Du thao TCVN he thong PP danh gia ATTT (lay y kien gop y)

Iso 15408, tiêu chuẩn đánh giá an toàn hệ thống công nghệ thông tin, tiêu chuẩn cc, phương pháp đánh giá hệ thống an toàn thông tin. Các thành phần đảm bảo an toàn như định nghĩa trong tiêu chuẩn này (ISOIEC 15408 – 3) là cơ sở cho các yêu cầu đảm bảo an toàn được biểu thị trong một Hồ sơ bảo vệ (Protection Profile – PP) hoặc một Đích An toàn (Security Target – ST). Các yêu cầu này tạo thành một cách thức chuẩn để biểu thị các yêu cầu đảm bảo cho một Đích đánh giá (TOE – Target of Evaluation). Tiêu chuẩn này (ISOIEC 15408 – 3) liệt kê danh mục các thành phần, các họ và lớp đảm bảo. Tiêu chuẩn này cũng đồng thời xác định các tiêu chí đánh giá cho PPs và STs, biểu thị các cấp đảm bảo đánh giá dùng để xác định các thang bậc ISOIEC 15408 định trước cho đánh giá tính đảm bảo của các TÓEs, còn gọi là các Cấp đảm bảo đánh giá (EALs – Evaluation Assurance Levels).

TCVN xxx:2015 ISO/IEC 18045:2008

(Dự thảo)

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN

-HỆ THỐNG PHƯƠNG PHÁP ĐÁNH GIÁ AN TOÀN

CÔNG NGHỆ THÔNG TIN

Information Technology – Security Techniques – Methodology for IT

Security Evaluation

HÀ NỘI – 2015

MỤC LỤC

Lời nói đầu 8

1 Phạm vi áp dụng 9

2 Tài liệu viện dẫn 9

3 Thuật ngữ và định nghĩa 9

4 Các ký hiệu và thuật ngữ viết tắt 11

5 Tổng quan 11

5.1 Bố cục của TCVN xxx:2015 (ISO/IEC 18045) 11

6 Các quy ước trong tiêu chuẩn 11

6.1 Thuật ngữ 11

6.2 Cách sử dụng động từ 12

6.3 Hướng dẫn đánh giá tổng quát 12

6.4 Mối quan hệ giữa các cấu trúc TCVN 8709 và TCVN xxx:2015 12

7 Quy trình đánh giá và các nhiệm vụ liên quan 13

7.1 Giới thiệu 13

7.2 Tổng quan về quá trình đánh giá 13

7.2.1 Mục tiêu 13

7.2.2 Trách nhiệm của các vai 13

7.2.3 Mối quan hệ của các bên 14

7.2.4 Mô hình đánh giá chung 14

7.2.5 Nhận định của người đánh giá 14

7.3 Nhiệm vụ đầu vào đánh giá 16

7.3.1 Mục tiêu 16

7.3.2 Các lưu ý áp dụng 16

7.3.3 Quản lý nhiệm vụ con bằng chứng đánh giá 17

7.4 Hoạt động con đánh giá 17

7.5 Nhiệm vụ đầu ra đánh giá 17

7.5.1 Mục tiêu 17

7.5.2 Quản lý đầu ra đánh giá 18

7.5.3 Các lưu ý áp dụng 18

7.5.4 Ghi nhiệm vụ con OR 18

7.5.5 Ghi nhiệm vụ con ETR 18

8 Lớp APE: Đánh giá hồ sơ bảo vệ 23

8.1 Giới thiệu 23

8.2 Các lưu ý áp dụng 23

8.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận 23

8.3 Giới thiệu PP (APE_INT) 24

8.3.1 Đánh giá hoạt động con (APE_INT.1) 24

8.4 Các yêu cầu tuân thủ (APE_CCL) 25

8.4.1 Đánh giá hoạt động con (APE_CCL.1) 25

8.5 Định nghĩa vấn đề an toàn (APE_SPD) 29

8.5.1 Đánh giá hoạt động con (APE_SPD.1) 29

8.6 Mục tiêu an toàn (APE_OBJ) 31

8.6.1 Đánh giá hoạt động con (APE_OBJ.1) 31

8.6.2 Đánh giá hoạt động con (APE_OBJ.2) 31

8.7 Định nghĩa các thành phần mở rộng (APE_ECD) 33

8.7.1 Đánh giá hoạt động con (APE_ECD.1) 33

8.8 Các yêu cầu an toàn (APE_REQ) 37

8.8.1 Đánh giá hoạt động con (APE_REQ.1) 37

8.8.2 Đánh giá hoạt động con (APE_REQ.2) 40

9 Lớp ASE: Đánh giá đích an toàn 45

9.1 Giới thiệu 45

9.2 Các lưu ý áp dụng 45

9.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận 45

9.3 Giới thiệu ST (ASE_INT) 45

9.3.1 Đánh giá hoạt động con (ASE_INT.1) 45

9.4 Các yêu cầu tuân thủ (ASE_CCL) 48

9.4.1 Đánh giá hoạt động con (ASE_CCL.1) 48

9.5 Định nghĩa vấn đề an toàn (ASE_SPD) 54

9.5.1 Đánh giá hoạt động con (ASE_SPD.1) 54

9.6 Mục tiêu an toàn (ASE_OBJ) 55

9.6.1 Đánh giá hoạt động con (ASE_OBJ.1) 55

9.6.2 Đánh giá hoạt động con (ASE_OBJ.2) 55

9.7 Định nghĩa các thành phần mở rộng (ASE_ECD) 58

9.7.1 Đánh giá hoạt động con (ASE_ECD.1) 58

9.8 Các yêu cầu an toàn (ASE_REQ) 62

9.8.1 Đánh giá hoạt động con (ASE_REQ.1) 62

9.8.2 Đánh giá hoạt động con (ASE_REQ.2) 65

9.9 Đặc tả tổng quát TOE (ASE_TSS) 69

9.9.1 Đánh giá hoạt động con (ASE_TSS.1) 69

9.9.2 Đánh giá hoạt động con (ASE_TSS.2) 70

10 Lớp ADV: Phát triển 71

10.1 Giới thiệu 71

10.2 Các lưu ý áp dụng 71

10.3 Kiến trúc an toàn (ADV_ARC) 72

10.3.1 Đánh giá hoạt động con (ADV_ARC.1) 72

10.4 Đặc tả chức năng (ADV_FSP) 77

4

10.4.1 Đánh giá hoạt động con (ADV_FSP.1) 77

10.4.2 Đánh giá hoạt động con (ADV_FSP.2) 80

10.4.4 Đánh giá hoạt động con (ADV_FSP.4) 91

10.4.5 Đánh giá hoạt động con (ADV_FSP.5) 97

10.4.6 Đánh giá hoạt động con (ADV_FSP.6) 103

10.5 Biểu diễn triển khai (ADV_IMP) 103

10.5.1 Đánh giá hoạt động con (ADV_IMP.1) 103

10.5.2 Đánh giá hoạt động con (ADV_IMP.2) 105

10.6 Nội bộ TSF (ADV_INT) 106

10.6.1 Đánh giá hoạt động con (ADV_INT.1) 106

10.6.2 Đánh giá hoạt động con (ADV_INT.2) 108

10.6.3 Đánh giá hoạt động con (ADV_INT.3) 110

10.7 Mô hình hóa chính sách an toàn (ADV_SPM) 110

10.7.1 Đánh giá hoạt động con (ADV_SPM.1) 110

10.8 Thiết kế TOE (ADV_TDS) 110

10.8.1 Đánh giá hoạt động con (ADV_TDS.1) 110

10.8.2 Đánh giá hoạt động con (ADV_TDS.2) 114

10.8.3 Đánh giá hoạt động con (ADV_TDS.3) 120

10.8.4 Đánh giá hoạt động con (ADV_TDS.4) 130

10.8.5 Đánh giá hoạt động con (ADV_TDS.5) 140

10.8.6 Đánh giá hoạt động con (ADV_TDS.6) 140

11 Lớp AGD: Tài liệu hướng dẫn 140

11.1 Giới thiệu 140

11.2 Các lưu ý áp dụng 140

11.3 Hướng dẫn sử dụng vận hành (AGD_OPE) 140

11.3.1 Đánh giá hoạt động con (AGD_OPE.1) 140

11.4 Các thủ tục chuẩn bị (AGD_PRE) 143

11.4.1 Đánh giá hoạt động con (AGD_PRE.1) 143

12 Lớp ALC: Hỗ trợ vòng đời 145

12.1 Giới thiệu 145

12.2 Năng lực CM (ALC_CMC) 146

12.2.1 Đánh giá hoạt động con (ALC_CMC.1) 146

12.2.2 Đánh giá hoạt động con (ALC_CMC.2) 147

12.2.3 Đánh giá hoạt động con (ALC_CMC.3) 149

12.2.4 Đánh giá hoạt động con (ALC_CMC.4) 153

12.2.5 Đánh giá hoạt động con (ALC_CMC.5) 158

12.3 Phạm vi CM (ALC_CMS) 166

12.3.1 Đánh giá hoạt động con (ALC_CMS.1) 166

12.3.2 Đánh giá hoạt động con (ALC_CMS.2) 166

12.3.3 Đánh giá hoạt động con (ALC_CMS.3) 167

12.3.4 Đánh giá hoạt động con (ALC_CMS.4) 168

12.3.5 Đánh giá hoạt động con (ALC_CMS.5) 169

12.4 Chuyển giao (ALC_DEL) 171

12.4.1 Đánh giá hoạt động con (ALC_DEL.1) 171

12.5 An toàn phát triển (ALC_DVS) 172

12.5.1 Đánh giá hoạt động con (ALC_DVS.1) 172

12.5.2 Đánh giá hoạt động con (ALC_DVS.2) 175

12.6 Khắc phục sai sót (ALC_FLR) 178

12.6.1 Đánh giá hoạt động con (ALC_FLR.1) 178

12.6.2 Đánh giá hoạt động con (ALC_FLR.2) 180

12.6.3 Đánh giá hoạt động con (ALC_FLR.3) 184

12.7 Định nghĩa vòng đời (ALC_LCD) 189

12.7.1 Đánh giá hoạt động con (ALC_LCD.1) 189

12.7.2 Đánh giá hoạt động con (ALC_LCD.2) 191

12.8 Công cụ và kỹ thuật (ALC_TAT) 193

12.8.1 Đánh giá hoạt động con (ALC_TAT.1) 193

12.8.2 Đánh giá hoạt động con (ALC_TAT.2) 194

12.8.3 Đánh giá hoạt động con (ALC_TAT.3) 197

13 Lớp ATE: Kiểm thử 200

13.1 Giới thiệu 200

13.2 Các lưu ý áp dụng 200

13.2.1 Tìm hiểu đáp ứng dự kiến TOE 201

13.2.2 Kiểm thử so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng201 13.2.3 Xác minh tính đầy đủ của các kiểm thử 202

13.3 Phạm vi (ATE_COV) 202

13.3.1 Đánh giá hoạt động con (ATE_COV.1) 202

13.3.2 Đánh giá hoạt động con (ATE_COV.2) 203

13.3.3 Đánh giá hoạt động con (ATE_COV.3) 204

13.4 Năng lực/Độ sâu (ATE_DPT) 204

13.4.1 Đánh giá hoạt động con (ATE_DPT.1) 204

13.4.2 Đánh giá hoạt động con (ATE_DPT.2) 206

13.4.3 Đánh giá hoạt động con (ATE_DPT.3) 209

13.4.4 Đánh giá hoạt động con (ATE_DPT.4) 211

13.5 Chức năng kiểm thử (ATE_FUN) 211

13.5.1 Đánh giá hoạt động con (ATE_FUN.1) 211

13.5.2 Đánh giá hoạt động con (ATE_FUN.2) 214

13.6 Kiểm thử độc lập (ATE_IND) 214

13.6.1 Đánh giá hoạt động con (ATE_IND.1) 214

13.6.2 Đánh giá hoạt động con (ATE_IND.2) 218 6

13.6.3 Đánh giá hoạt động con (ATE_IND.3) 224

14 Lớp AVA: Đánh giá điểm yếu 224

14.1 Giới thiệu 224

14.2 Phân tích điểm yếu (AVA_VAN) 225

14.2.1 Đánh giá hoạt động con (AVA_VAN.1) 225

14.2.2 Đánh giá hoạt động con (AVA_VAN.2) 230

14.2.3 Đánh giá hoạt động con (AVA_VAN.3) 237

14.2.4 Đánh giá hoạt động con (AVA_VAN.4) 246

14.2.5 Đánh giá hoạt động con (AVA_VAN.5) 255

15 Lớp ACO: Thành phần 255

15.1 Giới thiệu 255

15.2 Các lưu ý áp dụng 255

15.3 Sở cứ cấu thành (ACO_COR) 256

15.3.1 Đánh giá hoạt động con (ACO_COR.1) 256

15.4 Bằng chứng phát triển (ACO_DEV) 262

15.4.1 Đánh giá hoạt động con (ACO_DEV.1) 262

15.4.2 Đánh giá hoạt động con (ACO_DEV.2) 264

15.4.3 Đánh giá hoạt động con (ACO_DEV.3) 265

15.5 Tính phục thuộc của các thành phần (ACO_REL) 268

15.5.1 Đánh giá hoạt động con (ACO_REL.1) 268

15.5.2 Đánh giá hoạt động con (ACO_REL.2) 270

15.6 Kiểm tra TOE tích hợp (ACO_CTT) 273

15.6.1 Đánh giá hoạt động con (ACO_CTT.1) 273

15.6.2 Đánh giá hoạt động con (ACO_CTT.2) 275

15.7 Phân tích thành phần điểm yếu (ACO_VUL) 279

15.7.1 Đánh giá hoạt động con (ACO_VUL.1) 279

15.7.2 Đánh giá hoạt động con (ACO_VUL.2) 282

15.7.3 Đánh giá hoạt động con (ACO_VUL.3) 286

Phụ lục A 291

Phụ lục B 301

THƯ MỤC TÀI LIỆU THAM KHẢO 325

Lời nói đầu

8

TCVN xxx:2015 hoàn toàn tương đương với ISO/IEC 18045:2008,

TCVN xxx:2015 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, BộThông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chấtlượng thẩm định, Bộ Khoa học và Công nghệ công bố

