1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Công Nghệ Thông Tin

Đề tài Đánh giá an toàn công nghệ thông tin - Hồ sơ bảo vệ

Download
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
HC VIN KTHUT MT MÃ  
KHOA AN TOÀN THÔNG TIN  
ꢄꢅ TÀI NGHIÊN CU KHOA HC  
ÁNH GIÁ AN TOÀN CÔNG NGHTHÔNG TIN  
HSBO Vꢁ  
(Protection profiles)  
GV hꢊꢋng dn: Th.s Trn Quang Kꢎ  
SV Thc hin : Nguyn Xuân Phꢊơng  
Hà Ni 4/2007  
0
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
LI Mꢓ ꢄꢔU  
Ngày nay Công nghthông tin ã chim vtrí không ththay thꢃ ꢂꢆꢇc trong  
cuc sng ca chúng ta. Công nghthông tin ꢂꢆꢇc ng dng trong tt ccác  
lnh vc nh: Qun lý hành chính, Tài chính ngân hàng, Truyn thông, Xây  
dng, iu khin tꢏ ꢂꢀng, Nghiên cu khoa hc…  
iu gì sxy ra khi dliu ca mt hthng ngân hàng bxâm nhp trái phép  
thành công? Hay nhng thông tin nhy cm vchính trbbi l? Hay khoch  
làm n ca công ty bn bꢄ ꢂꢈi thcnh tranh nm ꢂꢆꢇc? Trang Wed thꢆơng mi  
bxâm nhp thay ꢂꢚi ni dung?…Tht khó mà lꢆꢛng trꢆꢜc ꢂꢆꢇc hu qukhi hꢁ  
thng máy tính ca bn không ꢂꢆꢇc bo van toàn.  
An toàn công nghthông tin trthành mt vn ꢂꢐ cp bách, ꢂꢞc bit là ꢂꢈi vi  
thc trng ngành CNTT hin nay ca Vit Nam. Khi ngꢆꢛi sdng sn phm  
CNTT ng dng vào công vic thì ngoài vic nhng phꢆơng tin ó cn ꢂꢍm  
bo nhng chc nng ca mình, chúng còn ꢂꢆꢇc yêu cu ꢂꢍm bo van toàn  
thông tin.  
Vy iu gì ꢂꢍm bo sn phm CNTT mà bn ang sdng tht san toàn?  
Mun bit sn phm ó có ꢂꢗt ꢂꢀ an toàn nhbn mong mun hay không thì  
chúng ta cn ánh giá chúng. Công nghngày nay không cho phép mt sn  
phm CNTT sau khi ꢂꢆa ra sdng thc tri mi ánh giá. Chúng cn ꢂꢆꢇc  
ánh giá ngay tkhâu thit ksn phm, sn xut và ꢂꢆa ra cách sdng.  
ánh giá an toàn CNTT Vit Nam là mt lnh vc hoàn toàn mi mnhng  
rt cn thit. Chúng ta không thmãi sdng sn phm mà ã ꢂꢆꢇc mt tchc  
khác ánh giá. Cơ shtng chúng ta vvt cht cng nhnhân lc cha cho  
phép chúng ta tꢏ ꢂánh giá, thì ít nht chúng ta cng cgng ꢂꢅ bit các tchc  
khác ánh giá an toàn CNTT nhthnào.  
Lnh vc ánh giá An toàn công nghthông tin (ATCNTT) là mt lnh vc rng  
ln mà mt ngꢆꢛi hay mt nhóm ngꢆꢛi có thbao quát ꢂꢆꢇc. Vì vy trong ꢂꢐ  
tài này tôi chcó thꢅ ꢂꢐ cp ꢂꢃn mt svn ꢂꢐ trong ánh giá ATCNTT. Cthꢅ  
ó là ꢂꢐ cp ꢂꢃn vn ꢂꢐ Hsơ bo vca tiêu chí chung.  
ây là lnh vc hoàn toàn mi m, có ít tài liu ꢂꢅ tham kho, kin thc và  
kinh nghim nghiên cu còn non kém nên không thtránh ꢂꢆꢇc sai sót. Rt  
mong ꢂꢆꢇc quý thy cô và các bn ꢂꢒc óng góp ý kin ꢂꢅ ꢂꢐ tài ꢂꢆꢇc hoàn  
thin hơn.  
LI CM N  
Chúng tôi xin chân thành cm ơn thy Th.s Trn Quang K- Phó trꢆꢝng khoa  
An toàn thông tin- Hc vin kthut Mt Mã ã tn tình giúp ꢂꢨ chúng tôi trong  
công tác nghiên cu và hoàn thành ꢂꢐ tài này.  
Hà ni, ngày 6/4/2007.  
Sinh viên thc hin:  
Nguyn Xuân Phương  
1
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
MC LC  
Trang  
1. Li mꢝ ꢂꢠu ………………………………………………………………. 1  
2. Mc lc .................................................................................................... 2  
3. Chꢆơng 1: Tìm hiu chung vhsơ bo v..……………………………. 4  
4. I. Tng quan ……………………………………………………………... 4  
5. II. Ngun gc hsơ bo v……………………………………………… 4  
6. III. Ni dung Hsơ bo v……………………………………………… 5  
7. Chꢆơng 2: Quá trình phát trin hsơ bo v…………………………… 7  
8. I. Gii thiu ……………………………………………………………... 7  
9. II. Vòng ꢂꢛi hsơ bo v……………………………………………….. 8  
10.III. Ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công ngh………………………………… 11  
11.IV. Tính nht quán phát trin …………………………………………… 11  
12.V. Danh sách gii thiu Hsơ bo v…………………………………. 12  
13.VI. Duy trì hsơ bo v…………………………………………………. 14  
14.VII. Sthng nht hsơ bo v………………………………………… 15  
15.VIII. Bình lun cơ shtng …………………………………………… 15  
16. Phn ính kèm A ……………………………………………………….. 16  
17. Phn ính kèm B ………………………………………………………... 17  
18.Chꢆơng 3: Các phn chính ca mt hsơ bo vcth………………... 19  
19.Chꢆơng 4: Báo cáo thông qua mt hsơ bo vcth………………… 25  
20.I. Sơ lꢆꢇc …………………………………………………………………26  
21.II. ánh giá chi tit ……………………………………………………… 27  
22.III. Nhn dng hsơ bo v…………………………………………….. 27  
23.IV Tóm tt hsơ bo v………………………………………………… 27  
24.V. Nguy cơ ꢂe da ……………………………………………………… 28  
25.VI. Chính sách an toàn ………………………………………………… 31  
26.VII. Giꢍ ꢂnh cách sdng …………………………………………….. 33  
27.VIII. Giꢍ ꢂꢄnh môi trꢆꢛng ……………………………………………… 33  
28.IX. Phm vi sàng lc …………………………………………………… 34  
29.X. Ni dung an toàn ca hsơ bo v…………………………………. 34  
2
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
30. Hsơ …………………………………………………………………… 35  
31. Kt quꢍ ꢂánh giá ….……………………………………………………. 36  
32. Phn kt lun ……….………………………………………………….. 37  
33. Bng vit tt ………….……………………………………………… 38  
34. Tài liu tham kho …….………………………………………………. 39  
3
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
HSBO Vꢁ  
Chꢆơng  
mhiuchung  
1
I.Tng quan:  
Mt hsơ bo vlà mt bn tóm tt nhng ꢂꢞc tvcác khía cnh an toàn cn  
thit ca mt sn phm Công nghthông tin. Nó là mt sn phm ꢂꢀc lp, mô tꢍ  
mt dòng các sn phm có thstha mãn nhng yêu cu cn thit này. Nhng  
yêu cu vchc nng và sbo ꢂꢍm bo vphi ꢂꢆꢇc tính ꢂꢃn trong cùng mt  
hsơ bo v, vi mt mô thp lý vnhng mi e da cn ꢂꢆꢇc xác ꢂꢄnh  
trꢆꢜc và dtính phꢆơng pháp sdng. Hsơ bo vchrõ nhng yêu cu vꢐ  
thit k, thi hành, và cách sdng ca các sn phm Công nghthông tin.  
