Tiêu chuẩn quốc gia

Information Technology - Security techniques - Protection profile for Database Management Systems

“Protection Profile for Database Management Systems (DBMS PP) Base Package” của Hiệp hội đảm bảo thông tin quốc gia Mỹ (NIAP), phiên bản 2.12, ngày 23/3/2017.
MOD - Tương đương 1 phần hoặc được xây dựng trên cơ sở tham khảo

• Đang có kế hoạch soát xét

35.030 - An toàn công nghệ thông tin (bao gồm cả mật mã)

Tiêu chuẩn này quy định hồ sơ bảo vệ cho các hệ quản trị cơ sở dữ liệu (gói cơ sở), thể hiện các yêu cầu chức năng an toàn (SFR) và các yêu cầu đảm bảo an toàn (SAR) đối với các hệ quản trị cơ sở dữ liệu (DBMS), phù hợp với bộ tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).
Các hệ quản trị cơ sở dữ liệu thuộc phạm vi áp dụng của tiêu chuẩn này là hệ quản trị cơ sở dữ liệu thương mại (COTS), được gọi chung là Đích đánh giá (TOE) và được quy định cụ thể tại điều 5.1.
Đích đánh giá (TOE) cung cấp kiểm soát truy cập phù hợp dựa trên định danh người dùng và nhóm thành viên (không bắt buộc), ví dụ: kiểm soát truy cập tùy quyền (DAC), và tạo bản ghi các sự kiện liên quan đến an toàn thông tin. Các quản trị viên có thẩm quyền của TOE được tin tưởng để không lạm dụng các đặc quyền được gán cho họ.
Đích an toàn (ST) phù hợp với tiêu chuẩn này phải đáp ứng tối thiểu tiêu chuẩn này theo hình thức tuân thủ có thể diễn giải như định nghĩa trong điều D.3 của tiêu chuẩn TCVN 8709-1:2011.
Hồ sơ bảo vệ này trong mục “mô tả vấn đề an toàn” (SPD) không bao gồm mục tiêu an toàn liên quan đến lịch sử truy cập.
Mặc dù nhiều tổ chức không chỉ định mục tiêu này là một phần của định nghĩa vấn đề an toàn của họ, mục tiêu an toàn bổ sung này có thể cần được đưa vào định nghĩa vấn đề an toàn của một số tổ chức để hỗ trợ giảm thiểu các mối đe dọa của T.ACCESS_TSFDATA và T.TSF_COMPROMISE. Điều này đạt được bằng cách cho phép người dùng được đào tạo xem lại lịch sử truy cập của họ để giúp xác định các nỗ lực truy cập trái phép.
Mục tiêu an toàn này có thể được tùy chọn đưa vào trong SPD bằng cách chỉ định cấu hình PP: Hồ sơ bảo vệ cho hệ thống quản lý cơ sở dữ liệu (Gói cơ sở) với Gói mở rộng DBMS PP- Lịch sử truy cập (DBMSPP-AH).

Các tài liệu sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng bản mới nhất, bao gồm cả các sửa đổi (nếu có).
TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), “Công nghệ thông tin-Các kỹ thuật an toàn-Các tiêu chí đánh giá an toàn CNTT-Phần 1:Giới thiệu và mô hình tổng quát”.
TCVN 8709-2:2011 (ISO/IEC 15408-2:2008), “Công nghệ thông tin-Các kỹ thuật an toàn-Các tiêu chí đánh giá an toàn CNTT-Phần 2:Các thành phần chức năng an toàn”.
TCVN 8709-3:2011 (ISO/IEC 15408-3:2008), “Công nghệ thông tin-Các kỹ thuật an toàn-Các tiêu chí đánh giá an toàn CNTT-Phần 3:Các thành phần đảm bảo an toàn”.

Cục An toàn thông tin