Tiêu chuẩn quốc gia TCVN 13723-2:2023 (ISO/IEC 19896-2:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 2: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với kiểm thử viên theo TCVN 11295 (ISO/IEC 19790)

TIÊU CHUẨN QUỐC GIA

TCVN 13723-2:2023
ISO/IEC 19896-2:2018

KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ NĂNG LỰC ĐỐI VỚI KIỂM THỬ VIÊN VÀ ĐÁNH GIÁ VIÊN BẢO MẬT THÔNG TIN - PHẦN 2: YÊU CẦU VỀ KIẾN THỨC, KỸ NĂNG VÀ TÍNH HIỆU QUẢ ĐỐI VỚI KIỂM THỬ VIÊN THEO TCVN 11295 (ISO/IEC 19790)

IT security techniques - Competence requirements for information security testers and evaluators - Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers

Mục lục

Lời nói đầu

Giới thiệu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Các thuật ngữ viết tắt

4 Cấu trúc của tiêu chuẩn

5 Kiến thức

5.1 Yêu cầu chung

5.2 Đào tạo đại học

5.2.1 Yêu cầu chung

5.2.2 Chuyên môn kĩ thuật

5.2.3 Chuyên ngành

5.3 Kiến thức về các tiêu chuẩn

5.3.1 Yêu cầu chung

5.3.2 Khái niệm TCVN 11295:2016 (ISO/IEC 19790:2012)

5.3.3 TCVN 12211:2018 (ISO/IEC 24759:2017)

5.3.4 Tiêu chuẩn ISO/IEC bổ sung

5.4 Kiến thức về chương trình xác nhận

5.4.1 Chương trình xác nhận

5.5 Yêu cầu về kiến thức của TCVN ISO/IEC 17025:2017

6 Kỹ năng

6.1 Yêu cầu chung

6.2 Kiểm thử thuật toán

6.3 Kiểm thử an toàn vật lý

6.4 Phân tích kênh kề

6.5 Loại công nghệ

7 Kinh nghiệm

7.1 Yêu cầu chung

7.2 Chứng minh năng lực kỹ thuật đối với chương trình xác nhận

7.2.1 Kinh nghiệm thực hiện kiểm thử

7.2.2 Kinh nghiệm với các loại công nghệ cụ thể

8 Trình độ đào tạo

9 Tính hiệu quả

Phụ lục A

Phụ lục B

Lời nói đầu

TCVN 13723-2:2023 hoàn toàn tương đương với ISO/IEC 19896-2:2018.

TCVN 13723 2:2023 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 13723, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin, gồm 3 phần:

- TCVN 13723-1, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung.

- TCVN 13723-2, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 2: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với Kiểm thử viên theo TCVN 11295 (ISO/IEC 19790).

- TCVN 13723-3, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 3: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với Đánh giá viên theo TCVN 8709 (ISO/IEC 15408).

Giới thiệu

Tiêu chuẩn này cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm thử an toàn phù hợp với các tiêu chuẩn TCVN 11295:2016 (ISO/IEC 19790:2012) và TCVN 12211:2018 (ISO/IEC 24759). TCVN 11295:2016 (ISO/IEC 19790:2012) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã. Nhiều chứng nhận, kế hoạch xác nhận và các thỏa thuận công nhận đã được phát triển sử dụng nó làm cơ sở. TCVN 11295:2016 (ISO/IEC 19790:2012) cho phép so sánh giữa các kết quả của các dự án kiểm thử an toàn độc lập. TCVN 12211:2018 (ISO/IEC 24759:2017) hỗ trợ điều này bằng cách cung cấp một tập hợp các yêu cầu kiểm thử chung để kiểm thử mô-đun mật mã để phù hợp với TCVN 11295:2016 (ISO/IEC 19790:2012).

Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của các phê duyệt hoặc chứng nhận đó là các yêu cầu về kiến thức, kỹ năng và hiệu quả của từng Kiểm thử viên chịu trách nhiệm thực hiện các dự án kiểm thử.

