Tiêu chuẩn quốc gia TCVN 13723-3:2023 (ISO/IEC 19896-3:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 3: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên theo TCVN 8709 (ISO/IEC 15408)
TCVN 13723-3:2023
ISO/IEC 19896-3:2018
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ NĂNG LỰC ĐỐI VỚI KIỂM THỬ VIÊN VÀ ĐÁNH GIÁ VIÊN BẢO MẬT THÔNG TIN - PHẦN 3: YÊU CẦU VỀ KIẾN THỨC, KỸ NĂNG VÀ TÍNH HIỆU QUẢ ĐỐI VỚI ĐÁNH GIÁ VIÊN THEO TCVN 8709 (ISO/IEC 15408)
IT security techniques - Competence requirements for information security testers and evaluators - Part 3: Introduction, concepts and general requirements
Lời nói đầu
Giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Kiến thức
4.1 Yêu cầu chung
4.2 Kiến thức về TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016
4.2.1 TCVN 8709-1:2011 (ISO/IEC 15408-1:2009)
4.2.2 TCVN 8709-2:2011 (ISO/IEC 15408-2:2008)
4.2.3 TCVN 8709-3:2011 (ISO/IEC 15408-3:2008)
4.2.4 TCVN 11386:2016 (ISO/IEC 18045:2008)
4.3 Kiến thức về mô hình bảo đảm
4.3.1 Kiến thức, sự hiểu biết của cơ quan đánh giá
4.3.2 Kiến thức về quy trình đánh giá
4.3.3 Kiến thức và hệ thống quản lý của phòng thử nghiệm
4.4 Kiến thức về an toàn thông tin
4.5 Kiến thức về công nghệ được đánh giá
4.5.1 Kiến thức về công nghệ được đánh giá
4.5.2 Hồ sơ bảo vệ, cách đóng gói và tài liệu hỗ trợ
4.6 Kiến thức cần thiết cho các lớp đảm bảo cụ thể
4.7 Kiến thức cần thiết khi đánh giá các yêu cầu chức năng an toàn cụ thể
4.8 Kiến thức cần thiết khi đánh giá các công nghệ cụ thể
5 Kỹ năng
5.1 Kỹ năng đánh giá cơ bản
5.1.1 Phương pháp đánh giá
5.1.2 Công cụ đánh giá
5.2 Các kỹ năng đánh giá cốt lõi được đưa ra trong TCVN 8709-3:2011 và TCVN 11386:2016
5.2.1 Nguyên tắc đánh giá
5.2.2 Các phương pháp và hoạt động đánh giá
5.3 Các kỹ năng cần thiết khi đánh giá các lớp đảm bảo an toàn cụ thể
5.3.1 Yêu cầu chung
5.3.2 Lớp ADV (Phát triển)
5.3.3 Lớp AGD (Tài liệu hướng dẫn)
5.3.4 Lớp ALC (Hỗ trợ vòng đời)
5.3.5 Các lớp ASE và APE (Đánh giá ST và PP)
5.3.6 Lớp ATE (Kiểm thử)
5.3.7 Lớp AVA (Đánh giá lỗ hổng)
5.3.8 Lớp ACO (Thành phần)
5.4 Các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể
5.4.1 Yêu cầu chung
5.4.2 Các kỹ năng cần thiết khi đánh giá lớp FCS (Hỗ trợ mật mã)
5.5 Các kỹ năng cần thiết khi đánh giá các công nghệ cụ thể
6 Kinh nghiệm
7 Trình độ đào tạo
8 Tính hiệu quả
8.1 Yêu cầu chung
8.2 Hiệu quả của việc đánh giá
8.3 Các trách nhiệm của chương trình đánh giá đối với tính hiệu quả của đánh giá viên
8.4 Hiệu quả trong việc thực hiện các đánh giá kịp thời
8.5 Hiệu quả trong việc thực hiện các đánh giá chính xác
8.6 Tính hiệu quả trong báo cáo kết quả
Phụ lục A
Phụ lục B
Phụ lục C
Lời nói đầu
TCVN 13723-3:2023 hoàn toàn tương đương với ISO/IEC 19896-3:2018.
TCVN 13723-3:2023 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố
Bộ tiêu chuẩn TCVN 13723, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin, gồm 3 phần:
- TCVN 13723-1, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung.
- TCVN 13723-2, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 2: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với Kiểm thử viên theo TCVN 11295 (ISO/IEC 19790).
- TCVN 13723-3, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 3: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với Đánh giá viên theo TCVN 8709 (ISO/IEC 15408).
Giới thiệu
Bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408) cho phép so sánh giữa các kết quả của các đánh giá an toàn độc lập. Như vậy nó cung cấp một tập hợp các yêu cầu chung cho chức năng an toàn của các sản phẩm công nghệ thông tin và các biện pháp đảm bảo được áp dụng cho các sản phẩm công nghệ thông tin này trong quá trình đánh giá an toàn. Nhiều chương trình xác nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển bằng cách áp dụng bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008) làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả đánh giá đó là hiểu được quá trình đánh giá bao gồm đặc điểm của các biện pháp đảm bảo khách quan và chủ quan. Do đó, năng lực của từng đánh giá viên là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để thừa nhận lẫn nhau.
