7.3.2  Các mối đe dọa môi trường vận hành TOE

Không có mối đe dọa nào.

7.4  Các chính sách an toàn thông tin của tổ chức

Tiêu chuẩn này không chỉ định bất kỳ chính sách an toàn thông tin của tổ chức nào.

Tất cả các tác động đối với chức năng an toàn thông tin bắt nguồn từ những mối đe dọa.

7.5  Giả định

Phần này liệt kê các giả định liên quan đến an toàn cho môi trường, trong đó TOE sẽ được sử dụng. Nó có thể được coi là một bộ quy tắc cho nhà vận hành TOE.

A.TrustedWS

Khi người dùng được mở khóa vùng bảo vệ, nghĩa là người dùng đã xác thực với TOE, sẽ không có bất kỳ truy cập trái phép vào TOE từ hệ thống máy chủ hoặc bất kỳ mạng kết nối nào nữa. Giả định này cũng bao gồm việc chuyển giao phần mềm độc hại lên TOE.

...

...

...

8.1  Các mục tiêu an toàn cho TOE

O.ProtectTSF

TOE phải cung cấp tính năng bảo vệ cho dữ liệu TSF để dữ liệu xác thực và mã hóa được bảo vệ khỏi sự truy cập.

O.AuthAccess

TOE phải cung cấp cơ chế xác thực mạnh mẽ, chỉ cho phép những người dùng đã được xác thực truy cập vào vùng lưu trữ được bảo vệ.

O.Encrypt

TOE mã hóa tất cả dữ liệu được lưu trữ, đặc biệt bảo vệ tính an toàn trong trường hợp các cuộc tấn công vật lý trên TOE.

O.AuthChange

Chỉ người dùng được xác thực mới được phép thay đổi dữ liệu xác thực.

...

...

...

TOE trở về trạng thái ổn định sau khi bị gián đoạn. Thiết bị sẽ về trạng thái khóa, không cho truy cập dữ liệu sau khi lỗi xảy ra. Việc xác thực thành công sẽ mở khóa thiết bị trở lại.

8.2  Các mục tiêu an toàn cho môi trường hoạt động

OE.TrustedWS

Hệ thống máy chủ lưu trữ phải bảo vệ đúng cách tất cả các dữ liệu được truy xuất từ vùng lưu trữ được bảo vệ của TOE và phải bảo đảm không có phần mềm độc hại nào được chuyển sang TOE.

OE.AuthConf

Người dùng TOE phải giữ bí mật dữ liệu xác thực của họ.

OE.AuthProt

Nếu máy chủ cung cấp giao diện người dùng cho cơ chế xác thực, máy chủ sẽ bảo vệ dữ liệu xác thực khỏi việc sử dụng sai.

Chú thích áp dụng:

...

...

...

8.3  Phân tích các mục tiêu an toàn

8.3.1  Phạm vi mục tiêu an toàn

Bảng 1 - Mục tiêu theo dõi các mối đe dọa và giả định

Mục tiêu

Mối đe dọa

Giả định

O.ProtectTSF

T.LogicalAccess

T.PhysicalAccess

...

...

...

O.AuthAccess

T.LogicalAccess

O.Encrypt

T.PhysicalAccess

O.AuthChange

T.AuthChange

...

...

...

T.Disruption

OE.TrustedWS

A.TrustedWS

OE.AuthConf

T.LogicalAccess

OE.AuthProt

...

...

...

8.3.2  Nội dung chi tiết của các mục tiêu an toàn

Nội dung sau đây mô tả cách thức các mục tiêu chống lại các mối đe dọa và đáp ứng các giả định:

T.LogicalAccess

Mối đe dọa của truy cập logic không được xác thực vào khu vực lưu trữ được bảo vệ bị chặn bởi O.AuthAccess, đảm bảo chỉ các truy cập xác thực có khả năng thực hiện. Mối đe dọa của các truy cập logic hoặc vật lý không hợp lệ vào dữ liệu TSF bị chặn bởi O.ProtectTSF nhằm đảm bảo vệ TSF.

OE.AuthConf đảm bảo giữ bí mật dữ liệu xác thực của người dùng và OE.AuthProt bảo vệ máy chủ lưu giữ dữ liệu xác thực. Cả hai mục tiêu này rất cần thiết để đảm bảo an toàn cho cơ chế xác thực.

T.PhysicalAccess

...

...

...

Việc truy cập vật lý trái phép vào dữ liệu được bảo vệ sẽ bị chặn bởi O.Encrypt, đảm bảo rằng dữ liệu không thể truy cập nếu không có chìa khóa giải mã thích hợp. Tấn công vật lý trên TOE có thể dẫn đến việc tiết lộ dữ liệu được mã hóa trong vùng lưu trữ bảo vệ của TOE. Đối với O.Encrypt, các thuật toán mã hóa và độ dài khóa cần phải đủ mạnh, để chặn mọi sự truy cập vật lý vào dữ liệu TSF trái phép bởi O.ProtectTSF.

