0976.389.199
ISO / IEC TR 14516:2002 về Công nghệ thông tin - Kỹ thuật bảo mật - Hướng dẫn sử dụng và quản lý các dịch vụ của Bên thứ ba đáng tin cậy

ISO / IEC TR 14516:2002 về Công nghệ thông tin - Kỹ thuật bảo mật - Hướng dẫn sử dụng và quản lý các dịch vụ của Bên thứ ba đáng tin cậy

Tiêu chuẩn ISO / IEC TR 14516:2002 bao gồm những nội dung gì, phạm vi ra sao? Hãy cùng tìm hiểu qua bài viết dưới đây.

Tiêu chuẩn ISO / IEC TR 14516:2002

Giới thiệu

Việc đạt được mức độ tin cậy phù hợp của doanh nghiệp trong hoạt động của hệ thống CNTT được củng cố bằng việc cung cấp các biện pháp kiểm soát kỹ thuật và pháp lý thực tế và phù hợp. Doanh nghiệp phải tin tưởng rằng các hệ thống CNTT sẽ mang lại những lợi thế tích cực và các hệ thống đó có thể được tin cậy để duy trì các nghĩa vụ kinh doanh và tạo ra các cơ hội kinh doanh.

Việc trao đổi thông tin giữa hai thực thể ngụ ý một yếu tố tin cậy, ví dụ: với người nhận giả định rằng danh tính của người gửi trên thực tế là người gửi, và ngược lại, người gửi giả định rằng danh tính của người nhận trên thực tế là người nhận mà thông tin được dự định. "Yếu tố tin cậy ngụ ý" này có thể không đủ và có thể yêu cầu sử dụng Bên thứ ba đáng tin cậy (TTP) để tạo điều kiện trao đổi thông tin đáng tin cậy.

Vai trò của TTP bao gồm cung cấp sự đảm bảo rằng các thông điệp và giao dịch kinh doanh và đáng tin cậy khác (ví dụ: các hoạt động của chính phủ) đang được chuyển đến người nhận dự kiến, tại địa điểm chính xác, rằng các thông điệp đó được nhận một cách kịp thời và chính xác và đối với bất kỳ tranh chấp kinh doanh nào có thể phát sinh, tồn tại các phương pháp thích hợp để tạo và cung cấp bằng chứng cần thiết để chứng minh những gì đã xảy ra. Các dịch vụ do TTP cung cấp có thể bao gồm những dịch vụ cần thiết để quản lý khóa, quản lý chứng chỉ, hỗ trợ nhận dạng và xác thực, dịch vụ thuộc tính đặc quyền, dịch vụ không từ chối, dịch vụ đóng dấu thời gian, dịch vụ công chứng điện tử và dịch vụ danh bạ. TTP có thể cung cấp một số hoặc tất cả các dịch vụ này.

TTP phải được thiết kế, triển khai và vận hành để cung cấp sự đảm bảo trong các dịch vụ bảo mật mà nó cung cấp và để đáp ứng các yêu cầu pháp lý và quy định hiện hành. Các loại và mức độ bảo vệ được chấp nhận hoặc yêu cầu sẽ khác nhau tùy theo loại dịch vụ được cung cấp và bối cảnh mà ứng dụng kinh doanh đang hoạt động.

Mục tiêu của Khuyến nghị này | Báo cáo kỹ thuật phải cung cấp:

a) Hướng dẫn cho các nhà quản lý, nhà phát triển và nhân viên vận hành của TTP và hỗ trợ họ trong việc sử dụng và quản lý các TTP; và

b) Hướng dẫn cho các tổ chức về các dịch vụ do TTP thực hiện, và vai trò và trách nhiệm tương ứng của các TTP và các tổ chức sử dụng dịch vụ của họ.

Các khía cạnh bổ sung được đề cập trong Khuyến nghị này | Báo cáo kỹ thuật phải cung cấp:

a) Tổng quan về mô tả các dịch vụ được cung cấp;

b) Sự hiểu biết về vai trò của các TTP và các tính năng chức năng của chúng;

c) Tạo cơ sở cho việc thừa nhận lẫn nhau đối với các dịch vụ do các TTP khác nhau cung cấp; và

d) Hướng dẫn tương tác giữa các đơn vị và TTP.

1 Phạm vi

Liên quan đến việc cung cấp và vận hành Bên thứ ba đáng tin cậy (TTP) là một số vấn đề liên quan đến bảo mật mà hướng dẫn chung là cần thiết để hỗ trợ các thực thể kinh doanh, nhà phát triển và nhà cung cấp hệ thống và dịch vụ, v.v. Điều này bao gồm hướng dẫn về các vấn đề liên quan đến vai trò, vị trí và mối quan hệ của các TTP và các thực thể sử dụng dịch vụ TTP, các yêu cầu bảo mật chung, ai sẽ cung cấp loại bảo mật nào, các giải pháp bảo mật khả thi là gì và việc sử dụng và quản lý hoạt động của dịch vụ TTP.