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là không thể thiếu được cho việc để áp dụng tiêu chuẩn này Đối với cáctài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu Đối với các tài liệu viện dẫn khôngghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung nếu có)

[1] TCVN 8709-1: 2011 (ISO/IEC 15408-1:2009) “Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêuchí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng quát”

[2] TCVN 8709-2: 2011 (ISO/IEC 15408-2:2008) “Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêuchí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an toàn”

[3] TCVN 8709-3: 2011 (ISO/IEC 15408-3:2008) “Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêuchí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an toàn”

3 Thuật ngữ và định nghĩa

Các thuật ngữ và định nghĩa sau đây được áp dụng cho mục đích của tài liệu tiêu chuẩn này

CHÚ THÍCH: Các thuật ngữ được in đậm là những thuật ngữ được định nghĩa tại điều này.

3.1 Hành động (action)

Phần tử hành động của người đánh giá trong TCVN 8709-3: 2011

CHÚ THÍCH: Những hành động này hoặc được chỉ rõ là các hành động của người đánh giá hoặc ngầm định xuất phát từ các hành động của nhà phát triển (ngầm định là các hành động của người đánh giá) trong các thành phần đảm bảo của TCVN 8709- 3 [3].

3.2 Hoạt động (activity)

Việc áp dụng theo một lớp bảo đảm của TCVN 8709-3: 2011

3.3 Kiểm tra (check)

Tạo ra nhận định bằng một so sánh đơn giản.

CHÚ THÍCH: Không yêu cầu ý kiến chuyên môn của người đánh giá Phát biểu sử dụng động từ này mô tả những gì được ánh xạ.

3.4 Sản phẩm được đánh giá (evaluation deliverable)

Tài nguyên bất kỳ được yêu cầu từ nhà bảo trợ hoặc nhà phát triển bởi người đánh giá hoặc cơ quanđánh giá để thực hiện một hoặc nhiều đánh giá hoặc các hoạt động giám sát đánh giá

3.5 Bằng chứng đánh giá (evaluation evidence)

Sản phẩm được đánh giá hữu hình.

3.6 Báo cáo kỹ thuật đánh giá (evaluation technical report)

Báo cáo là ghi lại nhận định tổng thể và sự biện minh của nó, được tạo ra bởi người đánh giá và

được đệ trình cho một cơ quan đánh giá

3.7 Thẩm tra (examine)

Tạo ra một nhận định bằng cách phân tích theo ý kiến chuyên môn của người đánh giá

CHÚ THÍCH: Phát biểu sử dụng động từ này xác định những gì được phân tích và các thuộc tính mà nó được phân tích.

3.8 Diễn giải (interpretation)

Sự làm rõ hoặc mở rộng một yêu cầu của TCVN 8709, TCVN xxx:2015 (ISO/IEC 18045) hoặc lược đồ.

3.9 Hệ thống phương pháp (methodology)

Hệ thống các nguyên tắc, thủ tục và quy trình áp dụng cho đánh giá an toàn CNTT

3.10 Báo cáo quan sát (observation report)

Báo cáo được viết bởi người đánh giá để yêu cầu làm rõ hoặc để xác định một vấn đề trong khi đánhgiá

3.11 Nhận định tổng thể (overall verdict)

Phát biểu “đạt” hay “không đạt” được tạo ra bởi một người đánh giá đối với kết quả của một đánh giá

3.12 Nhận định giám sát (oversight verdict)

Tuyên bố được tạo ra bởi cơ quan đánh giá khẳng định hay phủ nhận một “nhận định tổng thể” dựatrên các kết quả của các hoạt động giám sát đánh giá

3.13 Bản ghi (record)

Lưu lại một mô tả bằng văn bản của các thủ tục, sự kiện, quan sát, những hiểu biết và các kết quả mộtcách đầy đủ chi tiết cho phép tái tạo dùng lại công việc đã thực hiện trong khi đánh giá ở một thời điểmsau đó

3.14 Báo cáo (report)

Gồm các kết quả đánh giá và các tài liệu hỗ trợ trong bản báo cáo kỹ thuật đánh giá hoặc báo cáo quan sát.

3.15 Lược đồ (scheme)

Tập hợp các quy tắc, được lập bởi một cơ quan đánh giá, xác định môi trường đánh giá, bao gồm các

tiêu chí và hệ thống phương pháp được yêu cầu để tiến hành các đánh giá an toàn CNTT.

3.16 Hoạt động con (sub-activity)

Việc áp dụng theo một thành phần đảm bảo của TCVN 8709-3: 2011

CHÚ THÍCH: Các họ đảm bảo không được đề cập rõ ràng trong tiêu chuẩn này vì các đánh giá được tiến hành trên một thành phần đảm bảo đơn nhất từ một họ đảm bảo

3.17 Theo dấu (tracing)

10

Mối quan hệ định hướng đơn nhất giữa hai tập thực thể cho thấy các thực thể nào trong tập đầu tiêntương ứng với thực thể nào trong tập thứ hai.

3.18 Nhận định (verdict)

Tuyên bố “đạt”, “không đạt” hoặc “không thể kết luận” được tạo ra bởi một người đánh giá với phần tửhành động của người đánh giá, thành phần đảm bảo, hoặc lớp của TCVN 8709

CHÚ THÍCH: Xem thêm nhận định tổng thể

3.19 Đơn vị công việc (work unit)

Mức chi tiết nhất của công việc đánh giá

CHÚ THÍCH: Mỗi hành động của hệ thống phương pháp đánh giá bao gồm một hoặc nhiều đơn vị công việc được nhóm lại trong hành động của hệ thống phương pháp đánh giá theo nội dung TCVN 8709 và trình bày các bằng chứng hoặc phần tử hành động của nhà phát triển Các đơn vị công việc được thể hiện trong tiêu chuẩn này theo cùng thứ tự như các phần tử trong TCVN 8709 nơi chúng được bắt nguồn Các đơn vị công việc được định dạng ở lề trái được ký hiệu như ALC_TAT.1-2 Trong ký hiệu này, chuỗi ALC_TAT.1 biểu thị thành phần TCVN 8709 (nghĩa là hoạt động con trong tiêu chuẩn này) và chữ số cuối cùng (2) biểu thị đây là đơn vị công việc thứ hai trong hoạt động con ALC_TAT.1

4 Các ký hiệu và thuật ngữ viết tắt

ETR Báo cáo kỹ thuật đánh giá

5 Tổng quan

5.1 Bố cục của TCVN xxx:2015 (ISO/IEC 18045)

Điều 6 xác định các quy ước được sử dụng trong tiêu chuẩn này

Điều 7 mô tả các nhiệm vụ đánh giá chung không có nhận định liên quan đến chúng và chúng khôngánh xạ đến các phần tử hành động của người đánh giá TCVN 8709

Điều 8 đề cập công việc được yêu cầu để đạt được một kết quả đánh giá trên một PP

Điều 9 và Điều 15 xác định các hoạt động đánh giá được tổ chức bởi các lớp đảm bảo

Phụ lục A bao gồm các kỹ thuật đánh giá cơ bản được sử dụng để cung cấp các bằng chứng kỹ thuậtcủa kết quả đánh giá

Phụ lục B cung cấp diễn giải của các tiêu chí phân tích điểm yếu và những ví dụ về ứng dụng củachúng

6 Các quy ước trong tiêu chuẩn

6.1 Thuật ngữ

Không giống như TCVN 8709, trong đó mỗi phần tử duy trì chữ số cuối cùng của ký hiệu định dạngcủa nó cho tất cả các thành phần trong họ, tiêu chuẩn này có thể tạo ra các đơn vị công việc mới khimột phần tử hành động của người đánh giá TCVN 8709 thay đổi từ hoạt động con này sang hoạt độngcon khác; kết quả là chữ số cuối cùng của ký hiệu định dạng đơn vị công việc có thể thay đổi mặc dùđơn vị công việc giữ nguyên không thay đổi

Một công việc đánh giá cụ thể theo hệ thống phương pháp bất kỳ nào được yêu cầu mà không bắtnguồn trực tiếp từ các yêu cầu TCVN 8709 được gọi là “nhiệm vụ” hoặc “nhiệm vụ con”

6.2 Cách sử dụng động từ

Trợ động từ “cần” (shall) chỉ được sử dụng khi văn bản được cung cấp là bắt buộc và do vậy chỉ dùng

trong các đơn vị công việc và các nhiệm vụ con Các đơn vị công việc và các nhiệm vụ con bao gồmcác hoạt động bắt buộc mà người đánh giá phải thực hiện để ấn định các nhận định

Văn bản hướng dẫn kèm theo các đơn vị công việc và nhiệm vụ con tạo ra giải thích thêm về cách ápdụng các từ ngữ TCVN 8709 trong phép đánh giá Cách sử dụng động từ phù hợp với các định nghĩa

ISO cho các động từ này Trợ động từ “nên” (should) được sử dụng khi phương pháp được mô tả là

ưa chuộng hơn Tất cả các trợ động từ khác, bao gồm “có thể” (may), được sử dụng khi (các) phương

pháp được mô tả là được cho phép song không được khuyến cáo cũng như được ưa chuộng hơn,chúng chỉ dùng để diễn giải

Các động từ kiểm tra, thẩm tra, báo cáo và ghi lại được sử dụng với ý nghĩa chính xác trong phần này

của tiêu chuẩn và nên tham chiếu Điều 3 về các định nghĩa của chúng

6.3 Hướng dẫn đánh giá tổng quát

Tài liệu có tính ứng dụng cho nhiều hơn một hoạt động con được tập hợp ở một vị trí Hướng dẫn cótính ứng dụng phổ biến (xuyên suốt các hoạt động và các EAL) đã được tập hợp vào Phụ lục A.Hướng dẫn gắn liền với nhiều hoạt động con trong một hoạt động đơn lẻ đã được cung cấp trongphần giới thiệu của hoạt động đó Nếu hướng dẫn liên quan đến chỉ một hoạt động con đơn lẻ thì nóđược trình bày trong hoạt động con đó

6.4 Mối quan hệ giữa các cấu trúc TCVN 8709 và TCVN xxx:2015

Hình 1 – Ánh xạ của các cấu trúc TCVN 8709 và TCVN xxx:2015 (ISO/IEC 18045)

Có mối quan hệ trực tiếp giữa cấu trúc của TCVN 8709 (tức là lớp, họ, thành phần và phần tử) và cấutrúc của tiêu chuẩn này Hình 1 minh họa sự tương ứng giữa các kết cấu TCVN 8709 về lớp, họ và cácphần tử hành động của người đánh giá đối với các hoạt động hệ thống phương pháp đánh giá, cáchoạt động con và các hành động Tuy nhiên, một số đơn vị công việc trong hệ thống phương pháp

12

đánh giá có thể là kết quả từ các yêu cầu đã được ghi chú trong hành động của nhà phát triển TCVN

8709 và các phần tử nội dung và trình bày

7 Quy trình đánh giá và các nhiệm vụ liên quan

7.1 Giới thiệu

Điều này cung cấp tổng quan về quy trình đánh giá và xác định các nhiệm vụ của người đánh giá được

dự định thực hiện khi tiến hành đánh giá

Mỗi một đánh giá, hoặc là một PP hoặc là một TOE (bao gồm cả ST), đều theo quy trình như nhau, và

có bốn nhiệm vụ chung của người đánh giá là: nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động conđánh giá, và sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của cơ quan đánh giá

