intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Luận văn: Đánh giá An Toàn CNTT

Chia sẻ: Ziwan Ziwan | Ngày: | Loại File: PDF | Số trang:55

434
lượt xem
130
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Ngày nay Công nghe thông tin dã chiêm v trí không the thay thê dc trong cuoc sông c a chúng ta. Công nghe thông tin dc ng d ng trong tât c các linh vc nh: Qun lý hành chính, Tài chính ngân hàng, Truyên thông, Xây dng, Diêu khien t dong, Nghiên c u khoa hc… Diêu gì se xay ra khi d lieu c a mot he thông ngân hàng b xâm nhap trái phép thành công? Hay nhng thông tin nhy cm vê chính tr b bi lo? Hay kê hoch làm an c a công ty bn b dôi th cnh tranh nam dc? Trang Wed......

Chủ đề:
Lưu

Nội dung Text: Luận văn: Đánh giá An Toàn CNTT

  1. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin H C VI N K THU T M T MÃ KHOA AN TOÀN THÔNG TIN TÀI NGHIÊN C U KHOA H C ÁNH GIÁ AN TOÀN CÔNG NGH THÔNG TIN H SƠ B O V (Protection profiles) GV hư ng d n: Th.s Tr n Quang Kỳ SV Th c hi n : Nguy n Xuân Phương Hà N i 4/2007 0
  2. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin L IM U Ngày nay Công ngh thông tin ã chi m v trí không th thay th ư c trong cu c s ng c a chúng ta. Công ngh thông tin ư c ng d ng trong t t c các lĩnh v c như: Qu n lý hành chính, Tài chính ngân hàng, Truy n thông, Xây d ng, i u khi n t ng, Nghiên c u khoa h c… i u gì s x y ra khi d li u c a m t h th ng ngân hàng b xâm nh p trái phép thành công? Hay nh ng thông tin nh y c m v chính tr b b i l ? Hay k ho ch làm ăn c a công ty b n b i th c nh tranh n m ư c? Trang Wed thương m i b xâm nh p thay i n i dung?…Th t khó mà lư ng trư c ư c h u qu khi h th ng máy tính c a b n không ư c b o v an toàn. An toàn công ngh thông tin tr thành m t v n c p bách, c bi t là i v i th c tr ng ngành CNTT hi n nay c a Vi t Nam. Khi ngư i s d ng s n ph m CNTT ng d ng vào công vi c thì ngoài vi c nh ng phương ti n ó c n m b o nh ng ch c năng c a mình, chúng còn ư c yêu c u m b o v an toàn thông tin. V y i u gì m b o s n ph m CNTT mà b n ang s d ng th t s an toàn? Mu n bi t s n ph m ó có t an toàn như b n mong mu n hay không thì chúng ta c n ánh giá chúng. Công ngh ngày nay không cho phép m t s n ph m CNTT sau khi ưa ra s d ng th c t r i m i ánh giá. Chúng c n ư c ánh giá ngay t khâu thi t k s n ph m, s n xu t và ưa ra cách s d ng. ánh giá an toàn CNTT Vi t Nam là m t lĩnh v c hoàn toàn m i m nhưng r t c n thi t. Chúng ta không th mãi s d ng s n ph m mà ã ư c m t t ch c khác ánh giá. Cơ s h t ng chúng ta v v t ch t cũng như nhân l c chưa cho phép chúng ta t ánh giá, thì ít nh t chúng ta cũng c g ng bi t các t ch c khác ánh giá an toàn CNTT như th nào. Lĩnh v c ánh giá An toàn công ngh thông tin (ATCNTT) là m t lĩnh v c r ng l n mà m t ngư i hay m t nhóm ngư i có th bao quát ư c. Vì v y trong tài này tôi ch có th c p nm ts v n trong ánh giá ATCNTT. C th ó là c p n v n H sơ b o v c a tiêu chí chung. Vì ây là lĩnh v c hoàn toàn m i m , có ít tài li u tham kh o, ki n th c và kinh nghi m nghiên c u còn non kém nên không th tránh ư c sai sót. R t mong ư c quý th y cô và các b n c óng góp ý ki n tài ư c hoàn thi n hơn. L I C M ƠN Chúng tôi xin chân thành c m ơn th y Th.s Tr n Quang Kỳ - Phó trư ng khoa An toàn thông tin- H c vi n k thu t M t Mã ã t n tình giúp chúng tôi trong công tác nghiên c u và hoàn thành tài này. Hà n i, ngày 6/4/2007. Sinh viên th c hi n: Nguy n Xuân Phương 1
