Độ không xác định và sự tin tưởng

Độ không xác định được dùng trong bộ tiêu chuẩn này như một thuật ngữ bao hàm. Thuật ngữ này bao gồm sự thiếu chắc chắn dù độ không xác định có thể được mô hình hóa theo khả năng có thể xảy ra hay không. Độ không xác định có thể bao gồm các khái niệm không rõ ràng có thể được mô hình hóa mà không có việc sử dụng của khả năng có thể xảy ra. Cộng đồng hiện tại hạn chế áp dụng thuật ngữ này cho các dự đoán về các sự kiện trong tương lai, để các phép đo vật lý sẵn sàng được tạo ra, hoặc cho các điều chưa biết. Trong khi các cách sử dụng bị giới hạn này có thể hữu ích trong các cộng đồng đó, người dùng bộ tiêu chuẩn này bao trùm các cộng đồng khác nhau.

Mức độ tin tưởng có thể là hoặc được đưa ra một cách thích hợp dựa trên một trường hợp đảm bảo cụ thể, có thể thay đổi bởi cá nhân hay tổ chức và tình huống. Độ không xác định về các đòi hỏi của một trường hợp đảm bảo càng thấp thì mức độ tin tưởng hợp lý càng cao. Tuy nhiên, việc chuyển đổi ý nghĩa của độ không xác định thành một mức độ tin tưởng hợp lý theo sự phù hợp cho các ứng dụng hiện tại không phải là không minh bạch hay được hiểu rõ. Vì cơ sở này và nhiều cơ sở khác, các hệ quả đôi khi được đề cập trực tiếp trong trường hợp đảm bảo. Trong khi trường hợp đảm bảo này đóng một khoảng trống logic, độ không xác định không loại bỏ hoạt động đánh giá của người đưa ra quyết định liên quan tới mức độ tin tưởng xứng đáng.

5.7. Điều kiện và sự kiện bắt đầu

Trường hợp đảm bảo cần bao trùm tất cả các điều kiện có thể có một tác động tiêu cực đáng kể trong việc kết luận và độ không xác định của đòi hỏi mức cao. Vô vàn điều kiện và sự kiện tiềm ẩn liên quan có thể khó khăn để xác định trước nhất ^[2] và việc tìm ra điều gì có thể có một tác động đáng kể có thể khó khăn khi không bao gồm chúng trước nhất, ít nhất trong trường hợp đảm bảo.

Theo lịch sử, một điều kiện nhận được hầu hết sự quan tâm là lỗi hệ thống. Một khối lượng đáng kể các danh sách kiểm tra, thực hành và tài liệu tồn tại đề cập tới lỗi hệ thống (ví dụ: ^[2], ^[71] và ^[14] Chương 18, từ trang 475 tới 524). Trong khi phần lớn công việc này đã được hoàn thành trong các cộng đồng chỉ ra sự an toàn, an ninh hoặc sai sót do con người, lỗi hệ thống có thể dẫn đến việc đạt được một đặc tính hay hệ quả kém hơn cũng như các đặc tính tiêu cực hay tổn thất.

Tính nguy hiểm của các hành vi hệ thống có thể phân biệt bởi các điều kiện của chính môi trường. Các hành vi và điều kiện này thường cần kết hợp trong suốt quá trình phân tích nhằm xây dựng dù các hệ quả tiêu cực có diễn ra hay không. Các điều kiện thực tế của chính môi trường có thể hoặc không được biết đến trong hệ thống dựa trên các cảm biến hay đầu vào hệ thống và việc xử lý chúng.

Nhà thiết kế hệ thống có thể hoặc không được biết rõ tất cả các sự kiện bắt đầu cho một điều kiện trong môi trường, tuy nhiên các điều kiện nguy hiểm cần được giải quyết dù cho không phải tất cả các sự kiện bắt đầu đều được biết đến hoặc có thể nhận ra.

