Tiêu chuẩn Quốc gia TCVN 12821:2020 Hồ sơ bảo vệ cho thiết bị lưu trữ di động

TIÊU CHUẨN QUỐC GIA

TCVN 12821:2020

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG

Information technology - Security techniques - Protection profile for portable storage media

Lời nói đầu

TCVN 12821:2020 được xây dựng dựa trên cơ sở tham khảo “Protection Profile for Portable Storage Media (PSMPP)" được phê chuẩn bởi Tổ chức thừa nhận lẫn nhau về tiêu chí chung CCRA, phiên bản 1.0, ngày 11/9/2012.

TCVN 12821:2020 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG

Information Technology - Security techniques - Protection profile for Portable Storage Media

1  Phạm vi áp dụng

Tiêu chuẩn này quy định hồ sơ bảo vệ cho thiết bị lưu trữ di động, thể hiện các yêu cầu chức năng an toàn (SFR) và các yêu cầu đảm bảo an toàn (SAR) đối với thiết bị lưu trữ di động, phù hợp với bộ tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).

Các loại thiết bị lưu trữ di động thuộc phạm vi áp dụng của tiêu chuẩn này được gọi chung là Đích đánh giá (TOE) và được quy định cụ thể tại điều 4.1.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).

TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát”.

TCVN 8709-2:2011 (ISO/IEC 15408-2:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn”.

TCVN 8709-3:2011 (ISO/IEC 15408-3:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn”.

3  Thuật ngữ, định nghĩa, ký hiệu và chữ viết tắt

Tiêu chuẩn này sử dụng các thuật ngữ, định nghĩa, ký hiệu và chữ viết tắt quy định tại TCVN 8709-1:2011.

4  Giới thiệu Hồ sơ bảo vệ

4.1  Tổng quan TOE

4.1.1  Kiểu TOE

Đích đánh giá (TOE) là thiết bị lưu trữ di động có kết nối vật lý với máy chủ, dùng để lưu trữ dữ liệu và mã hóa kèm cơ chế xác thực quyền truy cập chặt chẽ.

4.1.2  Phạm vi TOE

Mục tiêu của tiêu chuẩn này là đưa ra các yêu cầu an toàn đối với thiết bị lưu trữ di động để đảm bảo rằng khi mất hoặc bị đánh cắp thì dữ liệu lưu trữ trong đó được an toàn.

Tiêu chuẩn này không đưa ra các yêu cầu kiểm soát truy cập đối với thiết bị lưu trữ, do đó việc sử dụng thiết bị lưu trữ trong các hệ thống cụ thể và việc kiểm soát truy cập không thuộc phạm vi của tiêu chuẩn này.

Chức năng chống ghi đè tuy không nằm trong yêu cầu của Hồ sơ bảo vệ, nhưng nó được xem như chức năng an toàn bổ sung cho thiết bị lưu trữ. Ví dụ: Chức năng chống ghi đè sẽ bảo đảm an toàn cho dữ liệu, tránh bị sửa, xóa khi kết nối vào môi trường tiềm ẩn các rủi ro an toàn thông tin hoặc có các phần mềm độc hại.

Chức năng bảo vệ ghi không nằm trong yêu cầu của Hồ sơ bảo vệ, nhưng tương tự như chức năng chống ghi đè, nó cũng được xem như chức năng an toàn bổ sung cho thiết bị lưu trữ. Ví dụ: chương trình nhập mật khẩu để cho phép được thay đổi dữ liệu hay không.

4.1.3  Cách sử dụng và đặc điểm an toàn chính của TOE

Tiêu chuẩn này sử dụng cho tất cả các thiết bị lưu trữ di động có kết nối vật lý với một hệ thống máy chủ lưu trữ. Ví dụ như thẻ nhớ kết nối qua cổng USB hoặc ổ đĩa kết nối qua cổng FireWire.

TOE này dành cho các loại thiết bị lưu trữ như USB, ổ cứng di động, áp dụng với các kết nối vật lý. Dữ liệu bên trong thiết bị lưu trữ được mã hóa và chống truy cập trong trường hợp bị mất, thất lạc hoặc bị đánh cắp.

Tóm lại, tiêu chuẩn này đưa ra tập hợp các yêu cầu an toàn cơ bản nhằm bảo vệ dữ liệu trước các hình thức tấn công cả logic lẫn vật lý.

Trạng thái kích hoạt mặc định chỉ cung cấp cơ chế xác thực quyền truy cập.

Một khía cạnh quan trọng khác trong an toàn thông tin trên thiết bị lưu trữ di động là các chức năng an toàn nằm hoàn toàn trên chính thiết bị đó. Điều này cho phép thiết bị có cơ chế an toàn phù hợp với PP có thể hoạt động với mọi hệ thống máy chủ vì nó không yêu cầu phần mềm hỗ trợ.