Hsơ bo vcó thꢅ ꢂꢆꢇc tích hp tnhng thành phn chc nng và sꢏ ꢂꢍm  
bo ꢂꢀc lp hoc cn xác ꢂꢄnh. Mt thành phn chc nng là mt thit lp xem  
nhcác yêu cu vchc nng bo vꢁ ꢂã ꢂꢆꢇc thi hành trong sn phm Công  
nghthông tin. Mt thành phn bo ꢂꢍm là mt thit lp ꢂꢆꢇc xem nhcác yêu  
cu vsphát trin và hot ꢂꢀng ánh giá, kim soát bi ngꢆꢛi sn xut và  
ngꢆꢛi ánh giá trong khi xây dng và ánh giá mt cách ꢂꢀc lp ca mt sn  
phm Công nghthông tin. ꢑꢅ thun tin, mt nhóm các thành phn ca chc  
nng và sbo ꢂꢍm ꢂꢆꢇc tích hp trong mt gói xác ꢂꢄnh trꢆꢜc. Trong khi xây  
dng hsơ bo v, vic thêm vào các thuc tính phi ꢂꢆꢇc cân nhc gia nhng  
chc nng và sbo ꢂꢍm.  
II. Ngun gc ca hsơ bo vꢐ  
4
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
Ngꢆꢛi tiêu dùng và nhà sn xut trong các tchc chính phhoc khu vc kinh  
ttnhân có thphát trin mt hsơ bo vꢁ ꢂꢅ ꢂáp ng li ꢂꢞc tcn thit vꢐ  
bo vthông tin. Nhng nhà phát trin hsơ, hoc nhà tài tr, vi mt scn  
thit an toàn có thꢅ ꢂꢐ xut mt hsơ bo vꢁ ꢂꢐ cp ꢂꢃn nhng vn ꢂꢐ hcn,  
nhng ꢂꢞc im ꢂꢞc trng hơn, nhng nhóm các nhà tài trcùng chung nhng  
yêu cu cn thit có thphi hp vi nhau ꢂꢅ ꢂꢐ xut mt hsơ tha mãn mong  
mun chung. Nhiu nhà tài trhtrmt cách có hiu qumt hsơ ꢂꢅ thꢅ  
hin mt thtrꢆꢛng rng ln nhiu tim nng ca các nhà sn xut sn phm  
Công nghthông tin.  
Mt hsơ bo vduy nht phn ánh nhng yêu cu cn thit vnhng thit lp  
khác nhau ca các nhà tài tr. Ví dcác ngân hàng có thꢅ ꢂꢐ xut mt hsơ bo  
vꢁ ꢂꢍm bo vic chuyn ꢂꢚi các khon tín dng hay Bquc phòng có thꢅ ꢂꢐ  
xut mt hsơ bo vcho các ng dng quân s. Mt hsơ bo vriêng lcó  
thcng áp dng cho nhiu sn phm Công nghthông tin, thhin tính a  
dng ca khnng gii quyt các yêu cu phác tho ca hsơ.  
Mt nhà sn xut, ngꢆꢛi ã nhn ra mt thtrꢆꢛng sn phm an toàn Công nghꢁ  
thông tin, cng có thꢅ ꢂꢐ xut mt hsơ theo cách phn ánh nhng yêu cu và  
mong mun ca khách hàng, và ꢂꢅ thun tin cho vic ánh giá trong tꢆơng lai  
tꢆơng phn vi nhng scn thit ó. Hsơ bo vmong mun áp ng toàn  
bnhng yêu cu ca khách hàng và thúc ꢂꢔy gia tng công ngh. Do ó hsơ  
bo vlà mt tham chiu chung xung quanh các khách hàng, các nhà sn xut  
và các nhà ánh giá.  
III. Ni dung Hsơ bo vꢐ  
Mt hsơ bo vcha nm phn chính: Mô tcác thành phn, cơ shp lý,  
nhng yêu cu vchc nng, nhng yêu cu vꢐ ꢂꢍm bo phát trin, nhng yêu  
cu vꢐ ꢂꢍm bo ánh giá.  
5
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
Phn mô tcác phn tcung cp mt cách minh bch và mô tcác thông tin cn  
thit ꢂꢅ nhn dng, phân loi, ꢂꢘng ký, và tham chiu chéo mt hsơ bo vꢁ  
trong vic ꢂꢘng ký ca hsơ. Phn này mô tngn gn vhsơ, bao gm mt  
smô tvcác vn ꢂꢐ bo vthông tin cn phi gii quyt. Phn này áp dng  
cho tt cnhng ngꢆꢛi có khnng sdng hsơ quyt ꢂꢄnh dùng hay không  
hsơ ꢂꢅ có thꢅ ꢊng dng ꢂꢆꢇc ti vic bo vthông tin cn thit ca khác hàng.  
Phn cơ shp lý cung cp nhng lí lcơ bn cho mt Hsơ bo v, bao gm  
lꢆꢛng trꢆꢜc e da, môi trꢆꢛng, nhng giꢍ ꢂꢄnh vcách sdng. Nó cng thꢅ  
hin mt cách chi tit hơn nhng vn ꢂꢐ bo vmà sn phm Công nghthông  
tin cn gii quyt tha mãn nhng yêu cu ca Hsơ. Phn này mô tnhng  
vn ꢂꢐ bo vꢁ ꢂꢉ chi tit cho nhng ngꢆꢛi sn xut ꢂꢅ hiu các khnng phân  
tán ca vn ꢂꢐ. Nó cng cung cp nhng thông tin cho khách hàng vvn ꢂꢐ sn  
phm Công nghthông tin nhthnào thì gii quyt thành công vn ꢂꢐ, có thꢅ  
sdng shtrca mt tâp hp các chính sách bo mt xác ꢂꢄnh trꢆꢜc.  
Phn nhng yêu cu vchc năng sꢓ ꢂꢆa ra ranh gii bo vthông tin mà sn  
phm công nghthông tin phi cung cp. Nhng e da ti thông tin nm trong  
vùng biên gii này phi ꢂꢆꢇc ngn chn bi nhng chc nng trong vùng  
ꢂꢆꢇc bo v. Nhng e da có thmnh hơn syêu cu nhng chc nng bo  
vht sc mnh m. Chc nng bo vca sn phm Công nghthông tin ꢂꢆꢇc  
htrbi mt tp hp các chính sách bo mt và kt hp vi giꢍ ꢂꢄnh nào ó vꢐ  
cách sdng ꢂꢆꢇc dtính ca sn phm và môi trꢆꢛng hot ꢂꢀng ã dtính  
trꢆꢜc.  
Phn nhng yêu cu bo đảm sphát trin bo phtoàn bmi giai on phát  
trin ca sn phm Công nghthông tin, tkhâu thit kban ꢂꢠu ꢂꢃn khi thc  
hin ꢂꢠy ꢂꢉ. Mt cách cth, nhng yêu cu bo ꢂꢍm sphát trin bao gm quy  
trình phát trin, môi trꢆꢛng phát trin, và hot ꢂꢀng htrnhng yêu cu. Thêm  
6
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
vào ó, tnhiu yêu cu bo ꢂꢍm không tht scó ththnghim ꢂꢆꢇc, nó rt  
cn thit ꢂꢅ nghiêm cu nhng bng chng phát trin ca sn phm Công nghꢁ  
thông tin hoc tài liu ꢂꢅ xác minh rng nhng yêu cu ã ꢂꢆꢇc tha mãn.  
Nhng yêu cu vbng chng sphát trin bao hàm trong mt Hsơ bo vꢁ  
chc chn ꢂꢅ nhà sn xut to ra và gili tài liu thích hp trong khi phát trin  
sn phm ꢂꢃn nhng phân tích trong giai on ánh giá và duy trì sn phm.  
