0976.389.199
ISO / IEC 21827: 2008 Công nghệ thông tin - Kỹ thuật bảo mật - Kỹ thuật bảo mật hệ thống - Mô hình trưởng thành năng lực

ISO / IEC 21827: 2008 Công nghệ thông tin - Kỹ thuật bảo mật - Kỹ thuật bảo mật hệ thống - Mô hình trưởng thành năng lực

Phiên bản thứ hai này hủy bỏ và thay thế phiên bản đầu tiên (ISO / IEC 21827: 2002), đã được sửa đổi về mặt kỹ thuật.

ISO / IEC 21827 được chuẩn bị bởi Ủy ban kỹ thuật chung ISO / IEC JTC 1, Công nghệ thông tin, Tiểu ban SC 27, Kỹ thuật bảo mật CNTT. Ngoài ra, sự liên kết đang được duy trì với Kỹ thuật bảo mật hệ thống có sẵn công khai - Capability Maturity Model® 1) (SSE-CMM®) Phiên bản 3, được xuất bản bởi Hiệp hội Kỹ thuật An ninh Hệ thống Quốc tế (ISSEA) dưới dạng Thông số Kỹ thuật Có sẵn Công khai.

0 Giới thiệu

0,1 Chung

Nhiều tổ chức thực hành kỹ thuật bảo mật trong việc phát triển các chương trình máy tính, cho dù là phần mềm hệ điều hành, quản lý bảo mật và thực thi các chức năng, phần mềm, phần mềm trung gian hoặc các chương trình ứng dụng. Do đó, các nhà phát triển sản phẩm, nhà cung cấp dịch vụ, nhà tích hợp hệ thống, quản trị viên hệ thống và thậm chí cả các chuyên gia bảo mật đều yêu cầu các phương pháp và thực hành phù hợp. Một số tổ chức trong số này giải quyết các vấn đề cấp cao (ví dụ: những tổ chức xử lý việc sử dụng vận hành hoặc kiến ​​trúc hệ thống), những tổ chức khác tập trung vào các vấn đề cấp thấp (ví dụ: lựa chọn hoặc thiết kế cơ chế) và một số làm cả hai. Các tổ chức có thể chuyên về một loại công nghệ cụ thể hoặc bối cảnh chuyên biệt (ví dụ: trên biển).
SSE-CMM® được thiết kế cho tất cả các tổ chức này. Việc sử dụng SSE-CMM không được ngụ ý rằng một tiêu điểm này tốt hơn tiêu điểm khác hoặc bất kỳ mục đích sử dụng nào trong số này là bắt buộc. Trọng tâm kinh doanh của một tổ chức không cần thiết khi sử dụng SSE-CMM®.
Dựa trên trọng tâm của tổ chức, một số, nhưng không phải tất cả, các phương pháp kỹ thuật bảo mật đã xác định sẽ được áp dụng. Ngoài ra, tổ chức có thể cần xem xét mối quan hệ giữa các thực hành khác nhau trong mô hình để xác định khả năng áp dụng của chúng. Các ví dụ dưới đây minh họa các cách thức mà SSE-CMM® có thể được áp dụng cho phần mềm, hệ thống, phát triển và vận hành của nhiều tổ chức khác nhau.
Tiêu chuẩn này có mối quan hệ với ISO / IEC 15504, đặc biệt là ISO / IEC 15504-2, vì cả hai tiêu chuẩn này đều liên quan đến việc cải tiến quy trình và đánh giá mức độ thành thục của năng lực. Tuy nhiên, ISO / IEC 15504 đặc biệt tập trung vào các quy trình phần mềm, trong khi SSE-CMM tập trung vào bảo mật.
Tiêu chuẩn này có mối quan hệ chặt chẽ hơn với các phiên bản mới của ISO / IEC 15504, đặc biệt là ISO / IEC 15504-2, và tương thích với các cách tiếp cận và yêu cầu của tiêu chuẩn này.
Nhà cung cấp dịch vụ bảo mật
Để đo lường năng lực quy trình của một tổ chức thực hiện đánh giá rủi ro, một số nhóm thực hành sẽ được áp dụng. Trong quá trình phát triển hoặc tích hợp hệ thống, người ta sẽ cần đánh giá tổ chức về khả năng xác định và phân tích các lỗ hổng bảo mật cũng như đánh giá các tác động hoạt động. Trong trường hợp vận hành, người ta sẽ cần đánh giá tổ chức về khả năng giám sát tình trạng bảo mật của hệ thống, xác định và phân tích các lỗ hổng bảo mật và các mối đe dọa cũng như đánh giá các tác động hoạt động.
Nhà phát triển biện pháp đối phó
Trong trường hợp một nhóm tập trung vào việc phát triển các biện pháp đối phó, năng lực quy trình của một tổ chức sẽ được đặc trưng bởi sự kết hợp của các thực hành SSE-CMM®. Mô hình bao gồm các thực hành để giải quyết việc xác định và phân tích các lỗ hổng bảo mật, đánh giá tác động hoạt động, cung cấp đầu vào và hướng dẫn cho các nhóm khác có liên quan (chẳng hạn như nhóm phần mềm). Nhóm cung cấp dịch vụ phát triển các biện pháp đối phó cần phải hiểu mối quan hệ giữa các thực hành này.
Nhà phát triển sản phẩm
SSE-CMM® bao gồm các phương pháp tập trung vào việc hiểu rõ nhu cầu bảo mật của khách hàng. Tương tác với khách hàng là cần thiết để xác định họ. Trong trường hợp của một sản phẩm, khách hàng là chung vì sản phẩm được phát triển trước độc lập với một khách hàng cụ thể. Trong trường hợp này, nhóm tiếp thị sản phẩm hoặc nhóm khác có thể được sử dụng làm khách hàng giả định, nếu có yêu cầu.
Các học viên về kỹ thuật bảo mật nhận ra rằng bối cảnh sản phẩm và các phương pháp được sử dụng để hoàn thành việc phát triển sản phẩm cũng đa dạng như chính sản phẩm. Tuy nhiên, có một số vấn đề liên quan đến bối cảnh sản phẩm và dự án được biết là có ảnh hưởng đến cách sản phẩm được hình thành, sản xuất, phân phối và bảo trì. Các vấn đề sau đặc biệt có ý nghĩa đối với SSE-CMM®:
• loại cơ sở khách hàng (sản phẩm, hệ thống hoặc dịch vụ);
• yêu cầu đảm bảo (cao so với thấp); và
• hỗ trợ cho cả tổ chức phát triển và hoạt động.
Sự khác biệt giữa hai cơ sở khách hàng đa dạng, các mức độ yêu cầu đảm bảo khác nhau và tác động của mỗi sự khác biệt này trong SSE-CMM® được thảo luận dưới đây. Chúng được cung cấp như một ví dụ về cách một tổ chức hoặc phân khúc ngành có thể xác định việc sử dụng SSE-CMM® thích hợp trong môi trường của họ.
Các phân khúc ngành cụ thể
Mỗi ngành công nghiệp đều phản ánh văn hóa, thuật ngữ và phong cách giao tiếp cụ thể của riêng mình. Bằng cách giảm thiểu sự phụ thuộc vai trò và hàm ý cấu trúc tổ chức, người ta dự đoán rằng các khái niệm SSE-CMM® có thể dễ dàng được dịch bởi tất cả các phân khúc ngành sang ngôn ngữ và văn hóa riêng của họ.