  3. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin M CL C Trang 1. L i m u ………………………………………………………………. 1 2. M c l c .................................................................................................... 2 3. Chương 1: Tìm hi u chung v h sơ b o v ..……………………………. 4 4. I. T ng quan ……………………………………………………………... 4 5. II. Ngu n g c h sơ b o v ……………………………………………… 4 6. III. N i dung H sơ b o v ……………………………………………… 5 7. Chương 2: Quá trình phát tri n h sơ b o v …………………………… 7 8. I. Gi i thi u ……………………………………………………………... 7 9. II. Vòng i h sơ b o v ……………………………………………….. 8 10.III. Ngư i ng u lĩnh v c công ngh ………………………………… 11 11.IV. Tính nh t quán phát tri n …………………………………………… 11 12.V. Danh sách gi i thi u H sơ b o v …………………………………. 12 13.VI. Duy trì h sơ b o v …………………………………………………. 14 14.VII. S th ng nh t h sơ b o v ………………………………………… 15 15.VIII. Bình lu n cơ s h t ng …………………………………………… 15 16. Ph n ính kèm A ……………………………………………………….. 16 17. Ph n ính kèm B ………………………………………………………... 17 18.Chương 3: Các ph n chính c a m t h sơ b o v c th ………………... 19 19.Chương 4: Báo cáo thông qua m t h sơ b o v c th ………………… 25 20.I. Sơ lư c …………………………………………………………………26 21.II. ánh giá chi ti t ……………………………………………………… 27 22.III. Nh n d ng h sơ b o v …………………………………………….. 27 23.IV Tóm t t h sơ b o v ………………………………………………… 27 24.V. Nguy cơ e d a ……………………………………………………… 28 25.VI. Chính sách an toàn ………………………………………………… 31 26.VII. Gi nh cách s d ng …………………………………………….. 33 27.VIII. Gi nh môi trư ng ……………………………………………… 33 28.IX. Ph m vi sàng l c …………………………………………………… 34 29.X. N i dung an toàn c a h sơ b o v …………………………………. 34 2
  4. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin 30. H sơ …………………………………………………………………… 35 31. K t qu ánh giá ….……………………………………………………. 36 32. Ph n k t lu n ……….………………………………………………….. 37 33. B ng vi t t t ………….………………………………………………… 38 34. Tài li u tham kh o …….………………………………………………. 39 3
  5. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin H SƠ B O V Chương 1 Tìm hi u chung I.T ng quan: M t h sơ b o v là m t b n tóm t t nh ng c t v các khía c nh an toàn c n thi t c a m t s n ph m Công ngh thông tin. Nó là m t s n ph m c l p, mô t m t dòng các s n ph m có th s th a mãn nh ng yêu c u c n thi t này. Nh ng yêu c u v ch c năng và s b o m b o v ph i ư c tính n trong cùng m t h sơ b o v , v i m t mô t h p lý v nh ng m i e d a c n ư c xác nh trư c và d tính phương pháp s d ng. H sơ b o v ch rõ nh ng yêu c u v thi t k , thi hành, và cách s d ng c a các s n ph m Công ngh thông tin. H sơ b o v có th ư c tích h p t nh ng thành ph n ch c năng và s m b o c l p ho c c n xác nh. M t thành ph n ch c năng là m t thi t l p xem như các yêu c u v ch c năng b o v ã ư c thi hành trong s n ph m Công ngh thông tin. M t thành ph n b o m là m t thi t l p ư c xem như các yêu c u v s phát tri n và ho t ng ánh giá, ki m soát b i ngư i s n xu t và ngư i ánh giá trong khi xây d ng và ánh giá m t cách cl pc am ts n ph m Công ngh thông tin. thu n ti n, m t nhóm các thành ph n c a ch c năng và s b o m ư c tích h p trong m t gói xác nh trư c. Trong khi xây d ng h sơ b o v , vi c thêm vào các thu c tính ph i ư c cân nh c gi a nh ng ch c năng và s b o m. II. Ngu n g c c a h sơ b o v 4
