Ngày nay Công nghệ thông tin đã chiếm vịtrí không thểthay thế được trong
cuộc sống của chúng ta. Công nghệthông tin được ứng dụng trong tất cảcác
lĩnh vực như: Quản lý hành chính, Tài chính ngân hàng, Truyền thông, Xây
dựng, Điều khiển tự động, Nghiên cứu khoa học
Điều gì sẽxẩy ra khi dữliệu của một hệthống ngân hàng bịxâm nhập trái phép
thành công? Hay những thông tin nhạy cảm vềchính trịbịbại lộ? Hay kếhoạch
làm ăn của công ty bạn bị đối thủcạnh tranh nắm được? Trang Wed thương mại
bịxâm nhập thay đổi nội dung? Thật khó mà lường trước được hậu quảkhi hệ
thống máy tính của bạn không được bảo vệan toàn.
An toàn công nghệthông tin trởthành một vấn đềcấp bách, đặc biệt là đối với
thực trạng ngành CNTT hiện nay của Việt Nam. Khi người sửdụng sản phẩm
CNTT ứng dụng vào công việc thì ngoài việc những phương tiện đó cần đảm
bảo những chức năng của mình, chúng còn được yêu cầu đảm bảo vềan toàn
thông tin.
Vậy điều gì đảm bảo sản phẩm CNTT mà bạn đang sửdụng thật sựan toàn?
Muốn biết sản phẩm đó có đạt độan toàn nhưbạn mong muốn hay không thì
chúng ta cần đánh giá chúng. Công nghệ ngày nay không cho phép một sản
phẩm CNTT sau khi đưa ra sửdụng thực tếrồi mới đánh giá. Chúng cần được
đánh giá ngay từkhâu thiết kếsản phẩm, sản xuất và đưa ra cách sửdụng.
Đánh giá an toàn CNTT ởViệt Nam là một lĩnh vực hoàn toàn mới mẻnhưng
rất cần thiết. Chúng ta không thểmãi sửdụng sản phẩm mà đã được một tổchức
khác đánh giá. Cơsởhạtầng chúng ta vềvật chất cũng nhưnhân lực chưa cho
phép chúng ta tự đánh giá, thì ít nhất chúng ta cũng cốgắng đểbiết các tổchức
khác đánh giá an toàn CNTT nhưthếnào.
55 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 1964 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đánh giá an toàn công nghệ thông tin hồ sơ bảo vệ, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
0
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
ĐỀ TÀI NGHIÊN CỨU KHOA HỌC
ĐÁNH GIÁ AN TOÀN CÔNG NGHỆ THÔNG TIN
HỒ SƠ BẢO VỆ
(Protection profiles)
GV hướng dẫn: Th.s Trần Quang Kỳ
SV Thực hiện : Nguyễn Xuân Phương
Hà Nội 4/2007
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
1
LỜI MỞ ĐẦU
Ngày nay Công nghệ thông tin đã chiếm vị trí không thể thay thế được trong
cuộc sống của chúng ta. Công nghệ thông tin được ứng dụng trong tất cả các
lĩnh vực như: Quản lý hành chính, Tài chính ngân hàng, Truyền thông, Xây
dựng, Điều khiển tự động, Nghiên cứu khoa học…
Điều gì sẽ xẩy ra khi dữ liệu của một hệ thống ngân hàng bị xâm nhập trái phép
thành công? Hay những thông tin nhạy cảm về chính trị bị bại lộ? Hay kế hoạch
làm ăn của công ty bạn bị đối thủ cạnh tranh nắm được? Trang Wed thương mại
bị xâm nhập thay đổi nội dung?…Thật khó mà lường trước được hậu quả khi hệ
thống máy tính của bạn không được bảo vệ an toàn.
An toàn công nghệ thông tin trở thành một vấn đề cấp bách, đặc biệt là đối với
thực trạng ngành CNTT hiện nay của Việt Nam. Khi người sử dụng sản phẩm
CNTT ứng dụng vào công việc thì ngoài việc những phương tiện đó cần đảm
bảo những chức năng của mình, chúng còn được yêu cầu đảm bảo về an toàn
thông tin.
