Tải bản đầy đủ (.doc) (115 trang)
  1. Trang chủ
    2. >>
  2. Thể loại khác
    3. >>
  3. Tài liệu khác

CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ BẢO VỆ VÀ ĐÍCH ANTOÀN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (528.42 KB, 115 trang )

TCVN xxxx:xxxx

TCVN

TIÊUCHUẨNQUỐCGIA

TCVN xxx:xxxx
ISO/IEC TR15446: 2009
Xuất bản lần thứ 1

CÔNG NGHỆ THƠNG TIN – KỸ THUẬT AN TỒN –
HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ BẢO VỆ VÀ ĐÍCH AN
TỒN
Information technology – Security techniques – Guide for the production of Protection
Profiles and Security Targets

HÀ NỘI – 2017


TCVN xxxx:xxxx


TCVN xxxx:xxxx
Mục lục
1 Phạm vi áp dụng....................................................................................................................................5
2 Tài liệu viện dẫn.....................................................................................................................................5
4 Ký hiệu và thuật ngữ viết tắt................................................................................................................6
5 Mục đích và cấu trúc tiêu chuẩn..........................................................................................................6
6 Tổng quan về PP và ST.........................................................................................................................7
7 Đặc tả việc giới thiệu PP/ST...............................................................................................................24
8 Đặc tả các yêu cầu tuân thủ...............................................................................................................24


9.1 Giới thiệu........................................................................................................................................25
9.2 Nhận biết yêu cầu an tồn khơng chính thức................................................................................28
9.2.1 Giới thiệu.....................................................................................................................................28
9.2.2 Nguồn thơng tin...........................................................................................................................28
9.2.3 Lập tài liệu các u cầu khơng chính thức.................................................................................30
9.3 Nhận biết và đặc tả các mối đe doạ như thế nào..........................................................................31
9.3.1 Giới thiệu.....................................................................................................................................31
9.3.2 Quyết định phương pháp luận phân tích mối đe doạ................................................................32
9.3.3 Nhận biết thành phần tham gia..................................................................................................34
9.3.3.4 Các hành động có hại..............................................................................................................38
9.3.4 Áp dụng phương pháp luận phân tích mối đe doạ được lựa chọn...........................................38
9.3.5 Lời khuyên thiết thực..................................................................................................................40
9.4 Xác định và cụ thể hố các chính sách.........................................................................................41
9.5 Xác định và đặc tả các giả định như thế nào................................................................................43
9.6 Tổng kết định nghĩa vấn đề an toàn..............................................................................................45
10 Đặc tả các mục tiêu an toàn.............................................................................................................46
10.1 Giới thiệu......................................................................................................................................46
10.2 Cấu trúc các mối đe dọa, các chính sách và giả định.................................................................49
10.3 Nhận biết các mục tiêu môi trường vận hành phi Công nghệ thông tin.....................................49
10.4 Nhận biết các mục tiêu môi trường vận hành Công nghệ thông tin...........................................51
10.5 Nhận biết các mục tiêu của TOE.................................................................................................51

1


TCVN xxxx:xxxx
10.6 Tạo ra các mục tiêu phù hợp.......................................................................................................56
11 Đặc tả các định nghĩa thành phần mở rộng...................................................................................57
12 Đặc tả các u cầu an tồn..............................................................................................................61
12.1 Giới thiệu......................................................................................................................................61

12.2 Các mơ hình an tồn trong bộ tiêu chuẩn TCVN 8709:2011.......................................................64
12.2.1 Giải thích về các mơ hình an tồn và sử dụng các mơ hình cho việc mơ hình hóa các chức
năng an tồn..........................................................................................................................................64
12.2.2 Kiểm sốt truy cập cách sử dụng các ngồn tài nguyên mục tiêu.............................................64
12.2.3 Quản lý người dùng..................................................................................................................69
12.2.4 Tự bảo vệ TOE..........................................................................................................................71
12.2.5 Bảo vệ truyền thơng..................................................................................................................73
12.2.6 Kiểm tốn an tồn.....................................................................................................................74
12.3 Làm thế nào để xác định các chức năng an toàn trong PP hoặc ST..........................................76
12.3.1 Các yêu cầu chức năng an toàn nên được lựa chọn như thế nào..........................................76
12.3.2 Lựa chọn SFR từ TCVN 8709-2:2011......................................................................................80
12.3.3 Làm thế nào để thực hiện các vận hành trên các yêu cầu chức năng an tồn.......................83
12.3.4 Các u cầu kiểm tốn nên được xác định như thế nào?.......................................................87
12.3.5 Các yêu cầu quản lý nên được xác định như thế nào?...........................................................88
12.3.6 Các SRF từ một PP nên được đặc tả như thế nào?................................................................89
12.3.7 Các SRF khơng có trong một PP nên được xác định như thế nào?.......................................89
12.3.8 Các SRF khơng có trong tiêu chuẩn TCVN 8709-2:2011 nên được xác định như thế nào?. .90
12.3.9 Các SRF nên được trình bày như thế nào?.............................................................................90
12.3.10 Làm thế nào để phát triển các yêu cầu an toàn hợp lý..........................................................91
12.4 Làm thế nào để xác định các yêu cầu đảm bảo trong một ST hoặc PP.....................................92
12.4.1 Các yêu cầu đảm bảo nên được lựa chọn thế nào..................................................................92
12.4.2 Thực hiện các hoạt động đối với các yêu cầu đảm bảo an tồn như thế nào........................94
12.4.3 Các SAR khơng nằm trong TCVN 8709-3:2011 nên được xác định trong PP hoặc ST như
thế nào

2

95



TCVN xxxx:xxxx
12.4.4 Các yêu cầu đảm bảo an toàn hợp lý......................................................................................95
13 Đặc tả tóm tắt TOE.............................................................................................................................95
14 Đặc tả các PP hoặc các TS cho các TOE tổng hợp và các TOE thành phần.............................96
14.1 Các TOE tổng hợp.......................................................................................................................96
14.2 Các TOE thành phần..................................................................................................................101
15. Trường hợp đặc biệt......................................................................................................................102
15.1. Hồ sơ bảo vệ và Đích An tồn đảm bảo thấp...........................................................................102
15.2 Phù hợp với cách biểu diễn quốc gia........................................................................................102
15.3 Các gói đảm bảo và chức năng.................................................................................................103
16 Sử dụng các công cụ tự động.......................................................................................................103
Phụ lục A................................................................................................................................................104
(Tham khảo)...........................................................................................................................................104
Ví dụ về việc định nghĩa thành phần mở rộng..................................................................................104
Tài liệu tham khảo................................................................................................................................107

3


TCVN xxxx:xxxx

Lời nói đầu
Tiêu chuẩn TCVN ISO/IEC xxxx:xxxx hồn tồn tương đương với tiêu chuẩn quốc tế ISO/IEC TR
15446:2009.
Tiêu chuẩn TCVN ISO/IEC xxxx:xxxx do Học viện Cơng nghệ Bưu chính Viễn thông, Bộ Thông tin và
Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ
công bố.

4



TCVN xxxx:xxxx

TIÊUCHUẨNQUỐCGIA

TCVN XXXX:XXXX

Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn tạo các
tập Hồ sơ bảo vệ và Đích an tồn
Information technology — Security techniques — Guide for the production of Protection Profiles
and Security Targets
1 Phạm vi áp dụng
Tiêu chuẩn này đưa ra các hướng dẫn liên quan đến việc xây dựng Hồ sơ bảo vệ (PPs) và Đích an tồn
(STs) phù hợp với bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408). Tiêu chuẩn này cũng có thể áp dụng
cho các PP và ST phù hợp với Bộ Tiêu chí đánh giá chung, phiên bản 3.1 [1], là một tiêu chuẩn kỹ thuật
tương tự được công bố bởi Ủy ban quản lý tiêu chí chung - Hiệp hội các tổ chức chính phủ về đánh giá và
chứng nhận về an tồn cơng nghệ thơng tin .
Tiêu chuẩn này không phải là phần giới thiệu cho việc đánh giá sử dụng bộ tiêu chuẩn TCVN 8709:2011.
Người sử dụng tiêu chuẩn này (độc giả) muốn biết thêm điều này nên đọc Phần 1 của bộ tiêu chuẩn
TCVN 8709:2011.
Tiêu chuẩn này không đề cập đến các nhiệm vụ liên quan vượt quá phạm vi đặc tả của PP và ST, như việc
đăng ký PP và xử lý tài sản trí tuệ được bảo vệ.

2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết để áp dụng cho tiêu chuẩn này:
TCVN 8709-1:2011, Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá về an tồn Cơng nghệ
thơng tin - Phần 1: Giới thiệu và mơ hình tổng qt.
TCVN 8709-2:2011, Cơng nghệ thơng tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá về an tồn Cơng nghệ
thơng tin - Phần 2: Các thành phần chức năng an tồn.
TCVN 8709-3:2011, Cơng nghệ thơng tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá về an tồn Cơng nghệ

thơng tin - Phần 3: Các thành phần đảm bảo an toàn.