  6. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin Ngư i tiêu dùng và nhà s n xu t trong các t ch c chính ph ho c khu v c kinh t tư nhân có th phát tri n m t h sơ b o v áp ng l i c t c n thi t v b o v thông tin. Nh ng nhà phát tri n h sơ, ho c nhà tài tr , v i m t s c n thi t an toàn có th xu t m t h sơ b o v c p n nh ng v n h c n, nh ng c i m c trưng hơn, nh ng nhóm các nhà tài tr cùng chung nh ng yêu c u c n thi t có th ph i h p v i nhau xu t m t h sơ th a mãn mong mu n chung. Nhi u nhà tài tr h tr m t cách có hi u qu m t h sơ th hi n m t th trư ng r ng l n nhi u ti m năng c a các nhà s n xu t s n ph m Công ngh thông tin. M t h sơ b o v duy nh t ph n ánh nh ng yêu c u c n thi t v nh ng thi t l p khác nhau c a các nhà tài tr . Ví d các ngân hàng có th xu t m t h sơ b o v m b o vi c chuy n i các kho n tín d ng hay B qu c phòng có th xu t m t h sơ b o v cho các ng d ng quân s . M t h sơ b o v riêng l có th cũng áp d ng cho nhi u s n ph m Công ngh thông tin, th hi n tính a d ng c a kh năng gi i quy t các yêu c u phác th o c a h sơ. M t nhà s n xu t, ngư i ã nh n ra m t th trư ng s n ph m an toàn Công ngh thông tin, cũng có th xu t m t h sơ theo cách ph n ánh nh ng yêu c u và mong mu n c a khách hàng, và thu n ti n cho vi c ánh giá trong tương lai tương ph n v i nh ng s c n thi t ó. H sơ b o v mong mu n áp ng toàn b nh ng yêu c u c a khách hàng và thúc y gia tăng công ngh . Do ó h sơ b o v là m t tham chi u chung xung quanh các khách hàng, các nhà s n xu t và các nhà ánh giá. III. N i dung H sơ b o v M t h sơ b o v ch a năm ph n chính: Mô t các thành ph n, cơ s h p lý, nh ng yêu c u v ch c năng, nh ng yêu c u v m b o phát tri n, nh ng yêu c uv m b o ánh giá. 5
  7. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin Ph n mô t các ph n t cung c p m t cách minh b ch và mô t các thông tin c n thi t nh n d ng, phân lo i, ăng ký, và tham chi u chéo m t h sơ b o v trong vi c ăng ký c a h sơ. Ph n này mô t ng n g n v h sơ, bao g m m t s mô t v các v n b o v thông tin c n ph i gi i quy t. Ph n này áp d ng cho t t c nh ng ngư i có kh năng s d ng h sơ quy t nh dùng hay không h sơ có th ng d ng ư c t i vi c b o v thông tin c n thi t c a khác hàng. Ph n cơ s h p lý cung c p nh ng lí l cơ b n cho m t H sơ b o v , bao g m lư ng trư c e d a, môi trư ng, nh ng gi nh v cách s d ng. Nó cũng th hi n m t cách chi ti t hơn nh ng v n b o v mà s n ph m Công ngh thông tin c n gi i quy t th a mãn nh ng yêu c u c a H sơ. Ph n này mô t nh ng v n b ov chi ti t cho nh ng ngư i s n xu t hi u các kh năng phân tán c a v n . Nó cũng cung c p nh ng thông tin cho khách hàng v v n s n ph m Công ngh thông tin như th nào thì gi i quy t thành công v n , có th s d ng s h tr c a m t tâp h p các chính sách b o m t xác nh trư c. Ph n nh ng yêu c u v ch c năng s ưa ra ranh gi i b o v thông tin mà s n ph m công ngh thông tin ph i cung c p. Nh ng e d a t i thông tin n m trong vùng biên gi i này ph i ư c ngăn ch n b i nh ng ch c năng trong vùng ư c b o v . Nh ng e d a có th m nh hơn s yêu c u nh ng ch c năng b o v h t s c m nh m . Ch c năng b o v c a s n ph m Công ngh thông tin ư c h tr b i m t t p h p các chính sách b o m t và k t h p v i gi nh nào ó v cách s d ng ư c d tính c a s n ph m và môi trư ng ho t ng ã d tính trư c. Ph n nh ng yêu c u b o m s phát tri n b o ph toàn b m i giai o n phát tri n c a s n ph m Công ngh thông tin, t khâu thi t k ban u n khi th c hi n y . M t cách c th , nh ng yêu c u b o m s phát tri n bao g m quy trình phát tri n, môi trư ng phát tri n, và ho t ng h tr nh ng yêu c u. Thêm 6
