Mô hình đánh giá và cấp chứng nhận an toàn thông tin của Mỹ
Mục tiêu chính của CCEVS là thiết lập một chương trình quốc gia về kiểm định dựa vào tiêu chuẩn chung CC. Cấu trúc của mô hình được mô tả như sau:
Hình. Mô hình kiểm định an toàn thông tin Mỹ
Mô hình trên của Mỹ được điều hành bởi Viện Tiêu chuẩn và Công nghệ quốc gia (National Institute of Standards and Technology - NIST) và Cơ quan an ninh quốc gia (National Security Agency - NSA).
Cơ quan công nhận – NIST
Có vai trò nghiên cứu tiêu chuẩn của Bộ Thương mại. Các hoạt động chính của NIST: Điều hành hệ thống công nghệ quốc gia và cung cấp mạng truyền thông cho các nhà sản xuất; Kiểm soát và cải tiến chất lượng sản phẩm của ngành công nghiệp sản xuất và dịch vụ.
Để công nhận năng lực kỹ thuật của các trung tâm kiểm định, NIST đã sử dụng chương trình NVLAP (National Voluntary Laboratory Accreditation Program). NVLAP là một chương trình công nhận phòng Lab đạt các yêu cầu theo tiêu chuẩn ISO/IEC Guide 25.
Cơ quan kiểm định - các CCTL (Common Criteria Test Lab)
Một phòng Lab muốn đạt tiêu chuẩn để kiểm định các sản phẩm an toàn thông tin theo Tiêu chuẩn chung (CC Test Lab) thì nó phải tuân theo chương trình NVLAP và tuân theo các chính sách và được NIAP phê chuẩn.
Một số phòng Lab cho sản phẩm thuộc khu vực kinh tế - xã hội được NIST công nhận như: Booz Allen Hamilton CCTL, COACT, Arca CCTL, Computer Sciences Corp, CyganaCom Solutions, Infogard Laboratories, SAIC CCTL, Criterian Independent Labs, Lockheed Martin IS&S SSO.
Cơ quan cấp chứng nhận
- Thẩm quyền cấp chứng nhận sản phẩm dùng trong chính phủ là Cơ quan an ninh quốc gia (Mỹ) NSA, với các hoạt động:
+ Cấp chứng nhận cho sản phẩm dùng trong chính phủ.
+ Phát triển và kiểm định tiêu chí bảo vệ thông tin.
+ Phát triển và quản lý chương trình bảo vệ thông tin.
- Thẩm quyền cấp chứng nhận sản phẩm thuộc kinh tế xã hội là Hiệp hội bảo đảm thông tin quốc gia NIAP. Nó gồm các thành viên từ NIST và NSA, bao gồm giám sát viên, chuyên viên kỹ thuật, người quản lý, nhân viên và có cả nhân sự theo hợp đồng. NIAP đóng vai trò cấp chứng nhận cho sản phẩm đã qua kiểm định tại CCTL. Các hoạt động chính của NIAP là:
+ Cấp chứng nhận cho sản phẩm dùng trong khu vực kinh tế - xã hội.
+ Phát triển lược đồ cấp chứng nhận, lược đồ kiểm định theo tiêu chuẩn chung CC và cấp giấy phép cho cơ quan có thẩm quyền kiểm định.
+ Giám sát quá trình kiểm định và thực hiện hợp tác quốc tế về lĩnh vực kiểm định sản phẩm an toàn thông tin.
+ Báo cáo kết quả kiểm định và quản lý danh sách sản phẩm đã kiểm định.
+ Hỗ trợ dịch vụ công nghệ cho kiểm định sản phẩm.
+ Phát triển công cụ cho bên phát triển sản phẩm và cơ quan có thẩm quyền kiểm định.
+ Phát triển hồ sơ bảo vệ dựa trên CC và phương pháp kiểm định, phương pháp kiểm tra sản phẩm an toàn thông tin.
+ Phát triển và điều hành chương trình đào tạo và tổ chức các cuộc hội thảo liên quan đến kiểm định sản phẩm.
Quy trình kiểm định sản phẩm
Giai đoạn 1: Chuẩn bị kiểm định
- Yêu cầu kiểm định: Bên có nhu cầu kiểm định sẽ đệ đơn xin kiểm định sản phẩm lên các CCTL. Nếu có nhu cầu tư vấn thì CCTL sẽ thành lập nhóm tư vấn cung cấp những ý kiến tư vấn và hướng dẫn tài liệu cần thiết để bên xin kiểm định hoàn thành thủ tục và hồ sơ xin kiểm định.
- Hoàn thành hồ sơ giao nộp để xin kiểm định: Bên xin kiểm định hoàn thành hồ sơ giao nộp dựa trên ý kiến tư vấn của CCTL. Bên xin kiểm định cần chuẩn bị dữ liệu và các điều kiện cần thiết để tạo môi trường và kịch bản kiểm định sản phẩm khi CCTL yêu cầu. Các CCTL kiểm tra hồ sơ xin kiểm định bao gồm: sản phẩm, tài liệu đặc tả TOE, ST, PP, các bản thiết kế, tài liệu test, phân tích điểm yếu, hướng dẫn sử dụng.... Khi hồ sơ không đầy đủ, Bên xin kiểm định có thể yêu cầu CCTL tư vấn hỗ trợ, giúp xem xét, kiểm tra và hoàn trỉnh lại hồ sơ xin kiểm định.
- Tiến hành làm hợp đồng và ký hợp đồng kiểm định
Giai đoạn 2: Thực hiện kiểm định
Bên xin kiểm định, CCTL và đại diện NIAP tiến hành một số cuộc họp nhằm hiểu rõ về sản phẩm cần kiểm định và thống nhất các mốc kiểm định. CCTL xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIAP phê chuẩn.
CCTL thành lập đội kiểm định bao gồm người đứng đầu và những kiểm định viên để kiểm định sản phẩm. NIAP sẽ thành lập một nhóm đảm nhiệm việc giám sát quá trình kiểm định.
Tiến hành kiểm định
Các đội kiểm định của CCTL kiểm định các hồ sơ và sản phẩm theo phương pháp luận kiểm định CC (CEM). Nếu có yêu cầu về các tài liệu cần bố sung thì CCTL sẽ đề nghị nhà phát triển giải quyết các vấn đề phát sinh trong khi kiểm định.
Nhóm kiểm định viết Báo cáo kỹ thuật kiểm định (ETR) sản phẩm.
Giai đoạn 3: Cấp chứng nhận
Khi kiểm định xong, CCTL sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của bên xin kiểm định, CCTL sẽ cùng với NIAP thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời gửi lại Báo cáo kiểm định kỹ thuật, hồ sơ gốc cùng các bản sao hồ sơ xin kiểm định, sản phẩm, tài liệu tới Bên xin kiểm định.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của Bên xin kiểm định, CCTL sẽ gửi kết quả kiểm định là Báo cáo kỹ thuật kiểm định (ETR) lên NIAP để NIAP tiến hành cấp chứng nhận cho sản phẩm.