QUẢN LÝ XÂY DỰNG CHÍNH SÁCH ATTT Đề tài 3: Tìm hiểu các tiêu chí đánh giá an toàn thông tin cho website theo tiêu chuẩn ISOIEC 15408.

Các thành phần đảm bảo an toàn như định nghĩa trong tiêu chuẩn này của TCVN 8709 là cơ sở cho các yêu cầu đảm bảo an toàn được biểu thị trong một Hồ sơ bảo vệ PP hoặc một Đích An toàn ST

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN - -

BÁO CÁO MÔN HỌC

QUẢN LÝ & XÂY DỰNG CHÍNH SÁCH ATTT

Đề tài 3:

Tìm hiểu các tiêu chí đánh giá an toàn thông tin cho website theo

tiêu chuẩn ISO/IEC 15408

Võ Thị Tú Phương - AT150446 Nguyễn Thị Ninh - AT150443

Võ Thanh Lâm - AT150428

Hà Nội, 12/2021

PHÂN CÔNG CÔNG VIỆC

MỤC LỤC

DANH MỤC HÌNH ẢNH 1

DANH MỤC BẢNG BIỂU 2

LỜI NÓI ĐẦU 3

CHƯƠNG 1 TỔNG QUAN, KHÁI NIỆM 4

1.1 Đặt vấn đề 4

1.2 Khái niệm 5

1.3 Tầm quan trọng 6

1.4 Các kỹ thuật đánh giá 6

CHƯƠNG 2 TIÊU CHUẨN ISO/IEC 15408 8

2.1 Tình hình tiêu chuẩn hoá trong nước và quốc tế về tiêu chí, phương pháp đánh giá an toàn công nghệ thông tin 8

2.2 Tiêu chuẩn quốc tế về đánh giá an toàn thông tin 8

2.3 TOE 10

2.4 Đối tượng sử dụng ISO/IEC 15408 12

2.5 Các phần khác nhau của tiêu chuẩn 14

2.6 Các khái niệm cốt lõi nhất 15

2.7 Tiêu chí 20

TÀI LIỆU THAM KHẢO 24

DANH MỤC HÌNH ẢNH

Hình 2.1 Hình thành và tương quan giữa các tiêu chuẩn quốc gia, Tiêu chí Chung (CC)

và Bộ tiêu chuẩn ISO/IEC 15408 10Hình 2.2 Mối quan hệ giữa ISO/IEC 15408 và các tiêu chuẩn 10

DANH MỤC BẢNG BIỂU

Bảng 2.1 Cấu trúc “Các tiêu chí đánh giá an toàn CNTT” 15Bảng 2.2 Mức đảm bảo trong tiêu chí chung 19Bảng 2.3 So sánh mức đảm bảo 20

LỜI NÓI ĐẦU

TCVN 8709-1:2011 hoàn toàn tương đương ISO/IEC 15408-1:2008

TCVN 8709-1:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố

Các thành phần đảm bảo an toàn như định nghĩa trong tiêu chuẩn này của TCVN

8709 là cơ sở cho các yêu cầu đảm bảo an toàn được biểu thị trong một Hồ sơ bảo vệ (PP) hoặc một Đích An toàn (ST)

Các yêu cầu này tạo thành một cách thức chuẩn để biểu thị các yêu cầu đảm bảo cho một Đích đánh giá (TOE) Phần này của tiêu chuẩn TCVN 8709 liệt kê danh mục các thành phần, các họ và lớp đảm bảo Tiêu chuẩn TCVN 8709-3 cũng đồng thời xác định các tiêu chí đánh giá cho các PP và các ST, biểu thị các mức đảm bảo đánh giá dùng để xác định các thang bậc mà TCVN 8709 định trước cho việc đánh giá tính đảm bảo của các T, còn lại là các Mức đảm bảo đánh giá (EAL)

Đối tượng của tiêu chuẩn này bao gồm các khách hàng, nhà phát triển và đánh giá viên cho các sản phẩm công nghệ thông tin (CNTT) an toàn Tiêu chuẩn TCVN 8709-1 cung cấp thông tin bổ sung về các đối tượng mục tiêu của bộ tiêu chuẩn TCVN