5.8. Hệ quả

Bên ngoài hệ thống, nhiều cơ sở dựa trên các điều kiện có thể dẫn tới các hệ quả tiêu cực, sự kiện bắt đầu hoặc điều kiện tiên quyết của chúng. Trong hệ thống, cơ sở dựa trên các điều kiện mà có thể dẫn tới các hành vi hệ thống nguy hại, sự kiện bắt đầu hay các điều kiện tiên quyết cho các điều kiện này.

Trên thực tế, các đòi hỏi có thể mở rộng ra ngoài các ranh giới của hệ thống hoặc các hành vi. Đặc biệt, các đòi hỏi có thể đặt ra các giới hạn về hệ quả của hành vi của một hệ thống và/hoặc các sự kiện, hoạt động, điều kiện của hệ thống liên quan - đặc biệt là theo các giá trị hệ quả. Hệ quả đó có thể là:

Một hệ quả là mong đợi hoặc không mong đợi theo tầm nhìn, quan điểm hay sự quan tâm của một bên liên quan. Một hệ quả có thể xảy ra bất kỳ đâu trong vòng đời hệ thống.

Trong các hệ thống kỹ thuật-xã hội phức tạp, các giải thích về tai nạn hay vi phạm sự đòi hỏi không thể bị giới hạn cho các lỗi “thành phần”. Hệ quả tiêu cực có thể là kết quả của sự biến đổi hành vi thông thường và những tương tác không chủ tâm hay không dự kiến trước.^[57][54] Không đề cập tới cách thức chúng phát sinh, các điều kiện nguy hiểm và hệ quả tiêu cực là đối tượng giảm thiểu.

Người tấn công có thể có các khả năng, tài nguyên, động lực và mục đích cho phép họ khởi tạo và thực hiện các nỗ lực nguy hại nhằm vi phạm một đòi hỏi. Người vi phạm sử dụng khả năng của họ nhằm tận dụng ưu thế của các cơ hội được hệ thống và/hoặc được môi trường cung cấp được gọi là các lỗ hổng, ví dụ: “điểm yếu có thể bị khai thác hoặc được kích hoạt bởi một nguồn đe dọa” ^{[150] 2})

Một điểm đôi khi bị hiểu lầm là tính nguy hiểm và sự phá hoại là những quan tâm ngay cả khi không có đặc tính hệ thống an ninh liên quan nào được bao gồm. Nhà phát triển nguy hại có thể có một tác động dựa trên việc đạt được thành công của hầu hết các đặc tính.

Nhiều tiêu chuẩn hay báo cáo đề cập tới các hệ quả liên quan tới các hệ thống trong một lĩnh vực cụ thể. Ví dụ bao gồm các tiêu chuẩn: ISO 14620 ^[79], ISO 19706 ^[81] và ISO/TS 25238 ^[121]. Các tiêu chuẩn quản lý rủi ro cũng nêu ra các hệ quả, ví dụ các tiêu chuẩn: ISO/IEC 16085 ^[91] và ISO 31000.

6. Sử dụng các phần của bộ TCVN 10607

Bộ tiêu chuẩn này hay các tiêu chuẩn của nó có thể được sử dụng độc lập hoặc với các tiêu chuẩn hay hướng dẫn khác. Tiêu chuẩn này có thể được ánh xạ tới hầu hết các tiêu chuẩn vòng đời và có thể sử dụng bất kỳ tập chất lượng hay đặc tính được xác định rõ nào.

Các đặc tính và/hoặc đòi hỏi được bao trùm khi sử dụng bộ tiêu chuẩn này là hoàn toàn phụ thuộc vào người dùng tiêu chuẩn, đáp ứng các nhu cầu và yêu cầu hệ thống của bên liên quan. Bất kỳ đặc tính hay đòi hỏi nào có thể được chọn lọc cho một trường hợp đảm bảo, không kể tới tầm quan trọng hay các rủi ro liên quan; tuy nhiên tiêu chuẩn này được thiết kế chủ yếu cho các đặc tính đó mà một hay nhiều bên liên quan chủ yếu cho là quan trọng. TCVN 10607-4 sử dụng thuật ngữ “đặc tính quan trọng” cho các ưu tiên và yêu cầu của bên liên quan.

