Đây cũng là những vấn đề chúng ta có thể học hỏi, rút kinh nghiệm để xây dựng hệ thống đánh giá và cấp chứng nhận cho các sản phẩm bảo mật và an toàn thông tin ở Việt Nam. Trong hệ thống luật pháp của Liên bang Nga qui định đối tượng của công tác đánh giá và cấp chứng nhận gồm hai đối tượng: Đối tượng tin học hóa và thiết bị BVTT.
1. Qui định về đánh giá và cấp chứng nhận theo yêu cầu về an toàn thông tin cho Đối tượng tin học hóa
Hệ thống đánh giá và cấp chứng nhận đối tượng tin học hóa theo yêu cầu an toàn thông tin (sau đây gọi là hệ thống đánh giá) là bộ phận cấu thành của một hệ thống thống nhất về chứng nhận chất lượng các phương tiện BVTT. Đối tượng tin học hóa ở đây được hiểu là tất cả các thiết bị liên quan tới quá trình xử lý thông tin. Các đối tượng tin học hóa được chứng nhận đạt yêu cầu về an toàn thông tin theo qui định của Tiêu chuẩn quốc gia Liên bang Nga. Hoạt động của hệ thống đánh giá và cấp chứng nhận do Uỷ ban KHKTNN - cơ quan liên bang về chứng nhận sản phẩm và đối tượng tin học hóa theo yêu cầu về an toàn thông tin tiến hành.
Kiểm định và cấp chứng nhận đối tượng tin học hóa được hiểu là tập hợp các hoạt động mang tính pháp lý và kỹ thuật. Trong Chứng chỉ chứng nhận sự phù hợp khẳng định rằng đối tượng đáp ứng các yêu cầu của tiêu chuẩn hoặc qui chuẩn kỹ thuật tương ứng do Uỷ ban KHKTNN qui định.
Các đối tượng bắt buộc phải được đánh giá và cấp chứng nhận gồm các đối tượng tin học hoá được sử dụng để xử lý thông tin bí mật nhà nước, quản lý các đối tượng gây nguy hại về sinh thái, thực hiện các cuộc đàm phán bí mật. Các trường hợp còn lại mang tính tự nguyện và được thực hiện theo yêu cầu của người đặt hàng hoặc chủ sở hữu đối tượng.
Trong quá trình đánh giá và cấp chứng nhận đối tượng tin học hóa, cần khẳng định sự phù hợp của nó với các yêu cầu về BVTT, chống tiếp cận trái phép, trong đó kể cả chống virus máy tính, chống rò rỉ do bức xạ điện từ trường và hậu quả của những tác động đặc biệt lên đối tượng (tác động sóng điện từ và vô tuyến), chống rò rỉ và những tác động bằng các trang thiết bị chuyên dụng được cài vào đối tượng tin học hóa.
Việc đánh giá bao gồm việc thực hiện kiểm tra đồng bộ (thử nghiệm để nhận xét) đối tượng tin học hóa trong điều kiện khai thác thực tế nhằm đánh giá sự phù hợp của tổ hợp các biện pháp, kiểm tra phương tiện BVTT theo mức an toàn thông tin đòi hỏi.
Việc đánh giá được tiến hành bởi cơ quan đánh giá theo một trình tự được quy định trong một lược đồ được cơ quan đánh giá và cấp chứng nhận lựa chọn ở giai đoạn chuẩn bị. Công tác đánh giá sẽ thực hiện theo danh mục công việc chính sau:
- Phân tích dữ liệu ban đầu về đối tượng tin học hóa cần đưa ra kết luận.
- Tìm hiểu sơ bộ đối tượng.
- Tiến hành khảo sát, đánh giá đối tượng và phân tích tài liệu đã chuẩn bị về BVTT trên đối tượng này theo quan điểm về sự phù hợp của đối tượng với các yêu cầu của tài liệu qui chuẩn và phương pháp luận đánh giá.
- Tiến hành các thử nghiệm từng phương tiện riêng biệt và cả hệ thống BVTT với sự hỗ trợ của thiết bị kiểm tra chuyên dụng và các phương tiện kiểm thử (test).
- Tiến hành thử nghiệm các thiết bị riêng lẻ và hệ thống BVTT tại các Trung tâm thử nghiệm về chứng nhận thiết bị BVTT theo yêu cầu an toàn thông tin.
