TIÊU CHUẨN QUỐC GIA

TCVN 14107:2024

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB

Information technology - Security techniques - Protection profile for Web Application Firewall

Lời nói đầu

TCVN 14107:2024 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB

Information Technology - Security techniques - Protection profile for Web Application Firewall

1  Phạm vi áp dụng

Tiêu chuẩn này quy định hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web, thể hiện các yêu cầu chức năng an toàn (SFR) và yêu cầu đảm bảo an toàn (SAR) đối với sản phẩm tường lửa ứng dụng web.

Tiêu chuẩn này áp dụng vào quá trình đánh giá an toàn thông tin đối với sản phẩm tường lửa ứng dụng web theo các tiêu chí đánh giá được quy định trong TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng đối với tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).

TCVN 8709:2011 (ISO/IEC 15408:2009) toàn phần, “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT” [CC].

TCVN 11386:2016 (ISO/IEC 18045:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin” [CEM].

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong TCVN 8709-1:2011 và các thuật ngữ sau:

3.1

Tài sản (assets)

Các thực thể mà chủ sở hữu Đích đánh giá (TOE) đặt giá trị vào đó.

3.2

Chỉ định (assignment)

Định rõ một tham số định danh trong một thành phần (của TCVN 8709) hoặc một yêu cầu.

3.3

Khả năng tấn công (attack potential)

Ước lượng về khả năng tấn công vào TOE biểu thị qua kinh nghiệm, tài nguyên và động cơ của kẻ tấn công.

3.4

Gia tăng (augmentation)

Việc thêm một hoặc nhiều yêu cầu vào một gói.

3.5

Dữ liệu xác thực (authentication data)

Thông tin được dùng để xác minh định danh đã tuyên bố của một người dùng.

3.6

Phục hồi tự động (automated recovery)

Phục hồi mà không cần sự can thiệp của người dùng.

3.7

Quản trị viên được ủy quyền (authorized administrator)

Người dùng được ủy quyền để vận hành và quản lý TOE một cách an toàn

3.8

Có thể (can/could)

Có thể được trình bày trong CHÚ THÍCH biểu thị các yêu cầu tùy chọn được áp dụng cho TOE theo lựa chọn của Tác giả ST.

3.9

Lớp (class)

Tập các họ TCVN 8709 cùng chia sẻ một mục tiêu chung.