5


TCVN xxxx:xxxx
ISO/IEC 18045:2008, Information technology -- Security techniques -- Methodology for IT security
evaluation (ISO/IEC 18045: 2008, Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp đánh giá an tồn
Cơng nghệ thơng tin).

3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN 8709-1:2011.

4 Ký hiệu và thuật ngữ viết tắt
Các từ viết tắt trong TCVN 8709-1:2011 và các từ viết tắt sau đây được áp dụng đối với tiêu chuẩn này.
COTS

Commercial Off The Shelf

Phần mềm thương mại có sẵn

CRL

Certificate Revocation List

Danh sách chứng chỉ bị thu hồi

LDAP

Lightweight Directory Access Protocol


Giao thức truy cập thư mục hạng nhẹ

SPD

Security Problem Definition

Định nghĩa vấn đề an toàn

SSL

Secure Sockets Layer

Tầng đế căm (Socket) an tồn

TLS

Transport Layer Security

An tồn tầng giao vận

CC

Common Citeria

Tiêu chí đánh giá chung

5 Mục đích và cấu trúc tiêu chuẩn
Tiêu chuẩn này nhằm mục đích giúp cho những người cần chuẩn bị Hồ sơ bảo vệ (PP) hoặc Đích an toàn
(ST) dùng để đánh giá theo bộ tiêu chuẩn TCVN 8709:2011. Tiêu chuẩn này đưa ra hướng dẫn chi tiết liên

quan đến nhiều phần khác nhau của một PP hoặc ST và cách thức tương giao giữa chúng.
Tiêu chuẩn này chỉ áp dụng cho tiêu chuẩn bộ tiêu chuẩn TCVN 8709:2011.
Tiêu chuẩn này chủ yếu tập trung vào các đối tượng là những người liên quan đến việc phát triển PP và
ST. Nó cũng hướng đến các khách hàng và người dùng PP và ST mong muốn hiểu được nội dung của PP
và ST được phát triển bởi những người khác, và muốn khẳng định sự phù hợp và tính chính xác của
thơng tin mà họ đang có. Nó cũng có thể hữu ích đối với những người đánh giá PP và ST, những người
chịu trách nhiệm giám sát việc đánh giá PP và ST.
Đđộc giả đã hiểu về TCVN 8709-1:2011, đặc biệt là các Phụ lục A và B trong đó có mơ tả ST và PP tương
ứng. Tác giả của PP và ST sẽ cần phải biết các phần khác của bộ tiêu chuẩn TCVN 8709:2011 như được
mô tả trong tiêu chuẩn này, bao gồm phần tài liệu giới thiệu, chẳng hạn như mơ hình các u cầu chức
năng được mô tả trong TCVN 8709-2: 2011, điều 5.
Tiêu chuẩn này chỉ nhằm mục đích hướng dẫn, chứ khơng nên được trích dẫn là một tiêu chuẩn về nội
dung hay cấu trúc cho việc đánh giá PP và ST. Nó được thiết kế phù hợp hồn tồn với bộ tiêu chuẩn
TCVN 8709:2011. Tuy nhiên, trong trường hợp không nhất quán giữa tiêu chuẩn này và bộ tiêu chuẩn

6


TCVN xxxx:xxxx
TCVN 8709:2011, thì bộ tiêu chuẩn TCVN 8709:2011 được xem như là một tiêu chuẩn quy phạm được ưu
tiên.
Điều 1 đến điều 4 gồm phần mở đầu và tài liệu tham khảo. Tiếp theo là phần giới thiệu tổng quan (điều 5).
Điều 6 đưa ra phần giới thiệu về Hồ sơ bảo vệ và các Đích an tồn, chúng là gì, khi nào và tại sao sử
dụng chúng. Phần này cũng thảo luận về mối quan hệ giữa PP và ST và các vấn đề liên quan đến quá
trình phát triển PP/ST.
Điều 7 đến điều 13 cung cấp thông tin về cách xác định bảy phần bắt buộc về nội dung của một PP hoặc
ST, theo trình tự nêu trong TCVN 8709-1:2011, các điều A.2 và B.2.
Điều 14 xem xét các vấn đề cụ thể đối với các PP và ST cho các TOE tổng hợp, tức là TOE được tổng
hợp từ hai hoặc nhiều TOE thành phần, mỗi TOE có PP hoặc ST riêng của nó.
Điều 15 đề cập một số trường hợp đặc biệt, cụ thể là các nội dung PP/ST giảm thiểu có yêu cầu bảo đảm

thấp, phù hợp với các hạn chế và cách hiểu của từng nước, phù hợp với việc sử dụng các gói chức năng
và gói đảm bảo.
Điều 16 thảo luận về chủ đề sử dụng các công cụ tự động trong phát triển PP/ST.

6 Tổng quan về PP và ST
6.1 Giới thiệu
Điều này cung cấp một cách nhìn tổng quan về vai trò của PP và ST trong đánh giá an tồn thơng tin sử
dụng bộ tiêu chuẩn TCVN 8709:2011.
6.2 Độc giả
Tiêu chuẩn này được sử dụng cho hai nhóm sau:
a)

Nhóm chun gia Cơng nghệ thơng tin có kiến thức về an tồn thơng tin (ví dụ như các cán bộ, kiến
trúc sư an tồn thơng tin đã am hiểu về u cầu an tồn thơng tin) nhưng họ khơng phải là những
chun gia trong việc đánh giá an tồn thơng tin và họ cũng chưa có kiến thức về bộ tiêu chuẩn TCVN

b)

8709:2011.
Nhóm chun gia về an tồn thơng tin có kiến thức chuyên sâu về bộ tiêu chuẩn TCVN 8709:2011.
Họ là những người trực tiếp tham gia vào việc phát triển các PP và ST.

Nếu độc giả thuộc nhóm thứ nhất, điều này sẽ cung cấp cho họ những thơng tin cần thiết để hiểu rõ mục
đích và cấu trúc của các PP và ST. Nó cũng cung cấp cho họ những thơng tin cơ bản để bạn có thể đọc và
hiểu các PP và ST, để xác định được sự phù hợp và đúng đắn trong từng trường hợp cụ thể. Các điều tiếp
theo sẽ giải thích chi tiết nội dung của từng phần trong các PP và ST, nhưng theo hướng tạo ra các tài liệu
như vậy và giả thiết có kiến thức bộ tiêu chuẩn TCVN 8709:2011.

7



TCVN xxxx:xxxx
Nếu độc giả là một chuyên gia, hiển nhiên bạn đã hiểu rõ về nội dung của điều này. Các điều tiếp theo sẽ
cung cấp cho bạn các phương pháp luận, kỹ thuật và chỉ dẫn thiết thực để chuẩn bị các PP và ST một
cách hiệu quả.
Nếu độc giả khơng phải là chun gia về an tồn thơng tin, và họ cần phải tạo ra một PP hoặc ST, thì tiêu
chuẩn này sẽ giúp cho họ thực hiện điều đó. Tuy nhiên, họ cũng sẽ cần phải tìm, đọc và hiểu các ví dụ
được cơng bố về các PP hoặc ST tương tự như yêu cầu của họ. Họ cũng nên xem xét đến các dịch vụ
của những người có kiến thức chun mơn và kinh nghiệm.
6.3 Việc sử dụng PP và ST
6.3.1 Giới thiệu
Mục đích chính của việc sử dụng bộ tiêu chuẩn TCVN 8709:2011 là để đánh giá sự an tồn của các sản
phẩm Cơng nghệ thông tin. Thuật ngữ "sản phẩm Công nghệ thông tin " không thực sự được định nghĩa
trong bộ tiêu chuẩn TCVN 8709:2011. Tuy nhiên, có thể hiểu nó sẽ bao gồm tất cả các loại thực thể xây
dựng bằng cách sử dụng Cơng nghệ thơng tin, cho dù đó là một hệ thống thông tin trọn vẹn được sử dụng
độc quyền bởi một tổ chức, hay một COTS của một nhà sản xuất tạo ra để bán cho nhiều khách hàng
khác nhau. Trong tiêu chuẩn này, khi chúng ta nói về các sản phẩm Công nghệ thông tin hay đơn thuần là
sản phẩm, chúng ta sẽ tư vấn áp dụng cho tất cả các đối tượng được đề cập ở trên. Trong trường hợp
phạm vi tư vấn của chúng ta được giới hạn trong một loại sản phẩm cụ thể, chúng ta sẽ nói về các hệ
thống, hoặc các sản phẩm COTS, hoặc có thể sử dụng một số từ ngữ khác một cách rõ ràng cụ thể.
Vì một sản phẩm Cơng nghệ thơng tin có thể được sử dụng theo nhiều cách, trong nhiều kiểu môi trường,
nên khái niệm về an toàn sẽ thay đổi tùy theo sản phẩm. Do đó, kết quả cuối cùng của một đánh giá theo
bộ tiêu chuẩn TCVN 8709:2011 không bao giờ là "sản phẩm Cơng nghệ thơng tin này là an tồn", mà luôn
luôn là "sản phẩm Công nghệ thông tin này đáp ứng được đặc tả an tồn".
Bộ tiêu chuẩn TCVN 8709:2011có các đặc tính an tồn chuẩn hóa về (trong số các đặc tính khác):
- Nội dung cụ thể bắt buộc cần cho việc đánh giá một sản phẩm dựa theo các đặc tính an tồn;
- Cho phép so sánh các thơng số kỹ thuật an tồn của sản phẩm khác nhau.
Bộ tiêu chuẩn TCVN 8709:2011 công nhận hai loại khác nhau về đặc tính an tồn là: Hồ sơ bảo vệ (PP) và
Đích an tồn (ST). Sự khác biệt giữa hai đặc tính này được giải thích bởi vai trị mà chúng được hướng
đến trong quá trình khách hàng tìm kiếm để mua một sản phẩm điển hình từ nhà phát triển.