Trong khi TCVN 10607-3 thường tương thích ngược với ISO/IEC 15026:1998, việc chuyển đổi thành TCVN 10607-3 yêu cầu xử lý một vài khác biệt. TCVN 10607-3 đưa ra các tùy chọn quyết định và kỹ thuật mới, do tiêu chuẩn này không chỉ được coi như một quan điểm độc lập mà còn bao gồm sự liên quan các mức toàn vẹn cho một trường hợp đảm bảo. TCVN 10607-3 tập trung nhiều vào chính hệ thống và các mức toàn vẹn hơn là sự phân tích rủi ro bên ngoài và sự tạo ra các mức toàn vẹn. Điều 8 thảo luận về các mức toàn vẹn.

6.3. Mối quan hệ giữa các phần của bộ TCVN 10607

Các phần của bộ TCVN 10607:

- TCVN 10607-1 Phần 1: Khái niệm và từ vựng, giải thích các khái niệm và thuật ngữ như một cơ sở cho tất cả các phần của bộ tiêu chuẩn này.

- TCVN 10607-2 Phần 2: Trường hợp đảm bảo, bao gồm các yêu cầu về nội dung và cấu trúc của trường hợp đảm bảo.

- TCVN 10607-3 Phần 3: Mức toàn vẹn hệ thống, liên quan tới các mức toàn vẹn của trường hợp đảm bảo và bao gồm các yêu cầu cho việc sử dụng các yêu cầu đó có và không có một trường hợp đảm bảo (soát xét ISO/IEC 15026:1998).

- TCVN 10607-4 Phần 4: Đảm bảo trong vòng đời, đưa ra hướng dẫn và các khuyến nghị đảm bảo liên quan cho các hoạt động cụ thể trong suốt các quy trình vòng đời hệ thống và phần mềm.

Trong khi các tiêu chuẩn: TCVN 10607-2, TCVN 10607-3 và TCVN 10607-4 nêu ra một phân tách các chủ đề đảm bảo và có thể được dùng riêng rẽ, các tiêu chuẩn này có thể được dùng kết hợp do chúng tạo ra một tập liên quan. Tiêu chuẩn này đưa ra nền tảng, các khái niệm và từ vựng được áp dụng cho ba tiêu chuẩn còn lại và các giới thiệu cụ thể nhằm bao trùm các tiêu chuẩn: TCVN 10607-2, TCVN 10607-3 và TCVN 10607-4.

Trường hợp đảm bảo liên quan tới một mở rộng lớn hay nhỏ hơn trong tất cả các phần của bộ tiêu chuẩn này, mặc dù TCVN 10607-4 thảo luận việc đạt được đòi hỏi và thể hiện việc đạt được đòi hỏi dù có hay không việc “thể hiện” đó được đặt trong một tạo tác được gọi cụ thể là một “trường hợp đảm bảo”.

TCVN 10607-2 tập trung vào nội dung và cấu trúc của trường hợp đảm bảo. TCVN 10607-3 liên quan tới các mức toàn vẹn và trường hợp đảm bảo bằng việc mô tả cách thức các mức toàn vẹn và trường hợp đảm bảo có thể cùng làm việc, đặc biệt trong định nghĩa các đặc tả mức toàn vẹn hoặc bằng việc sử dụng các mức toàn vẹn trong một phần của trường hợp đảm bảo. Mối quan hệ này được quản lý theo mức độ rủi ro và các phụ thuộc trong hệ thống.

Nếu các rủi ro hay cách xử lý rủi ro không được biết rõ, hoặc nếu cấu trúc phụ thuộc của toàn bộ hệ thống, hoặc việc lựa chọn các đòi hỏi phù hợp không rõ ràng thì việc sử dụng một trường hợp đảm bảo là lựa chọn tốt hơn việc sử dụng các mức toàn vẹn. Cụ thể trong trường hợp này, khi đối mặt với các loại rủi ro mới hay sử dụng một loại xử lý rủi ro mới. Trong các tình huống này, việc biện minh chọn lựa đòi hỏi mức cao cho trường hợp đảm bảo là quan trọng.