Phn nhng yêu cu bo đảm đánh giá chrõ loi và mc ꢂꢀ ꢂánh giá vic thc  
hin mt sn phm công nghthông tin, phát trin trong sꢏ ꢂáp ng ꢂꢆꢇc mt  
Hsơ bo vnht ꢂꢄnh. Tng quát cho mt sn phm công nghthông tin, phm  
vi và mc ꢂꢀ ꢂánh giá bin thiên theo e da lꢆꢛng trꢆꢜc, xác ꢂꢄnh cách thc sꢟ  
dng, và môi trꢆꢛng giꢍ ꢂꢄnh nhꢆ ꢂã chrõ bi nhng ngꢆꢛi phát trin hsơ  
trong phn cơ shp lý.  
Cu trúc ca Hsơ bo v:  
Miêu tcác Cung cp minh bch và mô tthông tin cn thit ꢂꢅ nhn dng  
phn tꢟ  
duy nht, ꢂꢘng ký, và tham chiu chéo mt hsơ bo vtrong  
vic ꢂꢘng ký hsơ. Bao gm mt mô tvcác vn ꢂꢐ bo vꢁ  
thông tin cn phi gii quyt.  
Cơ shp lý Cung cp nhng lí lun cơ scho mt hsơ bo v, bao gm  
ngn chn e da, môi trꢆꢛng, và giꢍ ꢂꢄnh vcách sdng.  
Hꢆꢜng ti shtrcho vic tchc nhng chính sách an  
toàn.  
Nhng yêu Thit lp biên gii ca vic chu trách nhim bo vthông tin,  
cu vchc nó phi cung cp bi mt sn phm IT, lꢆꢛng trꢆꢜc nhng e  
nng  
da ti thông tin trong vùng biên gii ã thit lp.  
Nhng yêu Chrõ nhng yêu cu cho tt ccác bꢆꢜc phát trin mt sn  
7
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
cu bo ꢂꢍm phm IT tkhâu thit kꢃ ꢂꢃn khi thc hin. Bao gm quy trình  
phát trin  
phát trin, môi trꢆꢛng phát trin, htrhot ꢂꢀng, chng minh  
sphát trin.  
Nhng yêu Chrõ nhng yêu cu ꢂꢍm bo loi và mc ꢂꢀ ꢂánh giá sꢏ  
câu bo ꢂꢍm thc hin phát trin mt sn phm IT trong vic áp ng ꢂꢆꢇc  
ánh giá  
mt hsơ bo vphù hp vic ngn chn nhng e da, dꢏ  
ꢂꢄnh phꢆơng pháp sdng, và giꢍ ꢂnh vmôi trꢆꢛng.  
Chꢆơng  
Quá trình phát trin  
2
Quá trình phát trin  
Nhng hsơ bo vca chính phU.S.  
Version 3.0 (1/3/2004)  
Tchc bo ꢂꢍm thông tin quc gia (NIAP)  
Quá trình phát trin hsơ bo vꢁ  
I. Gii thiu  
ꢑꢅ phù hp vi lut chung 100-235 (Blut an toàn máy tính 1987), vin  
nghiên cu vchun và công nghquc gia (NIST) tchc an ninh quc gia  
(NSA) cùng nhau hp tác ꢂꢅ phát trin các yêu cu bo mt các lnh vc công  
nghcó tính cht khóa thit yu trong sbo vhthng và mng lꢆꢜi thông tin  
8
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
liên bang, bao gm các bang trong nꢆꢜc M. Shꢆꢜng dn nói chung vnꢪ  
lc phát trin ca NIST – NSA cha trong phn ính kèm A (Cui chꢆơng)  
Mi khi có ththc hiên ꢂꢆꢇc, yêu cu bo mt sthhin nhlà hsơ bo vꢁ  
sdng chun ISO/IES 15408, hoc tiêu chí chung CC. Trong phn sau, quan  
hgia yêu cu bo mt và hsơ bo vsꢓ ꢂꢆꢇc ꢂꢐ cp ꢂꢃn nhng stꢆơng  
ꢂꢆơng.  
NIST và NSA nlc thc hin công vic:  
* Bo ꢂꢍm cho chính phU.S có stính toán bao hàm toàn bsgii thiu  
vhsơ bo vca các lnh vc công nghcó tính cht chìa khóa;  
* Scng tác bên ngoài vtính cng ꢂꢡng và khu vc kinh ttnhân ꢂꢆꢇc  
phát trin và thu ꢂꢆꢇc snht trí da trên tm quan trng ca hsơ bo vꢁ  
trong khi tho lun các bphn bo v.  
* ꢑꢅ to thun tin cho sthng nht gia quc gia và trên thgii vnhng  
hsơ bo vPP trong các lnh vc công nghcó tính cht khóa.  
Tài liu này mô tquy trình iu mà sꢓ ꢂꢆꢇc NIST và NSA theo ui dành ꢂꢅ  
phát trin và duy trì ca hsơ bo vPP trong mi vùng kthut có tính cht  
chìa khóa bao gm sthay ꢂꢚi nhng yêu cu hin ti, chuyn ꢂꢚi sang yêu cu  
mi, loi bnhng yêu cu c. Nhng thành phn hp thành quá trình này ꢂꢆꢇc  
mô tdꢆꢜi ây  
II. Vòng ꢜꢝi hsơ bo vꢐ  
Danh sách phát trin lnh vc công ngh(TADL)  
Danh sách phát trin lnh vc công nghlà mt danh sách u tiên vhsơ bo  
vcái mà NIST và NSA phát trin hoc ꢂꢆa ra sơ ꢂꢡ phát trin, chra nhng  
ràng buc vtài nguyên cn có.  
9
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
Bng 1 dꢆꢜi ây miêu tnhóm 10 lnh vc công nghcó tính cht khóa và cung  
cp thông tin liên quan ꢂꢅ phê chun trong quy trình phát trin hsơ bo v.  
Thêm vào ó là các thông tin vmt scông nghcó tính cht chìa khóa hoc  
hsơ bo vcó thꢅ ꢂꢗt ꢂꢆꢇc qua thꢆ ꢂin tgii ti ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc  
công ngh(TAL-Technology Area Leader)... Mi quan hcó trt tnhng hꢡ  
sơ bo vꢁ ꢝ trong mt lnh vc công nghcthꢅ ꢂꢆꢇc miêu tbi sgia tng  
cp ꢂꢀ bn vng cơ bn (ngha là: bn vng vchc nng và sbo ꢂꢍm) trên  
nhng e da giꢍ ꢂꢄnh và kt hp nhng ꢂꢈi tꢆꢇng bo mt. Sn phm ꢂꢆꢇc  
ánh giá và phê chun thành công phi ꢂꢞt tꢆơng phn vi mt hsơ bo vꢁ  
trong hlnh vc công nghcthꢅ ꢂã ꢂꢆꢇc chrõ, trong schp thun vi mt  
shsơ cp ꢂꢀ thp hơn trong cùng h.  
10  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
Bng1:  
11  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
12  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
III. Ngꢊꢝi ꢜꢠng ꢜꢍu lnh vc công nghꢐ  
Mi lnh vc công nghꢁ ꢂꢆꢇc chn ꢂꢅ phát trin tDanh sách phát trin lnh  
vc công nghTADL, mt ngꢆꢛi ꢂꢊng ꢂꢠu sꢓ ꢂꢆꢇc bnhim là ngꢆꢛi chu  
trách nhim qun lý sphát trin vlý thuyt ca hsơ bo vtrong lnh vc  
công nghcth, bao gm sphát trin và bsung vào sơ ꢂꢡ lnh vc công  
nghꢁ ꢂó. Ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công nghsꢓ ꢂꢆa ra nhng tài nguyên cn  
thit ꢂꢅ hoàn thành snlc phát trin và chu trách nhim toàn bcác giai  
on phát trin ca hꢒ ꢂó, bao gm cduy trì nhng hhsơ này. Bng 1 danh  
sách ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công nghkt hp vi lnh vc công nghca hꢒ  
chu trách nhim.  