Nhiệm vụ đầu vào và các nhiệm vụ đầu ra có liên quan đến quản lý bằng chứng đánh giá và phát sinhbáo cáo được mô tả trọn vẹn trong điều này Mỗi nhiệm vụ có các nhiệm vụ con liên quan được ápdụng và quy định cho tất cả các đánh giá TCVN 8709 (đánh giá một PP hoặc một TOE)

Các hoạt động con đánh giá chỉ được giới thiệu trong điều này, và được mô tả đầy đủ trong các điềutiếp theo

Trái ngược với các hoạt động con đánh giá, các nhiệm vụ đầu vào và đầu ra không có nhận định liênquan đến chúng vì chúng không ánh xạ tới các phần tử hành động của người đánh giá TCVN 8709;các nhiệm vụ này được thực hiện để đảm bảo phù hợp với các nguyên tắc phổ biến và tuân thủ tiêuchuẩn này

Sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của cơ quan đánh giá có thể được hoàn thiệnbằng phép phân tích của cơ quan đánh giá về các kết quả nhiệm vụ đầu ra, hoặc có thể bao gồm sựthuyết minh của người đánh giá từ sự hiểu biết của họ về các đầu vào đối với các hoạt động con đánhgiá Nhiệm vụ này không có nhận định của người đánh giá liên quan nhưng có nhận định của cơ quanđánh giá Các tiêu chí chi tiết để đạt nhiệm vụ này là theo quyết định của cơ quan đánh giá, như đãnêu trong Phụ lục A.5

7.2 Tổng quan về quá trình đánh giá

7.2.1 Mục tiêu

Điều này trình bày mô hình chung của hệ thống phương pháp và xác định:

a) Các vai trò và trách nhiệm của các bên liên quan trong quy trình đánh giá;

b) Mô hình đánh giá chung

7.2.2 Trách nhiệm của các vai

Mô hình chung xác định đặc điểm của các vai trò sau: nhà bảo trợ, nhà phát triển, người đánh giá và

cơ quan đánh giá

Nhà bảo trợ có trách nhiệm yêu cầu và hỗ trợ việc đánh giá Điều này có nghĩa là nhà bảo trợ thiết lậpcác thỏa thuận khác nhau cho việc đánh giá (ví dụ như ủy thác đánh giá) Ngoài ra, nhà bảo trợ cótrách nhiệm đảm bảo rằng người đánh giá được cung cấp bằng chứng đánh giá

Nhà phát triển tạo ra TOE và chịu trách nhiệm cung cấp các bằng chứng được yêu cầu cho việc đánhgiá (ví dụ như đào tạo, thông tin thiết kế), thay mặt cho nhà bảo trợ

Người đánh giá thực hiện các nhiệm vụ đánh giá được yêu cầu trong bối cảnh của một đánh giá:người đánh giá tiếp nhận bằng chứng đánh giá từ nhà phát triển thay mặt cho nhà bảo trợ hoặc trựctiếp từ nhà bảo trợ, thực hiện các hoạt động con đánh giá và cung cấp các kết quả ước định đánh giácho cơ quan đánh giá

Cơ quan đánh giá thiết lập và duy trì lược đồ, giám sát việc đánh giá được thực hiện bởi người đánhgiá và tạo ra các báo cáo chứng nhận/công nhận cũng như các chứng chỉ dựa trên các kết quả đánhgiá được cung cấp bởi người đánh giá.

7.2.3 Mối quan hệ của các bên

Để trách ảnh hưởng quá mức từ tác động không đúng đến việc đánh giá, việc phân tách vai được yêucầu Điều này có nghĩa là các vai trò được mô tả ở trên được thực hiện bởi các thực thể khác nhau,ngoại trừ nhà phát triển và nhà bảo trợ có thể được thỏa mãn bởi một thực thể đơn nhất

Ngoài ra, một số đánh giá (ví dụ như đánh giá EAL1) có thể không yêu cầu các nhà phát triển thamgia vào dự án Trong trường hợp này, nhà bảo trợ là người cung cấp TOE cho người đánh giá và làngười tạo ra bằng chứng đánh giá

7.2.4 Mô hình đánh giá chung

Quy trình đánh giá bao gồm người đánh giá thực hiện nhiệm vụ đầu vào đánh giá, nhiệm vụ đầu rađánh giá và các hoạt động con đánh giá Hình 2 cung cấp tổng quan về mối quan hệ giữa các nhiệm

vụ này và các hoạt động con

Quy trình đánh giá có thể được bắt đầu bằng giai đoạn chuẩn bị, tại đó cuộc gặp gỡ đầu tiên giữanhà bảo trợ và người đánh giá được thiết lập Công việc được thực hiện và sự tham gia của các bênkhác nhau trong giai đoạn này có thể thay đổi Điển hình trong bước này là người đánh giá thực hiệnmột phân tích tính khả thi nhằm ước định khả năng một đánh giá thành công

Hình 2 - Mô hình đánh giá chung 7.2.5 Nhận định của người đánh giá

Người đánh giá ấn định các nhận định cho các yêu cầu TCVN 8709 và không ấn định cho các yêu cầucủa tiêu chuẩn này Cấu trúc TCVN 8709 chi tiết nhất mà một nhận định được ấn định là phần tử hànhđộng của người đánh giá (tường minh hay ngầm định) Một nhận định được ấn định cho một phần tửhành động của người đánh giá TCVN 8709 tương ứng như là một kết quả thực hành động hệ thống

14

phương pháp đánh giá và các đơn vị công việc cấu thành của nó Cuối cùng, một kết quả đánh giáđược ấn định như đã mô tả trong TCVN 8709-1: 2011, Điều 9, các kết quả đánh giá.

Tiêu chuẩn này công nhận ba trạng thái nhận định loại trừ lẫn nhau:

a) Các điều kiện cho một nhận định “đạt” được xác định là một việc hoàn thành của người đánh giácho phần tử hành động của người đánh giá TCVN 8709 và quyết định rằng các yêu cầu đối với PP,

ST hoặc TOE cần được đánh giá là đáp ứng Các điều kiện để các phần tử “đạt” được xác định là:1) Các đơn vị công việc cấu thành của hành động hệ thống phương pháp đánh giá có liênquan, và;

2) Tất cả các bằng chứng đánh giá đã được yêu cầu để thực hiện các đơn vị công việc này làmạch lạc, có nghĩa là người đánh giá có thể hiểu được đầy đủ và trọn vẹn nó, và

3) Tất cả các bằng chứng đánh giá đã được yêu cầu để thực hiện các đơn vị công việc nàykhông có bất kỳ mâu thuẫn nội bộ rõ ràng nào hoặc mâu thuẫn với bằng chứng đánh giá khác.Lưu ý rằng ý nghĩa rõ ràng ở đây là người đánh giá phát hiện ra sự mâu thuẫn này trong khithực hiện các đơn vị công việc: người đánh giá không nên thực hiện các phân tích nhất quánđầy đủ trên toàn bộ bằng chứng đánh giá mỗi khi một đơn vị công việc được thực hiện

các nhận định cho thành phần đảm bảo, lớp đảm bảo, và nhận định tổng thể tương ứng cũng là

7.3.2 Các lưu ý áp dụng

Trách nhiệm cung cấp tất cả các bằng chứng đánh giá được yêu cầu thuộc về nhà bảo trợ Tuy nhiên,hầu hết các bằng chứng đánh giá có khả năng được tạo ra và cung cấp bởi nhà phát triển, thay mặtnhà bảo trợ

Do các yêu cầu đảm bảo áp dụng cho toàn bộ TOE, tất cả bằng chứng đánh giá liên quan đến tất cảcác phần của TOE cần được sẵn sàng cung cấp cho người đánh giá Phạm vi áp dụng và nội dungđược yêu cầu của bằng chứng đánh giá như vậy là độc lập với mức độ kiểm soát mà nhà phát triển

đã có trên mỗi phần của TOE Ví dụ, nếu thiết kế được yêu cầu, thì các yêu cầu thiết kế TOE(ADV_TDS) sẽ áp dụng cho tất cả các hệ thống con mà chúng là một phần của TSF Ngoài ra, cácyêu cầu đảm bảo có yêu cầu các thủ tục cần có (ví dụ, các năng lực CM (ALC_CMC) và chuyển giao(ALC_DEL)) cũng sẽ áp dụng cho toàn bộ TOE (bao gồm phần bấy kỳ nào được tạo ra bởi nhà pháttriển khác)

Khuyến nghị được tạo ra là người đánh giá, trọn sự kết hợp với các nhà bảo trợ để tạo ra một chỉ mụctới bằng chứng đánh giá được yêu cầu Chỉ mục này có thể là một tập các tham chiếu tới tài liệu Chỉmục này nên có đủ thông tin (ví dụ như một bản tóm tắt ngắn gọn của mỗi tài liệu, hoặc ít nhất là mộttiêu đề, dấu hiệu rõ ràng của các Điều cần quan tâm) để giúp người đánh giá dễ dàng tìm thấy bằngchứng được yêu cầu

Thông tin trong bằng chứng đánh giá được yêu cầu chứ không phải cấu trúc tài liệu cụ thể nào Bằngchứng đánh giá cho một hoạt động con có thể được cung cấp bởi các tài liệu riêng biệt, hoặc một tàiliệu đơn nhất có thể thoả mãn một số các yêu cầu đầu vào của một hoạt động con

Người đánh giá yêu cầu các phiên bản ổn định và được cung cấp chính thức của bằng chứng đánhgiá Tuy nhiên, dự thảo bằng chứng đánh giá có thể được cung cấp trong một phép đánh giá, ví dụ, đểgiúp một người đánh giá tạo ra một ước định không chính thức sớm, nhưng không được sử dụng làm

cơ sở cho các nhận định Nó có thể hữu ích cho người đánh giá để xem các bản thảo của một bằngchứng đánh giá phù hợp cụ thể, chẳng hạn như:

a) Tài liệu kiểm thử, để cho phép người đánh giá thực hiện một ước định sớm về các kiểm thử và cácthủ tục kiểm thử;

b) Các tài liệu thiết kế, để cung cấp cho người đánh giá nền tảng để thiết kế TOE;

c) Mã nguồn hoặc bản vẽ phần cứng, để cho phép người đánh giá ước định việc áp dụng các tiêuchuẩn của nhà phát triển

Dự thảo bằng chứng đánh giá có nhiều khả năng bị đụng độ khi việc đánh giá một TOE được thựchiện đồng thời với việc pháp triển nó Tuy nhiên, cũng có thể bị đụng độ trong quá trình đánh giá TOE

đã phát triển nơi mà các nhà phát triển đã phải thực hiện công việc bổ sung để giải quyết vấn đề xác16

định bởi người đánh giá (ví dụ như để sửa một lỗi trong thiết kế hoặc triển khai) hoặc cung cấp bằngchứng đánh giá an toàn mà không được cung cấp trong tài liệu hiện có (ví dụ như trong trường hợpTOE không được phát triển để đáp ứng các yêu cầu của TCVN 8709)

7.3.3 Quản lý nhiệm vụ con bằng chứng đánh giá

7.3.3.1 Kiểm soát cấu hình

Người đánh giá cần thực hiện kiểm soát cấu hình của bằng chứng đánh giá

TCVN 8709 ngầm định rằng người đánh giá có khả năng xác định và chỉ rõ từng hạng mục của bằngchứng đánh giá sau khi chúng đã được nhận và có khả năng xác định liệu phiên bản cụ thể của mộttài liệu người đánh giá đang giữ không

Người đánh giá cần bảo vệ bằng chứng đánh giá tránh việc thay đổi hoặc bị mất khi đang giữ chúng

Người đánh giá có thể truy cập thông tin thương mại nhạy cảm của nhà bảo trợ và nhà phát triển (ví

dụ như thông tin thiết kế TOE, các công cụ chuyên gí), và có thể truy cập thông tin quốc gia nhạy cảmtrong quá trình đánh giá Các lược đồ có thể mong muốn áp đặt các yêu cầu để người đánh giá duy trìtính bảo mật của các bằng chứng đánh giá Nhà bảo trợ và người đánh giá có thể cùng đồng ý với cácyêu cầu bổ sung, miễn là nhất quán với lược đồ đó

Các yêu cầu tính bí mật ảnh hưởng đến nhiều mặt của công việc đánh giá, bao gồm cả việc tiếp nhận,giải quyết, lưu trữ và huỷ bỏ bằng chứng đánh giá

7.4 Hoạt động con đánh giá

Hoạt động con đánh giá thay đổi tùy thuộc đó là đánh giá PP hay TOE Hơn nữa, trong trường hợpđánh giá TOE, hoạt động con phụ thuộc vào các yêu cầu đảm bảo đã lựa chọn