Khi các rủi ro và việc xử lý rủi ro được biết rõ, tuy nhiên các nhà phát triển không cần biện minh việc chọn đòi hỏi mức cao và chỉ cần chọn lọc các đòi hỏi thích hợp cho ngữ cảnh của một tập đã biết của chúng - một mức toàn vẹn từ một tập các mức toàn vẹn. Trong các tình huống này, các lập lập chung được tạo ra bởi người định nghĩa mức toàn vẹn, đưa ra biện minh nhằm đáp ứng các yêu cầu mức toàn vẹn được thể hiện đầy đủ sự đáp ứng mức toàn vẹn. Một biện minh (ví dụ: trường hợp đảm bảo tổng quát) thường được tạo một lần bởi một tổ chức riêng và được dùng bởi nhiều dự án.

TCVN 10607-4 bao trùm hướng dẫn và các khuyến nghị đảm bảo liên quan cho các hoạt động thông qua các quy trình vòng đời, bao gồm các hoạt động nhằm mở rộng qua các quy trình vòng đời đó, liên quan trực tiếp tới một trường hợp đảm bảo, ví dụ: việc lập kế hoạch dự án cho các xem xét đảm bảo liên quan.

Các tiêu chuẩn của bộ TCVN 10607 bao gồm “thẩm quyền” được định nghĩa trong Điều 3, Thuật ngữ và định nghĩa. Ví dụ: TCVN 10607-3 bao gồm việc đạt được các thỏa thuận giữa bên thiết kế và bên đảm bảo toàn vẹn. Hơn nữa, một hệ thống mới cần các bên phê duyệt của nhà thâu nhận nhằm đổi lấy việc phân tích quy trình tạo ra các trường hợp đảm bảo với bên thiết kế và bên đảm bảo toàn vẹn của nhà cung cấp.

Tuy nhiên, “bên phê duyệt” cho trường hợp đảm bảo không cần thiết đánh giá sự phù hợp một phần của bộ tiêu chuẩn này. Để mở rộng các đòi hỏi khả dụng của sự phù hợp với các phần được đánh giá theo các khía cạnh minh bạch hơn và khó bị nghi ngờ hơn là chất lượng của các tạo tác và quyết định được đánh giá theo ngữ cảnh của hệ thống hay dự án. Thực tế, các hợp đồng có thể kêu gọi rõ nhà thâu nhận là bên phê duyệt hay người phê duyệt sự phù hợp cho các phần của bộ tiêu chuẩn này.

7. Bộ TCVN 10607 và trường hợp đảm bảo

TCVN 10607-2 bao gồm cấu trúc và nội dung của một trường hợp đảm bảo. Tiêu chuẩn này mô tả năm thành phần cơ bản của một trường hợp đảm bảo: các đòi hỏi, lập luận, bằng chứng, biện minh và các giả định. Mục đích của một trường hợp đảm bảo nhằm tăng cường các kết nối đảm bảo bằng cách thông báo việc đưa ra quyết định của nhà cung cấp và hỗ trợ cơ sở cho sự tin tưởng của nhà cung cấp cần thiết. Việc sử dụng phổ biến của một trường hợp đảm bảo nhằm cung cấp sự đảm bảo các đặc tính hệ thống với các bên, không chỉ liên quan chặt chẽ trong các quy trình phát triển kỹ thuật của hệ thống. Các bên có thể liên quan trong việc chứng nhận hay điều chỉnh, thu thập hay kiểm tra hệ thống. Thông thường, một trường hợp đảm bảo nêu ra các lý do mong đợi và xác nhận sự sản xuất thành công của hệ thống, bao gồm các khả năng xảy ra và rủi ro được xác định như các khó khăn hay chướng ngại nhằm phát triển và duy trì hệ thống đó.