T.AuthChange

Mối đe dọa của việc sửa đổi trái phép thông tin xác thực bị chặn bởi O.AuthChange, đảm bảo rằng chỉ có người dùng đã được xác thực mới có thể thay đổi dữ liệu xác thực.

T.Disruption

...

...

...

A.TrustedWS

Giả định về một máy trạm đáng tin cậy được hỗ trợ bởi mục tiêu OE.TrustedWS cho rằng hệ thống máy chủ đảm bảo việc bảo vệ tất cả các dữ liệu thu được từ vùng lưu trữ bảo vệ của TOE và bảo vệ chống lại việc lưu trữ phần mềm độc hại trên TOE.

9  Định nghĩa các thành phần mở rộng

9.1  FPT_SDC Lưu trữ dữ liệu TSF đáng tin cậy

FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy, gồm dữ liệu xác thực và mã hóa, phải được lưu trữ an toàn để tránh tiết lộ dữ liệu TSF.

9.1.1  Hành vi theo họ FPT_SDC

Họ này xác định các yêu cầu về bảo vệ đối với dữ liệu xác thực và mã hóa được lưu trữ dùng để kích hoạt tính năng an toàn của thiết bị.

...

...

...

FPT_SDC.1 không phân cấp đối với bất kỳ thành phần nào khác trong họ FPT_SDC.

9.1.3  Quản lý FPT_SDC.1

Các hành động sau đây có thể được xem xét cho các chức năng quản lý trong FMT:

9.1.4  Kiểm soát FPT_SDC.1

Các hành động sau phải được kiểm tra nếu FAU_GEN tạo dữ liệu kiểm soát an toàn bao gồm trong PP/ST:

Không có hành động được xác định là có thể kiểm tra được.

9.1.5  FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy

Phân cấp:

Không có thành phần khác.

...

...

...

Không có phụ thuộc.

FPT_SDC.1.1

TSF phải cung cấp không gian lưu trữ an toàn cho dữ liệu xác thực và mã hóa.

Chú thích áp dụng:

Phụ thuộc vào nhà phát triển xem những cơ chế nào được sử dụng để đảm bảo bảo vệ an toàn cho dữ liệu xác thực và mã hóa. Có thể là một HSM, một thẻ thông minh, lưu trữ mã hóa hoặc các hình thức bảo vệ khác sẽ đảm bảo rằng không có bất kỳ khóa và dữ liệu xác thực nào có thể truy cập được.

9.1.6  Phân tích

SFR mở rộng này đòi hỏi phải có một yêu cầu rõ ràng đối với việc bảo vệ dữ liệu TSF, nếu không sẽ không xác định được các yêu cầu vì loại hình bảo vệ này thường được đảm bảo bằng kết cấu của TOE và không được mô phỏng bằng các SFR được quy định tại TCVN 8709.

10. Các yêu cầu an toàn

10.1. Các yêu cầu chức năng an toàn

...

...

...

Thao tác tinh chỉnh được sử dụng để bổ sung thông tin chi tiết cho một yêu cầu và do đó giới hạn thêm một yêu cầu. Tinh chỉnh các yêu cầu về an toàn được biểu thị theo cách là các từ thêm vào sẽ được in chữ đậm còn các từ đã gỡ bỏ sẽ được gạch ngang. Nếu một lần tinh chỉnh được thêm vào như một đoạn riêng biệt cho một SFR thay vì sửa đổi từ ngữ của nó, thì đoạn này bắt đầu bằng từ Tinh chỉnh: bằng chữ đậm.

Thao tác lựa chọn được sử dụng để chọn một hoặc nhiều tùy chọn quy định tại TCVN 8709 khi làm rõ yêu cầu. Lựa chọn của tác giả PP được biểu thị dưới dạng văn bản được gạch chân; ngoài ra, một chú thích ở cuối trang sẽ hiển thị nội dung ban đầu theo TCVN 8709-2. Các lựa chọn sẽ do tác giả ST điền vào, xuất hiện trong dấu ngoặc vuông với dấu hiệu chỉ ra rằng một lựa chọn sẽ được thực hiện [lựa chọn:] và được in nghiêng.

Thao tác chỉ định được sử dụng để chỉ định một giá trị cụ thể cho một tham số không xác định như độ dài của mật khẩu. Những phép chỉ định của tác giả PP đều được biểu thị dưới dạng văn bản được gạch chân; ngoài ra, một chú thích ở cuối trang sẽ hiển thị nội dung ban đầu theo TCVN 8709-2. Các phép chỉ định sẽ do tác giả ST điền vào, xuất hiện trong dấu ngoặc vuông với dấu hiệu chỉ ra rằng một phép chỉ định sẽ được thực hiện [chỉ định:] và được in nghiêng. Trong một số trường hợp, thao tác chỉ định do tác giả PP thực hiện sẽ xác định một sự lựa chọn hoặc chỉ định do tác giả ST thực hiện. Vì vậy, đoạn văn bản này sẽ được gạch chân và in nghiêng như thế này.

10.1.1  Định danh và xác thực (FIA)

TOE phải cung cấp ít nhất một cơ chế xác thực cơ bản đủ mạnh để đáp ứng các yêu cầu của FIA_SOS.1.

Quyền truy cập dữ liệu chỉ được cấp sau khi xác thực thành công. Quyền này sẽ bị hủy nếu TOE bị ngắt kết nối tới máy chủ lưu trữ hoặc lỗi thiết bị.

FIA_UAU.2 Xác thực người dùng trước mọi hành động

Phân cấp:

FIA_UAU.1 Thời gian xác thực

...

...

...

FIA_UID.1 Thời gian định danh

FIA_UAU.2.1

TSF yêu cầu từng người dùng phải xác thực thành công trước khi cho phép bất kỳ hành động nào khác đại diện cho người dùng đó.

FIA_UAU.6 Xác thực lại

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

Không có phụ thuộc.

FIA_UAU.6.1

...

...

...

Chú thích áp dụng:

Việc xác thực lại phải sử dụng cùng một cơ chế xác thực như xác thực ban đầu.

FIA_SOS.1 Xác minh các bí mật

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

Không có phụ thuộc.

FIA_SOS.1.1

TSF sẽ cung cấp một cơ chế để xác minh các bí mật đáp ứng

...

...

...

b) Bất kỳ phản hồi nào được đưa ra trong khi thử sử dụng cơ chế xác thực sẽ không làm giảm xác suất xuống dưới chỉ số trên2.

FIA_AFL.1 Xử lý lỗi xác thực

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

FIA_UAU.1 Thời gian xác thực

FIA_AFL.1.1

TSF sẽ phát hiện khi [lựa chọn: [chỉ định: số nguyên dương], một số nguyên dương có thể cấu hình bởi quản trị viên trong phạm vi [chỉ định: khoảng các giá trị có thể chấp nhận được]] những lần thử xác thực không thành công xảy ra liên quan đến việc xác thực của người dùng3.

FIA_AFL.1.2

...

...

...

Chú thích áp dụng:

Các ngưỡng cần phải được xác định là hợp lý cho môi trường hoạt động dự kiến và hình thức chặn được thực hiện. Nếu việc chặn được thực hiện bằng cách hủy khóa, do đó hiển thị dữ liệu được lưu trữ sẽ hoàn toàn không thể truy cập, thì các ngưỡng cao hơn sẽ thích hợp hơn cho môi trường mà quản trị viên có khả năng bỏ chặn thiết bị.

Chú thích áp dụng:

Yêu cầu này có thể làm thiết bị không sử dụng được. Việc này tùy thuộc tác giả ST. Nếu một cơ chế được thực hiện cho phép đặt lại bộ đếm xác thực không thành công, thì các vấn đề an toàn liên quan cần phải được giải quyết và mô phỏng trong ST.

10.1.2  Hoạt động mã hóa (FCS)

TOE bảo vệ dữ liệu thông qua các công cụ mã hóa. Việc thực hiện chính xác tuân thủ các quy định quốc gia về mã hóa và phải được nêu trong ST.

FCS_CKM.1 Tạo khóa bằng mã hóa

Phân cấp:

Không có thành phần khác.

...

...

...

[FCS_CKM.2 Phân phối khóa mã hóa, hoặc

FCS_COP.1 Thao tác mã hóa]

FCS_CKM.4 Hủy khóa mã hóa

FCS_CKM.1.1

TSF sẽ tạo các khóa bằng mã hóa theo một thuật toán tạo khóa mã hóa được quy định cụ thể [chỉ định: thuật toán tạo khóa bằng mã hóa]6 và các kích thước khóa mã hóa quy định [chỉ định: kích thước khóa mã hóa]7 đáp ứng như sau: [chỉ định: danh sách các tiêu chuẩn được chấp nhận]8.

Chú thích áp dụng 1:

Liên hệ với tổ chức chứng nhận để biết danh sách các tiêu chuẩn được chấp nhận. Danh sách các tiêu chuẩn được chấp nhận sẽ cung cấp các thuật toán mã hóa thích hợp, các chế độ thao tác và độ dài khóa, các thuật toán tạo khóa phù hợp và bộ tạo số ngẫu nhiên.

