Tiêu chuẩn Common Criteria (ISO 15408) thường được nhắc đến như một phương pháp kiểm định ATTT uy tín nhất. Tuy nhiên, tiêu chuẩn này có nhược điểm là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trong những sản phẩm công nghệ mới. Một dự án triển khai theo Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả phương pháp kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức rất đáng kể vì phiên bản sản phẩm kiểm định xong rất có thể không còn được ứng dụng.
Ngoài ra, Common Criteria còn có điểm yếu về quản lý sự thay đổi (change management). Một thay đổi nhỏ trên sản phẩm thường đòi hỏi một lượng công việc đáng kể để giữ được giá trị của chứng chỉ.
Đáp ứng với sự bùng nổ của các ứng dụng IoT và điện toán đám mây, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định ATTT linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là Certification de Sécurité de Premier Niveau (CSPN). Phương pháp này được triển khai tại Pháp từ năm 2008 và đang được các nước lân cận như Đức, Hà Lan và Tây Ban Nha áp dụng.
Một dự án CSPN thường không kéo dài quá 8 tuần, tập trung vào quá trình pentest và giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day), trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm. Quá trình quản lý các phiên bản mới của sản phẩm cũng linh hoạt hơn, phương pháp này sẽ tập trung vào bước pentest các thay đổi đối với các chức năng an toàn của sản phẩm.
Đặc biệt, phương pháp CSPN cho phép kiểm định cùng lúc một nhóm các sản phẩm có nhiều chức năng giống nhau, như các sản phẩm có cùng phần cứng nhưng phần mềm chứa những chức năng phục vụ những thị trường khác nhau. Hoặc nhóm sản phẩm có phần cứng chỉ khác nhau ở những bộ phận không liên quan đến an toàn thông tin. Các sản phẩm trong cùng nhóm có thể được kiểm định và cấp chứng chỉ trong cùng lúc cho phép tiết kiệm thời gian và chi phí. Bảng 1 tóm tắt những khác biệt chính giữa hai phương pháp kiểm định ATTT là Common Criteria và CSPN.
Bảng 1: Khác biệt chính giữa Common Criteria và CSPN
.JPG)
Cũng như các phương pháp kiểm định độc lập khác, việc triển khai CSPN đòi hỏi sự phối hợp nhuần nhuyễn của ba đơn vị: cơ quan pháp triển sản phẩm (Vendor), cơ quan kiểm định (ITSEF) và cơ quan Nhà nước phụ trách trực tiếp cấp chứng chỉ (ANSSI).
Cơ quan phát triển sản phẩm: Cơ quan này chịu trách nhiệm lập hồ sơ đăng ký kiểm định và cung cấp các thông tin đầu vào cần thiết cho dự án (xem thêm Bảng 1), đồng thời sẽ chịu toàn bộ chi phí kiểm định và có quyền dừng dự án CSPN tại bất kỳ thời điểm nào.
Cơ quan kiểm định: Cơ quan kiểm định chịu trách nhiệm thực hiện các bước kiểm định theo phương pháp CSPN. Để thực hiện được kiểm định, cơ quan này phải có đủ các kỹ năng cần thiết để kiểm định sản phẩm, đặc biệt là các kỹ năng pentest. Yêu cầu này dẫn tới việc mỗi cơ quan kiểm định thường chỉ được công nhận trên một số lĩnh vực sản phẩm nhất định. Để được công nhận chính thức, cơ quan kiểm định phải vượt qua các kỳ kiểm tra (audit) do ANSSI tổ chức hai năm một lần.
Cơ quan cấp chứng chỉ: ANSSI – cơ quan đặc trách về an toàn thông tin của chính phủ Pháp chịu trách nhiệm xây dựng và cập nhật phương pháp CSPN cũng như cấp chứng chỉ cho các sản phẩm đáp ứng đủ các tiêu chuẩn an toàn. ANSSI cũng đảm đương chức năng kiểm tra và công nhận những cơ quan có đủ khả năng kiểm định ATTT (ITSEF accreditation).
Ông Poupard, Tổng Giám đốc ANSSI trao chứng nhận cơ quan kiểm định CSPN cho công ty Trusted Labs và tập đoàn Thales
Kết luận
CSPN là một điển hình về một phương pháp kiểm định ATTT linh hoạt, hiệu quả với chi phí thấp cho các sản phẩm có vòng đời ngắn như IoT. Mỗi năm có hàng trăm dự án kiểm định và được cấp chứng chỉ. Điều này đóng góp quan trọng vào việc cải thiện độ tin cậy của người dùng tại châu Âu.