Các khái niệm về khách hàng, nhà phát triển và sản phẩm còn khá trừu tượng. Một khách hàng là một
người muốn mua một sản phẩm. Đó có thể là một cá nhân, một tổ chức, một nhóm các tổ chức, cơ quan
Chính phủ, v. v… Một nhà phát triển là một người muốn bán một sản phẩm. Đó có thể là một lập trình
viên, một cơng ty nhỏ, một cơng ty lớn, một nhóm các cơng ty làm việc cùng nhau v. v… Cuối cùng, một

8


TCVN xxxx:xxxx
sản phẩm có thể là bất cứ thứ gì từ một phần mềm ứng dụng nhỏ hoặc một thẻ thông minh cho đến một
hệ điều hành lớn hoặc một hệ thống máy tính hồn chỉnh có chứa hàng trăm các thành phần riêng biệt.
Khi khách hàng muốn mua một sản phẩm, về cơ bản họ có hai khả năng:
- Khách hàng liên hệ với nhà phát triển, xác định nhu cầu của mình, và nhà phát triển tạo ra một sản
phẩm hướng tới mục tiêu cụ thể của khách hàng đó và đáp ứng chính xác các nhu cầu của khách hàng
đó. Giá thành có thể sẽ đắt nhưng khách hàng nhận được những gì họ muốn. Trong phần tiếp theo,
chúng ta gọi đây là một quá trình mua hàng dựa trên đặc tả;
- Khách hàng lựa chọn một sản phẩm từ một số sản phẩm hiện có. Việc này hầu như ít tốt kém hơn,
nhưng hiệu quả sản phẩm có thể đáp ứng hoặc khơng đáp ứng đầy đủ nhu cầu của khách hàng. Trong
phần tiếp theo, chúng ta gọi đây là một quá trình mua dựa trên sự lựa chọn.
Khi an tồn Cơng nghệ thơng tin trở nên quan trọng, thì các quá trình mua sản phẩm Cơng nghệ thơng tin
cũng trở nên khó khăn. Đối với một khách hàng bình thường:
- Khó có thể xác định loại an tồn Cơng nghệ thơng tin họ cần;
- Khó xác định về việc an tồn Cơng nghệ thơng đã cơng bố cho một sản phẩm có hữu ích hay đủ đáp
ứng nhu cầu của họ hay không;
- Và thậm chí cịn khó khăn hơn để xác định rằng khi một sản phẩm đã cơng bố có các thuộc tính an
tồn, thì những tun bố này có đúng hay khơng.
Để hỗ trợ khách hàng thơng qua q trình mua hàng và giải quyết những khó khăn nêu trên, việc đánh giá
các sản phẩm sử dụng bộ tiêu chuẩn TCVN 8709:2011 có thể hữu ích và trong trường hợp này, Hồ sơ bảo
vệ và Đích an tồn đóng một vai trị rất quan trọng. Trong hai điều khoản nhỏ tiếp theo, chúng ta sẽ nói
đến việc đánh giá như thế nào để có thể giúp cho từng q trình mua hàng: dựa trên đặc tả và dựa trên

lựa chọn.
Tất nhiên, các sản phẩm Công nghệ thông tin không làm việc một cách độc lập. Sản phẩm được khách
hàng sử dụng trong một mơi trường vận hành, có thể gồm các biện pháp an tồn riêng của chúng. Đơi khi
sản phẩm sẽ tạo ra các giả định rằng một số loại đặc tính an tồn tồn tại trong mơi trường vận hành đó.
Những giả định này cũng sẽ là một phần của PP hoặc ST.
6.3.2 Quá trình mua dựa trên đặc tả
6.3.2.1 Giới thiệu
Trong quá trình mua sản phẩm dựa trên đặc tả, một khách hàng viết ra một đặc tả, cung cấp đặc tả này
cho một nhà phát triển và các nhà phát triển sau đó tạo ra một sản phẩm dựa trên các đặc tả. Cụ thể là
các bước sau đây cần phải được thực hiện:

9


TCVN xxxx:xxxx
a) Khách hàng phải xác định các yêu cầu an tồn của họ một cách khơng chính thức;
b) Khách hàng phải chuyển các u cầu an tồn khơng chính thức này thành một đặc tả chính thức hơn
phù hợp để một nhà phát triển sử dụng;
c) Nhà phát triển phải xây dựng sản phẩm dựa trên đặc tả này.
Cuối cùng, khách hàng muốn biết rằng "sản phẩm này là hữu ích với mình". Do đó, chất lượng của từng
bước là rất quan trọng.
6.3.2.2 Các u cầu an tồn thơng tin khơng chính thức
Q trình xác định các u cầu an tồn khơng chính thức là việc xác định "vấn đề an tồn của tơi là gì, và
tơi nên giải quyết nó thế nào?" nằm ngồi phạm vi của bộ tiêu chuẩn TCVN 8709:2011 và do đó ngồi
phạm vi của tiêu chuẩn này. Tuy nhiên, nó khơng có nghĩa là việc xác định này không quan trọng hoặc dễ
dàng.
Mặc dù vậy, bộ tiêu chuẩn TCVN 8709:2011 giả định rằng khách hàng có khả năng xác định các u cầu
an tồn khơng chính thức của họ. Nếu điều này được thực hiện khơng đúng, các sản phẩm được mua
cuối cùng có thể khơng đáp ứng được các u cầu an tồn thực sự.
Các yêu cầu của khách hàng khi đã viết ra thường có một số vấn đề liên quan đến họ, đặc biệt là trong

lĩnh vực an toàn. Yêu cầu của khách hàng thường là:
a)

Không đầy đủ (không phải tất cả các yêu cầu hiện tại đều đã đề cập). Ví dụ, các mối đe dọa quan
trọng mà sản phẩm phải đối mặt thường bị bỏ qua;

b)

Không gắn kèm: Những yêu cầu của khách hàng thường không đầy đủ để điều chỉnh phù hợp với môi
trường cụ thể, nơi sản phẩm vận hành hoặc không mô tả môi trường này đủ rõ ràng.

c)

Ngầm định: Một số yêu cầu của sản phẩm có tính hệ quả, song tính hệ quả này khơng được đưa vào.
Nhà phát triển có thể khơng tính đến các yêu cầu ngầm định này;

d)

Không thể kiểm chứng: Các yêu cầu được diễn đạt một cách mơ hồ, do đó khơng thể xác minh được
một sản phẩm có đáp ứng yêu cầu hay không;

e)

Quá chi tiết: Việc thực hiện trong thực tế đã được viết sẵn ra nhưng khơng giải thích được lý do tại
sao nó có. Nếu sau này có thay đổi các u cầu thì sẽ không biết rõ các thay đổi này nên được thực
hiện như thế nào;

f)

Chứa các thuật ngữ mơ hồ: chẳng hạn như "truyền thơng phải được an tồn" mà khơng định nghĩa

thế nào là "an tồn";

g)

10

Khơng nhất qn: bản thân các yêu cầu có những mâu thuẫn nội tại.


