TIÊU CHUẨN QUỐC GIA

TCVN 8709-1 : 2011

ISO/IEC 15408-1:2009

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN CÁC TIÊU CHÍ ĐÁNH GIÁ AN TOÀN CNTT - PHẦN 1: GIỚI THIỆU VÀ MÔ HÌNH TỔNG QUÁT

lnformation Technology - Security Techniques - Evaluation Criteria for IT Security -Part 1: Introduction and General Model

Lời nói đầu

TCVN 8709-1:2011 hoàn toàn tương đương ISO/IEC 15408-1:2008

TCVN 8709-1:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. .

Lời giới thiệu

Tiêu chuẩn này cho phép thực hiện so sánh các kết quả đánh giá an toàn độc lập. Tiêu chuẩn cung cấp một tập các yêu cầu chung về chức năng an toàn cho các sản phẩm công nghệ thông tin (CNTT), và về các biện pháp đảm bảo áp dụng cho các sản phẩm này trong quá trình đánh giá an toàn. Các sản phẩm CNTT này có thể dưới dạng phần cứng, phần sụn hay phần mềm.

Quy trình đánh giá thiết lập một mức tin cậy về việc các chức năng an toàn cho các sản phẩm CNTT và các biện pháp đảm bảo áp dụng cho chúng thỏa mãn các yêu cầu nêu trên. Các kết quả đánh giá có thể giúp người dùng xác định xem sản phẩm hoặc hệ thống CNTT có thỏa mãn yêu cầu đảm bảo an toàn của chúng hay không.

TCVN 8709 là một chỉ dẫn bổ ích cho phát triển, đánh giá và/hoặc đầu tư các sản phẩm CNTT với chức năng an toàn.

TCVN 8709 có tính mềm dẻo, cho phép áp dụng nhiều phương pháp đánh giá cho nhiều đặc tính an toàn của đa dạng sản phẩm CNTT. Chính vì vậy, người dùng tiêu chuẩn này cần thận trọng khi áp dụng để tránh lạm dụng nó. Ví dụ, nếu sử dụng TCVN 8709 kết hợp với các phương pháp đánh giá không phù hợp, các đặc tính an toàn không thích hợp, hoặc các sản phẩm CNTT không phù hợp sẽ dẫn đến các kết quả đánh giá vô nghĩa.

Do vậy, thực tế là một sản phẩm CNTT đã được đánh giá chỉ có ý nghĩa trong phạm vi ngữ cảnh các đặc tính an toàn được đánh giá với các phương pháp đánh giá cụ thể đã sử dụng. Các cơ quan đánh giá cần kiểm tra thận trọng các sản phẩm, đặc tính và các phương pháp để xác định rõ việc đánh giá đem lại kết quả có nghĩa. Ngoài ra, người mua các sản phẩm đã được đánh giá cũng cần xem xét kỹ lưỡng ngữ cảnh này để xác định xem sản phẩm đã đánh giá có hữu ích và áp dụng được cho trường hợp cụ thể của mình và đáp ứng yêu cầu hay không.

TCVN 8709 đề cập đến việc bảo vệ tài sản thông tin chống các truy nhập trái phép, các sửa đổi hoặc mất mát trong sử dụng. Phân loại bảo vệ liên quan đến ba kiểu lỗi an toàn kể trên tương ứng với tính bí mật, tính toàn vẹn và tính sẵn sàng. TCVN 8709 cũng có thể áp dụng cho các đánh giá ngoài ba nhóm trên. TCVN 8709 áp dụng cho các rủi ro phát sinh từ các hành vi của con người (ác ý hoặc lý do khác), và cho các rủi ro không do con người tạo ra. Ngoài an toàn CNTT, TCVN 8709 có thể áp dụng cho các lĩnh vực CNTT khác, song không có ràng buộc nào khi áp dụng cho các lĩnh vực đó.

Một số chủ đề do liên quan đến các kỹ thuật đặc biệt hoặc do chúng nằm ngoài lĩnh vực an toàn CNTT sẽ được coi là nằm ngoài phạm vi TCVN 8709. Một số chủ đề trong số đó như sau:

a) TCVN 8709 không gồm các tiêu chí đánh giá an toàn gắn liền với các biện pháp an toàn quản lý không liên quan trực tiếp tới chức năng an toàn CNTT. Tuy vậy, cũng phải thừa nhận rằng an toàn cơ bản thường đạt được thông qua hoặc được hỗ trợ bởi các biện pháp quản lý ví dụ về mặt tổ chức, nhân sự, vật lý và các thủ tục kiểm soát.

b) Đánh giá các khía cạnh vật lý kỹ thuật của an toàn CNTT ví dụ như kiểm soát dò rỉ thông tin qua điện từ trường không được đề cập riêng biệt, mặc dù nhiều khái niệm đã đề cập có thể áp dụng cho lĩnh vực này.

c) TCVN 8709 không đề cập đến hệ phương pháp đánh giá mà các tiêu chí này sẽ được áp dụng. Hệ phương pháp này được nêu trong ISO/IEC 18045.

d) TCVN 8709 không đề cập đến bộ khung pháp lý và quản lý mà các tiêu chí này sẽ được áp dụng bởi các cơ quan đánh giá. Tuy nhiên, có thể coi là TCVN 8709 sẽ được sử dụng cho các mục đích đánh giá trong ngữ cảnh các bộ khung đó.