TIÊU CHUẨN QUỐC GIA

TCVN 12822:2020

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO HỆ QUẢN TRỊ CƠ SỞ DỮ LIỆU

Information technology - Security techniques - Protection profile for database management systems

Lời nói đầu

TCVN 12822:2020 được xây dựng dựa trên cơ sở tham khảo “Protection Profile for Database Management Systems (DBMS PP) Base Package” của Hiệp hội đảm bảo thông tin quốc gia Mỹ (NIAP), phiên bản 2.12, ngày 23/3/2017.

TCVN 12822:2020 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO HỆ QUẢN TRỊ CƠ SỞ DỮ LIỆU

Information technology - Security techniques - Protection profile for database management systems

1  Phạm vi áp dụng

Tiêu chuẩn này quy định hồ sơ bảo vệ cho các hệ quản trị cơ sở dữ liệu (gói cơ sở), thể hiện các yêu cầu chức năng an toàn (SFR) và các yêu cầu đảm bảo an toàn (SAR) đối với các hệ quản trị cơ sở dữ liệu (DBMS), phù hợp với bộ tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).

Các hệ quản trị cơ sở dữ liệu thuộc phạm vi áp dụng của tiêu chuẩn này là hệ quản trị cơ sở dữ liệu thương mại (COTS), được gọi chung là Đích đánh giá (TOE) và được quy định cụ thể tại điều 5.1.

Đích đánh giá (TOE) cung cấp kiểm soát truy cập phù hợp dựa trên định danh người dùng và nhóm thành viên (không bắt buộc), ví dụ: kiểm soát truy cập tùy quyền (DAC), và tạo bản ghi các sự kiện liên quan đến an toàn thông tin. Các quản trị viên có thẩm quyền của TOE được tin tưởng để không lạm dụng các đặc quyền được gán cho họ.

Đích an toàn (ST) phù hợp với tiêu chuẩn này phải đáp ứng tối thiểu tiêu chuẩn này theo hình thức tuân thủ có thể diễn giải như định nghĩa trong điều D.3 của tiêu chuẩn TCVN 8709-1:2011.

Hồ sơ bảo vệ này trong mục “mô tả vấn đề an toàn” (SPD) không bao gồm mục tiêu an toàn liên quan đến lịch sử truy cập.

Mặc dù nhiều tổ chức không chỉ định mục tiêu này là một phần của định nghĩa vấn đề an toàn của họ, mục tiêu an toàn bổ sung này có thể cần được đưa vào định nghĩa vấn đề an toàn của một số tổ chức để hỗ trợ giảm thiểu các mối đe dọa của T.ACCESS_TSFDATA và T.TSF_COMPROMISE. Điều này đạt được bằng cách cho phép người dùng được đào tạo xem lại lịch sử truy cập của họ để giúp xác định các nỗ lực truy cập trái phép.

Mục tiêu an toàn này có thể được tùy chọn đưa vào trong SPD bằng cách chỉ định cấu hình PP: Hồ sơ bảo vệ cho hệ thống quản lý cơ sở dữ liệu (Gói cơ sở) với Gói mở rộng DBMS PP- Lịch sử truy cập (DBMSPP-AH).

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).

TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát".

TCVN 8709-2:2011 (ISO/IEC 15408-2:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn”.

TCVN 8709-3:2011 (ISO/IEC 15408-3:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn”.

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa sau:

3.1

Truy cập (access)

Khả năng truy cập và sử dụng dữ liệu có trong hệ quản trị cơ sở dữ