TCVN xxxx:xxxx
Việc cung cấp các yêu cầu của khách hàng ở dạng thô cho nhà phát triển thường sẽ dẫn đến các vấn đề,
như nhà phát triển có thể khơng hiểu đúng ý khách hàng. Việc đánh giá an toàn thậm chí có thể dẫn đến
nhiều vấn đề hơn, vì người đánh giá có thể giải thích các u cầu khác nhau khi xem xét ở cả hai góc độ
là khách hàng và nhà phát triển.
Với những lý do này, một bước quan trọng trong tồn bộ q trình mua hàng dựa trên đặc tả là chính thức
hóa các u cầu của khách hàng. Với các yêu cầu an toàn dựa trên bộ tiêu chuẩn TCVN 8709:2011, việc
chính thức hóa này thực hiện bằng cách sử dụng một Hồ sơ bảo vệ, gọi là (PP). PP về bản chất là một tài
liệu xác định các yêu cầu an toàn của khách hàng theo cách chính thức hố và chuẩn hóa.
6.3.2.3 Sử dụng PP như các đặc tả
PP thường được viết bởi các tổ chức lớn, các nhóm tổ chức, các cơ quan Chính phủ, v. v… vì chúng u
cầu một sự nỗ lực đầu tư đáng kể.
Một PP gồm có nhiều phần, nhưng vì là một đặc tả an tồn, nên điều quan trọng nhất là "yêu cầu chức
năng an toàn". Khi sử dụng bộ tiêu chuẩn TCVN 8709:2011, bắt buộc phải viết các yêu cầu này theo một
ngôn ngữ đặc biệt, được xác định trong tiêu chuẩn này. Việc sử dụng ngôn ngữ này sẽ đảm bảo cho Hồ
sơ bảo vệ:
a)

Không mơ hồ: ngôn ngữ bao gồm các thuật ngữ được định nghĩa rõ ràng, do đó nhà phát triển có thể

b)


hiểu được các u cầu và giải thích chúng một cách chính xác;
Có thể kiểm chứng: ngơn ngữ được xác định chỉ chứa các thuật ngữ có thể kiểm chứng. Vì vậy, có

c)

thể đánh giá trong giai đoạn sau xem sản phẩm thực sự đáp ứng các PP hay khơng;
Khơng q chi tiết: ngơn ngữ thực thi có một mức độ trừu tượng nhất định. Điều này bám sát được
những yêu cầu của người tiêu dùng: người tiêu dùng muốn điều gì đó được thực hiện nhưng khơng

d)

muốn phải lo lắng về việc nó được thực hiện như thế nào;
Hồn thiện hơn: ngơn ngữ bao gồm các cấu trúc ("nếu chức năng này được yêu cầu thì tiếp đó chức
năng khác cũng cần được yêu cầu") để giúp đảm bảo rằng nó bao gồm cả các yêu cầu tiềm ẩn.

6.3.2.4 Xây dựng một sản phẩm từ một PP
Khách hàng có thể cung cấp các PP, tức là các u cầu chính thức của mình tới một hoặc nhiều nhà phát
triển. Mỗi nhà phát triển sử dụng PP này như là một điểm khởi đầu cho sự phát triển của một sản phẩm. Ở
bước đầu tiên trong quá trình này, họ viết ra một đích an tồn (ST).
Một ST được sử dụng cho mục đích này rất giống với một PP, nhưng trong khi PP xác định các yêu cầu
của khách hàng và nguyên tắc được viết bởi khách hàng, thì ST là một đặc tả sản phẩm được viết bởi nhà
phát triển.

11


TCVN xxxx:xxxx
Các nhà phát triển tất nhiên không thể phân phát một ST tùy ý ứng với PP của khách hàng: ST của họ
phải phù hợp với PP. Điều này có nghĩa rằng sản phẩm phải bao gồm tất cả các yêu cầu của khách hàng,

song:
- ST có thể đặc tả nhiều hơn PP: sản phẩm sẽ cung cấp nhiều chức năng an toàn hơn so với yêu cầu
của khách hàng (lưu ý: chức năng bổ sung này không được phép khơng tương thích với PP), bởi vì, ví
dụ, sản phẩm sẽ được bán cho một số khách hàng với yêu cầu tương tự nhưng hơi khác nhau, hoặc vì
các sản phẩm được hình thành từ một sản phẩm đã đạt chuẩn có sẵn.
- ST chi tiết hơn so với PP: trong khi PP giải thích "cái gì" cần được an tồn thì ST giải thích "làm thế
nào": Nói chung, nhà phát triển chỉ ra họ sẽ thực hiện các yêu cầu của khách hàng như thế nào.
Một PP có thể cho phép tác giả của ST linh động đưa ra một cái gì đó tương đương, nhưng khác nhau về
những gì chức năng an tồn được cung cấp (xem thêm 6.5.6).
ST xác định rõ cho nhà phát triển chức năng an toàn mà sản phẩm của họ cần cung cấp và phục vụ như
một "Đặc tả về các Yêu cầu an tồn" cho q trình phát triển tiếp theo.
Kết quả của quá trình phát triển cần là một sản phẩm có thể bàn giao được cho khách hàng, để họ có thể
cài đặt và sử dụng nó. Tất nhiên, sản phẩm này cần thực hiện như đã mô tả trong ST.
6.3.2.5 Vai trò của việc đánh giá trong quá trình mua dựa trên đặc tả
Cho đến nay, chúng ta mới chỉ mơ tả vai trị của khách hàng và vai trị của nhà phát triển trong q trình
này. Dựa trên q trình này, nhà phát triển chỉ có thể nói một cách đơn giản với khách hàng (khơng có
thêm bằng chứng) là:
a)

ST của tôi phù hợp với PP của bạn;

b)

Sản phẩm của tôi phù hợp với ST của tôi;

c)

Do đó, sản phẩm của tơi phù hợp với PP của bạn và đáp ứng yêu cầu của bạn.

Nếu khách hàng chấp nhận các báo cáo này, quá trình kết thúc ở đây.

Tuy nhiên, nếu một khách hàng yêu cầu thẩm định độc lập các báo cáo này, họ có thể nhờ một bên thứ ba
(một cơ quan đánh giá) để kiểm tra những đòi hỏi tuân thủ này bằng cách thực hiện một đánh giá an toàn
theo bộ tiêu chuẩn TCVN 8709:2011. Trong quá trình này, cơ quan đánh giá sử dụng PP, ST, sản phẩm và
bộ tiêu chuẩn TCVN 8709:2011 để đánh giá hai tuyên bố sau:
a)

ST phù hợp với PP;

b)

Sản phẩm phù hợp với ST.

Lưu ý rằng, dù có đánh giá, hai vấn đề sau đây vẫn cịn đang bỏ ngỏ.

12


TCVN xxxx:xxxx
a)

Việc dịch các u cầu an tồn khơng chính thức của khách hàng sang một Hồ sơ bảo vệ . Như đã nói
ở trên, q trình này nằm ngồi phạm vi của bộ tiêu chuẩn TCVN 8709:2011, nhưng nếu điều này
khơng được thực hiện một cách chính xác, PP sẽ không đáp ứng yêu cầu của khách hàng và do đó
sản phẩm có khả năng sẽ khơng đáp ứng được yêu cầu của khách hàng.

b)

Đánh giá không "chứng minh" sự tuân thủ. Một đánh giá theo bộ tiêu chuẩn TCVN 8709:2011 sẽ
không bao giờ cung cấp một sự đảm bảo tuyệt đối rằng sản phẩm đáp ứng PP, nó chỉ có thể cung cấp
một mức độ nhất định về sự đảm bảo tùy thuộc vào cấp độ và phạm vi đánh giá như đã được đặc tả

trong PP hoặc ST.

6.3.3 Quá trình mua dựa trên sự lựa chọn
6.3.3.1 Giới thiệu
Phần trước đã thảo luận về việc một khách hàng cung cấp một đặc tả và một nhà phát triển thực hiện các
đặc tả đó. Phần này thảo luận về trường hợp sản phẩm không được thiết kế riêng cho một khách hàng
nào đó: họ phải chọn từ các sản phẩm có sẵn. Do đó, việc mua khơng cịn dựa trên sự phù hợp với một
tuyên bố chính thức các yêu cầu của khách hàng (tức là một PP), mà là dựa trên so sánh các sản phẩm
hiện có bởi khách hàng.
Trong q trình mua một sản phẩm Cơng nghệ thơng tin dựa trên lựa chọn thì:
a)

Một nhà phát triển phải tạo ra một sản phẩm, đặc tả của sản phẩm này và cung cấp đặc tả đó cho
khách hàng.

b)

Khách hàng phải quyết định từ các đặc tả (có thể bằng cách so sánh đặc tả này với các đặc tả của
nhà phát triển khác) để xem sản phẩm đã xác định có là sản phẩm phù hợp nhất để họ mua hay
khơng.

Vì cuối cùng, khách hàng muốn biết rằng "sản phẩm này là phù hợp với tôi", nên chất lượng của từng
bước này là rất quan trọng.
6.3.3.2 Sử dụng đặc tả cung cấp bởi nhà phát triển
Trong quá trình mua dựa trên lựa chọn, khách hàng phải sử dụng đặc tả được cung cấp bởi nhà phát
triển.
Nếu đặc tả này là khơng chính thức, thì sẽ có các nhược điểm tiềm ẩn tương tự như đối với các yêu cầu
khơng chính thức của khách hàng đã thảo luận trong 6.3.2.2. Vì lý do này, việc đặc tả này cũng cần phải
được chính thức hóa. Để đạt mục đích này, bộ tiêu chuẩn TCVN 8709:2011 sử dụng Đích an tồn (ST)
như đã thảo luận trong 6.3.2.4. ST ở đây cũng giống với ST thảo luận trong 6.3.2.4, chỉ có một sự khác

biệt rõ ràng là: vì nó khơng dựa trên PP của khách hàng, nên nó khơng thể tun bố tuân thủ một PP như
vậy (nó có thể yêu cầu tuân thủ với các loại PP khác - xem 6.3.4 dưới đây).

