Tiêu chuẩn quốc gia TCVN 13468:2022 về Công nghệ thông tin (chưa rõ cơ quan ban hành và ngày ban hành cụ thể) đưa ra các quy định kỹ thuật và tiêu chuẩn đánh giá an toàn đối với các sản phẩm phần mềm, ứng dụng công nghệ thông tin hoạt động trên các nền tảng khác nhau, đóng vai trò là Đích đánh giá (TOE) trong môi trường thực thi.

Phạm vi và đối tượng áp dụng

Tiêu chuẩn này áp dụng đối với các tổ chức, cá nhân tham gia vào quá trình nghiên cứu, phát triển, đánh giá, kiểm thử và vận hành các phần mềm, ứng dụng chạy trên các nền tảng công nghệ thông tin, bao gồm cả các mã di động và hệ thống quản lý tài nguyên phần cứng.

Các khái niệm và thuật ngữ cốt lõi

• Đích đánh giá (TOE) và Ứng dụng: Được hiểu tương đương nhau trong tiêu chuẩn này, chỉ phần mềm và các tài liệu hỗ trợ chạy trên một nền tảng nhất định nhằm thực hiện nhiệm vụ của người sử dụng hoặc chủ sở hữu nền tảng đó.
• Mã di động (Mobile code): Là phần mềm được truyền từ một hệ thống từ xa để thực thi trong một môi trường hạn chế trên hệ thống cục bộ. Quá trình này thông thường không yêu cầu cài đặt và việc thực thi sẽ bắt đầu mà không cần sự đồng ý hoặc thông báo trước cho người dùng. Các ví dụ điển hình bao gồm JavaScript, Java applet, Adobe Flash, và Microsoft Silverlight.
• Hệ điều hành: Là phần mềm chịu trách nhiệm quản lý tài nguyên phần cứng và cung cấp các dịch vụ nền tảng cho các ứng dụng hoạt động (ví dụ như phần mềm ADB của Android chạy trên môi trường Windows).

Hệ thống mục tiêu an toàn đối với TOE

• Mục tiêu O.QUALITY: Đảm bảo việc sử dụng các cơ chế cung cấp khả năng bảo vệ tối ưu chống lại các cuộc tấn công dựa vào mạng; đồng thời chống lại việc sử dụng các cơ chế làm suy yếu TOE liên quan đến các cuộc tấn công từ các phần mềm khác.
• Mục tiêu O.PROTECTED_STORAGE: Hỗ trợ ngăn chặn và chống lại các nỗ lực truy cập trái phép vào phân vùng lưu trữ vật lý được sử dụng bởi TOE.

Mục tiêu đối với môi trường hoạt động

• Mục tiêu OE.PLATFORM: Được thiết lập và thực hiện thông qua các yêu cầu hoặc giả định thuộc nhóm A.PLATFORM.
• Mục tiêu OE.PROPER_USER: Được thiết lập và thực hiện thông qua các yêu cầu hoặc giả định thuộc nhóm A.PROPER_USER.
• Mục tiêu OE.PROPER_ADMIN: Được thiết lập và thực hiện thông qua các yêu cầu hoặc giả định thuộc nhóm A.PROPER_ADMIN.

Yêu cầu an toàn và quy trình đánh giá an toàn thông tin

Tiêu chuẩn mô tả chi tiết các yêu cầu an toàn mà TOE phải thực hiện, bao gồm các thành phần chức năng (SFR) được quy định tại Phần 2 và các thành phần đảm bảo (SAR) được quy định tại Phần 3 của Tiêu chuẩn chung (CC).

• Định vị mối đe dọa: Các mục tiêu an toàn đối với TOE quy định tại Điều 9 được thiết kế cụ thể để định vị và triệt tiêu các mối đe dọa đã được xác định tại Điều 7.1. Các yêu cầu chức năng an toàn (SFR) tại Điều 9.1 chính là sự thể hiện hình thức hóa của các mục tiêu an toàn này.
• Hồ sơ bảo vệ (PP): Xác định rõ ràng các yêu cầu đảm bảo an toàn (SAR) để người đánh giá có căn cứ áp dụng và thực hiện các hoạt động kiểm tra độc lập nhằm xác định mức độ an toàn của sản phẩm.
• Phân định hành động trong quy trình đánh giá: Tiêu chuẩn phân chia rõ ràng trách nhiệm thông qua các phần tử hành động của nhà phát triển (nhằm cung cấp hồ sơ, bằng chứng và thiết kế an toàn) và các phần tử hành động của người đánh giá (nhằm thực hiện kiểm tra, đối chiếu và đưa ra kết luận độc lập).

Hiệu lực thi hành

Thông tin về ngày áp dụng, văn bản thay thế hoặc tình trạng hiệu lực cụ thể của Tiêu chuẩn quốc gia TCVN 13468:2022 hiện chưa được cập nhật chi tiết trong tài liệu trích xuất.