCVN 8709-2:2011, TCVN 8709-3:2011).
+ Các tiêu chuẩn ISO/IEC đã có TCVN tương đương, nhóm chủ trì sẽ viện dẫn
trực tiếp đến các TCVN tương đương (ví dụ như: ISO/IEC Guide 73:2002 thay
bằng TCVN 9788:2013…)
- Căn cứ kết luận của hội đồng nghiệm thu cấp bộ, nhóm chủ trì thực hiện ghép 03 dự
thảo tiêu chuẩn: TCVN xxx-1: 2014, TCVN xxx-2: 2014 và TCVN xxx-3: 2014
thành một dự thảo tiêu chuẩn duy nhất TCVN xxx: 2014. Tiêu chuẩn TCVN xxx:
2014 hoàn toàn tương đương với tiêu chuẩn gốc ISO/IEC TR 19791:2010
4.
Giới thiệu tổng quan về bộ tiêu chuẩn ISO/IEC TR 19791:2010
4.1 Giới thiệu chung
Bộ tiêu chuẩn ISO/IEC TR 19791:2010 có tên là “Công nghệ thông tin - Các kỹ thuật
an toàn - Đánh giá an toàn hệ thống vận hành”. ISO/IEC 19791:2010 được biên soạn
bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ thông tin (Joint Technical
Committee ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn CNTT
9
(Information Technology Subcommittee SC 27, IT security techniques). Tài liệu
ISO/IEC TR 19791:2010 được xuất bản bởi các tổ chức tài trợ dự án về các tiêu chuẩn
chung dưới tiêu đề “Các tiêu chí chung cho đánh giá an toàn CNTT”.
ISO/IEC TR 19791:2010 là phiên bản thứ hai được biên soạn năm 2010 và thay thế
hoàn toàn phiên bản thứ nhất (ISO/IEC TR 19791: 2006), nó được chỉnh sửa lại về mặt
nội dung và kỹ thuật.
Tiêu chuẩn này cung cấp những hướng dẫn và tiêu chí đánh giá an toàn các hệ thống
vận hành. Nó mở rộng phạm vi của tiêu chuẩn TCVN 8709 bằng cách giải quyết một
số khía cạnh quan trọng của hệ thống vận hành mà không được đề cập trong khi đánh
giá theo tiêu chuẩn TCVN 8709.
Tiêu chuẩn này cung cấp:
-
Định nghĩa và mô hình đối với các hệ thống vận hành;
-
Mô tả các phần mở rộng về các khái niệm đánh giá theo tiêu chuẩn ISO/IEC
15408 để đánh giá các hệ thống vận hành;
-
Phương pháp luận để đánh giá và quy trình thực hiện đánh giá an toàn các hệ
thống vận hành;
-
Tiêu chí đánh giá an toàn bổ sung để giải quyết những khía cạnh của các hệ thống
vận hành không được trình bày khi đánh giá theo tiêu chuẩn TCVN 8709.
Nội dung chính của tiêu chuẩn TCVN xxx:2014 tập trung vào lược đồ đánh giá an toàn
hệ thống vận hành, khác với TCVN 8709 các tiêu chí đánh giá chung (Common
Criteria). Tiêu chuẩn này chỉ giới hạn về đánh giá an toàn cho các hệ thống vận hành
và không đưa ra đánh giá an toàn cho các hệ thống khác. Tiêu chuẩn này không đưa ra
định nghĩa về việc xác minh, đánh giá và chấp nhận rủi ro hệ thống vận hành.
4.2 Cấu trúc tiêu chuẩn ISO/IEC TR 19791:2010
Tiêu chuẩn này gồm 09 điều và 04 phụ lục quy định (bắt buộc):
-
Từ điều 1 đến điều 4 giới thiệu về tiêu chuẩn, các tài liệu viện dẫn và các thuật
ngữ và định nghĩa được trình bày trong tiêu chuẩn này.
-
Điều 5 trình bày tổng quan các nội dung của tiêu chuẩn.
-
Điều 6, Phương pháp tiếp cận kỹ thuật, mô tả các phương pháp kỹ thuật đánh giá
hệ thống vận hành.
-
Điều 7, mở rộng các khái niệm đánh giá của chuẩn ISO/IEC 15408 cho các hệ
thống vận hành, mô tả cách mở rộng các khái niệm đánh giá của tiêu chuẩn
ISO/IEC 15408 để đánh giá hệ thống vận hành.
