Tiêu chuẩn ISO/IEC 19896-3:2018: Kỹ thuật bảo mật công nghệ thông tin
Bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) cho phép so sánh giữa các kết quả của các đánh giá an toàn độc lập, cung cấp một tập hợp các yêu cầu chung cho chức năng an toàn của các sản phẩm công nghệ thông tin (CNTT) và các biện pháp đảm bảo được áp dụng cho các sản phẩm CNTT trong quá trình đánh giá an toàn.
Bộ tiêu chuẩn TCVN 8709:2011(ISO/IEC 15408) được áp dụng trong nhiều chương trình chứng nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển và TCVN 11386:2016 (ISO/IEC 18045:2018) được sử dụng làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.
Tiêu chuẩn TCVN ISO/IEC 17025:2017 đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn ISO/IEC 17025:2017, 5.2.1 có quy định rằng “Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở giáo dục, đào tạo, kinh nghiệm hoặc chứng minh kỹ năng phù hợp”.
Tiêu chuẩn ISO/IEC 19896-3:2018 thiết lập ranh giới cho năng lực tối thiểu của các chuyên gia đánh giá TCVN 8709:2011 (ISO/IEC 15408) với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá TCVN 8709:2011(ISO/IEC 15408) liên quan đến các cơ quan và chương trình đánh giá sản phẩm CNTT. Tiêu chuẩn này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá sản phẩm an toàn CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018). TCVN 8709-1:2011 (ISO/IEC 15408-1) mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau như kiến thức, kỹ năng, kinh nghiệm, giáo dục và hiệu quả.
ISO/IEC 19896-3:2018 bao gồm các kiến thức và kỹ năng đặc biệt trong các lĩnh vực sau đây:
Lĩnh vực | Kiến thức | Kỹ năng |
An toàn thông tin | Các nguyên tắc an toàn thông tin, các thuộc tính an toàn thông tin, các mối đe dọa và lỗ hổng an toàn thông tin. | Hiểu các yêu cầu về an toàn thông tin, hiểu bối cảnh. |
Đánh giá an toàn thông tin | Kiến thức về TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016(ISO/IEC 18045:2018), hệ thống quản lý phòng thử nghiệm. | Kỹ năng đánh giá cơ bản, kỹ năng đánh giá điểm trung tâm, kỹ năng cần có khi đánh giá các lớp đảm bảo an toàn cụ thể, các kỹ năng cần có khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể. |
Kiến trúc hệ thống thông tin | Công nghệ đang được đánh giá. | Hiểu sự tương tác của các thành phần an toàn và thông tin. |
Thử nghiệm an toàn thông tin | Kỹ thuật kiểm tra an toàn thông tin, công cụ kiểm tra an toàn thông tin, vòng đời phát triển sản phẩm, loại kiểm tra. | Tạo và quản lý kế hoạch kiểm tra an toàn thông tin, kiểm tra thiết kế an toàn thông tin, chuẩn bị và tiến hành kiểm tra an toàn thông tin. |
Đối tượng của ISO/IEC 19896-3:2018 này bao gồm các cơ quan công nhận và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình đánh giá, các phòng thử nghiệm, người đánh giá và các tổ chức cung cấp chứng chỉ nghề nghiệp.
Nội dung chính của Tiêu chuẩn ISO/IEC 19896-3:2018
Nội dung tiêu chuẩn ISO/IEC 19896-3:2018 bao gồm 8 điều, và 2 phụ lục. Cụ thể:
Điều 1: Phạm vi
Tài liệu này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm CNTT phù hợp với TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).
Điều 2: Tài liệu tham khảo
Nội dung một phần hoặc toàn bộ của các tài liệu tham khảo dưới đây tạo nên yêu cầu của tài liệu này. Đối với tài liệu tham khảo ghi thời gian, duy nhất bản trích dẫn được áp dụng. Đối với các tài liệu tham khảo không ghi thời gian, thì phiên bản mới nhất của tài liệu được áp dụng (bao gồm mọi sửa đổi).
TCVN XXXXX-1:2022 (ISO/IEC 19896-1), Kỹ thuật an toàn CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá an toàn về CNTT.
TCVN 11386:2016 (ISO/IEC 18045:2018), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp luận để đánh giá an toàn CNTT TCVN ISO/IEC 17025:2017, Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.