Vậy điều gì đảm bảo sản phẩm CNTT mà bạn đang sử dụng thật sự an toàn?
Muốn biết sản phẩm đó có đạt độ an toàn như bạn mong muốn hay không thì
chúng ta cần đánh giá chúng. Công nghệ ngày nay không cho phép một sản
phẩm CNTT sau khi đưa ra sử dụng thực tế rồi mới đánh giá. Chúng cần được
đánh giá ngay từ khâu thiết kế sản phẩm, sản xuất và đưa ra cách sử dụng.
Đánh giá an toàn CNTT ở Việt Nam là một lĩnh vực hoàn toàn mới mẻ nhưng
rất cần thiết. Chúng ta không thể mãi sử dụng sản phẩm mà đã được một tổ chức
khác đánh giá. Cơ sở hạ tầng chúng ta về vật chất cũng như nhân lực chưa cho
phép chúng ta tự đánh giá, thì ít nhất chúng ta cũng cố gắng để biết các tổ chức
khác đánh giá an toàn CNTT như thế nào.
Lĩnh vực đánh giá An toàn công nghệ thông tin (ATCNTT) là một lĩnh vực rộng
lớn mà một người hay một nhóm người có thể bao quát được. Vì vậy trong đề
tài này tôi chỉ có thể đề cập đến một số vấn đề trong đánh giá ATCNTT. Cụ thể
đó là đề cập đến vấn đề Hồ sơ bảo vệ của tiêu chí chung.
Vì đây là lĩnh vực hoàn toàn mới mẻ, có ít tài liệu để tham khảo, kiến thức và
kinh nghiệm nghiên cứu còn non kém nên không thể tránh được sai sót. Rất
mong được quý thầy cô và các bạn đọc đóng góp ý kiến để đề tài được hoàn
thiện hơn.
LỜI CẢM ƠN
Chúng tôi xin chân thành cảm ơn thầy Th.s Trần Quang Kỳ - Phó trưởng khoa
An toàn thông tin- Học viện kỹ thuật Mật Mã đã tận tình giúp đỡ chúng tôi trong
công tác nghiên cứu và hoàn thành đề tài này.
Hà nội, ngày 6/4/2007.
Sinh viên thực hiện:
Nguyễn Xuân Phương
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
2
MỤC LỤC
Trang
1. Lời mở đầu ………………………………………………………………. 1
2. Mục lục .................................................................................................... 2
3. Chương 1: Tìm hiểu chung về hồ sơ bảo vệ ..……………………………. 4
4. I. Tổng quan ……………………………………………………………... 4
5. II. Nguồn gốc hồ sơ bảo vệ ……………………………………………… 4
6. III. Nội dung Hồ sơ bảo vệ ……………………………………………… 5
7. Chương 2: Quá trình phát triển hồ sơ bảo vệ …………………………… 7
8. I. Giới thiệu ……………………………………………………………... 7
9. II. Vòng đời hồ sơ bảo vệ ……………………………………………….. 8
10. III. Người đứng đầu lĩnh vực công nghệ ………………………………… 11
11. IV. Tính nhất quán phát triển …………………………………………… 11
12. V. Danh sách giới thiệu Hồ sơ bảo vệ …………………………………. 12
13. VI. Duy trì hồ sơ bảo vệ …………………………………………………. 14
14. VII. Sự thống nhất hồ sơ bảo vệ ………………………………………… 15
15. VIII. Bình luận cơ sở hạ tầng …………………………………………… 15
16. Phần đính kèm A ……………………………………………………….. 16
17. Phần đính kèm B ………………………………………………………... 17
18. Chương 3: Các phần chính của một hồ sơ bảo vệ cụ thể ………………... 19
19. Chương 4: Báo cáo thông qua một hồ sơ bảo vệ cụ thể ………………… 25
20.I. Sơ lược …………………………………………………………………26
21.II. Đánh giá chi tiết ……………………………………………………… 27
22.III. Nhận dạng hồ sơ bảo vệ …………………………………………….. 27
23.IV Tóm tắt hồ sơ bảo vệ ………………………………………………… 27
24.V. Nguy cơ đe dọa ……………………………………………………… 28
25.VI. Chính sách an toàn ………………………………………………… 31
