Mục tiêu chính của CCEVS là thiết lập một chương trình quốc gia về kiểm định dựa vào tiêu chuẩn chung CC. Cấu trúc của mô hình được mô tả như sau:
Hình. Mô hình kiểm định an toàn thông tin Mỹ
Mô hình trên của Mỹ được điều hành bởi Viện Tiêu chuẩn và Công nghệ quốc gia (National Institute of Standards and Technology - NIST) và Cơ quan an ninh quốc gia (National Security Agency - NSA).
Cơ quan công nhận – NIST
Có vai trò nghiên cứu tiêu chuẩn của Bộ Thương mại. Các hoạt động chính của NIST: Điều hành hệ thống công nghệ quốc gia và cung cấp mạng truyền thông cho các nhà sản xuất; Kiểm soát và cải tiến chất lượng sản phẩm của ngành công nghiệp sản xuất và dịch vụ.
Để công nhận năng lực kỹ thuật của các trung tâm kiểm định, NIST đã sử dụng chương trình NVLAP (National Voluntary Laboratory Accreditation Program). NVLAP là một chương trình công nhận phòng Lab đạt các yêu cầu theo tiêu chuẩn ISO/IEC Guide 25.
Cơ quan kiểm định - các CCTL (Common Criteria Test Lab)
Một phòng Lab muốn đạt tiêu chuẩn để kiểm định các sản phẩm an toàn thông tin theo Tiêu chuẩn chung (CC Test Lab) thì nó phải tuân theo chương trình NVLAP và tuân theo các chính sách và được NIAP phê chuẩn.
Một số phòng Lab cho sản phẩm thuộc khu vực kinh tế - xã hội được NIST công nhận như: Booz Allen Hamilton CCTL, COACT, Arca CCTL, Computer Sciences Corp, CyganaCom Solutions, Infogard Laboratories, SAIC CCTL, Criterian Independent Labs, Lockheed Martin IS&S SSO.
Cơ quan cấp chứng nhận
- Thẩm quyền cấp chứng nhận sản phẩm dùng trong chính phủ là Cơ quan an ninh quốc gia (Mỹ) NSA, với các hoạt động:
+ Cấp chứng nhận cho sản phẩm dùng trong chính phủ.
+ Phát triển và kiểm định tiêu chí bảo vệ thông tin.
+ Phát triển và quản lý chương trình bảo vệ thông tin.
- Thẩm quyền cấp chứng nhận sản phẩm thuộc kinh tế xã hội là Hiệp hội bảo đảm thông tin quốc gia NIAP. Nó gồm các thành viên từ NIST và NSA, bao gồm giám sát viên, chuyên viên kỹ thuật, người quản lý, nhân viên và có cả nhân sự theo hợp đồng. NIAP đóng vai trò cấp chứng nhận cho sản phẩm đã qua kiểm định tại CCTL. Các hoạt động chính của NIAP là:
+ Cấp chứng nhận cho sản phẩm dùng trong khu vực kinh tế - xã hội.
+ Phát triển lược đồ cấp chứng nhận, lược đồ kiểm định theo tiêu chuẩn chung CC và cấp giấy phép cho cơ quan có thẩm quyền kiểm định.
+ Giám sát quá trình kiểm định và thực hiện hợp tác quốc tế về lĩnh vực kiểm định sản phẩm an toàn thông tin.
+ Báo cáo kết quả kiểm định và quản lý danh sách sản phẩm đã kiểm định.
+ Hỗ trợ dịch vụ công nghệ cho kiểm định sản phẩm.
+ Phát triển công cụ cho bên phát triển sản phẩm và cơ quan có thẩm quyền kiểm định.
+ Phát triển hồ sơ bảo vệ dựa trên CC và phương pháp kiểm định, phương pháp kiểm tra sản phẩm an toàn thông tin.
+ Phát triển và điều hành chương trình đào tạo và tổ chức các cuộc hội thảo liên quan đến kiểm định sản phẩm.
Quy trình kiểm định sản phẩm
Giai đoạn 1: Chuẩn bị kiểm định
Giai đoạn 2: Thực hiện kiểm định
Bên xin kiểm định, CCTL và đại diện NIAP tiến hành một số cuộc họp nhằm hiểu rõ về sản phẩm cần kiểm định và thống nhất các mốc kiểm định. CCTL xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIAP phê chuẩn.
CCTL thành lập đội kiểm định bao gồm người đứng đầu và những kiểm định viên để kiểm định sản phẩm. NIAP sẽ thành lập một nhóm đảm nhiệm việc giám sát quá trình kiểm định.
Tiến hành kiểm định
Các đội kiểm định của CCTL kiểm định các hồ sơ và sản phẩm theo phương pháp luận kiểm định CC (CEM). Nếu có yêu cầu về các tài liệu cần bố sung thì CCTL sẽ đề nghị nhà phát triển giải quyết các vấn đề phát sinh trong khi kiểm định.
Nhóm kiểm định viết Báo cáo kỹ thuật kiểm định (ETR) sản phẩm.
Giai đoạn 3: Cấp chứng nhận
Khi kiểm định xong, CCTL sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của bên xin kiểm định, CCTL sẽ cùng với NIAP thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời gửi lại Báo cáo kiểm định kỹ thuật, hồ sơ gốc cùng các bản sao hồ sơ xin kiểm định, sản phẩm, tài liệu tới Bên xin kiểm định.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của Bên xin kiểm định, CCTL sẽ gửi kết quả kiểm định là Báo cáo kỹ thuật kiểm định (ETR) lên NIAP để NIAP tiến hành cấp chứng nhận cho sản phẩm.
01:00 | 07/12/2013
Mô hình đánh giá ATTT của Pháp được điều hành bởi Cơ quan có thẩm quyền cấp chứng nhận (Direction Centrale de la Sécurité des Systèmes d'Information - DCSSI).
02:00 | 26/06/2013
Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.
05:00 | 05/01/2010
Cùng với sự ra đời và phát triển của Internet, web đã ra đời và ngày càng phát triển, khẳng định vị trí và vai trò của nó trong đời sống thông tin toàn cầu hiện nay. Nhiều quốc gia, tổ chức, cá nhân đã sử dụng web như một công cụ truyền tải, khai thác thông tin hiệu quả ở bất cứ đâu có kết nối Internet, tại bất kỳ thời điểm nào. Điều này giúp tiết kiệm thời gian, chi phí và nhân lực.
06:00 | 07/04/2008
Ngày 09/4/2008, Bộ trưởng Bộ Thông tin và Truyền thông đã ra Quyết định số 19/2008/QĐ-BTTTT, Quy định Áp dụng tiêu chuẩn về ứng dụng CNTT trong cơ quan nhà nước nhằm quy định việc áp dụng thống nhất các tiêu chuẩn về ứng dụng CNTT liên quan đến hoạt động liên thông giữa các hệ thống thông tin của cơ quan nhà nước.