IV.Tính nht quán phát trin lnh vc công nghꢐ  
(TAL)  
NSA và NIST có ꢂꢆa ra mt stiêu chí chung vhsơ bo vtha mãn nhng  
li ꢂꢐ xut thu ꢂꢆꢇc thꢆꢜng dn trên nhng công nghbo ꢂꢍm thông tin (IA).  
Trong phm vi quc phòng, tkhi thc thi ꢂꢃn htrnhng chính sách hthng  
DoD IA mi ( nhlà DoDD 8500.1 và DoDI 8500.2). Trong tchc an ninh  
13  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
quc gia, công vic này bt ꢂꢠu thc hin ꢂꢃn htrNIST FISMA (Federal  
Information Security Community Act – Blut qun lý an ninh thông tin liên  
bang) dán bsung và phát trin ca NIST SP 800-37. Tháng 10/2001, NSA và  
NIST (National Institute of Standards and Technology) ꢂꢡng ý hp tác làm vic  
cùng nhau ꢂꢅ to ra mt mi liên hvthit lp hsơ ꢂã ꢂꢆꢇc miêu ttrong sꢏ  
quan tâm chung ca hai tchc.  
Vi nhiu hsơ hin nay ꢂꢆꢇc phát trin bi ông ꢂꢍo tchc, trong khuôn khꢚ  
NIST và NSA, nó trnên rõ ràng trong ssp xp ca tchc ꢂꢊng ꢂꢠu mi  
lnh vc, Hsơ bo vbo ꢂꢍm thông tin (IA) ã nlc nhng gì cn thit ꢂꢅ  
to nên shp tác cht chꢓ ꢂꢅ ddàng miêu tmt cái nhìn chin lꢆꢇc phù hp  
vi khách hàng cơ bn. Sphù hp rt quan trng ꢂꢅ to nên và duy trì stin  
cy ca khách hàng trong sn phm và sách hꢆꢜng dn.  
Cui cùng, mt liên hip nhóm làm vic thng nht hsơ bo v, gi là Ban  
xem xét hsơ bo v(PPRB), trthành tchc xem xét li tt cꢍ ꢂꢐ xut  
nhng hsơ bo vvà làm vic vi tác gihsơ bo vꢂꢆa ra phê bình to  
nên sthng nht có ththc hin ꢂꢆꢇc. Hot ꢂꢀng ꢂꢠu tiên ca nhóm là xem  
li mt shsơ bo vvà mt sli phê bình ti nhng tác gitrên các lnh vc  
công nghvà shꢆꢜng ti thay ꢂꢚi ꢂꢅ thng nht. Trong bi cnh ꢂꢆꢇc xem xét  
ꢂꢠu tiên, mt smc thng nht ã ꢂꢗt ꢂꢆꢇc và ꢂꢆꢇc ghi li ꢂꢆa vào trong mt  
tài liu là sách hꢆꢜng dn sthng nht. Scó mt sách hꢆꢜng dn thng nht  
cho mi mc ca cp ꢂꢀ (cơ bn, trung bình và cao ꢂꢅ phát trin) scung cp  
cho tác gihsơ bo vhꢆꢜng dn làm thnào ꢂꢅ to ra nhng hsơ bo vꢁ  
ca chính phU.S thng nht hơn.  
Tài liu hin nay cung cp cho các tác gihsơ bo v, sách hꢆꢜng dn cung  
cp cho tt cmi tác gihsơ bo vhꢆꢜng ꢂꢃn và chn la, bao gm sgii  
thiu trong hsơ bo vca hhoc chra ti sao gii thiu mà không sdng  
14  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
ꢂꢃn hsơ. Phꢆơng pháp này bo ꢂꢍm rng tt cmi tác gihsơ bo vhꢆꢜng  
ti scân nhc an toàn ti thiu hoc thc hin mt phân tích nhti sao hꢒ  
không hꢆꢜng ti. Mi chdn ꢂꢀc lp cha ꢂꢏng, ꢂꢆa ra và chn la vn bn  
cho mi phn cthca mt hsơ bo vhoc tiêu chí chung cthcho yêu  
cu chc nng/ꢂꢀ an toàn cng nhtt chsơ bo vhꢆꢜng ti mi quan tâm  
an toàn ti thiu cho tt ctình trng bn vng hsơ bo v.  
Sách hꢆꢜng dn lu ý quyn quyt ꢂꢄnh ni dung ca hsơ bo vlà ca ngꢆꢛi  
shu hsơ bo v. Tuy nhiên, hsơ phi phù hp vi hsơ khác trong cùng  
tình trng bn vng vì vy tác gisxem li nhng hsơ khác cùng cp ꢂꢀ bn  
vng. Tác gicng ꢂꢍm bo yêu cu chc nng phù hp vi công nghvà có  
thmun tho lun vi nhng nhà chuyên môn khác trong lnh vc công ngh.  
Hsơ bo vtip tc ꢂꢆꢇc xem xét li, sách hꢆꢜng dn stip tc cp nht ꢂꢅ  
ꢂꢆa ra chdn mi khi chúng có hiu lc.  
V. Danh sách gii thiu Hsơ bo v(RPPL)  
Danh sách gii thiu hsơ bo vgm có mt danh sách vhsơ bo vtrong  
giai on phát trin, và sơ lꢆꢇc vshoàn thin ánh giá/thông qua. Khi mt hꢒ  
lnh vc công nghꢁ ꢂꢆꢇc chn tDanh sách phát trin lnh vc công nghꢁ  
(TADL) ꢂꢅ phát trin, mt shꢆꢜng dn to ra tDanh sách gii thiu hsơ  
bo vsꢓ ꢂꢆa ra nhng nét chyu vkhu vc công cng và khu vc kinh ttꢆ  
nhân, iu này to ra tính tích cc cho sphát trin ã ꢂꢐ xꢆꢜng.  
Khi mt hhsơ bo vkhi ꢂꢆꢇc hoàn thin và ánh giá/phê chun, tình trng  
ca Danh sách gii thiêu hsơ bo vcng sꢓ ꢂꢆꢇc thay ꢂꢚi tꢆơng ng. Khi  
hoàn thành, mt hmiêu tꢍ ꢂꢆꢇc NIST và NSA gii thiu thit lp trong yêu cu  
ca mt lnh vc công nghcth. Nó là mt bn tuyên bbi NIST và NSA  
15  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
cung cp yêu cu có thchp nhn bo vtꢆơng ng, chrõ nhng mi e da  
tmôi trꢆꢛng. Khi tchc liên bang phát trin nhng hthng phc tp, skt  
hp thành mt hthng hay sa ꢂꢚi, NIST và NSA skhuyn khích mnh mꢓ  
các tchc sn xut chn lnh vc công nghsdng trong hthng ca hꢒ  
(chng li e da cơ bn tmôi trꢆꢛng) cái mà ã ꢂꢆꢇc ánh giá/phê chun ꢂꢞt  
tꢆơng phn vi Hsơ bo vtiêu chí chung cha trong Danh sách gii thiu hꢡ  
sơ bo v.  
ó là scó ththc hin ꢂꢆꢇc ca các nhà phát trin sn phm trong mt lnh  
vc công nghcth, scó sthay ꢂꢚi trong vic chp nhn tha mãn mt hꢒ  
hsơ bo vgn ây mt lnh vc công ngh(ngha là: khi hoàn thành hlnh  
vc công nghta xp hng lên bng RPPL). ꢑꢅ thun tin cho vic thay ꢂꢚi sꢏ  
phát trin lnh vc công nghgn ây, các tchc ꢂꢐ xut cho các nhà phát trin  
giám sát Danh sách phát trin lnh vc công ngh(the Technology Area  
Development List) và Danh sách gii thiu hsơ bo v(Recommended  
Protection Profile List) trên mt nn tng chung:  
- Xác ꢂꢄnh rõ nu vùng kthut liên quan ꢂꢃn sphát trin hsơ bo vhin  
nay.  