13


TCVN xxxx:xxxx
Vì nhà phát triển khơng biết các u cầu của một khách hàng cụ thể, họ sẽ phải thực hiện một ước tính về
những gì thị trường mong muốn và hệ thống hóa nó trong ST. Do đó, điều này không nhất thiết phải phù
hợp với yêu cầu cụ thể của bất kỳ khách hàng nào.
Nhà phát triển tạo ra sản phẩm của mình tương ứng với ST: quá trình này cũng tương tự như đã mơ tả
trong q trình mua dựa trên đặc tả.
6.3.3.3 So sánh các Đích an tồn bởi nhà phát triển
Giờ đây khách hàng có thể so sánh ST của một số sản phẩm và chọn một sản phẩm đáp ứng tốt nhất yêu
cầu của họ (có thể cũng cân nhắc các yêu cầu phi an tồn, chẳng hạn như giá cả). Điều này có nghĩa
rằng, bằng cách nào đó khách hàng sẽ vẫn phải tìm ra những u cầu an tồn khơng chính thức của mình
là gì (xem 6.3.2.2) và so sánh chúng với các ST được cung cấp. Nếu một hoặc nhiều sản phẩm phù hợp
với yêu cầu của mình, họ sẽ lựa chọn. Nếu không, họ sẽ phải chọn sản phẩm "gần nhất" hoặc tìm một số
giải pháp khác (ví dụ như thay đổi yêu cầu của mình).
Như đã nêu trong 6.3.2, q trình phát sinh u cầu an tồn khơng chính thức của khách hàng nằm ngoài
phạm vi của bộ tiêu chuẩn TCVN 8709:2011 và cả tiêu chuẩn này. Việc so sánh các yêu cầu và ST cũng
nằm ngoài phạm vi của bộ tiêu chuẩn TCVN 8709:2011, mặc dù vậy hướng dẫn về chủ đề này sẽ có trong
các phần sau của tiêu chuẩn này.
6.3.3.4 Vai trò của đánh giá trong quá trình mua dựa trên sự lựa chọn
Tương tự như quá trình mua hàng dựa trên đặc tả, nhà phát triển chắc chắn sẽ khẳng định rằng sản phẩm
của mình đáp ứng các ST và nếu khách hàng chấp thuận điều này, quá trình sẽ kết thúc ở đây.
Tuy nhiên, về mặt thủ tục, nhà phát triển đưa ra một giấy chứng nhận để xác nhận rằng một bên thứ ba
độc lập (một cơ quan đánh giá) đã phê chuẩn ST, và sau đó đã đánh giá an tồn theo bộ tiêu chuẩn TCVN
8709:2011 để khẳng định sản phẩm thực sự đáp ứng ST. Thậm chí khách hàng có thể ủy nhiệm đánh giá,
nếu họ tin rằng điều này là cần thiết và nhà phát triển chưa thực hiện điều này.

Lưu ý rằng, việc sử dụng các sản phẩm đã được đánh giá vẫn còn hai vấn đề bỏ ngỏ:
a)

Chứng minh sự tương đương về u cầu an tồn khơng chính thức của khách hàng và Đích an tồn.
Như đã nói ở trên, q trình này nằm ngồi phạm vi của bộ tiêu chuẩn TCVN 8709:2011, nhưng nếu
nó khơng được thực hiện một cách chính xác, ST có thể khơng phù hợp với yêu cầu của khách hàng,
và do đó sản phẩm có thể khơng phù hợp với u cầu của khách hàng.

b)

Đánh giá không "chứng minh" sự tuân thủ. Sự đánh giá theo bộ tiêu chuẩn TCVN 8709:2011 sẽ khơng
bao giờ cung cấp một sự đảm bảo hồn hảo về việc sản phẩm đáp ứng ST, nó chỉ có thể cung cấp
một mức độ đảm bảo nhất định tùy thuộc vào cấp độ và phạm vi đánh giá theo quy định trong ST.

6.3.4 Các ứng dụng khác của PP

14


TCVN xxxx:xxxx
Hồ sơ bảo vệ cịn có các ứng dụng khác. Chẳng hạn, các cơ quan tiêu chuẩn hay hiệp hội các nhà cung
cấp có thể sử dụng các PP là tiêu chuẩn an toàn tối thiểu trong thực tiễn tốt nhất đối với các loại các ứng
dụng cụ thể. Chính phủ và các hiệp hội thương mại có thể bắt buộc sử dụng chúng. Trong trường hợp
này, cả khách hàng và các nhà phát triển có thể sẽ yêu cầu sự phù hợp với các PP đó, cũng như việc bổ
sung yêu cầu hay chức năng an toàn để đáp ứng nhu cầu cụ thể của họ.
Các tổ chức chỉ định hoặc uỷ quyền các PP cho các mục đích như trình bày ở trên phải có một trách
nhiệm cao để đảm bảo rằng các PP như vậy là tối thiểu (họ không đưa ra các yêu cầu cao hơn) tính thực
tế (họ khơng u cầu về các chức năng hay sự đảm bảo mà không thể đạt được đối với các nhà phát
triển).
Một PP cũng có thể được phát triển để cho thấy nhu cầu cần thiết đối với một loại sản phẩm an tồn nào

đó, mặc dù nó được thừa nhận tại thời điểm cơng bố mà vẫn khơng (hoặc chưa) có sản phẩm. Nếu bạn là
một nhà phát triển sản phẩm, hãy xử lý các PP như vậy một cách thận trọng. Bởi thời gian cần thiết để
bạn phát triển một sản phẩm phù hợp các yêu cầu đó có thể quá lâu, sản phẩm có thể bị lỗi thời hoặc các
nhà tài trợ của PP có thể khơng cịn muốn mua sản phẩm của bạn bởi vì họ đã tìm ra những cách khác để
đáp ứng yêu cầu của họ.
Cuối cùng, PP là các đặc tả yêu cầu an toàn. Cần hết sức lưu ý khi tận dụng PP để xác định các loại yêu
cầu khác, nếu được thực hiện một cách đầy đủ, rõ ràng hơn, thì có thể PP sẽ bị loại bỏ.
6.4 Quá trình phát triển PP/ST
Trình tự trình bày các yêu cầu đối với các PP và ST trong Phụ lục A và B của tiêu chuẩn TCVN 87091:2011, và cả các phần trước của tiêu chuẩn này cho thấy rằng PP và ST ln ln phát triển theo một
trình tự logic ‘từ trên – xuống dưới’ một cách hợp lý, ví dụ: (trong trường hợp của một ST):
a)

Vấn đề an tồn được định nghĩa trước tiên;

b)

Sau đó các mục tiêu an toàn được xác định để giải quyết các vấn đề an tồn;

c)

Các u cầu an tồn sau đó được xác định để đáp ứng các mục tiêu an toàn cho TOE;

d)

Các chức năng an tồn thực sự sau đó được lựa chọn để đáp ứng các yêu cầu an tồn.

Đơi khi khơng theo quy luật như vậy, có nhiều khả năng một quá trình sẽ được yêu cầu lặp đi lặp lại. Ví dụ,
việc định nghĩa cho các yêu cầu an toàn cần được làm nổi bật để làm rõ các định nghĩa đối với mục tiêu
an toàn, hoặc thậm chí là vấn đề an tồn. Nói chung, số lần lặp lại có thể được yêu cầu trong các mối
quan hệ giữa các mối đe dọa, chính sách an toàn của tổ chức, mục tiêu an toàn và yêu cầu an toàn và các

chức năng được kiểm tra chặt chẽ, đặc biệt là khi lý do cơ bản đang được xây dựng. Chỉ khi tất cả các lý
do cơ bản được giải quyết hết, khi đó có thể giả định rằng các PP hoặc ST đã hoàn tất.

15


TCVN xxxx:xxxx
Sự lặp đi lặp lại trong suốt quá trình của sự phát triển PP hoặc ST, thì có thể xuất hiện vấn đề mới. Do đó
trong phạm vi của vấn đề an tồn hiện tại, có thể dẫn đến việc thay đổi các tài liệu mà phản ánh những
thay đổi, ví dụ:
a)

Mối đe dọa mới có thể được xác định;

b)

Chính sách bảo an tồn của tổ chức có thể thay đổi;

c)

Việc hạn chế về chi phí và thời gian có thể buộc phải thay đổi những dự kiến mà TOE sẽ làm, và
nhưng gì mong đợi ở mơi trường của TOE;

d)

Những thay đổi về việc dự kiến các cuộc tấn cơng tiềm ẩn có thể ảnh hưởng đến việc định nghĩa vấn
đề an tồn cho TOE.