Điều 3: Thuật ngữ và định nghĩa
Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong TCVN XXXXX: 2022 (ISO/IEC 19896-1), TCVN 8709-1:2011 (ISO/IEC 15408-1), TCVN ISO/IEC 17025:2017, TCVN 11386:2016 (ISO/IEC 18045:2018) và những điều sau đây được áp dụng.
ISO và IEC duy trì cơ sở dữ liệu thuật ngữ để sử dụng trong chuẩn hóa tại các địa chỉ sau:
- Nền tảng ISO Online: có sẵn tại https://www.iso.org/obp.
- IEC Electropedia: có sẵn tại http://www.electropedia.org.
Tổ chức thực hiện các chính sách và bộ quy tắc do cơ quan đánh giá thiết lập, xác định môi trường đánh giá, bao gồm các tiêu chí và phương pháp luận cần thiết để tiến hành đánh giá an toàn CNTT. Phương pháp dựa trên kinh nghiệm và sự hiểu biết của một người nhất định.
Điều 4: Kiến thức
Quy định những gì một người đánh giá phải biết và có thể mô tả. Các khoản từ 4.2 đến 4.8 đề cập đến kiến thức cần thiết để đánh giá theo TCVN 8709:2011(ISO/IEC 15408) (tất cả các phần) và TCVN 11386:2016 (ISO/IEC 18045:2018).
- Hiểu biết về cơ quan đánh giá: Tất cả các đánh giá viên phải có kiến thức về các yêu cầu của cơ quan đánh giá hoặc cơ quan đánh giá có thể áp dụng cho các chương trình đánh giá mà họ được ủy quyền làm việc.
- Kiến thức về quy trình đánh giá.
- Kiến thức về phòng thử nghiệm và hệ thống quản lý của phòng thử nghiệm.
- Kiến thức về an toàn thông tin.
- Kiến thức về công nghệ được đánh giá
- Kiến thức cần thiết cho các lớp đảm bảo cụ thể
- Kiến thức cần thiết khi đánh giá các yêu cầu chức năng an toàn cụ thể
- Kiến thức cần thiết khi đánh giá các công nghệ cụ thể
Điều 5: Kỹ năng
Quy định bao gồm:
- Kỹ năng đánh giá cơ bản
- Các kỹ năng đánh giá cốt lõi được đưa ra trong TCVN 8709-3: 2011(ISO/IEC 15408-3). và TCVN 11386:2016 (ISO/IEC 18045:2018)
- Các kỹ năng cần thiết khi đánh giá các lớp đảm bảo an toàn cụ thể
- Các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể
Điều 6: Kinh nghiệm
Kinh nghiệm cốt lõi về các kỹ năng đánh giá được quy định trong Điều 5, có được trong lần đánh giá đầu tiên và tiếp theo do người đánh giá thực hiện. Với tư cách là một học viên, những kinh nghiệm đó cần đạt được dưới sự giám sát hoặc cố vấn của một người đánh giá có năng lực khác.
Điều 7: Đào tạo
Tất cả người đánh giá phải có trình độ đào tạo, chẳng hạn như bằng Cao đẳng, Cử nhân hoặc bằng cao hơn, có liên quan đến các yêu cầu được đề cập trong TCVN 8709:2011(ISO/IEC 15408) và các yêu cầu về phương pháp đánh giá trong TCVN 11386:2016 (ISO/IEC 18045:2018).
Điều 8: Hiệu quả
Bao gồm: Hiệu quả chung, hiệu quả của việc đánh giá, các trách nhiệm của chương trình đánh giá đối với tính hiệu quả của người đánh giá, hiệu quả trong việc thực hiện các đánh giá kịp thời, hiệu quả trong việc thực hiện các đánh giá chính xác, tính hiệu quả trong báo cáo kết quả.
Kết luận
Bài viết đã giới thiệu tổng quan về tiêu chuẩn ISO/IEC 19896-3:2018, hiện tại Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đang tiến hành biên soạn TCVN theo ISO/IEC 19896-3:2018. Để biết thêm chi tiết về các yêu cầu của đánh giá viên, độc giả tham khảo thêm ISO/IEC 19896-3:2018, hoặc phiên bản TCVN 13723-3 đã được công bố.
TS. Hồ Văn Hương, Cục trưởng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã