Tải bản đầy đủ
2 Bộ tiêu chuẩn ISO/IEC 15408

2 Bộ tiêu chuẩn ISO/IEC 15408

Tải bản đầy đủ

tiêu đề “Các tiêu chí chung cho đánh

Điều này làm tăng thêm tính chính xác,

giá an toàn CNTT”.

nhất quán và khách quan của kết quả

Tiêu chuẩn ISO/IEC 15408 cho phép

đánh giá.

thực hiện so sánh các kết quả đánh giá

Bộ tiêu chuẩn gồm 3 phần là : ISO/IEC

an toàn độc lập. Tiêu chuẩn cung cấp

15408-1, ISO/IEC 15408-2, ISO/IEC

một tập các yêu cầu đối với chức năng

15408-3.

an toàn của các sản phẩm và hệ thống

1.2.1 ISO/IEC 15408-1: 2009

CNTT, và về các biện pháp đảm bảo áp
dụng các yêu cầu trong quá trình đánh
giá an toàn. Tiêu chuẩn cung cấp các
tiêu chí tổng quát để đánh giá an toàn
cho các sản phẩm và hệ thống CNTT.
Các kết quả đánh giá có thể giúp người

ISO/IEC 15408-1: 2009 - Information
technology - Security techniques Evaluation criteria for IT security Part 1: Introduction and general
model

dùng xác định xem sản phẩm hoặc hệ

ISO / IEC 15.408-1: 2009 thiết lập các

thống CNTT có đủ an toàn chưa khi

khái niệm chung và nguyên tắc của

đưa vào sử dụng, và các rủi ro an toàn

công nghệ thông tin đánh giá an ninh và

tiềm ẩn khi sử dụng có chấp nhận được

xác định mô hình chung của đánh giá

hay không.

được đưa ra bởi các phần khác nhau

Bộ tiêu chuẩn ISO/IEC 15408 được xây
dựng nhằm đáp ứng một nhu cầu thiết
thực của thực tiễn là làm cơ sở cho thực
hiện đánh giá năng lực đảm bảo an toàn

của tiêu chuẩn ISO/IEC 15408 mà toàn
bộ là có nghĩa là để được sử dụng làm
cơ sở cho việc đánh giá an ninh tính
chất của các sản phẩm CNTT.

thông tin cho các sản phẩm và hệ thống

ISO / IEC 15.408-1: 2009 cung cấp một

CNTT, và giúp các doanh nghiệp trong

cái nhìn tổng quan của tất các phần

việc phát triển các sản phẩm và hệ

trong tiêu chuẩn ISO/IEC 15408. Nó

thống CNTT đảm bảo các yêu cầu về

mô tả các bộ phận khác nhau của tiêu

an toàn thông tin. Để đạt được sự so

chuẩn, các thuật ngữ và chữ viết tắt

sánh hiệu quả giữa các kết quả đánh

được sử dụng trong tất cả các bộ phận

giá, các đánh giá cần được thực hiện

của tiêu chuẩn quốc tế, thiết lập các

theo một khung của mô hình chính thức

khái niệm cốt lõi của một mục tiêu của

trong đó có các tiêu chí đánh giá chung.

đánh giá (TOE), bối cảnh đánh giá và

mô tả đối tượng mà các tiêu chí đánh

biến nhất của thị trường. Đây là những

giá được. Giới thiệu các khái niệm bảo

tổ chức sử dụng một cấu trúc phân cấp

mật cơ bản cần thiết cho việc đánh giá

của các lớp và các thành phần, và được

các sản phẩm CNTT được đưa ra. Nó

hỗ trợ bởi người sử dụng ghi chú toàn

định nghĩa các hoạt động khác nhaumaf

diện.

các thành phần chức năng và bảo đảm

Mục đích

được đưa ra trong ISO/IEC 15408-2 và
ISO/IEC 15408-3 có thể được thay đổi
thông qua việc sử dụng các hoạt động
cho phép.

Những đối tượng có thể áp dụng phần
này của tiêu chuẩn ISO/IEC 15408 bao
gồm người dùng, các nhà phát triển và
đánh giá hệ thống và sản phẩm CNTT.

Mục đích :

Người dùng sử dụng ISO 15408-2 khi

ISO / IEC 15.408-1: 2009 đưa ra hướng

lựa chọn các thành phần chức năng

dẫn cho các đặc điểm kỹ thuật của các

được yêu cầu rõ ràng để đáp ứng các

mục tiêu an ninh (ST) và cung cấp một

mục tiêu an ninh hiện trong một hồ sơ

mô tả của các tổ chức của các thành

bảo vệ hoặc một mục tiêu an ninh. Các

phần trong suốt mô hình. đoành

nhà phát triển, hay những người dùng

1.2.2 ISO/IEC 15408-2:2008

cần đáp ứng yêu cầu an ninh trong thực

ISO/IEC 15408-2:2008- Information
technology - Security techniques Evaluation criteria for IT security Part

2:

Security

functional

components

tế, hay nhận thức trong việc xây dựng
một mục tiêu của đánh giá. Có thể tìm
thấy một phương pháp tiêu chuẩn để
hiểu những yêu cầu trong phần này của
ISO/IEC 15408. Họ cũng có thể sử
dụng các nội dung của phần này của

ISO/IEC 15.408-2: 2008 xác định nội

ISO/IEC 15408 như một cơ sở để xác

dung và trình bày các yêu cầu chức

định thêm các chức năng bảo mật mục

năng an toàn được đánh giá trong một

tiêu được đánh giá và cơ chế thực hiện

đánh giá an toàn bằng cách sử dụng tiêu

theo những yêu cầu.

chuẩn ISO/IEC 15408. Nó bao gồm
một danh mục toàn diện các thành phần

1.2.3 ISO/IEC 15408-3:2008

chức năng bảo mật được xác định trước

ISO/IEC 15408-3:2008- Information

rằng sẽ đáp ứng nhu cầu bảo mật phổ

technology - Security techniques -

Evaluation criteria for IT security -

TCVN ISO/IEC 27001:2009 do Trung

Part

tâm Ứng cứu khẩn cấp Máy tính Việt

3:

Security

assurance

components.

Nam biên soạn, Bộ Thông tin và

Xác định các yêu cầu đảm bảo các tiêu

Truyền thông đề nghị, Tổng cục Tiêu

chí đánh giá. Nó bao gồm các mức đảm

chuẩn Đo lường Chất lượng thẩm định,

bảo đánh giá để xác định quy mô để đo,

Bộ Khoa học và Công nghệ công bố

đảm bảo cho các mục tiêu thành phần

Mục đích

của đánh giá (TOE), các gói bảo đảm

Tiêu chuẩn này chỉ rõ yêu cầu đối với

bao gồm xác định quy mô để đo đảm

hoạt động thiết lập; triển khai; điều

bảo cho các TOE sáng tác, các thành

hành; giám sát; soát xét; duy trì và cải

phần đảm bảo cá nhân mà từ đó các cấp

tiến một hệ thống quản lý an toàn thông

bảo đảm và các gói được cấu tạo , và

tin (ISMS) để đảm bảo an toàn thông

các tiêu chuẩn đánh giá hồ sơ bảo vệ và

tin trước những rủi ro có thể xảy ra với

các mục tiêu an ninh.

các hoạt động của tổ chức. Tiêu chuẩn

Mục đích

này cũng chỉ rõ các yêu cầu khi triển

Cung cấp hướng dẫn về đặc điểm kỹ

khai các biện pháp quản lý an toàn đã

thuật của yêu cầu bảo mật tùy chỉnh mà

được chọn lọc phù hợp với nhu cầu của

không có thành phần chức năng bảo

tổ chức hoặc bộ phận của tổ chức.

