TIÊU CHUẨN QUỐC GIA

TCVN 11778-2:2017

ISO/IEC TR 15443-2:2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - KHUNG CHO ĐẢM BẢO AN TOÀN CÔNG NGHỆ THÔNG TIN - PHẦN 2: PHÂN TÍCH

Information technology - Security techniques - Security assurance framework - Part 2: Analysis

Lời nói đầu

TCVN 11778-2:2017 hoàn toàn tương đương với Tiêu chuẩn ISO/IEC 15443-2:2012 Information technology - Security techniques - Security assurance framework Part 2: Analysis.

TCVN 11778-2:2017 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn TCVN 11778-2:2017 sẽ được sử dụng cùng với tiêu chuẩn TCVN 11778-1:2017.

TCVN 11778-1:2017 giới thiệu và thảo luận các khái niệm đảm bảo, mô tả mô hình đáp ứng các yêu cầu đảm bảo an toàn cho giao phẩm thông qua các bằng chứng an toàn được thu thập qua các luận cứ đảm bảo an toàn trong tuyên bố đảm bảo an toàn, các luận cứ đảm bảo an toàn CNTT được xác nhận bởi việc áp dụng các phương pháp đánh giá sự phù hợp đảm bảo an toàn, nhãn hiệu hay biểu tượng được gán phù hợp.

TCVN 11778-1:2017 giới thiệu khái niệm về các phương pháp thu nhận tính bí mật trong các tuyên bố đảm bảo an toàn thực hiện cho giao phẩm. Điều này bao gồm các phương pháp dựa trên các phương pháp, đặc tả và tiêu chuẩn phù hợp với quốc gia hoặc quốc tế cũng như các phương pháp, đặc tả và tiêu chuẩn tồn tại trên thực tiễn nhưng chưa được công nhận mà có một đặc tính, một phương pháp được xác định và lặp lại có hệ thống để thu nhận đảm bảo an toàn. Điều này có thể được bổ sung bởi lưu đồ đánh giá sự phù hợp quản trị có trách nhiệm giám sát tuân thủ việc áp dụng tiêu chuẩn hoặc đặc tả, phương pháp kiểm thử và thường xuyên đảm nhận nhiệm vụ khác chẳng hạn như việc cấp các nhãn hiệu đảm bảo an toàn.

Tiêu chuẩn TCVN 11778-2:2017 được định nghĩa như là một khung hướng dẫn chuyên gia công nghệ thông tin trong việc lựa chọn và kết hợp các phương pháp đảm bảo thích hợp cho sản phẩm, hệ thống hay dịch vụ an toàn CNTT và môi trường hoạt động của chúng.

Người sử dụng tiêu chuẩn này bao gồm các trường hợp cụ thể sau đây:

Bên thu mua (một cá nhân hoặc tổ chức thu mua một hệ thống, sản phẩm phần mềm hoặc dịch vụ phần mềm từ một bên cung cấp);

Bên phát triển (một cá nhân hoặc tổ chức thực hiện các hoạt động phát triển bao gồm phân tích các yêu cầu, thiết kế, kiểm thử và có thể tích hợp trong tiến trình vòng đời phần mềm)

Bên bảo trì (một cá nhân hoặc tổ chức thực hiện các hoạt động bảo trì);

Bên cung cấp (một cá nhân hoặc tổ chức ký hợp đồng với nhà thu mua để cung cấp một hệ thống, sản phẩm phần mềm hoặc dịch vụ phần mềm tuân theo các điều khoản trong hợp đồng);

Người dùng (một cá nhân hoặc tổ chức sử dụng sản phẩm để thực hiện một chức năng riêng biệt);

Bên đánh giá, kiểm thử/ đánh giá (một cá nhân hoặc tổ chức thực hiện một đánh giá; ví dụ bên đánh giá có thể là phòng kiểm thử, phòng chất lượng của một tổ chức phát triển phần mềm, tổ chức quản trị hoặc một người dùng);

Mục tiêu của tiêu chuẩn này là mô tả tiêu chí được sử dụng trong phân tích để thu nhận tính bí mật trong một số mô hình đánh giá sự phù hợp đảm bảo an toàn CNTT (SACA), và liên quan đến tiêu chí đã được mô tả với mô hình đảm bảo an toàn trong phần 1. Trọng tâm ở đây là xác định tiêu chí, thường là chất lượng và có thể là định lượng, được sử dụng để thu nhận tính bí mật có trong các bản tuyên bố, các kết quả và nhãn hiệu đã thu được từ mô hình SACA liên quan.

Tiêu chuẩn này cung cấp khung cần thiết nhằm đặc tả tiêu chí được sử dụng để đánh giá chất lượng của mô hình đối tượng. Nhiều tiêu chí đưa ra trong khung này dựa trên phân tích chủ quan, với các yếu tố đánh giá dựa vào cá nhân, tổ chức và tiêu chuẩn quốc gia, nền văn hóa và tín ngưỡng của những nơi đó.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - KHUNG CHO ĐẢM BẢO AN TOÀN C