7.5 Nhiệm vụ đầu ra đánh giá

7.5.1 Mục tiêu

Mục tiêu của Điều này là mô tả báo cáo quan sát (OR) và báo cáo kỹ thuật đánh giá (ETR) Các lược

đồ có thể yêu cầu các báo cáo bổ sung của người đánh giá như báo cáo về các đơn vị công việcriêng, hoặc có thể yêu cầu thông tin bổ sung cần có trong OR và ETR Tiêu chuẩn này không ngăncản việc bổ sung thông tin vào các báo cáo do tiêu chuẩn này chỉ quy định nội dung thông tin tối thiểu Việc báo cáo nhất quán của các kết quả đánh giá tạo điều kiện cho việc thực hiện các nguyên tắcchung trong việc lặp lại và tái tạo các kết quả Tính nhất quán bao gồm cả về kiểu và số lượng thôngtin đã báo cáo trong ETR và OR Tính nhất quán của ETR và OR giữa các đánh giá khác nhau là tráchnhiệm của cơ quan đánh giá

Người đánh giá thực hiện hai nhiệm vụ con sau đây để đạt được các yêu cầu của tiêu chuẩn này vềnội dung thông tin của các báo cáo:

a) Ghi nhiệm vụ con OR (nếu được yêu cầu trong bối cảnh của việc đánh giá);

b) Ghi nhiệm vụ con ETR

7.5.2 Quản lý đầu ra đánh giá

Người đánh giá cung cấp ETR cho cơ quan đánh giá cũng như các OR bất kỳ khi chúng có sẵn Cácyêu cầu đối với các kiểm soát việc xử lý các ETR và OR được thiết lập bởi lược đồ cái mà có thể baogồm phát biểu từ nhà bảo trợ hoặc nhà phát triển Các ETR và OR có thể bao gồm các thông tin nhạycảm hoặc độc quyền và có thể cần phải được tinh chế lại trước khi chúng được trao cho nhà bảo trợ

7.5.3 Các lưu ý áp dụng

Trong phiên bản của tiêu chuẩn này, các yêu cầu về việc cung cấp bằng chứng đánh giá để hỗ trợđánh giá lại và tái sử dụng chưa được quy định rõ ràng Trường hợp nhà bảo trợ yêu cầu thông tin đểđánh giá lại hoặc tái sử dụng, nên tư vấn cho nhà bảo trợ lược đồ đánh giá đang được thực hiện

7.5.4 Ghi nhiệm vụ con OR

Các OR cung cấp cho người đánh giá cơ chế để yêu cầu làm rõ (ví dụ từ cơ quan đánh giá đối vớiviệc áp dụng một yêu cầu) hoặc xác định một vấn đề liên quan đến một khía cạch của việc đánh giá Trong trường hợp nhận định không đạt, người đánh giá cần cung cấp OR để phản hồi kết quả đánhgiá Nếu không, người đánh giá có thể sử dụng các OR như một cách diễn tả các yêu cầu làm rõ Đối với mỗi OR, người đánh giá cần báo cáo như sau:

a) Xác định PP hay TOE được đánh giá;

b) Nhiệm vụ/hoạt động con đánh giá trong đó việc quan sát được tạo ra;

c) Sự quan sát;

d) Ước định mức độ an toàn của nó (ví dụ ngầm định một nhận định không đạt, giữ tiến độ việc đánhgiá, yêu cầu giải quyết trước khi hoàn thành đánh giá);

e) Xác định tổ chức chịu trách nhiệm giải quyết vấn đề;

f) Lịch biểu đề xuất để giải quyết;

g) Ước định tác động đối với việc đánh giá không đạt đến quyết định việc quan sát

Độc giả mong muốn OR và các thủ tục đối với xử lý báo cáo phụ thuộc vào bản chất nội dung và lược

đồ báo cáo Các lược đồ có thể phân biệt các loại OR khác nhau hoặc xác định các loại bổ sung, với

sự khác biệt liên quan trong yêu cầu thông tin và sự phân bố (ví dụ các OR đánh giá của các cơ quanđánh giá và các nhà bảo trợ)

7.5.5 Ghi nhiệm vụ con ETR

7.5.5.1 Mục tiêu

Người đánh giá cần cung cấp ETR để thể hiện biện minh kỹ thuật của các nhận định

Tiêu chuẩn này xác định yêu cầu nội dung tối thiểu của ETR; tuy nhiên, các lược đồ có thể có nội dung

bổ sung riêng và các yêu cầu giới thiệu và cấu trúc riêng Ví dụ, các lược đồ có thể yêu cầu tài liệugiới thiệu nhất định (ví dụ các Điều từ chối yêu cầu và bản quyền) được báo cáo trong ETR

Người đọc ETR được giả thiết đã làm quen với các khái niệm chung về an toàn thông tin trong TCVN

8709 - các phương pháp đánh giá và CNTT

18

ETR hỗ trợ cơ quan đánh giá để xác nhận rằng việc đánh giá đã được thực hiện theo tiêu chuẩn yêucầu, song cơ quan đánh giá thấy trước rằng các kết quả đã ghi văn bản có thể không cung cấp tất cảthông tin được yêu cầu, do đó thông tin bổ sung theo yêu cầu của lược đồ có thể được yêu cầu Lĩnhvực này nằm ngoài phạm vi của tiêu chuẩn.

7.5.5.2 ETR cho một đánh giá PP

Điều này mô tả nội dung tối thiểu của ETR cho một đánh giá PP Các nội dung của ETR được miêu tảtrong Hình 4; hình này có thể sử dụng như một hướng dẫn khi xây dựng đề cương kết cấu của tài liệuETR

Hình 4 - Nội dung thông tin ETR cho một đánh giá PP 7.5.5.2.1 Giới thiệu

Người đánh giá cần báo cáo các xác định lược đồ đánh giá

Các xác định lược đồ đánh giá (ví dụ như logos) là thông tin được yêu cầu để xác định rõ lược đồ chịutrách nhiệm cho giám sát đánh giá

Người đánh giá cần báo cáo các xác định kiểm soát cấu hình ETR

Các xác định kiểm soát cấu hình ETR chứa thông tin xác định ETR (ví dụ như tên, ngày tháng và sốhiệu phiên bản)

Người đánh giá cần báo cáo xác định kiểm soát cấu hình PP

Xác định kiểm soát cấu hình PP (ví dụ như tên, ngày tháng và số hiêukphiên bản) là được yêu cầu đểxác định những gì đang được đánh giá để cơ quan đánh giá xác định rằng nhận định đã được để các

cơ quan đánh giá xác minh rằng các nhận định đã được ấn định chính xác bởi người đánh giá

Người đánh giá cần báo cáo xác định của nhà phát triển

Xác định của nhà phát triển PP được yêu cầu để xác định các bên chịu trách nhiệm tạo ra PP

Người đánh giá phải báo cáo xác định của nhà bảo trợ

Xác định của nhà bảo trợ được yêu cầu để xác định các bên chịu trách nhiệm cung cấp chứng cứđánh giá đến người đánh giá

Người đánh giá cần báo cáo xác định của người đánh giá

Xác định của người đánh giá được yêu cầu để xác định bên thực hiện việc đánh giá và chịu tráchnhiệm về các nhận định đánh giá

7.5.5.2.2 Đánh giá

Người đánh giá cần báo cáo phương pháp, kỹ thuật, công cụ và tiêu chuẩn đánh giá đã sử dụng Người đánh giá tham khảo tiêu chí đánh giá, hệ thống phương pháp và các diễn giải dùng để đánhgiá PP

Người đánh giá cần báo cáo mọi hạn chế dựa trên việc đánh giá, những hạn chế về việc xử lý kết quảđánh giá và giả định được thực hiện trong việc đánh giá có tác động đến các kết quả đánh giá

Người đánh giá có thể đưa vào thông tin liên quan đến vấn đề pháp lý hoặc phương diện luật định, tổchức, bảo mật, v.v

7.5.5.2.3 Các kết quả đánh giá

Người đánh giá cần báo cáo một nhận định và một sở cứ hỗ trợ đối với mỗi thành phần đảm bảo cấuthành nên một hoạt động của APE, như là kết quả của việc thực hiện hành động hệ thống phươngpháp đánh giá tương ứng và các đơn vị công việc cấu thành của nó

Sở cứ biện minh cho nhận định sử dụng TCVN 8709 này là mọi cách diễn giải và bằng chứng đánhgiá được thẩm tra và cho thấy cách bằng chứng đánh giá đáp ứng hoặc không đáp ứng mỗi khía cạnhcủa tiêu chí Nó bao gồm việc mô tả về công việc được thực hiện, phương pháp được sử dụng, vànguồn gốc bất kỳ của các kết quả Sở cứ có thể cung cấp chi tiết đến cấp độ của đơn vị công việc hệthống phương pháp đánh giá

7.5.5.2.4 Các kết luận và khuyến nghị

Người đánh giá cần báo cáo kết luận đánh giá, đặc biệt là nhận định tổng thể theo quy định tại TCVN8709-1: 2011 Điều 9, các kết quả đánh giá, và được xác định bằng cách áp dụng việc ấn định nhậnđịnh được mô tả trong 7.2.5

Người đánh giá cung cấp các khuyến nghị có thể hữu ích cho cơ quan đánh giá Những khuyến nghịnày có thể đưa vào các bất cập của PP đã phát hiện ra trong quá trình đánh giá hoặc đề cập đến cáctính năng đặc biệt hữu ích

7.5.5.2.5 Danh sách bằng chứng đánh giá

Người đánh giá cần báo cáo các thông tin sau cho từng hạng mục bằng chứng đánh giá:

• Cơ quan phát hành (ví dụ như nhà phát triển, nhà bảo trợ);

• Tiêu đề;

• Tham chiếu đơn nhất (ví dụ như ngày phát hành và số hiệu phiên bản)

7.5.5.2.6 Danh sách các cụm từ viết tắt / giải thích các thuật ngữ

Người đánh giá cần báo cáo mọi từ viết tắt hoặc tên viết tắt được sử dụng trong ETR

20

Các định nghĩa thuật ngữ đã được định nghĩa tại TCVN 8709 hoặc tại tiêu chuẩn này không cần lặp lạitrong ETR

7.5.5.2.7 Báo cáo quan sát

Người đánh giá cần báo cáo danh sách đầy đủ xác định duy nhất của các OR tạo ra trong quá trìnhđánh giá và tình trạng của chúng

Đối với mỗi OR, danh sách nên có xác định cũng như tiêu đề của nó hoặc bản tóm tắt ngắn gọn về nộidung của nó

7.5.5.3 ETR cho một đánh giá TOE

Điều này mô tả nội dung tối thiểu của ETR cho một đánh giá TOE Các nội dung của ETR được miêu

tả trong Hình 5; hình này có thể sử dụng như một hướng dẫn khi xây dựng đề cương kết cấu của tàiliệu ETR

Hình 5 - Nội dung thông tin ETR cho một đánh giá TOE 7.5.5.3.1 Giới thiệu

Người đánh giá cần báo cáo các xác định lược đồ đánh giá

Xác định lược đồ đánh giá (ví dụ như logos) là thông tin yêu cầu để xác định rõ lược đồ chịu tráchnhiệm cho giám sát đánh giá

Người đánh giá cần báo cáo các xác định kiểm soát cấu hình ETR

Các xác định kiểm soát cấu hình ETR chứa thông tin xác định ETR (ví dụ như tên, ngày tháng và sốphiên bản)

Người đánh giá cần báo cáo xác định kiểm soát cấu hình ST và TOE

Các xác định kiểm soát cấu hình ST và TOE xác định những gì đang được đánh giá để các cơ quanđánh giá xác minh rằng các nhận định đã được ấn định chính xác bởi người đánh giá

Nếu ST yêu cầu là TOE phù hợp với các yêu cầu của một hoặc nhiều PP, ETR cần báo cáo thamchiếu của các PP tương ứng

Tham chiếu của các PP chứa thông tin xác định đơn nhất các PP (ví dụ như tiêu đề, ngày tháng và sốhiệu phiên bản)

Người đánh giá cần báo cáo xác định của nhà phát triển

Xác định của các nhà phát triển TOE được yêu cầu để xác định các bên chịu trách nhiệm tạo ra TOE Người đánh giá phải báo cáo xác định của nhà bảo trợ

Xác định của nhà bảo trợ được yêu cầu để xác định các bên chịu trách nhiệm cung cấp chứng cứđánh giá đến người đánh giá

Người đánh giá cần báo cáo xác định của người đánh giá

Xác định của người đánh giá được yêu cầu để xác định bên thực hiện việc đánh giá và chịu tráchnhiệm về các nhận định đánh giá

7.5.5.3.2 Mô tả kiến trúc của TOE

Người đánh giá cần báo cáo sự mô tả cấp độ cao của TOE và các thành phần chính của nó dựa trênbằng chứng đánh giá đã mô tả trong họ đảm bảo của TCVN 8709 được gắn thiết kế TOE (ADV_TDS),khi áp dụng

Mục đích của Điều này là mô tả mức độ phân chia kiến trúc của các thành phần chính Nếu không cóyêu cầu thiết kế TOE (ADV_TDS) trong ST, điều này không áp dụng và được coi là thỏa mãn

7.5.5.3.3 Đánh giá

Người đánh giá cần báo cáo phương pháp, kỹ thuật, công cụ và tiêu chuẩn đánh giá đã sử dụng Người đánh giá tham khảo tiêu chí đánh giá, hệ thống phương pháp và các diễn giải dùng để đánh giáTOE

Người đánh giá cần báo cáo mọi hạn chế dựa trên việc đánh giá, những hạn chế về việc xử lý kết quảđánh giá và giả định được thực hiện trong việc đánh giá có tác động đến các kết quả đánh giá

Người đánh giá có thể đưa vào thông tin liên quan đến vấn đề pháp lý hoặc phương diện luật định, tổchức, bảo mật

7.5.5.3.4 Các kết quả đánh giá

Đối với mỗi hoạt động trong đó TOE được đánh giá, người đánh giá cần báo cáo:

 Tiêu đề của hoạt động đã được xem xét;

 Nhận định và sở cứ hỗ trợ cho mỗi thành phần đảm bảo cấu thành nên hoạt động này, như là kếtquả của việc thực hiện hành động hệ thống phương pháp đánh giá tương ứng và các đơn vị côngviệc cấu thành của nó

Sở cứ biện minh cho nhận định sử dụng TCVN 8709 này là mọi cách diễn giải và bằng chứng đánhgiá được thẩm tra và cho thấy cách bằng chứng đánh giá đáp ứng hoặc không đáp ứng mỗi khía cạnhcủa tiêu chí Nó bao gồm việc mô tả về công việc được thực hiện, phương pháp được sử dụng, và

22

nguồn gốc bất kỳ của các kết quả Sở cứ có thể cung cấp chi tiết đến cấp độ của đơn vị công việc hệthống phương pháp đánh giá

Người đánh giá cần báo cáo tất cả các thông tin cụ thể do đơn vị công việc đã yêu cầu

Đối với các hoạt động AVA và ATE, các đơn vị công việc để xác định thông tin được báo cáo trongETR đã định nghĩa

7.5.5.3.5 Kết luận và kiến nghị

Người đánh giá cần báo cáo các kết luận đánh giá sẽ liên quan đến việc liệu TOE có thỏa mãn ST liênquan của nó không, đặc biệt là nhận định tổng thể như đã quy định tại TCVN 8709-1: 2011 Điều 9, kếtquả đánh giá, và được xác định bằng cách áp dụng việc ấn định nhận định đã mô tả trong 7.2.5 Người đánh giá cung cấp các khuyến nghị có thể hữu ích cho cơ quan đánh giá Những khuyến nghịnày có thể đưa vào các bất cập của PP đã phát hiện ra trong quá trình đánh giá hoặc đề cập đến cáctính năng đặc biệt hữu ích

7.5.5.3.6 Danh sách bằng chứng đánh giá

Người đánh giá cần báo cáo từng hạng mục bằng chứng đánh giá theo các thông tin sau đây:

• Cơ quan phát hành (ví dụ như nhà phát triển, nhà bảo trợ);

• Tiêu đề;

• Tham chiếu đơn nhất (ví dụ như ngày phát hành và số phiên bản)

7.5.5.3.7 Danh sách các cụm từ viết tắt / Giải thích các thuật ngữ

Người đánh giá cần báo cáo mọi từ viết tắt hoặc tên viết tắt được sử dụng trong ETR

Các định nghĩa thuật ngữ đã được định nghĩa tại TCVN 8709 hoặc tại tiêu chuẩn này không cần lặp lạitrong ETR

7.5.5.3.8 Báo cáo quan sát

Người đánh giá cần báo cáo danh sách đầy đủ xác định duy nhất của các OR tạo ra trong quá trìnhđánh giá và tình trạng của chúng

Đối với mỗi OR, danh sách nên có xác định cũng như tiêu đề của nó hoặc bản tóm tắt ngắn gọn về nộidung của nó

8 Lớp APE: Đánh giá hồ sơ bảo vệ

8.1 Giới thiệu

Điều này mô tả việc đánh giá của một PP Các yêu cầu và hệ thống phương pháp để đánh giá PP làgiống nhau đối với mỗi đánh giá PP, không phụ thuộc vào EAL (hoặc tập các yêu cầu đảm bảo khác)được đòi hỏi trong PP Hệ thống phương pháp đánh giá trong Điều này dựa trên vào các yêu cầu về

PP như đã quy định tại TCVN 8709-3: 2011 lớp APE

Điều này nên sử dụng kết hợp với các Phụ lục A, B và C trong TCVN 8709-1: 2011, vì các Phụ lục nàylàm rõ các khái niệm nêu ở đây và cung cấp nhiều ví dụ

8.2 Các lưu ý áp dụng

8.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận

Trong khi việc đánh giá một PP dựa trên một hoặc nhiều PP đã được chứng nhận, có thể tái sử dụngcác PP đã được chứng nhận Khả năng tái sử dụng kết quả của một PP đã được chứng nhận lớn hơnnếu PP đang được đánh giá không có thêm các mối đe dọa, các OSP, các mục tiêu an toàn và/hoặc

các yêu cầu an toàn so với PP mà sự tuân thủ đang được yêu cầu Nếu PP đang được đánh giá chứanhiều thứ hơn so với PP đã chứng nhận, việc tái sử dụng có thể thực sự không có tác dụng.

Người đánh giá được phép tái sử dụng các kết quả đánh giá PP bằng cách thực hiện phân tích chỉmột phần hoặc không nếu những phân tích hoặc các phần của chúng đã được thực hiện như mộtphần của việc đánh giá PP Trong khi làm điều này, người đánh giá nên giả định rằng những phân tíchtrong PP được thực hiện đúng

Ví dụ khi PP tuân thủ đang được yêu cầu có chứa một tập hợp các yêu cầu an toàn, và chúng đượcxác định là nhất quán nội bộ trong quá trình đánh giá nó Nếu PP được đánh giá sử dụng các yêu cầuđúng như vậy, phân tích tính nhất quán không phải lặp lại trong quá trình đánh giá PP Nếu PP đượcđánh giá thêm một hoặc nhiều yêu cầu, hoặc thực hiện các hoạt động trên các yêu cầu này, việc phântích sẽ phải được lặp lại Tuy nhiên, có thể tiết kiệm việc phân tích tính nhất quán này bằng cách sửdụng thực tế các yêu cầu ban đầu là nhất quán nội bộ Nếu các yêu cầu ban đầu là nhất quán nội bộ,người đánh giá chỉ cần xác định rằng:

a) Tập hợp tất cả các yêu cầu mới và/hoặc thay đổi là nhất quán nội bộ, và

b) Tập tất cả các yêu cầu mới và/hoặc thay đổi nhất quán với yêu cầu ban đầu

Người đánh giá lưu ý trong ETR các trường hợp khi việc phân tích không được thực hiện hoặc chỉđược thực hiện một phần vì lý do này

8.3 Giới thiệu PP (APE_INT)

8.3.1 Đánh giá hoạt động con (APE_INT.1)

8.3.1.3.1 Đơn vị công việc APE_INT.1-1

Người đánh giá cần kiểm tra rằng giới thiệu PP chứa một tham chiếu PP và một tổng quan TOE TCVN 8709-3: 2011 APE_INT.1.2C: Tham chiếu PP cần xác định duy nhất cho PP

8.3.1.3.2 Đơn vị công việc APE_INT.1-2

Người đánh giá cần thẩm tra tham chiếu PP để xác định rằng nó xác định duy nhất cho PP

Người đánh giá xác định rằng tham chiếu PP xác định cho chính PP, do đó nó có thể dễ dàng phânbiệt với các PP khác, và nó cũng xác định duy nhất cho mỗi phiên bản của PP, ví dụ: bằng cách đưavào số phiên bản và/hoặc ngày công bố

PP nên có một hệ thống tham chiếu nào đó để có thể hỗ trợ các tham chiếu duy nhất (ví dụ như sửdụng các số, các chữ cái hoặc ngày)

24

TCVN 8709-3: 2011 APE_INT.1.3C: Tổng quan TOE cần tóm tắt việc sử dụng và các đặc trưng an toàn chính của TOE.

8.3.1.3.3 Đơn vị công việc APE_INT.1-3

Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó mô tả việc sử dụng và các đặc trưng

an toàn chính của TOE

Tổng quan TOE nên ngắn gọn (ví dụ như một vài đoạn) mô tả việc sử dụng và đặc trưng an toànchính dự kiến của TOE Tổng quan TOE nên cho phép người tiêu dùng và các nhà phát triển TOEtiềm năng nhanh chóng xác định xem liệu PP có được họ quan tâm không

Người đánh giá xác định rằng tổng quan là đủ rõ ràng đối với các nhà phát triển TOE và người tiêudùng, và đủ để cung cấp cho họ sự hiểu biết chung về việc sử dụng và đặc trưng an toàn chính dựkiến của TOE

TCVN 8709-3: 2011 APE_INT.1.4C: Tổng quan TOE cần xác định kiểu TOE

8.3.1.3.4 Đơn vị công việc APE_INT.1-4

Người đánh giá cần kiểm tra rằng tổng quan TOE xác định kiểu TOE

TCVN 8709-3: 2011 APE_INT.1.5C: Tổng quan TOE cần xác định bất kỳ phần cứng, phần mềm và phần sụn không phải TOE sẵn dụng cho TOE.

8.3.1.3.5 Đơn vị công việc APE_INT.1-5

Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó xác định bất kỳ phần cứng/phần

mềm/phần sụn không phải của TOE sẵn dụng cho TOE

Trong khi một số TOE có thể chạy độc lập thì một số TOE khác (đáng lưu ý là các TOE phần mềm)cần thêm phần cứng, phần mềm và phần sụn để hoạt động Trong Điều này của PP, tác giả của PPliệt kê tất cả phần cứng, phần mềm và/hoặc phần sụn sẽ được dùng để chạy TOE

Việc xác định này nên chi tiết đủ để người tiêu dùng và các nhà phát triển TOE tiềm năng xác địnhxem liệu TOE của họ có thể hoạt động với các phần cứng, phần mềm và phần sụn đã được liệt kêkhông

8.4 Các yêu cầu tuân thủ (APE_CCL)

8.4.1 Đánh giá hoạt động con (APE_CCL.1)

8.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định tính hợp lệ của các yêu cầu tuân thủ khác nhau Chúng

mô tả PP phù hợp với TCVN 8709, các PP và các gói khác như thế nào

8.4.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP;

b) (Các) PP mà PP yêu cầu tuân thủ theo;

c) (Các) gói mà PP yêu cầu tuân thủ theo

8.4.1.3 Hành động APE_CCL.1.1E

TCVN 8709-3: 2011 APE_CCL.1.1C: Yêu cầu tuân thủ cần chứa một yêu cầu tuân thủ TCVN 8709 để xác định phiên bản của TCVN 8709 mà PP yêu cầu tuân thủ.

8.4.1.3.1 Đơn vị công việc APE_CCL.1-1

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa một yêu cầu tuân thủ TCVN 8709 để xácđịnh phiên bản của TCVN 8709 mà PP yêu cầu tuân thủ

Người đánh giá xác định rằng yêu cầu tuân thủ TCVN 8709 để xác định phiên bản TCVN 8709 đãđược sử dụng để phát triển PP này Điều này nên bao gồm số phiên bản của TCVN 8709 và sử dụngngôn ngữ của phiên bản TCVN 8709 trừ khi phiên bản tiếng Anh quốc tế của TCVN 8709 được sửdụng

TCVN 8709-3: 2011 APE_CCL.1.2C: Yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của PP theo TCVN 8709-2: 2011 như là hoặc tuân thủ TCVN 8709-2: 2011 hoặc mở rộng của TCVN 8709-2: 2011.

