Lượt xem: 6082 | Gửi lúc: 06/12/2013 08:14:41
Bookmark and Share

Mô hình đánh giá an toàn thông tin của Hàn Quốc

Mô hình đánh giá ATTT của Hàn Quốc được điều hành bởi Cục Tình báo Quốc gia (National Intelligence Service - NIS).


Hình. Mô hình đánh giá an toàn thông tin Hàn Quốc 

- Tổ chức xây dựng luật/chính sách: Bộ thông tin và truyền thông (inistry of Infomatioin and Comunication - MIC) có nhiệm vụ: Làm Luật/Chính sách có liên quan hệ thống bảo vệ thông tin; Thông báo các chỉ dẫn và các chuẩn liên quan kiểm định; Thiết lập các chính sách liên quan kiểm định; Các chuẩn kiểm định về nhà phát triển hệ thống bảo vệ thông tin.

- Cơ quan cấp chứng nhận: Cục Tình báo quốc gia - NIS có nhiệm vụ: Chuẩn bị báo cáo kết quả, cấp chứng nhận và phát hành chứng chỉ; Giám sát kiểm định của bộ phận được ủy quyền kiểm định; Giải quyết tranh chấp giữa bên đệ đơn và bên kiểm định; Tạo các chính sách liên quan đến thỏa thuận công nhận lẫn nhau; Thiết lập và thực thi tiến trình cấp chứng nhận Công khai sản phẩm cấp chứng nhận; Đưa ra quản lý đối với sản phẩm chứng nhận; Đăng ký và quản lý các PP được chứng nhận.

- Cơ quan kiểm định: Cơ quan An toàn thông tin và Internet Hàn Quốc (Korea Information Security Agency - KISA) có nhiệm vụ: Hợp đồng kiểm định và thực hiện kiểm định: Đưa ra chuẩn kiểm định, hướng dẫn kiểm định, phát triển và công bố các chỉ dẫn chuẩn kiểm định; Đưa ra phương pháp luận kiểm định, công nghệ và các tài liệu liên quan đến kiểm định; Nghiên cứu và hoạt động liên quan đến thỏa thuận công nhận lẫn nhau; Thiết lập các quy định và thực hiện quá trình kiểm định. 

Cơ cấu tổ chức của KISA: 



Quy trình kiểm định sản phẩm
1. Giai đoạn 1: chuẩn bị kiểm định
Yêu cầu kiểm định: Nhà phát triển khi có nhu cầu kiểm định sẽ liên hệ nhà bảo trợ để được hướng dẫn đơn xin kiểm định sản phẩm và các thủ tục, hồ sơ như xây dựng PP, ST, các tài liệu về TOE... 
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ cần chuẩn bị dữ liệu và các điều kiện cần thiết để tạo môi trường và kịch bản kiểm định sản phẩm. Sau khi hoàn thành các công việc chuẩn bị, nhà bảo trợ viết đơn xin kiểm định và giao nộp hai bản hồ sơ sản phẩm để xin kiểm định. Nhà bảo trợ và nhà phát triển cung cấp các thiết bị phục vụ cho việc kiểm định sản phẩm khi có yêu cầu của trung tâm kiểm định.
Sau khi hoàn thành hồ sơ xin kiểm định, nhà bảo trợ nộp hồ sơ xin kiểm định tới KISA. Nếu hồ sơ chưa hợp lệ KISA sẽ trả lại nhà bảo trợ. Khi hồ sơ hợp lệ KISA sẽ chấp thuận đơn xin kiểm định của nhà bảo trợ.
Đệ trình hồ sơ xin kiểm định cho cơ quan cấp chứng nhận: KISA đệ trình hợp đồng kiểm định tới cơ quan cấp chứng nhận NIS. NIS sẽ tiến hành xem xét và phê chuẩn hợp đồng kiểm định.
+ Ký hợp đồng kiểm định: Nếu sự thỏa thuận đạt được giữa 3 bên: Nhà bảo trợ, KISA và NIS thì hợp đồng sẽ được ký kết. KISA sẽ thực hiện kiểm định sản phẩm.

2. Giai đoạn 2: thực hiện kiểm định:
Nhà bảo trợ sẽ cùng KISA tổ chức các cuộc họp nhằm giải thích, làm rõ hồ sơ xin kiểm định, thuyết minh chức năng của sản phẩm.
Thành lập đội kiểm định: KISA cử ra các nhóm kiểm định từ các đội kiểm định. KISA xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIS. NIS cùng với nhà bảo trợ và KISA thông qua kế hoạch kiểm định cuối cùng. Sau đó NIS sẽ thành lập một đội giám sát quá trình kiểm định. 
Yêu cầu bổ sung thông tin: Các nhóm kiểm định tiến hành kiểm định hồ sơ sản phẩm, nếu có yêu cầu bố sung các tài liệu còn thiếu trong khi kiểm định thì đề nghị nhà bảo trợ cung cấp. Khi cần, nhà phát triển có thể giải quyết các vấn đề phát sinh trong quá trình kiểm định, đồng thời có thể cung cấp thêm thông tin và các tài liệu có liên quan trong khi kiểm định. Các công việc đó trước khi thực hiện đều được cả 3 bên thống nhất, ra quyết định và có văn bản kèm theo. Khi nhà phát triển không đáp ứng các yêu cầu của KISA thì NIS sẽ ra quyết định dừng việc kiểm định.
Tiến hành kiểm định: Nhóm kiểm định thực hiện kiểm định theo kế hoạch đã được phê chuẩn. Sau khi kiểm định xong sẽ viết báo cáo kỹ thuật kiểm định. Nhóm giám sát độc lập hoàn toàn với nhóm kiểm định trong việc giám sát và sẽ viết báo cáo giám sát sau khi kiểm định xong.

3. Giai đoạn 3 - cấp chứng nhận:
Khi kiểm định xong, KISA sẽ xem xét kết quả kiểm định. Nếu kết quả kiểm định không đạt theo mức yêu cầu của nhà bảo trợ thì KISA sẽ cùng với NIS thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm. Đồng thời gửi lại báo cáo kỹ thuật kiểm định, hồ sơ gốc, sản phẩm và tài liệu có liên quan tới nhà bảo trợ.
Nếu kết quả kiểm định đạt được mức yêu cầu kiểm định của nhà bảo trợ thì KISA sẽ gửi báo cáo kỹ thuật cùng bản sao sản phẩm và các tài liệu có liên quan lên NIS. Đồng thời nhóm giám sát cũng sẽ gửi báo cáo giám sát lên NIS. NIS sẽ xem xét báo cáo giám sát, báo cáo kỹ thuật kiểm định và cấp chứng nhận cho sản phẩm khi sản phẩm đạt mức đặt ra.

Hồ Sỹ Tấn tổng hợp