Cũng có thể tác giả của PP hoặc ST đã có một ý tưởng rõ ràng cho chức năng an toàn của TOE (đặc biệt
là trong trường hợp TOE là một sản phẩm đã được phát triển trước) mà nó sẽ cung cấp (thậm trí ngay cả

khi điều này chưa được thể hiện trong bộ tiêu chuẩn TCVN 8709:2011 về chức năng an toàn). Trong
trường hợp này việc định nghĩa về vấn đề an tồn và các mục tiêu an tồn sẽ khơng thể tránh khỏi bị ảnh
hưởng bởi các giải pháp an toàn do TOE cung cấp. Quá trình phát triển của PP/ST sẽ nằm trong những
trường hợp đó, trong phạm vi logic " từ dưới – lên trên".
6.5 Đọc hiểu PP và ST
6.5.1 Giới thiệu
Phần này không dành cho các chuyên gia đã có kiến thức về bộ tiêu chuẩn TCVN 8709:2011. Nó được
thiết kế cho các độc giả chỉ biết chút ít về PP hoặc ST, nhưng họ cần phải đọc một hoặc nhiều PP hoặc ST
để hiểu được khả năng an toàn của các sản phẩm liên quan. Hơn nữa, phần này được thiết kế để làm rõ
những thiếu sót tiềm ẩn hoặc được che dấu, đặc biệt là trong phạm vi đánh giá.
Để hiểu chi tiết về nội dung của PP và ST, khơng có cách nào tốt hơn là việc đọc TCVN 8709-1:2011, cụ
thể là các Phụ lục A và B, trong đó cung cấp nội dung chi tiết liên quan đến Đích an tồn và Hồ sơ bảo vệ
tương ứng. Ngồi ra, việc tìm hiểu các PP và ST đã được công bố và cho phép dùng chung cũng là một ý
tưởng tốt. Có nhiều nơi bạn có thể đăng ký để tải về các PP và ST. Nhưng Cổng thơng tin về Tiêu trí đánh
giá chung là nơi chứa nhiều tài liệu nhất [2]. Việc đăng ký tại đây sẽ được chấp nhận bởi hội đồng ISO và
IEC như là sự đăng ký với Uỷ ban Kỹ thuật chung (JTC1) một cách chính thức để có Hồ sơ bảo vệ và các
gói được xây dựng phù hợp với bộ tiêu chuẩn TCVN 8709:2011. Nơi đăng ký này được vận hành phù hợp
với tiêu chuẩn quốc tế ISO/IEC 15.292 [3].
Vấn đề khó khăn ở đây là, một PP hoặc ST khơng thể tóm tắt thành một nhóm hay một tập các thuộc tính
đơn giản: các PP và ST mơ tả một tập các thuộc tính an tồn phức tạp đó, nếu khơng đọc kỹ có thể dẫn
đến những vấn đề ngồi dự tính khi mua hoặc sử dụng sản phẩm. Mặt khác, một số phần trong một PP

16


TCVN xxxx:xxxx
hoặc một ST quan trọng nhau hoặc khác nhau (đặc biệt là các yêu cầu chức năng an toàn), nhưng gần
như khơng thể nhận ra được nếu khơng có kiến thức chuyên sâu về bộ tiêu chuẩn TCVN 8709:2011. Do
đó, trong các nội dung được giới thiệu sau đây, chúng ta sẽ xác định các phần chính của một PP hoặc ST
cho người mới tìm hiểu: những phần này tương đối dễ hiểu, nhưng lại chứa các thông tin quan trọng để

có thể nắm rõ được các thuộc tính an toàn của một yêu cầu. Yêu cầu này được diễn tả như một PP hoặc
một sản phẩm đã được mơ tả bởi một ST.
Có thể đọc các phần liên quan, như:
a)

Tổng quan về TOE;

b)

Tơ tả TOE;

c)

Mục tiêu an tồn đối với môi trường vận hành;

d)

Yêu cầu tuân thủ phù hợp.

Trong các phần sau chúng ta sẽ thảo luận chi tiết hơn về từng phần.
6.5.2 Đọc tổng quan về TOE
Tổng quan về TOE là phần đầu và khái quát chung bạn nên đọc trước đối với một PP hoặc ST, vì nó
"hướng đến người tiêu dùng tiềm năng của một TOE. Họ tìm kiếm các TOE có thể đáp ứng nhu cầu an
toàn của họ, đồng thời được hỗ trợ bởi phần cứng, phần mềm và phần sụn thông qua danh sách các
TOE/các sản phẩm đã được đánh giá” (xem TCVN 8709-1:2011: A.4.2). Tổng quan về TOE có ba phần
cần quan tâm:
a)

Cách sử dụng và tính năng an tồn chính của TOE;


b)

Các loại TOE;

c)

Phần cứng/phần mềm/phần sụn phi TOE được yêu cầu.

Chúng ta sẽ thảo luận lần lượt từng phần. Bạn sẽ tìm thấy một số ví dụ đơn giản của mỗi phần trong
TCVN 8709-1:2011: A.4.2.
Việc mô tả cách sử dụng và các tính năng an tồn chính của TOE nhằm mục đích đưa ra một khái niệm
rất chung chung về khả năng an tồn của TOE là gì, và nó có thể được sử dụng trong một bối cảnh an
toàn nào.
Phần này nên được viết ngắn gọn (chỉ một vài đoạn). Do đó, khơng nên đưa ra những u cầu cao cho
việc đọc và hiểu. Nội dung phần này nhắm đến người tiêu dùng, chứ không phải những người có kỹ thuật
cao. Nó mang tính định hướng chung, và không đầy đủ.

17


TCVN xxxx:xxxx
Kiểu TOE là một mô tả chung về danh mục các sản phẩm Công nghệ thông tin mà TOE nằm trong phạm
vi đó (ví dụ như tường lửa, thẻ thông minh, mạng nội bộ, mạng LAN, v.v...). Trong bộ tiêu chuẩn TCVN
8709:2011, tổng quan về TOE liệt kê tất cả những gì mà một người đọc mong đợi có thể có từ kiểu TOE
này, nhưng khơng được hỗ trợ bởi TOE. Cụ thể là:
a)

Nếu kiểu TOE khiến bạn tin rằng TOE nó có chức năng an tồn nhất định, nhưng thực tế nó khơng có
chức năng này, thì tổng quan về TOE sẽ phải liệt kê chức năng bị thiếu này;


b)

Nếu kiểu TOE khiến bạn tin rằng TOE có thể được sử dụng trong một môi trường nhất định, nhưng
thực tế nó khơng thể được sử dụng trong một môi trường như vậy, tổng quan TOE sẽ phải liệt kê điều
này.

Lưu ý rằng, đây là nơi duy nhất mà một PP hoặc một ST được yêu cầu đưa ra các cảnh báo. Sau này, tác
giả của PP hoặc ST có thể lặp lại thơng tin này ở những nơi thích hợp bằng cách ghi chú, nhưng khơng
bắt buộc phải làm như vậy.
Nếu những cảnh báo này được đưa ra và có thể tác động đến mục đích sử dụng của bạn, bạn nên
nghiêm túc xem xét liệu có nên sử dụng TOE này với những hạn chế đó hay khơng.
Về TOE, đặc biệt khi nó là TOE kiểu phần mềm, đôi khi sẽ phải dựa vào phần cứng và phần sụn, hoặc các
thành phần phần mềm khác để có thể thực thi. Trong trường hợp này, tổng quan về TOE được yêu cầu để
nhận biết đó là những phần cứng/phần mềm/phần sụn phi TOE.
PP hoặc ST không cần phải đưa ra một định danh hoàn chỉnh, đầy đủ và chi tiết cho tất cả phần
cứng/phần mềm/phần sụn này, nhưng việc định danh đó nên đủ chi tiết và hồn chỉnh để bạn có thể xác
định các thành phần phần cứng/phần mềm/phần sụn bên ngoài chủ yếu cần thiết để sử dụng TOE.
Bạn nên cẩn thận đánh giá xem liệu có bất kỳ thành phần phi tiêu chuẩn nào mà TOE phụ thuộc khơng và
liệu những thành phần đó có phù hợp với cơ sở hạ tầng, ngân sách, chính sách của công ty hiện tại của
bạn không, v. v….
6.5.3 Đọc mô tả TOE
Điều quan trọng để hiểu về những đánh giá theo bộ tiêu chuẩn TCVN 8709:2011. Đó là, nếu bạn đọc một
sản phẩm nổi tiếng XYZ nào đó đã được đánh giá, điều này khơng có nghĩa rằng tất cả các tính năng an
tồn (hoặc thậm chí một phần lớn các tính năng an tồn) của sản phẩm này đã được đánh giá. Điều đó có
thể là trường hợp sản phẩm chỉ có một số tính năng của chức năng an toàn đã thực sự được xem xét,
những phần cịn lại khơng được coi là một phần của các chức năng an toàn đã được đánh giá. Tiêu chuẩn
TCVN 8709-1:2011, A.4.1: nghiêm cấm các tài liệu tham chiếu TOE gây hiểm nhầm, nhưng các nhà phát
triển ln có thể tiến đến nhược điểm này bằng cách chỉ sử dụng một tên sản phẩm. Bạn cần phải kiểm