26.VII. Giả định cách sử dụng …………………………………………….. 33
27.VIII. Giả định môi trường ……………………………………………… 33
28.IX. Phạm vi sàng lọc …………………………………………………… 34
29.X. Nội dung an toàn của hồ sơ bảo vệ …………………………………. 34
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
3
30. Hồ sơ …………………………………………………………………… 35
31. Kết quả đánh giá ….……………………………………………………. 36
32. Phần kết luận ……….………………………………………………….. 37
33. Bảng viết tắt ………….………………………………………………… 38
34. Tài liệu tham khảo …….………………………………………………. 39
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
4
HỒ SƠ BẢO VỆ
Chương
1 Tìm hiểu chung
I.Tổng quan:
Một hồ sơ bảo vệ là một bản tóm tắt những đặc tả về các khía cạnh an toàn cần
thiết của một sản phẩm Công nghệ thông tin. Nó là một sản phẩm độc lập, mô tả
một dòng các sản phẩm có thể sẽ thỏa mãn những yêu cầu cần thiết này. Những
yêu cầu về chức năng và sự bảo đảm bảo vệ phải được tính đến trong cùng một
hồ sơ bảo vệ, với một mô tả hợp lý về những mối đe dọa cần được xác định
trước và dự tính phương pháp sử dụng. Hồ sơ bảo vệ chỉ rõ những yêu cầu về
thiết kế, thi hành, và cách sử dụng của các sản phẩm Công nghệ thông tin.
Hồ sơ bảo vệ có thể được tích hợp từ những thành phần chức năng và sự đảm
bảo độc lập hoặc cần xác định. Một thành phần chức năng là một thiết lập xem
như các yêu cầu về chức năng bảo vệ đã được thi hành trong sản phẩm Công
nghệ thông tin. Một thành phần bảo đảm là một thiết lập được xem như các yêu
cầu về sự phát triển và hoạt động đánh giá, kiểm soát bởi người sản xuất và
người đánh giá trong khi xây dựng và đánh giá một cách độc lập của một sản
phẩm Công nghệ thông tin. Để thuận tiện, một nhóm các thành phần của chức
năng và sự bảo đảm được tích hợp trong một gói xác định trước. Trong khi xây
dựng hồ sơ bảo vệ, việc thêm vào các thuộc tính phải được cân nhắc giữa những
chức năng và sự bảo đảm.
II. Nguồn gốc của hồ sơ bảo vệ
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
5
Người tiêu dùng và nhà sản xuất trong các tổ chức chính phủ hoặc khu vực kinh
tế tư nhân có thể phát triển một hồ sơ bảo vệ để đáp ứng lại đặc tả cần thiết về
bảo vệ thông tin. Những nhà phát triển hồ sơ, hoặc nhà tài trợ, với một sự cần
thiết an toàn có thể đề xuất một hồ sơ bảo vệ đề cập đến những vấn đề họ cần,
những đặc điểm đặc trưng hơn, những nhóm các nhà tài trợ cùng chung những
yêu cầu cần thiết có thể phối hợp với nhau để đề xuất một hồ sơ thỏa mãn mong
muốn chung. Nhiều nhà tài trợ hỗ trợ một cách có hiệu quả một hồ sơ để thể
hiện một thị trường rộng lớn nhiều tiềm năng của các nhà sản xuất sản phẩm
Công nghệ thông tin.
Một hồ sơ bảo vệ duy nhất phản ánh những yêu cầu cần thiết về những thiết lập
khác nhau của các nhà tài trợ. Ví dụ các ngân hàng có thể đề xuất một hồ sơ bảo
vệ đảm bảo việc chuyển đổi các khoản tín dụng hay Bộ quốc phòng có thể đề
xuất một hồ sơ bảo vệ cho các ứng dụng quân sự. Một hồ sơ bảo vệ riêng lẻ có
thể cũng áp dụng cho nhiều sản phẩm Công nghệ thông tin, thể hiện tính đa
dạng của khả năng giải quyết các yêu cầu phác thảo của hồ sơ.