Chú thích áp dụng 2:

TOE sẽ tạo một khóa mã hóa mới khí được khởi động hoặc khi có yêu cầu rõ ràng để tạo một khóa mới.

...

...

...

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

[FDP_ITC.1 Nhập dữ liệu người dùng không có thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mã hóa]

FCS_CKM.4.1

TSF sẽ hủy các khóa mã hóa theo phương pháp hủy khóa mã hóa quy định [chỉ định: phương pháp hủy khóa mã hóa]9 đáp ứng như sau: [chỉ định: danh sách các tiêu chuẩn được chấp nhận]10.

Chú thích áp dụng 1:

...

...

...

Chú thích áp dụng 2:

Một kịch bản điển hình để hủy khóa là khởi động lại thiết bị. Nếu thao tác xóa dữ liệu được bao gồm trong chức năng an toàn của TOE, thì việc này có thể được thực hiện bằng cách xóa khóa.

Chú thích áp dụng 3:

Nếu người dùng TOE nghi ngờ TOE bị xâm nhập, thì người dùng nên xóa bỏ hoàn toàn, không cần lập lại bằng cách xóa khóa.

FCS_COP.1 Thao tác mã hóa

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

[FDP_ITC.1 Nhập dữ liệu người dùng không có thuộc tính an toàn hoặc

...

...

...

FCS_CKM.1 Tạo khóa bằng mã hóa]

FCS_CKM.4 Hủy khóa mã hóa

FCS_COP.1.1

TSF sẽ thực hiện mã hóa và giải mã dữ liệu khi ghi/đọc từ vùng lưu trữ được bảo vệ của thiết bị lưu trữ11 theo một thuật toán mã hóa được quy định cụ thể [chỉ định: thuật toán mã hóa]12 và các kích thước khóa mã hóa [chỉ định: kích thước khóa mã hóa]13 đáp ứng như sau: [chỉ định: danh sách các tiêu chuẩn được chấp nhận]14.

Chú thích áp dụng:

Liên hệ với tổ chức chứng nhận để biết danh sách các tiêu chuẩn được chấp nhận.

10.1.3  Chức năng quản lý (FMT)

TOE hỗ trợ các chức năng quản lý cho vai trò của người dùng được xác thực để thay đổi dữ liệu xác thực hoặc khởi động thiết bị.

FMT_SMF.1 Đặc điểm kỹ thuật của các chức năng quản lý

...

...

...

Không có thành phần khác.

Phụ thuộc:

Không có phụ thuộc

FCS_SMF.1.1

TSF sẽ có khả năng thực hiện các chức năng quản lý sau đây:

a) sửa đổi dữ liệu xác thực

b) khởi tạo thiết bị bằng cách tạo mới khóa mã hóa và xóa các khóa trước đó 15.

Chú thích áp dụng 1:

Tác giả ST có thể quy định các chức năng quản lý khác.

...

...

...

Xóa các khóa trước đó sẽ làm vô hiệu hóa dữ liệu cũ được mã hóa trên thiết bị. Để tăng tính an toàn, một thiết bị cũng có thể chọn xóa bộ nhớ dữ liệu.

10.1.4  Bảo vệ dữ liệu người dùng (FDP)

Dữ liệu người dùng và dữ liệu TSF chỉ có thể truy cập được trong trạng thái TOE mở khóa. TOE phải đảm bảo rằng không có thông tin còn sót lại nào có thể truy cập được trong trạng thái khóa.

FDP_RIP.1 Bảo vệ thông tin dư thừa

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

Không có phụ thuộc

FCS_RIP.1.1

...

...

...

Chú thích áp dụng:

Giải phóng trong bối cảnh của tiêu chuẩn này được định nghĩa là kết thúc theo logic hoặc vật lý của kết nối máy chủ.

10.1.5  Bảo vệ dữ liệu TSF (FPT)

TOE sẽ bảo vệ các dữ liệu TSF và xử lý các gián đoạn trong một hệ thống an toàn, loại bỏ bất kỳ truy cập nào trong những trường hợp xảy ra sự cố.

FPT_FLS.1 Sự cố duy trì trạng thái an toàn

Phân cấp:

Không có thành phần khác.

Phụ thuộc:

Không có phụ thuộc

...

...

...

TSF sẽ duy trì trạng thái an toàn khi xảy ra các kiểu sự cố sau: hủy bỏ bất thường của TSF18.

Chú thích áp dụng 1:

Các thông tin chi tiết của trạng thái an toàn được định nghĩa trong O.FailSafe.

Chú thích áp dụng 2:

Tính toàn vẹn của dữ liệu lưu trữ trên thiết bị không thuộc phạm vi của Hồ sơ bảo vệ.

