Giới thiệu mô hình đánh giá an toàn thông tin của Anh

15:29 | 04/12/2013

Mô hình đánh giá về an toàn thông tin của Anh gồm các thành phần: Cơ quan có thẩm quyền công nhận (United Kingdom Accreditation Service - UKAS), Ủy ban quản lý, Cơ quan có thẩm quyền cấp chứng nhận (CESG).

Quá trình kiểm định an toàn thông tin của Anh (Hình 1) được điều hành bởi Tập đoàn An toàn điện tử viễn thông (Communications Electronics Security Group - CESG) và Bộ Thương mại và Công nghiệp (Deparment of Trade and Industry - DTI).

Hình: Mô hình kiểm định an toàn thông tin Anh

Trong mô hình trên, chức năng, nhiệm vụ thực hiện đánh giá an toàn thông tin được phân định như sau:

1. Cơ quan có thẩm quyền công nhận - UKAS: Có thẩm quyền xét và công nhận năng lực của các Trung tâm kiểm định. Chu kỳ giám sát là 6 – 12 tháng và sau 3 – 4 năm sẽ thực hiện việc xem xét lại năng lực của Trung tâm kiểm định.

2. Ủy ban quản lý: Là cơ quan chịu trách nhiệm và đưa ra chính sách của hệ thống kiểm định và giám sát đối với cơ quan kiểm định/cấp chứng nhận, công bố báo cáo hàng năm và phân xử những tranh chấp xảy ra trong quá trình kiểm định. Nó được tổ chức từ các thành viên của CESG, DTI, Bộ Tài chính và Bộ Quốc phòng.

3. Cơ quan có thẩm quyền cấp chứng nhận – CESG: Là tổ chức thuộc GCHQ (Government Communications Headquarters), có thẩm quyền cấp chứng nhận về mức kiểm định của sản phẩm an toàn thông tin thông qua xem xét Báo cáo kỹ thuật kiểm định (ETR) do tổ chức kiểm định đưa ra. CESG có nhiệm vụ:

+ Xem xét lại giấy phép cho cơ quan có thẩm quyền kiểm định dưới sự phê chuẩn của UKAS và xác nhận các công ty giám sát và chấp thuận quy tắc của cơ quan có thẩm quyền kiểm định.

+ Hỗ trợ các công ty liên quan của cơ quan có thẩm quyền kiểm định như bên tư vấn và bên đào tạo kỹ thuật.

+ Đăng ký và quản lý sản phẩm đã được kiểm định/cấp chứng nhận.

+ Tham gia các hoạt động quốc tế về sự công nhận lẫn nhau, cung cấp báo cáo về hội nghị cho ủy ban quản lý.

+ Phát triển và quản lý phương pháp kiểm định của Anh. 

4. Tổ chức kiểm định (Commercial Evaluation Facilities - CLEF): là các tổ chức có chức năng kiểm định của Anh, CLEF được thành lập bởi cơ quan có thẩm quyền cấp chứng nhận CESG. CESG phê chuẩn báo cáo ETR nhằm chứng nhận cho kết quả kiểm định của CLEF bảo đảm một cách chính xác theo quy trình kiểm định.

Quy trình kiểm định sản phẩm 

1. Giai đoạn 1: Chuẩn bị kiểm định 

Yêu cầu kiểm định: Bên có nhu cầu kiểm định sẽ liên hệ với nhóm tư vấn của CLEF để được hướng dẫn thủ tục, hồ sơ và đơn xin kiểm định sản phẩm (như xây dựng PP, ST, TOE,... cùng các tài liệu có liên quan). Nếu bên phát triển sản phẩm không đủ khả năng hoàn thành hồ sơ kiểm định thì nhóm tư vấn kiểm định sẽ hỗ trợ việc hoàn chỉnh hồ sơ kiểm định. 

Hoàn thành hồ sơ giao nộp để kiểm định: Bên yêu cầu kiểm định dựa trên ý kiến tư­ vấn sẽ hoàn thành hồ sơ và nộp đơn, giao nộp sản phẩm, TOE và các tài liệu liên quan để đề nghị kiểm định.

CLEF có nhiệm vụ kiểm tra hồ sơ đề nghị kiểm định bao gồm: sản phẩm, tài liệu đặc tả về TOE, ST, PP, mô tả thi công, tài liệu test, phân tích điểm yếu, các tài liệu hướng dẫn sử dụng. Khi hồ sơ chưa đạt theo quy định, bên đề nghị kiểm định có thể yêu cầu lại nhóm tư vấn hỗ trợ, giúp xem xét, kiểm tra và hoàn chỉnh lại hồ sơ.

Xây dựng hợp đồng: CLEF sẽ xây dựng một hợp đồng kiểm định, trong đó thể hiện thời gian kiểm định, chi phí kiểm định, các điều kiện đảm bảo cho việc kiểm định,... và một số yêu cầu đối với các bên tham gia vào quá trình kiểm định. Hợp đồng này được phê duyệt bởi CESG. 

Ký hợp đồng kiểm định: Sau khi thống nhất hợp đồng, cả 3 bên CLEF, CESG và bên xin kiểm định sẽ tiến hành ký hợp đồng kiểm định.

2. Giai đoạn 2: Thực hiện kiểm định 

Bên xin kiểm định tổ chức phiên họp nhằm giúp cho CLEF hiểu biết hồ sơ xin kiểm định.

Thành lập đội kiểm định: CLEF thành lập đội kiểm định bao gồm ng­ười đứng đầu và những kiểm định viên để kiểm định sản phẩm đã xin kiểm định. CLEF xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên cơ quan cấp chứng nhận.

Thông qua kế hoạch kiểm định: CESG cùng với Bên xin kiểm định và Trung tâm kiểm định thảo luận và thông qua kế hoạch kiểm định cuối cùng. Sau đó CESG sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát gửi về CESG. Khi cần thiết, Bên xin kiểm định có thể cung cấp thêm thông tin và các tài liệu liên quan trong khi kiểm định.

Dừng kiểm định: Khi Bên xin kiểm định không đáp ứng các yêu cầu thì CLEF và CESG có thể thống nhất và ra quyết định dừng việc kiểm định.

Thực hiện kiểm định: Các đội kiểm định thực hiện kiểm định và viết báo cáo kiểm định kỹ thuật về sản phẩm xin kiểm định. Nhóm giám sát viết báo cáo giám sát. Nếu nhóm giám sát có yêu cầu làm rõ các quy trình kiểm định thì đội kiểm định có trách nhiệm phải giải thích và cung cấp thêm tài liệu để nhóm giám sát hiểu và viết báo cáo giám sát.

3. Giai đoạn 3: Cấp chứng nhận hợp chuẩn/ hợp quy cho sản phẩm 

Khi kiểm định xong, CLEF gửi lại Báo cáo kiểm định kỹ thuật tới Bên xin kiểm định. CESG tổng hợp và gửi báo cáo kiểm định tới Ủy ban quản lý và sau đó tiến hành cấp chứng nhận cho sản phẩm.