TCVN xxxx:xxxx TCVN TIÊUCHUẨNQUỐCGIA TCVN xxx:xxxx ISO/IEC TR15446: 2009 Xuất lần thứ CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ BẢO VỆ VÀ ĐÍCH AN TỒN Information technology – Security techniques – Guide for the production of Protection Profiles and Security Targets HÀ NỘI – 2017 TCVN xxxx:xxxx TCVN xxxx:xxxx Mục lục Phạm vi áp dụng Tài liệu viện dẫn Ký hiệu thuật ngữ viết tắt Mục đích cấu trúc tiêu chuẩn 6 Tổng quan PP ST .7 Đặc tả việc giới thiệu PP/ST .24 Đặc tả yêu cầu tuân thủ .24 9.1 Giới thiệu 25 9.2 Nhận biết yêu cầu an tồn khơng thức 28 9.2.1 Giới thiệu 28 9.2.2 Nguồn thông tin 28 9.2.3 Lập tài liệu u cầu khơng thức .30 9.3 Nhận biết đặc tả mối đe doạ 31 9.3.1 Giới thiệu 31 9.3.2 Quyết định phương pháp luận phân tích mối đe doạ 32 9.3.3 Nhận biết thành phần tham gia 34 9.3.3.4 Các hành động có hại 38 9.3.4 Áp dụng phương pháp luận phân tích mối đe doạ lựa chọn 38 9.3.5 Lời khuyên thiết thực 40 9.4 Xác định cụ thể hố sách .41 9.5 Xác định đặc tả giả định 43 9.6 Tổng kết định nghĩa vấn đề an toàn 45 10 Đặc tả mục tiêu an toàn 46 10.1 Giới thiệu 46 10.2 Cấu trúc mối đe dọa, sách giả định .49 10.3 Nhận biết mục tiêu môi trường vận hành phi Công nghệ thông tin 49 10.4 Nhận biết mục tiêu môi trường vận hành Công nghệ thông tin 51 10.5 Nhận biết mục tiêu TOE .51 TCVN xxxx:xxxx 10.6 Tạo mục tiêu phù hợp .56 11 Đặc tả định nghĩa thành phần mở rộng 57 12 Đặc tả yêu cầu an toàn 61 12.1 Giới thiệu 61 12.2 Các mơ hình an tồn tiêu chuẩn TCVN 8709:2011 .64 12.2.1 Giải thích mơ hình an tồn sử dụng mơ hình cho việc mơ hình hóa chức an tồn 64 12.2.2 Kiểm soát truy cập cách sử dụng ngồn tài nguyên mục tiêu 64 12.2.3 Quản lý người dùng 69 12.2.4 Tự bảo vệ TOE 71 12.2.5 Bảo vệ truyền thông 73 12.2.6 Kiểm tốn an tồn 74 12.3 Làm để xác định chức an toàn PP ST 76 12.3.1 Các yêu cầu chức an toàn nên lựa chọn 76 12.3.2 Lựa chọn SFR từ TCVN 8709-2:2011 80 12.3.3 Làm để thực vận hành yêu cầu chức an toàn .83 12.3.4 Các yêu cầu kiểm toán nên xác định nào? .87 12.3.5 Các yêu cầu quản lý nên xác định nào? 88 12.3.6 Các SRF từ PP nên đặc tả nào? 89 12.3.7 Các SRF khơng có PP nên xác định nào? .89 12.3.8 Các SRF khơng có tiêu chuẩn TCVN 8709-2:2011 nên xác định nào? .90 12.3.9 Các SRF nên trình bày nào? 90 12.3.10 Làm để phát triển yêu cầu an toàn hợp lý 91 12.4 Làm để xác định yêu cầu đảm bảo ST PP 92 12.4.1 Các yêu cầu đảm bảo nên lựa chọn 92 12.4.2 Thực hoạt động yêu cầu đảm bảo an toàn 94 12.4.3 Các SAR không nằm TCVN 8709-3:2011 nên xác định PP ST 95 TCVN xxxx:xxxx 12.4.4 Các yêu cầu đảm bảo an toàn hợp lý 95 13 Đặc tả tóm tắt TOE 95 14 Đặc tả PP TS cho TOE tổng hợp TOE thành phần 96 14.1 Các TOE tổng hợp .96 14.2 Các TOE thành phần 101 15 Trường hợp đặc biệt 102 15.1 Hồ sơ bảo vệ Đích An tồn đảm bảo thấp 102 15.2 Phù hợp với cách biểu diễn quốc gia 102 15.3 Các gói đảm bảo chức .103 16 Sử dụng công cụ tự động .103 Phụ lục A 104 (Tham khảo) 104 Ví dụ việc định nghĩa thành phần mở rộng 104 Tài liệu tham khảo 107 TCVN xxxx:xxxx Lời nói đầu Tiêu chuẩn TCVN ISO/IEC xxxx:xxxx hồn tồn tương đương với tiêu chuẩn quốc tế ISO/IEC TR 15446:2009 Tiêu chuẩn TCVN ISO/IEC xxxx:xxxx Học viện Công nghệ Bưu Viễn thơng, Bộ Thơng tin Truyền thơng đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TCVN xxxx:xxxx TIÊUCHUẨNQUỐCGIA TCVN XXXX:XXXX Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn tạo tập Hồ sơ bảo vệ Đích an tồn Information technology — Security techniques — Guide for the production of Protection Profiles and Security Targets Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn liên quan đến việc xây dựng Hồ sơ bảo vệ (PPs) Đích an tồn (STs) phù hợp với tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) Tiêu chuẩn áp dụng cho PP ST phù hợp với Bộ Tiêu chí đánh giá chung, phiên 3.1 [1], tiêu chuẩn kỹ thuật tương tự công bố Ủy ban quản lý tiêu chí chung - Hiệp hội tổ chức phủ đánh giá chứng nhận an tồn cơng nghệ thơng tin Tiêu chuẩn phần giới thiệu cho việc đánh giá sử dụng tiêu chuẩn TCVN 8709:2011 Người sử dụng tiêu chuẩn (độc giả) muốn biết thêm điều nên