Chỉ cần một quy trình xác thực duy nhất để mở khóa quyền truy cập vào dữ liệu người dùng được mã hóa trên thiết bị lưu trữ và người dùng có thể truy cập. Sau khi xác thực thành công, phương tiện lưu trữ cung cấp dịch vụ an toàn một cách minh bạch mà không cần bất kỳ yêu cầu kiểm soát truy cập nào khác trên thiết bị.

Dữ liệu TSF (chứa thông tin xác thực và khóa mã hóa) cần được lưu trữ an toàn trong TOE.

Chú thích áp dụng: Dữ liệu TSF có thể được lưu trữ trong HSM (High Security Module - Mô đun an toàn cao) hoặc ở dạng được mã hóa trên thiết bị.

TOE phải đảm bảo tính an toàn của dữ liệu người dùng và TSF trong trường hợp TOE bị tách ra khỏi máy chủ do sự cố (Ví dụ: hệ thống ngừng hoạt động bất thường hoặc mất điện) hoặc các tác động vật lý khác, ngay cả khi xảy ra trong lúc đang truy cập để đọc hoặc ghi.

Các thay đổi khác như đặt máy chủ vào trạng thái ngủ hoặc ngủ đông có thể kích hoạt khóa, cũng như theo quyết định của tác giả ST.

Tiêu chuẩn này chỉ xác định các giả định nếu chúng cần thiết. Điều này tạo điều kiện thực hiện một loạt các giải pháp kỹ thuật khả thi.

Các nhà sản xuất có thể tăng khả năng an toàn trong các sản phẩm của họ bằng cách bổ sung các chức năng an toàn nếu các chức năng thêm vào này không trái với các mô tả trong hồ sơ bảo vệ theo tiêu chuẩn này. Tiêu chuẩn này có một số hướng dẫn về vấn đề này dưới dạng các chú thích áp dụng. Các chức năng bổ sung có thể được đưa vào ST, là tài liệu cơ bản để dựa vào đó chứng nhận sản phẩm.

Môi trường hoạt động của TOE khá đa dạng. Các thiết bị lưu trữ di động có khả năng dùng ở bất cứ đâu, bất cứ máy chủ nào thông qua cổng kết nối quen thuộc như USB, FireWire hoặc Thunderbolt.

Hình 1 là cấu trúc cơ bản của TOE.

Hình 1 - Cấu trúc TOE

TOE có ít nhất một giao diện bên ngoài kết nối hệ thống máy chủ lưu trữ. Ngoài ra, TOE có thể thực hiện một giao diện xác thực cục bộ tùy chọn hoặc dựa vào máy chủ để cung cấp giao diện người dùng để có được dữ liệu xác thực.

Các phần chính của TOE bao gồm bộ điều khiển (thực hiện gửi lệnh đến khu vực lưu trữ, xác thực người dùng và các chức năng mã hóa) và vùng bảo vệ lưu trữ.

TOE có thể triển khai vùng lưu trữ công khai tùy chọn chỉ đọc dành cho người dùng TOE.

Nhà sản xuất TOE sử dụng vật liệu kín niêm phong bên trong, ví dụ: với nhựa đúc, các thành phần an toàn liên quan. Vật liệu kín niêm phong này có thể cản trở các tấn công vật lý.

CHÚ THÍCH: Do cơ chế bảo vệ trên không đo lường được, nên không thể xác nhận cơ chế này theo CC.

Nhìn chung, TOE thực hiện các đặc điểm an toàn then chốt sau:

- Bảo vệ bí mật dữ liệu người dùng bằng mã hóa;

- Bảo vệ dữ liệu TSF.

4.1.4  Phần cứng/phần mềm/phần sụn phi - TOE

Tiêu chuẩn này không yêu cầu môi trường cụ thể hoặc phần mềm máy chủ chuyên dụng.

4.2  Giới hạn TOE

Giới hạn TOE vật lý được định nghĩa bởi giao diện máy chủ và giao diện xác thực tùy chọn. Về mặt vật lý, TOE bao gồm thiết bị lưu trữ hoàn chỉnh.

5  Khung Hồ sơ bảo vệ cho thiết bị lưu trữ di động (PSMPP)

PSMPP cho phép xác định các mở rộng chức năng có thể được yêu cầu bởi một ST ngoài PSMPP cơ sở. Như vậy, PSMPP định nghĩa các thành phần sau:

- PSMPP cơ sở xác định yêu cầu an toàn và yêu cầu này được áp dụng trên tất cả thiết bị lưu trữ di động. Đây là bắt buộc và xác định chung cho tất cả các thiết bị lưu trữ di động phù hợp với PSMPP.