- Tiến hành các thử nghiệm đồng bộ trên đối tượng trong điều kiện khai thác thực tế.
- Phân tích kết quả khảo nghiệm đánh giá và thử nghiệm đồng bộ đối tượng, kết luận về kết quả cuối cùng.
Các cơ quan đánh giá và cấp chứng nhận được công nhận bởi Uỷ ban KHKTNN. Nguyên tắc công nhận được qui định trong “Qui định về công nhận các phòng thử nghiệm và các cơ quan chứng nhận thiết bị BVTT theo yêu cầu an toàn thông tin”. Uỷ ban KHKTNN có thể ủy quyền quyền công nhận cho các cơ quan cấp bộ, ngành hoặc cho các cơ quan nhà nước khác.
Chi phí cho việc tiến hành các công việc và dịch vụ chứng nhận bắt buộc và tự nguyện đều do bên yêu cầu được đánh giá và cấp chứng nhận chi trả. Chi phí cho công tác chứng nhận bắt buộc được tiến hành phù hợp với thỏa thuận theo đơn giá đã được phê duyệt, trong trường hợp chưa có đơn giá thì thỏa thuận theo qui định của Uỷ ban KHKTNN và Bộ Tài chính. Chi phí tiến hành tất cả các công việc để đưa ra kết quả cuối cùng do phía yêu cầu đánh giá chi trả và được tính vào chi phí chế tạo và đưa đối tượng vào hoạt động.
Các cơ quan đánh giá đối tượng tin học hóa chịu trách nhiệm đảm bảo toàn vẹn các bí mật quốc gia và bí mật thương mại, đồng thời tuân thủ quy định về quyền tác giả liên quan tới đối tượng được đánh giá và các thành phần của đối tượng.
2. Qui định về đánh giá và cấp chứng nhận theo yêu cầu về an toàn thông tin cho các Thiết bị BVTT
Các thiết bị kỹ thuật, thiết bị mật mã, phần mềm và các thiết bị khác dùng để bảo vệ thông tin bí mật nhà nước, các thiết bị trong đó tích hợp phương tiện BVTT, cũng như các thiết bị kiểm tra hiệu quả của việc BVTT đều được xếp vào loại thiết bị BVTT.
Những thiết bị BVTT dùng để bảo vệ thông tin thuộc bí mật nhà nước bắt buộc phải được cấp chứng nhận, việc cấp chứng nhận được tiến hành trong khuôn khổ hệ thống chứng nhận các thiết bị BVTT. Trong đó, các phương tiện mật mã nhất thiết phải được sản xuất trong nước và thực hiện trên cơ sở thuật toán mật mã do Cơ quan an ninh Liên bang Nga (FSB) khuyến cáo.
Hệ thống chứng nhận các thiết bị BVTT (dưới đây gọi tắt là Hệ thống chứng nhận) là tập hợp những thành phần tham gia chứng nhận, thực hiện nhiệm vụ chứng nhận theo các qui định. Những thành phần tham gia hệ thống chứng nhận gồm: Cơ quan Liên bang về chứng nhận, Cơ quan Trung ương về chứng nhận, các tổ chức chứng nhận, các phòng thử nghiệm và nhà sản xuất.
Hệ thống chứng nhận được thành lập bởi Cơ quan an ninh Liên bang (FSB), Bộ Quốc phòng, Cơ quan tình báo đối ngoại Liên bang (dưới đây các cơ quan này gọi tắt là Các cơ quan Liên bang về chứng nhận). Các cơ quan này được quyền thực hiện các hoạt động chứng nhận các thiết bị BVTT trong khuôn khổ quyền hạn được xác định bởi luật pháp.
Việc chứng nhận các thiết bị BVTT được thực hiện trên cơ sở các yêu cầu trong các tiêu chuẩn quốc gia, các tài liệu tiêu chuẩn được qui định bởi Chính phủ Liên bang và các cơ quan Liên bang về chứng nhận trong khuôn khổ quyền hạn của các cơ quan này.
Việc phối hợp hoạt động chứng nhận các thiết bị BVTT do Uỷ ban liên bộ về bảo vệ bí mật nhà nước thực hiện (dưới đây gọi là Uỷ ban liên bộ) theo sắc lệnh của Tổng thống Liên bang.