- Xác ꢂꢄnh rõ nu snlc phát trin trong vùng kthut ã ꢂꢆꢇc khi  
xꢆꢜng.  
- Giám sát sxúc tin ca vic phát trin hsơ bo vtrong lnh vc công  
nghca h.  
- ꢑꢗt ꢂꢆꢇc phiên bn cui cùng trong dòng lnh vc công nghca hsơ bo  
v.  
Khi mt dòng lnh vc công nghca hsơ bo vꢁ ꢝ vtrí ꢂꢠu tiên trên RPPL,  
các tchc chính phkhuyn khích tham chiu ꢂꢃn hsơ bo vtrong tài liu  
ꢂꢗt ꢂꢆꢇc và smong chsn phm ꢂꢗt ꢂꢆꢇc hoàn toàn phù hp vi Hsơ (nhꢆ  
ꢂꢆꢇc chng minh bi mt giy chng nhn CC). Tuy nhiên, nó ꢂꢆꢇc chng  
16  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
nhn chm hơn, trꢆꢜc khi các nhà phát trin trong lnh vc công nghcó thꢅ  
chng minh shoàn toàn phù hp vi hsơ bo vꢁ ꢂꢆꢇc gii thiu gn ây  
trong lnh vc công nghca h, tsphù hp có thphthuc sthay ꢂꢚi  
trong sn phm ca htrong ln ánh giá tiêp theo/ánh giá li. Thêm vào ó,  
mt snhà thit kcó thꢅ ꢂã có giy chng nhn Tiêu chí chung (CC) hp lvꢐ  
thc hin ánh giá li, ꢂꢞt tꢆơng phn vi mc ích an toàn ca hhsơ bo vꢁ  
hoc tꢆơng phn vi stn ti ca hsơ bo vtrong lnh vc kthut ó. ꢑꢃn  
khi các nhà phát trin có ꢂꢆꢇc mt cơ hi thay ꢂꢚi ꢂꢅ ꢂꢆa vào Hsơ bo vꢁ  
ꢂꢆꢇc gii thiu gn ây, nhng hꢆꢜng dn sau ây cung cp cho các tchc  
chính ph, ngꢆꢛi tiêu dùng và nhà thit ksn phm:  
- Tchc chính phla chn ánh giá/phê chun sn phm tha mãn tt nht  
hsơ bo vꢁ ꢂꢆꢇc gii thiu gn ây và tha mãn hthng nhng yêu cu  
cth. Trong vic to nên các quyt ꢂꢄnh, htin cy vào hot ꢂꢀng ánh giá  
ꢂꢀc lp, qun lý bi phòng thí nghim ánh giá Tiêu chí chung ã ꢂꢆꢇc tha  
nhn, sꢏ ꢂánh giá mt sn phm cthphù hp vi hsơ bo vꢁ ꢂꢆa ra gn  
ây.  
- Nhà phát trin vi hot ꢂꢀng ánh giá/phê chun nhng sn phm mong  
mun chng tsꢏ ꢂánh giá phù hp vi mt Hsơ bo vꢁ ꢂꢆa ra gn ây,  
có thrút gn vi phòng thí nghim ánh giá Tiêu chí chung sơ bꢀ ꢂꢆꢇc  
chp nhn ꢂꢅ thc hin mt hot ꢂꢀng ánh giá, hsơ ca sꢏ ꢂánh giá, phm  
vi ánh giá ꢂꢈi tꢆꢇng ca nhà phát trin phù hp vi Hsơ bo vꢁ ꢂꢆa ra  
gn ây.  
VI. Duy trì Hsơ bo vꢐ  
Mt sphát trin và thay thtrên Danh sách gii thiu hsơ bo v, mt hlnh  
vc công nghꢁ ꢂꢆꢇc cân nhc mt cách ꢂꢄnh kꢦ ꢂꢅ làm rõ nu hcác yêu cu  
ca hsơ bo vꢁ ꢂã chp nhn ꢂꢆꢇc n ꢂꢄnh, vi sthay ꢂꢚi công nghnhanh  
17  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
chóng ngày nay, mc ꢂꢀ ꢂe da ngày càng mnh m, và thêm nhng yu tꢈ  
khác. Mt khác, tkhi nhng nhà phát trin sto ra nhng sꢏ ꢂꢠu tquan trng  
trong stha mãn nhng yêu cu và tri qua ánh giá chng tphù hp vi  
nhng yêu cu, chúng sꢓ ꢚn ꢂꢄnh nhlà tng nhng yêu cu ti a vvn ꢂꢠu  
t. NIST và NSA tha nhn scân bng phi ꢂꢗt ꢂꢆꢇc gia scn thit vsꢏ  
thay ꢂꢚi hoc sm ꢂꢞt ra nhng yêu cu thit lp và tng ti a vphía ꢂꢠu tꢆ  
to ra bi các nhà phát trin. Bi vy, hlnh vc công nghphi bao gm kꢃ  
hoch xem xét li theo ꢂꢄnh k, sthay ꢂꢚi, và sm ꢂꢆa ra nhng yêu cu mi.  
Tuy nhiên, sau ây là nhng quy tc sꢓ ꢂꢆꢇc áp dng cho sthay ꢂꢚi hoc sm  
ꢂꢆꢇc sa cha ca nhng Hsơ bo vꢁ  
(1) Quyt ꢂꢄnh thay ꢂꢚi và sa ꢂꢚi hsơ bo vsthc hin và xem xét cht  
chbt ckhi nào thc hin ꢂꢆꢇc trong smrng, quá trình sdng  
chung trong toàn bscng tác vi ngành công nghip, các tp oàn, và  
các tchc vchun ꢂꢅ bo ꢂꢍm ꢂꢗt sti a vschp nhn và tin li.  
(2) Khi thay ꢂꢚi vhlnh vc công nghca hsơ bo vꢁ ꢂꢆꢇc hoàn thành,  
nhà phát trin sꢓ ꢂꢆa ra thi kchuyn tip 18 tháng ꢂꢅ chng tsphù  
hp ca cái mi hoc sthay ꢂꢚi ca nhng hsơ bo v.  
(3) Nhng sn phm tuân theo phiên bn trꢆꢜc ca hsơ bo vsꢓ ꢂꢆꢇc  
chp nhn nhmt tꢆơng ꢂꢆơng hoc có thso sánh ꢂꢆꢇc vi hsơ mi  
trong 18 tháng trong thi kchuyn tip.  
VII. Sthng nht gia quc gia và quc tvHsơ  
bo vꢐ  
Thông qua tiu ban qun lý hp tác công nhn ln nhau vtiêu chí chung  
(CCRA – Common Criteria Recognition Agreement) quan tâm ꢂꢃn nlc phát  
trin hsơ bo vca mi quc gia và quc tbi các chính phkhác và các tꢚ  
chc kinh ttnhân (VD tchc Liên bang, tchc tha nhn tiêu chí chung,  
18  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
ngành công nghip, các tp oàn, NATO, liên minh châu ÂU…) sꢓ ꢂꢆꢇc duy  
trì. Trong squan tâm ó, nhng thành viên ca y ban qun lý chim vtrí  
quan trng nht ꢂꢅ công nhn thi im cho sthng nht gia quc gia và quc  
tvhsơ bo v. Bt kkhi nào có ththc hin ꢂꢆꢇc, các thành viên sꢓ ꢂꢆa  
ra cho nhng ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công ngh(TALs) quan tâm ꢂꢃn mi  
quan hnlc phát trin hsơ bo vtrong lnh vc công nghtꢆơng ng và  
khuyn khích ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công nghhꢆꢜng ꢂꢃn sphù hp gia  
nhng hsơ và schp nhn hoc thích nghi trꢆꢜc khi nhng nlc mi/khác  
ꢂꢆꢇc khi xꢆꢜng trong cùng lnh vc công ngh. Ngꢆꢛi ta cng chu trách  
nhim cho mi ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công nghꢁ ꢂꢅ tìm ra mi liên hgia  
nhng nlc vhsơ bo vvà cân nhc sthích hp gia kt qunhng hsơ  
ꢂꢆꢇc chp nhn hoc có nhng sa cha cho phù hp trꢆꢜc nhng ꢂꢐ xꢆꢜng vꢐ  
nlc phát trin ca h.  