TCVN ISO/IEC 17025:2017 (ISO/IEC 17025:2017), thường được quy định các cơ sở thử nghiệm tuân theo tiêu chuẩn, trong điều khoản 5.2.1 nêu rõ rằng “Tất cả nhân sự của phòng thử nghiệm, cả nội bộ hoặc bên ngoài, có thể ảnh hưởng đến hoạt động thử nghiệm đều phải có năng lực, hành động một cách khách quan và thực hiện công việc đúng theo hệ thống quản lý của phòng thử nghiệm”.

Đối tượng của tiêu chuẩn này bao gồm: các cơ quan có thẩm quyền phê duyệt và chứng nhận, các tổ chức công nhận phòng thử nghiệm, các kế hoạch theo từng dự án, cơ sở thử nghiệm, Kiểm thử viên và các tổ chức cung cấp chứng chỉ nghề nghiệp và tổ chức thừa nhận.

Tiêu chuẩn này thiết lập cơ sở cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của Kiểm thử viên khi áp dụng theo TCVN 11295:2016 (ISO/IEC 19790:2012), với mục tiêu thiết lập sự phù hợp trong các yêu cầu đào tạo chuyên gia kiểm thử khi áp dụng theo TCVN 11295:2016 (ISO/IEC 19790:2012) liên quan đến các chương trình kiểm thử sự phù hợp của mô-đun mật mã.

Phụ lục D minh họa việc sử dụng tiêu chuẩn này bởi những người phê duyệt trong một chương trình xác nhận.

KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ NĂNG LỰC ĐỐI VỚI KIỂM THỬ VIÊN VÀ ĐÁNH GIÁ VIÊN BẢO MẬT THÔNG TIN - PHẦN 2: YÊU CẦU VỀ KIẾN THỨC, KỸ NĂNG VÀ TÍNH HIỆU QUẢ ĐỐI VỚI KIỂM THỬ VIÊN THEO TCVN 11295 (ISO/IEC 19790)

IT security techniques - Competence requirements for information security testers and evaluators - Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers

1  Phạm vi áp dụng

Tiêu chuẩn này cung cấp các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu về tính hiệu quả của các cá nhân thực hiện các hoạt động đánh giá sự phù hợp theo TCVN 11295:2016 (ISO/IEC 19790:2012) và TCVN 12211:2018 (ISO/IEC 24759:2017).

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu có ghi năm công bố thì áp dụng phiên bản đã nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả sửa đổi, bổ sung).

- TCVN ISO/IEC 17025:2017 (ISO/IEC 17025:2017), Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.

- TCVN 12212:2018 (ISO/IEC 17825:2016), Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp kiểm thử giảm thiểu các lớp tấn công không xâm lấn chống lại các mô-đun mật mã.

- TCVN 12211:2018 (ISO/IEC 24759:2017), Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu kiểm thử cho mô-đun mật mã.

- TCVN 11295:2016 (ISO/IEC 19790:2012), Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho mô-đun mật mã.

- TCVN 13723-1:2023 (ISO/IEC 19896-1), Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung.

- ISO/IEC 18367, Information technology - Security techniques - Cryptographic algorithms and security mechanisms conformance testing.

- ISO/IEC 20085-1, Information technology - Security techniques - Test tool requirements and test tool calibration methods for use in testing non-invasive attack mitigation techniques in cryptographic modules - Part 1: Test tools and techniques.

- ISO/IEC 20085-2, Information technology - Security techniques - Test tool requirements and test tool calibration methods for use in testing non-invasive attack mitigation techniques in cryptographic modules - Part: 2 Test calibration methods and apparatus.

- ISO/IEC 20543, Information technology - Security techniques - Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408.

3  Các thuật ngữ viết tắt

Tiêu chuẩn này sử dụng các định nghĩa và thuật ngữ sau đây:

.........................

Nội dung tiêu chuẩn bằng File Word (đang tiếp tục cập nhật)