0.2 Nên sử dụng SSE-CMM® như thế nào?

SSE-CMM® và phương pháp áp dụng mô hình (tức là phương pháp thẩm định) nhằm mục đích sử dụng như một:
• công cụ cho các tổ chức kỹ thuật để đánh giá các thực hành kỹ thuật bảo mật của họ và xác định các cải tiến;
• phương pháp mà các tổ chức đánh giá kỹ thuật an ninh như người xác nhận và người đánh giá có thể thiết lập niềm tin vào năng lực của tổ chức như một đầu vào cho việc đảm bảo an ninh hệ thống hoặc sản phẩm; và
• cơ chế tiêu chuẩn để khách hàng đánh giá khả năng kỹ thuật bảo mật của nhà cung cấp.
Tổ chức đánh giá phải xác định phạm vi đánh giá và thảo luận với người đánh giá, nếu có.
Các kỹ thuật thẩm định có thể được sử dụng trong việc áp dụng mô hình để tự cải tiến và lựa chọn nhà cung cấp, nếu người sử dụng mô hình và các phương pháp thẩm định hiểu cặn kẽ về việc áp dụng mô hình phù hợp và những hạn chế vốn có của nó. Thông tin bổ sung về việc sử dụng đánh giá quá trình có thể được tìm thấy trong ISO / IEC 15504-4, Công nghệ thông tin - Đánh giá quá trình - Phần 4: Hướng dẫn sử dụng để cải tiến quá trình và xác định năng lực của quá trình.
0.3 Lợi ích của việc sử dụng SSE-CMM®
Xu hướng bảo mật là sự thay đổi từ việc bảo vệ dữ liệu đã được phân loại của chính phủ sang nhiều mối quan tâm hơn bao gồm các giao dịch tài chính, thỏa thuận hợp đồng, thông tin cá nhân và Internet. Sự gia tăng tương ứng của các sản phẩm, hệ thống và dịch vụ duy trì và bảo vệ thông tin đã xuất hiện. Các sản phẩm và hệ thống bảo mật này thường được đưa ra thị trường theo một trong hai cách: thông qua đánh giá kéo dài và tốn kém hoặc không đánh giá. Trong trường hợp trước đây, các sản phẩm đáng tin cậy thường tiếp cận thị trường rất lâu sau khi các tính năng của chúng cần thiết và các hệ thống an toàn đang được triển khai không còn giải quyết các mối đe dọa hiện tại. Trong trường hợp thứ hai, người mua và người dùng phải chỉ dựa vào các tuyên bố bảo mật của nhà phát triển hoặc nhà điều hành sản phẩm hoặc hệ thống. Hơn nữa, các dịch vụ kỹ thuật bảo mật theo truyền thống thường được tiếp thị trên cơ sở thông báo trước này.
Tình hình này đòi hỏi các tổ chức phải thực hành kỹ thuật bảo mật một cách thuần thục hơn. Cụ thể, những phẩm chất sau đây là cần thiết để sản xuất và vận hành các hệ thống an toàn và các sản phẩm đáng tin cậy:
• tính liên tục - kiến ​​thức thu được trong những nỗ lực trước đây được sử dụng trong những nỗ lực trong tương lai;
• tính lặp lại - một cách để đảm bảo rằng các dự án có thể lặp lại một nỗ lực thành công;
• hiệu quả - một cách để giúp cả nhà phát triển và người đánh giá làm việc hiệu quả hơn; và
• đảm bảo - tin tưởng rằng các nhu cầu bảo mật đang được giải quyết.
Để đáp ứng các yêu cầu này, cần có một cơ chế để hướng dẫn các tổ chức hiểu và cải thiện các thực hành kỹ thuật bảo mật của họ. Để giải quyết những nhu cầu này, SSE-CMM® đang được phát triển để nâng cao hiện trạng của thực tiễn kỹ thuật bảo mật với mục tiêu cải thiện chất lượng và tính khả dụng cũng như giảm chi phí cung cấp các hệ thống an toàn, sản phẩm đáng tin cậy và dịch vụ kỹ thuật bảo mật. Đặc biệt, những lợi ích sau đây được hình dung.
Đối với các tổ chức kỹ thuật:
Các tổ chức kỹ thuật bao gồm Nhà tích hợp hệ thống, Nhà phát triển ứng dụng, Nhà cung cấp sản phẩm và Nhà cung cấp dịch vụ. Lợi ích của SSE-CMM® đối với các tổ chức này bao gồm:
• tiết kiệm với ít công việc phải làm lại từ các quy trình và thực hành có thể lặp lại, dự đoán được;
• tín dụng cho khả năng thực sự để thực hiện, đặc biệt là trong các lựa chọn nguồn; và
• tập trung vào năng lực tổ chức được đo lường (sự trưởng thành) và các cải tiến.
Để mua lại các tổ chức:
Người mua bao gồm các tổ chức mua lại hệ thống, sản phẩm và dịch vụ từ các nguồn bên ngoài / nội bộ và người dùng cuối. Lợi ích của SSE-CMM® đối với các tổ chức này bao gồm:
• tiêu chuẩn có thể tái sử dụng Yêu cầu về ngôn ngữ Đề xuất và phương tiện đánh giá;
• giảm rủi ro (hiệu suất, chi phí, lịch trình) khi chọn một nhà thầu không đủ tư cách;
• ít phản đối hơn do các đánh giá thống nhất dựa trên tiêu chuẩn ngành; và
• mức độ tin cậy có thể dự đoán, có thể lặp lại đối với sản phẩm hoặc dịch vụ.
Đối với các tổ chức đánh giá:
Các tổ chức đánh giá bao gồm người chứng nhận hệ thống, người kiểm định hệ thống, người đánh giá sản phẩm và người đánh giá sản phẩm. Lợi ích của SSE-CMM® đối với các tổ chức này bao gồm:
• kết quả thẩm định quy trình có thể tái sử dụng, không phụ thuộc vào các thay đổi của hệ thống hoặc sản phẩm;
• tự tin về kỹ thuật bảo mật và sự tích hợp của nó với các ngành khác; và
• dựa trên khả năng tự tin vào bằng chứng, giảm khối lượng công việc đánh giá bảo mật.