-
Điều 8, Mối quan hệ với các tiêu chuẩn an toàn thông tin hiện có, mô tả mối quan
hệ giữa tiêu chuẩn này và các tiêu chuẩn an toàn thông tin khác được sử dụng
trong quá trình phát triển.
-
Điều 9, Đánh giá các hệ thống vận hành, bao gồm các yêu cầu về đặc tả các vấn đề
an toàn, mục tiêu an toàn, các yêu cầu về an toàn, các nội dung của một SST và
đánh giá lại SST theo định kỳ để đánh giá hệ thống vận hành.
-
Phụ lục A, Đích an toàn và hồ sơ bảo vệ hệ thống vận hành, định nghĩa các đặc tả
yêu cầu an toàn cần thiết cho các hệ thống vận hành.
10
-
Phụ lục B, Những yêu cầu về kiểm soát chức năng hệ thống vận hành, định nghĩa
các yêu cầu về chức năng an toàn bổ sung cần thiết cho các hệ thống vận hành.
-
Phụ lục C, Những yêu cầu đảm bảo an toàn hệ thống vận hành, định nghĩa các yêu
cầu về đảm bảo an toàn bổ sung cần thiết cho các hệ thống vận hành.
-
Phụ lục D, Hệ phương pháp đánh giá hệ thống vận hành, định nghĩa các hành động
được thực hiện bởi người đánh giá khi đánh giá các hệ thống vận hành.
4.3 Đối tượng sử dụng
Các nhóm khách hàng mong muốn đánh giá các thuộc tính an toàn của hệ thống vận
hành là: người tích hợp, các nhà phát triển, người triển khai, người quản lý an toàn hệ
thống vận hành và người đánh giá. Tiêu chuẩn được trình bầy trong tài liệu này đã
được cấu trúc hóa để đáp ứng yêu cầu của các nhóm trên.
5.
Nội dung dự thảo TCVN xxx:2014
5.1 Nội dung TCVN xxx:2014
Nội dung TCVN xxx:2014 gồm điều 1, 2, 3, 4 và phụ lục A, B, C và D của ISO/IEC
TR 19791:2010. Trong phần này có định nghĩa các khái niệm và nguyên tắc chung về
đánh giá an toàn hệ thống vận hành, các yêu cầu chức năng an toàn được chuẩn hóa
chung cho hệ thống vận hành và được biểu diễn trong một tập hợp các thành phần
chức năng, các họ và các lớp. Được dùng làm tham chiếu cho các tiêu chí đánh giá bắt
buộc trong báo cáo về yêu cầu chức năng an toàn, để xác định xem hệ thống vận hành
có thỏa mãn các tiêu chí đánh giá đã nêu, các chức năng an toàn đã yêu cầu hay không.
TCVN xxx:2014 đưa ra những mở rộng so với TCVN 8709-1 và TCVN 8709-2.
5.1.1 Các khái niệm cơ bản khác trong tiêu chuẩn
Tiêu chuẩn trình bày các khái niệm cơ bản về Hồ sơ bảo vệ hệ thống (System
Protection Profile - SPP), các gói yêu cầu an toàn, tính tuân thủ, các hệ quả đánh giá
và các kết quả đánh giá, hướng dẫn cho đặc tả Đích an toàn hệ thống (System Security
Target - SST) và cung cấp bản mô tả về tổ chức các thành phần xuyên suốt mô hình.
Hồ sơ bảo vệ hệ thống (SPP) chứa một tập các yêu cầu an toàn hoặc từ bộ tiêu chuẩn,
hoặc được xác định rõ, trong đó có chứa một cấp đảm bảo đánh giá (EAL).
Mỗi SST chứa các yêu cầu an toàn của một STOE xác định và đặc tả các biện pháp an
toàn chức năng và bảo an được cấp bởi TOE thỏa mãn các yêu cầu đã đặt ra. Các yêu
cầu an toàn trong SST có thể tạo thành một tham chiếu tới một hồ sơ bảo vệ hệ thống
(SPP), trực tiếp tham chiếu tới các thành phần chức năng hoặc thành phần bảo đảm.
5.1.2 Đích an toàn hệ thống và hồ sơ bảo vệ hệ thống
5.1.2.1 Đích an toàn hệ thống (SST)
SST là cơ sở cho cả tài liệu về khả năng bảo mật hệ thống hoạt động và cho việc đánh
giá những khả năng trong STOE. Như vậy, nó cung cấp các bằng chứng và thông tin
cần thiết để thực hiện một đánh giá.
