Tiêu chuẩn quốc gia TCVN 13723-2:2023 (hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 19896-2:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 2: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với kiểm thử viên theo TCVN 11295 (ISO/IEC 19790) quy định các chuẩn mực năng lực cốt lõi dành cho nhân sự thực hiện nhiệm vụ kiểm thử bảo mật thông tin.

Phạm vi và đối tượng áp dụng

Tiêu chuẩn này áp dụng đối với các kiểm thử viên an toàn thông tin, các tổ chức đánh giá và kiểm thử độc lập, các cơ quan quản lý chương trình xác nhận năng lực, cũng như các đơn vị phát triển và vận hành các mô-đun mật mã theo tiêu chuẩn TCVN 11295 (ISO/IEC 19790). Văn bản tập trung thiết lập khung năng lực chuẩn hóa về kiến thức chuyên môn, kỹ năng thực hành và mức độ hiệu quả trong công việc của kiểm thử viên.

Nội dung cốt lõi của tiêu chuẩn

1. Chương trình xác nhận và công cụ hỗ trợ kiểm thử

• Chương trình xác nhận đóng vai trò định hướng và cung cấp các công cụ chuyên biệt phục vụ cho quá trình kiểm thử bảo mật.
• Các công cụ này bao gồm công cụ hỗ trợ kiểm thử tự động hoặc bán tự động, công cụ tạo báo cáo đánh giá chi tiết và các giải pháp cung cấp cơ chế bảo vệ an toàn thông tin (như các công cụ mã hóa dữ liệu).
• Chương trình xác nhận cũng thiết lập các quy trình chuẩn hóa nhằm đảm bảo tính khách quan, chính xác và nhất quán trong kết quả đánh giá của kiểm thử viên.

2. Yêu cầu năng lực đối với các mô-đun mật mã và công nghệ liên quan

• Kiểm thử viên phải có kiến thức nền tảng vững chắc và kỹ năng thực hành đối với các mô-đun mật mã đại diện cho nhiều loại hình công nghệ khác nhau đang được xem xét để kiểm thử.
• Yêu cầu nắm vững các nguyên lý mật mã học cơ bản và nâng cao, các thuật toán mã hóa, giải mã, chữ ký số, và các giao thức thiết lập khóa an toàn.
• Khả năng nhận diện, phân tích và đánh giá các điểm yếu bảo mật tiềm ẩn trong cấu trúc của các mô-đun mật mã hiện đại.

3. Yêu cầu năng lực về Phần mềm và Phần sụn (Firmware)

• Ngôn ngữ lập trình và biên dịch: Kiểm thử viên cần có khả năng đọc hiểu và phân tích mã nguồn được viết bằng nhiều ngôn ngữ lập trình khác nhau (như C, C++, Java, Assembly, v.v.). Đồng thời, phải hiểu rõ quá trình biên dịch mã nguồn thành các dạng tệp thực thi đại diện cho phần mềm mật mã hoặc mô-đun phần sụn.
• Sử dụng trình gỡ lỗi (Debugger): Yêu cầu thành thạo việc sử dụng các trình gỡ lỗi chuyên dụng để theo dõi luồng thực thi của chương trình, phát hiện các lỗi logic, lỗi tràn bộ đệm, hoặc các lỗ hổng bảo mật phát sinh trong quá trình vận hành thực tế của phần mềm/phần sụn.

4. Yêu cầu năng lực về Phần cứng mật mã

• Phương án triển khai phần cứng: Kiểm thử viên phải am hiểu các phương án thiết kế và triển khai phần cứng mật mã khác nhau (ví dụ: ASIC, FPGA, Smartcard, HSM - Hardware Security Module).
• Đánh giá công nghệ phần cứng: Khả năng phân tích các loại công nghệ phần cứng cụ thể, nhận diện các rủi ro vật lý như tấn công kênh kề (Side-channel attacks), tấn công tiêm lỗi (Fault injection), và các biện pháp chống can thiệp vật lý (Tamper resistance/evidence) được tích hợp trên thiết bị.

Hiệu lực thi hành

Tiêu chuẩn quốc gia TCVN 13723-2:2023 có hiệu lực kể từ ngày ban hành theo quyết định của cơ quan nhà nước có thẩm quyền. Các tổ chức chứng nhận và phòng thử nghiệm an toàn thông tin tại Việt Nam có trách nhiệm cập nhật và áp dụng các yêu cầu năng lực này vào quy trình đào tạo, đánh giá và tuyển dụng kiểm thử viên nhằm đảm bảo tính tương thích với các tiêu chuẩn quốc tế.