đọc Phần tiêu chuẩn TCVN 8709:2011 Tiêu chuẩn không đề cập đến nhiệm vụ liên quan vượt phạm vi đặc tả PP ST, việc đăng ký PP xử lý tài sản trí tuệ bảo vệ Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng cho tiêu chuẩn này: TCVN 8709-1:2011, Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá an tồn Cơng nghệ thơng tin - Phần 1: Giới thiệu mơ hình tổng qt TCVN 8709-2:2011, Cơng nghệ thơng tin - Kỹ thuật an tồn - Tiêu chuẩn đánh giá an tồn Cơng nghệ thơng tin - Phần 2: Các thành phần chức an toàn TCVN 8709-3:2011, Cơng nghệ thơng tin - Kỹ thuật an tồn - Tiêu chuẩn đánh giá an tồn Cơng nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn TCVN xxxx:xxxx ISO/IEC 18045:2008, Information technology Security techniques Methodology for IT security evaluation (ISO/IEC 18045: 2008, Công nghệ thông tin - Kỹ thuật an tồn - Phương pháp đánh giá an tồn Cơng nghệ thông tin) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu TCVN 8709-1:2011 Ký hiệu thuật ngữ viết tắt Các từ viết tắt TCVN 8709-1:2011 từ viết tắt sau áp dụng tiêu chuẩn COTS Commercial Off The Shelf Phần mềm thương mại có sẵn CRL Certificate Revocation List Danh sách chứng bị thu hồi LDAP Lightweight Directory Access Protocol Giao thức truy cập thư mục hạng nhẹ SPD Security Problem Definition Định nghĩa vấn đề an toàn SSL Secure Sockets Layer Tầng đế căm (Socket) an toàn TLS Transport Layer Security An toàn tầng giao vận CC Common Citeria Tiêu chí đánh giá chung Mục đích cấu trúc tiêu chuẩn Tiêu chuẩn nhằm mục đích giúp cho người cần chuẩn bị Hồ sơ bảo vệ (PP) Đích an tồn (ST) dùng để đánh giá theo tiêu chuẩn TCVN 8709:2011 Tiêu chuẩn đưa hướng dẫn chi tiết liên quan đến nhiều phần khác PP ST cách thức tương giao chúng Tiêu chuẩn áp dụng cho tiêu chuẩn tiêu chuẩn TCVN 8709:2011 Tiêu chuẩn chủ yếu tập trung vào đối tượng người liên quan đến việc phát triển PP ST Nó hướng đến khách hàng người dùng PP ST mong muốn hiểu nội dung PP ST phát triển người khác, muốn khẳng định phù hợp tính xác thơng tin mà họ có Nó hữu ích người đánh giá PP ST, người chịu trách nhiệm giám sát việc đánh giá PP ST Đđộc giả hiểu TCVN 8709-1:2011, đặc biệt Phụ lục A B có mơ tả ST PP tương ứng Tác giả PP ST cần phải biết phần khác tiêu chuẩn TCVN 8709:2011 mô tả tiêu chuẩn này, bao gồm phần tài liệu giới thiệu, chẳng hạn mơ hình u cầu chức mơ tả TCVN 8709-2: 2011, điều Tiêu chuẩn nhằm mục đích hướng dẫn, khơng nên trích dẫn tiêu chuẩn nội dung hay cấu trúc cho việc đánh giá PP ST Nó thiết kế phù hợp hoàn toàn với tiêu chuẩn TCVN 8709:2011 Tuy nhiên, trường hợp không quán tiêu chuẩn tiêu chuẩn TCVN xxxx:xxxx TCVN 8709:2011, tiêu chuẩn TCVN 8709:2011 xem tiêu chuẩn quy phạm ưu tiên Điều đến điều gồm phần mở đầu tài liệu tham khảo Tiếp theo phần giới thiệu tổng quan (điều 5) Điều đưa phần giới thiệu Hồ sơ bảo vệ Đích an tồn, chúng gì, sử dụng chúng Phần thảo luận mối quan hệ PP ST vấn đề liên quan đến trình phát triển PP/ST Điều đến điều 13 cung cấp thông tin cách xác định bảy phần bắt buộc nội dung PP ST, theo trình tự nêu TCVN 8709-1:2011, điều A.2 B.2 Điều 14 xem xét vấn đề cụ thể PP ST cho TOE tổng hợp, tức TOE tổng hợp từ hai nhiều TOE thành phần, TOE có PP ST riêng Điều 15 đề cập số trường hợp đặc biệt, cụ thể nội dung PP/ST giảm thiểu có yêu cầu bảo đảm thấp, phù hợp với hạn chế cách hiểu nước, phù hợp với việc sử dụng gói chức gói đảm bảo Điều 16 thảo luận chủ đề sử dụng công cụ tự động phát triển PP/ST Tổng quan PP ST 6.1 Giới thiệu Điều cung cấp cách nhìn tổng quan vai trị PP ST đánh giá an tồn thơng tin sử dụng tiêu chuẩn TCVN 8709:2011 6.2 Độc giả Tiêu chuẩn sử dụng cho hai nhóm sau: a) Nhóm chun gia Cơng nghệ thơng tin có kiến thức an tồn thơng tin (ví dụ cán bộ, kiến trúc sư an tồn thơng tin am hiểu u cầu an tồn thơng tin) họ chuyên gia việc đánh giá an tồn thơng tin họ chưa có kiến thức tiêu chuẩn TCVN b) 8709:2011 Nhóm chun gia an tồn thơng tin có kiến thức chuyên sâu tiêu chuẩn TCVN 8709:2011 Họ người trực tiếp tham gia vào việc phát triển PP ST Nếu độc giả thuộc nhóm thứ nhất, điều cung cấp cho họ thông tin cần