THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CNTT - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ BẢO VỆ VÀ ĐÍCH AN TOÀN

Yêu cầu về tổ chức MỤC LỤC BỘ THÔNG TIN VÀ TRUYỀN THÔNG __________________ THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN- CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ

MỤC LỤC

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam

2 Đặt vấn đề

3 Nội dung tiêu chuẩn kỹ thuật

4 Bảng đối chiếu tiêu chuẩn viện dẫn

5 Kết luận

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam

Tên dự thảo tiêu chuẩn quốc gia : “CÔNG NGHỆ THÔNG TINCÁCKỸTHUẬT AN TOÀN – HƯỚNG DẪN QUẢN VỤ TÀI CHÍNH”

Mã số: TCVN ISO/IEC xxx:2014

2 Đặt vấn đề

…

3 Nội dung tiêu chuẩn kỹ thuật

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ và định nghĩa

4 Nguyên tắc

5 Yêu cầu chung

6 Yêu cầu về tổ chức

MỤC LỤC

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN- CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ BẢO VỆ VÀ ĐÍCH AN

TOÀN

Information technology - Security techniques – Guide for the

production of Protection Profiles and Security Targets

HÀ NỘI, 2014

Mục lục

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam 3

2 Tổng quan về giá an toàn thông tin và tạo các tập hồ sơ bảo vệ và đích an toàn 3

2.1 Khái niệm về an toàn thông tin 3

2.2 Khái niệm về đảm bảo an toàn thông tin 3

2.3 Những đặc tính cơ bản của thông tin cần được đảm bảo 4

2.4 Khái niệm về đánh giá an toàn thông tin 5

2.5 Khái niệm về TOE 5

2.6 Khái niệm PP và ST 6

2.7 Tình hình tiêu chuẩn hoá 7

2.6.1 Tình hình tiêu chuẩn trong nước 7

2.6.2 Tình hình tiêu chuẩn ngoài nước 8

3 Giới thiệu về tài liệu viện dẫn 8

3.1 Tiêu chuẩn ISO/IEC 18045: 2008 Error! Bookmark not defined. 3.2 Các phần của bộ tiêu chuẩn ISO/IEC 15408 9

4 Lý do và mục đích xây dựng tiêu chuẩn 10

4.1 Lý do xây dựng tiêu chuẩn 10

4.2 Mục đích xây dựng tiêu chuẩn 11

5 Sở cứ xây dựng tiêu chuẩn 12

6 Phương pháp xây dựng tiêu chuẩn 12

7 Nội dung và cấu trúc dự thảo tiêu chuẩn 12

7.1 Nội dung 12

7.2 Cấu trúc dự thảo 13

8 Bảng đối chiếu tiêu chuẩn viện dẫn 13

9 Kết luận 15

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam

Tên dự thảo tiêu chuẩn quốc gia :

“CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TẠO CÁC TẬP HỒ SƠ BẢO VỆ VÀ ĐÍCH AN TOÀN”

Mã số: TCVN ISO/IEC xxxx:xxxx

2 Tổng quan về giá an toàn thông tin và tạo các tập hồ sơ bảo vệ và đích an toàn

2.1 Khái niệm về an toàn thông tin

Thông tin được lưu trữ bởi các sản phẩm và hệ thống Công nghệ thông tin (CNTT) là một tài nguyên quan trọng cho sự thành công của tổ chức đó, là tài sản của một cá nhân hay tổ chức Các thông tin cá nhân lưu trữ trong hệ thống thông tin cần được giữ bí mật, bảo vệ và không bị thay đổi khi không được phép Trong khi các sản phẩm và hệ thống CNTT thực hiện các chức năng của chúng, các thông tin cần được kiểm soát để đảm bảo chúng được bảo vệ chống lại các nguy cơ, ví dụ như việc phổ biến và thay đổi thông tin không mong muốn và trái phép, nguy cơ mất mát thông tin

An toàn thông tin: là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ tầng

thông tin, trong đó bao gồm an toàn phần cứng và phần mềm theo các tiêu chuẩn

kỹ thuật do nhà nước ban hành; duy trì các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng (theo định nghĩa trong Nghị định 64-2007/NĐ-CP)

Thuật ngữ an toàn CNTT thường sử dụng để chỉ việc ngăn chặn và làm giảm

nhẹ các mối nguy hại tương tự đối với các sản phẩm và hệ thống CNTT

2.2 Khái niệm về đảm bảo an toàn thông tin

Mục tiêu hướng tới của người dùng là bảo vệ các tài sản nói trên Tuy nhiên, các sản phẩm và hệ thống thường luôn tồn tại những điểm yếu dẫn đến những rủi

ro có thể xảy ra, làm tổn hại đến giá trị tài sản thông tin Các đối tượng tấn công (tin tặc) có chủ tâm đánh cắp, lợi dụng hoặc phá hoại tài sản của các chủ sở hữu, tìm cách khai thác các điểm yếu để tấn công, tạo ra các nguy cơ và các rủi ro cho các hệ thống