Một nhà sản xuất, người đã nhận ra một thị trường sản phẩm an toàn Công nghệ
thông tin, cũng có thể đề xuất một hồ sơ theo cách phản ánh những yêu cầu và
mong muốn của khách hàng, và để thuận tiện cho việc đánh giá trong tương lai
tương phản với những sự cần thiết đó. Hồ sơ bảo vệ mong muốn đáp ứng toàn
bộ những yêu cầu của khách hàng và thúc đẩy gia tăng công nghệ. Do đó hồ sơ
bảo vệ là một tham chiếu chung xung quanh các khách hàng, các nhà sản xuất
và các nhà đánh giá.
III. Nội dung Hồ sơ bảo vệ
Một hồ sơ bảo vệ chứa năm phần chính: Mô tả các thành phần, cơ sở hợp lý,
những yêu cầu về chức năng, những yêu cầu về đảm bảo phát triển, những yêu
cầu về đảm bảo đánh giá.
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
6
Phần mô tả các phần tử cung cấp một cách minh bạch và mô tả các thông tin cần
thiết để nhận dạng, phân loại, đăng ký, và tham chiếu chéo một hồ sơ bảo vệ
trong việc đăng ký của hồ sơ. Phần này mô tả ngắn gọn về hồ sơ, bao gồm một
sự mô tả về các vấn đề bảo vệ thông tin cần phải giải quyết. Phần này áp dụng
cho tất cả những người có khả năng sử dụng hồ sơ quyết định dùng hay không
hồ sơ để có thể ứng dụng được tới việc bảo vệ thông tin cần thiết của khác hàng.
Phần cơ sở hợp lý cung cấp những lí lẽ cơ bản cho một Hồ sơ bảo vệ, bao gồm
lường trước đe dọa, môi trường, những giả định về cách sử dụng. Nó cũng thể
hiện một cách chi tiết hơn những vấn đề bảo vệ mà sản phẩm Công nghệ thông
tin cần giải quyết thỏa mãn những yêu cầu của Hồ sơ. Phần này mô tả những
vấn đề bảo vệ đủ chi tiết cho những người sản xuất để hiểu các khả năng phân
tán của vấn đề. Nó cũng cung cấp những thông tin cho khách hàng về vấn đề sản
phẩm Công nghệ thông tin như thế nào thì giải quyết thành công vấn đề, có thể
sử dụng sự hỗ trợ của một tâp hợp các chính sách bảo mật xác định trước.
Phần những yêu cầu về chức năng sẽ đưa ra ranh giới bảo vệ thông tin mà sản
phẩm công nghệ thông tin phải cung cấp. Những đe dọa tới thông tin nằm trong
vùng biên giới này phải được ngăn chặn bởi những chức năng ở trong vùng
được bảo vệ. Những đe dọa có thể mạnh hơn sẽ yêu cầu những chức năng bảo
vệ hết sức mạnh mẽ. Chức năng bảo vệ của sản phẩm Công nghệ thông tin được
hỗ trợ bởi một tập hợp các chính sách bảo mật và kết hợp với giả định nào đó về
cách sử dụng được dự tính của sản phẩm và môi trường hoạt động đã dự tính
trước.
Phần những yêu cầu bảo đảm sự phát triển bảo phủ toàn bộ mọi giai đoạn phát
triển của sản phẩm Công nghệ thông tin, từ khâu thiết kế ban đầu đến khi thực
hiện đầy đủ. Một cách cụ thể, những yêu cầu bảo đảm sự phát triển bao gồm quy
trình phát triển, môi trường phát triển, và hoạt động hỗ trợ những yêu cầu. Thêm
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
7
vào đó, từ nhiều yêu cầu bảo đảm không thật sự có thể thử nghiệm được, nó rất
cần thiết để nghiêm cứu những bằng chứng phát triển của sản phẩm Công nghệ
thông tin hoặc tài liệu để xác minh rằng những yêu cầu đã được thỏa mãn.
Những yêu cầu về bằng chứng sự phát triển bao hàm trong một Hồ sơ bảo vệ
chắc chắn để nhà sản xuất tạo ra và giữ lại tài liệu thích hợp trong khi phát triển
sản phẩm đến những phân tích trong giai đoạn đánh giá và duy trì sản phẩm.
