Tiêu chuẩn Common Criteria (ISO 15408) thường được nhắc đến như một phương pháp kiểm định ATTT uy tín nhất. Tuy nhiên, tiêu chuẩn này có nhược điểm là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trong những sản phẩm công nghệ mới. Một dự án triển khai theo Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả phương pháp kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức rất đáng kể vì phiên bản sản phẩm kiểm định xong rất có thể không còn được ứng dụng.
Ngoài ra, Common Criteria còn có điểm yếu về quản lý sự thay đổi (change management). Một thay đổi nhỏ trên sản phẩm thường đòi hỏi một lượng công việc đáng kể để giữ được giá trị của chứng chỉ.
Đáp ứng với sự bùng nổ của các ứng dụng IoT và điện toán đám mây, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định ATTT linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là Certification de Sécurité de Premier Niveau (CSPN). Phương pháp này được triển khai tại Pháp từ năm 2008 và đang được các nước lân cận như Đức, Hà Lan và Tây Ban Nha áp dụng.
Một dự án CSPN thường không kéo dài quá 8 tuần, tập trung vào quá trình pentest và giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day), trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm. Quá trình quản lý các phiên bản mới của sản phẩm cũng linh hoạt hơn, phương pháp này sẽ tập trung vào bước pentest các thay đổi đối với các chức năng an toàn của sản phẩm.
Đặc biệt, phương pháp CSPN cho phép kiểm định cùng lúc một nhóm các sản phẩm có nhiều chức năng giống nhau, như các sản phẩm có cùng phần cứng nhưng phần mềm chứa những chức năng phục vụ những thị trường khác nhau. Hoặc nhóm sản phẩm có phần cứng chỉ khác nhau ở những bộ phận không liên quan đến an toàn thông tin. Các sản phẩm trong cùng nhóm có thể được kiểm định và cấp chứng chỉ trong cùng lúc cho phép tiết kiệm thời gian và chi phí. Bảng 1 tóm tắt những khác biệt chính giữa hai phương pháp kiểm định ATTT là Common Criteria và CSPN.
Bảng 1: Khác biệt chính giữa Common Criteria và CSPN
Cũng như các phương pháp kiểm định độc lập khác, việc triển khai CSPN đòi hỏi sự phối hợp nhuần nhuyễn của ba đơn vị: cơ quan pháp triển sản phẩm (Vendor), cơ quan kiểm định (ITSEF) và cơ quan Nhà nước phụ trách trực tiếp cấp chứng chỉ (ANSSI).
Cơ quan phát triển sản phẩm: Cơ quan này chịu trách nhiệm lập hồ sơ đăng ký kiểm định và cung cấp các thông tin đầu vào cần thiết cho dự án (xem thêm Bảng 1), đồng thời sẽ chịu toàn bộ chi phí kiểm định và có quyền dừng dự án CSPN tại bất kỳ thời điểm nào.
Cơ quan kiểm định: Cơ quan kiểm định chịu trách nhiệm thực hiện các bước kiểm định theo phương pháp CSPN. Để thực hiện được kiểm định, cơ quan này phải có đủ các kỹ năng cần thiết để kiểm định sản phẩm, đặc biệt là các kỹ năng pentest. Yêu cầu này dẫn tới việc mỗi cơ quan kiểm định thường chỉ được công nhận trên một số lĩnh vực sản phẩm nhất định. Để được công nhận chính thức, cơ quan kiểm định phải vượt qua các kỳ kiểm tra (audit) do ANSSI tổ chức hai năm một lần.
Cơ quan cấp chứng chỉ: ANSSI – cơ quan đặc trách về an toàn thông tin của chính phủ Pháp chịu trách nhiệm xây dựng và cập nhật phương pháp CSPN cũng như cấp chứng chỉ cho các sản phẩm đáp ứng đủ các tiêu chuẩn an toàn. ANSSI cũng đảm đương chức năng kiểm tra và công nhận những cơ quan có đủ khả năng kiểm định ATTT (ITSEF accreditation).
Ông Poupard, Tổng Giám đốc ANSSI trao chứng nhận cơ quan kiểm định CSPN cho công ty Trusted Labs và tập đoàn Thales
Kết luận
CSPN là một điển hình về một phương pháp kiểm định ATTT linh hoạt, hiệu quả với chi phí thấp cho các sản phẩm có vòng đời ngắn như IoT. Mỗi năm có hàng trăm dự án kiểm định và được cấp chứng chỉ. Điều này đóng góp quan trọng vào việc cải thiện độ tin cậy của người dùng tại châu Âu.