SST khác so với ST do tập trung vào cả kiểm soát vận hành và kiểm soát kỹ thuật của
hệ thống vận hành. Một SST có thể được chia thành một số miền an toàn riêng biệt có
chức năng kiểm soát và đảm bảo khác nhau. Tuy nhiên, giống như ST, SST có thể
được đánh giá một cách độc lập thống nhất từ STOE.
11
Bảng 1 So sánh giữa ST được định nghĩa trong TCVN 8709-1 và SST được định nghĩa
trong ISO/IEC 19791:2010 và khả năng áp dụng đánh giá hệ thống vận hành.
Bảng 1 - So sánh các phần tử đích an toàn
TCVN 8709-1
Giới thiệu
ISO/IEC
19791:2010
Giới thiệu
Khả năng áp dụng đối với các hệ thống vận
hành
Các bộ phận IT/vận hành của TOE và các giao
diện với các hệ thống vận hành bên ngoài được
xác định.
Tổ chức miền có thể được xác định.
Các tuyên bố tuân Các tuyên bố tuân Yêu cầu tuân thủ đối với các SPP, PP, và/hoặc các
thủ
thủ
ST có thể được xác định.
Định nghĩa vấn đề Định nghĩa vấn đề Rủi ro được định nghĩa thay cho các mối đe dọa.
an toàn
an toàn
Những giả định không phải định nghĩa vì các môi
trường là có thực .
Các mục tiêu an Các mục tiêu an Các mục tiêu an toàn cho các phần CNTT và vận
toàn
toàn
hành của STOE và các hệ thống vận hành bên
ngoài sẽ được xác định.
Các yêu cầu an Các yêu cầu an toàn Các yêu cầu chức năng cho các phần CNTT của
toàn
STOE
Các yêu cầu vận hành cho các phần vận hành của
STOE
Đặc tả tóm tắt TOE Đặc tả
STOE
tóm
tắt Các đặc tả chức năng, vận hành và đảm bảo sẽ
được mô tả.
Giới thiệu miền
Các phần CNTT/vận hành của các miền sẽ được
xác định.
Định nghĩa vấn đề Những rủi ro và các OSP sẽ được định nghĩa
an toàn miền
Các mục tiêu an Các mục tiêu an toàn đối với các bộ phận IT và
toàn miền
bộ phận vận hành của các miền sẽ được xác định.
Các yêu cầu an toàn Những yêu cầu về chức năng đối với các bộ phận
miền
IT và bộ phận vận hành của các miền sẽ được
định nghĩa.
Đặc tả tóm tắt miền Các đặc tả chức năng, vận hành và đảm bảo miền
sẽ được mô tả.
Các yêu cầu tuân Yêu cầu tuân thủ đối với các SPP, PP, và/hoặc ST
thủ miền
đối với miền có thể được định nghĩa.
Bảng 2 - Tóm tắt sự khác nhau giữa ST và SST
12
ST “Sản phẩm”
(TCVN 8709-1)
Khung đặc tả
Đích an toàn
Trọng tâm là “hộp” đơn
Nêu chi tiết về CNTT, không ánh
xạ trực tiếp đích an toàn đến các
yêu cầm đảm bảo.
SST
(ISO/IEC 19791:2010)
Tập trung đưa ra nhóm các phần tử hệ
thống phức tạp và lớn hơn mà có thể
được phân tách thành các miền.
Mục tiêu cụ thể bắt nguồn từ yêu cầu
đảm bảo cụ thể. Mối quan hệ giữa
những kiểm soát vận hành (vật lý, thủ
tục và chính sách) và sự đóng góp của
chúng đối với an toàn hệ thống được
dẫn chứng bằng tài liệu đối với và các
biện pháp đảm bảo được lựa chọn.
Tài liệu môi Giải quyết tối thiểu bên ngoài Cần được định nghĩa rõ ràng và được
trường
vùng đánh giá rủi ro và được dẫn chứng bằng tài liệu. Không có giả
xem như những giả định.
định.
Đánh giá rủi ro
Nói về phi CNTT, đặc biệt là các Nhận biết những rủi ro “đã biết” và
thủ tục, như những giả định và những kiểm soát vận hành có thể đánh
tuân thủ sản phẩm có liên quan. giá về sự phù hợp của nó trong môi
trường hệ thống tích hợp.
Mô tả TOE
Chỉ tập trung vào CNTT
Định nghĩa môi trường kiểm soát kỹ
thuật và vận hành, các giao diện và
những mỗi quan hệ giữa chúng.
