Mô hình đánh giá an toàn thông tin của Đức
Mô hình đánh giá an toàn thông tin Đức
Cơ quan cấp chứng nhận - BSI và các Private CB (Private Certification Body):
BSI là cơ quan có thẩm quyền bảo vệ thông tin quốc gia thuộc Bộ Nội vụ, có nhiệm vụ đưa ra các thủ tục và công cụ, những quy tắc chiến lược thực thi kiểm định, an toàn hệ thống thông tin. Trong mô hình trên BSI có vai trò cấp chứng nhận cho các sản phẩm dùng trong chính phủ.
Các sản phẩm dùng trong kinh tế - xã hội có 2 cơ quan có thẩm quyền cấp chứng nhận (Private CB) là T - System và TUViT.
Cơ quan có thẩm quyền kiểm định - các ITSEF (IT Security Evaluation Facility):
Có 11 cơ quan có chức năng kiểm định sản phẩm (1 cơ quan kiểm định các sản phẩm dùng trong chính phủ và 10 cơ quan kiểm định các sản phẩm dùng trong kinh tế - xã hội) cụ thể:
- Cơ quan kiểm định sản phẩm dùng trong khu vực chính phủ là BSI (BSI phê chuẩn ITSEF)
- Các cơ quan kiểm định sản phẩm dùng trong khu vực kinh tế - xã hội:
+ T-Systems ISS GmbH,
+ TUViT(TUV informationstechnik GmbH),
+ Atsec information security GmBH,
+ Competence Center Informatik,
+ CSC Ploenke AG,
+ DFKI(Deutsches Forschungszentrum fur junstliche Inteligenz GmbH),
+ IABG(Industrieanlagen-Betriebsgesellschaft mbH),
+ SRC(Security Reaearch & Consulting Gmbh),
+ Tele-Consulting GmbH,
+ RUV Nord e.V.Software & Elektronik.
Hội đồng công nhận:
Hội đồng công nhận Đức được hình thành từ các cơ quan viễn thông liên bang BAPT (Bundesamt für Post - und Telekommunikation - German Federal Office of Posts and Telecommunications), BSI và DEKITZ (Deutsche Koordinierungsstelle für IT-Normenkonformitätsprüfung und Zertifizierung - Deutsche coordinating body for IT standards conformance testing and certification) vàsẽ đảm nhiệm vai trò công nhận năng lực kỹ thuật và cấp phép về năng lực kiểm định an toàn thông tin cho các tổ chức muốn có được thẩm quyền kiểm định.
Quy trình kiểm định sản phẩm:
Giai đoạn 1: Chuẩn bị kiểm định
Đăng ký kiểm định: Nhà phát triển sản phẩm khi có nhu cầu kiểm định sẽ liên hệ với nhà bảo trợ để được hướng dẫn thủ tục, hồ sơ kiểm định, cùng các tài liệu có liên quan. Nhà bảo trợ sẽ xây dựng hồ sơ kiểm định sản phẩm theo mục đích sử dụng trong thực tiễn: sử dụng trong khu vực chính phủ hay sử dụng trong kinh tế - xã hội.
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ làm đơn xin kiểm định, phối hợp với nhà phát triển hoàn thành hồ sơ xin kiểm định và giao nộp cho ITSEF. Nhà bảo trợ cung cấp các thiết bị phục vụ cho việc kiểm định sản phẩm. Các ITSEF có nhiệm vụ kiểm tra hồ sơ xin kiểm định bao gồm: sản phẩm, tài liệu đặc tả TOE, thiết kế TOE, ST, PP, tài liệu test, phân tích điểm yếu, hướng dẫn sử dụng,... Khi hồ sơ hợp lệ thì ITSEF sẽ đệ trình lên BSI hoặc các Private CB để phê chuẩn đơn xin kiểm định của nhà bảo trợ.
Xây dựng hợp đồng và ký hợp đồng: ITSEF tiến hành xây dựng hợp đồng kiểm định, nhà bảo trợ sẽ xem xét hợp đồng kiểm định và đề nghị sửa đổi (nếu có).
Nếu cả 3 bên: nhà bảo trợ, ITSEF, BSI hay Private CB đều đồng ý thông qua bản hợp đồng kiểm định sẽ tiến hành ký hợp đồng.
Giai đoạn 2: Thực hiện kiểm định
Nhà bảo trợ sẽ tổ chức phiên họp nhằm giúp cho ITSEF hiểu biết về hồ sơ xin kiểm định cũng như hiểu biết về sản phẩm.
Lập kế hoạch và duyệt kế hoạch kiểm định: ITSEF thành lập các đội kiểm định và xây dựng dự kiến kế hoạch kiểm định sản phẩm sau đó đệ trình lên cơ quan cấp chứng nhận BSI hoặc Private CB. BSI hay Private CB sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát.
Thực hiện kiểm định: Đội kiểm định xem xét hồ sơ sản phẩm và tiến hành kiểm định. Trong quá trình kiểm định có thể đề nghị nhà bảo trợ giải quyết các vấn đề phát sinh trong khi kiểm định. Nếu nhà bảo trợ không đáp ứng các yêu cầu của ITSEF thì sẽ có quyết định dừng việc kiểm định từ BSI hay Private CB.
Các đội kiểm định thực hiện kiểm định và viết báo cáo kỹ thuật về sản phẩm xin kiểm định. Nhóm giám sát làm việc song song và độc lập với các đội kiểm định.
Giai đoạn 3: Cấp chứng nhận và hoàn thành
Sau khi kiểm định, ITSEF sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của Nhà bảo trợ, BSI hay Private CB ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời ITSEF gửi lại báo cáo kỹ thuật kiểm định (ETR) cùng hồ sơ tới nhà bảo trợ.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của nhà bảo trợ, ITSEF sẽ gửi báo cáo kiểm định kỹ thuật cùng Bản sao sản phẩm và các tài liệu có liên quan lên BSI hay Private CB. Đồng thời, nhóm giám sát cũng sẽ gửi báo cáo giám sát lên BSI hay Private CB. BSI hay Private CB căn cứ vào các văn bản trên sẽ tiến hành cấp chứng nhận cho sản phẩm.