1 Phạm vi

Tiêu chuẩn này quy định Kỹ thuật An ninh Hệ thống - Mô hình Hoàn thiện Năng lực® (SSE-CMM®). SSE-CMM® là một mô hình tham chiếu quy trình tập trung vào các yêu cầu để triển khai bảo mật trong một hệ thống hoặc một loạt các hệ thống liên quan là miền bảo mật công nghệ thông tin (ITS). Trong phạm vi ITS, SSE-CMM® tập trung vào các quy trình được sử dụng để đạt được ITS, đặc biệt nhất là về mức độ trưởng thành của các quy trình đó. Trong SSE-CMM® không có ý định chỉ định một quy trình cụ thể được tổ chức sử dụng, chưa nói đến một phương pháp luận cụ thể. Thay vào đó, mục đích là tổ chức sử dụng SSE-CMM® nên sử dụng các quy trình hiện có của mình, là các quy trình đó dựa trên bất kỳ tài liệu hướng dẫn ITS nào khác. Phạm vi bao gồm:
• các hoạt động kỹ thuật bảo mật hệ thống cho một sản phẩm an toàn hoặc một hệ thống đáng tin cậy giải quyết vòng đời hoàn chỉnh của định nghĩa khái niệm, phân tích yêu cầu, thiết kế, phát triển, tích hợp, cài đặt, vận hành, bảo trì và hủy vận hành;
• yêu cầu đối với nhà phát triển sản phẩm, nhà phát triển và tích hợp hệ thống an toàn, các tổ chức cung cấp dịch vụ bảo mật máy tính và kỹ thuật bảo mật máy tính; và
• tất cả các loại và quy mô của tổ chức kỹ thuật an ninh, từ thương mại đến chính phủ và academe.
Mặc dù SSE-CMM® là một mô hình riêng biệt để cải thiện và đánh giá khả năng kỹ thuật bảo mật, nhưng điều này không có nghĩa là kỹ thuật bảo mật nên được thực hành tách biệt với các ngành kỹ thuật khác. Ngược lại, SSE-CMM® thúc đẩy tích hợp, theo quan điểm rằng bảo mật phổ biến trên tất cả các lĩnh vực kỹ thuật (ví dụ: hệ thống, phần mềm và phần cứng) và xác định các thành phần của mô hình để giải quyết các mối quan tâm đó. Tính năng Chung “Thực tiễn Phối hợp” thừa nhận sự cần thiết phải tích hợp bảo mật với tất cả các ngành và nhóm liên quan đến một dự án hoặc trong một tổ chức. Tương tự, Khu vực Quy trình “Phối hợp An ninh” xác định các mục tiêu và cơ chế được sử dụng để điều phối các hoạt động kỹ thuật bảo mật.

2 Tài liệu tham khảo

Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.
ISO / IEC 15504-2, Công nghệ thông tin - Đánh giá quá trình - Phần 2: Thực hiện đánh giá

3 Thuật ngữ và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa sau sẽ được áp dụng.

 

Xem bản full tiêu chuẩn tại đây!


Để xem được bản full tiêu chuẩn ISO / IEC 21827: 2008 Công nghệ thông tin - Kỹ thuật bảo mật - Kỹ thuật bảo mật hệ thống - Mô hình trưởng thành năng lực bằng tiếng việt, quý khách có thể đăng ký thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và chính xác nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây hoặc qua hotline 0976.389.199.

ISOCERT rất hân hạnh được đồng hành cùng doanh nghiệp trong sự nghiệp nâng cao chất lượng sản phẩm hàng hóa vì lợi ích quốc gia!

Bài viết liên quan