Tiêu chuẩn Đánh giá An toàn Thông tin cho Sản phẩm Quân sự và Thương mại

MỤC LỤC

Chính sách At thương mại, chính sách AT quân sự. Phân tích để chứng tỏ 2 loại này là mô hình dàn AT truy cập

- Tất cả những người có nhu cầu cần biết có thể truy cập đến những nguyên lí, những chuẩn, những quy định hay những cơ chế ATTT và các hệ thống thông tin và cần được thông tin về những đe dọa có thể áp dụng đối với ATTT. Những nguyên lí, những chuẩn, những quy định và những cơ chế đối với ATTT cần phải được phối hợp và tích hợp với nhau và với những chính sách, những thủ tục của tổ chức để tạo ra và duy trì AT trong toàn hệ thống thông tin. Kế toán hoạt động: Quản lí cần giữ cho tất cả các bên được kế toán hoạt động đối với truy cập và sử dụng của họ đối với thông tin như trên, sửa đổi, sao chép và xóa và hỗ trợ những nguồn tài nguyên CNTT.

- Đánh dấu sự thống nhất đầu tiên trên thế giới về các tiêu chí ĐG ATTT cho cả SP quân sự và thương mại giúp có thể công nhận lẫn nhau về kết quả ĐG mức độ AT của một SP hay một hệ thống AT CNTT. - Chính vì vậy PP thường do những người có chuyên môn, hiểu sâu về ATTT cũng như ĐG ATTT viết, họ tập hợp các mối đe dọa của môi trường sử dụng, những điểm yếu cũng như các chính sách của tổ chức sử dụng sau đó phân tích, lựa chọn và xây dựng nên những yêu cầu AT cho mỗi chủng loại SP. Dựa vào tài liệu về các mục tiêu an toàn và các yêu cầu an toàn của CC để thiết lập tài liệu về các yêu cầu an toàn; gồm có các yêu cầu về chức năng, các yêu cầu về đảm bảo, các yêu cầu đối với môi trường.

Sơ đồ chứng nhận đánh giá
Sơ đồ chứng nhận đánh giá

Khái niệm về các yêu cầu chức năng SFR

Thiết lập tài liệu về môi trường an toàn bằng cách dựa vào các môi trường vật lý của TOE, tài sản cần bảo vệ, mục đích của TOE. Từ đó đánh giá các mối hiểm họa, đưa ra các giả định, các chính sách an toàn của tổ chức để thiết lập tài liệu về các mục tiêu an toàn. Hệ thống tiêu chí chung CC tổ chức những yêu cầu chức năng an toàn SFR trong một cấu trúc phân cấp của lớp, họ, thành phần và phần tử chức năng an toàn.

Yêu cầu chức năng SFR xác định 11 lớp chức năng an toàn và các lớp này đứng bình đẳng cạnh nhau, không có quan hệ phân cấp giữa chúng với nhau. Lớp là sự nhóm họp của những yêu cầu an toàn chia sẻ cùng một mục tiêu chung.

Lớp chức năng kiểm toán an toàn FAU

• Liên kết danh tính người sử dụng ( FAU_GEN.2.) : các chức năng an toàn của TOE sẽ liên kết các sự kiện kiểm toán với định danh của mỗi cá nhân gây ra sự kiện đó nhằm mục đích quy kết trách nhiệm sau này. • Phân tích vi phạm tiềm năng ( FAU_SAA.1) : phát hiện ngưỡng cơ bản dựa trên tập quy tắc cố định để phân tích xem liệu sự kiện nào đó có an toàn hay ko. • Thử nghiệm kinh nghiệm đối với tấn công phức tạp ( FAU_SAA.4) : thử nghiệm và tìm ra những kịch bản xâm nhập nhiều bước rồi so sánh với những sự kiện hệ thống rồi tìm ra những tổn thương tiềm năng dựa / những dấu hiệu đặc trưng.

Họ lựa chọn sự kiện kiểm toán an toàn: Chức năng của nó là xác định khả năng lựa chọn xem những sự kiện nào mà đích đánh giá cần kiểm toán. : cho phép chứa hoặc loại bỏ các sự kiện kiểm toán từ tập dữ liệu kiểm toán do thành phần sinh dữ liệu kiểm toán thu đc dựa / các thuộc tính mà người viết đưa ra. • Ngăn ngừa mất dữ liệu kiểm toán ( FAU_STG.4.) : chỉ ra những hành động phải thực hiện khi vết kiểm toán đã đầy trong CSDL để tránh mất mát.

Lớp chức năng liên lạc FCO

- định nghĩa các y/c để ngăn chặn 1 ng dùng thiết lập phiên với đích đánh giá TOE dựa trên các thuộc tính như vị trí,cổng truy nhập, thuộc tính an toàn của người dùng (định danh, mức độ toàn vẹn, mối quan hệ với tập luật), khoảng thời gian hay các tham số.  Giúp cho nhà tài trợ và nhà phát triển biết được quá trình đánh giá được thực hiện như thế nào, có phù hợp hay không, đặc biệt đối với nhà phỏt triển họ cú thể hiểu rừ thờm về sản phẩm do mình tạo nên và có thể rút kinh nghiệm cho những lần sau.  Báo cáo kĩ thuật còn là một tài liệu đóng vai trò chủ chốt trong việc quyết định có chấp nhận kết quả đánh giá hay không để đưa ra chứng nhận mức độ an toàn cho sản phẩm của nhà thẩm quyền đánh giá quốc gia (hay là người xác nhận hợp lệ).