- Gói mở rộng PSMPP nêu rõ định nghĩa về vấn đề an toàn, các mục tiêu và yêu cầu chức năng cho các cơ chế có thể được thực hiện ngoài PSMPP cơ sở. Thông thường, gói mở rộng PSMPP xác định tiện ích mong muốn hoặc được thực hiện bởi một số thiết bị lưu trữ di động. Tuy nhiên, chức năng được chỉ định trong một gói mở rộng PSMPP thường không được tìm thấy trong các thiết bị lưu trữ di động.

Các gói mở rộng PSMPP có thể được thêm vào chức năng cơ bản khi viết ST. Tác giả ST có thể chọn từ gói PSMPP khác. Để tránh phân mảnh chức năng an toàn vào các gói mở rộng PSMPP, gói PSMPP mở rộng sẽ xác định một tập hợp yêu cầu chức năng nhằm giải quyết một hoặc nhiều vấn đề về an toàn chung.

PSMPP được định nghĩa là một khung có thể mở rộng. Tập hợp các gói mở rộng PSMPP hiện tại có thể được tăng cường với các gói mở rộng phát triển mới hoặc cập nhật PSMPP. Sau đó, các gói mở rộng này được đánh giá lại và tái xác nhận PSMPP cơ sở. Do đó, khung này cho phép bất kỳ ai quan tâm đến việc chỉ định một khía cạnh của thiết bị lưu trữ di động có thể tạo ra một gói mở rộng PSMPP và đề xuất với cơ quan quản lý PSMPP. Với cách tiếp cận này, sẽ có một bộ PSMPP cơ sở hợp lệ và các gói mở rộng phù hợp. Sự phụ thuộc vào các gói mở rộng khác của PSMPP có thể được chỉ định.

5.1  Thông tin bắt buộc do ST cung cấp

Các thông tin sau đây phải được cung cấp như một phần của ST lấy từ PSMPP.

5.1.1  Yêu cầu phù hợp

Khi chỉ định phù hợp với PSMPP, ST phải chỉ định bất kỳ gói mở rộng nào của PSMPP mà ST yêu cầu phù hợp.

5.1.2  Tham chiếu SFR với tài liệu tham khảo gói mở rộng PSMPP

Khi chỉ định các SFR như là một phần của ST, tham chiếu đến PSMPP cơ sở hoặc gói mở rộng PSMPP phải được đưa ra để tạo điều kiện ánh xạ trực tiếp tới SFR, đặc biệt xem xét các lần lặp.

Yêu cầu này sẽ hỗ trợ tác giả ST và các bên đánh giá để đảm bảo không có SFR từ PSMPP cơ sở hoặc một gói mở rộng PSMPP mà ST yêu cầu phù hợp bị bỏ qua.

5.2  Thông tin bắt buộc được cung cấp bởi các gói mở rộng PSMPP

Các thông tin sau phải được cung cấp cho mỗi gói mở rộng PSMPP.

5.2.1  Quy tắc thành phần gói mở rộng

Để gói mở rộng PSMPP sử dụng được cùng với các gói khác, cần có các thông tin sau:

- Danh sách các gói mở rộng PSMPP phụ thuộc với các phiên bản tối thiểu tương ứng.

- Danh sách các gói mở rộng không được cho phép PSMPP với các phiên bản tối thiểu tương ứng.

CHÚ THÍCH: Gói mở rộng không được loại trừ PSMPP cơ sở hoặc bất kỳ phần nào của PSMPP cơ sở; tuy nhiên, gói mở rộng có thể chỉ định phiên bản tối thiểu của PSMPP cơ sở được yêu cầu cho gói mở rộng tương ứng.

Trường hợp phải thay đổi gói mở rộng PSMPP để phù hợp với một gói mở rộng khác, tác giả của gói mở rộng PSMPP phải tiếp cận chủ sở hữu gói mở rộng khác để đạt được sự đồng ý về các sửa đổi cần thiết.

5.3  Thông số kỹ thuật bị hạn chế đối với PSMPP cơ sở

PSMPP cơ sở xác định riêng các thuộc tính sau:

- Yêu cầu phù hợp với các hồ sơ bảo vệ khác

- Loại phù hợp (nghiêm ngặt hoặc có thể diễn giải được)

- Yêu cầu phù hợp đối với EAL bao gồm các yêu cầu mở rộng

Một gói mở rộng PSMPP có thể quy định các tinh chỉnh cho các thành phần đảm bảo. Các tinh chỉnh cung cấp phương pháp để đáp ứng các yêu cầu đảm bảo cho các SFR trong gói mở rộng. Tuy nhiên, một trong những ý định cốt lõi của PSMPP là giữ hồ sơ bảo vệ và tất cả các mô-đun của nó theo thỏa thuận thừa nhận lẫn nhau. Vì vậy, không có gói mở rộng PSMPP nào sẽ thêm hoặc sửa đổi cấp độ một SAR.

