Tiêu chuẩn đánh giá an toàn thông tin

Hiểu được tính cấp thiết * Tại sao cần qua tâm đến ĐG ATTT Để hiểu về tính cấp thiết, đầu tiên ta phải về ĐG ATTT -ĐGATTT theo nghĩa rộng nhất là quá trình đánh giá mức độ an toàn của thông tin ...
Nội dung trích xuất từ tài liệu:
Tiêu chuẩn đánh giá an toàn thông tin Tiêu chuẩn đánh giá an toàn thông tin Chương I Câu1: Hiểu được tính cấp thiết * Tại sao cần qua tâm đến ĐG ATTT Để hiểu về tính cấp thiết, đầu tiên ta phải về ĐG ATTT -ĐGATTT theo nghĩa rộng nhất là q.trình ĐG mức độ AT của TT cần được bảo vệ dưới 3 yêu cầu AT chính +Tính bí mật +Tính toàn vẹn +Tính sẵn sàng hoạt động -Mức độ ưu tiên tùy thuộc vào mục đích sử dụng mà mức ưu tiên yêu cầu nào *Tính cấp thiết -ATTT luôn được gắn liền với các phương tiện xử lý, lưu trữ và truyền tin -Trước đây các phương tiện như vậy thường đơn giản thô sơ và ko được tự động hóa. ĐGATTT mới chỉ hướng tới các HTCNTT chứ chưa phải SPCNTT -Hiện nay , các phương tiện CNTT được p.triển ngày càng nhiều về số lượng, đa dạng và phức tạp về chức năng hoạt động(phần mềm, phần cứng hay phần mềm+phần cứng kết hợp, cơ chết b.vệ k.soát hoạt động TT). Do đó cần phải ĐGAT đối với từng sp -Khi s.dụng các p.tiện CNTT trong các hoạt động CNTT ko những cần đảm bảo các chức năng mà còn cần đảm bảo các chức năng ATTT đặt ra cho chúng.Nếu sp ko đảm bảo được mức độ ATTT thì khi đem s.dụng có thể mang lại những tổn thất cực lớn -Muốn biết sp CNTT có đảm bảo mức độ ATTT mong muốn hay ko thì phải thông qua ĐGATTT để ước lượng chính xác mức độ ATTT của sp • Thực tế -Q.trình toàn cầu hóa kéo theo việc s.dụng CNTT và Internet cũng p.triển trên p.vi toàn cầu. Do đó ATTT là nhiệm vụ của toàn TG -Mạng máy tính p.triển làm cho các sp CNTT tăng lên gấp bội, phức tạp về chức năng cũng tăng lên=>đảm bảo ATTT trở nên khó khăn gấp bội -CNTT được s.dụng hầu hết trong tất cả các lĩnh vực nên các đe dọa ATTT ngày càng tăng về cả số lượng và mức độ -Đã đến lúc ko thể chấp nhận được sp CNTT đem ra s.dụng mà ko được đảm bảo ATTT .Ngay từ khâu t.kế, chế tạo phải được duy trì, k.soát trong suốt thời gian hoạt động cho tới khi ko còn được lưu hành sử dụng =>ĐGATTT gắn liền với p.tích, t.kế sp CNTT và pháp luật ATTT tạo thành một bộ ba tổng thẻ ATTT nhằm bảo vệ TT ở mức độ cao nhất có thể được Câu2.Các thuật ngữ và các khái niệm cơ bản a.sp CNTT (Information technology products) -Là 1 sự kết hợp phần cứng, phần mềm, phần sụn(firmware) cung cấp 1 chức năng được t.kế để s.dụng hay kết hợp s.dụng trong HT CNTT -Sp CNTT có thể là 1 sp đơn giản hay nhiều sp được cấu hình lại như 1 HT CNTT , mạng máy tính hay 1 giải pháp nhằm thỏa mãn những yêu cầu của người s.dụng Vd : 1 ứng dụng phần mềm(word, excel), HĐH, Thẻ thông minh b.AT CNTT (Information Technology Security) -Là tất cả các khía cạnh liên quan tới vấn đề xác định, đạt được và duy trì tính bí mật , toàn vẹn, tính sẵn sàng hoạt động, tính kế toán hoạt động, tính xác