Tiêu chuẩn an toàn bảo mật

Một phần của tài liệu Kiểm thử và tiêu chuẩn, quy trình đánh giá chất lượng phần mềm quân sự (Trang 61 - 64)

Tiêu chuẩn này đánh giá khả năng an ninh an toàn của phần mềm từ quá trình xử lý dữ liệu đầu vào, chuẩn hóa thông tin, kết xuất dữ liệu, phòng chống tấn công điểm yếu phần mềm và cơ sở dữ liệu.

7.2. Các tài liệu liên quan - Tài liệu Tư vấn

- Tài liệu Khảo sát - Tài liệu Đặc tả yêu cầu - Tài liệu Giải pháp tổng thể - Tài liệu Phân tích hệ thống - Tài liệu Thiết kế

- Tài liệu Phát triển hệ thống - Tài liệu Kiểm tra chất lượng

- Tài liệu đào tạo, hướng dẫn quản trị, hướng dẫn sử dụng.

7.3. Căn cứ đánh giá

Việc đánh giá tiêu chuẩn Chức năng căn cứ vào các tài liệu được xác nhận của các bên liên quan đã nêu trong mục 2.7.2. Chú ý rằng, nếu phần mềm không có các tài liệu này, hoặc thiếu đi một trong các tài liệu đã nêu trong mục 2.7.2 thì việc đánh giá phần đó bỏ qua và cho điểm 0.

7.4. Định nghĩa

- Đánh giá thuộc tính An toàn: là việc đánh giá mức độ phòng thủ của hệ thống như kiểm soát truy cập, ngăn chặn các giao dịch trái phép, ghi nhật ký sử dụng, khả năng phục hồi nếu gặp rủi ro, phương án sao lưu, phục hồi.

- Đánh giá thuộc tính An ninh: là việc đánh giá khả năng chống lại các tấn công có thể xảy ra, khả năng phòng thủ khi có tấn công, các phương pháp mã hóa trong giao dịch, sử dụng các công nghệ an ninh trong phần mềm.

7.5. Trách nhiệm

7.5.1. Đối với đơn vị sản xuất phần mềm

- Cung cấp đầy đủ tài liệu có liên quan: tài liệu tư vấn, tài liệu khảo sát, tài liệu đặc tả yêu cầu, tài liệu phân tích, thiết kế hệ thống, tài liệu hướng dẫn người dùng (nếu có) và các tài liệu liên quan hỗ trợ cho công tác đánh giá tiêu chuẩn an ninh hệ thống.

- Cung cấp hệ thống phần mềm và các tiện ích kèm theo.

- Hỗ trợ quá trình đánh giá khi có yêu cầu.

7.5.2. Đối với các đơn vị đặt hàng phần mềm, đơn vị mua SPPM - Phối hợp và hỗ trợ quá trình đánh giá.

7.5.3. Đối với đơn vị đánh giá

- Chuẩn bị lực lượng, kế hoạch đánh giá, lấy góp ý của các bên liên quan.

- Thiết lập đầy đủ thủ tục, quy trình thực hiện việc đánh giá phần mềm.

- Đưa ra kết quả có mức độ chính xác cao, phù hợp với thực tế.

7.6. Nội dung thực hiện

7.6.1. Lập kế hoạch, hồ sơ cho việc xây dựng và chuẩn bị tiền đánh giá - Chuẩn bị tài liệu đã nêu trong mục 7.2

- Chuẩn bị các công cụ hỗ trợ việc đánh giá (nếu có).

- Chuẩn bị nhân sự cho việc đánh giá và phân công nhiệm vụ cụ thể cho từng cá nhân tham gia đánh giá.

- Mô tả sơ bộ về việc đánh giá tiêu chuẩn an ninh đối với mỗi phần mềm.

- Thiết lập các trọng số cho tiêu chuẩn an ninh và các thuộc tính của tiêu chuẩn và từng tiêu chí của mỗi thuộc tính. Đây là bước quan trọng, nó ảnh hưởng trực tiếp

đến kết quả của việc đánh giá tiêu chuẩn này.

7.6.2. Thực hiện việc đánh giá

- Các thuộc tính chất lượng của tiêu chuẩn an ninh hệ thống:

Tiêu chuẩn Thuộc tính chất lượng

CHỨC NĂNG TCPM-CSDL-07.01 An toàn TCPM-CSDL-07.02 An ninh

- Quá trình thực hiện đánh giá tiêu chuẩn an ninh hệ thống được chi tiết hóa và đánh giá dựa trên các tiêu chí cụ thể như sau:

a. An toàn

* Đăng nhập

- Chương trình có thực hiện các hình thức kiểm tra đăng nhập hệ thống.

- Căn cứ đánh giá: Dựa vào việc kiểm định trực tiếp phần mềm. Các hình thức kiểm tra đăng nhập chính

- Tên người sử dụng và mật khẩu - Sinh trắc học

- Động (về thời gian)

X=A= Số hình thức kiểm tra chương trình tiến hành

5: có cả 3 hình thức; 4: có 2 hình thức; 3: có 1 hình thức; 1: không có hình thức nào

* Phân quyền

- Chương trình có sự phân quyền truy cập theo các cấp sử dụng.

- Căn cứ đánh giá: Dựa vào việc kiểm định trực tiếp phần mềm. Tính số cấp sử dụng. X=A= Số cấp sử dụng

5: có 4 cấp; 4: có 3 cấp; 3: có 2 cấp; 2: chỉ có 1 cấp; 1: không phân quyền

* Bảo mật dữ liệu

- Chương trình có tính năng bảo mật dữ liệu

- Căn cứ đánh giá: Dựa trên việc kiểm định trực tiếp phần mềm và mã nguồn chương trình. Xác định xem chương trình có bảo mật, mã hoá dữ liệu không và bảo mật các dạng dữ liệu nào.

5: Toàn bộ dữ liệu; 4: Hầu hết; 3: Phần cơ bản; 2: Có; 1: Không

* Sao lưu dữ liệu - Dữ liệu được sao lưu

- Căn cứ đánh giá: Dựa vào việc kiểm định trực tiếp phần mềm. Căn cứ vào

mức độ quan trọng của dữ liệu, yêu cầu đặt ra, xác định số lượng hình thức sao lưu dữ liệu phù hợp

5: Đầy đủ, hoàn toàn sau đó tính tỉ lệ số lần tấn công thành công so với số kịch bản triển khai. X=A/B

A: Số lần tấn công thành công hoặc hệ thống xuất hiện báo lỗi không xử lý được.

B: Số lần thử tấn công theo kịch bản 5: Trên 90%

4: Từ 75% - 90%; 3: Từ 50% - 75%; 2: Từ 20% - 50%; 1: Dưới 20%

b. Thiết kế an ninh

- Chương trình có áp dụng các công nghệ an ninh, thiết kế an ninh, phân tầng các lớp trong hệ thống .

- Căn cứ đánh giá: Dựa vào việc kiểm định trực tiếp phần mềm. Các hình thức kiểm thiết kế an ninh

- Áp dụng công nghệ an ninh theo chuẩn mới nhất - Hệ thống thiết kế có kiểm tra an ninh

- Sử dụng cơ chế phân tầng an ninh trong thiết kế và triển khai.

- Sử dụng cơ chế chính sách an ninh.

X=A= Số hình thức kiểm tra chương trình tiến hành

Một phần của tài liệu Kiểm thử và tiêu chuẩn, quy trình đánh giá chất lượng phần mềm quân sự (Trang 61 - 64)

Tải bản đầy đủ (DOCX)

(84 trang)
w