6  Các tuyên bố tuân thủ

Các phần sau đây mô tả các tuyên bố tuân thủ của Hồ sơ bảo vệ đối với thiết bị lưu trữ di động.

6.1  Các yêu cầu phù hợp CC

PSMPP phù hợp TCVN 8709-2:2011 và TCVN 8709-3:2011.

6.2  Yêu cầu gói

Tiêu chuẩn này yêu cầu đảm bảo cấp EAL2.

6.3  Yêu cầu PP

Tiêu chuẩn này không yêu cầu phù hợp với các hồ sơ bảo vệ khác.

6.4  Báo cáo phù hợp

Tiêu chuẩn này đòi hỏi các ST hoặc PP tuyên bố tuân thủ có thể diễn giải được với PP của tiêu chuẩn này.

7  Mô tả các vấn đề an toàn

Phần này mô tả mục đích tại sao tài sản cần được bảo vệ và chống lại các mối đe dọa.

7.1  Tài sản

Tài sản được bảo vệ là:

- Dữ liệu người dùng: Dữ liệu lưu trữ trong thiết bị lưu trữ di động, được mã hóa và bảo vệ.

- Dữ liệu TSF: Dữ liệu xác thực dùng để xác thực người dùng được ủy quyền và dữ liệu khóa mã hóa dùng để mã hóa dữ liệu người dùng.

7.2  Vai trò

PSMPP chỉ xác định duy nhất một vai trò cho thiết bị, người dùng được ủy quyền, là người dùng được xác thực thành công đối với thiết bị. Những người dùng không được xác thực đang cố gắng truy cập tài sản (dữ liệu được bảo vệ) thì được coi là các tác nhân đe dọa.

Người dùng TOE được ủy quyền

- Đã xác thực thành công với TOE và được nắm giữ dữ liệu xác thực.

- Được phép truy cập vào vùng lưu trữ được bảo vệ của TOE, trong đó lưu trữ dữ liệu người dùng bí mật.

- Được phép sửa đổi dữ liệu xác thực sau khi xác thực lại thành công.

- Không có quyền truy cập đọc dữ liệu TSF.

Người dùng không được ủy quyền khi không nắm giữ vai trò trên, có nghĩa là:

- Không được xác thực bởi TOE.

- Không được truy cập vùng lưu trữ được bảo vệ của TOE.

- Không được truy cập dữ liệu xác thực hoặc mã hóa.

Chú thích áp dụng: Cả người có quyền và người sử dụng trái phép đều có thể là cùng một cá nhân, chỉ phân biệt được bằng việc đã xác thực hay không. Bất kỳ cá nhân nào cũng chỉ có thể giữ một trong hai vai trò này vào bất kỳ lúc nào.

7.3. Các mối đe dọa

Đây là các tác nhân đe dọa xuất hiện từ các nhóm thực thể bên ngoài, không được phép truy cập dữ liệu. Các tác nhân đe dọa thường được đặc trưng bởi một số yếu tố, ví dụ: chuyên môn, nguồn lực sẵn có, với động lực được liên kết trực tiếp với giá trị của tài sản bị đe dọa.

TOE bảo vệ và chống lại hành động cố ý hoặc không cố ý vi phạm an toàn TOE bởi những tin tặc.

Các tác nhân đe dọa đáp ứng một hoặc nhiều điều sau đây:

- Cố gắng truy cập tài sản bằng cách giả mạo là một người dùng được ủy quyền hoặc bằng cách cố gắng sử dụng các dịch vụ TSF mà không cần sự ủy quyền.

- Muốn truy cập dữ liệu người dùng, dữ liệu xác thực hoặc mã hóa trong thiết bị lưu trữ di động.

- Tin tặc thử tấn công logic và vật lý trên một thiết bị lưu trữ di động cùng loại, chuẩn bị cho việc tấn công TOE.

- Có thể sở hữu TOE tương đối dễ dàng vì TOE có hình thức nhỏ gọn.

- Không giữ dữ liệu xác thực.

7.3.1  Các mối đe dọa TOE

7.3.2  Các mối đe dọa môi trường vận hành TOE

Không có mối đe dọa nào.