Đối với nước ta, CSPN hoàn toàn có thể là một lựa chọn tối ưu cho một sơ đồ kiểm định ATTT hiệu quả. Phương pháp CSPN có thể được triển khai từng bước, ưu tiên các mảng sản phẩm thiết yếu như phần mềm VPN, ứng dụng ngân hàng điện tử, thiết bị nhà thông minh (như camera giám sát)…. Triển khai phương pháp CSPN sẽ đóng góp đáng kể vào việc nâng cao kỹ năng an toàn thông tin cho doanh nghiệp trong nước, từ cơ quan kiểm định đến các doanh nghiệp phát triển sản phẩm, đồng thời bảo vệ người tiêu dùng Việt Nam trước các sản phẩm có độ an toàn thấp.
Đôi nét về tác giả TS. Nguyễn Quang Huy có hơn 15 năm kinh nghiệm làm việc trong các môi trường kiểm định an toàn thông tin tại châu Âu và thế giới. Hiện nay, ông là lãnh đạo cơ quan kiểm định công ty Trusted Labs thuộc tập đoàn Thales, Cộng hoà Pháp. Ông có bề dày kinh nghiệm về các hệ thống nhúng triển khai trong các môi trường đòi hỏi kết nối cao như IoT, quản lý năng lượng, nhà thông minh, điện thoại thông minh, ô tô tự lái... Tập đoàn Thales với hơn 80 nghìn nhân viên làm việc tại 68 nước là một trong những nhà cung cấp sản phẩm và giải pháp công nghệ hàng đầu thế giới trong lĩnh vực quốc phòng, hàng không, vũ trụ, giao thông vận tải và an ninh số.
|
15:00 | 05/12/2013
15:00 | 29/12/2017
13:00 | 24/03/2022
14:00 | 22/10/2014
07:00 | 15/02/2024
Thời gian qua, các hình thức tấn công mạng nguy hiểm nhằm mục đích phá hoại hệ thống thông tin, đánh cắp dữ liệu ngày càng tinh vi. Các kỹ thuật phức tạp, vũ khí mạng ngày càng được sử dụng rộng rãi, các chiến dịch tấn công mạng gây hậu quả nghiêm trọng, đe dọa đến sự ổn định chính trị, an ninh quốc gia. Chiến tranh trên không gian mạng gắn liền với chiến tranh truyền thống đã hiện hữu. Trước bối cảnh đó, hoạt động giám sát an toàn thông tin (ATTT) là một trong những giải pháp quan trọng và cấp thiết nhằm kịp thời phát hiện, phòng chống, đối phó và ngăn chặn các cuộc tấn công mạng. Đây là một trong bốn nhiệm vụ trọng tâm Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (sau đây gọi tắt là Trung tâm) được Lãnh đạo Ban Cơ yếu Chính phủ giao chủ trì thực hiện.
09:00 | 05/01/2024
An toàn, an ninh mạng (còn được gọi là bảo mật công nghệ thông tin) là bảo vệ hệ thống máy tính và dữ liệu khỏi các mối đe doạ trên mạng. Khi quá trình số hoá trở thành xu hướng thì khả năng dữ liệu và tài sản số của một cá nhân hoặc tổ chức bị xâm phạm bởi các tác nhân độc hại cũng tăng lên. Italia cũng không ngoại lệ, khi số lượng các cuộc tấn công mạng tăng nhanh trong 4 năm qua, mục tiêu của tin tặc nhắm vào tất cả các khu vực, từ chính phủ đến hệ thống công nghệ thông tin và truyền thông.
07:00 | 23/10/2023
Tại họp báo thường kỳ tháng 10 của Bộ Thông tin và Truyền thông diễn ra chiều 5/10, đại diện Ngân hàng Nhà nước, Cục an ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an) và Bộ Thông tin và Truyền thông đã chỉ ra thực trạng vấn nạn lừa đảo trực tuyến, tội phạm sử dụng công nghệ cao hiện nay, từ đó đưa ra các giải pháp quyết liệt xử lý, ngăn chặn tình trạng này. Vụ Thanh toán Ngân hàng Nhà nước cho biết, ngành ngân hàng đã triển khai nhiều giải pháp nhằm xử lý tình trạng sử dụng tài khoản ngân hàng không chính chủ.
09:00 | 13/10/2023
Theo bảng xếp hạng tiềm lực quân sự do công ty truyền thông US News And World Report (Mỹ) công bố, Mỹ, Trung Quốc và Nga đang là những cường quốc hùng mạnh nhất thế giới về quân sự năm 2022. Với sự vượt trội về kinh tế, công nghệ và kỹ thuật, các cường quốc này đã tận dụng tiềm năng về công nghệ thông tin, nhất là không gian mạng để dành ưu thế trong các cuộc chiến và coi đó là một trong những chiến lược trọng tâm làm chuyển đổi tư duy quân sự và tổ chức trang bị quân đội trong thế kỷ XXI. Thực tế hiện nay, không chỉ các nước lớn như Mỹ, Trung Quốc và Nga mà tất cả các quốc gia trên thế giới đều đang phát triển và chú trọng hơn tới tác chiến mạng. Trong phần I của bài viết, chúng ta sẽ tìm hiểu vai trò của không gian mạng trong các cuộc chiến quân sự có sự tham gia của Mỹ.