Tiu ban qun lý Tchc công nhn ln nhau vtiêu chí chung (The CCRA) ꢂꢗi  
din cho mi quc gia slà tiên phong trong vic khuyn khích scng tác gia  
nlc phát trin hsơ bo vca chính phU.S và nhng nlc phát trin ca  
chính phkhác và các tchc kinh ttnhân. Vi mc ích ꢂꢗt ꢂꢆꢇc schp  
nhn và hi tca Hsơ trong lnh vc công nghkhóa. Nói mt cách cth,  
ꢂꢗi din cho quc gia vi tiu ban qun lí slàm vic thông qua y ban qun lí  
Tiêu chí chung và Tiu ban qun lí hoc trc tip vi ngꢆꢛi tham gia công nhn  
ssp Tiêu chí chung ꢂꢅ hp tác phát trin hsơ bo vtránh sgia tng cnh  
tranh hsơ trong cùng mt lnh vc công ngh.  
Bình lun cơ shtng bo v(CIP)- liên quan ꢜꢣn khu vc phát  
trin ca yêu cu an toàn.  
19  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
NIST và NSA, thông qua Tchc hp tác bo ꢂꢍm thông tin quc gia (NIAP),  
skhuyn khích nhng cng ꢂꢡng quan tâm ꢂꢃn mi quan hkhu vc CIP (bao  
gm Chính ph(VD DOD, DHS) và các tchc kinh ttnhân (VD ngân  
hàng, y hc) ꢂꢅ phát trin và httrong các yêu cu bo mt trong lnh vc  
tꢆơng ng. Vi các tài nguyên sn có, NIAP có thꢅ ꢂꢘng cai cng ꢂꢡng cơ bn  
hot ꢂꢀng phát trin hsơ, cung cp gii hn htrqun trvà cung cp gii  
hn kthut htrhoc hꢆꢜng dn ꢂꢅ sdng tiêu chí chung và NIAP ánh  
giá/phê chun sp xp theo hthng. Tuy nhiên, cng ꢂꢡng quan tâm ꢂꢃn ã  
trông chvào quyn shu trong hot ꢂꢀng ca sphát trin, bao gm cung  
cp tp thlãnh ꢂꢗo, tài tr/tài nguyên, và kthut chuyên môn. NIST và NSA  
ꢂꢐ nghcng ꢂꢡng quan tâm chp nhn và tuân theo yêu cu qua quy trình ꢂꢗt  
ꢂꢆꢇc tꢆơng ng và các phòng thí nghim ánh giá tiêu chí chung thông qua sꢏ  
phù hp nhng yêu cu ca h. Thêm vào ó, sdng ánh giá và thông qua Hꢡ  
sơ bo vca NIAP có thnhiu tchc phù hp và tha mãn nhng yêu cu  
ca Blut qun lí an toàn thông tin liên bang (FISMA – Federal Information  
Security Managerment Atc).  
Phn ính kèm A  
Nguyên lý phát trin ca Hsơ bo vꢁ  
-Yêu cu bo mt sꢓ ꢂꢆꢇc thhin, bt ckhi nào có th, sdng chun  
quc tISO/IEC 15408 (CC) và ꢂꢆꢇc trình bày trong khung ca Hsơ bo  
v.  
-Hsơ bo vsꢂꢈi tꢆꢇng ca vùng chu stác ꢂꢀng cao trong gii hn  
cơ shtng vi khu vc rng ln htrbo ꢂꢍm stham gia ꢂꢠy ꢂꢉ bi  
ngành công nghip  
-Hsơ bo vsphát trin trong lnh vc công nghcó tính cht chìa khóa  
(VD HH, hthng cơ sdliu, firewall, tokens, thit btrc sinh hc,  
20  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
khóa các thành phn cơ shtng, mng riêng o VPN) và nhng mt khác  
nhau ca các ꢂꢞc trng bo mt và bo ꢂꢍm tùy theo môi trꢆꢛng ꢂꢞt ra ꢂꢅ sꢟ  
dng.  
-Yêu cu an toàn trong cùng lnh vc công ngh(VD HH) sꢓ ꢂꢆꢇc mô tꢍ  
ꢂꢞc im, ngay khi có th, bi mt hca hsơ bo v, trong mi quan hcó  
thbc ꢂꢔy mnh sso sánh có thbi ngꢆꢛi tiêu dùng và thnghim giá cꢍ  
thc tꢃ ꢂꢅ kim tra và ánh giá trong công nghip.  
-Hsơ bo vsꢓ ꢂꢆꢇc phát trin và hiu ính, ngay khi có th, trong quá  
trình m, cng ꢂꢡng dùng chung trong scng tác hoàn toàn vi ngành công  
nghip, các tp oàn, và các nhóm chun ꢂꢅ ꢂꢍm bo ti a schp nhn và  
thích hp sdng.  
-Hsơ bo vgii thiu bi chính phMsꢓ ꢂꢆꢇc ánh giá bi các tchc  
ꢂꢀc lp, tchc kinh ttnhân (com) phòng thí nghiêm ánh giá Tiêu chí  
chung và thông qua bi Tchc bo ꢂꢍm thông tin qc gia (NIAP) hoc các  
tchc tꢆơng ꢂꢆơng.  
-Hsơ bo vsꢓ ꢂꢆꢇc qun lý trong quy trình vòng ꢂꢛi vi sthay ꢂꢚi thích  
hp gia các phiên bn (ꢂꢆꢇc phát hành mi) cân xng chuyên sâu trong  
công nghtꢆơng phn vi mong mun n ꢂꢄnh vyêu cu và ꢂꢀ bo vꢁ ꢆu  
tiên ꢂꢠu ttrong sn xut và ánh giá hthng an toàn.  
-Tchc liên bang scvvic sdng Hsơ bo vꢁ ꢂꢆꢇc gii thiu bi  
NIST và NSA trong khu vc tꢆơng ng (phꢆơng pháp tꢆơng ng trên cơ  
bn) tùy theo san toàn và bo ꢂꢍm cn thit ca các tchc hoc các chính  
sách các ꢂꢞc thin nay trong thc hin.  
-Hsơ bo vꢁ ꢂꢆꢇc gii thiu bi NIST và NSA sꢓ ꢂꢆꢇc ꢂꢔy mnh ti cng  
ꢂꢡng chun quc gia và quc tꢃ ꢂꢅ thun tin nht trí xây dng trên các yêu  
cu an toàn trong phê bình các thành phn áp dng các quan hbo v.  
21  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
Phn ính kèm B  
Quy trình phát trin và duy trì vòng ꢂꢛi ca các hPP  
Sphát trin ca PP  
Giai don I: Chun bsphát trin  
Mi lnh vc công nghtrong danh sách phát trin lnh vc công ngh(TADL),  
ngꢆꢛi ꢂꢊng ꢂꢠu shp tác hot ꢂꢀng ꢂꢅ phát trin trong tchc ngꢆꢛi ꢂꢢng  
ꢂꢠu lnh vc công ngh. Li khuyên hot ꢂꢀng:  
(1) Phm vi ca nlc phát trin ca hhsơ bo v, bao gm scân  
nhc nhlà các ꢂꢞc tvmi e da tmôi trꢆꢛng ꢂꢆꢇc nghti, ranh gii ca  
các lnh vc công nghdꢆꢜi scân nhc, các giao din giꢍ ꢂꢄnh và iu khin  
môi trꢆꢛng ngoài ranh gii tuyên b.  