Với các biện pháp an toàn thông tin, người dùng có được công cụ trong tay để xác định và giảm thiểu các điểm yếu, ngăn chặn các nguy cơ tấn công, làm giảm các yếu tố rủi ro Như vậy, các biện pháp và kỹ thuật đảm bảo an toàn thông tin chính là mang lại sự tin cậy cho các sản phẩm và hệ thống

Đảm bảo an toàn thông tin: là đảm bảo an toàn kỹ thuật cho hoạt động của

các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng

và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành

vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử

lý và truyền tải trên mạng

Như vậy khái niệm đảm bảo an toàn thông tin bao hàm đảm bảo an toàn cho cả phần cứng và phần mềm An toàn phần cứng là bảo đảm hoạt động cho cơ sở hạ tầng thông tin An toàn phần mềm gồm các hoạt động quản lý, kỹ thuật nhằm bảo

vệ hệ thống thông tin, đảm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy An toàn công nghệ thông tin là đảm bảo an toàn kỹ thuật cho các sản phẩm, dịch vụ và hệ thống công nghệ thông tin

2.3 Những đặc tính cơ bản của thông tin cần được đảm bảo

An toàn thông tin yêu cầu nhằm đảm bảo 3 đặc điểm quan trọng nhất của thông tin, đó là: tính bí mật, tính toàn vẹn và tính sẵn sàng Các đặc điểm này bao trùm toàn bộ phạm trù an toàn các hệ thông thông tin Các đặc điểm này cũng đúng với mọi tổ chức, không lệ thuộc vào việc chúng chia sẻ thông tin như thế nào

Tính bí mật

Tính bí mật là tâm điểm chính của mọi giải pháp an toàn cho một sản phẩm/hệ thống CNTT Một giải pháp an toàn là tập hợp các quy tắc xác định quyền được truy cập đến với thông tin đang tìm kiếm, đối với một số lượng người sử dụng thông tin nhất định và một số lượng thông tin là tài sản nhất định Trong trường hợp kiểm soát truy cập cục bộ, nhóm người truy cập sẽ được kiểm soát xem là họ

đã truy cập những số liệu nào Tính bí mật là sự đảm bảo rằng các chức năng kiểm soát truy cập có hiệu lực

Đảm bảo tính bí mật là nhằm loại bỏ những sự truy cập không đựợc phép vào các khu vực là độc quyền của các cá nhân, tổ chức

Tính toàn vẹn

Tính toàn vẹn, không bị sửa đổi là đặc tính phức hợp nhất và dễ bị hiểu lầm của thông tin Một định nghĩa khái quát hơn được sử dung ở trong tài liệu này là vấn đề cấp độ là chất lượng của số liệu (thông tin), chứ không phải là con người được/ hoặc không được phép truy cập Đặc tính toàn vẹn được hiểu là chất lượng của thông tin được xác định căn cứ vào độ xác thực khi phản ánh thực tế Số liệu càng gần với thực tế bao nhiêu thì chất lượng thông tin càng chuẩn bấy nhiêu

Để đảm bảo tính toàn vẹn của thông tin là môt loạt các các biện pháp đồng bộ nhằm hỗ trợ và đảm bảo tính thời sự kịp thời và sự đầy đủ trọn vẹn, cũng như sự bảo mật hợp lý cho thông tin

Tính sẵn sàng

Tính sẵn sàng của thông tin cũng là một đặc tính quan trọng, không khác gì các đặc tính đã đề cập đến ở Đó là khía cạnh sống còn của an toàn thông tin, đảm bảo cho thông tin đến đúng địa chỉ (người được phép sử dụng) khi có nhu cầu, hoặc được yêu cầu

Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy của thông tin, cũng như đảm nhiệm chức năng là thước đo, xác định phạm vi tới hạn của an toàn một hệ thống thông tin

2.4 Khái niệm về đánh giá an toàn thông tin

Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống

Mặt khác, nhiều người tiêu dùng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT

có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển Bởi vậy, người tiêu dùng có thể nâng cao tin cậy trong các biện pháp an toàn của một sản phẩm hoặc hệ thống CNTT bằng cách đặt hàng phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn

2.5 Khái niệm về TOE

Một TOE (target of evaluation - đích đánh giá) được định nghĩa là một tập

phần mềm, phần sụn và/hoặc phần cứng có thể kèm theo hướng dẫn

TOE có thể là một sản phẩm CNTT, một phần của một sản phẩm CNTT, một tập các sản phẩm CNTT, hoặc một tổ hợp của các thành phần trên

Dó đó, có thể hiểu TOE chính là sản phẩm CNTT hoặc hệ thống CNTT TOE

có thể đạt được hoặc không đạt được các yêu cầu an toàn cần thiết được mà ST (xem thêm 2.6) đưa ra đối với nó

Liên quan đến bộ tiêu chuẩn TCVN 8709, quan hệ chính xác giữa TOE và bất

kỳ sản phẩm CNTT nào chỉ quan trọng ở một khía cạnh: đánh giá cho một TOE chỉ chứa một phần sản phẩm CNTT cần không thể hiện sai là đánh giá cho toàn bộ sản phẩm CNTT đó

Ví dụ về các TOE là:

- Một ứng dụng phần mềm;

- Một hệ điều hành;

- Một ứng dụng phần mềm kết hợp với một hệ điều hành;

- Một ứng dụng phần mềm kết hợp với một hệ điều hành và một trạm làm việc;

- Một hệ điều hành kết hợp với một trạm làm việc;

- Một mạch tổ hợp thẻ thông minh;

- Một bộ đồng xử lý mật mã của một mạch tổ hợp thẻ thông minh;

- Một mạng cục bộ bao gồm tất cả các đấu nối, máy chủ, thiết bị mạng và phần mềm;

- Một ứng dụng cơ sở dữ liệu ngoại trừ phần mềm máy khách từ xa thường kết hợp với ứng dụng cơ sở dữ liệu

2.6 Khái niệm PP và ST

PP (Protection Profiles - Hồ sơ bảo vệ): PP về bản chất là một tài liệu xác

định các yêu cầu an toàn của khách hàng chính thức theo cách tiêu chuẩn hóa Một

PP là mô tả về một kiểu TOE (ví dụ các tường lửa) Do đó, PP có thể sử dụng làm bản mẫu cho nhiều ST khác để sử dụng trong các phép đánh giá khác nhau

PP thường được phát triển bởi:

- Cộng đồng người dùng

- Một nhà phát triển TOE

- Chính phủ, tập đoàn

ST (Security Target - Đích an toàn): là một tập dữ liệu chứa các yêu cầu an

toàn cho một TOE tương ứng Ngoài ra ST còn chứa đặc tả về các biện pháp cần thiết cho an toàn về chức năng và biện pháp đảm bảo cho TOE để thỏa mãn các yêu cầu an toàn đã đặt ra Đồng thời ST là cơ sở để đánh giá TOE

Như vậy, PP giải thích "cái gì" cần được an toàn thì ST giải thích "làm thế nào" ST chi tiết hơn và có thể đặc tả nhiều hơn so với PP

2.7 Tình hình tiêu chuẩn hoá

2.6.1 Tình hình tiêu chuẩn trong nước

Tiêu chuẩn đã được ban hành

Đảm bảo an toàn an toàn thông tin là một nhu cầu thiết thực để thúc đẩy và phát triển Công nghệ Thông tin (CNTT) Tiêu chuẩn về an toàn thông tin cho các thiết bị và hệ thống trong lĩnh vực công nghệ thông tin vẫn còn thiếu nhiều Tổ chức ISO thế giới có trên 100 chuẩn về an toàn thông tin, trong khi số tiêu chuẩn của Việt Nam ban hành còn rất ít Việc thiếu các tiêu chuẩn này dẫn đến việc người sử dụng, nhà phát triển và các tổ chức kiểm định không có cơ sở để thực hiện đánh giá về độ an toàn của sản phẩm và hệ thống công nghệ thông tin Trước tình hình này, việc xây dựng các tiêu chí thống nhất để đánh giá an toàn cho các sản phẩm và hệ thống công nghệ thông tin là rất cần thiết

Hiện nay, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ Việt Nam công bố ban hành 03 tiêu chuẩn về an toàn thông tin TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, TCVN ISO/IEC 27005:2014 dựa trên ba tiêu chuẩn quốc tế tương ứng là ISO/IEC 27001:2005 và ISO/IEC 27002:2005, ISO/IEC 27005:2011 nằm trong hệ thống tiêu chuẩn quốc

tế ISO/IEC 27xxx

Ngoài ra, Việt Nam cũng đã ban hành 03 tiêu chuẩn về đánh giá an toàn thông tin là TCVN 8709 -1:2011, TCVN 8709 -2:2011, TCVN 8709 -3:2011dựa theo tiêu chuẩn ISO/IEC 15408-1, ISO/IEC 15408-2, ISO/IEC 15408-3

Tiêu chuẩn đang chờ được ban hành

Tính đến nay, Bộ Thông tin và Truyền thông đã tiến hành nghiệm thu các dự thảo tiêu chuẩn về quản lý an toàn thông tin, như: TCVN ISO/IEC 27000:2013; TCVN ISO/IEC 27005; TCVN ISO/IEC 27003; TCVN 27004; TCVN 27010;

TCVN 27033-2; TCVN 27033-3; TCVN 27035 Hiện các dự thảo tiêu chuẩn trên đang chờ Bộ Khoa học và Công nghệ thâm định và ban hành trong thời gian tới

Các tiêu chuẩn đang xây dựng

Nhận thức rõ được tầm quan trong của việc xây dựng và hoàn thiện dần hệ thống tiêu chuẩn về quản an toàn thông tin, năm 2014 Bộ Thông tin và Truyền thông giao cho các đơn vị thuộc bộ tiếp tục hiện xây dựng 31 tiêu chuẩn

2.6.2 Tình hình tiêu chuẩn ngoài nước

Tình hình an toàn thông tin trên thế giới diễn biến ngày càng phức tạp, xuất hiện ngày càng nhiều lỗ hổng và mối đe doạ mới rất tinh vi và khó lường

Cho tới nay, trên thế giới đã công bố được 26 tiêu chuẩn về an toàn thông tin thuộc bộ tiêu chuẩn ISO/IEC 27000, bao gồm: ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27006, ISO/IEC

27007, ISO/IEC TR 27008, ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27013, ISO/IEC 27014, ISO/IEC TR 27015, ISO/IEC TR 27016, ISO/IEC 27018, ISO/IEC TR 27019, ISO/IEC 270, ISO/IEC 27031, ISO/IEC 27032, ISO/IEC

27033 (1-5), ISO/IEC 27034-1, ISO/IEC 27035, ISO/IEC 27036-1-2-3, ISO/IEC

27037, ISO/IEC 27038, ISO/IEC 27799

Các tiêu chuẩn quốc tế chuẩn bị được ban hành như các tiêu chuẩn về bảo vệ

an toàn thông tin , dữ liệu trên hệ thống đám mây (ISO/IEC 27018, ISO/IEC 27019), an toàn về lưu trữ (ISO/IEC 27040), hệ thống phát hiện và ngăn chặn xâm nhập (ISO/IEC 27039), điều tra, phân tich, thu thập bằng chứng số (ISO/IEC

27041, 27042, 27043)

Xét về tiêu chuẩn ISO/IEC TR 15446:2009 ta thấy, nó rất thiết thực cho việc tạo các tập hồ sơ bảo vệ và đích an toàn Do vậy, nhiều quốc gia trên thế giới đã xây dựng thành tiêu chuẩn quốc gia, như Đan Mạch (DS/ISO/IEC TR 15446:2009), Hà Lan (NPR-ISO/IEC TR 15446:2009), Anh (BS PD ISO/IEC TR 15446:2009), Serbia (SRPS EN 15446:2009),

3 Giới thiệu về tài liệu viện dẫn

Các tài liệu viện dẫn trong tiêu chuẩn này gồm có:

TCVN 8709-1:2011, Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá về an toàn Công nghệ thông tin - Phần 1: Giới thiệu và mô hình tổng quát

TCVN 8709-2:2011, Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá về an toàn Công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn TCVN 8709-3:2011, Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chuẩn đánh giá về an toàn Công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn Các tiêu chuẩn trên được gọi chung là một bộ tiêu chuẩn TCVN 8709:2011 Các thông tin sau sẽ giúp hiểu rõ hơn về bộ tiêu chuẩn này

Bộ tiêu chuẩn ISO/IEC 15408 được xuất bản bởi các tổ chức tài trợ dự án về các tiêu chuẩn chung dưới tiêu đề “Các tiêu chí chung cho đánh giá an toàn CNTT” Phiên bản thứ nhất của tiêu chuẩn ISO/IEC 15408 được biên soạn năm