8709, và về khả năng các nhóm đối tượng sử dụng TCVN 8709 Các nhóm này có thể gồm:

a) Các khách hàng, sử dụng phần này của TCVN 8709 khi chọn lựa các thành phần để biểu thị các yêu cầu đảm bảo nhằm thỏa mãn các mục tiêu an toàn đã biểu thị trong một PP hoặc ST, xác định các mức đảm bảo an toàn cho TOE theo yêu cầu

b) Nhà phát triển, phản ánh lại thực tế hoặc nhận thức được các yêu cầu an toàn của khách hàng để thiết kế TOE, tham chiếu phần này của TCVN 8709 để diễn đạt các yêu cầu đảm bảo và xác định các phương thức đảm bảo cho các TOE

c) Đánh giá viên, sử dụng các yêu cầu đảm bảo định nghĩa trong phần này của TCVN

8709 như một tuyên bố bắt buộc về các tiêu chí đánh giá khi xác định tính đảm bảo của các TOE và khi đánh giá các PP và các ST

CHƯƠNG 1 TỔNG QUAN

1.1 Đặt vấn đề

An toàn thông tin đang trở thành mối lo và nguy cơ tiềm ẩn, các kẻ tấn công từ bất cứ mọi nơi với nhiều trình độ và kỹ năng chuyên môn từ cao cấp cho đến những người mới bắt đầu, sử dụng các công cụ hoặc các kịch bản có sẵn đều có thể truy cập vào các hệ thống thông tin của các cơ quan, tổ chức từ mọi nơi trên thế giới Hiểm họa

về mất an toàn thông tin cho các hệ thống thông tin ngày càng tăng cao, đa dạng về kiểu tấn công với xu hướng tấn công có mục tiêu, tấn công APT vào tổ chức, cơ quan trong các ngành trọng yếu như: tài chính, ngân hàng, hàng không, cơ quan chính phủ, … Đặc biệt, xu hướng các cuộc tấn công gần đây ngày càng tinh vi và kỹ năng chuyên sâu hơn, bên cạnh các cuộc tấn công vào môi trường mạng – Internet ồn ào trong thời gian qua, các cuộc tấn công lặng lẽ vào hệ thống phần mềm, chuyển hướng dần mục tiêu từ các

hệ điều hành sang các phần mềm ứng dụng

Chúng ta chứng kiến hàng ngày các sự cố liên quan đến mất an toàn, đánh cắp thông tin, thay đổi nội dung, tấn công kiểu từ chối dịch vụ gây đình trệ hoạt động, tấn công dùng mã độc cho các mục đích mã hoá dữ liệu đòi tiền chuộc, đưa các trojan, backdoor vào máy để kiểm soát, phát tán các mã độc bot để các máy chủ điều khiển (c&c server) có thể kiểm soát và ra lệnh thực thi các hành động tấn 5/26 công mạng hoặc hành vi độc hại khác, tấn công vào hệ thống email, web để đánh cắp thông tin của

tổ chức và của người dùng cá nhân, sử dụng tấn công mạng và các hình thức phishing cho các mục đích chính trị như làm ảnh hưởng đến kết quả … Rất nhiều những tấn công như vậy và sau đây là một số sự cố điển hình trong thời gian qua:

− Tin tặc Nga tấn công bầu cử tổng thống Mỹ

− Các cuộc tấn công DDoS tiếp tục làm tê liệt mạng Internet nhiều lần

− Mã độc mã hoá dữ liệu tống tiền ransomware tiếp tục mở rộng các mục tiêu tấn công

− Công bố các lỗ hổng liên quan đến nhóm ShadowBrokers

− Vault 7 của WikiLeaks công bố 8.761 tài liệu liên quan đến CIA

− CloudBleed (đám mây rỉ máu) vào công ty cung cấp hạ tầng Internet Cloudflare

198 triệu hồ sơ bỏ phiếu tại Hoa Kỳ bị lộ

− Chiến dịch Macron Hack nhằm vào cuộc bầu cử của Tổng thống Pháp Emmanuel Macron

Bên cạnh đó, các lỗ hổng của các phần mềm, của hệ điều hành liên tục được công

bố với số lượng ngày càng nhiều Các lỗ hổng công bố chủ yếu chỉ mới các lỗ hổng của các hệ điều hành hoặc các phần mềm ứng dụng phổ biến trong khi các phần mềm dùng riêng chiếu tỷ trọng khá lớn hầu như chưa được công bố khi phát hiện lỗi hoặc chỉ tự cập nhật các bản vá lỗi Tất cả cho thấy nguy cơ tiềm ẩn đối với các phần mềm, các hệ điều hành là rất cao nếu không có biện pháp đảm bảo an toàn hữu hiệu hoặc giảm thiểu các nguy cơ