8.4.1.3.2 Đơn vị công việc APE_CCL.1-2

Người đánh giá cần kiểm tra rằng các trạng thái yêu cầu tuân thủ TCVN 8709 như là sự yêu cầu hoặctuân thủ TCVN 8709-2: 2011 hoặc mở rộng của TCVN 8709-3: 2011 đối với PP

TCVN 8709-3: 2011 APE_CCL.1.3C: Yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của PP theo TCVN 8709-3: 2011 như là hoặc tuân thủ TCVN 8709-3: 2011 hoặc mở rộng của TCVN 8709-3: 2011

8.4.1.3.3 Đơn vị công việc APE_CCL.1-3

Người đánh giá cần kiểm tra xem các trạng thái yêu cầu tuân thủ TCVN 8709 như là sự yêu cầu hoặctuân thủ TCVN 8709-3: 2011 hoặc mở rộng TCVN 8709-3: 2011 đối với PP

TCVN 8709-3: 2011 APE_CCL.1.4C: Yêu cầu tuân thủ TCVN 8709 cần nhất quán với định nghĩa các thành phần mở rộng.

8.4.1.3.4 Đơn vị công việc APE_CCL.1-4

Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 đối với TCVN 8709-2: 2011 để xác định

rằng nó nhất quán với định nghĩa các thành phần mở rộng.

Nếu yêu cầu tuân thủ TCVN 8709 có chứa tuân thủ TCVN 8709-2: 2011, người đánh giá xác địnhrằng định nghĩa các thành phần mở rộng mà không định nghĩa các thành phần chức năng

Nếu yêu cầu tuân thủ TCVN 8709 có chứa mở rộng TCVN 8709-2: 2011, người đánh giá xác địnhrằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng

8.4.1.3.5 Đơn vị công việc APE_CCL.1-5

Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 đối với TCVN 8709-2: 2011 [3] để xác định

rằng nó nhất quán với định nghĩa các thành phần mở rộng.

Nếu yêu cầu tuân thủ TCVN 8709 có chứa tuân thủ TCVN 8709-3: 2011, người đánh giá xác địnhrằng định nghĩa các thành phần mở rộng mà không định nghĩa các thành phần chức năng

Nếu yêu cầu tuân thủ TCVN 8709 có chứa mở rộng TCVN 8709-3: 2011, người đánh giá xác địnhrằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng

TCVN 8709-3: 2011 APE_CCL.1.5C: Yêu cầu tuân thủ cần xác định cả các PP và các gói yêu cầu an toàn mà PP yêu cầu tuân thủ.

8.4.1.3.6 Đơn vị công việc APE_CCL.1-6

26

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa yêu cầu PP để xác định tất cả các PP mà

PP yêu cầu tuân thủ theo

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi

là thỏa mãn

Người đánh giá xác định rằng bất kỳ PP tham chiếu nào cũng được xác định một cách rõ ràng (ví dụnhư theo tiêu đề và số phiên bản, hoặc bằng cách xác định có trong phần giới thiệu của PP đó).Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với PP

8.4.1.3.7 Đơn vị công việc APE_CCL.1-7

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có bao gồm yêu cầu gói để xác định tất cả các gói

mà PP yêu cầu tuân thủ

Nếu PP không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi làthỏa mãn

Người đánh giá xác định rằng bất kỳ gói tham chiếu nào cũng được xác định một cách rõ ràng (ví dụnhư theo tiêu đề và số phiên bản, hoặc bằng cách xác định có trong phần giới thiệu của gói đó).Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với gói

TCVN 8709-3: 2011 APE_CCL.1.6C: Yêu cầu tuân thủ cần mô tả bất kỳ sự tuân thủ nào của PP theo hoặc gói tuân thủ hoặc gói gia tăng.

.8.4.1.3.8 Đơn vị công việc APE_CCL.1-8

Người đánh giá cần kiểm tra xem với mỗi gói đã được xác định, trạng thái yêu cầu tuân thủ là yêu cầucủa hoặc là tên gói tuân thủ hoặc tên gói tăng cường

Nếu PP không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi làthỏa mãn

Nếu yêu cầu tuân thủ gói chứa tên gói tuân thủ, người đánh giá xác định rằng:

a) Nếu gói là một gói đảm bảo, thì PP có chứa tất cả các SAR kèm theo gói, nhưng không thêm cácSAR

b) Nếu gói là một gói chức năng, thì PP chứa tất cả các SFR kèm theo gói, nhưng không thêm cácSFR

Nếu yêu cầu tuân thủ gói chứa tên gói mở rộng, người đánh giá xác định rằng:

a) Nếu gói là một gói đảm bảo, thì PP có chứa tất cả các SAR kèm theo gói và thêm ít nhất một SARhoặc ít nhất một SAR là phân cấp của một SAR trong gói

b) Nếu gói là một gói chức năng, thì PP chứa tất cả các SFR kèm theo gói, và thêm ít nhất một SFRhoặc ít nhất một SFR là phân cấp của một SFR trong gói

TCVN 8709-3: 2011 APE_CCL.1.7C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng kiểu TOE này

là nhất quán với kiểu TOE trong các PP mà sự tuân thủ được yêu cầu.

8.4.1.3.9 Đơn vị công việc APE_CCL.1-9

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng kiểu TOE của TOE là nhất quánvới tất cả các kiểu TOE của các PP

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi

là thỏa mãn

Mối quan hệ giữa các kiểu có thể đơn giản là: yêu cầu tuân thủ PP tường lửa với PP tường lửa khác,hoặc phức tạp hơn: một PP thẻ thông minh yêu cầu tuân thủ đối với một số PP khác cùng một thờiđiểm: một PP cho các mạch tích hợp, một PP cho hệ điều hành thẻ thông minh, và hai PP cho hai ứngdụng trên thẻ thông minh

TCVN 8709-3: 2011 APE_CCL.1.8C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố định nghĩa vấn đề an toàn là nhất quán với tuyên bố về định nghĩa các vấn đề an toàn bên trong các PP mà

sự tuân thủ được yêu cầu.

8.4.1.3.10 Đơn vị công việc APE_CCL.1-10

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố củađịnh nghĩa vấn đề an toàn là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với các tuyên bốđịnh nghĩa vấn đề an toàn nêu trong PP mà sự tuân thủ được yêu cầu

Nếu PP được đánh giá không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và

do đó được coi là thỏa mãn

Nếu PP mà sự tuân thủ được yêu cầu không tuyên bố định nghĩa vấn đề an toàn, đơn vị công việc nàykhông áp dụng và do đó được coi là thỏa mãn

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không yêu cầu sở cứ yêucầu tuân thủ Thay vào đó, người đánh giá xác định rằng liệu:

a) Các mối đe dọa trong PP có được đánh giá là một tập lớn của hoặc giống với các mối đe dọatrong PP mà sự tuân thủ được yêu cầu không;

b) Các OSP trong PP có được đánh giá là một tập lớn của hoặc giống với các OSP trong PP mà sựtuân thủ được yêu cầu không;

c) Các giả thiết trong PP có được đánh giá là giống với các giả thiết trong PP mà sự tuân thủ đượcyêu cầu không;

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giáthẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố định nghĩa vấn đề an toàncủa PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố định nghĩa vấn đề an toàntrong PP mà sự tuân thủ được yêu cầu

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem TCVN 8709-1: 2011 Phụ lục D, tuân thủ PP

TCVN 8709-3: 2011 APE_CCL.1.9C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố các mục tiêu an toàn là nhất quán với tuyên bố về các mục tiêu an toàn trong các PP mà sự tuân thủ được yêu cầu

8.4.1.3.11 Đơn vị công việc APE_CCL.1-11

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng tuyên bố các mục tiêu an toàn

là nhất quán, như định nghĩa tuyên bố sự tuân thủ của các PP, với tuyên bố mục tiêu an toàn trongcác PP

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi

là thỏa mãn

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần sở cứ yêu cầutuân thủ Thay vào đó, người đánh giá xác định liệu:

28

 PP được đánh giá có chứa tất cả mục tiêu an toàn trong TOE của PP mà sự tuân thủ được yêucầu không Lưu ý rằng nó được phép để PP được đánh giá mục có tiêu an toàn bổ sung cho TOE;

 PP được đánh giá có chứa chính xác tất cả các mục tiêu an toàn đối với môi trường vận hành (vớingoại lệ được trình bày ở ý tiếp theo) không Lưu ý rằng không được phép để PP được đánh giá

có mục tiêu an toàn bổ sung đối với môi trường vận hành;

 PP được đánh giá có thể chỉ định các mục tiêu nhất định đới với môi trường vận hành trong PP màtuân thủ đang được yêu cầu có là các mục tiêu an toàn trong TOE trong PP được đánh giá không.Đây là trường hợp ngoại lệ được trình bày ở ý trước

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giáthẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các mục tiêu an toàn của

PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố các mục tiêu an toàn trong PP

mà sự tuân thủ được yêu cầu

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem TCVN 8709-1: 2011 Phụ lục D, tuân thủ PP

TCVN 8709-3: 2011 APE_CCL.1.10C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố các yêu cầu an toàn là nhất quán với tuyên bố về các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu

8.4.1.3.12 Đơn vị công việc APE_CCL.1-12

Người đánh giá cần thẩm tra PP để xác định rằng nó là nhất quán, như đã xác định bởi tuyên bố tuânthủ của PP, với tất cả các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi

là thỏa mãn

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần sở cứ yêu cầutuân thủ Thay vào đó, Người đánh giá xác định rằng xem tuyên bố các yêu cầu an toàn trong PPđược đánh giá có là một tập lớn của hoặc giống hệt tuyên bố các yêu cầu an toàn trong PP mà sựtuân thủ được yêu cầu không (cho tuân thủ chặt chẽ)

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giáthẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các yêu cầu an toàn của

PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố các yêu cầu an toàn trong PP

mà sự tuân thủ được yêu cầu

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem TCVN 8709-1: 2011 Phụ lục D, tuân thủ PP

TCVN 8709-3: 2011 APE_CCL.1.11C: Tuyên bố tuân thủ cần mô tả sự tuân thủ đã yêu cầu của bất kỳ các PP/ST trong PP như tuân thủ PP chặt chẽ hoặc PP có thể chứng minh

8.4.1.3.13 Đơn vị công việc APE_CCL.1-13

Người đánh giá cần kiểm tra yêu cầu các trạng thái tuyên bố tuân thủ PP của tuân thủ PP chặt chẽhoặc PP có thể chứng minh

8.5 Định nghĩa vấn đề an toàn (APE_SPD)

8.5.1 Đánh giá hoạt động con (APE_SPD.1)

8.5.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định rằng vấn đề an toàn dự kiến được đề cập đến bởi TOE vàmôi trường vận hành của nó được xác định rõ ràng

8.5.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP

8.5.1.3 Hành động APE_SPD.1.1E

TCVN 8709-3: 2011 APE_SPD.1.1C: Định nghĩa vấn đề an toàn cần mô tả các mối đe dọa

8.5.1.3.1 Đơn vị công việc APE_SPD.1-1

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa

Nếu tất cả các mục tiêu an toàn xuất phát từ các giả thiết và/hoặc chỉ các OSP, tuyên bố các mối đedọa không cần có trong PP Trong trường hợp này, đơn vị công việc này không áp dụng và do đóđược coi là thỏa mãn

Người đánh giá xác định rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa phải được chống trảbởi TOE và/hoặc môi trường vận hành của nó

TCVN 8709-3: 2011 APE_SPD.1.2C: Tất cả các mối đe dọa cần được mô tả dưới dạng tác nhân đe dọa, tài sản và hành động có hại

8.5.1.3.2 Đơn vị công việc APE_SPD.1-2

Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng tất cả các mối đe dọa được

mô tả dưới dạng tác nhân đe dọa, tài sản, và hành động có hại

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và chỉ các OSP, tuyên bố các mối đe dọa khôngcần có trong PP Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi làthỏa mãn

Các tác nhân đe dọa có thể được mô tả bằng cách thêm các phương diện như chuyên môn, nguồnlực, cơ hội và động lực

TCVN 8709-3: 2011 APE_SPD.1.3C: Định nghĩa vấn đề an toàn cần mô tả các OSP

8.5.1.3.3 Đơn vị công việc APE_SPD.1-3

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các OSP

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và/hoặc chỉ các mối đe dọa, các OSP không cần

có trong PP Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏamãn

Người đánh giá xác định rằng các tuyên bố OSP được thực hiện trong điều khoản quy tắc hoặchướng dẫn phải theo TOE và/hoặc môi trường vận hành của nó

Người đánh giá xác định rằng mỗi OSP được giải thích và/hoặc diễn dịch đầy đủ chi tiết để nó rõ ràng

dễ hiểu; trình bày rõ ràng về các tuyên bố chính sách là được yêu cầu để cho phép theo dấu mục tiêu

an toàn cho chúng

TCVN 8709-3: 2011 APE_SPD.1.4C: Định nghĩa vấn đề an toàn cần mô tả các giả thiết về môi trường vận hành của TOE.