Tuyên bố tuân Hoàn toàn nói về chức năng Có thể phân bổ chức năng giữa các
thủ
CNTT
thành phần hệ thống (ví dụ: những
kiểm soát kỹ thuật và những kiểm soát
vận hành).
Kiến trúc hệ Dựa trên sản phẩm “độc lập”
thống
Được phân chia thành các miền an
toàn riêng biệt với những kiểm soát
khác nhau. Giải quyết tương tác giữa
các miền và giữa các miền và môi
trường xung quanh.
5.1.2.2 Hồ sơ bảo vệ hệ thống (SPP)
Các đặc tả được trình bày trong phần này được bắt nguồn một phần từ những đặc tả ST
trong TCVN 8709-1, phụ lục B, và một phần từ yêu cầu SSP bổ sung được định nghĩa
trong tiêu chuẩn này.
Tóm tắt sự khác nhau giữa PP được đưa ra trong TCV 8709-1 và SPP trong tiêu chuẩn
ISO/IEC 19791:2010.
13
Bảng 3 – Tóm tắt sự khác biệt giữa PP và SPP
PP “Sản phẩm”
(TCVN 8709-1)
Khung đặc tả
Trọng tâm
Trọng tâm là “hộp” đơn
Hạn chế hơn và cụ thể là CNTT
PP hệ thống
(ISO/IEC 19791:2010)
Tập trung đưa ra nhóm các phần tử hệ
thống phức tạp và lớn hơn mà bao
gồm hệ thống vận hành, với sự phân
bổ vật lý phân tán và những kiểm soát
an toàn tích hợp.
Rộng hơn, linh hoạt và kết hợp kiểm
soát an toàn các khía cạnh của an
toàn hệ thống - linh hoạt để ghi chép
các trường hợp kinh doanh khác
nhau.
Kiểm soát vận Giải quyết tối thiểu bên ngoài Đưa ra những kiểm soát kỹ thuật cho
hành (Vật lý, vùng đánh giá rủi ro - giả định đối tác giống như đưa ra cho người
OSP, Nhân sự..) những phân bổ môi trường.
đóng góp đến an toàn hệ thống để đáp
ứng những nhu cầu vận hành.
Đánh giá rủi ro
Nói về phi CNTT, đặc biệt là các
thủ tục, như những giả định và
tuân thủ sản phẩm có liên quan
Xác định những rủi ro là những rủi
ro “đã biết” và những kiểm soát vận
hành có thể đánh giá về sự phù hợp
của nó trong môi trường hệ thống
tích hợp.
Mô tả TOE
Hạn chế và chỉ tập trung vào
CNTT
Rộng hơn, kết hợp các giao diện
bên trong cũng như các giao diện
với các thành phần, phân hệ và hệ
thống “bên ngoài/từ xa”
5.1.3 Cấu trúc các yêu cầu chức năng
Phần này được trình bày trong phụ lục B của TCVN xxx-2:2014, nó định nghĩa các
thành phần chức năng kiểm soát hệ thống vận hành bao gồm các khía cạnh quản lý và
thủ tục của một STOE. Các thành phần được mô tả trong tài liệu này hoạt động kết
hợp với các thành phần kỹ thuật qui định trong tiêu chuẩn TCVN 8709-2 để thỏa mãn
mục tiêu an toàn của STOE. Tiêu chuẩn TCVN 8709-2 được sử dụng làm cơ sở cấu
trúc cho các thành phần này.
5.1.3.1 Cấu trúc lớp, họ, thành phần chức năng
Có 4 sự khác biệt so với chuẩn TCVN 8709-2, đó là: Không có các thành phần kiểm
soát vận hành theo thứ bậc, vì thế đề điều phụ được bỏ đi. Tất cả các hoạt động quản
lý được xử lý bởi các thành phần rõ ràng, do đó không cần có các đề điều phụ về các
hoạt động quản lý. Các đề điều phụ về kiểm toán được thay đổi cho các bản ghi, được
biểu thị rõ ràng hơn về qui trình tập hợp chứng cứ cần thiết cho những kiểm soát vận
hành. Chỉ định cho phép hoạt động được sử dụng linh hoạt hơn chỉ định cho phép hoạt
động được sử dụng trong chuẩn TCVN 8709-2. Định danh các tài liệu mô tả các quy
tắc, thủ tục, chính sách kết hợp, những yêu cầu an toàn và những kiểm soát khác có
thể được chỉ rõ là một chỉ định.