7.4  Các chính sách an toàn thông tin của tổ chức

Tiêu chuẩn này không chỉ định bất kỳ chính sách an toàn thông tin của tổ chức nào.

Tất cả các tác động đối với chức năng an toàn thông tin bắt nguồn từ những mối đe dọa.

7.5  Giả định

Phần này liệt kê các giả định liên quan đến an toàn cho môi trường, trong đó TOE sẽ được sử dụng. Nó có thể được coi là một bộ quy tắc cho nhà vận hành TOE.

8  Các mục tiêu an toàn

8.1  Các mục tiêu an toàn cho TOE

8.2  Các mục tiêu an toàn cho môi trường hoạt động

8.3  Phân tích các mục tiêu an toàn

8.3.1  Phạm vi mục tiêu an toàn

Bảng 1 - Mục tiêu theo dõi các mối đe dọa và giả định

8.3.2  Nội dung chi tiết của các mục tiêu an toàn

Nội dung sau đây mô tả cách thức các mục tiêu chống lại các mối đe dọa và đáp ứng các giả định:

9  Định nghĩa các thành phần mở rộng

9.1  FPT_SDC Lưu trữ dữ liệu TSF đáng tin cậy

FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy, gồm dữ liệu xác thực và mã hóa, phải được lưu trữ an toàn để tránh tiết lộ dữ liệu TSF.

9.1.1  Hành vi theo họ FPT_SDC

Họ này xác định các yêu cầu về bảo vệ đối với dữ liệu xác thực và mã hóa được lưu trữ dùng để kích hoạt tính năng an toàn của thiết bị.

9.1.2  Phân cấp thành phần FPT_SDC.1

FPT_SDC.1 không phân cấp đối với bất kỳ thành phần nào khác trong họ FPT_SDC.

9.1.3  Quản lý FPT_SDC.1

Các hành động sau đây có thể được xem xét cho các chức năng quản lý trong FMT:

9.1.4  Kiểm soát FPT_SDC.1

Các hành động sau phải được kiểm tra nếu FAU_GEN tạo dữ liệu kiểm soát an toàn bao gồm trong PP/ST:

Không có hành động được xác định là có thể kiểm tra được.

9.1.5  FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy

9.1.6  Phân tích

SFR mở rộng này đòi hỏi phải có một yêu cầu rõ ràng đối với việc bảo vệ dữ liệu TSF, nếu không sẽ không xác định được các yêu cầu vì loại hình bảo vệ này thường được đảm bảo bằng kết cấu của TOE và không được mô phỏng bằng các SFR được quy định tại TCVN 8709.

10. Các yêu cầu an toàn

10.1. Các yêu cầu chức năng an toàn

Các quy ước định dạng sau đây được sử dụng để xác định các thao tác (tinh chỉnh, lựa chọn và chỉ định) đã được thực hiện trong tiêu chuẩn này:

Thao tác tinh chỉnh được sử dụng để bổ sung thông tin chi tiết cho một yêu cầu và do đó giới hạn thêm một yêu cầu. Tinh chỉnh các yêu cầu về an toàn được biểu thị theo cách là các từ thêm vào sẽ được in chữ đậm còn các từ đã gỡ bỏ sẽ được gạch ngang. Nếu một lần tinh chỉnh được thêm vào như một đoạn riêng biệt cho một SFR thay vì sửa đổi từ ngữ của nó, thì đoạn này bắt đầu bằng từ Tinh chỉnh: bằng chữ đậm.

Thao tác lựa chọn được sử dụng để chọn một hoặc nhiều tùy chọn quy định tại TCVN 8709 khi làm rõ yêu cầu. Lựa chọn của tác giả PP được biểu thị dưới dạng văn bản được gạch chân; ngoài ra, một chú thích ở cuối trang sẽ hiển thị nội dung ban đầu theo TCVN 8709-2. Các lựa chọn sẽ do tác giả ST điền vào, xuất hiện trong dấu ngoặc vuông với dấu hiệu chỉ ra rằng một lựa chọn sẽ được thực hiện [lựa chọn:] và được in nghiêng.

Thao tác chỉ định được sử dụng để chỉ định một giá trị cụ thể cho một tham số không xác định như độ dài của mật khẩu. Những phép chỉ định của tác giả PP đều được biểu thị dưới dạng văn bản được gạch chân; ngoài ra, một chú thích ở cuối trang sẽ hiển thị nội dung ban đầu theo TCVN 8709-2. Các phép chỉ định sẽ do tác giả ST điền vào, xuất hiện trong dấu ngoặc vuông với dấu hiệu chỉ ra rằng một phép chỉ định sẽ được thực hiện [chỉ định:] và được in nghiêng. Trong một số trường hợp, thao tác chỉ định do tác giả PP thực hiện sẽ xác định một sự lựa chọn hoặc chỉ định do tác giả ST thực hiện. Vì vậy, đoạn văn bản này sẽ được gạch chân và in nghiêng như thế này.