Phần những yêu cầu bảo đảm đánh giá chỉ rõ loại và mức độ đánh giá việc thực
hiện một sản phẩm công nghệ thông tin, phát triển trong sự đáp ứng được một
Hồ sơ bảo vệ nhất định. Tổng quát cho một sản phẩm công nghệ thông tin, phạm
vi và mức độ đánh giá biến thiên theo đe dọa lường trước, xác định cách thức sử
dụng, và môi trường giả định như đã chỉ rõ bởi những người phát triển hồ sơ
trong phần cơ sở hợp lý.
Cấu trúc của Hồ sơ bảo vệ:
Miêu tả các
phần tử
Cung cấp minh bạch và mô tả thông tin cần thiết để nhận dạng
duy nhất, đăng ký, và tham chiếu chéo một hồ sơ bảo vệ trong
việc đăng ký hồ sơ. Bao gồm một mô tả về các vấn đề bảo vệ
thông tin cần phải giải quyết.
Cơ sở hợp lý Cung cấp những lí luận cơ sở cho một hồ sơ bảo vệ, bao gồm
ngăn chặn đe dọa, môi trường, và giả định về cách sử dụng.
Hướng tới sự hỗ trợ cho việc tổ chức những chính sách an
toàn.
Những yêu
cầu về chức
năng
Thiết lập biên giới của việc chịu trách nhiệm bảo vệ thông tin,
nó phải cung cấp bởi một sản phẩm IT, lường trước những đe
dọa tới thông tin trong vùng biên giới đã thiết lập.
Những yêu Chỉ rõ những yêu cầu cho tất cả các bước phát triển một sản
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
8
cầu bảo đảm
phát triển
phẩm IT từ khâu thiết kế đến khi thực hiện. Bao gồm quy trình
phát triển, môi trường phát triển, hỗ trợ hoạt động, chứng minh
sự phát triển.
Những yêu
câu bảo đảm
đánh giá
Chỉ rõ những yêu cầu đảm bảo loại và mức độ đánh giá sự
thực hiện phát triển một sản phẩm IT trong việc đáp ứng được
một hồ sơ bảo vệ phù hợp việc ngăn chặn những đe dọa, dự
định phương pháp sử dụng, và giả định về môi trường.
Chương
2
Quá trình phát triển
Quá trình phát triển
Những hồ sơ bảo vệ của chính phủ U.S.
Version 3.0 (1/3/2004)
Tổ chức bảo đảm thông tin quốc gia (NIAP)
Quá trình phát triển hồ sơ bảo vệ
I. Giới thiệu
Để phù hợp với luật chung 100-235 (Bộ luật an toàn máy tính 1987), viện
nghiên cứu về chuẩn và công nghệ quốc gia (NIST) tổ chức an ninh quốc gia
(NSA) cùng nhau hợp tác để phát triển các yêu cầu bảo mật các lĩnh vực công
nghệ có tính chất khóa thiết yếu trong sự bảo vệ hệ thống và mạng lưới thông tin
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
9
liên bang, bao gồm các bang ở trong nước Mỹ. Sự hướng dẫn nói chung về nỗ
lực phát triển của NIST – NSA chứa trong phần đính kèm A (Cuối chương)
Mỗi khi có thể thực hiên được, yêu cầu bảo mật sẽ thể hiện như là hồ sơ bảo vệ
sử dụng chuẩn ISO/IES 15408, hoặc tiêu chí chung CC. Trong phần sau, quan
hệ giữa yêu cầu bảo mật và hồ sơ bảo vệ sẽ được đề cập đến những sự tương
đương.
NIST và NSA nỗ lực thực hiện công việc:
* Bảo đảm cho chính phủ U.S có sự tính toán bao hàm toàn bộ sự giới thiệu
về hồ sơ bảo vệ của các lĩnh vực công nghệ có tính chất chìa khóa;
* Sự cộng tác bên ngoài về tính cộng đồng và khu vực kinh tế tư nhân được
phát triển và thu được sự nhất trí dựa trên tầm quan trọng của hồ sơ bảo vệ
trong khi thảo luận các bộ phận bảo vệ.