  8. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin vào ó, t nhi u yêu c u b o m không th t s có th th nghi m ư c, nó r t c n thi t nghiêm c u nh ng b ng ch ng phát tri n c a s n ph m Công ngh thông tin ho c tài li u xác minh r ng nh ng yêu c u ã ư c th a mãn. Nh ng yêu c u v b ng ch ng s phát tri n bao hàm trong m t H sơ b o v ch c ch n nhà s n xu t t o ra và gi l i tài li u thích h p trong khi phát tri n s n ph m n nh ng phân tích trong giai o n ánh giá và duy trì s n ph m. Ph n nh ng yêu c u b o m ánh giá ch rõ lo i và m c ánh giá vi c th c hi n m t s n ph m công ngh thông tin, phát tri n trong s áp ng ư c m t H sơ b o v nh t nh. T ng quát cho m t s n ph m công ngh thông tin, ph m vi và m c ánh giá bi n thiên theo e d a lư ng trư c, xác nh cách th c s d ng, và môi trư ng gi nh như ã ch rõ b i nh ng ngư i phát tri n h sơ trong ph n cơ s h p lý. C u trúc c a H sơ b o v : Miêu t các Cung c p minh b ch và mô t thông tin c n thi t nh n d ng ph n t duy nh t, ăng ký, và tham chi u chéo m t h sơ b o v trong vi c ăng ký h sơ. Bao g m m t mô t v các v n b ov thông tin c n ph i gi i quy t. Cơ s h p lý Cung c p nh ng lí lu n cơ s cho m t h sơ b o v , bao g m ngăn ch n e d a, môi trư ng, và gi nh v cách s d ng. Hư ng t i s h tr cho vi c t ch c nh ng chính sách an toàn. Nh ng yêu Thi t l p biên gi i c a vi c ch u trách nhi m b o v thông tin, c u v ch c nó ph i cung c p b i m t s n ph m IT, lư ng trư c nh ng e năng d a t i thông tin trong vùng biên gi i ã thi t l p. Nh ng yêu Ch rõ nh ng yêu c u cho t t c các bư c phát tri n m t s n 7
  9. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin c ub o m ph m IT t khâu thi t k n khi th c hi n. Bao g m quy trình phát tri n phát tri n, môi trư ng phát tri n, h tr ho t ng, ch ng minh s phát tri n. Nh ng yêu Ch rõ nh ng yêu c u m b o lo i và m c ánh giá s câu b o m th c hi n phát tri n m t s n ph m IT trong vi c áp ng ư c ánh giá m t h sơ b o v phù h p vi c ngăn ch n nh ng e d a, d nh phương pháp s d ng, và gi nh v môi trư ng. Chương 2 Quá trình phát tri n Quá trình phát tri n Nh ng h sơ b o v c a chính ph U.S. Version 3.0 (1/3/2004) T ch c b o m thông tin qu c gia (NIAP) Quá trình phát tri n h sơ b o v I. Gi i thi u phù h p v i lu t chung 100-235 (B lu t an toàn máy tính 1987), vi n nghiên c u v chu n và công ngh qu c gia (NIST) t ch c an ninh qu c gia (NSA) cùng nhau h p tác phát tri n các yêu c u b o m t các lĩnh v c công ngh có tính ch t khóa thi t y u trong s b o v h th ng và m ng lư i thông tin 8
  10. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin liên bang, bao g m các bang trong nư c M . S hư ng d n nói chung v n l c phát tri n c a NIST – NSA ch a trong ph n ính kèm A (Cu i chương) M i khi có th th c hiên ư c, yêu c u b o m t s th hi n như là h sơ b o v s d ng chu n ISO/IES 15408, ho c tiêu chí chung CC. Trong ph n sau, quan h gi a yêu c u b o m t và h sơ b o v s ư c c p n nh ng s tương ương. NIST và NSA n l c th c hi n công vi c: *B o m cho chính ph U.S có s tính toán bao hàm toàn b s gi i thi u v