14
Bảng 4: Cấu trúc lớp, họ, các thành phần chức năng
TCVN 8709-2:2011
1. Cấu trúc lớp chức năng
ISO/IEC 19791:2010
1. Cấu trúc lớp chức năng
Tương tự TCVN 8709-2
Cấu trúc lớp chức năng
2. Cấu trúc họ chức năng
2. Cấu trúc họ chức năng
- Tên của họ
- Tên của họ
- Hành xử của họ
- Hành xử của họ
- Phân mức thành phần
- Phân mức thành phần
- Quản lý
- Không có các thành phần quản lý
- Kiểm toán
- Kiểm toán được thay bằng các bản ghi
- Các thành phần
- Các thành phần
3. Cấu trúc các thành phần chức năng.
3. Cấu trúc các thành phần chức năng.
- Định danh thành phần.
Tương tự TCVN 8709-2:2011
- Các phụ thuộc
- Các phần tử chức năng.
5.1.3.2 Các lớp kiểm soát vận hành mới được định nghĩa trong ISO/IEC
19791:2010
Ngoài 11 lớp chức năng được trình bày trong TCVN 8709-2, TCVN xxx:2014 còn
định nghĩa 7 lớp chức năng mới dưới đây:
15
a) Lớp FOD: Kiểm soát quản trị, qui định các yêu cầu kiểm soát vận hành liên quan
đến quản trị hệ thống;
b) Lớp FOS: Kiểm soát các hệ thống CNTT, qui định các yêu cầu kiểm soát vận hành
hỗ trợ việc sử dụng các hệ thống và thiết bị CNTT;
c) Lớp FOA: Kiểm soát tài sản người dùng, qui định các yêu cầu kiểm soát vận hành
liên quan đến việc kiểm soát tài sản người dùng;
d) Lớp FOB: Kiểm soát kinh doanh, qui định các yêu cầu kiểm soát vận hành liên
quan đến những chức năng và qui trình kinh doanh;
e) Lớp FOP: Kiểm soát tài sản và thiết bị, qui định các biện pháp kiểm soát vận hành
liên quan đến thiết bị kinh doanh, tài sản và premises kinh doanh;
f) Lớp FOT: Kiểm soát tổ chức thứ 3, qui định các biện pháp kiểm soát vận hành liên
quan đến mối quan hệ với các tổ chức thứ 3;
g) Lớp FOM: Quản lý, qui định các biện pháp kiểm soát vận hành liên quan đến các
hoạt động quản lý.
Bảng 5 so sánh giữa các lớp chức năng được định nghĩa trong TCVN 8709-2 và
trong ISO/IEC 19791, và khả năng áp dụng chúng đối với việc đánh giá hệ thống vận
hành
Bảng 5 - So sánh các lớp chức năng
TCVN 8709-2
Lớp FAU: Kiểm toán an toàn
Lớp FCO: Truyền thông
Hệ thống vận hành
Khả năng áp dụng và tính
tổng quát
Có thể áp dụng cho các
hệ thống vận hành
Tương tự TCVN 8709-2
Lớp FOD: Kiểm soát
quản trị
Quản lý chính sách, nhân
sự, rủi ro, Quản lý sự cố,
các tổ chức an toàn, Thỏa
thuận dịch vụ
Lớp FCS: Hỗ trợ mã hóa
Lớp FDP: Bảo vệ dữ liệu
người dùng
Lớp FIA: Định danh và xác
thực
Lớp FMT: Quản lý an toàn
Lớp FPR: Riêng tư
Lớp FPT: Bảo vệ TSF
Lớp FRU: Sử dụng tài
nguyên
Lớp FTA: Truy nhập TOE
Lớp FTP: Tuyến/Kênh tin
cậy
16
Lớp FOS: Kiểm soát hệ
thống CNTT
Chính sách, Cấu hình, An
toàn mạng, Giám sát, Kiểm
soát nhân sự, Tài sản hệ
Lớp FOA: Kiểm soát tài
sản người dùng
Bảo vệ dữ liệu riêng tư, tài
sản người dùng
Lớp FOB: Kiểm soát
kinh doanh
Lớp FOP: Kiểm soát tài
sản và thiết bị
Chính sách, tính liên tục
Lớp FOT: Kiểm soát các
tổ chức thứ 3
Lớp FOM: Quản lý
Thiết bị di động, Thiết bị
có thể di dời, Thiết bị điều
khiển từ xa, Hệ thống, Tài
Quản lý
Thông số an toàn, phân
loại tài sản, trách nhiệm cá
nhân, tổ chức an toàn, báo
5.2 Cấu trúc TCVN xxx:2017
Tiêu chuẩn này gồm 9 điều, cụ thể như sau:
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Ký hiệu và thuật ngữ viết tắt
5 Cấu trúc của tiêu chuẩn
6 Phương pháp tiếp cận kỹ thuật
7 Mở rộng các khái niệm đánh giá của TCVN 8709 đối với các hệ thống vận hành
8 Mối quan hệ với các chuẩn an toàn thông tin hiện có
9 Đánh giá các hệ thống vận hành
10 Phụ lục A: Các đích an toàn và hồ sơ bảo vệ hệ thống vận hành
11 Phụ lục B: Các yêu cầu kiểm soát chức năng hệ thống vận hành
12 Phụ lục C: Các yêu cầu đảm bảo cho các hệ thống vận hành
13 Phụ lục D: Phương pháp luận đánh giá hệ thống vận hành
14 Thư mục tài liệu tham khảo
5.3 Bảng đối chiếu tài liệu viện dẫn
Bảng 6: Bảng đối chiếu tài liệu viện dẫn
Tài liệu viện dẫn
Phương pháp xây
Nội dung tiêu chuẩn
ISO/IEC 19791:2009
dựng
Lời nói đầu
Tự xây dựng
17
Lời giới thiệu
Tài liệu viện dẫn
ISO/IEC 19791:2009
Introduction
1 Phạm vi áp dụng
D1.1. Introduction
2 Tài liệu viện dẫn
2 Normative references
3 Thuật ngữ và định nghĩa
3 Terms and definitions
Nội dung tiêu chuẩn
4 Các từ viết tắt
5 Cấu trúc của tiêu chuẩn
6 Phương pháp tiếp cận kỹ
thuật
7 Mở rộng các khái niệm
đánh giá của TCVN 8709 đối
với các hệ thống vận hành
8 Mối quan hệ với các chuẩn
an toàn thông tin hiện có
9 Đánh giá các hệ thống vận
hành
10 Phụ lục A: Các đích an
toàn và hồ sơ bảo vệ hệ thống
vận hành
11 Phụ lục B: Các yêu cầu
kiểm soát chức năng hệ thống
vận hành
12 Phụ lục C: Các yêu cầu
đảm bảo cho các hệ thống
vận hành
13 Phụ lục D: Phương pháp
luận đánh giá hệ thống vận
hành
14 Thư mục tài liệu tham
khảo
6.
Phương pháp xây
dựng
Chấp thuận nguyên
vẹn
Chấp thuận nguyên
vẹn
Sửa đổi
Chấp thuận nguyên
vẹn
4 Abbreviated terms
Chấp thuận nguyên
vẹn có bổ sung
5 Structure of this Technical Chấp thuận nguyên
Report
vẹn
6 Technical approach
Chấp thuận nguyên
vẹn
7 Extending ISO/IEC 15408 Chấp thuận nguyên
evaluation
concepts
to vẹn
operational systems
8 Relationship to existing Chấp thuận nguyên
security standards
vẹn
9 Evaluation of operational Chấp thuận nguyên
systems
vẹn
10 Annex A (normative) Chấp thuận nguyên
Operational system Protection vẹn
Profiles and Security Targets
11 Annex B (normative) Chấp thuận nguyên
Operational system functional vẹn
control requirements
12 Annex C (normative) Chấp thuận nguyên
Operational system assurance vẹn
requirements
13 Annex D (normative) Chấp thuận nguyên
Operational
System vẹn
evaluation methodology
Bibliography
Kiến nghị áp dụng
Tiêu chuẩn này là một tài liệu hỗ trợ, nó định nghĩa các phần mở rộng của TCVN 8709
để cho phép đánh giá sự an toàn của các hệ thống vận hành. Nó chủ yếu nhằm vào
những người có liên quan đến như người phát triển, người tích hợp, người triển khai
và quản lý an toàn của hệ thống vận hành cũng như những người đánh giá mong muốn
áp dụng chuẩn TCVN 8709 cho các hệ thống này.
Nhóm chủ trì biên soạn tiêu chuẩn khuyến nghị áp dụng tiêu chuẩn này kết hợp với bộ
TCVN 8709, ISO/IEC 18045 (hiện đang được xây dựng song song cùng bộ tiêu chuẩn
này) để đánh giá an toàn cho các hệ thống vận hành. Tiêu chuẩn này sẽ góp phần hoàn
thiện bộ tiêu chuẩn quốc gia về hệ thống quản lý an toàn thông tin.