Chú thích áp dụng 3:

Các sự cố theo nghĩa của SFR này nằm trong môi trường của TOE, ví dụ: sự cố hệ thống trong máy chủ, sự cố nguồn điện hoặc ngắt kết nối vật lý không cố ý hay các sự cố khác gây ra lỗi trong TSF, nghĩa là hủy bỏ bất thường của TSF, ví dụ: hủy bỏ một thao tác đọc hoặc ghi.

FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy

Phân cấp:

...

...

...

Phụ thuộc:

Không có phụ thuộc

FCS_SDC.1.1

TSF phải cung cấp không gian lưu trữ an toàn cho dữ liệu xác thực và mã hóa.

Chú thích áp dụng:

Phụ thuộc vào nhà phát triển xem những cơ chế nào được sử dụng để đảm bảo bảo vệ an toàn dữ liệu xác thực và mã hóa. Có thể là một HSM, một thẻ thông minh hoặc các hình thức bảo vệ khác để đảm bảo không thể truy cập khóa và dữ liệu xác thực.

10.2  Phân tích các yêu cầu chức năng an toàn

10.2.1  Tính nhất quán nội bộ của các yêu cầu

Sự hỗ trợ lẫn nhau và tính nhất quán nội bộ của các thành phần được chọn cho tiêu chuẩn này sẽ được mô tả trong phần này.

...

...

...

10.2.1.1  Xác thực

Người dùng muốn truy cập vào vùng lưu trữ được bảo vệ phải được xác thực trước. TOE sẽ khóa truy cập sau nhiều lần xác thực không thành công.

Điều này được thi hành thông qua yêu cầu xác thực trước khi sử dụng (FIA_UAU.2), yêu cầu về chất lượng của yếu tố xác thực (FIA_SOS.1) và bảo vệ cơ chế xác thực thông qua FIA_AFL1. Yêu cầu quay trở lại trạng thái an toàn (FPT_FLS.1) sẽ hỗ trợ thao tác này. Yêu cầu bảo vệ thông tin còn sót lại (FDP_RIP.1) sẽ đảm bảo không có sẵn dữ liệu người dùng thuần và dữ liệu TSF.

10.2.1.2  Hỗ trợ mã hóa

TOE sẽ cung cấp không gian lưu trữ được bảo vệ theo mã hóa dựa trên các thuật toán mã hóa, các phương thức thao tác hoạt động và độ dài khóa được chấp nhận bởi quy định quốc gia.

Điều này được thi hành bởi yêu cầu mã hóa dữ liệu TSF (FCS_COP.1), được hỗ trợ bởi FCS_CKM.1 và FCS_CKM.4

10.2.1.3  Chức năng quản lý

TOE sẽ cho phép những người dùng đã xác thực sửa đổi các thuộc tính an toàn dùng để xác thực và khởi động thiết bị.

Quản lý dữ liệu xác thực được quy định thông qua FMT_SMF.1 và được hỗ trợ bởi FIA_UAU.6.

...

...

...

TOE sẽ quay trở lại trạng thái an toàn trong trường hợp có sự cố về thông tin liên lạc. Thao tác này được thực hiện thông qua FPT_FLS.1

TOE sẽ bảo vệ dữ liệu TSF. Thao tác này được thực hiện thông qua FPT_SDC.1 và FDP_RIP.1.

10.2.2  Phạm vi yêu cầu an toàn

Bảng 2 - Theo dõi mục tiêu SFR

SFR

O.ProtectTSF

O.AuthAccess

O.Encrypt

O.AuthChange

...

...

...

FIA_UAU.2

X

FIA_UAU.6

...

...

...

X

FIA_SOS.1

X

FIA_AFL.1

...

...

...

X

FCS_CKM.1

X

...

...

...

FCS_CKM.4

X

FCS_COP.1

...

...

...

FDP_RIP.1

X

X

X

FMT_SMF.1

...

...

...

X

FPT_FLS.1

...

...

...

FPT_SDC.1

X

Các mục tiêu sẽ được SFR đáp ứng theo cách như sau:

O.ProtectTSF

Việc truy cập trái phép vào dữ liệu TSF sẽ được ngăn chặn bởi FPT_SDC.1 (yêu cầu lưu trữ an toàn cho dữ liệu xác thực và mã hóa) và FDP_RIP.1 để đảm bảo không có dữ liệu còn sót lại. Để truy cập dữ liệu xác thực, xem phần O.AuthChange bên dưới.

...

...

...