thiết để hiểu rõ mục đích cấu trúc PP ST Nó cung cấp cho họ thơng tin để bạn đọc hiểu PP ST, để xác định phù hợp đắn trường hợp cụ thể Các điều giải thích chi tiết nội dung phần PP ST, theo hướng tạo tài liệu giả thiết có kiến thức tiêu chuẩn TCVN 8709:2011 TCVN xxxx:xxxx Nếu độc giả chuyên gia, hiển nhiên bạn hiểu rõ nội dung điều Các điều cung cấp cho bạn phương pháp luận, kỹ thuật dẫn thiết thực để chuẩn bị PP ST cách hiệu Nếu độc giả khơng phải chun gia an tồn thơng tin, họ cần phải tạo PP ST, tiêu chuẩn giúp cho họ thực điều Tuy nhiên, họ cần phải tìm, đọc hiểu ví dụ cơng bố PP ST tương tự yêu cầu họ Họ nên xem xét đến dịch vụ người có kiến thức chun mơn kinh nghiệm 6.3 Việc sử dụng PP ST 6.3.1 Giới thiệu Mục đích việc sử dụng tiêu chuẩn TCVN 8709:2011 để đánh giá an toàn sản phẩm Công nghệ thông tin Thuật ngữ "sản phẩm Công nghệ thông tin " không thực định nghĩa tiêu chuẩn TCVN 8709:2011 Tuy nhiên, hiểu bao gồm tất loại thực thể xây dựng cách sử dụng Cơng nghệ thơng tin, cho dù hệ thống thông tin trọn vẹn sử dụng độc quyền tổ chức, hay COTS nhà sản xuất tạo để bán cho nhiều khách hàng khác Trong tiêu chuẩn này, nói sản phẩm Công nghệ thông tin hay đơn sản phẩm, tư vấn áp dụng cho tất đối tượng đề cập Trong trường hợp phạm vi tư vấn giới hạn loại sản phẩm cụ thể, nói hệ thống, sản phẩm COTS, sử dụng số từ ngữ khác cách rõ ràng cụ thể Vì sản phẩm Cơng nghệ thơng tin sử dụng theo nhiều cách, nhiều kiểu mơi trường, nên khái niệm an tồn thay đổi tùy theo sản phẩm Do đó, kết cuối đánh giá theo tiêu chuẩn TCVN 8709:2011 không "sản phẩm Công nghệ thông tin an tồn", mà ln ln "sản phẩm Công nghệ thông tin đáp ứng đặc tả an tồn" Bộ tiêu chuẩn TCVN 8709:2011có đặc tính an tồn chuẩn hóa (trong số đặc tính khác): - Nội dung cụ thể bắt buộc cần cho việc đánh giá sản phẩm dựa theo đặc tính an tồn; - Cho phép so sánh thơng số kỹ thuật an tồn sản phẩm khác Bộ tiêu chuẩn TCVN 8709:2011 công nhận hai loại khác đặc tính an tồn là: Hồ sơ bảo vệ (PP) Đích an tồn (ST) Sự khác biệt hai đặc tính giải thích vai trị mà chúng hướng đến q trình khách hàng tìm kiếm để mua sản phẩm điển hình từ nhà phát triển Các khái niệm khách hàng, nhà phát triển sản phẩm trừu tượng Một khách hàng người muốn mua sản phẩm Đó cá nhân, tổ chức, nhóm tổ chức, quan Chính phủ, v v… Một nhà phát triển người muốn bán sản phẩm Đó lập trình viên, cơng ty nhỏ, cơng ty lớn, nhóm cơng ty làm việc v v… Cuối cùng, TCVN xxxx:xxxx Môi trường vận hành định danh xác thực người dùng riêng lẻ cung cấp cách thức cho DBMS đạt định danh người dùng thay cho mà yêu cầu DBMS làm Những giả định bây giời sử dụng để xác định mục tiêu xác cho hệ điều hành, phần mơi trường vận hành Mức độ xác mục tiêu phụ thuộc nhiều vào yêu cầu cụ thể DBMS Ví dụ, việc kiểm toán yêu cầu chức an tồn cho DBMS Nó hữu ích để yêu cầu vài mức kiểm toán từ hệ điều hành nhằm phát cố gắng vượt qua can thiệp với chức an toàn hệ điều hành mà DBMS phụ thuộc Một ví dụ xuất phát từ mục tiêu an toàn xuất phát từ giả định là: - Hệ điều hành cung cấp chế mà cho phép DBMS thực thi trên miền thực thi riêng Miền bảo vệ để tránh khỏi cản trở xáo trộn chương trình ứng dụng khác thực thi kiểm soát hệ điều hành; - Hệ điều hành phải bảo vệ chương trình thực thi, thuộc DBMS tránh khỏi truy cập trái phép; - Hệ điều hành phải cung cấp chế cho phép phát hành vi vi phạm tính tồn vẹn DBMS ngăn cấm khởi chạy DBMS hành vi vi phạm tính tồn vẹn phát ra; - Hệ điều hành phải cung cấp chế kiểm soát truy cập đến tệp, giúp phân biệt truy cập, đọc, ghi/ cập nhật, cho phép định nghĩa riêng biệt mức độ truy cập (kể “khơng có quyền truy cập”) xuống chi tiết người dùng riêng biệt; - Hệ điều hành phải cho phép hạn chế quản lý quyền truy cập tệp đến người dùng riêng biệt nhóm người dùng xác định; - Hệ điều hành cần xác định xác thực người dùng riêng biệt trước họ gọi chức DBMS - Hệ điều hành cần sử dụng chế bảo vệ cho việc xác thực nhằm hạn chế khả xác thực lỗi người dùng để xác suất nhỏ 1/1,000,000; - Hệ điều hành cần có khả kiểm tốn nỗ lực xác thực thành cơng khơng thành cơng, ghi kiểm