mật được xác định trước phù hợp tồn

2.2
TCVN 7562:2005 ISO/IEC
17799:2000

tại.
2 Các tiêu chuẩn quốc gia
2.1
TCVN ISO/IEC 27001:2009
ISO/IEC 27001:2005

TCVN 7562:2005 ISO/IEC 17799:2000
- Công nghệ thông tin - Mã thực
hành quản lý an ninh thông tin

TCVN ISO/IEC 27001:2009 ISO/IEC

Tiêu chuẩn việt nam Mã thực hành

27001:2005 - Công nghệ thông tin -

quản lý an ninh thông tin – TCVN 7562

Hệ thống quản lý an toàn thông tin -

do Ban kỹ thuật tiêu chuẩn TCVN/TC

Các yêu cầu

154 “Quá trình, các yếu tố thông tin và

TCVN ISO/IEC 27001:2009 hoàn toàn
tương đương với ISO/IEC 27001:2005

tài liệu trong thương mại, công nghiệp
và hành chính” biên soạn, Tổng cục Đo

lường chất lượng đề nghị, Bộ Khoa học

8) Quản lý truyền thông và hoạt

và Công nghệ ban hành năm 2005.

động;
9) Kiểm soát truy cập;
10)Phát triển và duy trì hệ thống;
11)Quản lý liên tục trong kinh

Tiêu chuẩn này được xây dựng dựa trên
tiêu

chuẩn

quốc

tế

ISO/IEC

17799:2000 có tên “code of practice for
information security management”và
hoàn toàn tương đương với tiêu chuẩn
quốc tế này.
Mục tiêu
Tiêu chuẩn này gồm có mười hai phần,
đưa ra các khuyến nghị về công tác
quản lý an ninh thông tin cho những

doanh;
12)Sự tuân thủ.
Tiêu chuẩn đã đưa ra 127 hướng dẫn
đảm bảo an toàn thông tin được phân
thành 10 vấn đề chính, bao gồm:
Chính sách an ninh
Mục tiêu là cung cấp phương hướng
quản lý và hỗ trợ an ninh thông tin.

người có trách nhiệm cài đặt, thực thi

Ban quản lý an toàn thông tin (BQL)

hoặc duy trì an ninh trong tổ chức của

nên thiết lập một phương hướng chính

họ. Tiêu chuẩn này nhằm cung cấp một

sách rõ ràng, công khai hỗ trợ và cam

cơ sở chung để xây dựng các tiêu chuẩn

kết ANTT thông qua việc phát hành và

an ninh trong tổ chức và thực hành

duy trì một chính sách an ninh (CSAN)

quản lý an toàn thông tin một cách hiệu

thông tin trong toàn tổ chức.

quả và tạo sự tin cậy trong các giao

Việc xây dựng các chính sách an ninh

dịch liên tổ chức. Các khuyến Các

bao gồm hai nội dung cơ bản:

khuyến nghị rút ra từ tiêu chuẩn này
được lựa chọn và sử dụng phù hợp với

a) Các cơ quan tổ chức cần tự xây
dựng tài liệu CSAN phù hợp với

các luật và quy định liên quan.

hoạt động thực tiễn trong đó bao

Tiêu chuẩn TCVN 7562 được trình bày
trong mười hai phần bao gồm:
1)
2)
3)
4)
5)
6)
7)

Phạm vi áp dụng;
Thuật ngữ và định nghĩa;
Chính sách an ninh;
An ninh tổ chức;
Phân loại và kiểm soát tài sản;
An ninh cá nhân;
An ninh môi trường vật lý;

-

gồm các nội dung:
Định nghĩa về an ninh thông tin
(ANTT), đối tượng, phạm vi,

-

tầm quan trọng;
Mục đích quản lý, hỗ trợ các
mục tiêu và nguyên tắc về
ANTT;