Xác định các tiêu chí đánh giá an toàn thông tin cho các website theo tiêu chuẩn ISO/IEC 15408
Trên mô hình các tiêu chí đã kết nối, bài báo xây dựng cơ chế tạo lập các bản khảo sát dành cho người phát triển, người vận hành, người đánh giá, cung cấp thông tin đầu vào cho việc đánh giá ban đầu khả năng đáp ứng với một mức đảm bảo đánh giá xác định. Các mô hình và cơ chế nói trên được thử nghiệm dưới dạng công cụ có khả năng tùy biến, hỗ trợ xác định tập các tiêu chí đánh giá an toàn thông tin phù hợp với một mức đảm bảo đánh giá cho các hệ thống website; xác định mức đảm bảo đánh giá (Evalution Assurance Level – EAL) mà một website có thể đạt được.
Abstract— Before and after the website deployment, it needs to determine whether the website components and operations are subject to appropriate security measures and techniques, and how secure they are (assurance levels). This article introduces an approach for identifying the website security assessment criteria. The ISO/IEC 15408-based assessment criteria are put in connection with the security requirements according to the protection profiles of the website’s components and operation. Then, a mechanism for creating surveys for developers, operators, and evaluators that provide input to evaluations based on connected criteria is proposed. These are experimented as a customized tool, which supports to identify security assessment criteria accordingly to a given assurance level of a website; and determine the assurance level (EAL) that a website can achieve.
Tài liệu tham khảo [1]. ISO/IEC 15408-1, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 1: Introduction and general model. [2]. ISO/IEC 15408-2, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 2: Security functional components. [3]. ISO/IEC 15408-3, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 3: Security assurance components. [4]. Huilin Chen, Da Bao, Hongbiao Gao and Jingde Cheng: “A Security Evaluation and Certification Management Database Based on ISO/IEC Standards”. In Proceedings of 12th International Conference on Computational Intelligence and Security. IEEE 2016. [5]. Information Assurance Directorate. U.S. Government “Protection Profile Web Server For Basic Robustness Environments”. Version 1.0. December 26, 2006. [6]. NIAP. “Protection Profile for Server Virtualization”. Version 1.0. 29 October 2014. [7]. “Turkish standards institution. Common criteria protection profile for security of web services”. Version 1.0. 2012. [8]. NIAP. U.S. Government “Approved Protection Profile - Protection Profile for Application Software”. Version 1.2. 2016. [9]. NIAP. “Protection Profile for Web Browsers”. Version 1.0. 2014. [10]. NIAP. “US Government Protection Profile Authorization Server For Basic Robustness Environments”. Version 1.1. 2007. |
Vũ Thị Hương Giang, Nguyễn Mạnh Tuấn, Đặng Bá Tú, Lê Hồng Dương