tốn nơi chứa định danh người dùng, thời gian ngày nỗ lực xác thực; - Hệ điều hành cần cung cấp giao diện để DBMS sử dụng để đạt xác định danh mà đại diện cho người dùng trức sở liệu gọi Người ta thấy rằng, hầu hết mục tiêu an tồn ánh xạ dễ dàng tới yêu cầu chức an toàn định nghĩa TCVN 8709-2:2011 Chỉ có mục tiêu an tồn khác, giải thuộc tính kiến trúc phân biệt cho miền Các tài liệu kiến trúc an toàn cần mơ tả, thuộc tính 99 TCVN xxxx:xxxx triển khai hệ điều hành Tài liệu kiến trúc an toàn cần làm tay cho mức độ đảm bảo EAL2 cao Trong trường hợp đó, DBMS xem thành phần phụ thuộc hệ điều hành xem thành phần sở Người ta xác định mục tiêu an toàn cho hệ điều hành với mức chi tiết cao, gần với mức độ chi tiết yêu cầu chức an tồn Bất có thể, nên cung cấp mục tiêu an toàn cho hệ điều hành mức chi tiết Trong tính khác, mà giả định mục tiêu an tồn cho mơi trường hoạt động bắt nguồn từ giả định chung chung Nếu lấy hệ điều hành thành phần phụ thuộc máy chủ LDAP thành phần sở Khi giả định cần thực là: Môi trường điều hành cần bảo vệ chứng thư số danh sách chứng thư số bị thu hồi Hệ điều hành yêu cầu chứng thư số việc xác thực người dùng tránh khỏi thay đổi trái phép bổ sung trái phép chứng thư số danh sách chứng thư số bị thu hồi Trong trường hợp ST PP để lại số chi tiết việc bảo vệ cho phép cách khác để đáp ứng điều giả định Mục tiêu an toàn cho môi trường hoạt động xuất phát từ giả định này, có thể: - Máy chủ LDAP cần định danh xác thực người dùng trước cho phép thay đổi hoặc/ bổ sung chứng thư CRL sử dụng cho việc xác thực người dùng hệ điều hành; - Môi trường điều hành cần bảo vệ liệu kết nối máy chủ LDAP hệ điều hành tránh khỏi thay đổi mà không phát (kể thêm thay đổi hồn tồn) Trong ví dụ có lẽ khơng muốn để xác định cách làm mục tiêu an tồn cho mơi trường hoạt động đạt chi tiết cho phép loạt cách khác để phù hợp với yêu cầu Trong ví dụ này, người ta có lẽ ko muốn xác định cách thức mà mục tiêu an toàn (đối với mơi trường hoạt đó) đạt cách chi tiết tính đến loạt cách thức khác tương thích với u cầu Trong ví dụ chủ ý bỏ ngỏ vấn đề an toàn mục tiêu an toàn thứ hai đạt việc sử dụng giao thức kết nối bảo vệ cách mã hoá, mục tiêu đạt mạng bảo vệ vật lý Khi phát triển Đích an tồn Hồ sơ bảo vệ cho thành phần phục thuộc Người ta phải phân biệt thành phần sơ đánh giá với kết đánh giá có sẵn đánh giá thành phần phục thuộc thành phần sơ không đánh giá kết đánh giá thành phần sở khơng có sẵn Trong trường hợp đầu tiên, TCVN 8709-3:2011 chứa lớp đảm bảo ACO Lớp xác định tiêu chí đánh giá cho cấu tạo thành phần đánh giá Tác giả Đích an toàn Hồ sơ bảo vệ cho TOE 100 TCVN xxxx:xxxx tổng hợp phải bao gồm thành phần từ lớp ACO mà tác giả cảm thấy phù hợp với mức đảm bảo Để hỗ trợ cho vấn đề này, TCVN 8709-3:2011 định nghĩa ba gói “đảm bảo thành phần” Ba gói nằm Đích an tồn Hơ sơ Bảo vệ cho TOE tổng hợp Nếu họ định lựa chọn thành phần từ lớp ACO khác với gói này, người ta phải đảm bảo phụ thuộc giải 14.2 Các TOE thành phần Trong có TOE tự đáp ứng đủ khơng có phụ thuộc vào thành phần Công nghệ thông tin khác mơi trường TOE Cũng có số TOE không rơi vào trường hợp trên, TOE xác định “các thành phần TOE” Đích an tồn Hồ sơ bảo vệ Ví dụ điển hình là: - Một gói phần mềm cung cấp chức an toàn xác định, dùng để tích hợp vào số sản phẩm khác Các gói phần mềm dựa sản phẩm, tích hợp vào cho việc bảo vệ TSF liệu TSF quản lý số liệu TSF; - Một ứng dụng thực việc kiểm soát truy cập đối tượng Việc kiểm sốt dựa việc xác thực định danh người dùng cung cấp môi trường; - Một ứng dụng hệ điều hành mà dựa xử lý mã hoá cho việc cung cấp chức mã hoá quản lý khoá của chúng Một nhiều mục tiêu an toàn trường hợp ánh xạ phần tới yêu cầu chức an toàn TOE phần ánh xạ đến mơi trường Do TOE đánh giá dạng giả định Môi trường thực xác chức an tồn, giải hoàn toàn phần mục tiêu an tồn mà TOE khơng thể tự giải Một Đích an tồn Hồ sơ bảo vệ cho thành phần khơng có nhiều khác biệt so với sản phẩm độc lập Sự khác biệt mục tiêu an tồn cho mơi trường Công nghệ thông tin yêu cầu để giải hoàn toàn mục tiêu an toàn cho TOE Các mục