TIÊU CHUẨN QUỐC GIA

TCVN 12821:2020

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG

Information technology - Security techniques - Protection profile for portable storage media

Lời nói đầu

TCVN 12821:2020 được xây dựng dựa trên cơ sở tham khảo “Protection Profile for Portable Storage Media (PSMPP)" được phê chuẩn bởi Tổ chức thừa nhận lẫn nhau về tiêu chí chung CCRA, phiên bản 1.0, ngày 11/9/2012.

TCVN 12821:2020 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG

Information Technology - Security techniques - Protection profile for Portable Storage Media

1  Phạm vi áp dụng

Tiêu chuẩn này quy định hồ sơ bảo vệ cho thiết bị lưu trữ di động, thể hiện các yêu cầu chức năng an toàn (SFR) và các yêu cầu đảm bảo an toàn (SAR) đối với thiết bị lưu trữ di động, phù hợp với bộ tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).

Các loại thiết bị lưu trữ di động thuộc phạm vi áp dụng của tiêu chuẩn này được gọi chung là Đích đánh giá (TOE) và được quy định cụ thể tại điều 4.1.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).

TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát”.

TCVN 8709-2:2011 (ISO/IEC 15408-2:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn”.

TCVN 8709-3:2011 (ISO/IEC 15408-3:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn”.

3  Thuật ngữ, định nghĩa, ký hiệu và chữ viết tắt

Tiêu chuẩn này sử dụng các thuật ngữ, định nghĩa, ký hiệu và chữ viết tắt quy định tại TCVN 8709-1:2011.

4  Giới thiệu Hồ sơ bảo vệ

4.1  Tổng quan TOE

4.1.1  Kiểu TOE

Đích đánh giá (TOE) là thiết bị lưu trữ di động có kết nối vật lý với máy chủ, dùng để lưu trữ dữ liệu và mã hóa kèm cơ chế xác thực quyền truy cập chặt chẽ.

4.1.2  Phạm vi TOE

Mục tiêu của tiêu chuẩn này là đưa ra các yêu cầu an toàn đối với thiết bị lưu trữ di động để đảm bảo rằng khi mất hoặc bị đánh cắp thì dữ liệu lưu trữ trong đó được an toàn.

Tiêu chuẩn này không đưa ra các yêu cầu kiểm soát truy cập đối với thiết bị lưu trữ, do đó việc sử dụng thiết bị lưu trữ trong các hệ thống cụ thể và việc kiểm soát truy cập không thuộc phạm vi của tiêu chuẩn này.

Chức năng chống ghi đè tuy không nằm trong yêu cầu của Hồ sơ bảo vệ, nhưng nó được xem như chức năng an toàn bổ sung cho thiết bị lưu trữ. Ví dụ: Chức năng chống ghi đè sẽ bảo đảm an toàn cho dữ liệu, tránh bị sửa, xóa khi kết nối vào môi trường tiềm ẩn các rủi ro an toàn thông tin hoặc có các phần mềm độc hại.

Chức năng bảo vệ ghi không nằm trong yêu cầu của Hồ sơ bảo vệ, nhưng tương tự như chức năng chống ghi đè, nó cũng được xem như chức năng an toàn bổ sung cho thiết bị lưu trữ. Ví dụ: chương trình nhập mật khẩu để cho phép được thay đổi dữ liệu hay không.

4.1.3  Cách sử dụng và đặc điểm an toàn chính của TOE