TCVN ISO/IEC 17025:2017 (ISO/IEC 17025:2017), đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn TCVN ISO/IEC 17025:2017 (ISO/IEC 17025:2017), thường được quy định các cơ sở thử nghiệm tuân theo tiêu chuẩn, trong điều khoản 5.2.1 nêu rõ rằng “Tất cá nhân sự của phòng thử nghiệm, cả nội bộ hoặc bên ngoài, có thể ảnh hưởng đến hoạt động thử nghiệm đều phải có năng lực, hành động một cách khách quan và thực hiện công việc đúng theo hệ thống quản lý của phòng thử nghiệm”.
Tiêu chuẩn này thiết lập phạm vi năng lực tối thiểu của các chuyên gia đánh giá áp dụng TCVN 8709 (ISO/IEC 15408) với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá TCVN 8709 (ISO/IEC 15408) liên quan đến các cơ quan và chương trình đánh giá sản phẩm công nghệ thông tin. Nó cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá sản phẩm an toàn công nghệ thông tin phù hợp với TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008). TCVN 8709-1:2011 (ISO/IEC 15408-1:2009) mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau như năng lực, kiến thức, kỹ năng, kinh nghiệm, đào tạo và hiệu quả. Tiêu chuẩn này bao gồm các kiến thức và kỹ năng đặc biệt trong các lĩnh vực sau đây.
- An toàn thông tin
Kiến thức: Các nguyên tắc an toàn thông tin, các thuộc tính an toàn thông tin, các mối đe dọa và lỗ hổng an toàn thông tin.
Kỹ năng: Hiểu các yêu cầu về an toàn thông tin, hiểu bối cảnh.
- Đánh giá an toàn thông tin
Kiến thức: Kiến thức về TCVN 8709 (ISO/IEC 15408) và TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), hệ thống quản lý phòng thử nghiệm.
Kỹ năng: Kỹ năng đánh giá cơ bản, kỹ năng đánh giá điểm trung tâm, kỹ năng cần có khi đánh giá các lớp đảm bảo an toàn cụ thể, các kỹ năng cần có khi đánh giá các lớp yêu cầu chức năng an toàn cụ thể.
- Kiến trúc hệ thống thông tin
Kiến thức: Công nghệ đang được đánh giá.
Kỹ năng: Hiểu sự tương tác của các thành phần an toàn và thông tin.
- Kiểm thử an toàn thông tin
Kiến thức: Kỹ thuật kiểm thử an toàn thông tin, công cụ kiểm thử an toàn thông tin, vòng đời phát triển sản phẩm, kiểu kiểm thử.
Kỹ năng: Tạo và quản lý kế hoạch kiểm thử an toàn thông tin, kiểm thử thiết kế an toàn thông tin, chuẩn bị và tiến hành kiểm thử an toàn thông tin.
Đối tượng của tiêu chuẩn này này bao gồm: các cơ quan có thẩm quyền phê duyệt và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các kế hoạch đánh giá, cơ sở thử nghiệm, đánh giá viên và các tổ chức cung cấp chứng chỉ nghề nghiệp.
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ NĂNG LỰC ĐỐI VỚI KIỂM THỬ VIÊN VÀ ĐÁNH GIÁ VIÊN BẢO MẬT THÔNG TIN - PHẦN 3: YÊU CẦU VỀ KIẾN THỨC, KỸ NĂNG VÀ TÍNH HIỆU QUẢ ĐỐI VỚI ĐÁNH GIÁ VIÊN THEO TCVN 8709 (ISO/IEC 15408)
IT security techniques - Competence requirements for information security testers and evaluators - Part 3: Knowledge, skills and effectiveness requirements for: ISO/IEC 15408 evaluator
1 Phạm vi áp dụng
Tiêu chuẩn này cung cấp các yêu cầu chuyên môn để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm công nghệ thông tin phù hợp với TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008).
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu có ghi năm công bố thì áp dụng phiên bản đã nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả sửa đổi, bổ sung).
- TCVN 8709 (ISO/IEC 15408), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá an toàn về công nghệ thông tin.
- TCVN 11386:2016 (ISO/IEC 18045:2008), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin.
- TCVN ISO/IEC 17025:2017 (ISO/IEC 17025:2017), Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.
- TCVN 13723-1:2023 (ISO/IEC 19896-1), Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung.
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các định nghĩa và thuật ngữ sau đây:
3.1
Kế hoạch đánh giá (evaluation scheme)
Tổ chức thực hiện các chính sách và bộ quy tắc do cơ quan đánh giá thiết lập, xác định môi trường đánh giá, bao gồm các tiêu chí và phương pháp luận cần thiết để tiến hành đánh giá an toàn công nghệ thông tin.
3.2
Phương pháp chủ quan (subjective method)
Phương pháp dựa trên kinh nghiệm và sự hiểu biết nhất định của một người.
4 Kiến thức
4.1 Yêu cầu chung
Kiến thức là những gì một đánh giá viên biết và có thể mô tả. Các điều khoản từ 4.2 đến 4.8 đề cập đến kiến thức cần thiết để đánh giá theo TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008).
4.2 Kiến thức về TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016
4.2.1 TCVN 8709-1:2011 (ISO/IEC 15408-1:2009)
Tất cả đánh giá viên phải có kiến thức về:
a) Các thuật ngữ và định nghĩa được xác định trong TCVN 8709-1:2011 (ISO/IEC 15408-1:2009);
b) Các thuật ngữ và định nghĩa được xác định trong TCVN 11386:2016 (ISO/IEC 18045:2008);
c) Phạm vi đánh giá TCVN 8709-1:2011 (ISO/IEC 15408-1:2009);
.........................
Nội dung tiêu chuẩn bằng File Word (đang tiếp tục cập nhật)
Ý kiến bạn đọc