tiêu (cho TOE) thường xác định xác, đồng thời đề cập đến loại sản phẩm Công nghệ thông tin môi trường đảm bảo tính khách quan Trong ví dụ đề cập 14.1, Đích an tồn cho hệ điều hành xác định rõ ràng riêng biệt, mục tiêu an toàn đáp ứng đầy đủ phần cứng bản, máy chủ LDAP, hệ thống PKI thẻ thơng minh Các mục tiêu an nên xác định xác tốt Những mục tiêu dễ dàng ánh xạ tới yêu cầu chức an toàn xác định Đích an tồn thành phần Điều cho phép việc ánh xạ dễ dàng việc đánh giá tổng hợp thành phần TOE tổng hợp 101 TCVN xxxx:xxxx 15 Trường hợp đặc biệt 15.1 Hồ sơ bảo vệ Đích An toàn đảm bảo thấp Trong trường hợp Hồ sơ bảo vệ Đích an tồn mà có u cầu đảm bảo không cao yêu cầu xác định cho mức đảm bảo1 EAL, tiêu chuẩn TCVN 8709:2011 cho phép đơn giản hoá Hồ sơ bảo vệ Đích an tồn Trường hợp Hồ sơ bảo vệ Đích an tồn người ta bỏ qua: - Việc định nghĩa vấn đề an toàn; - Các mục tiêu an toàn; - Mục tiêu an toàn hợp lý; - Các mục tiêu an toàn hợp lý, trừ việc lý giải phụ thuộc không giả yêu cầu an toàn định nghĩa tiêu chuẩn TCVN 8709:2011 Điều cho phép Hồ sơ bảo vệ Đích an tồn đơn giản mục tiêu sản phẩm đảm bảo thấp Tất phần khác cần giải mơ tả trước Hồ sơ bảo vệ Đích an tồn đảm bảo thấp khẳng định phù hợp với Hồ sơ bảo vệ đảm bảo thấp Nhưng Hồ sơ Bảo Đích an tồn đảm bảo tun bố khơng mức thấp Đích an tồn khẳng định phù hợp Hồ sơ bảo vệ mức thấp khẳng định phù hợp với đảm bảo thấp bảo vệ hồ sơ Như đảm bảo thấp bảo vệ hồ sơ khơng hay Đích an tồn cần bao gồm tất phần bắt buộc đảm bảo thấp bảo vệ hồ sơ khơng hay Đích an tồn Do đó, phần bỏ qua Hồ sơ bảo vệ đảm bảo mức thấp phải khẳng định phù hợp phải nằm Hồ sơ bảo vệ đảm bảo mức không thấp nằm Đích an tồn 15.2 Phù hợp với cách biểu diễn quốc gia Ngoài yêu cầu quy định tiêu chuẩn TCVN 8709:2011 cho Hồ sơ bảo vệ Đích An tồn Đề án quốc gia đơn lẻ xác định diễn giải quốc gia cụ thể tiêu chuẩn TCVN 8709:2011 cần giải để có mộ Hồ sơ bảo vệ Đích An tồn theo đề án quốc gia Những diễn giải quốc gia thường công bố đề an quốc gia Tác giả Hồ sơ bảo vệ Đích An tồn có ý định sử dụng đề án quốc gia cụ thể nên liên hệ với chủ nhiệm đề án giải thích Ngồi cách diễn giải quốc gia, kết hợp với diễn giải chung bao gồm sửa đổi tài liệu TCVN 8709:2011 Những giải thích chấp nhận nhóm quốc gia có hợp tác để đạt công nhận lẫn giấy chứng nhận Các giải thích cần xem xét 102 TCVN xxxx:xxxx phát triển mộ Hồ sơ bảo vệ Đích an tồn, đồng thời tác giả khuyến nghị cần liên hệ với đề án hợp tác để có giải thích chung liên quan đến cấu trúc nội dung Hồ sơ bảo vệ Đích An tồn 15.3 Các gói đảm bảo chức Bổ sung cho Hồ sơ bảo vệ, tiêu chuẩn TCVN 8709:2011 cho phép xác định gói đảm bảo chức Một gói chức chứa tập chức an tồn, gói đảm bảo chứa tập u cầu đảm bảo an tồn Các gói hỗn hợp chứa yêu cầu chức an toàn u cầu đảm bảo an tồn khơng phép Một gói nên có tên Tên cho phép nhận dạng gói, nên chứa tập yêu cầu hữu ích hiệu Ví dụ gói chức chứa yêu cầu chức an toàn đề cập đến khía cạnh an tồn cụ thể Một ví dụ điển hình là, gói chức định nghĩa chức liên quan đến việc kiểm toán (một tập tối thiểu kiện kiểm tốn, bảo vệ yêu cầu soát xét kiểm toán nhật ký kiểm tốn) mà khơng giải khía cạnh khác Một gói chức vậy, sử dụng lại cho loại sản phẩm an tồn khác (ví du, hệ điều hành, hệ thống quản lý sở liệu, hệ thống tường lửa) Khi định nghĩa gói đảm bảo chức an tồn gói chức vậy, cách tốt để giải phụ thuộc trực tiếp chúng bên gói cách đưa khuyến nghị, phụ thuộc nên giải sử dụng gói 16 Sử dụng công cụ tự động Bản chất cấu trúc tiêu chuẩn TCVN 8709:2011, nội dung không thay đổi PP/ST nêu lên câu hỏi, cơng cụ tự động hố đến mức để giúp cho việc xây dựng đánh giá tài liệu quan trọng tiêu chuẩn TCVN 8709:2011, chẳng hạn PP ST Động thúc đẩy cho loạt công cụ tự động cho phép người phát triển tập trung vào nội dung PP/ST Giảm bớt khó khăn vấn đề trình bày nội dung PP/ST tác vụ tiêu tốn tài nguyên, chẳng hạn mối quan hệ/khép kín phù hợp, kiểm tra phụ thuộc chức Để giảm thiểu số lượng đánh giá viên từ việc giảm thời gian, cần hạn chế hoạt động việc đánh giá PP/ST Người ta cố gắng đưa cộng đồng công cụ sử