Không giống các chứng cứ logic của việc giảm thiểu các đòi hỏi theo bằng chứng, bao trùm sự thật cần thiết hoặc các khía cạnh sự thật Platonix, các trường hợp đảm bảo giải quyết các khía cạnh biện chứng của hệ thống khi sự thật luôn luôn là tương đối hay thậm chí chủ quan. Nói cách khác, các chứng cứ logic được mô tả theo một thuyết logic cố định, nhưng các trường hợp đảm bảo có thể bị bác bỏ trên cơ sở nhằm làm cơ sở cho thuyết logic là không phù hợp. Nhu cầu cho trường hợp đảm bảo phát sinh khi một trường hợp đảm bảo nhận ra các đặc tính hệ thống thực tế không thể được chuẩn hóa hoàn toàn theo một lý thuyết logic, nhưng luôn luôn có điều gì đó không được bao trùm bởi bất kỳ chuẩn hóa logic nào.

CHÚ THÍCH Khi đòi hỏi mức cao về sự an toàn, an ninh, khả tín hoặc RAM (độ tin cậy, tính sẵn có và khả trì), các trường hợp đảm bảo tương ứng với các đòi hỏi đó được gọi là: các trường hợp an toàn, trường hợp an ninh, trường hợp khả tín hoặc các trường hợp RAM một cách tương ứng. Xem ^{[139], [142], [143], [146], [154], [155], [168], [74], [22], [23],} và ^[24] trong Thư mục tài liệu tham khảo.

Được xem xét như một tạo tác, một trường hợp đảm bảo có các khía cạnh chất lượng liên quan, ví dụ: bản chất nội dung, nguyên mẫu hay cấu trúc của nó (ví dụ: phương pháp luận hoặc mô đun hóa), các vấn đề ngữ nghĩa, ví dụ: sự hoàn thiện, khởi tạo và duy trì bao gồm hỗ trợ công cụ, khả năng sử dụng và trình diễn, sự toàn vẹn, khả dụng, khả năng hiểu biết và có các kết luận được nêu ra với các mức rõ ràng của độ không xác định. Một tiêu đề ^[164] bao trùm một danh sách đáng kể các đặc tính chất lượng liên quan cho các trường hợp đảm bảo. Các khía cạnh chất lượng liên quan của một trường hợp đảm bảo không được bao trùm trong TCVN 10607-2 hay bất kỳ phần nào của bộ tiêu chuẩn này.

Bất kỳ sự điều chỉnh đáng kể nào trong hệ thống, thay đổi trong môi trường hay theo các đòi hỏi mức cao của trường hợp đảm bảo cần ghi chép bắt buộc những thay đổi với trường hợp đảm bảo. Do vậy, một trường hợp đảm bảo thường bao gồm sự mở rộng từng bước các bằng chứng được xây dựng trong suốt quá trình phát triển và các hoạt động vòng đời sau này nhằm đáp ứng như được yêu cầu với tất cả thay đổi liên quan [^[139] trang 5]

CHÚ THÍCH (Các) đòi hỏi của một trường hợp đảm bảo theo các giá trị đặc tính có thể bao gồm toàn bộ tập yêu cầu của hệ thống cho một đặc tính đáng quan tâm. Một ví dụ về một đòi hỏi mức cao, bao gồm (1) các giới hạn cần thiết theo hệ quả (2) tính năng và các đặc tính của chính hệ thống (ví dụ: tính năng này không được bỏ qua). Chất lượng được định nghĩa trong bộ ISO/IEC 25000 bao gồm chất lượng liên quan tới các tính năng và giới hạn. Tiêu chuẩn Chung phiên bản 3.1 Sửa đổi 2 ^[30] cũng quan tâm đến cả hai điều này.

7.2. Biện minh về phương pháp luận

Một lập luận có một biện minh tương ứng cho tính hợp lý hay giá trị của chính phương pháp luận. Phương pháp luận có thể là một nguồn bổ sung của độ không xác định.

Một loạt cơ sở cho việc lập luận và phân tích trong trường hợp đảm bảo có thể được sử dụng và những thay đổi này theo khả năng áp dụng, nguồn lực, dẫn tới tính chính xác, độ không xác định và việc sử dụng dễ dàng. Người dùng và các cách tiếp cận với cơ sở khác nhau giữa các cộng đồng có các động lực, tư duy khác nhau và thường có nhiều phương pháp luận.