10.1.1  Định danh và xác thực (FIA)

TOE phải cung cấp ít nhất một cơ chế xác thực cơ bản đủ mạnh để đáp ứng các yêu cầu của FIA_SOS.1.

Quyền truy cập dữ liệu chỉ được cấp sau khi xác thực thành công. Quyền này sẽ bị hủy nếu TOE bị ngắt kết nối tới máy chủ lưu trữ hoặc lỗi thiết bị.

FIA_UAU.2 Xác thực người dùng trước mọi hành động

FIA_UAU.6 Xác thực lại

FIA_SOS.1 Xác minh các bí mật

FIA_AFL.1 Xử lý lỗi xác thực

10.1.2  Hoạt động mã hóa (FCS)

TOE bảo vệ dữ liệu thông qua các công cụ mã hóa. Việc thực hiện chính xác tuân thủ các quy định quốc gia về mã hóa và phải được nêu trong ST.

FCS_CKM.1 Tạo khóa bằng mã hóa

FCS_CKM.4 Hủy khóa mã hóa

FCS_COP.1 Thao tác mã hóa

10.1.3  Chức năng quản lý (FMT)

TOE hỗ trợ các chức năng quản lý cho vai trò của người dùng được xác thực để thay đổi dữ liệu xác thực hoặc khởi động thiết bị.

FMT_SMF.1 Đặc điểm kỹ thuật của các chức năng quản lý

10.1.4  Bảo vệ dữ liệu người dùng (FDP)

Dữ liệu người dùng và dữ liệu TSF chỉ có thể truy cập được trong trạng thái TOE mở khóa. TOE phải đảm bảo rằng không có thông tin còn sót lại nào có thể truy cập được trong trạng thái khóa.

FDP_RIP.1 Bảo vệ thông tin dư thừa

10.1.5  Bảo vệ dữ liệu TSF (FPT)

TOE sẽ bảo vệ các dữ liệu TSF và xử lý các gián đoạn trong một hệ thống an toàn, loại bỏ bất kỳ truy cập nào trong những trường hợp xảy ra sự cố.

FPT_FLS.1 Sự cố duy trì trạng thái an toàn

FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy

10.2  Phân tích các yêu cầu chức năng an toàn

10.2.1  Tính nhất quán nội bộ của các yêu cầu

Sự hỗ trợ lẫn nhau và tính nhất quán nội bộ của các thành phần được chọn cho tiêu chuẩn này sẽ được mô tả trong phần này.

Phân tích sau đây cho thấy tính nhất quán nội bộ của các yêu cầu chức năng.

10.2.1.1  Xác thực

Người dùng muốn truy cập vào vùng lưu trữ được bảo vệ phải được xác thực trước. TOE sẽ khóa truy cập sau nhiều lần xác thực không thành công.

Điều này được thi hành thông qua yêu cầu xác thực trước khi sử dụng (FIA_UAU.2), yêu cầu về chất lượng của yếu tố xác thực (FIA_SOS.1) và bảo vệ cơ chế xác thực thông qua FIA_AFL1. Yêu cầu quay trở lại trạng thái an toàn (FPT_FLS.1) sẽ hỗ trợ thao tác này. Yêu cầu bảo vệ thông tin còn sót lại (FDP_RIP.1) sẽ đảm bảo không có sẵn dữ liệu người dùng thuần và dữ liệu TSF.

10.2.1.2  Hỗ trợ mã hóa

TOE sẽ cung cấp không gian lưu trữ được bảo vệ theo mã hóa dựa trên các thuật toán mã hóa, các phương thức thao tác hoạt động và độ dài khóa được chấp nhận bởi quy định quốc gia.

Điều này được thi hành bởi yêu cầu mã hóa dữ liệu TSF (FCS_COP.1), được hỗ trợ bởi FCS_CKM.1 và FCS_CKM.4

10.2.1.3  Chức năng quản lý

TOE sẽ cho phép những người dùng đã xác thực sửa đổi các thuộc tính an toàn dùng để xác thực và khởi động thiết bị.

Quản lý dữ liệu xác thực được quy định thông qua FMT_SMF.1 và được hỗ trợ bởi FIA_UAU.6.

10.2.1.4  Bảo vệ dữ liệu TSF

TOE sẽ quay trở lại trạng thái an toàn trong trường hợp có sự cố về thông tin liên lạc. Thao tác này được thực hiện thông qua FPT_FLS.1

TOE sẽ bảo vệ dữ liệu TSF. Thao tác này được thực hiện thông qua FPT_SDC.1 và FDP_RIP.1.