dụng cho việc phát triển PP/ST Những công cụ cho phép đạt PP/ST từ việc việc phân tích vấn đề bảo mật xuống đến yêu cầu an toàn "The CCToolBox" [9], ngược lại Từ đặc trưng an toàn TOE đến việc định nghĩa vấn đề an toàn, "The PPhelper" [10] Cả hai hỗ trợ sở liệu khái niệm an toàn liên quan đến Những nỗ lực, cố gắng dừng lại khơng có nhiều thành cơng 103 TCVN xxxx:xxxx Một số cơng cụ thương mại có sẵn xây dựng dựa nguyên tắc thử khái niệm cơng bố ban đầu Những cơng cụ cịn, cung cấp chức khác, đồng thời cản trở PP/ST lập thành dàn ý từ trước Việc xây dựng tiêu chuẩn TCVN 8709:2011 tiêu chuẩn chung dạng XML cho phép loạt khả việc tự động phát triển PP/ST, trì tích hợp vào vịng đời phát triển công cụ nhà phát triển Những khả dựa công cụ bên ngồi hay cơng cụ thương mại, nhà tích hợp, phát triển khó đạt Làm để nên hỗ trợ công cụ việc tạo chứng đánh giá, đặc biệt tạo PP/ST Các hướng dẫn rõ dàng lần để có kiến thức khái niệm cần để viết nắm vững PP/ST Sau tự động hố số yêu cầu nội dung hình thức Dễ chép văn lấy từ phiên tiêu chuẩn TCVN 8709:2011 v.v…Có thể thực dễ dàng với số công cụ hỗ trợ Hy vọng rằng, cách tiếp cận ngược lại, tức là, việc áp dụng công cụ hy vọng cung cấp PP/ST hữu ích, chủ yếu dẫn đến điều không mong muốn FPT_REC_EXT.1.1 Phụ lục A (Tham khảo) Ví dụ việc định nghĩa thành phần mở rộng Phần sau cung cấp ví dụ việc định nghĩa thành phần chức an toàn mở rộng Thành phần tập trung giải yêu cầu cho việc phục hồi liệu TSF Ví dụ cho biết làm để xác định cấu trúc định nghĩa thành phần mở rộng lý cho thành phần mở rộng để định nghĩa ST PP Phục hồi liệu TSF (FPT_REC_EXT) 104 TCVN xxxx:xxxx Hành vi họ Việc khôi phục liệu cho TSF cho phép xác định điểm kiểm tra cho liệu TSF xác định, khôi phục liệu TSF thời điểm kiểm tra thiết lập Điều cho phép khơi phục liệu TSF sau thay đổi, ví dụ lỗi người trị sau bị hỏng phần cứng phần mềm Làm cân thành phần FPT_REC_EXT.1 khôi phục liệu TFS cần thiết phải thiết lập điểm kiểm trả việc khôi phục từ điểm kiểm tra cách tự động hành động dứt khoát người quản trị FPT_REC_EXT.2 khôi phục liệu TSF nâng cao cần thiết phải thiết lập điểm kiểm trả việc khôi phục từ điểm kiểm tra cách tự động hành động dứt khoát người quản trị Quản lý: FPT_REC_EXT.1, FPT_REC_EXT.2 Những hành động sau xem xét cho chức quản lý FMT: - Quản lý đặc quyền yêu cầu để xác định điêm kiểm tra hoặc/ khởi tạo khôi phục; - Quản lý liệu TSF nằm liệu cất điểm kiểm tra Kiểm toán: FPT_REC_EXT.1, FPT_REC_EXT.2 Các hành động sau cần kiểm toán việc tạo liệu kiểm tốn an tồn cho FAU_GEN bao gồm PP/ST - Tối thiểu: tất hành động khôi phục thành công; - Cơ bản: tất nỗ lực để thực hoạt động khôi phục; - Chi tiết: tất nỗ lực để thực hoạt động khơi phục, tồn hoạt động điểm kiểm tra FPT_REC_EXT.1 Khôi phục liệu TSF - Phân cấp để: khơng có thành phần khác - Phục thuộc: FMT_SMR.1 vai trò an toàn, FMT_MOF.1quản lý hành vi chức an toàn FPT_REC_EXT.1.1 TSF cần phải cho phép người dùng với vai trò [chỉ định: danh sách vai trò] để xác định điểm kiểm tra cho [chỉ định: liệt kê liệu TSF] TSF phải lưu dữ liệu TSF điểm kiểm tra đạt đến vị trí mà khôi phục sau FPT_REC_EXT.1.2 TSF phải cho phép người dùng với vai trò [chỉ định: danh sách quy tắc] để khôi phục liệu TSF từ giá trị có thời điểm kiểm tra 105 TCVN xxxx:xxxx FPT_REC_EXT.1.3 TSF phải thực hành động sau để đảm bảo tính tồn vẹn tính qn liệu TSF sau khơi phục [chỉ định: danh sách hành động cho việc kiểm tra tính qn tính tồn vẹn] FPT_REC_EXT.1.4 TSF phải thực hành động sau, phát liệu TSF khơng qn khơng đảm bảo tính tồn vẹn q trình khôi phục [chỉ định: danh sách hành động] FPT_REC_EXT.2 khôi phục liệu TSF tự động Phân cấp đến: FPT_REC_EXT.1 Sự phụ thuộc: FMT_SMR.1 Các vai trò an toàn của, FMT_MOF.1 Quản lý hành vi chức an toàn FPT_REC_EXT.2.1 TSF phải xác định điểm kiểm tra cho [ định: liệt liệu TSF] điều kiện sau [lựa chọn: khoảng thời gian xác định người quản trị, điều kiện sau thoả mãn [chỉ định: liệt kê điều kiện], [chỉ định: tiêu chí khác]] TSF phải lưu trữ liệu TSF điểm kiểm tra đạt đến vị trí mà sau khơi phục lại FPT_REC_EXT.2.2 