1999 có tên là ISO/IEC 15408: 1999 Phiên bản thứ hai ISO/IEC 15408:2005 được biên soạn năm 2005, có sửa đổi nhiều về mặt nội dung kỹ thuật và thay thế hoàn toàn phiên bản thứ nhất Cuối năm 2008 và cuối năm 2009, ISO/IEC đã rà soát lại các phần của bộ tiêu chuẩn này và lần lượt ban hành các phần của bộ tiêu chuẩn quốc tế ISO/IEC 15408, phiên bản thứ 3 thay thế cho phiên bản thứ 2 ban hành năm 2005 So với phiên bản 2005, phiên bản thứ 3 đã có thay đổi nhiều về cấu trúc

và nội dung

Bộ tiêu chuẩn TCVN 8709:2011 được xây dựng dựa trên cơ sở chấp nhận nguyên vẹn bộ tiêu chuẩn ISO/IEC 15408 và một số bổ sung nhỏ Bộ tiêu chuẩn này cho phép thực hiện so sánh các kết quả đánh giá an toàn độc lập Tiêu chuẩn cung cấp một tập các yêu cầu đối với đảm bảo an toàn của các sản phẩm và hệ thống CNTT, và về các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn Tiêu chuẩn cung cấp các tiêu chí tổng quát để đánh giá an toàn cho các sản phẩm và hệ thống CNTT Các kết quả đánh giá có thể giúp người dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn chưa khi đưa vào sử dụng, và các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không Việt Nam đã xây dựng ban hành thành ba tiêu chuẩn tương ứng như đã giới thiệu ở trên là:

- Phần 1 (TCVN 8709-1:2011)

- Phần 2 (TCVN 8709-2:2011)

- Phần 3 (TCVN 8709-3:2011)

Dựa trên các phần của bộ tiêu chuẩn ISO/IEC 15408, gồm:

- Phần 1 (ISO/IEC 15408–1)

- Phần 2 (ISO/IEC 15408-2)

- Phần 3 (ISO/IEC 15408-3)

Phần 1 (TCVN 8709-1:2011) là phần giới thiệu và trình bày về mô hình tổng quát Trong phần này có định nghĩa các khái niệm và nguyên tắc chung cho đánh giá an toàn CNTT, trình bày một mô hình tổng quát cho đánh giá, các cấu trúc biểu thị các mục tiêu an toàn CNTT, các cấu trúc lựa chọn và xác định các yêu cầu

an toàn CNTT Nội dung phần 1 đưa ra các thông tin cơ sở và mô hình tham chiếu khi đánh giá; hướng dẫn lập các đặc tả mức cao cho các sản phẩm và hệ thống; cấu trúc các hồ sơ bảo vệ và các tập đích an toàn, xây dựng các yêu cầu và các đặc tính

an toàn cho các sản phẩm và hệ thống CNTT

Phần 3 (TCVN 8709-2:2011) hướng dẫn lập báo cáo các yêu cầu đảm bảo an toàn cho các sản phẩm và hệ thống CNTT Các yêu cầu đảm bảo an toàn được chuẩn hóa chung cho các sản phẩm và hệ thống CNTT và được biểu diễn trong một tập hợp các thành phần đảm bảo, các họ và các lớp Phần 2 được dùng làm tham chiếu cho các tiêu chí đánh giá bắt buộc trong báo cáo về yêu cầu đảm bảo an toàn, để xác định xem một sản phẩm hay hệ thống CNTT có thỏa mãn các tiêu chí đánh giá đã nêu, các đảm bảo an toàn đã yêu cầu hay không

Phần 3 (TCVN 8709-3:2011) hướng dẫn lập báo cáo cấp độ các yêu cầu đảm bảo an toàn cho các sản phẩm và hệ thống CNTT Các tiêu chí đảm bảo an toàn được chuẩn hóa chung cho các sản phẩm và hệ thống CNTT và được biểu diễn dưới dạng một tập hợp các thành phần, các họ và các lớp trong một hồ sơ bảo vệ hoặc một tập đích an toàn Phần 3 được dùng làm tham chiếu cho các tiêu chí đánh giá bắt buộc trong báo cáo về yêu cầu đảm bảo an toàn, để đánh giá cho các hồ sơ bảo vệ và các tập đích an toàn, xác định cấp độ đảm bảo an toàn cho một sản phẩm hay hệ thống CNTT trên cơ sở mức độ thỏa mãn các tiêu chí đánh giá đã nêu

4 Lý do và mục đích xây dựng tiêu chuẩn

4.1 Lý do xây dựng tiêu chuẩn

Hiện tại Việt Nam chưa có một tiêu chuẩn nào về Hướng dẫn tạo các tập hồ sơ bảo vệ và đích an toàn cho các sản phẩm và hệ thống công nghệ thông tin Tiêu chuẩn này sẽ giúp các cá nhân, cơ quan chính phủ, các tổ chức, doanh nghiệp, có thể dựa vào đó tạo các tập hồ sơ bảo vệ và đích an toàn cho các sản phẩm công nghệ thông tin Nó cũng là một hướng dẫn giúp cho các tổ chức, doanh nghiệp