Ví dụ của phương pháp luận bao gồm:

- Định lượng:

- Tất định (ví dụ: các chứng minh hình thức).

- Các hệ thống hình thức luận phi tất định:

- Xác suất,

- Lý thuyết trò chơi (ví dụ: minimax), hoặc

- Các hệ thống suy luận hình thức khác dựa trên độ không xác định (ví dụ: các tập mờ).

- Định tính (ví dụ: đánh giá hiệu năng công việc của nhân viên, phán quyết tòa án, các mô tả định tính về tính nhân quả của sự kiện)

Các sản phẩm và tình huống phức tạp - và bất kỳ điều gì liên quan tới con người - nằm ngoài trạng thái kỹ thuật hiện tại nhằm tạo ra “một cách định lượng” các dự đoán chính xác và tỉ mỉ. Việc đánh giá chủ quan được sử dụng khi không có những phương pháp và kỹ thuật vừa tầm, phù hợp và khách quan hơn hoặc những điều cần bổ trợ hay đánh giá kết quả của những phương pháp kỹ thuật đó. Việc hỗ trợ các kỹ thuật định lượng theo đánh giá và phê bình của chuyên gia được sử dụng rộng rãi và được chấp thuận phổ biến. Với các mẫu lập luận khác, đánh giá chủ quan theo dạng thức của một đòi hỏi và hỗ trợ của nó. Trong khi đôi lúc cần thiết hay hiệu quả, việc sử dụng các đánh giá chủ quan trong trường hợp đảm bảo có thể dẫn tới độ không xác định bổ sung, nên (chỉ với các giả định) việc xử lý thường càng ít nghiêm trọng thì càng tốt.

Các khung của sự xuất hiện các sự kiện “tự nhiên” và phổ biến, hành vi con người không nguy hại thường được mô tả theo khả năng xảy ra. Tuy nhiên, khả năng cho các hoạt động thông minh, nguy hại mà khả năng có thể không được xác định hoặc không biết đến, đặc biệt là một điều cần quan tâm nếu đối thủ thông minh, nguy hiểm cố tình vi phạm bất kỳ đánh giá khả năng xảy ra nào mà một cá nhân có thể tạo ra liên quan tới hành của chính họ, ví dụ: nhằm tạo ra sự bất ngờ. Nét khác biệt này là trung tâm của sự khác biệt trong suy luận giữa an toàn và an ninh.

7.3. Cách thức thu thập và quản lý bằng chứng

Đối với bất kỳ đặc tính nào, có nhiều cách thức thu thập bằng chứng tồn tại. Đó là lịch sử, kinh nghiệm, khả năng quan sát, các phép đo, thử nghiệm, đánh giá và sự tuân thủ kết quả, các phân tích, tác động và suy luận của con người. Bằng chứng cần đạt được những mục tiêu đưa ra trong lập luận đảm bảo (Điều 9.1, Mod DefStan 00-42 Phần 3 ^[139])

Bằng chứng có thể trở nên khá lớn, cần được tổ chức và quản lý bởi một số khung cung cấp sự cố định và khả năng truy xuất bằng chứng nhằm cung cấp cho người dùng sự tin tưởng về nguồn gốc, nội dung và tính hợp lệ. Hướng dẫn ^[150] nêu ra rằng:

- Bằng chứng phải được nêu ra đơn nhất để các lập luận có thể tham chiếu đơn nhất theo bằng chứng.

- Bằng chứng phải được xác thực và kiểm tra.

- Bằng chứng phải được bảo vệ và kiểm soát bởi việc quản lý cấu hình.

- Bằng chứng cần đi kèm với siêu dữ liệu cần thiết để sử dụng một cách chính xác trong trường hợp đảm bảo.

Điều cuối đơn giản là sự tái diễn việc kiểm tra bằng chứng đạt được, liên quan tới trường hợp đảm bảo.

Mỗi khía cạnh với các hệ quả tiềm ẩn đáng kể cho việc đáp ứng đòi hỏi mức cao hoặc cho sự tin tưởng các bên liên quan có một vị trí tiềm ẩn trong một bằng chứng của trường hợp đảm bảo toàn diện. Bằng chứng đó không chỉ đưa ra niềm tin nhất quán với các bên liên quan mà còn bao gồm đầy đủ thông tin được sử dụng bởi người chứng nhận và người công nhận.