TSF phải khôi phục lại liệu TSF từ giá trị có điểm kiểm tra điều kiện sau [chỉ định: danh sách điều kiện] FPT_REC_EXT.2.3 TSF phải thực hành động sau để đảm bảo tính quán tính tồn vẹn liệu TSF sau khơi phục [chỉ định: danh sách hành động cho việc kiểm tra tính qn tính tồn vẹn] FPT_REC_EXT.2.4 TSF phải thực hành động sau, phát liệu TSF khơng đảm bảo tính qn tính tồn vẹn q trình khơi phục [chỉ định: danh sách hành động] FPT_REC_EXT.2.5 TSF phải sử dụng liệu TSF khôi phục chi đảm bảo tính qn tính tồn vẹn Cơ sở cho việc định nghĩa thành phần mở rộng SFR không xác định TCVN 8709-2:2011 cho việc khôi phục liệu TSF, mà lệu lưu điểm kiểm tra xác định Cách khôi phục quan trọng để đảm bảo hoạt động an toàn TOE Các yêu cầu chức xác định điều kiện cho TOE Giá trị liệu TSF xác định “cất” phần hoạt động “điểm kiểm tra” sau giá trị khơi phục điều kiện định nghĩa từ giá trị cất Nó trường hợp mà việc khôi phục tập liệu TSF xác định, dẫn đến trạng thái không phù hợp TSF (và khả khơng an tồn) Ngồi ra, tính toàn vẹn liệu TSF lưu trữ phải đảm bảo Vì yêu cầu để thực việc kiểm tra để đảm bảo toàn trạng thái TSF sau khơi phục qn an tồn, đồng thời liệu TSF 106 TCVN xxxx:xxxx khôi phục khơng bị thay đổi Do SFR cho phép đặc tả cho việc kiểm tra tính tồn vẹn tính quán Việc kiểm tra cần thực sau khôi phục trước TOE tiếp tục hoạt động bình thường Nếu việc kiểm tra tính qn bị lỗi, TOE định biện pháp khắc phục tự động Đưa chế độ bảo trì, chế độ cho phép người quản trị điều chỉnh tay, thực hành động khác để ngăn chặn TOE rơi vào trang thái khơng an tồn FPT_REC_EXT.2 khơng cho phép sử dụng TSF khơi phục, trừ tính qn tính tồn vẹn đảm bảo Thành phần yêu cầu chức an toàn thành phần mở rộng lớp FPT thành phần chức an toàn định nghĩa TCVN 8709-2:2011 Tài liệu tham khảo [1] Common Citeria for Information Technology Security Evaluation (3 parts), Version 3.1, Common Citeria Management Board, 2007 Downloadable from http://www commonciteriaportal org/ (link valid October 2008) [2] List of PPs, Downloadable from http://www commonciteriaportal org/ (link valid October 2008) [3] ISO/IEC15292, Information technology — Security techniques — Protection Profile registration procedures [4] Software ReliabilCông nghệ thông tin y Measurement, Prediction and Application, J Musa, A Ianino and K Okumotu, MacGraw-Hill, 1987, ISBN: 9780070441194 107 TCVN xxxx:xxxx [5] Software Risk Management: Principles and Practices, B W Boehm, IEEE Software, January 1991 [6] A Security Engineering Process, J D Weiss, Proceedings of the 14th National Computer Security Conference, Washington D C , USA, October 1991 [7] Secrets and Lies, B Schneier, John Wiley & Sons, 2000, ISBN: 9780471253112 [8] The Security Development Lifecycle, M Howard and S Lipner, Microsoft Press, 2006, ISBN: 9780735622142 [9] The CC Toolbox Downloadable from http://cctoolbox sparta com/ (link valid October 2008) [10] The PP Helper Presented at the Third International Common Citeria Conference, Ottawa, Canada, 13-14 May 2002 Chỉ mục A adverse actions 9.3.3.4 Các hành động có hại architectural requirements Các yêu cầu kiến trúc explanation 12.2.7.1 Giải thích 12.2.7.1 usage Sử dụng assets, types of 9.3.3.3 108 Tài sản, loại 9.3.3.3 TCVN xxxx:xxxx assumptions, identifying and specifying 9.5 audience for this report 6.2 automated tools, use of 16 Các giả định, nhận biết đặc tả 9.5 Độc giả tiêu chuẩn 6.2 Các công cụ tự động, sử dụng 16 C component TOEs 14.2 Các TOE thành phần 14.2 composition of TOEs 14.1 Thành phần TOE 14.1 conformance claims Các yêu cầu tuân thủ reading 5.5 đọc 5.5 specifying Đặc tả controlling access to and use of resources Quản lý truy cập sử dụng tài nguyên explanation 12.2.2.1 Giải thích 12 usage 12.2.2.2 Sử dụng 12.2.2.2 E evaluation role in selection-based purchasing 6.3.3.4 Đánh giá Vai trò việc mua dựa lựa chọn 6.3.3.4 role in specification-based purchasing 6.3.2.5 Evaluation Assurance Levels and other assurance issues 6.5.7 extended components 11 Vai trò việc mua dựa đặc tả 6.3.2.5 Các Mức đảm bảo đánh giá vấn đề đảm bảo khác Sự phát