h sơ b o v c a các lĩnh v c công ngh có tính ch t chìa khóa; * S c ng tác bên ngoài v tính c ng ng và khu v c kinh t tư nhân ư c phát tri n và thu ư c s nh t trí d a trên t m quan tr ng c a h sơ b o v trong khi th o lu n các b ph n b o v . * t o thu n ti n cho s th ng nh t gi a qu c gia và trên th gi i v nh ng h sơ b o v PP trong các lĩnh v c công ngh có tính ch t khóa. Tài li u này mô t quy trình i u mà s ư c NIST và NSA theo u i dành phát tri n và duy trì c a h sơ b o v PP trong m i vùng k thu t có tính ch t chìa khóa bao g m s thay i nh ng yêu c u hi n t i, chuy n i sang yêu c u m i, lo i b nh ng yêu c u cũ. Nh ng thành ph n h p thành quá trình này ư c mô t dư i ây II. Vòng i h sơ b o v Danh sách phát tri n lĩnh v c công ngh (TADL) Danh sách phát tri n lĩnh v c công ngh là m t danh sách ưu tiên v h sơ b o v cái mà NIST và NSA phát tri n ho c ưa ra sơ phát tri n, ch ra nh ng ràng bu c v tài nguyên c n có. 9
  11. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin B ng 1 dư i ây miêu t nhóm 10 lĩnh v c công ngh có tính ch t khóa và cung c p thông tin liên quan phê chu n trong quy trình phát tri n h sơ b o v . Thêm vào ó là các thông tin v m t s công ngh có tính ch t chìa khóa ho c h sơ b o v có th t ư c qua thư i n t gi i t i ngư i ng u lĩnh v c công ngh (TAL-Technology Area Leader)... M i quan h có tr t t nh ng h sơ b o v trong m t lĩnh v c công ngh c th ư c miêu t b i s gia tăng c p b n v ng cơ b n (nghĩa là: b n v ng v ch c năng và s b o m) trên nh ng e d a gi nh và k t h p nh ng i tư ng b o m t. S n ph m ư c ánh giá và phê chu n thành công ph i t tương ph n v i m t h sơ b o v trong h lĩnh v c công ngh c th ã ư c ch rõ, trong s ch p thu n v i m t s h sơ c p th p hơn trong cùng h . 10
  12. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin B ng1: 11
  13. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin 12
  14. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin III. Ngư i ng u lĩnh v c công ngh M i lĩnh v c công ngh ư c ch n phát tri n t Danh sách phát tri n lĩnh v c công ngh TADL, m t ngư i ng us ư c b nhi m là ngư i ch u trách nhi m qu n lý s phát tri n v lý thuy t c a h sơ b o v trong lĩnh v c công ngh c th , bao g m s phát tri n và b sung vào sơ lĩnh v c công ngh ó. Ngư i ng u lĩnh v c công ngh s ưa ra nh ng tài nguyên c n thi t hoàn thành s n l c phát tri n và ch u trách nhi m toàn b các giai o n phát tri n c a h ó, bao g m c duy trì nh ng h h sơ này. B ng 1 danh sách ngư i ng u lĩnh v c công ngh k t h p v i lĩnh v c công ngh c a h ch u trách nhi m. IV.Tính nh t quán phát tri n lĩnh v c công ngh (TAL) NSA và NIST có ưa ra m t s tiêu chí chung v h sơ b o v th a mãn nh ng l i xu t thu ư c t hư ng d n trên nh ng công ngh b o m thông tin (IA). Trong ph m vi qu c phòng, t khi th c thi n h tr nh ng chính sách h th ng DoD IA m i ( như là DoDD 8500.1 và DoDI 8500.2). Trong t ch c an ninh 13