Khuyến nghị này | Báo cáo kỹ thuật cung cấp hướng dẫn sử dụng và quản lý các TTP, một định nghĩa rõ ràng về các nhiệm vụ và dịch vụ cơ bản được cung cấp, mô tả và mục đích của chúng cũng như vai trò và trách nhiệm của các TTP và các tổ chức sử dụng dịch vụ của họ. Nó chủ yếu dành cho người quản lý hệ thống, nhà phát triển, người vận hành TTP và người dùng doanh nghiệp để lựa chọn các dịch vụ TTP cần thiết cho các yêu cầu cụ thể, quản lý, sử dụng và triển khai hoạt động tiếp theo của họ và thiết lập Chính sách bảo mật trong TTP. Nó không nhằm mục đích được sử dụng làm cơ sở để đánh giá chính thức một TTP hoặc so sánh các TTP.

Khuyến nghị này | Báo cáo kỹ thuật xác định các danh mục chính khác nhau của dịch vụ TTP bao gồm: đóng dấu thời gian, không từ chối, quản lý khóa, quản lý chứng chỉ và công chứng điện tử. Mỗi danh mục chính này bao gồm một số dịch vụ thuộc về nhau một cách hợp lý.

2 Tài liệu tham khảo

2.1 Khuyến nghị giống hệt nhau | Tiêu chuẩn quốc tế

Khuyến nghị U-T CNTT X.509 (2001) | ISO / IEC 9594-8: 2001, Công nghệ thông tin - Kết nối hệ thống mở - Thư mục: Khoá công khai và các khuôn khổ chứng chỉ thuộc tính.

Khuyến nghị ITU-T X.810 (1995) | ISO / IEC 10181-1: 1996, Công nghệ thông tin - Kết nối hệ thống mở - Khung bảo mật cho hệ thống mở: Tổng quan.

Khuyến nghị ITU-T X.813 (1996) | ISO / IEC 10181-4: 1997, Công nghệ thông tin - Kết nối hệ thống mở - Khung bảo mật cho hệ thống mở: Khung không thoái thác.

2.2 Khuyến nghị kết hợp | Tiêu chuẩn quốc tế tương đương về nội dung kỹ thuật

Khuyến nghị CCITT X.800 (1991), Kiến trúc bảo mật cho kết nối hệ thống mở cho các ứng dụng CCITT.

ISO 7498-2: 1989, Hệ thống xử lý thông tin - Kết nối Hệ thống Mở - Mô hình Tham chiếu Cơ bản - Phần 2: Kiến trúc Bảo mật.

2.3 Tài liệu tham khảo bổ sung

ISO / IEC 9798-1: 1997, Công nghệ thông tin - Kỹ thuật bảo mật - Xác thực thực thể - Phần 1: Chung.

ISO / IEC 11770-1: 1996, Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý khóa - Phần 1: Khuôn khổ.

ISO / IEC 11770-2: 1996, Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý khóa - Phần 2: Cơ chế sử dụng kỹ thuật đối xứng.

ISO / IEC 11770-3: 1999, Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý khóa - Phần 3: Cơ chế sử dụng kỹ thuật bất đối xứng.

ISO / IEC TR 13335-1: 1996, Công nghệ thông tin - Hướng dẫn quản lý An ninh CNTT - Phần 1: Các khái niệm và mô hình về An ninh CNTT.

ISO / IEC TR 13335-2: 1997, Công nghệ thông tin - Hướng dẫn quản lý Bảo mật CNTT - Phần 2: Quản lý và lập kế hoạch Bảo mật CNTT.

ISO / IEC TR 13335-3: 1998, Công nghệ thông tin - Hướng dẫn quản lý An ninh CNTT - Phần 3: Kỹ thuật quản lý An ninh CNTT.

ISO / IEC TR 13335-4: 2000, Công nghệ thông tin - Hướng dẫn quản lý An ninh CNTT - Phần 4: Lựa chọn các biện pháp bảo vệ.

ISO / IEC 13888-1: 1997, Công nghệ thông tin - Kỹ thuật bảo mật - Không thoái thác - Phần 1: Chung.

ISO / IEC 13888-2: 1998, Công nghệ thông tin - Kỹ thuật bảo mật - Không thoái thác - Phần 2: Cơ chế sử dụng kỹ thuật đối xứng.

ISO / IEC 13888-3: 1997, Công nghệ thông tin - Kỹ thuật bảo mật - Không thoái thác - Phần 3: Cơ chế sử dụng kỹ thuật không đối xứng.

ISO / IEC WD 15443, Công nghệ thông tin - Kỹ thuật bảo mật - Khuôn khổ cho việc đảm bảo an ninh CNTT.

Xem preview tiêu chuẩn ISO / IEC TR 14516:2002

Download tài liệu ISO / IEC TR 14516:2002 miễn phí tại đây!

Để xem được bản full ISO / IEC TR 14516:2002, quý khách có thể đăng ký mua bản full tiêu chuẩn thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và chính xác nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây hoặc qua hotline 0976.389.199. ISOCERT rất hân hạnh được đồng hành cùng doanh nghiệp trong sự nghiệp nâng cao chất lượng sản phẩm hàng hóa vì lợi ích quốc gia.

Bài viết liên quan