(2) Sꢏ ꢂꢐ cca nhng ngꢆꢛi tham gia vsau trong quy trình phát trin  
PP ꢂꢅ thun tin thông qua/chp nhn, bao gm khu vc công cng và khu vc  
kinh ttnhân vi chai tính quc gia và quc t.  
(3) Mt mc quan trng ꢂꢆa vào lꢆꢇc ꢂꢡ nhim vphát trin ca các h,  
vi tm quan trng nhanh chóng ꢂꢗt ꢂꢆꢇc shi tca các yêu cu.  
(4) Mt sơ ꢂꢡ dùng tài nguyên smô ttài nguyên nhthnào dành cho nꢪ  
lc phát trin.  
(5) Sgii thiu nguyên mu ban ꢂꢠu ca hsơ bo v, bt cschp nhn  
nào nhcác im bt ꢂꢠu trong quy trình phát trin.  
(6) Bng lit kê nhóm làm vic thích hp, hi tho công cng, và nhng  
din àn khác ꢂꢐ xut ꢂꢅ nhanh chóng ꢂꢗt ꢂꢆꢇc sthng nht trong hcác  
hsơ bo v.  
(7) Bng lit kê xét li và xem xét cht chbn tho hsơ phát trin bi  
chính ph, ngành công nghip, hc vin, tchc hp tác sp sp công nhn  
Tiêu chí chung.  
22  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
(8) Bng lit kê xem xét ꢂꢄnh k, sꢟ ꢂꢚi, và sm sa ꢂꢚi Hsơ bo v.  
Gia on II: - Phát trin bn tho ban ꢂꢠu ca hsơ bo vvà xem xét li bn  
tho bi Ban xem xét Hsơ bo v(PPRB): trong vòng 60-180 ngày (2-6 mth)  
sau khi chp nhn chun bcho hsơ bo v.  
- Sthay ꢂꢚi úng lúc ꢂꢅ hoàn thin nhim vphthuc vào sphc tp ca  
PP và lnh vc công nghvà có hiu lc PP phthuc PP tnhiu ngun  
khác.  
- Ban xem xét Hsơ bo vlàm vic vi ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công nghꢁ  
ꢂꢅ bo ꢂꢍm bn tho PP úng vi phát biu ngun gc ca sphát trin và  
tha mãn chun thng nht ã ꢂꢆꢇ chính thc hóa trong sách hꢆꢜng dn  
thông nht.  
- Ban xem xét Hsơ bo vꢁ ꢂꢆa ra nhng gii thiu cho Ngꢆꢛi ꢂꢊng ꢂꢠu lnh  
vc công nghvvic chp nhn ꢂꢆa Hsơ bo vra xem xét mt cách  
công khai.  
Giai on III – Thi kphê bình công khai vbn tho hsơ bo v: trong vòng  
15 ngày sau khi nhng bn tho ꢂꢠu tiên ca hsơ bo vhoàn thành.  
- Gian on phê bình công khai scó 30-60 ngày phthuc ꢂꢀ phc tp và  
tm quan trng trong PP.  
- Hsơ bo vsbsung trong Web site NIAP (Tchc bo ꢂꢍm thông tin  
quc gia) và nhng trang Web chính phnhmt sthích hp ꢂꢆꢇc mô tꢍ  
bi nhng ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công ngh(TAL)  
- Thông tin phn hi ꢂꢞc ttrên bn tho hsơ bo vsꢓ ꢂꢆꢇc sdng xut  
phát tphn miêu tsgiao thoa gia khách hàng và nhà sn xut sn phm  
công nghthông tin và hthng hꢆꢜng ti bi hhsơ.  
- miêu tca ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công ngh, mt din àn IATF có  
thgivng sgii thiu và bình lun vhsơ và tp hp cuc hi tho nu  
thích hp.  
23  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
Giai on IV: -Sxem xét lai bn tho cơ bn hsơ bo vꢁ ꢝ phê bình công  
khai: trong vòng 30 ngày sau khi hoàn thành giai on phê bình  
- miêu tca ngꢆꢛi ꢂꢊng ꢂꢠu lnh vc công ngh, phthuc vào slꢆꢇng  
ꢂꢀ phc tp ca sphê bình và kt qunhng thay ꢂꢚi thsơ bo v,  
mt stng thêm gian on phê bình có thꢅ ꢂꢆc ghi vào danh mc.  
Giai on V: - ánh giá và phê chun hsơ bo v: trong vòng 90-120 ngày sau  
khi ꢂꢆa ra xem xét hsơ bo vti mt phòng thí nghim NIAP.  
Giai oan VI: Công bhsơ bo v: Ngay khi hoàn thành vic ánh giá và  
thông qua hsơ bo vvà cp chng nhn giy Tiêu chí chung.  
- Cp nht danh sách gii thiu hsơ bo vtrên Web site ca NIAP.  
- Công bthông qua hsơ trên Web site NIAP và IAF  
- Chun bthông báo công khai, mt cách thích hp trên các phꢆơng tin.  
Chꢆơng  
cphnchínhcamtHsơbovcthꢅ  
3
Các phn chính ca Hsơ bo vdành cho Hꢁ ꢂiu hành a mc trong môi  
trꢆꢛng bn vng trung bình  
1. Gii thiu: Cha nhng thông tin tng quan cn thit vhsơ bo vꢁ ꢂꢅ ꢂꢘng  
ký mt hsơ bo v.  
1.1 Nhn dng vhsơ  
1.2 Tng quan: gii thiu tng quan  
24  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
1.3 Stha nhn ln nhau vgiy chng nhn tiêu chí chung: Hsơ này có các  
thành phn hp thành ꢂꢗt mc ánh giá EAL4  
1.4 Nhng tha thun: nêu ra nhng vn ꢂꢐ ꢂꢆꢇc coi nhꢆ ꢂã ꢂꢆꢇc quy ꢆꢜc ꢂꢅ  
giúp ngꢆꢛi ꢂꢒc dhiu.  
1.5 Nêu ra nhng tchuyên môn ꢂꢆꢇc gii thích rõ ràng.  
1.6 Tchc hsơ: Nêu ra cách tchc ca hsơ gm các phn chính:  
Phn 1: Cung cp nhng tliu gii thiu vhsơ bo vnày  
Phn 2: Miêu tmc ích ánh giá vmt vch ra cách sdng và cách liên kt  
ꢂꢃn nó.  
Phn 3: Chra nhng mong ꢂꢇi môi trꢆꢛng an toàn vmt nhng e da ti  
tính an toàn ca nó, nhng giꢍ ꢂꢄnh bo mt ꢂꢆꢇc to ra vcách sdng nó, và  
các chính sách an toàn mà phi kèm theo.  
Phn 4: Nhng nhn bit vnhng ích bo mt xut phát tnhng e da và  
nhng chính sách an toàn.  
Phn 5: Nhng nhn bit và ꢂꢄnh ngha vnhng yêu cu các chc nng bo  
mt ích ánh giá ttiêu chí chung phi phù hp vi mc ích bo mt hp lꢁ  
vchc nng mc ích cơ bn ꢂꢆꢇc tha mãn.  
Phn 6: Nhng nhn bit vnhng yêu cu bo ꢂꢍm an toàn.  
Phn 7: Cung cp cơ shp lý ꢂꢅ chng minh rõ ràng rng ꢂꢈi tꢆꢇng bo mt  
công nghthông tin tha mãn nhng chính sách và các e da. Nhng lun  
chng ã cung cp bao phcho mi chính sách và e da. Phn sau sgii thích  
thit lp các yêu cu nhthnào là hoàn toàn liên hti mc ích, và trong mi  
ꢂꢈi tꢆꢇng an toàn hꢆꢜng ti bi mt hoc nhiu yêu cu hp thành.  
Phn 8: Nhng nhn bit nn tài liu sdng nhlà tham chiu to ra hsơ  
này.  
