Tiêu chuẩn Quốc gia TCVN 12210:2018 Công nghệ thông tin - Đánh giá an toàn hệ thống vận hành

TIÊU CHUẨN QUỐC GIA

TCVN 12210:2018

ISO/IEC TR 19791:2010

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - ĐÁNH GIÁ AN TOÀN HỆ THỐNG VẬN HÀNH

Information technology - Security techniques - Security assessment of operational systems

Lời nói đầu

TCVN 12210:2018 hoàn toàn tương đương với tiêu chuẩn ISO/IEC TR 19791:2010.

TCVN 12210:2018 do Học viện Công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn này là tài liệu hỗ trợ, định nghĩa các phần mở rộng của TCVN 8709 để cho phép đánh giá sự an toàn của các hệ thống vận hành. TCVN 8709 đưa ra những hỗ trợ để xác định các chức năng an toàn CNTT cho các sản phẩm và các hệ thống CNTT. Tuy nhiên, TCVN 8709 không đề cập đến khía cạnh hệ thống vận hành cần được xác định một cách chính xác để đánh giá hiệu quả hệ thống vận hành.

Tiêu chuẩn này cung cấp những hướng dẫn và tiêu chí đánh giá mở rộng để đánh giá cả khía cạnh vận hành và công nghệ thông tin của các hệ thống vận hành. Tiêu chuẩn chủ yếu hỗ trợ những người có liên quan đến sự phát triển, tích hợp, triển khai và quản lý an toàn của hệ thống vận hành cũng như những người đánh giá mong muốn áp dụng chuẩn TCVN 8709 cho các hệ thống này. Tiêu chuẩn này có liên quan đến những cơ quan đánh giá có trách nhiệm phê duyệt và xác nhận hành động đánh giá.

Có một số vấn đề cơ bản liên quan đến định nghĩa và việc sử dụng thuật ngữ hệ thống. TCVN 8709 tập trung vào việc đánh giá sản phẩm nên sử dụng thuật ngữ hệ thống là chỉ bao gồm các khía cạnh công nghệ thông tin (CNTT) của hệ thống. Thuật ngữ Hệ thống vận hành được sử dụng trong tiêu chuẩn này bao gồm kết hợp cả về nhân sự, các thủ tục và các quy trình tích hợp có các chức năng và các cơ chế dựa trên công nghệ, được áp dụng cùng nhau để thiết lập một mức rủi ro còn tồn tại có thể chấp nhận được trong một môi trường hoạt động được xác định.

Tiêu chuẩn này tương thích với TCVN 8709.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - ĐÁNH GIÁ AN TOÀN CHO HỆ THỐNG VẬN HÀNH

Information technology - Security techniques - Security assessment of operational systems

1  Phạm vi áp dụng

Tiêu chuẩn này cung cấp những hướng dẫn và tiêu chí đánh giá an toàn cho các hệ thống vận hành. Tiêu chuẩn này mở rộng phạm vi của TCVN 8709 bằng cách đưa ra một số khía cạnh quan trọng đối với hệ thống vận hành mà không được đề cập khi đánh giá theo TCVN 8709. Những mở rộng chủ yếu được yêu cầu để đánh giá môi trường vận hành xung quanh đích đánh giá và phân tách các hệ thống vận hành phức tạp thành các miền an toàn mà có thể được đánh giá một cách riêng biệt.

Tiêu chuẩn này cung cấp:

a) Định nghĩa và mô hình đối với các hệ thống vận hành.

b) Mô tả những mở rộng về các khái niệm đánh giá theo TCVN 8709 để đánh giá các hệ thống vận hành.

c) Hệ phương pháp luận để đánh giá và quy trình thực hiện đánh giá an toàn cho các hệ thống vận hành.

d) Tiêu chí đánh giá an toàn bổ sung để giải quyết những khía cạnh của hệ thống vận hành mà không được trình bày trong TCVN 8709.

Tiêu chuẩn này cho phép kết hợp các sản phẩm an toàn được đánh giá dựa theo TCVN 8709 với các hệ thống vận hành được đánh giá trong tiêu chuẩn này.

Tiêu chuẩn này chỉ giới hạn việc đánh giá an toàn cho các hệ thống vận hành và không đưa ra đánh giá an toàn cho các hệ thống khác. Tiêu chuẩn này không đưa ra những kỹ thuật về định danh, đánh giá và chấp nhận rủi ro trong vận hành.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi (nếu có).

TCVN 8709-1:2011, "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát".

TCVN 8709-2:2011, "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn".

TCVN 8709-3:2011, "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn".

TCVN 11386:2016, "Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn CNTT".

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ sau và định nghĩa nêu trong TCVN 8709-1:2011 và TCVN 11386:2016.

3.1

Thành phần (component)

Phần riêng biệt và có thể định danh của hệ thống mà thực hiện một phần chức năng của hệ thống đó.

3.2

Hệ thống vận hành bên ngoài (external operational system)

Hệ thống vận hành riêng biệt mà các giao diện với hệ thống vận hành là đối tượng đánh giá.

3.3

Biện pháp kiểm soát quản lý (management controls)

Những biện pháp kiểm soát an toàn (ví dụ: các biện pháp bảo vệ và các biện pháp đối phó) đối với một hệ thống thông tin tập trung vào quản lý rủi ro và quản lý an toàn cho hệ thống thông tin.

[NIST SP 800-53]

3.4

Biện pháp kiểm soát vận hành (operational controls)

Những biện pháp kiểm soát an toàn (ví dụ, các biện pháp bảo vệ và các biện pháp đối phó) đối với một hệ thống thông tin chủ yếu được thực hiện bởi con người (trái với các hệ thống).

[NIST SP 800-53]

3.5

Hệ thống vận hành (operational system)

Hệ thống thông tin bao gồm cả các khía cạnh phi công nghệ thông tin, được xét trong ngữ cảnh của môi trường vận hành của nó.

3.6

Rủi ro còn tồn tại (residual risk)

Rủi ro còn lại sau khi đã xử lý rủi ro.

[TCVN 9788:2013]

3.7

Rủi ro (risk)

Khả năng mà một mối đe dọa sẽ khai thác các điểm yếu của một tài sản hoặc của một nhóm tài sản và do đó sẽ gây nguy hại cho tổ chức.

CHÚ THÍCH  Định nghĩa này tương tự với định nghĩa "rủi ro an toàn thông tin" trong TCVN 10295:2014.

3.6

Phân tích rủi ro (risk analysis)

Sử dụng thông tin có hệ thống để nhận dạng các nguồn rủi ro về đánh giá rủi ro.

[TCVN 9788:2013]

3.9

Đánh giá rủi ro (risk assessment)

Toàn bộ quá trình phân tích và đánh giá rủi ro.

[TCVN 9788:2013]

3.10

Quản lý rủi ro (risk management)

Các hoạt động phối hợp để quản lý và kiểm soát tổ chức có liên quan đến rủi ro.

[TCVN 9788:2013]

3.11

Xử lý rủi ro (risk treatment)

Quá trình lựa chọn và thực thi các lựa chọn để giảm thiểu rủi ro.

[TCVN 9788:2013]

3.12

Biện pháp kiểm soát an toàn (security controls)

Các quy tắc quản lý, các biện pháp kiểm soát vận hành và các biện pháp kiểm soát kỹ thuật (ví dụ: các biện pháp bảo vệ hoặc các biện pháp đối phó) quy định đối với một hệ thống thông tin để bảo vệ tính mật, tính toàn vẹn và tính sẵn sàng của hệ thống và thông tin của nó.

[NIST SP 800-53]

CHÚ THÍCH  Định nghĩa này bao gồm các biện pháp kiểm soát mà cung cấp trách nhiệm, tính xác thực thực, không từ chối, riêng tư và mức độ tin cậy, mà đôi khi được coi là khác biệt với tính mật, tính toàn vẹn và tính sẵn sàng.

3.13

Miền an toàn (security domain)

Phần của hệ thống vận hành mà thực hiện cùng một tập hợp các chính sách an toàn thông tin

3.14

Phân hệ (subsystem)

Một hoặc nhiều phần tử hệ thống vận hành có khả năng thực hiện tách biệt với phần còn lại của hệ thống.

3.15  Đích đánh giá hệ thống (system target of evaluation)

Hệ thống vận hành được vận hành theo hướng dẫn vận hành của nó, bao gồm cả kiểm soát kỹ thuật và kiểm soát vận hành.

CHÚ THÍCH  Những biện pháp kiểm soát vận hành tạo thành một phần của môi trường vận hành. Nó không được đánh giá theo chuẩn đánh giá TCVN 8709.

3.16

Kiểm soát kỹ thuật (technical controls)

Những biện pháp kiểm soát an toàn (ví dụ, các biện pháp bảo vệ và các biện pháp đối phó) đối với một hệ thống thông tin được thực hiện chủ yếu bởi các hệ thống thông tin thông qua các cơ chế có trong các thành phần cứng, phần mềm, phần sụn của hệ thống.

[NIST SP 800-53]

3.17

Xác minh (verification)

Các qui trình đánh giá được sử dụng để xác nhận rằng những biện pháp kiểm soát an toàn đối với hệ thống vận hành được thực hiện một cách chính xác và có hiệu quả theo ứng dụng của nó.

4  Ký hiệu và chữ viết tắt

Chữ viết tắt dưới đây và được đưa ra trong TCVN 8709-1:2011 và TCVN 11386:2016 được áp dụng cho mục đích của tài liệu tiêu chuẩn này;

5  Cấu trúc của tiêu chuẩn

Từ điều 1 đến điều 4 giới thiệu về tiêu chuẩn, các tài liệu viện dẫn và các thuật ngữ, định nghĩa được sử dụng trong tiêu chuẩn này.

Điều 5 trình bày tổng quan các nội dung của tiêu chuẩn.

Điều 6, Phương pháp tiếp cận kỹ thuật, mô tả các phương pháp kỹ thuật đánh giá hệ thống vận hành.

Điều 7, Mở rộng các khái niệm đánh giá của tiêu chuẩn TCVN 8709 cho các hệ thống vận hành, mô tả cách mở rộng các khái niệm đánh giá của TCVN 8709 để đánh giá hệ thống vận hành.

Điều 8, Mối quan hệ với các tiêu chuẩn an toàn thông tin hiện có, mô tả mối quan hệ giữa tiêu chuẩn này và các tiêu chuẩn an toàn thông tin khác được sử dụng trong quá trình phát triển.

Điều 9, Đánh giá các hệ thống vận hành, bao gồm các yêu cầu về đặc tả các vấn đề an toàn, mục tiêu an toàn, các yêu cầu về an toàn, các nội dung của một SST và đánh giá lại SST theo định kỳ để đánh giá hệ thống vận hành.

Phụ lục A, Đích an toàn và hồ sơ bảo vệ hệ thống vận hành, định nghĩa những đặc tả yêu cầu an toàn cần thiết cho các hệ thống vận hành.

Phụ lục B, Những yêu cầu về kiểm soát chức năng hệ thống vận hành, định nghĩa các yêu cầu chức năng an toàn bổ sung cần thiết cho các hệ thống vận hành.

6  Phương pháp tiếp cận kỹ thuật

6.1  Bản chất của hệ thống vận hành

Trong tiêu chuẩn này, hệ thống vận hành được định nghĩa là một hệ thống thông tin bao gồm cả khía cạnh phi CNTT, nó được xét trong bối cảnh môi trường vận hành của nó.

Rất nhiều hệ thống vận hành có bản chất phức tạp, nó được tạo thành do kết hợp nhiều phân hệ mà một phần thuộc quyền sở hữu riêng và khác thường về bản chất, một phần được tạo ra do sử dụng những sản phẩm chung được tích hợp sẵn. Chúng tương tác với các hệ thống khác và phụ thuộc vào những hệ thống khác. Một hệ thống vận hành thường được dựng nên bằng cách sử dụng nhiều thành phần của nhiều nhà cung cấp. Những thành phần này có thể được người tích hợp để tạo thành hệ thống vận hành mà không cần thực hiện bất kỳ chức năng phát triển nào, chỉ là cấu hình và liên kết các thành phần với nhau.

Tuy nhiên, những hệ thống vận hành tiêu biểu thường:

- Nằm dưới sự kiểm soát của một thực thể duy nhất, đó là chủ sở hữu hệ thống vận hành;

- Được xây dựng dựa trên những nhu cầu cụ thể cho một loại hình hoạt động cụ thể;

- Thay đổi thường xuyên; hoặc về thiết lập kỹ thuật và/hoặc về những yêu cầu vận hành;

- Chứa một số tượng đáng kể (hoặc thậm chí rất lớn) những thành phần;

- Có chứa những thành phần được tích hợp sẵn mà có một số lượng lớn những thay thế cấu hình;

- Cho phép chủ sở hữu hệ thống vận hành cân bằng những biện pháp an toàn kỹ thuật (và đặc biệt là CNTT) và những biện pháp an toàn phi kỹ thuật;

- Chứa những thành phần có những mức độ và những kiểu đảm bảo đảm an toàn khác nhau.

6.2  Thiết lập an toàn hệ thống vận hành

Những sản phẩm an toàn thường góp phần quan trọng đối với an toàn hệ thống vận hành, thực tế việc sử dụng những sản phẩm được đánh giá theo TCVN 8709 có thể thích hợp trong việc xây dựng một hệ thống vận hành an toàn. Tuy nhiên, vấn đề an toàn trong những hệ thống vận hành không chỉ là vấn đề liên quan đến sản phẩm mà còn là vấn đề liên quan đến hệ thống vận hành trong một môi trường vận hành có thực, chẳng hạn như ứng dụng bản sửa lỗi kém, việc thiết lập những thông số kiểm soát truy cập kém hoặc những quy tắc bảo vệ của bức tường lửa kém, việc liên kết những tập tin thư mục kém, vv... Hơn nữa, đối với trường hợp của một mạng lưới, mức độ an toàn của một hệ thống vận hành được nối mạng có thể liên quan đến những hệ thống vận hành khác mà phải kết nối với nó.

Tiêu chuẩn này được dựa trên phương pháp tiếp cận ba bước để thiết lập mức an toàn cần thiết cho một hệ thống vận hành:

a) Đánh giá rủi ro, để xác định nhũng rủi ro về an toàn đối với một hệ thống;

b) Giảm thiểu rủi ro, để chống lại hoặc loại bỏ những rủi ro về an toàn bằng cách lựa chọn, áp dụng và đánh giá những biện pháp kiểm soát an toàn;

c) Công nhận, để xác nhận rằng những rủi ro còn tồn tại trong hệ thống sau khi đã áp dụng những biện pháp kiểm soát sẽ phù hợp với hệ thống được sử dụng trong môi trường vận hành của nó.

Quá trình ba bước này được thể hiện trong Hình 1 dưới đây:

Hình 1 - Quy trình thiết lập an toàn hệ thống vận hành

Tiêu chuẩn này chỉ xét đến bước giữa của quá trình ba bước, đó là giảm thiểu rủi ro thông qua việc lựa chọn, áp dụng và đánh giá những biện pháp kiểm soát an toàn. Để làm điều này, phải sử dụng một phương pháp đánh giá an toàn dựa trên mô hình đánh giá an toàn đối với những biện pháp kiểm soát an toàn CNTT được định nghĩa trong TCVN 8709 nhưng phải được mở rộng để giải quyết được tất cả những loại kiểm soát an toàn.

Những biện pháp kỹ thuật và phương pháp đánh giá rủi ro không thuộc phạm vi của tiêu chuẩn này. Để biết thêm thông tin về đánh giá rủi ro, xem TCVN 10295:2014 [1]. Những biện pháp kỹ thuật và những mô hình công nhận trở thành trách nhiệm quản lý cũng không thuộc phạm vi của tiêu chuẩn này. Để biết thêm thông tin, xem NIST SP 800-37 [2].

Mô hình đánh giá an toàn của TCVN 8709 không xét đến môi trường vận hành xung quanh phần CNTT của hệ thống thông tin. Môi trường vận hành được coi là giả định khi đánh giá theo TCVN 8709. nhưng không thể coi nhẹ đối với hệ thống vận hành. Thông thường, những hệ thống vận hành phụ thuộc vào những biện pháp an toàn phi CNTT, ví dụ như những biện pháp mang tính chất hành chính hoặc vật lý. Do đó, cần phải xác định cách để diễn tả và đánh giá những yêu cầu và những biện pháp kiểm soát này, bằng việc mở rộng tiêu chí đánh giá theo TCVN 8709. Tiêu chuẩn này mở rộng TCVN 8709 để thực hiện điều này. Những mở rộng không bị giới hạn, bao gồm:

a) Xác định vị trí đánh giá an toàn trong hệ phương pháp luận để đánh giá an toàn hệ thống vận hành kể cả môi trường vận hành của chúng.

b) Phương pháp luận để xác định cấu trúc bên trong của hệ thống vận hành, bao gồm chi tiết về những giao diện bên trong và những giao diện bên ngoài để hiểu được cách thức những phần khác nhau của hệ thống vận hành hoạt động tương tác với nhau.

c) Danh mục những tiêu chí đảm bảo diễn tả những mở rộng về phạm vi đánh giá (xem Phụ lục A).

d) Danh mục những tiêu chí chức năng diễn tả những biện pháp kiểm soát an toàn vận hành bổ sung (xem Phụ lục B).

e) Danh mục những tiêu chí đảm bảo diễn tả những nhiệm vụ đánh giá bổ sung cần thiết để đánh giá các hệ thống vận hành (xem Phụ lục C).

f) Danh mục những hoạt động đánh giá diễn tả những hoạt động bổ sung cần thiết để đánh giá các hệ thống vận hành (xem Phụ lục D).

Mở rộng cách tiếp cận TCVN 8709 đánh giá những hệ thống vận hành hoàn chỉnh mang lại lợi ích trong việc sử dụng phép đo đã được định nghĩa để biết kết quả đánh giá. Đối với một hệ thống vận hành cụ thể thì việc công khai kết quả đánh giá theo cách mà có thể tương thích với TCVN 8709 có thể mang lại lợi thế nghiệp vụ cho khách hàng, không chỉ đối với những hệ thống cung cấp dịch vụ như hệ thống ngân hàng trực tuyến, mà còn từ quan điểm trách nhiệm xã hội.

Đánh giá hệ thống vận hành cần phải có một đánh giá rủi ro trước đó để nhận biết được những rủi ro an toàn đối với một hệ thống vận hành, và xác định được những rủi ro không thể chấp nhận được và phải được giảm bớt hoặc loại bỏ thông qua những biện pháp kiểm soát kỹ thuật và những biện pháp kiểm soát vận hành. Tiếp đến, phải bao gồm những bước sau:

a) Thiết lập những mục tiêu an toàn cho hệ thống vận hành sẽ giảm bớt những rủi ro không thể chấp nhận đến một mức có thể chấp nhận được

b) Lựa chọn và xác định những biện pháp kiểm soát an toàn kỹ thuật và kiểm soát vận hành đáp ứng được những mục tiêu an toàn đối với hệ thống vận hành, có tính đến những biện pháp kiểm soát để tồn tại.

c) Xác định những yêu cầu đảm bảo cụ thể, hợp lý cho cả kiểm soát kỹ thuật và kiểm soát vận hành để có được mức độ tin cậy cần thiết để hệ thống vận hành đáp ứng được những mục tiêu an toàn của nó.

d) Ghi lại những quyết định được thực hiện trong đích an toàn hệ thống (SST).

e) Đánh giá hệ thống vận hành thực tế để thấy được việc tuân thủ với SST.

f) Định kỳ đánh giá lại những rủi ro về an toàn đối với hệ thống vận hành và khả năng đối phó của hệ thống vận hành đối với những rủi ro đó.

Mặc dù mô hình này là mở rộng của mô hình được trình bày trong TCVN 8709, nhưng nó có sự nhất quán với mô hình đó vì thế những kết quả đánh giá theo TCVN 8709 có thể tái sử dụng được.

6.3  An toàn đối với vòng đời của hệ thống vận hành

6.3.1  Tổng quan

Vòng đời của một hệ thống vận hành gồm 4 giai đoạn, đó là giai đoạn phát triển/tích hợp, giai đoạn cài đặt, giai đoạn hoạt động của hệ thống và giai đoạn sửa đổi. Những biện pháp kiểm soát an toàn hệ thống vận hành phải được đánh giá trong suốt vòng đời của hệ thống. Những giai đoạn này được trình bày ở Hình 2 dưới đây.

Hình 2 - An toàn đối với vòng đời của hệ thống vận hành

6.3.2  Giai đoạn phát triển/ tích hợp

Trong giai đoạn phát triển/tích hợp, hoạt động đảm bảo an toàn đầu tiên là xác định những rủi ro đối với hệ thống vận hành. Những rủi ro này là những rủi ro không thể chấp nhận và phải được giảm bớt hoặc loại bỏ bằng những bài đo an toàn được tạo sẵn trong hệ thống. Sau khi đánh giá rủi ro và xác định được những rủi ro đã được loại bỏ, nhân viên có thẩm quyền của tổ chức, tổ chức chứng nhận phải xem xét những rủi ro còn tồn tại dự kiến, tổng những rủi ro còn tồn tại, và xác nhận rằng chúng có thể chấp nhận được không.

Tiếp đến là thiết kế hệ thống vận hành, bao gồm việc sử dụng sản phẩm phần cứng và phần mềm, tài sản vật lý quy định, những chương trình ứng dụng nghiệp vụ cần thiết và những biện pháp kiểm soát an toàn kỹ thuật quy định. Việc thiết kế hệ thống vận hành phải được ghi vào SST. SST sẽ bao gồm phần mô tả những yêu cầu an toàn hệ thống, kể cả rủi ro đã được đối phó và những mục tiêu an toàn đã được thực hiện bằng những biện pháp kiểm soát kỹ thuật và những biện pháp kiểm soát vận hành. Danh mục những biện pháp kiểm soát kỹ thuật và kiểm soát vận hành được ghi trong SST sẽ đại diện cho một bản thuyết minh những mục tiêu an toàn hệ thống.

Các mục tiêu an toàn cần được quy định trong SST để giải quyết những rủi ro được xác định là những rủi ro không thể chấp nhận. SST sẽ xác định những yêu cầu an toàn mà hoàn toàn đáp ứng được những mục tiêu an toàn mà không có bất kỳ bổ sung hoặc thiếu sót nào. Tài liệu thiết kế hệ thống vận hành cần quy định những biện pháp đối phó an toàn rõ ràng đối với hệ thống vận hành mà đáp ứng tất cả những yêu cầu an toàn đã quy định trong SST. Những biện pháp đối phó có thể là những chức năng an toàn, những phương tiện, những thủ tục hoặc những quy định về an toàn. Những biện pháp đối phó phải được kiểm soát, quản lý và được áp dụng một cách thích hợp đối với hệ thống vận hành. Những biện pháp đối phó an toàn được thực hiện mà không cần sửa đổi, loại bỏ hoặc trái bổ sung trái phép nào. Việc thực hiện những biện pháp đối phó phải được xác minh bằng việc kiểm thử hệ thống hoặc kiểm tra tài liệu. Hoạt động của những biện pháp đối phó an toàn cần phải được mô tả đầy đủ trong những tài liệu hướng dẫn.

Để đạt được hiệu quả, các yêu cầu an toàn đã được lựa chọn sẽ giảm bớt tất cả những rủi ro về an toàn được xác định là không thể chấp nhận được đến mức có thể chấp nhận như những rủi ro còn tồn tại. Mỗi biện pháp đối phó an toàn phải hoạt động hiệu quả khi kết hợp với biện pháp đối phó khác để đáp ứng toàn bộ những yêu cầu an toàn cho hệ thống vận hành. Độ mạnh của những cơ chế an toàn phải đủ để phù hợp với khả năng tấn công dự kiến. Việc khảo sát hoặc phân tích những điểm yếu và việc kiểm thử thâm nhập có thể được yêu cầu với khả năng tấn công dự kiến.

Người đánh giá cần phải tham gia vào giai đoạn phát triển/tích hợp, đây là giai đoạn đầu trong vòng đời của hệ thống để thuận tiện cho việc nắm bắt hệ thống và môi trường dự định của nó, cũng như để chuẩn bị đầu vào từ xem xét những tài liệu thiết kế và để chuẩn bị hướng dẫn đánh giá và tài liệu hướng dẫn được sử dụng như một phần của bằng chứng đảm bảo. Lý tưởng là SST đầy đủ phải được đánh giá sơ bộ để xác nhận rằng không có những bất đồng hoặc thiếu sót trong những yêu cầu an toàn và những biện pháp kiểm soát đã đề xuất.

Những ứng dụng nghiệp vụ và phần mềm hệ thống, bao gồm cả kiểm soát an toàn kỹ thuật được tạo ra hoặc được mua, hệ thống sẽ được tích hợp, được cấu hình, và được kiểm thử bởi những người phát triển. Đồng thời, phải lập ra một tổ chức về an toàn vận hành, phải đưa ra các thủ tục, quy tắc và chính sách về an toàn và tích hợp chúng với hệ thống. Những thiết lập cấu hình an toàn thích hợp phải được xác định và thực hiện.

Tiếp theo là kiểm thử việc tích hợp, hệ thống vận hành nên được kiểm thử an toàn như phần kiểm thử xác minh những yêu cầu của nhà phát triển. Thông thường, những biện pháp kiểm soát an toàn hệ thống như kiểm soát truy cập có thể được người phát triển xác minh trước khi phát triển tại vị trí hoạt động. Việc kiểm thử những biện pháp kiểm soát an toàn (cả kiểm soát an toàn kỹ thuật và kiểm soát an toàn vận hành) sẽ bị hoãn lại cho đến khi hệ thống được cài đặt xong trong môi trường vận hành dự định của nó. Việc kiểm thử xác minh sẽ xác nhận độ mạnh của cơ chế bảo mật cũng như những hoạt động chính xác của những biện pháp kiểm soát an toàn.

Cuối cùng là đánh giá hệ thống vận hành. Việc đánh giá sẽ xác nhận những rủi ro đã được trình bày chi tiết trong SST phải được đối phó bằng những biện pháp kiểm soát an toàn được hệ thống giải quyết ở mức có thể chấp nhận được. Kết quả của việc đánh giá là xác nhận tính độc lập với chủ sở hữu hệ thống.

Báo cáo chứng nhận sẽ liệt kê bất kỳ điểm yếu nào được tìm thấy trong khi đánh giá và sẽ xác định bất kỳ những hành động nào được khuyến nghị. Sau đó, chủ sở hữu hệ thống sẽ chuẩn bị một kế hoạch hành động khắc phục để giảm bớt hoặc loại bỏ những điểm yếu đã được xác định. Kết quả của việc xác nhận hệ thống sẽ được gửi đến tổ chức chứng nhận để xác định rằng rủi ro còn tồn tại thực tế đối với những hoạt động và tài sản hệ thống là có thể chấp nhận được. Đầu ra của giai đoạn này sẽ là cấp quyền cho hệ thống vận hành.

6.3.3  Giai đoạn cài đặt

Trong giai đoạn cài đặt, phải chuẩn bị và thực hiện những biện pháp kiểm soát kỹ thuật và kiểm soát vận hành để sử dụng trong môi trường vận hành. Những biện pháp kiểm soát cụ thể sẽ được kiểm thử và những biện pháp kiểm soát khác sẽ được kiểm thử lại để xác nhận rằng chúng được thực hiện một cách chính xác trong môi trường vận hành thực tế.

Những biện pháp kiểm soát phải phù hợp với những yêu cầu an toàn được ghi trong SST và chỉ những người thành thạo mới được phép sử dụng. Để có hiệu quả, tất cả mọi người sẽ được đào tạo sử dụng những thủ tục và những biện pháp kiểm soát an toàn.

6.3.4  Giai đoạn hoạt động của hệ thống

Trong giai đoạn hoạt động của hệ thống, phải được thu thập và đánh giá các bản ghi hoạt động của những biện pháp kiểm soát kỹ thuật và kiểm soát vận hành. Những lần vết đánh giá và bản ghi giám sát tất cả những truy cập đến tài sản phải được ghi lại.

Các biện pháp đối phó an toàn cần phải được xác nhận là có hoạt động như dự định. Không có những hoạt động không được cấp phép và không được xuất hiện những rủi ro không thể chấp nhận. Trạng thái an toàn cần được phục hồi từ trạng thái không an toàn trong thời gian quy định. Những thay đổi do bảo dưỡng định kỳ phải được theo dõi và được đánh giá về những vấn đề an toàn. Hồ sơ truy cập và việc sử dụng tài sản cần được kiểm tra. Các vấn đề an toàn cần được báo cáo, xem xét và phân tích.

Mục đích của những hoạt động này là để cung cấp thông tin phản hồi đến tổ chức chứng nhận khi có những thay đổi mà có thể ảnh hưởng đến an toàn hệ thống vận hành. Thông thường, trong các hệ thống vận hành, một tập nhỏ những biện pháp kiểm soát an toàn hệ thống vận hành cần phải được xác định để giám sát thường xuyên để xác định hiệu quả của chúng. Ngoài ra, chủ sở hữu hệ thống phải có sẵn một cấu hình quản lý, cấu hình kiểm soát và hệ thống báo cáo để ghi vào tài liệu những tài sản hệ thống vận hành hiện tại, cấu hình của nó, và trình bày thông tin đó cho các tổ chức chịu trách nhiệm.

6.3.5  Giai đoạn sửa đổi

Trong giai đoạn sửa đổi hệ thống, bất kỳ thay đổi nào về hệ thống vận hành dự định hoặc hệ thống vận hành thực tế không thuộc phạm vi bảo dưỡng định kỳ sẽ được xem xét, phân tích, và nếu cần thiết, sẽ được kiểm thử để xác định tác động của nó đối với sự an toàn hệ thống vận hành trước khi được thực hiện trong môi trường hoạt động trực tiếp. Việc này bao gồm những thay đổi về thủ tục và chính sách. Thực hiện kiểm thử quá trình thâm nhập của những biện pháp kiểm soát đã được hiệu chỉnh để kiểm tra hiệu quả hoạt động của nó.

Kết quả của những phân tích tác động và kiểm thử phải được gửi đến tổ chức chứng nhận để xác định sự cần thiết phải đánh giá lại sự an toàn. Nếu những hiệu chỉnh cho thấy là không làm tăng đáng kể những rủi ro còn tồn tại có thể vì chúng đã được đánh giá theo qui trình bảo trì đảm bảo sản phẩm thì có thể được tái cấp phép mà không cần đánh giá lại. Tuy nhiên, nếu kết quả đánh giá đã hết hiệu lực thì phải yêu cầu đánh giá lại.

Hành động cuối cùng của việc sửa đổi hệ thống là ngừng hoạt động nếu hệ thống bị đóng lại và dữ liệu của nó bị nén, bị phá hủy hoặc bị chuyển sang hệ thống khác. Tổ chức chứng nhận sẽ được yêu cầu xác nhận xem hệ thống có được kết thúc thành công không.

6.4  Mối quan hệ với những hệ thống khác

Một hệ thống vận hành có thể tương tác với những hệ thống khác có liên quan và có thể tạo thành một phần tổng thể thống lớn hơn. Những STOE của hệ thống vận hành đã đánh giá được định nghĩa là một phần của một nhóm những hệ thống được đánh giá, bao gồm cả hệ thống CNTT và môi trường vận hành của nó. Phần còn lại được coi là các hệ thống vận hành bên ngoài. Một hệ thống vận hành có thể có những mục tiêu an toàn mà đáp ứng bởi những hệ thống vận hành bên ngoài, nhưng những hệ thống này không được phân tích hay đánh giá.

7  Mở rộng các khái niệm đánh giá của TCVN 8709 đối với các hệ thống vận hành

7.1  Tổng quan

Mục đích của mục này là đưa ra triết lý làm cơ sở tiếp cận chuẩn TCVN 8709 về đánh giá an toàn và sau đó mở rộng đối với các hệ thống vận hành. TCVN 8709 chỉ đề cập đến những biện pháp kiểm soát kỹ thuật và kiểm soát quản lý liên quan; trong các hệ thống vận hành, những biện pháp kiểm soát kỹ thuật và kiểm soát vận hành kết hợp với nhau để bảo vệ thông tin và các tài sản khác của tổ chức.

7.2  Triết lý chung

Đối với nhiều tổ chức, thông tin là tài sản quan trọng và cần phải bảo vệ chúng khỏi các mối đe dọa về việc sửa đổi, phát hành trái phép hoặc phá hủy. Các tài sản này được bảo vệ bằng cách sử dụng kết hợp những biện pháp kiểm soát an toàn cùng với sự hỗ trợ về nhân sự, chính sách và các thủ tục kiểm soát vận hành và biện pháp bảo vệ vật lý. Triết lý tổng quan của TCVN 8709 là những mối đe dọa đến tài sản của tổ chức cần được trình bày rõ ràng và những mối đe dọa này phải được chống lại bằng cách sử dụng kết hợp kiểm soát kỹ thuật và cơ sở hạ tầng kiểm soát vận hành. Những yêu cầu kiểm soát kỹ thuật để giải quyết các mối đe dọa được trình bày trong TCVN 8709-2. Theo TCVN 8709, các yêu cầu về kiểm soát vận hành được xem xét riêng là một phần của quá trình công nhận và do đó tiêu chuẩn TCVN 8709 không trực tiếp đưa ra việc đánh giá an toàn cho hệ thống vận hành. Tài liệu này tìm kiếm những yêu cầu đó để chính thức hóa chúng để chúng có thể được đánh giá như một phần đánh giá hệ thống vận hành.

TCVN 8709 phân chia các biện pháp an toàn thành các dịch vụ an toàn có liên quan được cung cấp và các biện pháp thực hiện để đảm bảo rằng những biện pháp đó được thực hiện một cách chính xác và hiệu quả. Trong đánh giá sản phẩm, các dịch vụ an toàn có liên quan có những chức năng về CNTT được thực hiện để đáp ứng các mục tiêu đối với phần công nghệ. Trong ngữ cảnh hệ thống vận hành, những đóng góp về mặt vật lý và về mặt thủ tục an toàn cũng có thể được xét đến. Chúng tương tự chức năng CNTT bởi vì chúng có những khả năng an toàn của hệ thống vận hành mà cùng đáp ứng các mục tiêu an toàn. Tuy nhiên, chúng thường không dựa trên công nghệ và chúng phù hợp để đánh giá trong phần kiểm soát vận hành vòng đời hệ thống vận hành hơn là trong phần phát triển hệ thống vận hành. Vì vậy, chúng được coi là khác so với yêu cầu chức năng.

Trong TCVN 8709, những biện pháp được thực hiện để đảm bảo rằng những khả năng an toàn thực hiện như mong đợi được định nghĩa là "bảo đảm" và bao gồm các bằng chứng được tạo ra và đánh giá độc lập sự phù hợp của những khả năng an toàn đó. Thuật ngữ này có thể được mở rộng bao gồm cả phần những biện pháp kiểm soát vận hành của hệ thống vận hành xuyên suốt tài liệu để mô tả những biện pháp kiểm soát vận hành đã thực hiện.

Qui trình được sử dụng để phát triển, thực hiện và duy trì cả bản thân hệ thống vận hành và cả các dịch vụ an toàn liên quan có ảnh hưởng đáng kể đến tính chính xác và hiệu quả của các dịch vụ an toàn liên quan và sự đóng góp của nó đến an toàn hệ thống vận hành. Ảnh hưởng này cũng góp phần đảm bảo trong việc thực hiện các dịch vụ an toàn liên quan. Vì vậy, qui trình này góp phần vào việc đảm bảo tổng thể hệ thống vận hành phức tạp. Cụ thể hơn, mức đảm bảo khả năng của quá trình càng lớn thì độ tin cậy về tính chính xác và hiệu quả của các dịch vụ an toàn liên quan càng cao và do đó toàn bộ đảm bảo được cung cấp.

Tóm lại, những yêu cầu chức năng an toàn vận hành là những biện pháp kiểm soát an toàn phi kỹ thuật được thực hiện trong hệ thống vận hành góp phần vào những mục tiêu an toàn tổng thể, trong khi những yêu cầu đảm bảo an toàn vận hành phản ánh bằng chứng cho thấy những yêu cầu này được thỏa mãn.

Do đó việc đánh giá an toàn cho một hệ thống vận hành có thể được chia thành các bước sau:

a) Vấn đề an toàn được trình bày là một tập hợp những rủi ro được giảm thiểu hoặc được giảm nhẹ và một tập hợp các chính sách an toàn của tổ chức được thi hành. Điều này đòi hỏi phải có sự phân tích trước khi xác định mục đích của hệ thống vận hành và đòi hỏi phải đánh giá rủi ro để xác định những rủi ro mà sẽ được chống lại bằng những biện pháp kiểm soát kỹ thuật và kiểm soát vận hành. Các kết quả phân tích được ghi lại trong SST.

b) Vấn đề an toàn được phân chia thành giải pháp an toàn mức cao, được đại diện bởi một tập hợp các mục tiêu an toàn. Những mục tiêu này được ghi lại trong SST.

c) Các mục tiêu an toàn được cải tiến thành các yêu cầu an toàn có thể được đánh giá bởi một người đánh giá độc lập. Một số mục tiêu an toàn sẽ được phân bổ cho những biện pháp kiểm soát kỹ thuật và một số khác cho kiểm soát vận hành. Một số mục tiêu an toàn có thể đòi hỏi phải có cả kiểm soát kỹ thuật và kiểm soát vận hành. Ví dụ, kiểm soát việc truy cập trái phép tài sản thông tin sẽ thường được thực hiện bằng cách trang bị an toàn vật lý cho tài sản (ví dụ như trang bị ổ khóa, có người bảo vệ) và cả bằng chức năng CNTT (ví dụ như cơ chế xác thực người dùng và kiểm soát truy cập). Các yêu cầu an toàn được ghi lại trong SST.

d) Một tập hợp các hoạt động giúp người đánh giá thực hiện trong quá trình đánh giá được định nghĩa dựa trên các mục tiêu tổng thể và đảm bảo tổng thể các biện pháp bảo vệ cần thiết. Những yêu cầu đảm bảo được ghi lại trong SST.

e) Người đánh giá độc lập xác định xem hệ thống vận hành có đáp ứng yêu cầu an toàn của nó dựa trên những yêu cầu ghi trong SST không.

f) Thực hiện những đánh giá liên tục để đảm bảo rằng hệ thống vận hành đáp ứng yêu cầu của nó trong quá trình vận hành. Những đánh giá này sẽ tập trung chủ yếu vào phần kiểm soát vận hành của hệ thống vận hành vì những biện pháp kiểm soát này phụ thuộc vào hành xử của con người, đó là kém nhất quán và kém kiểm soát hơn so với hành vi CNTT.

g) Định kỳ đánh giá lại hệ thống vận hành có thể đánh giá hệ thống vận hành tiếp tục đáp ứng yêu cầu của nó bất chấp những thay đổi đối với hệ thống vận hành hoặc môi trường của nó. Việc này bao gồm việc xác định những thay đổi đã diễn ra, đánh giá tác động an toàn của những thay đổi này, cập nhật SST theo quy định, xác định sự an toàn được duy trì trong suốt quá trình này.

Qui trình đánh giá an toàn này tương tự qui trình đánh giá theo TCVN 8709. Sự khác nhau cơ bản giữa đánh giá hệ thống vận hành trong tiêu chuẩn này và đánh giá sản phẩm theo TCVN 8709 là: khi đánh giá hệ thống vận hành thì môi trường vận hành thực tế được xét đến đầy đủ, trong khi đánh giá sản phẩm thì môi trường vận hành không được định nghĩa chi tiết, nó chỉ được mô tả như những giả định mà không được thẩm tra trong quá trình đánh giá

Mục tiêu chính của đánh giá hệ thống vận hành là đảm bảo các mục tiêu an toàn đối với hệ thống vận hành được thực hiện một cách chính xác và hiệu quả. Tuy nhiên, đánh giá những biện pháp kiểm soát an toàn, cho dù là về mặt kỹ thuật hay về mặt vận hành thì không bao giờ có thể có được sự đảm bảo tuyệt đối rằng những biện pháp kiểm soát này sẽ luôn luôn hoạt động như dự định, mọi lúc và trong mọi tình huống. Việc đánh giá đem đến sự phán quyết thành công hoặc thất bại. Ngay cả khi việc đánh giá xác định không có những điểm yếu không thể chấp nhận được thì vẫn sẽ luôn có một rủi ro còn tồn tại mà những biện pháp kiểm soát không thực hiện được như dự định. Rủi ro này có thể được giảm bằng cách thêm những biện pháp kiểm soát đảm bảo bổ sung hoặc sử dụng các biện pháp bảo đảm khác mà có độ tin cậy cao hơn. Rủi ro còn tồn tại của việc thực hiện không chính xác hoặc không hiệu quả những biện pháp kiểm soát chỉ có thể được xác định thông qua đánh giá và giám sát liên tục.

Rủi ro còn tồn tại này phải được tính đến khi quyết định xem liệu rằng một hệ thống vận hành có thể được công nhận về hoạt động trực tiếp không.

Yếu tố môi trường có thể dẫn đến sự khác biệt về môi trường tới hạn/đe dọa đối với các thành phần của hệ thống vận hành khác nhau. Có thể một số phần của hệ thống vận hành có thể đòi hỏi có sự đảm bảo nhiều hơn trong khi các phần khác đòi hỏi có đảm bảo ít hơn. Do đánh giá rủi ro có thể thiết lập các mức rủi ro có thể chấp nhận khác nhau cho các phần khác nhau của hệ thống vận hành, nên hệ thống vận hành có thể được chia thành các miền an toàn với các yêu cầu đảm bảo khác nhau. Đánh giá rủi ro sẽ xác định được khả năng chấp nhận rủi ro đối với các phần khác nhau của hệ thống vận hành và sẽ hỗ trợ trong việc xác định các biện pháp bảo đảm phù hợp với từng phần của hệ thống vận hành.

7.3  Đảm bảo hệ thống vận hành

Mô hình đảm bảo của TCVN 8709 tập trung vào việc cung cấp các bằng chứng cho thấy các chức năng an toàn tồn tại và được thực hiện một cách chính xác và hiệu quả. Các mức đảm bảo cao hơn đòi hỏi những yêu cầu chi tiết hơn về nội dung và kiểu bằng chứng. Ngoài ra, các mức đảm bảo cao hơn đôi khi cũng đòi hỏi phải tăng tính chính xác của việc phân tích các bằng chứng của cả người phát triển và người đánh giá.

Đánh giá sản phẩm theo TCVN 8709 được tiến hành theo cách giả định là có một môi trường vận hành chung mà trong đó các sản phẩm có thể được sử dụng. Việc đánh giá sản phẩm sẽ tập trung vào việc kiểm tra những khả năng an toàn được thực hiện bởi các sản phẩm, không phụ thuộc vào bất kỳ nội dung vận hành cụ thể nào. Việc đánh giá sản phẩm sử dụng những đặc tả, tài liệu thiết kế và kiểm thử khác nhau để chứng minh tính đúng đắn của phán quyết. Trong đánh giá sản phẩm, các yêu cầu đảm bảo không xuất phát từ vấn đề an toàn. Thay vào đó, chúng được lựa chọn một cách tự nhiên hoặc được lựa chọn theo quyết định chính sách.

Mục tiêu chính của đánh giá sản phẩm là đảm bảo khả năng an toàn của sản phẩm được thực hiện một cách chính xác. Cơ sở của tính chính xác được thiết lập bởi những yêu cầu an toàn được chứa trong đích an toàn của sản phẩm (ST). ST bao gồm một số khả năng theo dấu các vấn đề an toàn được giải quyết theo kết quả của các yêu cầu an toàn. Vấn đề an toàn được trình bày trong ST được giả định dựa trên đánh giá mối đe dọa đối với các loại môi trường thích hợp cho việc phát triển sản phẩm. Phạm vi đánh giá sản phẩm được giới hạn đối với các yêu cầu an toàn CNTT được phân bổ cho các sản phẩm theo đánh giá mối đe dọa này. Ngoài ra, đánh giá sản phẩm thiết lập biên đối với "các giá trị an toàn" cho các phần của sản phẩm có thể được cấu hình: được định nghĩa là "cấu hình đánh giá". Tuy nhiên, những cấu hình này không tính đến bất kỳ môi trường cụ thể nào không được biết đến tại thời điểm đánh giá. Sau khi hoàn thành việc đánh giá sản phẩm, nó vẫn còn cần thiết để tích hợp sản phẩm được đánh giá với các sản phẩm khác để tạo nên một hệ thống vận hành, và cuối cùng là để kiểm tra xem hệ thống vận hành có cung cấp các thuộc tính an toàn và hành xử trong môi trường vận hành và cấu hình hoạt động của nó không.

Thông thường, đánh giá sản phẩm có các biện pháp bảo đảm tương tự được áp dụng cho tất cả các chức năng an toàn được xác định. Mặc dù về mặt kỹ thuật có thể có miền an toàn khác nhau trong các sản phẩm, thường không được áp dụng để đánh giá sản phẩm chung.

Báo cáo đánh giá và bằng chứng đánh giá được tạo ra từ việc đánh giá sản phẩm có thể được sử dụng để hỗ trợ việc tích hợp hệ thống vận hành và nỗ lực kiểm thử hệ thống vận hành.

Về nguyên tắc, có rất ít sự khác biệt giữa các thuộc tính của một sản phẩm CNTT và hệ thống vận hành khi xét đến mục đích đánh giá an toàn. Tuy nhiên, việc đánh giá hệ thống vận hành có thể phức tạp hơn nhiều so với đường sản phẩm của TCVN 8709 vì một số lý do:

a) Hệ thống vận hành có thể bao gồm nhiều sản phẩm được tích hợp sẵn và những phát triển CNTT được phân loại thành các miền an toàn. Bố cục của từng miền an toàn hệ thống có thể dựa trên một số yếu tố, chẳng hạn như công nghệ sử dụng, chức năng được trang bị và quan trọng là các tài sản được bảo vệ.

b) Một hệ thống vận hành có thể bao gồm nhiều mẫu của cùng một sản phẩm (ví dụ, nhiều bản sao của một hệ thống vận hành được cung cấp bởi cùng nhà cung cấp) hoặc nhiều mẫu khác nhau của cùng một sản phẩm (ví dụ, nhiều tường lửa được cung cấp bởi các nhà cung cấp khác nhau).

c) Một hệ thống vận hành có thể có các chính sách an toàn chỉ áp dụng cho một số miền an toàn này mà không áp dụng cho các miền an toàn khác.

d) Rủi ro còn tồn tại khác nhau có thể chấp nhận được trong các miền khác nhau của một hệ thống vận hành, trong khi một sản phẩm có thể chống lại các mối đe dọa cụ thể đối với các loại tài sản cụ thể mà không cần xem xét đến rủi ro.

Tất cả những yếu tố này tác động đến các yêu cầu đảm bảo cho hệ thống vận hành. Cụ thể, các miền an toàn khác nhau cần có các dạng kiểm soát đảm bảo khác nhau, tùy thuộc vào các thông tin phát triển có sẵn hoặc các loại kiểm soát chức năng khác nhau được lựa chọn. Điều này có nghĩa rằng các mục tiêu đảm bảo phải được định nghĩa và giải thích là một phần của giải pháp đối với vấn đề an toàn.

Hơn nữa, việc đánh giá hệ thống vận hành phải bao gồm tất cả những biện pháp kiểm soát an toàn, kể cả những biện pháp kiểm soát được thực hiện trong môi trường vận hành, nó được xem như những giả định trong đánh giá sản phẩm. Nhìn chung, các loại yêu cầu đảm bảo đối với những biện pháp kiểm soát kỹ thuật được trình bày trong TCVN 8709-3 có thể được mở rộng để áp dụng cho những biện pháp kiểm soát vận hành. Ví dụ, khái niệm về đánh giá các tài liệu thiết kế kỹ thuật cho những biện pháp kiểm soát sẽ trở thành khái niệm đánh giá đặc tả các thủ tục vận hành đối với những biện pháp kiểm soát vận hành. Hành động của những người thực hiện kiểm soát vận hành có thể được kiểm tra theo cách tương tự với cách mà các hành động của các chương trình thực hiện những biện pháp kiểm soát kỹ thuật đã được kiểm tra.

Một số các yêu cầu đảm bảo của TCVN 8709-3 liên quan đến sự phát triển hệ thống không được áp dụng trực tiếp cho các hệ thống vận hành, hoặc việc đánh giá của chúng phải được trì hoãn cho đến giai đoạn cài đặt hệ thống. Tương tự như vậy, việc đảm bảo đối với những biện pháp kiểm soát vận hành thường chỉ có thể đạt được trong các môi trường vận hành thực tế, trong khi kiểm soát kỹ thuật thường được kiểm tra và thử nghiệm trong môi trường phát triển của chúng.

Do đó, để đánh giá những biện pháp kiểm soát an toàn của các hệ thống vận hành thì cần thiết phải tổng quát hóa và sửa đổi các lớp đảm bảo về chức năng kỹ thuật được trình bày trong TCVN 8709-3. Việc này đã được thực hiện, Phụ lục C bao gồm các định nghĩa của các lớp đảm bảo phù hợp để đánh giá hệ thống vận hành.

Vấn đề đặc biệt cần quan tâm đó là đảm bảo tính hiệu quả của những biện pháp kiểm soát thực hiện SSF. Việc đảm bảo đối với khía cạnh kiểm soát kỹ thuật này đạt được thực bằng những kỹ thuật thiết kế kiến trúc như phân chia miền, không can thiệp những biện pháp kiểm soát và khả năng không đi vòng của những biện pháp kiểm soát. Đối với kiểm soát vận hành, tương tự nhưng sử dụng những kỹ thuật khác, chẳng hạn như chia tách nhiệm vụ, kiểm tra, giám sát.

Những phạm vi mà cần đến các thành phần đảm bảo bổ sung để xử lý hệ thống vận hành là:

a) Kiến trúc an toàn tổng thể và vị trí của các thành phần trong kiến trúc;

b) Cấu hình các thành phần bao gồm hệ thống vận hành;

c) Các chính sách, quy tắc và thủ tục quản lý chi phối hoạt động của hệ thống vận hành;

d) Các yêu cầu và quy tắc tương tác với các hệ thống vận hành đáng tin cậy và không đáng tin cậy khác;

e) Giám sát những biện pháp kiểm soát phi CNTT trong giai đoạn vận hành của vòng đời hệ thống.

Do chỉ tập trung vào sản phẩm nên TCVN 8709 giả định rằng một TOE sẽ được phát triển trong một môi trường phát triển đơn khác biệt với môi trường vận hành dự định. Giả thiết này có vẻ không đúng đối với hầu hết các hệ thống vận hành. Ngay cả khi hệ thống vận hành được phát triển trong một môi trường thử nghiệm riêng biệt, giai đoạn cuối của sự phát triển hệ thống vận hành sẽ là tích hợp vào môi trường vận hành, khi các biện pháp kiểm soát vận hành được bổ sung cho hệ thống vận hành. Một số phần của hệ thống vận hành, đặc biệt là các sản phẩm được tích hợp sẵn có thể đã được phát triển trong môi trường phát triển riêng biệt và khác so với môi trường phát triển chính.

Một số thành phần của hệ thống vận hành có thể đã được đánh giá theo TCVN 8709, dựa bên các giả định về môi trường vận hành dự định. Nếu những giả định này được chứng minh là đúng khi xét trong ngữ cảnh hệ thống vận hành thì kết quả đánh giá này sẽ vẫn được áp dụng khi sử dụng những thành phần này như là một phần của hệ thống vận hành, và có thể được tái sử dụng.