Quyền truy cập vào vùng lưu trữ được bảo vệ chỉ được cấp sau khi xác thực được mô phỏng qua FIA_UAU.2 và FIA_SOS.1. FIA_AFL.1 sẽ đảm bảo những lần thử xác thực không thể tiếp tục vô thời hạn, do đó có thể ngăn chặn tấn công Brute Force. FDP_RIP.1 sẽ đảm bảo dữ liệu người dùng còn sót lại không có sẵn ở trạng thái khóa.

O.Encrypt

Mã hóa dữ liệu trong vùng lưu trữ được bảo vệ được thực hiện thông qua việc bảo vệ bằng mã hóa được mô phỏng trong FCS_CKM.1, FCS_CKM.4, FCS_COP.1.

O.AuthAccess

Quản lý dữ liệu xác thực được mô phỏng bởi FMT_SMF.1 và được hỗ trợ bởi FIA_UAU.6.

O.FailSafe

Yêu cầu an toàn được mô phỏng bởi FDP_RIP.1 để bảo vệ dữ liệu còn sót lại và FPT_FLS.1 yêu cầu TOE không chuyển sang trạng thái an toàn.

10.2.3  Phân tích các yêu cầu an toàn phụ thuộc

Bảng dưới đây hiển thị cách thức các phụ thuộc của SFR được đáp ứng.

...

...

...

SFR

Phụ thuộc được định nghĩa theo TCVN 8709

Giải quyết trong Hồ sơ bảo vệ / Phân tích các phụ thuộc chưa được giải quyết

FIA_UAU.2

FIA_UID.1

Chưa được giải quyết vì TOE không cần ID người dùng. Chỉ yêu cầu xác thực.

FIA_UAU.6

Không

N/A

...

...

...

Không

N/A

FIA_AFL.1

FIA_UAU.1

FIA_UAU.2

FCS_CKM.1

[FCS_CKM.2 hoặc FCS_COP.1], FCS_CKM.4

FCS_COP.1, FCS_CKM.4

FCS_CKM.4

...

...

...

FCS_CKM.1

FCS_COP.1

[FDP_ITC.1 hoặc FDP_ITC.2 hoặc FCS_CKM.1], FCS_CKM.4

FCS_CKM.1, FCS_CKM.4

FDP_RIP.1

Không

N/A

FMT_SMF.1

Không

...

...

...

FPT_FLS.1

Không

N/A

FPT_SDC.1

Không

N/A

10.3  Yêu cầu đảm bảo an toàn

Các yêu cầu đảm bảo an toàn cho TOE là các thành phần cấp đảm bảo đánh giá 2, như quy định cụ thể trong TCVN 8709-3:2011. Không có thao tác nào được áp dụng cho các thành phần đảm bảo.

10.4  Phân tích các yêu cầu đảm bảo an toàn

...

...

...

11  Gói mở rộng - Xác thực mở rộng PSMPP-EA

Gói mở rộng PSMPP này quy định các cơ chế và giao diện cho các cơ chế xác thực mở rộng áp dụng cho các thiết bị lưu trữ di động, ví dụ như xác thực dựa trên thẻ thông minh.

11.1  Tổng quan về gói mở rộng

Hồ sơ bảo vệ cơ sở được định nghĩa trong các phần trước chỉ yêu cầu xác thực người dùng. Gói mở rộng này làm tăng thêm Hồ sơ bảo vệ cơ sở để bao gồm cơ chế xác thực hai lớp ví dụ như thẻ thông minh, tin nhắn OTP, email.

11.2  Các tuyên bố tuân thủ

11.2.1  Các yêu cầu phù hợp với TCVN 8709-2:2011 và TCVN 8709-3:2011

Gói mở rộng này không làm tăng thêm yêu cầu tương thích của hồ sơ bảo vệ cơ sở như đã xác định trong Điều 6.

11.2.2  Quy tắc cấu tạo gói mở rộng

Gói mở rộng này không phụ thuộc vào các gói mở rộng khác.

...

...

...

11.3  Mô tả các vấn đề an toàn

Mô tả các vấn đề an toàn của gói mở rộng này phù hợp với mô tả các vấn đề an toàn của gói cơ sở. Gói mở rộng này không xác định bất kỳ mối đe dọa, hoặc chính sách an toàn nào khác.

11.4  Các mục tiêu an toàn

11.4.1  Các mục tiêu an toàn cho TOE

Mục tiêu O.AuthAccess từ Hồ sơ bảo vệ cơ sở sẽ được tăng cường để xác định xác thực hai yếu tố thay vì chỉ xác thực mạnh. Nó được thay thế như sau:

O.AuthAccess-EA

TOE sẽ cung cấp cơ chế xác thực hai yếu tố để chỉ cho phép những người dùng đã được xác thực mới có quyền truy cập vào vùng lưu trữ được bảo vệ.

Chú thích áp dụng:

Khi sử dụng gói mở rộng này, O.AuthAccess-EA sẽ thay thế O.AuthAccess từ Hồ sơ bảo vệ cơ sở.