18



TCVN xxxx:xxxx
tra xem các chức năng được đánh giá có đáp ứng nhu cầu của bạn không. Nếu một số chức năng an tồn
mà bạn có ý định sử dụng bị loại trừ, bạn cần xem xét lại.
Một trong những vai trị quan trọng nhất của việc mơ tả TOE là cho phép người đọc ST có thể khám phá
những mô tả này. Kết thúc việc mô tả TOE là thảo luận chi tiết về phạm vi lôgic và vật lý của TOE.
Việc bắt đầu với phạm vi vật lý, bộ tiêu chuẩn TCVN 8709:2011 cho chúng ta biết rằng "mô tả TOE thảo
luận về phạm vi vật lý của TOE: một danh sách của tất cả các phần cứng, phần mềm, phần sụn và các
phần hướng dẫn cấu thành TOE. Danh sách này sẽ được mô tả ở một mức độ chi tiết đủ để cung cấp cho
người đọc một sự hiểu biết chung về những phần này" (theo TCVN 8709-1:2011, phần A.4.3).
Bạn nên dành thời gian kiểm tra danh sách này vì có thể có những vấn đề phát sinh ngoài ý muốn, hay
một số phần của sản phẩm mà bạn cần nhưng lại khơng có. Nếu tồn tại vấn đề bất thường, nhưng vấn đề
đó lại khơng nằm trong danh sách này, thì việc đánh giá sau đó đã hồn tồn bị bỏ qua và xem như nó
khơng tồn tại. Nếu sử dụng một thành phần nào đó, bạn có thể nói khơng có kết luận về khả năng an tồn
của nó từ việc đánh giá.
Về phạm vi logic, bộ tiêu chuẩn TCVN 8709:2011 cho chúng ta biết rằng "mô tả TOE cũng nên thảo luận
về phạm vi logic của TOE: đặc điểm an toàn về logic được đưa ra bởi TOE ở mức độ chi tiết đủ để cung
cấp cho người đọc một sự hiểu biết chung các đặc điểm đó. Mơ tả này dự kiến sẽ chi tiết hơn các đặc
điểm an tồn chính được mơ tả trong phần tổng quan TOE "(trích dẫn từ TCVN 8709-1:2011, xem A.4.3).
Phạm vi vật lý sẽ cho chúng ta danh sách các phần của TOE, thì phạm vi logic cho chúng ta biết TOE làm
gì. Điều này đã được thảo luận ngắn gọn trong mục Cách sử dụng và các đặc điểm An tồn chính (xem
6.5.2). Vấn đề này sẽ được thảo luận nhiều trong tiêu chuẩn này. Điểm quan trọng nhất của phần này là
nếu bạn mong muốn sản phẩm có một tính năng nhất định, như quản lý từ xa (ví dụ như các đặc điểm
được mô tả trong một quảng cáo sản phẩm trong một tạp chí thương mại) nhưng phạm vi logic khơng đề
cập đến quản lý từ xa. Do đó, quản lý từ xa sẽ không được đánh giá. Như vậy, quản lý từ xa không nên
được đề cập nếu bạn muốn sử dụng sản phẩm trong cấu hình đánh giá của nó.
Do đó, quan trọng là phải xem xét kỹ lưỡng phần này để xác định xem tồn bộ các tính năng an toàn liên
quan mà bạn yêu cầu đã thực sự được đánh giá hay chưa. Nếu không, bạn sẽ không có sự đảm bảo
trong vận hành của các tính năng này từ việc đánh giá đó.

6.5.4 Mục tiêu an tồn đối với môi trường vận hành
Môi trường vận hành là nơi mà TOE sẽ được đặt trong đó. Để TOE làm việc một cách chính xác, mơi
trường vận hành phải đáp ứng được những hạn chế nhất định. Ví dụ, nếu một TOE là một máy chủ có tính
sẵn sàng cao, TOE cần phải được bảo vệ để đề phòng con người sử dụng công cụ để truy cập trái phép.
Việc bảo vệ này có thể được cung cấp bởi TOE (mặc dù các máy chủ chống giả mạo là khá hiếm). Do đó

19


TCVN xxxx:xxxx
các môi trường vận hành nên giải quyết vấn đề này, bằng việc đưa ra một yêu cầu cụ thể rằng phịng máy
chủ phải được khóa an tồn.
Những u cầu tương tự đối với môi trường vận hành được mơ tả trong phần các mục tiêu an tồn trong
mơi trường vận hành của một PP hoặc ST. Những mục tiêu này mô tả những điều phải được thực hiện bởi
tất cả mọi thứ ngoại trừ TOE để cho TOE đáp ứng u cầu an tồn của nó. Chúng ta có thể tham khảo
một số ví dụ về các mục tiêu an tồn cho mơi trường vận hành trong A.7.2.2 TCVN 8709-1:2011.
Nó đặc biệt quan trọng để chỉ ra rằng, đây không phải là một hướng dẫn, nhưng lại là điều kiện cần thiết
cho TOE hoạt động như đã nêu ở trên. Các mục tiêu này phải được đáp ứng đầy đủ và giải quyết bởi bạn
hoặc tổ chức của bạn. TOE sẽ khơng tự làm điều đó cho bạn. Nếu chỉ một trong những mục tiêu này
không được đáp ứng, TOE có thể khơng hoạt động một cách an tồn. Do đó, bắt buộc bạn xác định xem
các điều kiện có thể đạt được trong tổ chức của bạn hay không, và nếu một trong số các điều kiện đó là
thể đạt được, TOE có thể sẽ khơng phù hợp với bạn hay tổ chức của bạn.
6.5.5 Cách đọc yêu cầu tuân thủ
Yêu cầu tuân thủ thường được xuất hiện ở vị trí nổi bật trong PP hoặc ST, có thể được đặt ở phía trên. Nó
thường là một câu duy nhất kiểu như:
Các yêu cầu Hồ sơ bảo vệ/Đích an tồn này phù hợp với:
- Bộ tiêu chuẩn TCVN 8709:2011. PP/ST phù hợp với đặc tả (có thể áp dụng trực tiếp) trong bộ tiêu
chuẩn TCVN 8709:2011 (hoặc Tiêu chí đánh giá chung tương đương với V3.1 trở đi). Bộ tiêu chuẩn
TCVN 8709:2011 thường xuyên được tham chiếu.
- Phần 2 được mở rộng hoặc Phần 2 tuân thủ. Phần này yêu cầu định nghĩa cách các yêu cầu chức

năng an toàn được xây dựng như thế nào, và từ quan điểm người tiêu dùng, cả hai đều chấp nhận
được.
- Phần 3 được mở rộng hoặc Phần 3 tuân thủ. Phần này yêu cầu định nghĩa các yêu cầu đảm bảo an
toàn được xây dựng như thế nào. Nếu câu trả lời là "Phần 3 được mở rộng", nhà phát triển của PP và
ST đã thiết kế các bài kiểm tra đảm bảo riêng của họ, và từ quan điểm của người tiêu dùng, bạn nên
đặt câu hỏi tại sao điều này là cần thiết.
- Một danh sách các gói mà TOE u cầu tn thủ. Thơng thường chỉ có một gói như vậy và nó được đặt
tên là EAL1, EAL2, . . . . , EAL7, thường theo số "tăng dần". Những EALs được thảo luận thêm trong
6.5.7. Rất hiếm khi tìm thấy bất kỳ loại hình khác của gói được đặc tả. Dựa trên quan điểm của người
tiêu dùng, bạn lại phải đặt câu hỏi tại sao điều này là cần thiết.
- Một danh sách các Hồ sơ bảo vệ mà PP hoặc ST yêu cầu tuân thủ. Điều này được thảo luận thêm
trong 6.5.6 dưới đây.

20


TCVN xxxx:xxxx
6.5.6 Tuân thủ Hồ sơ bảo vệ
Như đã mô tả trong 6.3.2.4, ST có thể yêu cầu tuân thủ đối với PP. Ngồi ra, PP có thể u cầu tuân thủ
với các PP khác. Nếu các PP đều yêu cầu tuân thủ, thì cũng đều được liệt kê . Bộ tiêu chuẩn TCVN
8709:2011 khơng cho phép hình thức tn thủ theo từng phần, vì vậy nếu một PP được liệt kê ở đây, thì
PP hoặc ST phải tuân thủ đầy đủ các PP hoặc các PP được tham chiếu.
Việc tuân thủ một PP đồng nghĩa với PP hoặc ST (nếu một ST là một sản phẩm đã được đánh giá tốt) đáp
ứng tất cả yêu cầu của PP đó.
Nếu bạn đang đọc một PP, bạn cũng sẽ thấy một tuyên bố là, các ST và PP khác phải tuân thủ theo một
trong hai là "tuân thủ nghiêm ngặt" hoặc "tuân thủ có thể kiểm chứng". PP được xuất bản thường sẽ yêu
cầu sự tuân thủ có thể kiểm chứng. Điều này có nghĩa là, ST địi hỏi tn thủ với PP phải đưa ra giải pháp
cho vấn đề an tồn chung đã được mơ tả trong PP, nhưng có thể thực hiện như vậy trong cách nào đó
tương đương hoặc hạn chế hơn so với mô tả trong PP. "Tương đương nhưng hạn chế hơn" được xác
định đầy đủ, chi tiết trong bộ tiêu chuẩn TCVN 8709:2011, nhưng về nguyên tắc nó có nghĩa là PP và ST