 Về mặt cấu trúc CEM và CC có sự tương ứng phân cấp từ trên cao xuống như sau: hoạt động sẽ tương ứng với lớp đảm bảo an toàn, tiểu hoạt động sẽ tương ứng với thành phần đảm bảo an toàn của lớp đảm bảo an toàn, hành động sẽ tương ứng với phần tử hành động của người ĐG và đơn vị công việc sẽ tương ứng với phần tử hành động của nhà phát triển hoặc phần tử của nội dung và biểu diễn bằng chứng. Nhà phát triển có trách nhiệm cung cấp hỗ trợ đối với người đánh giá trên cơ sở được yêu cầu, thực hiện những phần tử hành động của nhà phát triển được đặc tả bởi mức đảm bảo ĐG EAL trong hồ sơ bảo vệ PP và duy trì nội dung gắn kết và sự thể hiện của bằng chứng. • Mít tinh sau khi xác nhận hợp lệ được tổ chức (NIAP/CCT L). • CCTL đệ trình EETR đến nhà thẩm quyền đánh giá quốc gia để thẩm định và thông qua. • Nhà thẩm quyền đánh giá quốc gia thẩm định AMP và tài liệu liên quan như là một phần của khởi đầu đánh giá. • TOE được chính thức chấp thuận vào chương trình duy trì chứng nhận trước khi cấp phát chứng nhận CC khởi đầu. • Cho tiểu pha giám sát:. • Nhà tài trợ đệ trình những thay đổi được đề nghị đến nhà thẩm quyền đánh giá quốc gia. • Nhà thẩm quyền đánh giá quốc gia xác minh rằng những thay đổi là chỉ trong phạm vi; cho thông qua để. • Nhà tài trợ chon CCTL để tiến hành các hoạt động liên quan đến CMP. • Nhà phát triển tiến hành các hoạt động duy trì đảm bảo;. CCTL thì đánh giá. • CCTL tiến hành các chuyến xuống cơ sở, kiểm toán, thẩm định bằng cứ AM. • CCTL báo cáo các kết quả đánh giá cho nhà thẩm quyền đánh giá quốc gia. • Nhà thẩm quyền đánh giá quốc gia thẩm định và xác minh hợp lệ CMR; cấp phát chứng nhận CC mới. • Cho tiểu pha đánh giá lại:. việc đánh giá. quan sát OR. cáo xác nhận • Cho tiểu pha chấp thuận:. • Bảng đánh giá gói công việc. • Kế hoạch thẩm định hợp lệ. • Bản ghi nhớ để ghi nhận. • Thỏa thuận chấp thuận đánh giá. • Thông qua để đưa vào danh sách các đánh giá đang tiến hành. • Các báo cáo tóm tắt hàng tháng. • Bảng đánh giá gói công việc. • Các bản ghi gói công việc đánh giá. • Báo cáo kỹ thuật đánh giá. • Nội dung báo tóm tắt hàng tháng là như sau:. • Những việc đã hoàn thành. • Những quan tâm/vấn đề kỹ thuật. • Những quan tâm/vấn đề quản lý. • Lịch trình của dự án. • Thực trạng dự án so với lịch trình. • Kế hoạch thẩm định hợp lệ. • Những bản ghi được sinh. • Báo cáo xác nhận hợp lệ VR cuối cùng. • Có mục ghi tên trong danh sách sản phẩm chứng nhận EPL. • Báo cáo các bài học học được. • Báo cáo phân loại thành phần TOE. • Cho tiểu pha giám sát:. • Bằng cứ đánh giá. • Những đề xuất cải tiến. • Thời gian thẩm định hợp lệ. a) Pha thứ nhất là pha định nghĩa tương ứng với pha chuẩn bị của CCEVS gồm 3 tiểu pha là: chuẩn bị, đánh giá, thỏa thuận. b) Pha thứ hai là pha thẩm định và bao gồm hai tiểu pha là: Phát triển và tích hợp hệ thống và khởi đầu phân tích chứng nhận.

Pha thẩm định NIACAP xếp cùng hàng với nửa đầu của pha tiến hành CC/CEM (đánh giá ST). SSAA được cập nhật và tài liệu quản lý vòng đời và kỹ thuật được soạn ra bởi người quản lý chương trình và được thẩm định bởi người chứng nhận. c) Pha thứ ba là xác minh hợp lệ bao gồm ba tiểu pha là: Đánh giá hệ thống tích hợp, phát triển đề xuất đối với DAA và ra quyết định tín nhiệm. Pha xác minh hợp lệ NIACAP xếp ngang với nửa cuối của pha tiến hành CC/CEM (đánh giá ST) và pha kết luận CC/CEM. Trong pha này các nhân tố gia tăng không được đánh giá bởi CC/CEM được đánh giá bởi. Một thẩm định quản lý rủi ro tổng thể cũng được tổ chức. d) Pha thứ tư là pha hậu tín nhiệm tương ứng với pha duy trì đảm bảo.

Sơ đồ quan hệ lớp – họ - thành phần
Sơ đồ quan hệ lớp – họ - thành phần