Trong mỗi hệ thống chứng nhận phải xây dựng và thống nhất với Ủy ban liên bộ các qui định đối với hệ thống này cũng như danh mục thiết bị BVTT cần được chứng nhận và các yêu cầu mà các thiết bị đó phải thỏa mãn.
Đối với việc thừa nhận kết quả đánh giá được chứng nhận bởi các tổ chức nước ngoài, nhà sản xuất phải gửi tới Cơ quan chứng nhận liên bang bản sao và bản yêu cầu thừa nhận Giấy chứng nhận. Cơ quan chứng nhận Liên bang sẽ thông báo cho nhà sản xuất về việc thừa nhận kết quả đánh giá này hoặc sự cần thiết phải tiến hành các thử nghiệm trong thời hạn không quá một tháng sau khi nhận được các tài liệu nói trên. Việc thừa nhận kết quả đánh giá sẽ tuân theo các thỏa thuận đã được ký kết. Trong trường hợp thừa nhận chứng chỉ nước ngoài, Cơ quan Liên bang về cấp chứng nhận xem xét và cấp cho nhà sản xuất một giấy chứng nhận phù hợp với mẫu đã thiết lập. Việc chứng nhận các thiết bị nhập khẩu được tiến hành theo các bước như đối với thiết bị sản xuất trong nước.
Các nội dung cơ bản để chứng nhận thiết bị BVTT là:
- Đối với các mẫu thiết bị BVTT đơn lẻ, tiến hành thử nghiệm các mẫu này về sự phù hợp với các yêu cầu BVTT.
- Đối với thiết bị BVTT sản xuất hàng loạt, tiến hành thử nghiệm mẫu điển hình các thiết bị bảo vệ thông tin về sự phù hợp các yêu cầu BVTT và sau đó kiểm tra tính ổn định về các đặc tính của các thiết bị BVTT, các đặc tính đó quyết định việc sản phẩm có thực hiện đúng các yêu cầu quy định hay không. Ngoài ra một số quá trình đánh giá còn yêu cầu kiểm tra quy trình sản xuất sản phẩm.
3. Kết luận
Hệ thống các tổ chức đánh giá và chứng nhận sự phù hợp các sản phẩm bảo mật và an toàn thông tin của Liên bang Nga có mô hình riêng biệt nhưng các quy trình đánh giá tương đối phù hợp với quy trình của nhiều nước trên thế giới. Mặc dù hiện tại Liên bang Nga không thuộc các quốc gia tham gia Tổ chức các nước thừa nhận lẫn nhau về Tiêu chí chung (CCRA - Common Criteria Recognition Arrangement) nhưng có thể thấy Lược đồ đánh giá và cấp chứng nhận (Evaluation and Certification Scheme – theo khái niệm của CC) của họ là hoàn toàn phù hợp với các quy định của Tiêu chí chung. Hoạt động chứng nhận sự phù hợp nhằm tiến hành công tác đánh giá và cấp chứng nhận cho các sản phẩm bảo mật và an toàn thông tin theo các yêu cầu trong tài liệu về yêu cầu an toàn thông tin được Cơ quan Liên bang quy định
Bảo vệ thông tin (BVTT) là hoạt động ngăn ngừa các mối đe dọa an toàn cá nhân, xã hội, quốc gia; ngăn ngừa rò rỉ, ăn cắp làm mất, làm giả thông tin; ngăn ngừa những hành động hủy bỏ, sửa đổi, sao chép, phong tỏa thông tin; ngăn ngừa các hình thức can thiệp phi pháp vào các nguồn tài nguyên và các hệ thống thông tin; xây dựng căn cứ pháp lý cho thông tin đã được tài liệu hóa như một đối tượng của việc sở hữu; bảo vệ quyền lợi công dân đã được hiến pháp qui định (bao gồm giữ gìn bí mật riêng tư và bí mật các dữ liệu cá nhân chứa trong các hệ thống thông tin, giữ bí mật quốc gia); bảo mật thông tin, tài liệu phù hợp theo luật pháp; đảm bảo quyền của các chủ thể trong quá trình trao đổi thông tin và trong nghiên cứu, sản xuất và ứng dụng các hệ thống thông tin, công nghệ thông tin và các thiết bị đảm bảo