Phlc A: ꢂꢄnh ngha các tvit tt.  
Phlc B: danh sách chun mt mã, các chính sách, và nhng thcó liên quan  
công bꢈ ꢂã nhn bit trong phn 5 ca hsơ này.  
25  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
2. Mô tꢍ ꢂích ánh giá.  
2.1 Loi sn phm: miêu tlý do mà sn phm ra ꢂꢛi ꢂꢅ ꢂáp ng yêu cu ó là  
Hꢁ ꢂiu hành a mc trong môi trꢆꢛng bn vng trung bình.  
2.2 Tng quan vchc nng ca ích ánh giá  
Chra nhng tính nng ꢂꢅ Hꢁ ꢂiu hành phù hp ꢂꢆꢇc.  
2.3 Nhng yêu cu vmt mã: chra nhng module mt mã sdng ã ꢂꢆꢇc  
ánh giá.  
2.4 Môi trꢆꢛng hot ꢂꢀng ca sn phm ꢂꢆꢇc ánh giá: chra nhng mc bn  
vng môi trꢆꢛng iu hành ca sn phm ánh giá.  
3. ánh giá môi trꢆꢛng an toàn:  
Nêu ra nhng e da tmôi trꢆꢛng, nhng chính sách an toàn chng li nhng  
e da ó và các giꢍ ꢂꢄnh vcách sdng ca Hꢁ ꢂiu hành.  
4.ꢑꢈi tꢆꢇng an toàn:  
Nêu ra nhng ꢂꢈi tꢆꢇng an toàn dành cho sn phm ánh giá và môi trꢆꢛng ca  
nó nhng ꢂꢈi tꢆꢇng này phù hp vi vic chng li tt ccác e da ã nhn  
bit và bao phtt ccác chính sách tchc an toàn ã nhn bit.  
4.1.Mc ích ánh giá nhng ꢂꢈi tꢆꢇng an toàn.  
4.2.Môi trꢆꢛng nhng ꢂꢈi tꢆꢇng an toàn.  
An toàn vt lý.  
5.Nhng yêu cu vcác chc nng an toàn ca sn phm ꢂꢆꢇc ánh giá  
Nêu ra chi tit nhng yêu cu vcác chc nng an toàn ca sn phm ꢂꢆꢇc ánh  
giá cho hꢁ ꢂiu hành. Nhng chc nng an toàn ca sn phm ánh giá tin cy  
htrcho nhng hthng a mc trong môi trꢆꢛng bn vng trung bình.  
5.1.Kim toán an toàn  
5.1.1.Kim toán an toàn tꢏ ꢂꢀng trli:  
5.1.1.1 An toàn báo ꢂꢀng:  
26  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
5.1.2 An toàn kim toán dliu tꢏ ꢂꢀng  
5.1.2.1 Kim toán dliu tꢏ ꢂꢀng  
5.1.2.2 Kt hp thng nht ngꢆꢛi dùng  
5.1.3 Kim toán an toàn phân tích  
5.1.3.1 Khnng phm vi phân tích  
5.1.4 An toàn kim toán xem xét li  
5.1.4.1 Xem xét kim toán  
5.1.4.2 Hn chkim toán xem xét li  
5.1.4.3 Chn la kim toán xem xét li  
5.1.5 An toàn kim toán la chn svic  
5.1.5.1 Chn la kim toán  
5.1.6 An toàn kim toán lu gisvic  
5.1.6.1 Bo vlu githeo dõi kim toán  
5.1.6.2 Ngn chn mt mát dliu kim toán  
5.2 Htrmã hóa  
5.2.1 Gii hn module mã hóa  
5.2.2 Qun lý khóa mã  
5.2.2.1 Khóa mã tꢏ ꢂꢀng  
- ꢑꢈ xng  
- Không ꢂꢈi xng  
5.2.2.3 Phân phi khóa mã  
5.2.2.4 Phá hy khóa mã  
5.2.2.5 Hiu lc và óng gói khóa  
5.2.2.6 Trình bày và lu trkhóa mã  
5.2.3 Hot ꢂꢀng mã hóa  
5.2.3.1 Mã hóa và gii mã dliu  
5.2.3.2 Chký mt mã  
5.2.3.3 Mã hóa hàm Hash  
27  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
5.2.3.4 Trao ꢂꢚi khóa mã  
5.2.3.5 To sngu nhiên  
5.3 Bo vdliu ngꢆꢛi dùng  
5.3.1 Chính sách iu khin truy nhp  
iêu khin truy nhp hoàn toàn  
5.3.2 Nhng chc nng iu khin truy nhp  
Thuc tính cơ bn iu khin truy nhp an toàn.  
5.3.3 Truy xut iu khin các chc nng an toàn ca ích ánh giá  
5.3.4 Thông tin ꢂꢆa ra chính sách iu khin  
5.3.5 Tht thoát thông tin các chc nng iu khin  
- Cho iu khin truy cp bt buc  
- Cho iu khin bt buc toàn vn  
- Gii hn tht thoát thông tin trái phép  
5.3.6 Truy nhp chc nng mc ích bo mt iu khin  
- Truy nhp dliêu ngꢆꢛi dùng không cn các thuc tính an toàn.  
- Truy nhp dliu ngꢆꢛi dùng có các thuc tính an toàn.  
5.3.7 Schuyn ꢂꢚi ni bsn phm ánh giá  
- Schuyn ꢂꢚi ni bsbo vvcơ bn  
5.3.8 Bo vthông tin dtha  
- Bo vtoàn bthông tin dtha  
5.4 Nhn dng và chng thc  
5.4.1 Chc thc tht bi  
- Chng thc stht bi trình bày  
5.4.2 Xác ꢂꢄnh thuc tính ngꢆꢛi dùng  
- Nhn dng duy nht  
- Nhóm thành viên  
- Xác thc dliu  
- Mc ꢂꢀ an toàn  
28  
Nguyn Xuân Phương – Đánh giá an toàn công nghthông tin  
- Mc ꢂꢀ toàn vn  
- Các vai trò bo mt liên quan…  
5.4.3 ꢑꢞc tca các bí mt  
- Xác minh các bí mt  
5.4.4 Chng thc ngꢆꢛi dùng  
- Thi gian chng thc  
- Bo vchng thc các thông tin phn hi  
5.4.5 Nhn dng ngꢆꢛi dùng  
- Thi gian nhn dng  
5.4.6 Kt ni chthngꢆꢛi dùng  
5.5 Qun lý an toàn  
5.5.1 Squn lý các chc nng trong nhng chc nng an toàn ích ánh giá  
- Qun lý chc nng an toàn cách ng xꢟ  
5.5.2 Qun lý các thuc tính an toàn  
- Cho iu khin truy nhp tùy ý  
- Cho iu khin truy nhp bt buc  
- Cho iu khin bt buc toàn vdliu  
- Bo ꢂꢍm các thuc tính an toàn  
- Các quy tc cho qun lý các thuc tính an toàn  
5.5.3 Qun lý dành cho các chc nng an toàn ích ánh giá dliu  
- Cho các chc nng an toàn ích ánh giá dliu tng quát  
- Cho kim toán dliu  
- Cho các thuc tính an toàn ngꢆꢛi dùng  
- Cho các thuc tính an toàn ngꢆꢛi dùng, dliu chng thc sau ó  
- Cho chng thc dliu  
- Cho phn ng li các tham san toàn  
5.5.4 Sthu hi  
- Cho nhng ngꢆꢛi qun trꢄ ꢉy quyn  
29  

Tải về để xem bản đầy đủ

pdf 55 trang yennguyen 09/04/2025 140
Download
Bạn đang xem 30 trang mẫu của tài liệu "Đề tài Đánh giá an toàn công nghệ thông tin - Hồ sơ bảo vệ", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfde_tai_danh_gia_an_toan_cong_nghe_thong_tin_ho_so_bao_ve.pdf
Luận Văn Liên Quan