hành 6.5.7 Các thành phần mở rộng 11 I informal security requirements Các u cầu an tồn tồn khơng thức documenting 9.2.3 Tài liệu 9.2.3 identifying 9.2 Nhận biết 9.2 in purchasing process 6.3.2.2 Trong trình mua 6.3.2.2 sources of information 9.2.2 Nguồn thông tin O 109 TCVN xxxx:xxxx operations Vận hành permitted 12.3.3.1 Được phép 12.3.3.1 interation 12.3.3.2 Phép lặp assignment and selection 12.3.3.3 Chỉ định lựa chọn 12.3.3.3 refinement 12.3.3.4 Bổ sung chi tiết 12.3.3.4 on security assurance requirements 12.4.2 Trên yêu cầu đảm bảo an tồn 12.4.2 P packages functional and assurance15.3 Các gói Đảm bảo chức năng15.3 policies, identifying and specifying 9.4 Các sách, nhận biết đặc tả 9.4 Protection Profile introduction, specifying Hướng dẫn Hồ sơ bảo vệ, đặc tả Protection Profiles Các Hồ sơ bảo vệ building a product from 6.3.2.4 Xây dựng sản phẩm từ 6.3.2.4 conformance to 6.5.6 Sự phù hợp với 6.5.6 development process 6.4 Quá trình phát triển 6.4 other uses 6.3.4 Sử dụng khác 6.3.4 reading and understanding 6.5 Đọc hiểu 6.5 use of 6.3 Sử dụng 6.3 using as specifications 6.3.2.3 Việc sử dụng đặc tả 6.3.2.3 purchasing processes Quá trình mua selection-based 6.3.3 Dựa lựa chọn 6.3.3 specification-based 6.3.2 Dựa đặc tả 6.3.2 S securing communication explanation 12.2.5.1 Sự giải thích 12.2.5.1 usage 12.2.5.1 Cách sử dụng 12.2.5.1 security assurance requirements 110 An tồn truyền thơng Các u cầu đảm bảo an tồn TCVN xxxx:xxxx defining SARs not in TCVN 8709-3:201112.4.3 Việc định nghĩa SARs không nằm TCVN 8709-3:201112.4.3 Thực vận hành 12.4.2 performing operations on 12.4.2 Lý cho SARs 12.4.4 rationale for SARs 12.4.4 Việc lựa chọn từ TCVN 8709-3:201112.4.1 selection from TCVN 8709-3:201112.4.1 Kiểm toán an tồn security audit Giải thích 12.2.6.1 explanation 12.2.6.1 Cách sử dụng 12.2.6.2 usage 12.2.6.2 Các yêu cầu chức an toàn security functional requirements defining SFRs not in TCVN 8709-2:201112.3.8 Việc định nghĩa SFRs khơng có 87092:2011 12.3.8 Thực vận hành 12.3.3 performing operations on 12.3.3 Lý cho SFRs 12.3.3 rationale for SFRs 12.3.10 selection from TCVN 8709-2:201112.3.2 Việc lựa chọn từ TCVN 8709-3:201112.3.2 security objectives Các mục tiêu an toàn identifying IT environmental 10.4 Nhận biết môi trường Công nghệ thông tin 10.4 identifying non-it environmental 10.3 Nhận biết môi trường phi Công nghệ thông tin 10.3 identifying TOE objectives 10.5 Nhận biết mục tiêu TOE 10.5 producing the objectives rationale 10.6 reading Tạo lý ban hành mục tiêu the operational environment objectives 6.5.4 Đọc mục tiêu môi trường vận hành 6.5.4 specifying 10 Đặc tả 10 structuring threats, policies and assumptions for 10.2 cho 10.2 security problem definition consistency Cấu trúc mối đe doạ, sách giả định checking Định nghĩa vấn đề an toàn and finalising 9.6 Nhất quán việc kiểm tra hoàn thiện 9.6 111 TCVN xxxx:xxxx specifying Đặc tả Security Target introduction, specifying Hướng dẫn Đích An tồn, đặc tả Security Targets Các Đích An tồn comparing developer 6.3.3.3 So sánh nhà phát triển 6.3.3.3 development process 6.4 Quá trình phát triển 6.4 reading and understanding 6.5 Đọc hiểu 6.5 use of 6.3 Sử dụng 6.3 specifications Các đặc tả using developer 6.3.3.2 Sử dụng nhà phát triển 6.3.3.2 using Protection Profiles as 6.3.2.3 Sử dụng Hồ sơ bảo vệ 6.3.2.3 T threat agents 9.3.3.2 Các tác nhân đe doạ 9.3.3.2 threat analysis methodology Phương pháp luận phân tích mối đe doạ applying 9.3.4 Việc áp dụng 9.3.4 deciding on a 9.3.2 Việc quết định 9.3.2 threats Các mối đe doạ identifying and specifying 9.3 Nhận biết đặc tả 9.3 practical advice 9.3.5 Lời khuyên thiết thực 9.3.5 TOE description, reading the 6.5.3 Mô tả TOE, đọc 6.5.3 TOE overview, reading the 6.5.2 Tổng quan TOE, đọc 6.5.2 TOE self protection TOE tự bảo vệ explanation 12.2.4.1 Sự giải thích 12.2.4.1 usage 12.2.4.2 Cách dùng 12.2.4.2 TOE summary specification13 Đặc tả tổng hợp TOE13 U user management explanation 12.2.3.1 112 Quản lý người dùng Giải thích 12.2.2.3.1 TCVN xxxx:xxxx usage 12.2.3.2 Cách dùng 12.2.3.2 113