Nhu cầu kiểm định, đánh giá an toàn thông tin
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Mục đích của việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật, hay nói cách khác là các tiêu chí, yêu cầu đã đặt ra cho sản phẩm hay không. Đó chính là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Các yếu tố ảnh hưởng tới công tác kiểm định sản phẩm ATTT
Xây dựng Hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT hết sức phức tạp, đòi hỏi phải có sự đầu tư lớn về cơ sở vật chất và nguồn nhân lực. Về cơ bản, các yếu tố chính ảnh hưởng đến hoạt động kiểm định, đánh giá sản phẩm ATTT được thể hiện trong sơ đồ dưới đây.
Trong sơ đồ có thể thấy, nhân tố chính trong hệ thống kiểm định, đánh giá sản phẩm là Cơ quan kiểm định sản phẩm ATTT.
Cơ quan kiểm định là thành phần trung tâm trong việc xây dựng, phối hợp và áp dụng các văn bản quy phạm pháp luật, các công nghệ, công cụ trong hoạt động kiểm định. Cơ cấu và tổ chức của bộ máy kiểm định cần được xây dựng để đáp ứng nhu cầu vận hành hiệu quả mô hình hệ thống kiểm định và cấp chứng nhận trong cả nước. Đội ngũ nhân lực của Cơ quan kiểm định cần được trang bị những kiến thức cơ bản về khoa học công nghệ, kiến thức nền tảng về CNTT, đặc biệt là kiến thức liên quan đến sản phẩm ATTT như nguyên lý chế tạo, vận hành, quản trị sản phẩm. Các cán bộ kiểm định cũng cần nắm vững các kiến thức chuyên môn về công tác kiểm định đánh giá sản phẩm ATTT như các tiêu chuẩn, tiêu chí, phương pháp luận đánh giá, các kỹ thuật, công nghệ và công cụ thực hiện việc kiểm định, đánh giá. Do đó, đội ngũ nhân lực phục vụ hoạt động kiểm định cần phải đáp ứng những yêu cầu về chuyên môn, luôn được đào tạo và bồi dưỡng bổ sung kiến thức thường xuyên.
Yếu tố thứ hai là các văn bản quy phạm pháp luật liên quan tới hoạt động kiểm định, đánh giá cùng các tiêu chuẩn, tiêu chí, qui trình kiểm định, phương pháp luận kiểm định. Đây là những cơ sở khoa học và pháp lý để triển khai công tác kiểm định.
Các tiêu chuẩn (quy chuẩn kỹ thuật) đánh giá sản phẩm ATTT có thể được xây dựng ở cấp quốc gia, cấp khu vực (giữa các quốc gia) hay mang tầm quốc tế. Xu hướng của nhiều nước trên thế giới là ban hành các tiêu chuẩn quốc gia dựa trên tiêu chuẩn quốc tế hoặc theo tiêu chuẩn của các nước có nền khoa học công nghệ phát triển như Mỹ, Nga, Anh.…
Trong lĩnh vực kiểm định, đánh giá sản phẩm ATTT, Tổ chức các quốc gia công nhận lẫn nhau (Common Criteria Recognition Arrangement - CCRA) thống nhất sử dụng Tiêu chí chung (CC – Common Criteria) cho hoạt động đánh giá sản phẩm ATTT. CCRA hiện có 17 thành viên chính thức (được phép hoạt động kiểm định, cấp chứng nhận sản phẩm ATTT), 9 thành viên (Certificate Consuming Members) đang trong quá trình gia nhập và nhiều quốc gia gián tiếp sử dụng tiêu chí chung (được công nhận là tiêu chuẩn quốc tế ISO/IEC 15408) cho hoạt động kiểm định của mình. |
Các nước như Anh, Nga và Trung Quốc đều đã xây dựng các tiêu chí, tiêu chuẩn, phương pháp luận, quy định riêng về quy trình kiểm định, đánh giá đối với sản phẩm ATTT.