...

...

...

Gói mở rộng này không xác định bất kỳ mục tiêu bổ sung nào cho môi trường hoạt động.

11.4.3  Phân tích các mục tiêu an toàn

11.4.3.1  Phạm vi mục tiêu an toàn

Bảng 4 - Theo dõi mục tiêu đối với các đe dọa và giả định

Mục tiêu

Mối Đe dọa

O.AuthAccess-EA

T.LogicalAccess (từ Hồ sơ bảo vệ cơ sở)

11.4.3.2  Nội dung chi tiết của các mục tiêu an toàn

...

...

...

T.LogicalAccess

Mối đe dọa về truy cập logic chưa được xác thực vào khu vực lưu trữ được bảo vệ sẽ bị chặn bởi O.AuthAccess-EA để đảm bảo chỉ cho phép truy cập đã được xác thực.

Chú thích áp dụng:

Phần còn lại của phân tích này được lấy từ Hồ sơ bảo vệ cơ sở.

11.5  Các yêu cầu chức năng an toàn

11.5.1  Định danh và xác thực (FIA)

TOE phải cung cấp sự xác thực mạnh thông qua cơ chế xác thực dựa trên token hoặc cơ chế xác thực hai yếu tố.

FIA_UAU.5-EA Cơ chế xác thực nhiều lần

Phân cấp:

...

...

...

Phụ thuộc:

Không có phụ thuộc

FIA_UAU.5.1

TSF sẽ cung cấp một trong các cơ chế xác thực sau đây:

m1: [lựa chọn: thẻ thông minh, [chỉ định: token mã hóa khác]] và

m2: [lựa chọn: mật khẩu, PIN, xác thực sinh trắc học, [chỉ định: cơ chế xác thực khác]]19 để hỗ trợ xác thực người dùng.

Chú thích áp dụng 1:

Các phương pháp xác thực được sử dụng phải bao gồm ít nhất một token mã hóa và một phương pháp thứ hai.

Chú thích áp dụng 2:

...

...

...

FIA_UAU.5.2

TSF sẽ xác thực định danh đã đưa bởi người dùng bất kỳ sau khi thành cộng cả hai cơ chế xác thực20.

11.5.2  Phân tích các yêu cầu chức năng an toàn

Phần này cung cấp phân tích cho tính nhất quán nội bộ và đầy đủ của các yêu cầu chức năng an toàn được xác định trong gói mở rộng này.

11.5.2.1  Tính nhất quán nội bộ của các yêu cầu

Phần này mô tả sự hỗ trợ lẫn nhau và tính nhất quán bên trong của các thành phần được chọn cho gói mở rộng.

Phân tích sau đây cho thấy tính nhất quán bên trong của các yêu cầu chức năng.

11.5.2.1.1  Xác thực

Người dùng muốn truy cập vào vùng lưu trữ được bảo vệ sẽ được xác thực hai lớp trước khi được phép truy cập vùng lưu trữ được bảo vệ đó.

...

...

...

Điều 10.2.2 được mở rộng như sau:

Bảng 5 - Gói mở rộng - theo dõi mục tiêu SFR

SFR

O.AuthAccess-EA

FIA_UAU.5-EA

X

Các mục tiêu sẽ được SFR đáp ứng theo cách như sau:

O.AuthAccess-EA

Quyền truy cập vào khu vực lưu trữ được bảo vệ chỉ được cấp sau khi xác thực thông qua FIA_UAU.2 và FIA_UAU.5-EA, FIA_AFL.1 và FIA_SOS.1. FDP_RIP.1 sẽ đảm bảo dữ liệu người dùng còn sót lại không có sẵn ở trạng thái bị khóa.

...

...

...

Điều 10.2.3 được mở rộng như sau:

Bảng 6 - Gói mở rộng - giải quyết phụ thuộc SFR

SFR

Phụ thuộc được định nghĩa theo TCVN 8709

Giải quyết trong Hồ sơ bảo vệ / Phân tích các phụ thuộc chưa được giải quyết

FIA_UAU.5-EA

Không.

N/A

...

...

...

[1] Protection Profile for Portable Storage Media (PSMPP) (Hồ sơ bảo vệ cho thiết bị lưu trữ di động) Version 1.0, ngày 11/9/2012 của CCRA.

MỤC LỤC

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ, định nghĩa, ký hiệu và chữ viết tắt

4  Giới thiệu Hồ sơ bảo vệ

4.1  Tổng quan TOE

4.1.1  Kiểu TOE

...

...

...