* Để tạo thuận tiện cho sự thống nhất giữa quốc gia và trên thế giới về những
hồ sơ bảo vệ PP trong các lĩnh vực công nghệ có tính chất khóa.
Tài liệu này mô tả quy trình điều mà sẽ được NIST và NSA theo đuổi dành để
phát triển và duy trì của hồ sơ bảo vệ PP trong mỗi vùng kỹ thuật có tính chất
chìa khóa bao gồm sự thay đổi những yêu cầu hiện tại, chuyển đổi sang yêu cầu
mới, loại bỏ những yêu cầu cũ. Những thành phần hợp thành quá trình này được
mô tả dưới đây
II. Vòng đời hồ sơ bảo vệ
Danh sách phát triển lĩnh vực công nghệ (TADL)
Danh sách phát triển lĩnh vực công nghệ là một danh sách ưu tiên về hồ sơ bảo
vệ cái mà NIST và NSA phát triển hoặc đưa ra sơ đồ phát triển, chỉ ra những
ràng buộc về tài nguyên cần có.
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
10
Bảng 1 dưới đây miêu tả nhóm 10 lĩnh vực công nghệ có tính chất khóa và cung
cấp thông tin liên quan để phê chuẩn trong quy trình phát triển hồ sơ bảo vệ.
Thêm vào đó là các thông tin về một số công nghệ có tính chất chìa khóa hoặc
hồ sơ bảo vệ có thể đạt được qua thư điện tử giửi tới người đứng đầu lĩnh vực
công nghệ (TAL-Technology Area Leader)... Mối quan hệ có trật tự những hồ
sơ bảo vệ ở trong một lĩnh vực công nghệ cụ thể được miêu tả bởi sự gia tăng
cấp độ bền vững cơ bản (nghĩa là: bền vững về chức năng và sự bảo đảm) trên
những đe dọa giả định và kết hợp những đối tượng bảo mật. Sản phẩm được
đánh giá và phê chuẩn thành công phải đặt tương phản với một hồ sơ bảo vệ
trong họ lĩnh vực công nghệ cụ thể đã được chỉ rõ, trong sự chấp thuận với một
số hồ sơ cấp độ thấp hơn trong cùng họ.
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
11
Bảng1:
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
12
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
13
III. Người đứng đầu lĩnh vực công nghệ
Mỗi lĩnh vực công nghệ được chọn để phát triển từ Danh sách phát triển lĩnh
vực công nghệ TADL, một người đứng đầu sẽ được bổ nhiệm là người chịu
trách nhiệm quản lý sự phát triển về lý thuyết của hồ sơ bảo vệ trong lĩnh vực
công nghệ cụ thể, bao gồm sự phát triển và bổ sung vào sơ đồ lĩnh vực công
nghệ đó. Người đứng đầu lĩnh vực công nghệ sẽ đưa ra những tài nguyên cần
thiết để hoàn thành sự nỗ lực phát triển và chịu trách nhiệm toàn bộ các giai
đoạn phát triển của họ đó, bao gồm cả duy trì những họ hồ sơ này. Bảng 1 danh
sách người đứng đầu lĩnh vực công nghệ kết hợp với lĩnh vực công nghệ của họ
chịu trách nhiệm.
IV.Tính nhất quán phát triển lĩnh vực công nghệ
(TAL)
NSA và NIST có đưa ra một số tiêu chí chung về hồ sơ bảo vệ thỏa mãn những
lời đề xuất thu được từ hướng dẫn trên những công nghệ bảo đảm thông tin (IA).
Trong phạm vi quốc phòng, từ khi thực thi đến hỗ trợ những chính sách hệ thống
DoD IA mới ( như là DoDD 8500.1 và DoDI 8500.2). Trong tổ chức an ninh
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
14
quốc gia, công việc này bắt đầu thực hiện đến hỗ trợ NIST FISMA (Federal
Information Security Community Act – Bộ luật quản lý an ninh thông tin liên
bang) dự án bổ sung và phát triển của NIST SP 800-37. Tháng 10/2001, NSA và
NIST (National Institute of Standards and Technology) đồng ý hợp tác làm việc
cùng nhau để tạo ra một mối liên hệ về thiết lập hồ sơ đã được miêu tả trong sự
quan tâm chung của hai tổ chức.