18
7.
Các thuật ngữ và các từ viết tắt
Bảng 7: Các từ viết tắt trong tiêu chuẩn
Viết tắt
FOD
Tiếng Anh tương đương
Tiếng Việt
Functionality Class/Family
Lớp/họ chức năng
FOD: Administration
Lớp quản trị FOD
FOD_POL Policy administration
Quản trị chính sách
FOD_PSN Personnel administration
Quản trị nhân sự
FOD_RSM Risk management administration
Quản trị quản lý rủi ro
FOD_INC Incident management administration
Quản trị quản lý sự cố
FOD_ORG Security organization administration
Quản trị an toàn tổ chức
FOD_SER Service agreements administration
Quản trị những thỏa thuận dịch vụ
FOS
FOS: IT Systems
Lớp FOS: các hệ thống CNTT
FOS_POL
Policy for IT systems
Chính sách đối với Các hệ thống CNTT
FOS_CNF Configuration of IT systems
Cấu hình các hệ thống CNTT
FOS_NET Network security of IT systems
An toàn mạng của Các hệ thống CNTT
FOS_MON Monitoring of IT systems
FOS_PSN
Personnel control of IT systems
FOS_OAS
Operational
systems
system
assets
of
FOS_RCD Records for IT systems
FOA
User Assets
Giám sát các hệ thống CNTT
Kiểm soát nhân sự của các hệ thống
CNTT
IT Tài sản hệ thống vận hành của các hệ
thống CNTT
Các bản ghi dành cho các hệ thống
CNTT
Tài sản người dùng
FOA_PRO Privacy data protection
Bảo vệ dữ liệu riêng tư
FOA_INF
Bảo vệ thông tin tài sản người dùng
FOB
User assets information protection
Business
Lớp FOB: Nghiệp vụ
FOB_POL Business policies
Các chính sách nghiệp vụ
FOB_BCN Business continuity
Tính liên tục của nghiệp vụ
FOP
Facility and Equipment
FOP_MOB Mobile equipment
FOP_RMM Removable equipment
Lớp FOP: Tài sản và thiết bị
FOP_RMT Remote equipment
Thiết bị điều khiển từ xa
FOP_SYS
FOP
_MNG
FOT
System equipment
Thiết bị hệ thống
Facility management
Quản lý tài sản
Third Parties
Lớp FOT: Bên thứ 3
Thiết bị di động
Thiết bị có thể di chuyển được
FOT_COM Third party commitments
Những cam kết với bên thứ 3
FOT_MNG Third party management
Quản lý bên thứ 3
FOM
Lớp FOM: Quản lý
Management
19
Viết tắt
Tiếng Anh tương đương
Tiếng Việt
Functionality Class/Family
Lớp/họ chức năng
FOM_PRM Management of security parameters
Quản lý các tham số an toàn
FOM_CLS Management of asset classification
Quản lý phân loại tài sản
Management of personnel security
Quản lý trách nhiệm an toàn nhân sự
responsibilities
FOM_ORG Management of security organization
Quản lý tổ chức an toàn
FOM_PSN
FOM_INC Management of security reporting
Quản lý báo cáo về an toàn
Assurance Class/Family
Lớp/họ đảm bảo
ASP
ASP : SPP evaluation
ASP : Đánh giá SPP
ASP_INT
ASP_INT: SPP introduction
ASP_INT: Giới thiệu SPP
ASP_CCL ASP_CCL: Conformance claims
ASP_SPD
ASP_CCL: Các yêu cầu tuân thủ
ASP_SPD: Security problem definition ASP_SPD: Định nghĩa vấn đề an toàn
ASP_OBJ
ASP_OBJ: Security objectives;
ASP_ECD:
Extended
components
ASP_ECD
definition
ASP_REQ ASP_REQ: Security requirements
Security
domain
ASP_DMI ASP_DMI:
introduction
ASP_DMC:
Security
domain
ASP_DMC conformance claims
ASP_OBJ: Các mục tiêu an toàn
ASP_ECD: Định nghĩa các thành phần
mở rộng
ASP_REQ: Các yêu cầu an toàn
ASP_DMI: Giới thiệu miền an toàn
ASP_DMC: Các yêu cầu tuân thủ miền
an toàn
ASP_DMP: Security domain security ASP_DMP: Định nghĩa vấn đề an toàn
ASP_DMP problem definition
miền an toàn
problem definition;
ASP_DMO ASP_DMO: Security domain security ASP_DMO: Các mục tiêu an toàn miền
objectives
an toàn
ASP_DMR: Security domain security ASP_DMR: Các yêu cầu an toàn miền
ASP_DMR requirements
an toàn.
requirements.