thực và tính tin cậy c. ĐGATTT (Information Security Evaluation) -Là q.trình thu được bằng chứng về đảm bảo ATTT và p.tích chúng theo những tiêu chí về chức năng ATTT và đảm bảo ATTT 1 -ĐGATTT cũng tạo ra độ đo tin cậy và chỉ ra được 1 sp CNTT đã đáp ứng các tiêu chí ATTT cụ thể đến mức nào d.Tiêu chí ĐGATTT (Information Technology Security Evaluation Criteria-ITSEC) -Là những y.cầu ATTT của sp CNTT dưới dạng 2 phạm trù cụ thể là chức năng và các yêu cầu đảm bảo +Yêu cầu chức năng xác định hành vi AT mong muốn +Yêu cầu đảm bảo là cơ sở cho việc đạt được độ đo AT xem có hiệu lực và cài đặt đúng đắn ko e.Mức đảm bảo đánh giá(Evaluation Assurance Level-EAL) -Là tập hợp các thành phần chức năng hoặc đảm bảo, được kết hợp để thỏa mãn 1 tập con các mục tiêu an toàn cụ thể -Mức đảm bảo đánh giá thường được gán cho sp CNTT sau q.trình ĐGATTT -EAL cho biết sp CNTT được s.dụng an toàn đến mức độ nào f.Hồ sơ bảo vệ(protechtion profile-PP) của một chủng loại sp CNTT là tập các y.cầu AT độc lập với sự cài đặt nhằm đáp ứng những y.cầu của người s.dụng g.Đích đánh giá(Target of Evaluation-TOE) -Gồm chính sp CNTT và tài liệu hướng dẫn người s.dụng và người q.trị của sp phục vụ cho việc ĐG h.Đích an toàn(Security Target-ST) -Là các y.cầu an toàn của 1 TOE xác định đồng thời mô tả các biện pháp AT chức năng và đảm bảo , do đó TOE đó cung cấp để thỏa mãn các y.cầu đã nêu. -Hay nói cách khác là: ST là tổ hợp hoàn chỉnh của những mục tiêu AT , những y.cầu chức năng và đảm bảo, những đặc tả vắn tắt và cơ sở hợp lý được s.dụng làm cơ sở để ĐG TOE đã được chỉ ra *QH giữa PP,ST và TOE ST A TOE A ST B TOE B PP ST C TOE C *Đ.nghĩa ĐGATTT (1):ĐGATTT là việc đánh giá PP, đích AT hay đích ĐG tuân theo những tiêu chí ATTT đã được đ.n (2):là việc ĐG sp CNTT hay PP tuân theo những y.cầu của những tiêu chí ATTT Câu3.Các tiêu chí ĐG của Bộ Quốc Phòng Mỹ, Châu Âu, CANADA và liên bang Mỹ a.Tiêu chí ĐG của Bộ Quốc Phòng Mỹ -Đây là HT tiêu chí ATCNTT đầu tiên của nhân loại , ra đời vào t8/1983 bởi BQP Mỹ với tên gọi là TCSEC(Trusted Computer System Evaluation Criteria) -Các tiêu chí trong TCSEC quan tâm tới các HT tin cậy x.lý d.liệu tự động về thương mại hiện hành -Đề cập tới các đặc tính an toàn và các biện pháp đảm bảo tối thiểu đối với mỗi đặc tả AT khác nhau +Yêu cầu of đặc tính nhằm tới các HT x.lý TT dựa trên các HĐH mục đích chung 2 +Y.cầu đặc tính AT có thể áp dụng cho các HT với m.trường đặc biệt như các bộ x.lý hay các máy tính k.soát q.trình liên lạc +Các y.cầu đảm bảo được áp dụng cho tất cả dạng m.trường và HT tính toán -Mục đích của các y.cầu này và của chính các tiêu chí là hướng tới 3 đối tượng +Cung cấp chuẩn ATTT cho các nhà s.xuất, giúp nhà sx biết TT để cài đặt các đặc tính ATTT cho sp, từ đó đáp ứng y.cầu của BQP +Cho phép BQP đánh giá công bằng và chính xác +Các ĐG phải được x.định ở các HT m.trường độc lập và m.trường cụ thể.Trung tâm AT quốc gia(National S ...