Công nghiệp hàng không và năng lượng nguyên tử có lịch sử lâu đời về các tiêu chuẩn, chứng nhận, và Hội đồng an ninh ISO/IEC JTC1/SC 27 đã làm việc theo chủ đề đảm bảo trong nhiều năm qua. Các ví dụ an ninh bao gồm các Tiêu chuẩn chung: FIPS 140 cho Mã hóa, TCVN ISO/IEC 27002 Công nghệ thông tin - Mã thực thi cho quản lý an ninh thông tin kết hợp với TCVN ISO/IEC 27001 (theo tiêu chuẩn Anh Quốc BS 7799-2:2002) tạo nên một cơ sở cho việc chứng nhận Hệ thống Quản lý An ninh Thông tin (ISMS) của một hệ thống vận hành. Bộ Quốc phòng và Cục Hàng không Nội địa Anh Quốc cũng đưa ra các tiêu chuẩn đáng quan tâm bao gồm các tiêu chuẩn dựa trên trường hợp đảm bảo cho độ tin cậy, tính khả trì và an toàn - ví dụ: ^{[139], [142], [143], [22]} và ^[23]. Nhiều tiêu chuẩn đã được lên liệt kê Thư mục tài liệu tham khảo.

Cộng đồng an toàn (ví dụ: hàng không thương mại) có chứng nhận sử dụng (đơn vị được chỉ định hay cấp giấy phép) của cá nhân quan trọng như một phần của các cách tiếp cập. Nhiều chứng nhận an ninh máy tính và an toàn tồn tại từ những chứng nhận theo định hướng quản lý tới chứng nhận theo định hướng kỹ thuật về những sản phẩm cụ thể, ví dụ: các chứng nhận từ Ủy ban Chứng nhận An ninh Hệ thống Thông tin Quốc tế (ISC) và viện SANS.

8. Bộ TCVN 10607 và mức toàn vẹn

8.1. Giới thiệu

Các mức toàn vẹn phù hợp cho việc sử dụng các mức rủi ro nhất định hoặc nhằm hỗ trợ một trường hợp đảm bảo và áp đặt tiêu chí đặc biệt theo dự án, bằng chứng được thu thập và hệ thống. Một mức toàn vẹn có thể xem như là một trình diễn mức độ tin tưởng được sử dụng nhằm đạt được thỏa thuận giữa các bên liên quan của một hệ thống theo các rủi ro liên quan đến hệ thống đó.

TCVN 10607-3 xây dựng một khung mức toàn vẹn trước nhất. Phần còn lại của tiêu chuẩn này bao gồm việc định nghĩa, sử dụng các mức toàn vẹn, xác định các mức toàn vẹn sản phẩm hay hệ thống sử dụng các phân tích rủi ro, việc gán các mức toàn vẹn phần tử hệ thống, đáp ứng các yêu cầu mức toàn vẹn sử dụng bằng chứng, các thỏa thuận và phê duyệt liên quan tới các thẩm quyền (xem Điều 6.4)

Các yêu cầu mức toàn vẹn phản ánh điều được yêu cầu để đạt được và thể hiện rằng hệ thống hay phần tử hệ thống (hoặc đã có hoặc sẽ có) các đặc tính được đòi hỏi theo mức toàn vẹn của chính nó. Các trạng thái mức toàn vẹn của một hệ thống phải tương ứng theo các thuật ngữ đặc tính trong toàn bộ hệ thống. Do vậy, việc thể hiện các đặc tính có một vai trò cơ bản trong việc thể hiện sự đáp ứng các đòi hỏi lớn hơn của hệ thống và môi trường của chúng, bao gồm các hệ quả mong muốn và không mong muốn. Nếu các đòi hỏi lớn hơn không được tạo ra thì việc đạt được và thể hiện các mức toàn vẹn phần tử hệ thống cung cấp một phần cơ bản của sự thể hiện đòi hỏi mức cao liên quan tới chính hệ thống.

