TIÊU CHUẨN QUỐC GIA

TCVN 11295:2016

ISO/IEC 19790:2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU AN TOÀN CHO MÔ-ĐUN MẬT MÃ

Information technology - Security techniques - Security requirements for cryptographic modules

Lời nói đầu

TCVN 11295:2016 hoàn toàn tương đương với ISO/IEC 19790:2012.

TCVN 11295:2016 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Trong lĩnh vực công nghệ thông tin, nhu cầu sử dụng các cơ chế mật mã như bảo vệ dữ liệu chống lại sự tiết lộ hoặc thao tác trái phép, đối với xác thực thực thể và chống chối bỏ liên tục gia tăng. Tính an toàn và tin cậy của các cơ chế như vậy phụ thuộc trực tiếp vào các mô-đun mật mã trong đó chúng được thực thi.

Tiêu chuẩn này cung cấp bốn mức định tính tăng dần của các yêu cầu an toàn nhằm bao quát một giải rộng các ứng dụng và các môi trường tiềm năng. Các kỹ thuật mật mã là như nhau cho cả bốn mức an toàn này. Các yêu cầu an toàn còn bao quát cả những lĩnh vực liên quan tới thiết kế và thực thi của mô-đun mật mã. Các lĩnh vực này bao gồm: đặc tả mô-đun mật mã; các giao diện của mô-đun mật mã; các vai trò, các dịch vụ và xác thực; an toàn phần mềm/phần sụn; môi trường hoạt động; an toàn vật lý; an toàn không xâm lấn; quản lý tham số an toàn nhạy cảm; các tự kiểm tra; đảm bảo vòng đời và giảm thiểu các tấn công khác.

Cần phân mức tổng thể an toàn của mô-đun mật mã để lựa chọn mức an toàn phù hợp cho các yêu cầu an toàn của ứng dụng và môi trường trong đó mô-đun sẽ được ứng dụng và cho những dịch vụ an toàn mà mô-đun sẽ cung cấp. Thẩm quyền chịu trách nhiệm trong mỗi tổ chức cần đảm bảo rằng các hệ thống viễn thông và máy tính của họ khi sử dụng các mô-đun mật mã phải cung cấp một mức an toàn chấp nhận được đối với môi trường và ứng dụng đã cho. Vì mỗi thẩm quyền chịu trách nhiệm cho việc lựa chọn các chức năng an toàn đã được phê duyệt nào là phù hợp với một ứng dụng đã cho, nên việc tuân thủ theo tiêu chuẩn này không hàm ý liên tác đầy đủ hoặc chấp nhận lẫn nhau của các sản phẩm tuân thủ theo tiêu chuẩn. Tầm quan trọng của nhận thức và của việc tạo ra một ưu tiên quản lý cho an toàn thông tin cần được truyền đạt cho tất cả những đối tượng quan tâm.

Các yêu cầu an toàn thông tin biến đổi đối với các ứng dụng khác nhau; các tổ chức cần phải nhận biết các tài nguyên thông tin của họ và xác định mức độ nhạy cảm và ảnh hưởng tiềm năng của việc thất thoát thông tin bằng cách thực thi các kiểm soát phù hợp. Các kiểm soát bao gồm nhưng không chỉ giới hạn ở các nội dung sau:

• Các kiểm soát vật lý và môi trường;

• Các kiểm soát truy cập;

• Phát triển phần mềm;

• Các kế hoạch dự phòng sao lưu và dự phòng bất trắc; và

• Các kiểm soát dữ liệu và thông tin.

Các kiểm soát này chỉ có hiệu quả nếu như có sự thi hành các chính sách an toàn và các thủ tục phù hợp bên trong môi trường hoạt động.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU AN TOÀN CHO CÁC MÔ-ĐUN MẬT MÃ

Information technology - Security techniques - Security Requirements For Cryptographic Modules

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu an toàn cho mô-đun mật mã được sử dụng bên trong một hệ thống an toàn bảo vệ thông tin nhạy cảm trong các hệ thống viễn thông và máy tính. Tiêu chuẩn này xác định bốn mức an toàn cho các mô-đun mật mã để cung cấp một phổ rộng của độ nhạy cảm dữ liệu (ví dụ: Dữ liệu quản lý có giá trị thấp, những sự chuyển vốn hàng triệu đô la, dữ liệu bảo vệ cuộc sống, thông tin định danh cá nhân, và thông tin nhạy cảm được sử dụng bởi chính phủ) và sự đa dạng của các môi trường ứng dụng (ví dụ: một phương tiện được bảo vệ, một văn