Mục tiêu chính của CCEVS là thiết lập một chương trình quốc gia về kiểm định dựa vào tiêu chuẩn chung CC. Cấu trúc của mô hình được mô tả như sau:
Hình. Mô hình kiểm định an toàn thông tin Mỹ
Mô hình trên của Mỹ được điều hành bởi Viện Tiêu chuẩn và Công nghệ quốc gia (National Institute of Standards and Technology - NIST) và Cơ quan an ninh quốc gia (National Security Agency - NSA).
Cơ quan công nhận – NIST
Có vai trò nghiên cứu tiêu chuẩn của Bộ Thương mại. Các hoạt động chính của NIST: Điều hành hệ thống công nghệ quốc gia và cung cấp mạng truyền thông cho các nhà sản xuất; Kiểm soát và cải tiến chất lượng sản phẩm của ngành công nghiệp sản xuất và dịch vụ.
Để công nhận năng lực kỹ thuật của các trung tâm kiểm định, NIST đã sử dụng chương trình NVLAP (National Voluntary Laboratory Accreditation Program). NVLAP là một chương trình công nhận phòng Lab đạt các yêu cầu theo tiêu chuẩn ISO/IEC Guide 25.
Cơ quan kiểm định - các CCTL (Common Criteria Test Lab)
Một phòng Lab muốn đạt tiêu chuẩn để kiểm định các sản phẩm an toàn thông tin theo Tiêu chuẩn chung (CC Test Lab) thì nó phải tuân theo chương trình NVLAP và tuân theo các chính sách và được NIAP phê chuẩn.
Một số phòng Lab cho sản phẩm thuộc khu vực kinh tế - xã hội được NIST công nhận như: Booz Allen Hamilton CCTL, COACT, Arca CCTL, Computer Sciences Corp, CyganaCom Solutions, Infogard Laboratories, SAIC CCTL, Criterian Independent Labs, Lockheed Martin IS&S SSO.
Cơ quan cấp chứng nhận
- Thẩm quyền cấp chứng nhận sản phẩm dùng trong chính phủ là Cơ quan an ninh quốc gia (Mỹ) NSA, với các hoạt động:
+ Cấp chứng nhận cho sản phẩm dùng trong chính phủ.
+ Phát triển và kiểm định tiêu chí bảo vệ thông tin.
+ Phát triển và quản lý chương trình bảo vệ thông tin.
- Thẩm quyền cấp chứng nhận sản phẩm thuộc kinh tế xã hội là Hiệp hội bảo đảm thông tin quốc gia NIAP. Nó gồm các thành viên từ NIST và NSA, bao gồm giám sát viên, chuyên viên kỹ thuật, người quản lý, nhân viên và có cả nhân sự theo hợp đồng. NIAP đóng vai trò cấp chứng nhận cho sản phẩm đã qua kiểm định tại CCTL. Các hoạt động chính của NIAP là:
+ Cấp chứng nhận cho sản phẩm dùng trong khu vực kinh tế - xã hội.
+ Phát triển lược đồ cấp chứng nhận, lược đồ kiểm định theo tiêu chuẩn chung CC và cấp giấy phép cho cơ quan có thẩm quyền kiểm định.
+ Giám sát quá trình kiểm định và thực hiện hợp tác quốc tế về lĩnh vực kiểm định sản phẩm an toàn thông tin.
+ Báo cáo kết quả kiểm định và quản lý danh sách sản phẩm đã kiểm định.
+ Hỗ trợ dịch vụ công nghệ cho kiểm định sản phẩm.
+ Phát triển công cụ cho bên phát triển sản phẩm và cơ quan có thẩm quyền kiểm định.
+ Phát triển hồ sơ bảo vệ dựa trên CC và phương pháp kiểm định, phương pháp kiểm tra sản phẩm an toàn thông tin.
+ Phát triển và điều hành chương trình đào tạo và tổ chức các cuộc hội thảo liên quan đến kiểm định sản phẩm.
Quy trình kiểm định sản phẩm
Giai đoạn 1: Chuẩn bị kiểm định
Giai đoạn 2: Thực hiện kiểm định
Bên xin kiểm định, CCTL và đại diện NIAP tiến hành một số cuộc họp nhằm hiểu rõ về sản phẩm cần kiểm định và thống nhất các mốc kiểm định. CCTL xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIAP phê chuẩn.
CCTL thành lập đội kiểm định bao gồm người đứng đầu và những kiểm định viên để kiểm định sản phẩm. NIAP sẽ thành lập một nhóm đảm nhiệm việc giám sát quá trình kiểm định.
Tiến hành kiểm định
Các đội kiểm định của CCTL kiểm định các hồ sơ và sản phẩm theo phương pháp luận kiểm định CC (CEM). Nếu có yêu cầu về các tài liệu cần bố sung thì CCTL sẽ đề nghị nhà phát triển giải quyết các vấn đề phát sinh trong khi kiểm định.
Nhóm kiểm định viết Báo cáo kỹ thuật kiểm định (ETR) sản phẩm.
Giai đoạn 3: Cấp chứng nhận
Khi kiểm định xong, CCTL sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của bên xin kiểm định, CCTL sẽ cùng với NIAP thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời gửi lại Báo cáo kiểm định kỹ thuật, hồ sơ gốc cùng các bản sao hồ sơ xin kiểm định, sản phẩm, tài liệu tới Bên xin kiểm định.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của Bên xin kiểm định, CCTL sẽ gửi kết quả kiểm định là Báo cáo kỹ thuật kiểm định (ETR) lên NIAP để NIAP tiến hành cấp chứng nhận cho sản phẩm.
00:00 | 24/02/2018
Ngày nay, hệ thống điều khiển công nghiệp phải đối mặt với nguy cơ mất an toàn thông tin tương tự như đối với các hệ thống CNTT thông thường, nhưng với mức độ phức tạp và rủi ro lớn hơn nhiều. Những tấn công ngẫu nhiên vốn vô hại đối với hệ thống CNTT thông thường như máy tính bị nhiễm mã độc, mã hoá ngẫu nhiên… có thể mang đến hậu quả nghiêm trọng cho hệ thống điều khiển công nghiệp.
05:00 | 06/12/2013
Mô hình đánh giá ATTT của Đức có tên gọi BSI 7149, được điều hành bởi Cơ quan an toàn thông tin liên bang BSI (Bundesamt für Sicherheit in der Informationstechnik - Tiếng Anh: Federal Office for Information Security). BSI 7149 phân ra làm 2 nhánh rõ ràng cho 2 lĩnh vực là sản phẩm dùng cho khu vực chính phủ và sản phẩm dùng cho kinh tế - xã hội.
02:00 | 26/06/2013
Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.
05:00 | 06/10/2008
Việc ứng dụng Công nghệ thông tin và truyền thông (ICT) vào hoạt động của các tổ chức, doanh nghiệp bắt đầu phổ biến từ những năm 90 của thế kỷ 20. Đến nay hoạt động của mỗi tổ chức không thể tách rời hệ thống thông tin dựa trên nền tảng ICT, do đó, bảo đảm an ninh cho hệ thống này đã trở nên tất yếu và cấp bách.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