ASS
ASS: SST evaluation
ASS: Đánh giá SST
ASS_INT
ASS_INT: SST introduction
ASS_INT: Giới thiệu SST
ASS_CCL ASS_CCL: Conformance claims;
ASS_CCL: Các yêu cầu tuân thủ
ASS_SPD
ASS_SPD: Security problem definition ASS_SPD: Định nghĩa vấn đề an toàn
ASS_OBJ
ASS_OBJ: Security objectives;
ASS_OBJ: Các mục tiêu an toàn
ASS_ECD:
Extended
components ASS_ECD: Định nghĩa các thành phần
definition
mở rộng
ASS_REQ ASS_REQ: Security requirements
ASS_REQ: Các yêu cầu an toàn
ASS_ECD
20
Viết tắt
ASS_TSS
Tiếng Anh tương đương
Tiếng Việt
Functionality Class/Family
Lớp/họ chức năng
ASS_TSS:
specification
STOE
summary
ASS_DMI:
Security
introduction
ASS_DMC:
Security
ASS_DMC conformance claims
domain
ASS_DMI
ASS_TSS: Đặc tả tóm tắt STOE
ASS_DMI: Giới thiệu miền an toàn
domain ASS_DMC: Các yêu cầu tuân thủ miền
an toàn
ASS_DMP: Security domain security ASS_DMP: Định nghĩa vấn đề an toàn
ASS_DMP problem definition
miền an toàn
ASS_DMO
ASS_DMO: Security domain security ASS_DMO: Các mục tiêu an toàn miền
objectives
an toàn
ASS_DMR: Security domain security ASS_DMR: Các yêu cầu an toàn miền
ASS_DMR requirements
an toàn
ASS_DMS
ASS_DMS: Security domain summary
ASS_DMS: Đặc tả tóm tắt miền an toàn.
specification
AOD
Operational
document
system
guidance Lớp AOD: tài liệu hướng dẫn hệ thống
vận hành
AOC
Operational system
design
and
documentation
Operational system
management
AOT
Operational system test
AOV
Operational
assessment
APR
Preparation for live operation
Lớp APR: Chuẩn bị hoạt động trực
tiếp.
ASO
Records on operational system
Lớp ASO: Các bản ghi hệ thống vận
hành
OSF
Operational Security Functionality
Chức năng an toàn vận hành
SPP
System Protection Profile
Hồ sơ bảo vệ hệ thống
SSA
System Security Assurance
Đảm bảo an toàn hệ thống
SSF
System Security Functionality
Chức năng an toàn hệ thống
SST
System Security Target
Đích an toàn hệ thống
STOE
System Target of Evaluation
Đích đánh giá hệ thống
ASD
system
architecture,
Lớp ASD: kiến trúc, thiết kế và tài liệu
configuration
hóa cấu hình hệ thống vận hành
configuration
Lớp AOC: Quản lý cấu hình hệ thống
vận hành
Lớp AOT: Kiểm thử hệ thống vận
hành
vulnerability Lớp AOV: Đánh giá điểm yếu HT vận
hành
21
8. Tiến độ thực hiện
STT
Nội dung thực hiện
Thời gian thực hiện
1
Hội thảo lần 1
09/2014
2
Hội thảo lần 2
09/2014
3
Xin ý kiến chuyên gia
10/2014
4
Nghiệm thu cấp cơ sở
10/2014
5
Nghiệm thu cấp bộ
12/2014
6
In, nộp thuyết minh, dự
thảo tiêu chuẩn đã chỉnh
sửa, bổ sung theo kết luận
của hội đồng nghiệm thu
cấp Bộ
01/2014
Hoàn thiện/Đánh giá
- Tiếp tục hoàn thiện
theo kết luận của hội
đồng
- Tiếp tục hoàn thiện
theo kết luận của hội
đồng
- Hoàn thiện theo ý kiến
chuyên gia
- Hoàn thiện theo kết
luận của hội đồng
- Khá
- Đánh giá: Khá
- Hoàn thiện dự thảo,
Thuyết
minh
tiêu
chuẩn theo kết luận của
hội đồng nghiệm thu
và ý kiến chuyên gia
phản biện.
- In, nộp thuyết minh, dự
thảo tiêu chuẩn
22