1.2 Khái niệm

Theo NIST: đánh giá an toàn hệ thống thông tin (information security assessment)

là quy trình xác định tính hiệu quả của một thực thể được đánh giá (ví dụ như máy tính,

hệ thống, mạng, quy trình vận hành, con người…) đáp ứng các mục tiêu an ninh cụ thể Tập trung vào 3 phương pháp chính: kiểm thử (testing), kiểm tra (examination), phỏng vấn (interviewing)[1]

Theo SANS: đánh giá an toàn hệ thống thông tin là thước đo độ an toàn của hệ thống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn thông tin

1 Dựa trên việc xác định các rủi ro, trong đó tập trung vào xác định điểm yếu và các tác động tới hệ thống

2 Đánh giá an toàn dựa trên 3 phương pháp chính có liên quan đến nhau là: rà soát (reviewing), kiểm thử (testing), kiểm tra (examination)

3 Rà soát: bao gồm các kỹ thuật xem xét thụ động và thực hiện phỏng vấn Thường được thực hiện thủ công

4 Kiểm tra: xem xét cụ thể tại tổ chức từ mức hệ thống/mạng để xác định các điểm yếu an ninh tồn tại trong hệ thống

5 Kiểm thử: đóng vai trò như kẻ tấn công Thực hiện các phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệ thống hoặc mạng

1.3 Tầm quan trọng

− Xác định mức độ an ninh hiện tại của hệ thống thông tin trong một tổ chức:

⚫ Có cái nhìn toàn diện về các mối nguy hại tồn tại trong hệ thống mạng

⚫ Có các giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận các mục tiêu an ninh

⚫ Giảm thiểu các rủi ro

− Cho phép trả lời các câu hỏi:

⚫ Các thông tin quan trọng là gì?

⚫ Hệ thống thông tin đã triển khai các giải pháp đảm bảo an ninh nào?

⚫ Tình hình an ninh thông tin hiện tại là như thế nào?

⚫ Có cần thêm các biện pháp để đối phó với vấn đề đảm bảo an ninh thông tin hay không?

⚫ Vấn đề nào cần ưu tiên trong lộ trình xử lý để đảm bảo an toàn thông tin một cách đầy đủ?

⚫ Nhận dạng cổng và dịch vụ mạng

⚫ Quét lỗ hổng

⚫ Quét mạng không dây

⚫ Kiểm tra an toàn ứng dụng

❖ Kỹ thuật xác định điểm yếu mục tiêu:

− Xác định sự tồn tại của các lỗ hổng trong hệ thống

CHƯƠNG 2 TIÊU CHUẨN ISO/IEC 15408

2.1 Tình hình tiêu chuẩn hoá trong nước và quốc tế về tiêu chí, phương pháp đánh giá an toàn công nghệ thông tin

Trên thế giới, đã ban hành nhiều tiêu chuẩn và tài liệu hướng dẫn kỹ thuật liên quan đến các tiêu chí đánh giá và phương pháp đánh giá an toàn công nghệ thông tin gồm các bộ ISO/IEC 15408 (ba phần) về các tiêu chí đánh giá an toàn công nghệ thông tin, ISO/IEC18045 về các phương pháp đánh giá an toàn công nghệ thông tin, và các bộ tài liệu kỹ thuật liên quan đến hồ sơ bảo vệ cho các sản 6/26 phẩm công nghệ thông tin gồm các nhóm: bảo vệ dữ liệu, các hệ thống và thiết bị điều khiển truy nhập, các hệ thống và thiết bị liên quan tới mạng, hệ điều hành , đặc biệt là tài liệu kỹ thuật về Hồ

sơ Bảo vệ cho Phần mềm Ứng dụng của NIAP – Hoa Kỳ, được 17 quốc gia thành viên chính của CCRA gồm Úc, Canada, Pháp, Đức, Ấn Độ, Ý, Nhật, Malaysia, Hà Lan, New Zealand, Na Uy, Hàn Quốc, Tây Ban Nha, Thụy Điển, Thổ Nhĩ Kỳ, Anh, Hoa Kỳ chấp nhận và 11 quốc gia thừa nhận CCRA gồm Áo, Cộng hoà Séc, Đan Mạch, Ethiopia, Phần Lan, Hy Lạp, Hungary, Israel, Pakistan, Quatar, Singapore áp dụng và một số quốc gia khác quan tâm, áp dụng[2]

Tại Việt Nam đã ban hành một số tiêu chuẩn về các tiêu chí và phương pháp đánh giá an toàn cho các sản phẩm công nghệ thông tin như bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) (03 phần) về các tiêu chí đánh giá an toàn công nghệ thông tin và TCVN 11386:2016 về phương pháp đánh giá an toàn công nghệ thông tin, tuy nhiên các tiêu chuẩn này vẫn là tiêu chuẩn chung chưa có tiêu chuẩn đánh giá an toàn cho các phần mềm ứng dụng Do đó việc xây dựng tiêu chuẩn về các yêu cầu kỹ thuật an toàn cho phần mềm ứng dụng là hết sức cần thiết