  15. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin qu c gia, công vi c này b t u th c hi n n h tr NIST FISMA (Federal Information Security Community Act – B lu t qu n lý an ninh thông tin liên bang) d án b sung và phát tri n c a NIST SP 800-37. Tháng 10/2001, NSA và NIST (National Institute of Standards and Technology) ng ý h p tác làm vi c cùng nhau t o ra m t m i liên h v thi t l p h sơ ã ư c miêu t trong s quan tâm chung c a hai t ch c. V i nhi u h sơ hi n nay ư c phát tri n b i ông o t ch c, trong khuôn kh NIST và NSA, nó tr nên rõ ràng trong s s p x p c a t ch c ng um i lĩnh v c, H sơ b o v b o m thông tin (IA) ã n l c nh ng gì c n thi t t o nên s h p tác ch t ch d dàng miêu t m t cái nhìn chi n lư c phù h p v i khách hàng cơ b n. S phù h p r t quan tr ng t o nên và duy trì s tin c y c a khách hàng trong s n ph m và sách hư ng d n. Cu i cùng, m t liên hi p nhóm làm vi c th ng nh t h sơ b o v , g i là Ban xem xét h sơ b o v (PPRB), tr thành t ch c xem xét l i t t c xu t nh ng h sơ b o v và làm vi c v i tác gi h sơ b o v và ưa ra phê bình t o nên s th ng nh t có th th c hi n ư c. Ho t ng u tiên c a nhóm là xem l i m t s h sơ b o v và m t s l i phê bình t i nh ng tác gi trên các lĩnh v c công ngh và s hư ng t i thay i th ng nh t. Trong b i c nh ư c xem xét u tiên, m t s m c th ng nh t ã t ư c và ư c ghi l i ưa vào trong m t tài li u là sách hư ng d n s th ng nh t. S có m t sách hư ng d n th ng nh t cho m i m c c a c p (cơ b n, trung bình và cao phát tri n) s cung c p cho tác gi h sơ b o v hư ng d n làm th nào t o ra nh ng h sơ b o v c a chính ph U.S th ng nh t hơn. Tài li u hi n nay cung c p cho các tác gi h sơ b o v , sách hư ng d n cung c p cho t t c m i tác gi h sơ b o v hư ng n và ch n l a, bao g m s gi i thi u trong h sơ b o v c a h ho c ch ra t i sao gi i thi u mà không s d ng 14
  16. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin n h sơ. Phương pháp này b o m r ng t t c m i tác gi h sơ b o v hư ng t i s cân nh c an toàn t i thi u ho c th c hi n m t phân tích như t i sao h không hư ng t i. M i ch d n c l p ch a ng, ưa ra và ch n l a văn b n cho m i ph n c th c a m t h sơ b o v ho c tiêu chí chung c th cho yêu c u ch c năng/ an toàn cũng như t t c h sơ b o v hư ng t i m i quan tâm an toàn t i thi u cho t t c tình tr ng b n v ng h sơ b o v . Sách hư ng d n lưu ý quy n quy t nh n i dung c a h sơ b o v là c a ngư i s h u h sơ b o v . Tuy nhiên, h sơ ph i phù h p v i h sơ khác trong cùng tình tr ng b n v ng vì v y tác gi s xem l i nh ng h sơ khác cùng c p b n v ng. Tác gi cũng m b o yêu c u ch c năng phù h p v i công ngh và có th mu n th o lu n v i nh ng nhà chuyên môn khác trong lĩnh v c công ngh . H sơ b o v ti p t c ư c xem xét l i, sách hư ng d n s ti p t c c p nh t ưa ra ch d n m i khi chúng có hi u l c. V. Danh sách gi i thi u H sơ b o v (RPPL) Danh sách gi i thi u h sơ b o v g m có m t danh sách v h sơ b o v trong giai o n phát tri n, và sơ lư c v s hoàn thi n ánh giá/thông qua. Khi m t h lĩnh v c công ngh ư c ch n t Danh sách phát tri n lĩnh v c công ngh (TADL) phát tri n, m t s hư ng d n t o ra t Danh sách gi i thi u h sơ b ov s ưa ra nh ng nét ch y u v khu v c công c ng và khu v c kinh t tư nhân, i u này t o ra tính tích c c cho s phát tri n ã xư ng. Khi m t h h sơ b o v khi ư c hoàn thi n và ánh giá/phê chu n, tình tr ng c a Danh sách gi i thiêu h sơ b o v cũng s ư c thay i tương ng. Khi hoàn thành, m t h miêu t ư c NIST và NSA gi i thi u thi t l p trong yêu c u c a m t lĩnh v c công ngh c th . Nó là m t b n tuyên b b i NIST và NSA 15