8.5.1.3.4 Đơn vị công việc APE_SPD.1-4

Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng nó mô tả các giả thiếtvề môitrường vận hành của TOE

Nếu không có các giả thiết, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn 30

Người đánh giá xác định rằng mỗi giả thiết về môi trường vận hành của TOE được giải thích đầy đủchi tiết, cho phép người sử dùng xác định môi trường vận hành của họ phù hợp với giả thiết Nếu cácgiả thiết chưa được hiểu rõ, kết quả cuối cùng có thể TOE được sử dụng trong môi trường vận hành,khi đó nó sẽ không hoạt động theo cách an toàn.

8.6 Mục tiêu an toàn (APE_OBJ)

8.6.1 Đánh giá hoạt động con (APE_OBJ.1)

8.6.1.3.1 Đơn vị công việc APE_OBJ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố của các mục tiêu an toàn định nghĩa các mục tiêu an toàncho môi trường vận hành

Người đánh giá kiểm tra rằng các mục tiêu an toàn cho môi trường vận hành đã được xác định

8.6.2 Đánh giá hoạt động con (APE_OBJ.2)

8.6.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các mục tiêu an toàn có được thỏa đáng và được đềcập đầy đủ định nghĩa vấn đề an toàn và rằng cách phân chia vấn đề này giữa TOE và môi trườngvận hành của nó có được xác định rõ ràng không

8.6.2.3.1 Đơn vị công việc APE_OBJ.2-1

Người đánh giá cần kiểm tra rằng tuyên bố các mục tiêu an toàn định nghĩa các mục tiêu an toàn choTOE và các mục tiêu an toàn cho môi trường vận hành

Người đánh giá kiểm tra rằng cả hai phạm trù mục tiêu an toàn đã được xác định rõ ràng và tách ra từphạm trù khác

TCVN 8709-3: 2011 APE_OBJ.2.2C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn.

8.6.2.3.2 Đơn vị công việc APE_OBJ.2-2

Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu tất cả các mục tiêu an toàncho TOE chống lại các mối đe dọa bởi các mục tiêu và/hoặc các OSP được thực thi bởi mục tiêu antoàn

Mỗi mục tiêu an toàn trong TOE có thể truy vết các mối đe dọa hoặc các OSP, hoặc sự kết hợp củacác mối đe dọa và OSP, nhưng nó phải truy vết ít nhất một mối đe dọa hoặc OSP

Lỗi khi thực hiện theo dấu có nghĩa là hoặc sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề

an toàn không đầy đủ, hoặc mục tiêu an toàn trong TOE không có mục đích hữu ích

TCVN 8709-3: 2011 APE_OBJ.2.3C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn và giả thiết duy trì mục tiêu an toàn

8.6.2.3.3 Đơn vị công việc APE_OBJ.2-3

Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu các mục tiêu an toàn cho môitrường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn,các OSP được thực thi bởi mục tiêu

an toàn và giả thiết duy trì mục tiêu an toàn

Mỗi mục tiêu an toàn cho môi trường vận hành có thể truy vết các mối đe dọa, OSP, giả thiết, hoặc sựkết hợp của các mối đe dọa, các OSP và/hoặc các giả thiết, nhưng nó phải truy vết ít nhất một mối đedọa, một OSP hoặc một giả thiết

Lỗi khi thực hiện theo dấu có nghĩa là hoặc sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề

an toàn là không đầy đủ, hoặc mục tiêu an cho môi trường vận hành không có mục đích hữu ích

TCVN 8709-3: 2011 APE_OBJ.2.4C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu

an toàn chống lại tất cả các mối đe dọa

8.6.2.3.4 Đơn vị công việc APE_OBJ.2-4

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng nó biện minh cho mỗi mối

đe dọa của các mục tiêu an toàn là phù hợp để chống lại mối đe dọa đó

Nếu không có mục tiêu an toàn truy vết mối đe dọa, thì hành động của người đánh giá liên quan đếnđơn vị công việc này được ấn định là một nhận định không đạt

Người đánh giá xác định rằng việc biện minh cho một mối đe dọa cho thấy liệu mối đe dọa có đượcloại bỏ, giảm bớt hoặc giảm nhẹ hay không

Người đánh giá xác định rằng biện minh cho một mối đe dọa chứng minh rằng các mục tiêu an toàn làđầy đủ: nếu tất cả các mục tiêu an toàn truy vết mối đe dọa đã đạt được, thì mối đe dọa đã được loại

bỏ, giảm bớt thỏa đáng, hoặc những ảnh hưởng của các mối đe dọa được giảm nhẹ

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mụctiêu an toàn có thể là một phần của một sự biện minh, nhưng bản thân chúng không được coi là biệnminh Ngay cả trong trường hợp một mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngănchặn một mối đe dọa cụ thể đang được thực hiện, thì một sự biện minh lđược yêu cầu, nhưng biệnminh này có thể là tối thiểu như " mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y"

Người đánh giá cũng xác định rằng mỗi mục tiêu an toàn truy vết mối đe dọa là yêu cầu: khi mục tiêu

an toàn đã đạt được nó thực sự góp phần vào việc loại bỏ, giảm bớt hoặc giảm thiểu mối đe dọa đó

TCVN 8709-3: 2011 APE_OBJ.2.5C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu

an toàn thực thi tất cả OSP

32

8.6.2.3.5 Đơn vị công việc APE_OBJ.2-5

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi OSP nó biệnminh rằng các mục tiêu an toàn là phù hợp để thực thi OSP đó

Nếu không có mục tiêu an toàn truy vết OSP, hành động của người đánh giá liên quan đến đơn vịcông việc này được ấn định là nhận định không đạt

Người đánh giá xác định rằng biện minh cho các diễn giải mối đe dọa tại các mục tiêu an toàn là đầyđủ: nếu tất cả các mục tiêu an toàn truy vết OSP đạt được, OSP được thực thi

Người đánh giá cũng xác định mỗi mục tiêu an toàn theo dấu quayg lại OSP là được yêu cầu: khi mụctiêu an toàn đạt được nó thực sự góp phần vào việc thực thi của OSP

Lưu ý rằng các theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mụctiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính

nó Ngay cả trong trường hợp đó, mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngănchặn một mối đe dọa cụ thể đang được thực hiện, một sự biện minh là được yêu cầu, nhưng biệnminh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y"

TCVN 8709-3: 2011 APE_OBJ.2.6C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu

an toàn cho môi trường vận hành duy trì tất cả các giả thiết

8.6.2.3.6 Đơn vị công việc APE_OBJ.2-6

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi giả thiết cho môitrường vận hành nó có chứa một sự biện minh hợp lý mà các mục tiêu an toàn cho môi trường vậnhành phù hợp để duy trì giả thiết đó

Nếu không có các mục tiêu an toàn cho môi trường vận hành truy vết giả thiết, hành động của ngườiđánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt

Người đánh giá xác định rằng biện minh cho một giả thiết về môi trường vận hành của TOE diễn giảirằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn cho môi trường vận hành truy vếtgiả thiết đạt được, môi trường vận hành duy trì giả thiết

Người đánh giá cũng xác định mỗi mục tiêu an toàn cho môi trường vận hành truy vết giả thiết về môitrường vận hành của TOE là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vàoviệc duy trì môi trường vận hành giả thiết

Lưu ý rằng các theo dấu từ các mục tiêu an toàn cho môi trường vận hành đến các giả thiết đã cungcấp trong sở cứ các mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không đượccoi là biện minh của chính nó Trong trường hợp đó, mục tiêu an toàn của môi trường vận hành chỉđơn thuần là trình bày lại một giả thiết, một sự biện minh là được yêu cầu, nhưng biện minh này là tốithiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y"

8.7 Định nghĩa các thành phần mở rộng (APE_ECD)

8.7.1 Đánh giá hoạt động con (APE_ECD.1)

8.7.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các thành phần mở rộng có được định nghĩa rõ ràng

và mạch lạc không, và chúng có được yêu cầu không, nghĩa là chúng có thể không thể hiện rõ ràngbằng cách sử dụng các thành phần TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện có

8.7.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP

8.7.1.3 Hành động APE_ECD.1.1E

TCVN 8709-3: 2011 APE_ECD.1.1C: Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu

an toàn mở rộng

8.7.1.3.1 Đơn vị công việc APE_ECD.1-1

Người đánh giá cần kiểm tra rằng tất cả các yêu cầu an toàn trong tuyên bố các yêu cầu an toàn làkhông xác định như yêu cầu mở rộng TCVN 8709 đang tồn tại-2: 2011 [2] hoặc TCVN 8709-3: 2011

TCVN 8709-3: 2011 APE_ECD.1.2C: Định nghĩa các thành phần mở rộng cần xác định thành phần

mở rộng cho từng yêu cầu an toàn mở rộng

8.7.1.3.2 Đơn vị công việc APE_ECD.1-2

Người đánh giá cần kiểm tra rằng định nghĩa các thành phần mở rộng xác định thành phần mở rộngcho từng yêu cầu an toàn mở rộng

Nếu PP không chứa các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đóđược coi là thỏa mãn

Thành phần mở rộng đơn nhất có thể được sử dụng để định nghĩa nhiều lần yêu cầu an toàn mởrộng, không được yêu cầu nhắc lại định nghĩa này cho mỗi lần lặp lại

TCVN 8709-3: 2011 APE_ECD.1.3C: Định nghĩa các thành phần mở rộng cần mô tả cách thức mỗi thành phần mở rộng quan hệ thế nào với các lớp, họ và thành phần TCVN 8709 đang tồn tại

8.7.1.3.3 Đơn vị công việc APE_ECD.1-3

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng nó mô tả mỗi thànhphần mở rộng phù hợp thế nào với các lớp, họ, thành phần TCVN 8709 đang tồn tại

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác định rằng mỗi thành phần mở rộng hoặc là:

a) Thành phần của họ TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, hoặc là

b) Thành phần của một họ mới được định nghĩa trong PP

Nếu thành phần mở rộng là thành phần của họ TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại,Người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ lý do tại sao cácthành phần mở rộng nên là một thành phần của họ và làm thế nào nó liên quan với các thành phầnkhác của họ đó

Nếu các thành phần mở rộng là một thành phần của một họ mới được định nghĩa trong PP, ngườiđánh giá xác nhận rằng các thành phần mở rộng là không phù hợp với họ hiện tại

Nếu PP định nghĩa các họ mới, Người đánh giá xác định rằng mỗi họ mới hoặc là:

a) Thành phần của lớp trong TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, hoặc là

b) Thành phần của một lớp mới được định nghĩa trong PP

Nếu họ là thành phần của lớp trong TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, ngườiđánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ tại sao nó nên là một thànhphần của lớp đó và làm thế nào nó liên quan đến họ khác trong lớp đó

34

Nếu họ là thành phần của một lớp mới được định nghĩa trong PP, người đánh giá xác nhận rằng họkhông thích hợp đối với lớp hiện tại

8.7.1.3.4 Đơn vị công việc APE_ECD.1-4

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa củamột thành phần mở rộng xác định tất cả các phụ thuộc có thể áp dụng của thành phần đó

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác nhận rằng các phụ thuộc không thể áp dụng đã được bỏ qua bởi tác giả PP

TCVN 8709-3: 2011 APE_ECD.1.4C: Định nghĩa các thành phần mở rộng cần sử dụng các lớp, họ, thành phần TCVN 8709 đang tồn tại và hệ thống phương pháp như là mô hình cho sự trình bày

8.7.1.3.5 Đơn vị công việc APE_ECD.1-5

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phầnchức năng mở rộng sử dụng các thành phần TCVN 8709-2: 2011 đang tồn tạin như là mô hình cho

8.7.1.3.6 Đơn vị công việc APE_ECD.1-6

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của

họ chức năng mới sử dụng các họ chúc năng của TCVN 8709 hiện tại như là mô hình cho sự trìnhbày

Nếu PP không định nghĩa các họ chức năng mới, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác định rằng tất cả các họ chức năng mới được định nghĩa nhất quán với TCVN8709-2: 2011: Điều 6.1.2, Cấu trúc họ

8.7.1.3.7 Đơn vị công việc APE_ECD.1-7

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa củalớp chức năng mới sử dụng các lớp chức năng TCVN 8709 hiện tại như là mô hình cho sự trình bày Nếu PP không định nghĩa các lớp chức năng mới, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác định rằng tất cả lớp chức năng mới được định nghĩa nhất quán với TCVN 8709-2:2011: Điều 6.1.1, Cấu trúc lớp

8.7.1.3.8 Đơn vị công việc APE_ECD.1-8

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa củathành phần đảm bảo mở rộng sử dụng các thành phần TCVN 8709-3 hiện tại như là mô hình cho sựtrình bày

Nếu PP không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏamãn

Người đánh giá xác định rằng định nghĩa thành phần đảm bảo mở rộng là nhất quán với TCVN 3: 2011: Điều c 6.1.3, Cấu trúc thành phần đảm bảo