2.2 Tiêu chuẩn quốc tế về đánh giá an toàn thông tin

Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm, hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn Bộ tiêu chuẩn này gồm có 3 phần:

− Phần 1 (ISO/IEC 15408–1) là phần giới thiệu và trình bày về mô hình tổng quát Trong phần này có định nghĩa các khái niệm và nguyên tắc chung cho đánh giá an toàn CNTT, trình bày một mô hình tổng quát cho đánh giá, các cấu trúc biểu thị các mục tiêu an toàn CNTT, các cấu trúc lựa chọn và xác

định các yêu cầu an toàn CNTT.Nội dung phần 1 đưa ra các thông tin cơ sở

và mô hình tham chiếu khi đánh giá; hướng dẫn lập các đặc tả mức cao cho các sản phẩm và hệ thống; cấu trúc các hồ sơ bảo vệ và các tập đích an toàn, xây dựng các yêu cầu và các đặc tính an toàn cho các sản phẩm và hệ thống CNTT

− Phần 2 (ISO/IEC 15408-2) hướng dẫn lập báo cáo các yêu cầu chức năng an toàn cho các sản phẩm và hệ thống CNTT Các yêu cầu chức năng an toàn được chuẩn hóa chung cho các sản phẩm và hệ thống CNTT và được biểu diễn trong một tập hợp các thành phần chức năng, các họ và các lớp Phần 2 được dùng làm tham chiếu cho các tiêu chí đánh giá bắt buộc trong báo cáo

về yêu cầu chức năng an toàn, để xác định xem một sản phẩm hay hệ thống CNTT có thỏa mãn các tiêu chí đánh giá đã nêu, các chức năng an toàn đã yêu cầu hay không

− Phần 3 (ISO/IEC 15408-3 hướng dẫn lập báo cáo cấp độ các yêu cầu đảm bảo

an toàn cho các sản phẩm và hệ thống CNTT Các tiêu chí đảm bảo an toàn được chuẩn hóa chung cho các sản phẩm và hệ thống CNTT và được biểu diễn dưới dạng một tập hợp các thành phần, các họ và các lớp trong một hồ

sơ bảo vệ hoặc một tập đích an toàn Phần 3 được dùng làm tham chiếu cho các tiêu chí đánh giá bắt buộc trong báo cáo về yêu cầu đảm bảo an toàn, để đánh giá cho các hồ sơ bảo vệ và các tập đích an toàn, xác định cấp độ đảm bảo an toàn cho một sản phẩm hay hệ thống CNTT trên cơ sở mức độ thỏa mãn các tiêu chí đánh giá đã nêu

Như vậy, trong 3 phần của bộ tiêu chuẩn, phần 1 là phần tổng quan, trình bày mô hình tổng quát cho đánh giá an toàn thông tin; phần 2 và phần 3 là chi tiết các tiêu chí chung về chức năng an toàn và yêu cầu đảm bảo chung cho các sản phẩm và hệ thống CNTT Để đạt được sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh giá cần được thực hiện theo một khung của mô hình chính thức trong đó có các tiêu chí đánh giá chung Điều này làm tăng thêm tính chính xác, nhất quán và khách quan của kết quả đánh giá

Hình 2.1 Hình thành và tương quan giữa các tiêu chuẩn quốc gia, Tiêu chí Chung (CC)

và Bộ tiêu chuẩn ISO/IEC 15408

Mối quan hệ giữa ISO/IEC 15408 và các tiêu chuẩn khác về đánh giá ATTT:

Hình 2.2 Mối quan hệ giữa ISO/IEC 15408 và các tiêu chuẩn 2.3 TOE

Tiêu chuẩn ISO/IEC 15408 mềm dẻo trong việc đánh giá, do đó không bị bó hẹp trong giới hạn các sản phẩm CNTT như đa số vẫn hiểu Bởi vậy, trong ngữ cảnh đánh giá, tiêu chuẩn này sử dụng khái niệm “TOE” (Đích đánh giá)[3]

Một TOE được định nghĩa là một tập phần mềm, phần sụn và/hoặc phần cứng có thể kèm theo hướng dẫn