Đối với các tiêu chuẩn, quy chuẩn kỹ thuật, tiêu chí, hay các tài liệu quy phạm pháp luật có thể phân ra làm hai nhóm chính. Nhóm thứ nhất là các chuẩn, tiêu chí đánh giá ATTT được Cơ quan đánh giá sử dụng để định hướng cho việc đánh giá, để thực hiện phân tích, phân loại sản phẩm. Đây là các tài liệu đóng vai trò phương pháp luận để đánh giá sản phẩm (CC, FIPS 140, ISO/IEC 15408,...). Nhóm thứ hai là các tiêu chuẩn, tiêu chí ATTT nói chung, các quy chuẩn kỹ thuật và các yêu cầu riêng biệt đối với từng loại và từng đối tượng sản phẩm ATTT. Đây là các tài liệu kỹ thuật được mô tả chi tiết để Cơ quan đánh giá thực hiện việc kiểm định, đánh giá chất lượng của sản phẩm và so sánh với các yêu cầu trong các tài liệu đó (các tiêu chuẩn mật mã, các tiêu chuẩn RFC, các quy chuẩn kỹ thuật,...). Dựa trên hai nhóm đó, Cơ quan đánh giá thực hiện việc kiểm định, đánh giá đối với một sản phẩm ATTT cụ thể.
Một trong các yếu tố quan trọng ảnh hưởng lớn tới thời gian đánh giá, chất lượng đánh giá là các công cụ được sử dụng hỗ trợ cho việc kiểm định, đánh giá.
Công tác kiểm định, đánh giá sẽ không thể thực hiện nếu không có hệ thống trang thiết bị, công cụ phục vụ việc kiểm định. Bên cạnh các phòng thử nghiệm (lab) với trang thiết bị hiện đại, phù hợp cho việc kiểm định từng loại sản phẩm, hoạt động kiểm định còn cần có các trang thiết bị thử nghiệm, thiết bị giả lập, thiết bị đo kiểm, các bộ công cụ thử nghiệm dưới dạng phần cứng và phần mềm.
Xây dựng chương trình hợp tác và chuyển giao công nghệ về kiểm định, đánh giá sản phẩm ATTT từ các nước phát triển là những bước không thể thiếu trong quá trình xây dựng hệ thống đánh giá sản phẩm của mỗi quốc gia để từng bước tiến tới hội nhập với khu vực và thế giới.
Trên cơ sở đó, có thể thấy muốn phát triển một cách hoàn thiện hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT thì việc phát triển đồng bộ các yếu tố nêu trên là nguyên tắc cần thiết. Chính các yếu tố này đóng góp một phần lớn vào việc thúc đẩy sự phát triển các sản phẩm, dịch vụ ATTT và tạo điều kiện cho các sản phẩm được ứng dụng rộng rãi với độ tin cậy cao.
Kết luận
Phát triển hệ thống kiểm định, cấp chứng nhận sản phẩm ATTT là một quá trình lâu dài, cần rất nhiều nguồn tài nguyên và nhân lực. Tùy theo từng giai đoạn phát triển mà các yếu tố chính trong mô hình kiểm định, đánh giá sản phẩm ATTT sẽ được quan tâm, đầu tư ở các mức độ khác nhau với lộ trình thống nhất. Tuy nhiên, quá trình đầu tư cho nguồn nhân lực làm công tác kiểm định, đánh giá sản phẩm ATTT cần phải được quan tâm thường xuyên, liên tục và thích đáng, bởi đây là yếu tố quyết định tới kết quả hoạt động đánh giá an toàn thông tin.
08:00 | 16/01/2018
15:00 | 03/02/2020
13:00 | 28/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
10:00 | 08/05/2024
Trong thời đại công nghệ phát triển ngày nay, việc tiếp xúc với môi trường trực tuyến đã trở nên rất phổ biến. Điện thoại thông minh không chỉ là công cụ để chúng ta có thể liên lạc với con cái, mà còn mở ra cơ hội cho trẻ tiếp cận kiến thức và giải trí một cách bổ ích, miễn là người lớn biết cách hướng dẫn chúng một cách đúng đắn. Thay vì kiểm soát, hãy tìm cách để thiết lập điện thoại sao cho phù hợp, từ đó đảm bảo an toàn cho trẻ em trên môi trường mạng. Bài báo sau đây sẽ hướng dẫn độc giả đặc biệt là các phụ huynh cách thiết lập quản lý việc sử dụng điện thoại thông minh (hệ điều hành Android) của con mình một cách hiệu quả và an toàn.
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 07/10/2024