Tổng quan

Tiêu chuẩn ISO / IEC TS 20540:2018

Giới thiệu

Trong công nghệ thông tin, ngày càng có nhu cầu sử dụng các cơ chế mật mã như bảo vệ dữ liệu chống lại việc tiết lộ hoặc thao túng trái phép, để xác thực thực thể và không từ chối. Tính bảo mật và độ tin cậy của các cơ chế này phụ thuộc trực tiếp vào các mô-đun mật mã mà chúng được triển khai. Các mô-đun mật mã được sử dụng trong một hệ thống bảo mật để bảo vệ thông tin nhạy cảm trong môi trường ứng dụng của chúng.

Mục đích của tài liệu này là mô tả các khuyến nghị và danh sách kiểm tra giúp lựa chọn các mô-đun mật mã để triển khai trong nhiều môi trường ứng dụng. Tài liệu này hữu ích cho người dùng và người kiểm tra hoạt động để xác minh việc triển khai chính xác trong môi trường ứng dụng.

Các bài kiểm tra hoạt động được thực hiện để xác định tính phù hợp và cách sử dụng thích hợp của mô-đun mật mã trong môi trường ứng dụng của nó.

Các mô-đun mật mã và môi trường ứng dụng của chúng nói chung là phức tạp. Khi các mô-đun mật mã được triển khai trong môi trường hoạt động, một lỗi nhỏ hoặc nhầm lẫn có thể ảnh hưởng đến tính bảo mật của toàn bộ môi trường hoạt động và ứng dụng. Điều quan trọng là phải thực hiện các thử nghiệm hoạt động để đảm bảo sử dụng đúng mô-đun mật mã trong môi trường hoạt động của chúng. Tài liệu này xác định các thử nghiệm hoạt động bằng cách cung cấp:

- các khuyến nghị để thực hiện đánh giá bảo mật về cài đặt, cấu hình và hoạt động của mô-đun mật mã;

- các khuyến nghị để kiểm tra hệ thống quản lý khóa, bảo vệ thông tin xác thực và các thông số bảo mật công khai và quan trọng trong môi trường hoạt động;

- các khuyến nghị để xác định các lỗ hổng mô-đun mật mã;

- danh sách kiểm tra cho chính sách thuật toán mật mã, hướng dẫn và quy định bảo mật, yêu cầu quản lý bảo mật, mức độ bảo mật cho từng lĩnh vực trong số 11 lĩnh vực yêu cầu, sức mạnh của chức năng bảo mật, v.v.; và

- đề xuất kiểm tra để xác định rằng việc triển khai của mô-đun mật mã đáp ứng các yêu cầu bảo mật.

Khi thử nghiệm vận hành được thực hiện bằng cách sử dụng tài liệu này, có thể yêu cầu quyền truy cập vào văn bản của ISO / IEC 19790 và ISO / IEC 24759.

1 Phạm vi

Tiêu chuẩn ISO / IEC TS 20540:2018 cung cấp các khuyến nghị và danh sách kiểm tra có thể được sử dụng để hỗ trợ đặc điểm kỹ thuật và kiểm tra hoạt động của các mô-đun mật mã trong môi trường hoạt động của chúng trong hệ thống bảo mật của tổ chức.

Các mô-đun mật mã có bốn cấp độ bảo mật mà ISO / IEC 19790 xác định để cung cấp độ nhạy dữ liệu rộng rãi (ví dụ: dữ liệu quản trị có giá trị thấp, chuyển tiền hàng triệu đô la, dữ liệu bảo vệ tính mạng, thông tin nhận dạng cá nhân và thông tin nhạy cảm được sử dụng bởi chính phủ) và sự đa dạng của các môi trường ứng dụng (ví dụ: cơ sở được bảo vệ, văn phòng, phương tiện di động và vị trí hoàn toàn không được bảo vệ).

Tài liệu này bao gồm:

a) các khuyến nghị để thực hiện đánh giá an toàn đối với cài đặt, cấu hình và vận hành mô-đun mật mã;

b) các khuyến nghị để kiểm tra hệ thống quản lý khóa, bảo vệ thông tin xác thực và các thông số bảo mật công khai và quan trọng trong môi trường hoạt động;

c) các khuyến nghị để xác định các lỗ hổng mô-đun mật mã;

d) danh sách kiểm tra cho chính sách thuật toán mật mã, hướng dẫn bảo mật và quy định, yêu cầu quản lý bảo mật, mức độ bảo mật cho từng lĩnh vực trong số 11 lĩnh vực yêu cầu, sức mạnh của chức năng bảo mật, v.v.; và

e) các khuyến nghị để xác định rằng việc triển khai mô-đun mật mã đáp ứng các yêu cầu bảo mật của tổ chức.

Tài liệu này giả định rằng mô-đun mật mã đã được xác nhận là phù hợp với ISO / IEC 19790.

Nó có thể được sử dụng bởi người kiểm tra hoạt động cùng với các khuyến nghị khác nếu cần.

Tài liệu này được giới hạn trong phạm vi bảo mật liên quan đến mô-đun mật mã. Nó không bao gồm việc đánh giá tính bảo mật của môi trường hoạt động hoặc ứng dụng. Nó không xác định các kỹ thuật để xác định, đánh giá và chấp nhận rủi ro hoạt động của tổ chức.

Các quy trình công nhận, triển khai và hoạt động của tổ chức, được thể hiện trong Hình 1, không được bao gồm trong phạm vi của tài liệu này.

Tài liệu này đề cập đến những người kiểm tra hoạt động thực hiện kiểm tra hoạt động cho các mô-đun mật mã trong môi trường hoạt động của họ cho phép các quan chức của mô-đun mật mã.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 19790: 2012, Công nghệ thông tin - Kỹ thuật bảo mật - Yêu cầu bảo mật đối với mô-đun mật mã

ISO / IEC 24759, Công nghệ thông tin - Kỹ thuật bảo mật - Yêu cầu thử nghiệm đối với mô-đun mật mã

Xem preview tiêu chuẩn ISO / IEC TS 20540:2018

Download tài liệu ISO / IEC TS 20540:2018 miễn phí tại đây!

Để xem được bản full ISO / IEC TS 20540:2018, quý khách có thể đăng ký mua bản full tiêu chuẩn thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và chính xác nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây hoặc qua hotline 0976.389.199. ISOCERT rất hân hạnh được đồng hành cùng doanh nghiệp trong sự nghiệp nâng cao chất lượng sản phẩm hàng hóa vì lợi ích quốc gia.