  17. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin cung c p yêu c u có th ch p nh n b o v tương ng, ch rõ nh ng m i e d a t môi trư ng. Khi t ch c liên bang phát tri n nh ng h th ng ph c t p, s k t h p thành m t h th ng hay s a i, NIST và NSA s khuy n khích m nh m các t ch c s n xu t ch n lĩnh v c công ngh s d ng trong h th ng c a h (ch ng l i e d a cơ b n t môi trư ng) cái mà ã ư c ánh giá/phê chu n t tương ph n v i H sơ b o v tiêu chí chung ch a trong Danh sách gi i thi u h sơ b o v . ó là s có th th c hi n ư c c a các nhà phát tri n s n ph m trong m t lĩnh v c công ngh c th , s có s thay i trong vi c ch p nh n th a mãn m t h h sơ b o v g n ây m t lĩnh v c công ngh (nghĩa là: khi hoàn thành h lĩnh v c công ngh ta x p h ng lên b ng RPPL). thu n ti n cho vi c thay is phát tri n lĩnh v c công ngh g n ây, các t ch c xu t cho các nhà phát tri n giám sát Danh sách phát tri n lĩnh v c công ngh (the Technology Area Development List) và Danh sách gi i thi u h sơ b o v (Recommended Protection Profile List) trên m t n n t ng chung: - Xác nh rõ n u vùng k thu t liên quan n s phát tri n h sơ b o v hi n nay. - Xác nh rõ n u s n l c phát tri n trong vùng k thu t ã ư c kh i xư ng. - Giám sát s xúc ti n c a vi c phát tri n h sơ b o v trong lĩnh v c công ngh c a h . - t ư c phiên b n cu i cùng trong dòng lĩnh v c công ngh c a h sơ b o v . Khi m t dòng lĩnh v c công ngh c a h sơ b o v v trí u tiên trên RPPL, các t ch c chính ph khuy n khích tham chi u n h sơ b o v trong tài li u t ư c và s mong ch s n ph m t ư c hoàn toàn phù h p v i H sơ (như ư c ch ng minh b i m t gi y ch ng nh n CC). Tuy nhiên, nó ư c ch ng 16
  18. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin nh n ch m hơn, trư c khi các nhà phát tri n trong lĩnh v c công ngh có th ch ng minh s hoàn toàn phù h p v i h sơ b o v ư c gi i thi u g n ây trong lĩnh v c công ngh c a h , t s phù h p có th ph thu c s thay i trong s n ph m c a h trong l n ánh giá tiêp theo/ ánh giá l i. Thêm vào ó, m t s nhà thi t k có th ã có gi y ch ng nh n Tiêu chí chung (CC) h p l v th c hi n ánh giá l i, t tương ph n v i m c ích an toàn c a h h sơ b o v ho c tương ph n v i s t n t i c a h sơ b o v trong lĩnh v c k thu t ó. n khi các nhà phát tri n có ư c m t cơ h i thay i ưa vào H sơ b o v ư c gi i thi u g n ây, nh ng hư ng d n sau ây cung c p cho các t ch c chính ph , ngư i tiêu dùng và nhà thi t k s n ph m: - T ch c chính ph l a ch n ánh giá/phê chu n s n ph m th a mãn t t nh t h sơ b o v ư c gi i thi u g n ây và th a mãn h th ng nh ng yêu c u c th . Trong vi c t o nên các quy t nh, h tin c y vào ho t ng ánh giá c l p, qu n lý b i phòng thí nghi m ánh giá Tiêu chí chung ã ư c th a nh n, s ánh giá m t s n ph m c th phù h p v i h sơ b o v ưa ra g n ây. - Nhà phát tri n v i ho t ng ánh giá/phê chu n nh ng s n ph m mong mu n ch ng t s ánh giá phù h p v i m t H sơ b o v ưa ra g n ây, có th rút g n v i phòng thí nghi m ánh giá Tiêu chí chung sơ b ư c ch p nh n th c hi n m t ho t ng ánh giá, h sơ c a s ánh giá, ph m vi ánh giá i tư ng c a nhà phát tri n phù h p v i H sơ b o v ưa ra g n ây. VI. Duy trì H sơ b o v M t s phát tri n và thay th trên Danh sách gi i thi u h sơ b o v , m t h lĩnh v c công ngh ư c cân nh c m t cách nh kỳ làm rõ n u h các yêu c u c a h sơ b o v ã ch p nh n ư c n nh, v i s thay i công ngh nhanh 17