4.1.3  Cách sử dụng và đặc điểm an toàn chính của TOE

4.1.4  Phần cứng/phần mềm/phần sụn phi - TOE

4.2  Giới hạn TOE

5  Khung Hồ sơ bảo vệ cho thiết bị lưu trữ di động (PSMPP)

5.1  Thông tin bắt buộc do ST cung cấp

5.1.1  Yêu cầu phù hợp

5.1.2  Tham chiếu SFR với tài liệu tham khảo gói mở rộng PSMPP

5.2  Thông tin bắt buộc được cung cấp bởi các gói mở rộng PSMPP

5.3  Thông số kỹ thuật bị hạn chế đối với PSMPP cơ sở

...

...

...

6.1 Các yêu cầu phù hợp CC

6.2  Yêu cầu gói

6.3  Yêu cầu PP

6.4  Báo cáo phù hợp

7  Mô tả các vấn đề an toàn

7.1  Tài sản

7.2  Vai trò

7.3  Các mối đe dọa

7.3.1  Các mối đe dọa TOE

...

...

...

7.4  Các chính sách an toàn thông tin của tổ chức

7.5  Giả định

8  Các mục tiêu an toàn

8.1  Các mục tiêu an toàn cho TOE

8.2  Các mục tiêu an toàn cho môi trường hoạt động

8.3  Phân tích các mục tiêu an toàn

8.3.1  Phạm vi mục tiêu an toàn

8.3.2  Nội dung chi tiết của các mục tiêu an toàn

9  Định nghĩa các thành phần mở rộng

...

...

...

9.1.1  Hành vi theo họ FPT_SDC

9.1.2  Phân cấp thành phần FPT_SDC.1

9.1.3  Quản lý FPT_SDC.1

9.1.4  Kiểm soát FPT_SDC.1

9.1.5  FPT_SDC.1 Lưu trữ dữ liệu TSF đáng tin cậy

9.1.6  Phân tích

10. Các yêu cầu an toàn

10.1. Các yêu cầu chức năng an toàn

10.1.1  Định danh và xác thực (FIA)

...

...

...

10.1.3 Chức năng quản lý (FMT)

10.1.4  Bảo vệ dữ liệu người dùng (FDP)

10.1.5  Bảo vệ dữ liệu TSF (FPT)

10.2  Phân tích các yêu cầu chức năng an toàn

10.2.1  Tính nhất quán nội bộ của các yêu cầu

10.2.2  Phạm vi yêu cầu an toàn

10.2.3  Phân tích các yêu cầu an toàn phụ thuộc

10.3  Yêu cầu đảm bảo an toàn

10.4  Phân tích các yêu cầu đảm bảo an toàn

...

...

...

11.1  Tổng quan về gói mở rộng

11.2  Các tuyên bố tuân thủ

11.2.1  Các yêu cầu phù hợp với TCVN 8709-2:2011 và TCVN 8709-3:2011

11.2.2  Quy tắc cấu tạo gói mở rộng

11.3  Mô tả các vấn đề an toàn

11.4  Các mục tiêu an toàn

11.4.1  Các mục tiêu an toàn cho TOE

11.4.2  Các mục tiêu an toàn cho môi trường hoạt động

11.4.3  Phân tích các mục tiêu an toàn

...

...

...

11.5.1  Định danh và xác thực (FIA)

11.5.2  Phân tích các yêu cầu chức năng an toàn

Thư mục tài liệu tham khảo

1 [chỉ định: danh sách các điều kiện yêu cầu xác thực lại]

2 [chỉ định: chỉ số chất lượng đã được xác định]

3 [chỉ định: danh sách các trường hợp xác thực] XEM LAI: Gán => chỉ định ?

4 [lựa chọn: đáp ứng, thông qua]

5 [chỉ định: danh sách cách hành động]

6 [chỉ định: thuật toán tạo khóa bằng mật mã]

...

...

...

8 [chỉ định: danh sách các tiêu chuẩn]

9 [chỉ định: phương pháp hủy khóa mật mã]

10 [chỉ định: danh sách các tiêu chuẩn]

11 [chỉ định: danh sách các thao tác mật mã]

12 [chỉ định: thuật toán mật mã]

13 [chỉ định: kích thước khóa mật mã]

14 [chỉ định: danh sách các tiêu chuẩn]

15 [chỉ định: danh sách các chức năng quản lý do TSF cung cấp]

16 [lựa chọn: phân bổ tài nguyên đến, giải phóng tài nguyên từ]

...

...

...

18 [chỉ định: danh sách các kiểu sự cố trong TSF]

19 [chỉ định: danh sách các cơ chế xác thực nhiều lần]

20 [chỉ định: các quy tắc mô tả cách thức cung cấp xác thực của các cơ chế xác thực nhiều lần]

Tiêu chuẩn quốc gia TCVN 12821:2020 về Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho thiết bị lưu trữ di động