8709-Nếu thành phần đảm bảo mở rộng sử dụng các hoạt động, Người đánh giá xác định rằng các thànhphần đảm bảo mở rộng là nhất quán với TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động

Nếu thành phần bảo đảm mở rộng là phân cấp của thành phần đảm bảo hiện tại, Người đánh giá xácđịnh rằng thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3: 2011: Điều 6.1.3, Cấu trúcthành phần đảm bảo

8.7.1.3.9 Đơn vị công việc APE_ECD.1-9

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng, đối với mỗi thànhphần đảm bảo mở rộng định nghĩa, hệ thống phương pháp áp dụng đã được cung cấp

Nếu PP không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏamãn

Người đánh giá xác định rằng, cho mỗi phần tử hành động của người đánh giá của mỗi SAR mở rộng,được cung cấp một hoặc nhiều đơn vị công việc và thực hiện thành công tất cả các đơn vị công việccho yếu tố hành động được đánh giá sẽ chứng minh rằng các phần tử đã đạt được

8.7.1.3.10 Đơn vị công việc APE_ECD.1-10

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của

họ đảm bảo mới sử dụng các họ đảm bảo TCVN 8709 hiện tại như là mô hình cho sự trình bày Nếu PP không định nghĩa các họ bảo đảm mới, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác định rằng tất cả các họ bảo đảm mới được định nghĩa nhất quán với TCVN 3: 2011: Điều 6.1.2, Cấu trúc họ đảm bảo

8709-8.7.1.3.11 Đơn vị công việc APE_ECD.1-11

Người đánh cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa củamột lớp đảm bảo mới sử dụng các lớp đảm bảo TCVN 8709 hiện tại như là mô hình cho sự trình bày Nếu PP không định nghĩa các lớp bảo đảm mới, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác định rằng tất cả các lớp đảm bảo mới được định nghĩa nhất quán với TCVN 3: 2011: Điều 6.1.1, Cấu trúc lớp đảm bảo

8709-TCVN 8709-3: 2011 APE_ECD.1.5C: Các thành phần mở rộng cần bao gồm các phần tử mục tiêu và các phần tử đo lường sao cho sự tuân thủ hoặc không tuân thủ theo những phần tử này có thể được chứng minh.

8.7.1.3.12 Đơn vị công việc APE_ECD.1-12

36

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi phần tử trongmỗi thành phần mở rộng là đo được và các yêu cầu đánh giá mục tiêu trạng thái như là tuân thủ hoặckhông tuân thủ có thể được chứng minh

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó đượccoi là thỏa mãn

Người đánh giá xác định rằng các phần tử của các thành phần chức năng mở rộng được thể hiện theocách mà chúng có thể kiểm chứng, và có thể theo dấu thông qua các đại diện TSF thích hợp

Người đánh giá cũng xác định các phần tử của các thành phần đảm bảo mở rộng tránh tạo ra phánxét đánh giá chủ quan

Người đánh giá được nhắc nhở rằng khi đo lường và mục tiêu phù hợp với tất cả các tiêu chí đánhgiá, phải thừa nhận rằng không tồn tại phương pháp chính thức để chứng minh đặc tính đó Do đó,các thành phần chức năng và đảm bảo của TCVN 8709 hiện tại sẽ được sử dụng như một mô hình đểxác định thế nào là tuân thủ với yêu cầu này

8.7.1.4 Hành động APE_ECD.1.2E

8.7.1.4.1 Đơn vị công việc APE_ECD.1-13

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần mởrộng có thể không thể hiện rõ ràng bằng cách sử dụng các thành phần hiện tại

Nếu PP không có yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi làthỏa mãn

Người đánh giá nên có các thành phần từ TCVN 8709-2: 2011 và TCVN 8709-3: 2011, các thànhphần mở rộng khác đã được định nghĩa trong PP, sự kết hợp của các thành phần này và các hoạtđộng có thể trên các thành phần này khi tạo ra quyết định này

Người đánh giá được nhắc nhở rằng vai trò của đơn vị công việc này là để loại trừ sự trùng lặp khôngđược yêu cầu của các thành phần, có nghĩa là, các thành phần có thể được thể hiện rõ ràng bằngcách sử dụng các thành phần khác Người đánh giá không nên thực hiện việc tìm kiếm đầy đủ tất cảcác kết hợp có thể bao gồm các hoạt động trong nỗ lực để tìm một cách thể hiện các thành phần mởrộng bằng cách sử dụng các thành phần hiện tại

8.8 Các yêu cầu an toàn (APE_REQ)

8.8.1 Đánh giá hoạt động con (APE_REQ.1)

TCVN 8709-3: 2011 APE_REQ.1.1C: Tuyên bố về các yêu cầu an toàn cần mô tả các SFR và SAR

8.8.1.3.1 Đơn vị công việc APE_REQ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SFR

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2: 2011;

b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ;

d) Bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

e) Bằng việc tái sử dụng trong PP

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SFR

8.8.1.3.2 Đơn vị công việc APE_REQ.1-2

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SAR

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3: 2011;

b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ;

d) Bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

e) Bằng việc tái sử dụng trong PP

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR

TCVN 8709-3: 2011 APE_REQ.1.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR, cần được xác định

8.8.1.3.3 Đơn vị công việc APE_REQ.1-3

Người đánh giá cần thẩm tra PP để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính

an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR đượcxác định

Người đánh giá xác định rằng PP xác định tất cả:

 (Các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

 (Các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bảnvà/hoặc tài nguyên, các giá trị mà thuộc tính này có thể cần và bất kỳ các sở cứ giữa các giá trịnày (ví dụ như top_secret là "cao hơn” secret);

 (Các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng củacác hoạt động này;

 (Các kiểu của) các thực thể bên ngoài trong SFR;

 Các thuật ngữ khác được giới thiệu trong các SFR và/hoặc SAR bằng cách hoàn thành các thaotác, nếu các thuật ngữ này không rõ ràng ngay, hoặc được sử dụng bên ngoài định nghĩa từ điểncủa chúng

Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gâyhiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng Đơn vị công việc này không nênđưa vào giới hạn, bằng cách buộc người viết PP xác định tất cả các từ đơn nhất Các khán giả chungcủa tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về CNTT, an toàn và "Tiêu chíđánh giá về an toàn CNTT"

Tất cả các vấn đề trên có thể được trình bày trong các nhóm, các lớp, các bên, các kiểu hoặc nhómkhác hoặc đặc trung khác để cho dễ hiểu

38

Người đánh giá được nhắc nhở rằng các danh sách và định nghĩa không phải là một phần của tuyên

bố về các yêu cầu an toàn, nhưng có thể được đặt (một phần hoặc toàn bộ) tại các mục khác nhau.Điều này có thể áp dụng đặc biệt nếu các thuật ngữ tương tự được sử dụng trong phần còn lại của

PP

TCVN 8709-3: 2011 APE_REQ.1.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động trên các yêu cầu an toàn.

8.8.1.3.4 Đơn vị công việc APE_REQ.1-4

Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định tất cả các hoạt động trên cácyêu cầu an toàn

Người đánh giá xác định rằng tất cả các quá trình hoạt động được xác định trong mỗi SFR hoặc SARnơi quá trình hoạt động được sử dụng Điều này bao gồm cả các quá trình hoạt động đã hoàn thành

và còn dở dang Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in, hoặc bằng cáchxác định tường minh trong các văn bản xung quanh, hoặc bằng bất kỳ phương tiện đặc trưng khác

TCVN 8709-3: 2011 APE_REQ.1.4C: Tất cả các hoạt động cần phải thực hiện đúng

8.8.1.3.5 Đơn vị công việc APE_REQ.1-5

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt độngnhiệm vụ đã thực hiện đúng

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong TCVN 8709-1: 2011 Phụ lục 7, Cáchoạt động

8.8.1.3.6 Đơn vị công việc APE_REQ.1-6

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt độnglặp lại đã được thực hiện đúng

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong TCVN 8709-1: 2011 Phụ lục 7, Cáchoạt động

8.8.1.3.7 Đơn vị công việc APE_REQ.1-7

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt độnglựa chọn đã được thực hiện đúng

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong TCVN 8709-1: 2011 Phụ lục 7,Các hoạt động

8.8.1.3.8 Đơn vị công việc APE_REQ.1-8

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động

bổ sung chi tiết đã được thực hiện đúng

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong TCVN 8709-1: 2011 Phụ lục 7,Các hoạt động

TCVN 8709-3: 2011 APE_REQ.1.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc được thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn

8.8.1.3.9 Đơn vị công việc APE_REQ.1-9

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc củacác yêu cầu an toàn cần hoặc được thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụthuộc còn chưa được thỏa mãn

Sự phụ thuộc được thỏa mãn bao gồm các thành phần có liên quan (hoặc một trong số đó là phân cấpcủa nó) trong tuyên bố các yêu cầu an toàn Thành phần được sử dụng để đáp ứng sự phụ thuộc nên,nếu được yêu cầu, được sửa đổi bởi các hoạt động để đảm bảo rằng nó thỏa mãn đúng sự phụ thuộc

đó

Biện minh về việc một sự phụ thuộc không được đáp ứng cần đề cập hoặc:

a) Tại sao sự phụ thuộc là không được yêu cầu hoặc hữu ích, trong trường hợp thông tin khôngđược yêu cầu thêm; hoặc

b) Sự phụ thuộc đã được đề cập bởi môi trường vận hành của TOE, trong trường hợp đó biện minhnên mô tả cách thức các mục tiêu an toàn cho môi trường vận hành đề cập sự phụ thuộc này

TCVN 8709-3: 2011 APE_REQ.1.6C: Tuyên bố về các yêu cầu an toàn cần có tính nhất quán nội bộ

8.8.1.3.10 Đơn vị công việc APE_REQ.1-10

Người đánh giá cần thẩm tra tuyên bố các yêu cầu an toàn để xác định rằng nó có tính nhất quán nội

Một số mâu thuẫn có thể là:

a) SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật, và SAR

mở rộng khác xác định việc thẩm tra mã nguồn mở;

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng danh tính đối tượng để đăng nhập,FDP_ACC.1 Tập con kiểm soát truy cập xác định những người có quyền truy cập vào các bản ghi,

và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên

có thể không quan sát được các đối tượng khác Nếu đối tượng đó không thể quan sát một hoạtđộng có thể truy cập các bản ghi của các hoạt động này, các SFR này mâu thuẫn;

c) FDP_RIP.1 Bảo vệ thông tin còn dư thừa của tập con xác định cụ thể việc xóa các thông tin khôngcòn được yêu cầu, và FDP_ROL.1 Khôi phục cơ bản xác định rằng một TOE có thể trở lại trạngthái trước đó Nếu thông tin đó là được yêu cầu cho việc khôi phục trạng thái trước đó đã bị xóa,các yêu cầu này mâu thuẫn;

d) Nhiều bước lặp của FDP_ACC.1 Kiểm soát truy cập của tập con đặc biệt khi số bước lặp bao gồmcùng các đối tượng, mục tiêu, hoặc hoạt động Nếu một SFR kiểm soát truy cập cho phép đốitượng thực hiện hoạt động trên mục tiêu, trong khi một SFR khác kiểm soát truy cập không chophép, các yêu cầu này mâu thuẫn

8.8.2 Đánh giá hoạt động con (APE_REQ.2)

Bằng chứng đánh giá cho hoạt động con này là:

a) PP

8.8.2.3 Hành động APE_REQ.2.1E

TCVN 8709-3: 2011 APE_REQ.2.1C: Tuyên bố các yêu cầu an toàn cần mô tả các SFR và SAR

8.8.2.3.1 Đơn vị công việc APE_REQ.2-1

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SFR

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2: 2011;

b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu PP tuân thủ;

d) Bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu PPtuân thủ;

e) Bằng việc tái sử dụng trong PP

Không là yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SFR

8.8.2.3.2 Đơn vị công việc APE_REQ.2-2

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SAR

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3: 2011;

b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu PP tuân thủ;

d) Bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu PPtuân thủ;

e) Bằng việc tái sử dụng trong PP

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR

TCVN 8709-3: 2011 APE_REQ.2.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR cần được định nghĩa

8.8.2.3.3 Đơn vị công việc APE_REQ.2-3

Người đánh giá cần thẩm tra PP để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính

an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR đượcđịnh nghĩa

Người đánh giá xác định rằng PP định nghĩa tất cả:

 (Các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

 (Các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bảnvà/hoặc tài nguyên, các giá trị mà thuộc tính này có thể cần và bất kỳ các sở cứ giữa các giá trịnày (ví dụ như top_secret là "cao hơn” secret);

 (Các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng củacác hoạt động này;

 (Các kiểu của) các thực thể bên ngoài trong SFR;