10.2.2  Phạm vi yêu cầu an toàn

Bảng 2 - Theo dõi mục tiêu SFR

Các mục tiêu sẽ được SFR đáp ứng theo cách như sau:

10.2.3  Phân tích các yêu cầu an toàn phụ thuộc

Bảng dưới đây hiển thị cách thức các phụ thuộc của SFR được đáp ứng.

Bảng 3 - Giải quyết phụ thuộc SFR

10.3  Yêu cầu đảm bảo an toàn

Các yêu cầu đảm bảo an toàn cho TOE là các thành phần cấp đảm bảo đánh giá 2, như quy định cụ thể trong TCVN 8709-3:2011. Không có thao tác nào được áp dụng cho các thành phần đảm bảo.

10.4  Phân tích các yêu cầu đảm bảo an toàn

Cấp độ đảm bảo đánh giá được lựa chọn tương xứng với độ an toàn môi trường TOE.

11  Gói mở rộng - Xác thực mở rộng PSMPP-EA

Gói mở rộng PSMPP này quy định các cơ chế và giao diện cho các cơ chế xác thực mở rộng áp dụng cho các thiết bị lưu trữ di động, ví dụ như xác thực dựa trên thẻ thông minh.

11.1  Tổng quan về gói mở rộng

Hồ sơ bảo vệ cơ sở được định nghĩa trong các phần trước chỉ yêu cầu xác thực người dùng. Gói mở rộng này làm tăng thêm Hồ sơ bảo vệ cơ sở để bao gồm cơ chế xác thực hai lớp ví dụ như thẻ thông minh, tin nhắn OTP, email.

11.2  Các tuyên bố tuân thủ

11.2.1  Các yêu cầu phù hợp với TCVN 8709-2:2011 và TCVN 8709-3:2011

Gói mở rộng này không làm tăng thêm yêu cầu tương thích của hồ sơ bảo vệ cơ sở như đã xác định trong Điều 6.

11.2.2  Quy tắc cấu tạo gói mở rộng

Gói mở rộng này không phụ thuộc vào các gói mở rộng khác.

Gói này chỉ có thể được yêu cầu cùng với gói cơ sở được định nghĩa trong tiêu chuẩn này.

11.3  Mô tả các vấn đề an toàn

Mô tả các vấn đề an toàn của gói mở rộng này phù hợp với mô tả các vấn đề an toàn của gói cơ sở. Gói mở rộng này không xác định bất kỳ mối đe dọa, hoặc chính sách an toàn nào khác.

11.4  Các mục tiêu an toàn

11.4.1  Các mục tiêu an toàn cho TOE

Mục tiêu O.AuthAccess từ Hồ sơ bảo vệ cơ sở sẽ được tăng cường để xác định xác thực hai yếu tố thay vì chỉ xác thực mạnh. Nó được thay thế như sau:

11.4.2  Các mục tiêu an toàn cho môi trường hoạt động

Gói mở rộng này không xác định bất kỳ mục tiêu bổ sung nào cho môi trường hoạt động.

11.4.3  Phân tích các mục tiêu an toàn

11.4.3.1  Phạm vi mục tiêu an toàn

Bảng 4 - Theo dõi mục tiêu đối với các đe dọa và giả định

11.4.3.2  Nội dung chi tiết của các mục tiêu an toàn

Phân tích sau đây mô tả cách thức các mục tiêu chống lại các mối đe dọa và đáp ứng các giả định:

11.5  Các yêu cầu chức năng an toàn

11.5.1  Định danh và xác thực (FIA)

TOE phải cung cấp sự xác thực mạnh thông qua cơ chế xác thực dựa trên token hoặc cơ chế xác thực hai yếu tố.

FIA_UAU.5-EA Cơ chế xác thực nhiều lần

11.5.2  Phân tích các yêu cầu chức năng an toàn

Phần này cung cấp phân tích cho tính nhất quán nội bộ và đầy đủ của các yêu cầu chức năng an toàn được xác định trong gói mở rộng này.

11.5.2.1  Tính nhất quán nội bộ của các yêu cầu

Phần này mô tả sự hỗ trợ lẫn nhau và tính nhất quán bên trong của các thành phần được chọn cho gói mở rộng.

Phân tích sau đây cho thấy tính nhất quán bên trong của các yêu cầu chức năng.

11.5.2.1.1  Xác thực

Người dùng muốn truy cập vào vùng lưu trữ được bảo vệ sẽ được xác thực hai lớp trước khi được phép truy cập vùng lưu trữ được bảo vệ đó.