Trong một số trường hợp TOE gồm có một sản phẩm CNTT, song đó không phải

là cần thiết TOE có thể là một sản phẩm CNTT, một phần của một sản phẩm CNTT, một tập các sản phẩm CNTT, một công nghệ độc nhất có thể chẳng khi nào dùng để sản sinh ra một sản phẩm, hoặc một tổ hợp của các thành phần trên

Trong liên quan đến ISO/IEC 15408, quan hệ chính xác giữa TOE và bất kỳ sản phẩm CNTT nào chỉ quan trọng ở một khía cạnh: đánh giá cho một TOE chỉ chứa một phần sản phẩm CNTT cần không thể hiện sai là đánh giá cho toàn bộ sản phẩm CNTT

− Một ứng dụng phần mềm kết hợp với một hệ điều hành và một trạm làm việc;

− Một hệ điều hành kết hợp với một trạm làm việc;

− Một mạch tổ hợp thẻ thông minh;

− Một bộ đồng xử lý mật mã của một mạch tổ hợp thẻ thông minh;

− Một mạng cục bộ bao gồm tất cả các terminal, máy chủ, thiết bị mạng và phần mềm;

− Một ứng dụng cơ sở dữ liệu ngoại trừ phần mềm máy khách từ xa thường kết hợp với ứng dụng cơ sở dữ liệu

2.3.1 Các mô tả khác nhau về TOE

Trong ISO/IEC15408, một TOE có thể xuất hiện theo một số cách thể hiện khác nhau, ví dụ (đối với TOE là phần mềm):

− Một danh sách các tệp trong một hệ thống quản lý cấu hình

− Một bản sao chính mới được biên dịch;

− Một hộp chứa CD-ROM và sách hướng dẫn để chuyển tới khách hàng;

− Một phiên bản hoạt động đã cài đặt

Tất cả những thể hiện nêu trên đều được xem là TOE: mỗi khi khái niệm “TOE” được dùng trong phần còn lại của tiêu chuẩn này, ngữ cảnh sẽ xác định cách thể hiện của nó

2.3.2 Các cấu hình khác nhau của TOE

Nói chung, các sản phẩm CNTT có thể được cấu hình theo nhiều cách: cài đặt theo các cách khác nhau, với các tùy chọn khác nhau hoặc mở hoặc chặn Vì khi đánh giá với ISO/IEC 15408, TOE sẽ được xác định xem có thỏa mãn các yêu cầu xác định không, sự mềm dẻo trong cầu hình này có thể dẫn đến các vấn đề, do tất cả mọi cấu hình

có thể của TOE sẽ phải thỏa mãn các yêu cầu Vì những lý do này, thông thường phần hướng dẫn TOE phải hạn chế các cấu hình có thể của TOE Nghĩa là, hướng dẫn TOE

có thể khác với hướng dẫn chung cho sản phẩm CNTT

Một ví dụ là với sản phẩm CNTT là hệ điều hành Sản phẩm này có thể được cấu hình theo nhiều cách (ví dụ các kiểu người dùng, số người dùng, kiểu các kết nối ra ngoài cho phép/cấm, các tùy chọn mở/chặn …)

Nếu sản phẩm CNTT cũng chính là một TOE, và được đánh giá theo một tập hợp

lý các yêu cầu, cấu hình cần được kiểm soát chặt chẽ hơn, vì nhiều tùy chọn (ví dụ cho phép mọi kiểu kết nối ngoài hoạc quản trị hệ thống không cần phải được xác thực) sẽ dẫn đến vấn đề TOE không thỏa mãn các yêu cầu

2.4 Đối tượng sử dụng ISO/IEC 15408

Ba nhóm người có mối quan tâm chung trong đánh giá các thuộc tính an toàn của các sản phẩm và hệ thống CNTT là: Người tiêu dùng TOE, nhà phát triển TOE và người đánh giá TOE Các tiêu chí được trình bầy trong tài liệu này được xây dựng để hỗ trợ nhu cầu của cả ba nhóm trên Họ được xem là người dùng chính của ISO/IEC 15408 Lợi ích mà ba nhóm này có được từ các tiêu chí được liệt kê ra sau đây

2.4.1 Người tiêu dùng

Tiêu chuẩn này được biên soạn nhằm đảm bảo rằng, việc đánh giá thỏa mãn các nhu cầu của người tiêu dùng, và coi đó là mục đích cơ bản, là lý do cho quy trình đánh giá

Người tiêu dùng có khả năng sử dụng kết quả đánh giá để giúp quyết định xem sản phẩm hoặc hệ thống đã đánh giá có thỏa mãn các nhu cầu an toàn của họ hay không Những nhu cầu an toàn này thường được xác định qua kết quả của cả việc phân tích rủi