Tóm lại, có 5 cách chính đảm bảo kiểm soát hệ thống vận hành đó là:

a) Phân tích thiết kế hệ thống vận hành (Lớp ASD của Phụ lục C, dựa bên lớp ADV của TCVN 8709-3);

b) Kiểm thử hệ thống vận hành (các Lớp AOT của phụ lục C, dựa trên lớp ATE của TCVN 8709-3);

c) Kiểm tra xem hệ thống vận hành có được cài đặt và cấu hình chính xác không (Lớp APR Phụ lục C, không có TCVN 8709-3 tương đương);

d) Kiểm tra hệ thống vận hành có thực hiện một cách an toàn trong khi đang hoạt động trực tiếp không (Lớp ASO của Phụ lục C, không có lớp đảm bảo tương đương của TCVN 8709-3);

e) Tái sử dụng kết quả đánh giá sẵn có (các thành phần của lớp AOC).

Ngoài ra, việc đảm bảo có thể đạt được bằng việc kiểm tra đặc tả các yêu cầu (các lớp ASP và ASS, dựa trên các lớp APE và ASE của TCVN 8709-3), tài liệu hướng dẫn vận hành (lớp AOD, dựa trên lớp AGD của TCVN 8709-3), và đánh giá điểm yếu (lớp AOV, dựa trên lớp AVA của TCVN 8709-3).

Hầu hết những đánh giá hệ thống vận hành sẽ yêu cầu phải sử dụng tất cả các kỹ thuật này.

Có thể có nhiều cách khác nhau để đạt được mức đảm bảo quy định trong một hệ thống vận hành. Không giống như việc đánh giá sản phẩm, không có các mức đảm bảo đánh giá được định nghĩa trước. Những yêu cầu đảm bảo phải được lựa chọn phù hợp với mục tiêu đảm bảo thiết tập từ phân tích các rủi ro đối với hệ thống vận hành và sự sẵn có của các các tài liệu, kết quả kiểm thử, các phương tiện tham gia vào quá trình kiểm thử vận hành và phát triển.

7.4  Các hệ thống vận hành tổng hợp

Nhiều hệ thống vận hành rất lớn và phức tạp, cung cấp nhiều chức năng và có một cấu trúc bên trong phức tạp. Do đó, tiêu chuẩn này định nghĩa một hệ phương pháp luận chuẩn để mô tả kiến trúc của các hệ thống vận hành dựa trên hai mức phân tách - các phân hệ và các thành phần.

Một thành phần là một phần riêng biệt và có thể định danh được của hệ thống vận hành mà thực hiện một phần chức năng của hệ thống vận hành đó (mặc dù vấn đề an toàn có liên quan hoặc không). Một thành phần có thể bao gồm một chức năng duy nhất được cung cấp bởi một sản phẩm duy nhất, sản phẩm này có nhiều chức năng hoặc có một tập hợp các chức năng tích hợp được thực hiện bằng cách kết hợp của phần mềm tùy biến và các thủ tục vận hành. Một phân hệ là một tập hợp một hoặc nhiều thành phần hệ thống vận hành có khả năng thực hiện độc lập với phần còn lại của hệ thống vận hành. Ví dụ, một phân hệ có thể bao gồm một máy khách hoặc máy chủ được tạo thành từ nhiều sản phẩm, nhiều máy chủ và/hoặc máy khách và mạng, hoặc một tập hợp máy khách không đồng nhất và/hoặc các máy chủ. Một số thành phần và phân hệ có thể đã được đánh giá an toàn, những thành phần khác thì không.

Trong các hệ thống vận hành đơn giản, tất cả các phân hệ có thể được tạo thành từ một thành phần; thực sự, có thể chỉ có duy nhất một phân hệ thống vận hành có thể định danh được. Tuy nhiên, hầu hết các hệ thống vận hành được tạo thành từ nhiều phân hệ, mỗi phân hệ gồm nhiều thành phần riêng biệt.

Trong TCVN 8709, thiết kế đích đánh giá hệ thống phải được chia thành các phân hệ và các mô-đun. Một phân hệ trong TCVN 8709 là một mô tả mức cao những gì mà một phần của TOE đang làm và làm như thế nào; một mô-đun là một mô tả chức năng hệ thống ở mức độ chi tiết nhất của sự phân chia được cung cấp bởi thiết kế hệ thống.

Trong thực tế, các phân hệ được định nghĩa trong tiêu chuẩn này tương đương với phân hệ được định nghĩa trong TCVN 8709. Tuy nhiên, một thành phần được định nghĩa trong tiêu chuẩn này có một phạm vi rộng hơn so với mô-đun tiêu chuẩn TCVN 8709, ví dụ, nó có thể bao gồm các chức năng được cung cấp theo nghĩa phi CNTT. Đối với chức năng được thực hiện bởi các phần mềm thì một thành phần có thể tương ứng với các tài liệu thiết kế mô-đun TCVN 8709 mức thấp, mỗi thành phần sẽ tương ứng với một mô-đun mã.

Về cơ bản, các hệ thống vận hành tổng hợp thường:

a) Chứa nhiều phân hệ, mỗi phân hệ gồm nhiều thành phần với mức độ và kiểu đảm bảo khác nhau.

b) Có một cấu trúc những biện pháp kiểm soát được định nghĩa rõ ràng. Đây có thể là "chủ sở hữu" hệ thống vận hành đơn hoặc một tập hợp các mối quan hệ quản lý đã được xác định trên các phần khác nhau của hệ thống vận hành

c) Được xây dựng dựa trên các nhu cầu cụ thể cho hoạt động cụ thể.

d) Các thành phần riêng lẻ chứa một số lượng lớn các tùy chọn cấu hình có thể, một số trong đó không phù hợp với chính sách an toàn hệ thống vận hành.

e) Cho phép chủ sở hữu hệ thống vận hành cân bằng những biện pháp kiểm soát kỹ thuật và kiểm soát vận hành trong các phần khác nhau của hệ thống vận hành.

Các chính sách an toàn có thể khác nhau khi kết hợp các mục khác nhau ở trên, trừ trường hợp hiếm gặp đó là hệ thống vận hành có một chức năng duy nhất. Về logic, tất cả các phần của hệ thống vận hành theo cùng một chính sách an toàn được gọi là một miền an toàn. Việc phân tách hệ thống vận hành thành các phân hệ và các thành phần được quản lý bởi cùng một (các) chính sách an toàn, sau đó được đặc trưng theo chính sách an toàn phù hợp với những rủi ro có thể chấp nhận được đối với miền đó. Các yêu cầu an toàn chức năng và các yêu cầu an toàn đảm bảo có thể được định nghĩa cho từng miền an toàn. Như vậy, mỗi miền an toàn sẽ có một chính sách an toàn riêng, phần định nghĩa vấn đề an toàn riêng, các mục tiêu an toàn, các yêu cầu an toàn và tài liệu an toàn riêng. Tuy nhiên, mỗi miền an toàn này hoạt động trong một mức hệ thống vận hành với các chính sách an toàn, các vấn đề an toàn, các mục tiêu an toàn, yêu cầu an toàn và tài liệu an toàn lớn hơn. Mỗi miền an toàn có thể có các yêu cầu đảm bảo riêng của mình dựa trên mức độ tin cậy cần thiết trong miền an toàn và sự đóng góp tổng thể cho hệ thống vận hành. Đích an toàn hệ thống vận hành quy định các yêu cầu an toàn hệ thống vận hành mà sẽ là một tài liệu điển hình về các miền an toàn bao gồm các hệ thống vận hành xét theo ngữ cảnh hệ thống vận hành. Khái niệm về miền an toàn được minh họa trong Hình 3.