Tiêu chuẩn quốc gia TCVN 11386:2016 hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin như thế nào?

Nội dung chính

• Quy ước trong TCVN 11386:2016 hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin như thế nào?
• Bố cục của TCVN 11386:2016 (ISO/IEC 18045:2008) hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin ra sao?
• Giới thiệu quy trình đánh giá an toàn công nghệ thông tin ra sao?

Quy ước trong TCVN 11386:2016 hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin như thế nào?

Căn cứ theo Muc 6 Tiêu chuẩn quốc gia TCVN 11386:2016 quy định những quy ước trong tiêu chuẩn hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin như sau:

- Thuật ngữ

+ Không giống như Tiêu chuẩn quốc gia TCVN 8709-1:2011 trong đó mỗi phần tử duy trì chữ số cuối cùng của ký hiệu định dạng của nó cho tất cả các thành phần trong họ, tiêu chuẩn này có thể tạo ra các đơn vị công việc mới khi một phần tử hành động của người đánh giá trong Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) thay đổi từ hoạt động con này sang hoạt động con khác; kết quả là chữ số cuối cùng của ký hiệu định dạng đơn vị công việc có thể thay đổi mặc dù đơn vị công việc giữ nguyên không thay đổi.

+ Một công việc đánh giá cụ thể theo phương pháp luận bất kỳ nào được yêu cầu mà không bắt nguồn trực tiếp từ các yêu cầu trong Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) được gọi là "nhiệm vụ" hoặc "nhiệm vụ con".

- Cách sử dụng động từ

+ Từ "cần" (shall) chỉ được sử dụng khi văn bản được cung cấp là bắt buộc và do vậy chỉ dùng trong các đơn vị công việc và các nhiệm vụ con. Các đơn vị công việc và các nhiệm vụ con bao gồm các hoạt động bắt buộc mà người đánh giá phải thực hiện để chỉ định các nhận định.

+ Văn bản hướng dẫn kèm theo các đơn vị công việc và nhiệm vụ con đưa ra giải thích thêm về cách áp dụng các từ ngữ Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) trong phép đánh giá. Cách sử dụng động từ phù hợp với các định nghĩa ISO cho các động từ này. Từ "nên" (should) được sử dụng khi phương pháp được mô tả là ưa chuộng hơn. Tất cả các từ khác, bao gồm "có thể" (may), được sử dụng khi (các) phương pháp được mô tả là được cho phép song không được khuyến cáo cũng như được ưa chuộng hơn, chúng chỉ dùng để diễn giải.

+ Các động từ kiểm tra, thẩm tra, báo cáo và ghi lại được sử dụng với ý nghĩa chính xác trong phần này của tiêu chuẩn và nên tham chiếu Điều 3 về các định nghĩa của chúng.

- Hướng dẫn đánh giá tổng quát

+ Tài liệu có tính ứng dụng cho nhiều hơn một hoạt động con được tập hợp ở một vị trí. Hướng dẫn có tính ứng dụng phổ biến (xuyên suốt các hoạt động và các EAL) được tập hợp trong Phụ lục A. Hướng dẫn gắn liền với nhiều hoạt động con trong một hoạt động đơn lẻ đã được cung cấp trong phần giới thiệu của hoạt động đó. Nếu hướng dẫn liên quan đến chỉ một hoạt động con đơn lẻ thì nó được trình bày trong hoạt động con đó.

- Mối quan hệ giữa các cấu trúc Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008)

+ Giữa cấu trúc của Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) (tức là lớp, họ, thành phần và phần tử) và cấu trúc của tiêu chuẩn này có các mối quan hệ trực tiếp. Hình 1 minh họa sự tương ứng giữa các kết cấu Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) về lớp, họ và các phần tử hành động của người đánh giá với các hoạt động, hoạt động con và hành động trong phương pháp đánh giá. Tuy nhiên, một số đơn vị công việc trong phương pháp đánh giá có thể là kết quả từ các yêu cầu đã được ghi chú trong các phần tử hành động của nhà phát triển trong Tiêu chuẩn quốc gia TCVN 8709 (ISO/IEC 15408) và phần tử nội dung và trình bày.

Tiêu chuẩn quốc gia TCVN 11386:2016 hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin như thế nào? (Hình từ Internet)

Bố cục của TCVN 11386:2016 (ISO/IEC 18045:2008) hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin ra sao?

Căn cứ theo Muc 5 Tiêu chuẩn quốc gia TCVN 11386:2016 thể hiện Bố cục của TCVN 11386:2016 (ISO/IEC 18045:2008) hướng dẫn phương pháp đánh giá an toàn công nghệ thông tin như sau:

- Điều 6 xác định các quy ước được sử dụng trong tiêu chuẩn này.

- Điều 7 mô tả các nhiệm vụ đánh giá chung không có nhận định liên quan đến chúng vì chúng không ánh xạ đến các phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408).

- Điều 8 đề cập công việc được yêu cầu để đạt được một kết quả đánh giá trên một PP.

- Từ Điều 9 đến Điều 15 xác định các hoạt động đánh giá được tổ chức bởi các lớp đảm bảo.

- Phụ lục A bao gồm các kỹ thuật đánh giá cơ bản được sử dụng để cung cấp các bằng chứng kỹ thuật của kết quả đánh giá.

- Phụ lục B cung cấp diễn giải của các tiêu chí phân tích điểm yếu và những ví dụ về ứng dụng của chúng.

Giới thiệu quy trình đánh giá an toàn công nghệ thông tin ra sao?

Căn cứ theo tiểu mục 7.1 Mục 7 Tiêu chuẩn quốc gia TCVN 11386:2016 giới thiệu về quy trình đánh giá an toàn công nghệ thông tin như sau:

- Điều này cung cấp tổng quan về quy trình đánh giá và xác định các nhiệm vụ của người đánh giá được dự định thực hiện khi tiến hành đánh giá.

- Mỗi một đánh giá hoặc là một PP hoặc là một TOE (bao gồm cả ST), đều theo quy trình như nhau và có bốn nhiệm vụ chung của người đánh giá là: nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động con đánh giá và sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của tổ chức đánh giá.

- Nhiệm vụ đầu vào và các nhiệm vụ đầu ra có liên quan đến quản lý bằng chứng đánh giá và phát sinh báo cáo được mô tả trọn vẹn trong điều này. Mỗi nhiệm vụ có các nhiệm vụ con liên quan được áp dụng và quy định cho tất cả các đánh giá của TCVN 8709 (ISO/IEC 15408) (đánh giá một PP hoặc một TOE).

- Các hoạt động con đánh giá chỉ được giới thiệu trong điều này và được mô tả đầy đủ trong các điều tiếp theo.

- Trái ngược với các hoạt động con đánh giá, các nhiệm vụ đầu vào và đầu ra không có nhận định liên quan đến chúng vì chúng không ánh xạ tới các phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408); các nhiệm vụ này được thực hiện để đảm bảo phù hợp với các nguyên tắc phổ biến và tuân thủ tiêu chuẩn này.

- Sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của tổ chức đánh giá có thể được hoàn thiện bằng phép phân tích của tổ chức đánh giá về các kết quả nhiệm vụ đầu ra hoặc có thể bao gồm sự thuyết minh của người đánh giá từ sự hiểu biết của họ về các đầu vào đối với các hoạt động con đánh giá. Nhiệm vụ này không có nhận định của người đánh giá liên quan nhưng có nhận định của tổ chức đánh giá. Các tiêu chí chi tiết để đạt nhiệm vụ này là theo quyết định của tổ chức đánh giá, như đã nêu trong Phụ lục A.5.