Với nhiều hồ sơ hiện nay được phát triển bởi đông đảo tổ chức, trong khuôn khổ
NIST và NSA, nó trở nên rõ ràng trong sự sắp xếp của tổ chức đứng đầu mỗi
lĩnh vực, Hồ sơ bảo vệ bảo đảm thông tin (IA) đã nỗ lực những gì cần thiết để
tạo nên sự hợp tác chặt chẽ để dễ dàng miêu tả một cái nhìn chiến lược phù hợp
với khách hàng cơ bản. Sự phù hợp rất quan trọng để tạo nên và duy trì sự tin
cậy của khách hàng trong sản phẩm và sách hướng dẫn.
Cuối cùng, một liên hiệp nhóm làm việc thống nhất hồ sơ bảo vệ, gọi là Ban
xem xét hồ sơ bảo vệ (PPRB), trở thành tổ chức xem xét lại tất cả đề xuất
những hồ sơ bảo vệ và làm việc với tác giả hồ sơ bảo vệ và đưa ra phê bình tạo
nên sự thống nhất có thể thực hiện được. Hoạt động đầu tiên của nhóm là xem
lại một số hồ sơ bảo vệ và một số lời phê bình tới những tác giả trên các lĩnh vực
công nghệ và sẽ hướng tới thay đổi để thống nhất. Trong bối cảnh được xem xét
đầu tiên, một số mục thống nhất đã đạt được và được ghi lại đưa vào trong một
tài liệu là sách hướng dẫn sự thống nhất. Sẽ có một sách hướng dẫn thống nhất
cho mỗi mức của cấp độ (cơ bản, trung bình và cao để phát triển) sẽ cung cấp
cho tác giả hồ sơ bảo vệ hướng dẫn làm thế nào để tạo ra những hồ sơ bảo vệ
của chính phủ U.S thống nhất hơn.
Tài liệu hiện nay cung cấp cho các tác giả hồ sơ bảo vệ, sách hướng dẫn cung
cấp cho tất cả mọi tác giả hồ sơ bảo vệ hướng đến và chọn lựa, bao gồm sự giới
thiệu trong hồ sơ bảo vệ của họ hoặc chỉ ra tại sao giới thiệu mà không sử dụng
Nguyễn Xuân Phương – Đánh giá an toàn công nghệ thông tin
15
đến hồ sơ. Phương pháp này bảo đảm rằng tất cả mọi tác giả hồ sơ bảo vệ hướng
tới sự cân nhắc an toàn tối thiểu hoặc thực hiện một phân tích như tại sao họ
không hướng tới. Mỗi chỉ dẫn độc lập chứa đựng, đưa ra và chọn lựa văn bản
cho mỗi phần cụ thể của một hồ sơ bảo vệ hoặc tiêu chí chung cụ thể cho yêu
cầu chức năng/độ an toàn cũng như tất cả hồ sơ bảo vệ hướng tới mối quan tâm
an toàn tối thiểu cho tất cả tình trạng bền vững hồ sơ bảo vệ.
Sách hướng dẫn lưu ý quyền quyết định nội dung của hồ sơ bảo vệ là của người
sở hữu hồ sơ bảo vệ. Tuy nhiên, hồ sơ phải phù hợp với hồ sơ khác trong cùng
tình trạng bền vững vì vậy tác giả sẽ xem lại những hồ sơ khác cùng cấp độ bền
vững. Tác giả cũng đảm bảo yêu cầu chức năng phù hợp với công nghệ và có
thể muốn thảo luận với những nhà chuyên môn khác trong lĩnh vực công nghệ.
Hồ sơ bảo vệ tiếp tục được xem xét lại, sách hướng dẫn sẽ tiếp tục cập nhật để
đưa ra chỉ dẫn mới khi chúng có hiệu lực.
V. Danh sách giới thiệu Hồ sơ bảo vệ (RPPL)
Danh sách giới thiệu hồ sơ bảo vệ gồm có một danh sách về hồ sơ bảo vệ trong
giai đoạn phát triển, và sơ lược về