Thực tế, các mức toàn vẹn thường được thảo luận trong các thuật ngữ nhằm nhấn mạnh bằng chứng cần thiết nhằm đáp ứng các yêu cầu mức toàn vẹn, từ đó cung cấp bằng chứng cho các lập luận hỗ trợ các đòi hỏi liên quan tới các đặc tính của chính hệ thống. Tuy nhiên, chất lượng của việc biện minh các lập luận cho việc đáp ứng các yêu cầu mức toàn vẹn như việc thể hiện việc đạt được mức toàn vẹn liên quan của nó cũng quan trọng bởi ảnh hưởng của chất lượng theo độ không xác định. Độ không xác định liên quan tới lập luận, bằng chứng và giả định là một phần của việc xây dựng các yêu cầu mức toàn vẹn.

CHÚ THÍCH Mức toàn vẹn và tiêu chuẩn tối ưu hóa các mức toàn vẹn có một lịch sử quan trọng, đặc biệt là trong sự an toàn. Mức toàn vẹn trong tiêu chuẩn liên quan đến sự an toàn được định nghĩa trong các tập đa mức, nêu ra các thay đổi mức độ chặt chẽ và/hoặc độ không xác định của việc đạt được mức cao hơn nhằm tạo ra tính chặt chẽ cao hơn và độ không xác định thấp hơn. Ví dụ của tiêu chuẩn an toàn là IEC 61508 Functional safety of electricl/electronic/programmable electronic safety-related systems ^[70] Tương tự, nhiều lược đồ tương đương được dùng với các nhãn khác nhau, ví dụ: “lớp phù hợp”.

Phân tích rủi ro xây dựng mức toàn vẹn được yêu cầu cho toàn bộ hệ thống. Phân tích rủi ro là một quy trình liên tục và lặp nhằm cân bằng giữa điều chưa thể biết với điều cần được biết. Các mức toàn vẹn phát sinh từ việc phân tích rủi ro là một chuyển đổi các giá trị hệ quả thành sự xuất hiện và điều chỉnh điều kiện hoặc hành vi hệ thống. Sự chuyển đổi này được lan truyền theo các mức toàn vẹn bên trong hệ thống và của các phụ thuộc của chính chúng cũng theo sự xuất hiện và định thời. Do vậy, mức toàn vẹn là một sự lập điều lệ của điều cần được hoàn thành và được thể hiện cho nhiều dải và điều kiện khó khăn của giới hạn dựa trên giá trị đặc tính và độ không xác định đi kèm của chúng.

Bộ TCVN 10607 không bao gồm việc phân tích rủi ro chi tiết. Nhiều tiêu chuẩn và tài liệu hướng dẫn hiện hành đưa ra các hướng dẫn cho việc phân tích rủi ro và có thể hỗ trợ trong việc định danh các hệ quả tiêu cực tiềm ẩn. IEC 61508 ^[70] và IEC 31010 phiên bản 1.0 (27/11/2009) Risk management - Risk management techniques, đưa ra các cách tiếp cận cho việc phân tích rủi ro. Thuật ngữ đặc trưng về an toàn - được dùng trong IEC 300-3-9, thuật ngữ “độc hại” và “tổn hại” nên được phiên dịch thành “điều kiện nguy hiểm” và “hệ quả tiêu cực”. IEC 60300 Dependability management ^[64] cũng đưa ra hướng dẫn.

Các tiêu chuẩn viện dẫn bao gồm: ISO 13849 ^[78] về Dây chuyền. ISS 14620 ^[79] về Hệ thống không gian, ISO 19706 ^[81] về Lửa, ISO/TS 25238 ^[121] về Thông tin sức khỏe, ISO/EC 27005 [111] về An ninh thông tin và UK CAP 760 về Hàng không và Giao thông hàng không. Điều cũng đáng quan tâm là các tiêu chuẩn quản lý rủi ro phổ biến hơn, ví dụ: ISO/IEC 16085 ^[91] và ISO 31000.

9. Bộ TCVN 10607 và vòng đời