có thể là các báo cáo hoàn toàn khác nhau, thảo luận về các thực thể khác nhau, sử dụng các khái niệm
khác nhau v. v….
Tuân thủ nghiêm ngặt chỉ được sử dụng khi khơng có sự khác biệt trong phạm vi cho phép giữa PP và ST,
ví dụ: trong mua sắm dựa trên việc lựa chọn (xem 6.3.3 ở phần trên). Tất nhiên, một ST vẫn có thể đưa ra
những hạn chế bổ sung nếu muốn. Nếu một PP yêu cầu sự tuân thủ chặt chẽ, mà bạn hoặc tổ chức của
bạn khơng viết ra, thì rất khó phù hợp để sử dụng.
6.5.7 Các EAL và các vấn đề đảm bảo khác
Tổng quan về TOE và mô tả TOE sẽ cho bạn biết TOE có khả năng làm những gì, tức là các chức năng
được cung cấp bởi TOE. Tuy nhiên, chức năng khơng nói lên tất cả mọi thứ về một sản phẩm Cơng nghệ
thơng tin. Sản phẩm có chung các chức năng có thể được sử dụng trong các thiết lập khác nhau. Ví dụ,
cùng là thẻ thơng minh, nhưng có thể được sử dụng theo các mục đích khác nhau, như:
- Một vé xe buýt với một số lượng nhỏ của "ngân sách du lịch" trên đó;
- Một thẻ tín dụng với hạn mức tín dụng 260.484.150 (tương đương 10,000 Euro);
- Một biện pháp kiểm soát truy cập để truy cập vào một cơ sở quân sự bí mật hàng đầu.
Trong trường hợp đầu tiên, người sử dụng hài lịng với một thẻ thơng minh "chất lượng thấp". Nếu một kẻ
tấn cơng chiếm quyền kiểm sốt đối vé xe buýt, hắn có thể được đi những chuyến xe bt miễn phí cho
đến khi các thơng số trên thẻ thay đổi. Việc thất thoát (với điều kiện là các thẻ khác không bị tấn công theo
cách như vậy) là không đáng kể đối với công ty xe buýt.

21


TCVN xxxx:xxxx
Trong hai trường hợp còn lại, đặc biệt là trong trường hợp thứ ba, chúng ta cần sự tin cậy nhiều hơn nữa
trong việc thực thi đúng các chức năng thẻ, vì hậu quả của việc thẻ bị tấn cơng, ngay cả khi chỉ là một thẻ
có thể là rất nghiêm trọng.
Trong bộ tiêu chuẩn TCVN 8709:2011 thì chất lượng được gọi là sự "đảm bảo". Biện pháp đảm bảo theo
bộ tiêu chuẩn TCVN 8709:2011 bằng cách kiểm tra nhiều khía cạnh của sự phát triển sản phẩm, chẳng
hạn như sự phát triển và quá trình sản xuất, thiết kế, hướng dẫn sử dụng, số lượng thử nghiệm được thực
hiện bởi các nhà phát triển sản phẩm, v. v…

Bộ tiêu chuẩn TCVN 8709:2011 chuẩn hóa sự đảm bảo thành 27 loại (gọi là họ đảm bảo). Trong mỗi loại,
bộ tiêu chuẩn TCVN 8709:2011 quy định cụ thể mức độ tuân thủ khác nhau, đáp ứng tốt hơn ở một mức
độ cao hơn.
Ví dụ, trong một loại hạng mục, sản phẩm có thể được đánh giá theo thang điểm của việc kiểm thử về
mức độ bao phủ của sản phẩm bởi nhà phát triển:
- 0: không biết chắc, liệu các nhà phát triển đã thực hiện kiểm thử trên sản phẩm hay chưa;
- 1: các nhà phát triển đã thực hiện một số kiểm thử trên một số giao diện của sản phẩm;
- 2: các nhà phát triển đã thực hiện một số kiểm thử trên tất cả các giao diện của sản phẩm;
- 3: các nhà phát triển đã thực hiện một số lượng rất lớn các kiểm thử trên tất cả các giao diện của sản
phẩm.
Qua ví dụ trên, ta có thể thấy rằng, mức đảm bảo được tăng theo mỗi cấp độ, và mức độ giảm dần khi
không chắc chắn.
Điều đáng lưu ý ở đây là, hầu hết một người khơng phải chun gia thì khơng thể hiểu bảng điểm xếp
hạng riêng cho 27 chuyên mục nhỏ. Để họ có thể đánh giá đảm bảo, bộ tiêu chuẩn TCVN 8709:2011 có 7
mức được xác định trước, được gọi là mức đảm bảo đánh giá (EALs). Chúng được gọi là EAL1 tới EAL 7,
với EAL1 thấp nhất và EAL7 cao nhất.
Mỗi EAL có thể được coi như là một tập 27 số, mỗi một số là một chuyên mục nhỏ. Ví dụ, EAL1 chỉ định
cho một đánh giá từ 1 đến 13 chuyên mục nhỏ, và từ 0 đến 14 chuyên mục nhỏ khác, trong khi EAL2
được chỉ định từ 2 đến 7 chuyên mục nhỏ, xếp hạng 1-11 chuyên mục nhỏ, và từ 0 đến 9 chuyên mục nhỏ
khác.
Các EAL có thứ bậc chặt chẽ, do đó nếu EAL n chỉ định một mức đánh gia nhất định cho một chuyên mục
nhỏ nhất định, sau đó EAL n +1 sẽ được chỉ định cùng một mức đánh giá hoặc cao hơn so với cho chuyên
mục EAL n. Vì vậy, EAL n +1 cung cấp mức đảm bảo nghiêm ngặt so với hơn EAL n.

22


TCVN xxxx:xxxx
Hạn chế của việc nâng mức đảm bảo cao hơn đó là vấn đề chi phí. Trong phạm vi kiểm thử được mô tả ở
trên, nếu được đánh giá ở mức 0 có nghĩa là khơng có chi phí. Nhưng với mỗi đánh giá cao hơn, các nhà

phát triển sẽ phải tiến hành việc kiểm thử đồng thời phải đưa ra tài liệu về việc kiểm thử đó. Khi đó đánh
giá viên sẽ phải định rõ nếu như các nhà phát triển đã làm điều này một cách chính xác và có tài liệu dẫn
chứng đầy đủ v. v… Nếu có nhiều đảm bảo thì gần như đồng nghĩa với chi phí sẽ phải tăng lên. Tất nhiên,
đảm bảo cao hơn cũng làm giảm mối đe doạ các chức năng được u cầu khơng hoạt động đúng hoặc có
chứa các lỗ hổng có thể khai thác.
Danh sách của mỗi EAL cùng với một mơ tả và một đặc tính đảm bảo mà EAL đó sẽ cung cấp có thể tìm
đọc trong TCVN 8709-3:2012, điều 8.
EALs là một cơ chế trải rộng, và phù hợp hơn cho việc đánh giá một số loại sản phẩm so với những cái
khác. EALs hiện là cách duy nhất được chấp nhận rộng rãi để cung cấp một đặc tính của bộ tiêu chuẩn
TCVN 8709:2011 đảm bảo rằng một người bình thường có thể hiểu được tương đối.
6.5.8 Tóm tắt
Tóm lại, phần này tập trung vào hai vấn đề, đó là:
a)

(rõ ràng) một ST có thể đã hiểu đúng từ việc đọc một số phần; mà cịn

b)

(chưa rõ ràng) những phần này có thể bao gồm những cảnh báo quan trọng và do đó rất cần để hiểu
những hạn chế của việc đánh giá.

Trước đây đã có trường hợp, người tiêu dùng nói rằng họ muốn có một EAL4 về tường lửa hoặc có thể
không phải tường lửa. Hy vọng rằng, phần này đã chuyển tải một EAL4 về tường lửa được chứng nhận
bởi bộ tiêu chuẩn TCVN 8709:2011. Qua đó có thể thấy những hạn chế mà sản phẩm hồn tồn khơng
thể sử dụng được, hoặc không cung cấp tất cả các vấn đề liên quan đến an tồn mà bạn cần.
Ví dụ, bạn cần định tuyến gói tin và các dịch vụ uỷ quyền HTTP/FTP từ tường lửa của bạn. Một thiết bị
định tuyến có thể bao gồm một kiểu TOE của tường lửa, và đã được đánh giá tại EAL4. Nhưng đối với
một thiết bị định tuyến, nó sẽ chỉ cung cấp gói điều khiển định tuyến. Tệ hơn nữa, nếu bạn tìm một tường
lửa đã được đánh giá mà nó cung cấp dịch vụ uỷ quyền, nhưng phạm vi logic được giới hạn định tuyến
gói tin, bạn phải đặt ra câu hỏi tại sao.

Thậm chí một tiêu chuẩn lớn như bộ tiêu chuẩn TCVN 8709:2011 không thay thế cho việc tư duy, và các
vấn đề phức tạp như an toàn Công nghệ thông tin không thể chỉ dùng một câu mơ tả. Khơng có gì khó
khăn khi bạn cố gắng.
6.5.9 Đọc thêm
Các phần của PP hoặc ST mô tả ở trên là những phần cơ bản nhất về PP và ST, đồng thời cũng hữu ích
nhất để một người bình thường đọc và hiểu được một cách tương đối. Nếu bạn muốn biết thêm về sản

23


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×