CSKH-02.2017 - (Tóm tắt) Trong quá trình thiết kế và sử dụng website, người quản trị cũng như chủ sở hữu website luôn có nhu cầu xác định các thành phần cấu thành và vận hành website có được áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, với mức độ an toàn như thế nào (mức đảm bảo đánh giá). Bài báo giới thiệu một giải pháp xác định các tiêu chí đánh giá an toàn thông tin cho website đáp ứng các nhu cầu trên. Bên cạnh đó, bài báo cũng đề xuất mô hình kết nối các tiêu chí đánh giá an toàn thông tin theo ISO/IEC 15408, các yêu cầu an toàn thông tin theo hồ sơ bảo vệ của các thành phần cấu thành và vận hành cho một hệ thống website.
Trên mô hình các tiêu chí đã kết nối, bài báo xây dựng cơ chế tạo lập các bản khảo sát dành cho người phát triển, người vận hành, người đánh giá, cung cấp thông tin đầu vào cho việc đánh giá ban đầu khả năng đáp ứng với một mức đảm bảo đánh giá xác định. Các mô hình và cơ chế nói trên được thử nghiệm dưới dạng công cụ có khả năng tùy biến, hỗ trợ xác định tập các tiêu chí đánh giá an toàn thông tin phù hợp với một mức đảm bảo đánh giá cho các hệ thống website; xác định mức đảm bảo đánh giá (Evalution Assurance Level – EAL) mà một website có thể đạt được.
Abstract— Before and after the website deployment, it needs to determine whether the website components and operations are subject to appropriate security measures and techniques, and
how secure they are (assurance levels). This article introduces an approach for identifying the website security assessment criteria. The ISO/IEC 15408-based assessment criteria are put in connection with the security requirements according to the protection profiles of the website’s components and operation. Then, a mechanism for creating surveys for developers, operators, and evaluators that provide input to evaluations based on connected criteria is proposed. These are experimented as a customized tool, which supports to identify security assessment criteria accordingly to a given assurance level of a website; and determine the assurance level (EAL) that a website can achieve.
Tài liệu tham khảo
[1]. ISO/IEC 15408-1, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 1: Introduction and general model.[2]. ISO/IEC 15408-2, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 2: Security functional components.
[3]. ISO/IEC 15408-3, “Information technology - Security techniques - Evaluation criteria for IT security”, Part 3: Security assurance components.
[4]. Huilin Chen, Da Bao, Hongbiao Gao and Jingde Cheng: “A Security Evaluation and Certification Management Database Based on ISO/IEC Standards”. In Proceedings of 12th International Conference on Computational Intelligence and Security. IEEE 2016.
[5]. Information Assurance Directorate. U.S. Government “Protection Profile Web Server For Basic Robustness Environments”. Version 1.0. December 26, 2006.
[6]. NIAP. “Protection Profile for Server Virtualization”. Version 1.0. 29 October 2014.
[7]. “Turkish standards institution. Common criteria protection profile for security of web services”. Version 1.0. 2012.
[8]. NIAP. U.S. Government “Approved Protection Profile - Protection Profile for Application Software”. Version 1.2. 2016.
[9]. NIAP. “Protection Profile for Web Browsers”. Version 1.0. 2014.
[10]. NIAP. “US Government Protection Profile Authorization Server For Basic Robustness Environments”. Version 1.1. 2007.