11.5.2.2  Phạm vi yêu cầu an toàn

Điều 10.2.2 được mở rộng như sau:

Bảng 5 - Gói mở rộng - theo dõi mục tiêu SFR

Các mục tiêu sẽ được SFR đáp ứng theo cách như sau:

11.5.2.3. Phân tích sự phụ thuộc các yêu cầu an toàn

Điều 10.2.3 được mở rộng như sau:

Bảng 6 - Gói mở rộng - giải quyết phụ thuộc SFR

Thư mục tài liệu tham khảo

[1] Protection Profile for Portable Storage Media (PSMPP) (Hồ sơ bảo vệ cho thiết bị lưu trữ di động) Version 1.0, ngày 11/9/2012 của CCRA.

MỤC LỤC

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ, định nghĩa, ký hiệu và chữ viết tắt

4  Giới thiệu Hồ sơ bảo vệ

4.1  Tổng quan TOE

4.1.1  Kiểu TOE

4.1.2  Phạm vi TOE

4.1.3  Cách sử dụng và đặc điểm an toàn chính của TOE

4.1.4  Phần cứng/phần mềm/phần sụn phi - TOE

4.2  Giới hạn TOE

5  Khung Hồ sơ bảo vệ cho thiết bị lưu trữ di động (PSMPP)

5.1  Thông tin bắt buộc do ST cung cấp

5.1.1  Yêu cầu phù hợp

5.1.2  Tham chiếu SFR với tài liệu tham khảo gói mở rộng PSMPP

5.2  Thông tin bắt buộc được cung cấp bởi các gói mở rộng PSMPP

5.3  Thông số kỹ thuật bị hạn chế đối với PSMPP cơ sở

6  Các tuyên bố tuân thủ

6.1 Các yêu cầu phù hợp CC

6.2  Yêu cầu gói

6.3  Yêu cầu PP

6.4  Báo cáo phù hợp

7  Mô tả các vấn đề an toàn

7.1  Tài sản

7.2  Vai trò

7.3  Các mối đe dọa

7.3.1  Các mối đe dọa TOE

7.3.2  Các mối đe dọa môi trường vận hành TOE

7.4  Các chính sách an toàn thông tin của tổ chức

7.5  Giả định

8  Các mục tiêu an toàn

8.1  Các mục tiêu an toàn cho TOE

8.2  Các mục tiêu an toàn cho môi trường hoạt động

8.3  Phân tích các mục tiêu an toàn

8.3.1  Phạm vi mục tiêu an toàn

8.3.2  Nội dung chi tiết của các mục tiêu an toàn

9  Định nghĩa các thành phần mở rộng

9.1  FPT_SDC Lưu trữ dữ liệu TSF đáng tin cậy

9.1.1  Hành vi theo họ FPT_SDC

9.1.2  Phân cấp thành phần FPT_SDC.1

9.1.3  Quản lý FPT_SDC.1

9.1.4  Kiểm soát FPT_SDC.1

9.1.5  FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy

9.1.6  Phân tích

10. Các yêu cầu an toàn

10.1. Các yêu cầu chức năng an toàn

10.1.1  Định danh và xác thực (FIA)

10.1.2  Hoạt động mã hóa (FCS)

10.1.3 Chức năng quản lý (FMT)

10.1.4  Bảo vệ dữ liệu người dùng (FDP)

10.1.5  Bảo vệ dữ liệu TSF (FPT)

10.2  Phân tích các yêu cầu chức năng an toàn

10.2.1  Tính nhất quán nội bộ của các yêu cầu

10.2.2  Phạm vi yêu cầu an toàn

10.2.3  Phân tích các yêu cầu an toàn phụ thuộc

10.3  Yêu cầu đảm bảo an toàn

10.4  Phân tích các yêu cầu đảm bảo an toàn

11  Gói mở rộng - Xác thực mở rộng PSMPP-EA

11.1  Tổng quan về gói mở rộng

11.2  Các tuyên bố tuân thủ

11.2.1  Các yêu cầu phù hợp với TCVN 8709-2:2011 và TCVN 8709-3:2011

11.2.2  Quy tắc cấu tạo gói mở rộng

11.3  Mô tả các vấn đề an toàn

11.4  Các mục tiêu an toàn

11.4.1  Các mục tiêu an toàn cho TOE

11.4.2  Các mục tiêu an toàn cho môi trường hoạt động

11.4.3  Phân tích các mục tiêu an toàn

11.5  Các yêu cầu chức năng an toàn

11.5.1  Định danh và xác thực (FIA)

11.5.2  Phân tích các yêu cầu chức năng an toàn

Thư mục tài liệu tham khảo