  19. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin chóng ngày nay, m c e d a ngày càng m nh m , và thêm nh ng y u t khác. M t khác, t khi nh ng nhà phát tri n s t o ra nh ng s u tư quan tr ng trong s th a mãn nh ng yêu c u và tr i qua ánh giá ch ng t phù h p v i nh ng yêu c u, chúng s n nh như là tăng nh ng yêu c u t i a v v n u tư. NIST và NSA th a nh n s cân b ng ph i t ư c gi a s c n thi t v s thay i ho c s m t ra nh ng yêu c u thi t l p và tăng t i a v phía u tư t o ra b i các nhà phát tri n. B i v y, h lĩnh v c công ngh ph i bao g m k ho ch xem xét l i theo nh kỳ, s thay i, và s m ưa ra nh ng yêu c u m i. Tuy nhiên, sau ây là nh ng quy t c s ư c áp d ng cho s thay i ho c s m ư c s a ch a c a nh ng H sơ b o v (1) Quy t nh thay i và s a i h sơ b o v s th c hi n và xem xét ch t ch b t c khi nào th c hi n ư c trong s m r ng, quá trình s d ng chung trong toàn b s c ng tác v i ngành công nghi p, các t p oàn, và các t ch c v chu n b o m t s t i a v s ch p nh n và ti n l i. (2) Khi thay i v h lĩnh v c công ngh c a h sơ b o v ư c hoàn thành, nhà phát tri n s ưa ra th i kỳ chuy n ti p 18 tháng ch ng t s phù h p c a cái m i ho c s thay i c a nh ng h sơ b o v . (3) Nh ng s n ph m tuân theo phiên b n trư c c a h sơ b o v s ư c ch p nh n như m t tương ương ho c có th so sánh ư c v i h sơ m i trong 18 tháng trong th i kỳ chuy n ti p. VII. S th ng nh t gi a qu c gia và qu c t v H sơ b ov Thông qua ti u ban qu n lý h p tác công nh n l n nhau v tiêu chí chung (CCRA – Common Criteria Recognition Agreement) quan tâm n n l c phát tri n h sơ b o v c a m i qu c gia và qu c t b i các chính ph khác và các t ch c kinh t tư nhân (VD t ch c Liên bang, t ch c th a nh n tiêu chí chung, 18
  20. Ngu y n Xuân Phư ơng – ánh giá an toàn công ngh thông tin ngành công nghi p, các t p oàn, NATO, liên minh châu ÂU…) s ư c duy trì. Trong s quan tâm ó, nh ng thành viên c a y ban qu n lý chi m v trí quan tr ng nh t công nh n th i i m cho s th ng nh t gi a qu c gia và qu c t v h sơ b o v . B t kỳ khi nào có th th c hi n ư c, các thành viên s ưa ra cho nh ng ngư i ng u lĩnh v c công ngh (TALs) quan tâm nm i quan h n l c phát tri n h sơ b o v trong lĩnh v c công ngh tương ng và khuy n khích ngư i ng u lĩnh v c công ngh hư ng n s phù h p gi a nh ng h sơ và s ch p nh n ho c thích nghi trư c khi nh ng n l c m i/khác ư c kh i xư ng trong cùng lĩnh v c công ngh . Ngư i ta cũng ch u trách nhi m cho m i ngư i ng u lĩnh v c công ngh tìm ra m i liên h gi a nh ng n l c v h sơ b o v và cân nh c s thích h p gi a k t qu nh ng h sơ ư c ch p nh n ho c có nh ng s a ch a cho phù h p trư c nh ng xư ng v n l c phát tri n c a h . Ti u ban qu n lý T ch c công nh n l n nhau v tiêu chí chung (The CCRA) i di n cho m i qu c gia s là tiên phong trong vi c khuy n khích s c ng tác gi a n l c phát tri n h sơ b o v c a chính ph U.S và nh ng n l c phát tri n c a chính ph khác và các t ch c kinh t tư nhân. V i m c ích t ư c s ch p nh n và h i t c a H sơ trong lĩnh v c công ngh khóa. Nói m t cách c th , i di n cho qu c gia v i ti u ban qu n lí s làm vi c thông qua y ban qu n lí Tiêu chí chung và Ti u ban qu n lí ho c tr c ti p v i ngư i tham gia công nh n s s p Tiêu chí chung h p tác phát tri n h sơ b o v tránh s gia tăng c nh tranh h sơ trong cùng m t lĩnh v c công ngh . Bình lu n cơ s h t ng b o v (CIP)- liên quan n khu v c phát tri n c a yêu c u an toàn. 19
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2