Đối với nước ta, CSPN hoàn toàn có thể là một lựa chọn tối ưu cho một sơ đồ kiểm định ATTT hiệu quả. Phương pháp CSPN có thể được triển khai từng bước, ưu tiên các mảng sản phẩm thiết yếu như phần mềm VPN, ứng dụng ngân hàng điện tử, thiết bị nhà thông minh (như camera giám sát)…. Triển khai phương pháp CSPN sẽ đóng góp đáng kể vào việc nâng cao kỹ năng an toàn thông tin cho doanh nghiệp trong nước, từ cơ quan kiểm định đến các doanh nghiệp phát triển sản phẩm, đồng thời bảo vệ người tiêu dùng Việt Nam trước các sản phẩm có độ an toàn thấp.
|
Đôi nét về tác giả TS. Nguyễn Quang Huy có hơn 15 năm kinh nghiệm làm việc trong các môi trường kiểm định an toàn thông tin tại châu Âu và thế giới. Hiện nay, ông là lãnh đạo cơ quan kiểm định công ty Trusted Labs thuộc tập đoàn Thales, Cộng hoà Pháp. Ông có bề dày kinh nghiệm về các hệ thống nhúng triển khai trong các môi trường đòi hỏi kết nối cao như IoT, quản lý năng lượng, nhà thông minh, điện thoại thông minh, ô tô tự lái... Tập đoàn Thales với hơn 80 nghìn nhân viên làm việc tại 68 nước là một trong những nhà cung cấp sản phẩm và giải pháp công nghệ hàng đầu thế giới trong lĩnh vực quốc phòng, hàng không, vũ trụ, giao thông vận tải và an ninh số. .jpg)
|
15:00 | 05/12/2013
15:00 | 29/12/2017
13:00 | 24/03/2022
14:00 | 22/10/2014
09:00 | 26/03/2024
Những năm gần đây, Phần Lan cũng như nhiều quốc gia khác trên thế giới phải đứng trước thách thức ngày càng lớn từ các mối đe dọa an ninh mạng. Các cơ quan, doanh nghiệp Phần Lan đang trở thành mục tiêu nhắm đến của các cuộc tấn công mạng. Số lượng thông báo liên quan đến vi phạm bảo mật dữ liệu mà Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) nhận được ngày càng gia tăng qua từng năm. Một phần của sự gia tăng này bị ảnh hưởng bởi sự quan tâm và nhận thức về an ninh mạng đã tăng lên, ngoài ra còn do tác động của những hoạt động tấn công mạng nhắm mục tiêu vào Phần Lan, từ khi quốc gia này trở thành thành viên mới của NATO.
15:00 | 18/12/2023
Mặc dù, tiền mã hóa đem lại tính an toàn, bảo mật, nhanh chóng, tiện lợi, không chịu sự quản lý của Ngân hàng Trung ương cũng như các cơ quan công quyền, nhưng đây lại là cơ hội để tội phạm rửa tiền lợi dụng thực hiện các hành vi trái pháp luật trên không gian mạng. Bài viết sẽ thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Đồng thời, bài báo đề xuất các giải pháp phòng chống hoạt động phạm tội này tại Việt Nam.
10:00 | 11/10/2023
Chiều 5/10, tại buổi họp báo thường kỳ tháng 10, Bộ Thông tin và Truyền thông đã thông tin về kết quả kiểm tra toàn diện hoạt động của TikTok tại Việt Nam.
17:00 | 02/10/2023
Trong phần I của bài báo được đăng trên Tạp chí An toàn thông tin số 2 (072) 2023, tác giả đã giới thiệu về những nguyên tắc quản lý và quá trình hoàn thiện hệ thống pháp luật về quản lý Internet của Trung Quốc trong 30 năm qua. Trong phần II, tác giả sẽ thông tin đến độc giả các cách thức Trung Quốc xây dựng và quản lý toàn diện môi trường Internet bằng pháp luật, thúc đẩy các hoạt động một cách có trật tự, đảm bảo an toàn, an ninh mạng cho toàn đất nước.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
