Mục tiêu chính của CCEVS là thiết lập một chương trình quốc gia về kiểm định dựa vào tiêu chuẩn chung CC. Cấu trúc của mô hình được mô tả như sau:
Hình. Mô hình kiểm định an toàn thông tin Mỹ
Mô hình trên của Mỹ được điều hành bởi Viện Tiêu chuẩn và Công nghệ quốc gia (National Institute of Standards and Technology - NIST) và Cơ quan an ninh quốc gia (National Security Agency - NSA).
Cơ quan công nhận – NIST
Có vai trò nghiên cứu tiêu chuẩn của Bộ Thương mại. Các hoạt động chính của NIST: Điều hành hệ thống công nghệ quốc gia và cung cấp mạng truyền thông cho các nhà sản xuất; Kiểm soát và cải tiến chất lượng sản phẩm của ngành công nghiệp sản xuất và dịch vụ.
Để công nhận năng lực kỹ thuật của các trung tâm kiểm định, NIST đã sử dụng chương trình NVLAP (National Voluntary Laboratory Accreditation Program). NVLAP là một chương trình công nhận phòng Lab đạt các yêu cầu theo tiêu chuẩn ISO/IEC Guide 25.
Cơ quan kiểm định - các CCTL (Common Criteria Test Lab)
Một phòng Lab muốn đạt tiêu chuẩn để kiểm định các sản phẩm an toàn thông tin theo Tiêu chuẩn chung (CC Test Lab) thì nó phải tuân theo chương trình NVLAP và tuân theo các chính sách và được NIAP phê chuẩn.
Một số phòng Lab cho sản phẩm thuộc khu vực kinh tế - xã hội được NIST công nhận như: Booz Allen Hamilton CCTL, COACT, Arca CCTL, Computer Sciences Corp, CyganaCom Solutions, Infogard Laboratories, SAIC CCTL, Criterian Independent Labs, Lockheed Martin IS&S SSO.
Cơ quan cấp chứng nhận
- Thẩm quyền cấp chứng nhận sản phẩm dùng trong chính phủ là Cơ quan an ninh quốc gia (Mỹ) NSA, với các hoạt động:
+ Cấp chứng nhận cho sản phẩm dùng trong chính phủ.
+ Phát triển và kiểm định tiêu chí bảo vệ thông tin.
+ Phát triển và quản lý chương trình bảo vệ thông tin.
- Thẩm quyền cấp chứng nhận sản phẩm thuộc kinh tế xã hội là Hiệp hội bảo đảm thông tin quốc gia NIAP. Nó gồm các thành viên từ NIST và NSA, bao gồm giám sát viên, chuyên viên kỹ thuật, người quản lý, nhân viên và có cả nhân sự theo hợp đồng. NIAP đóng vai trò cấp chứng nhận cho sản phẩm đã qua kiểm định tại CCTL. Các hoạt động chính của NIAP là:
+ Cấp chứng nhận cho sản phẩm dùng trong khu vực kinh tế - xã hội.
+ Phát triển lược đồ cấp chứng nhận, lược đồ kiểm định theo tiêu chuẩn chung CC và cấp giấy phép cho cơ quan có thẩm quyền kiểm định.
+ Giám sát quá trình kiểm định và thực hiện hợp tác quốc tế về lĩnh vực kiểm định sản phẩm an toàn thông tin.
+ Báo cáo kết quả kiểm định và quản lý danh sách sản phẩm đã kiểm định.
+ Hỗ trợ dịch vụ công nghệ cho kiểm định sản phẩm.
+ Phát triển công cụ cho bên phát triển sản phẩm và cơ quan có thẩm quyền kiểm định.
+ Phát triển hồ sơ bảo vệ dựa trên CC và phương pháp kiểm định, phương pháp kiểm tra sản phẩm an toàn thông tin.
+ Phát triển và điều hành chương trình đào tạo và tổ chức các cuộc hội thảo liên quan đến kiểm định sản phẩm.
Quy trình kiểm định sản phẩm
Giai đoạn 1: Chuẩn bị kiểm định
Giai đoạn 2: Thực hiện kiểm định
Bên xin kiểm định, CCTL và đại diện NIAP tiến hành một số cuộc họp nhằm hiểu rõ về sản phẩm cần kiểm định và thống nhất các mốc kiểm định. CCTL xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIAP phê chuẩn.
CCTL thành lập đội kiểm định bao gồm người đứng đầu và những kiểm định viên để kiểm định sản phẩm. NIAP sẽ thành lập một nhóm đảm nhiệm việc giám sát quá trình kiểm định.
Tiến hành kiểm định
Các đội kiểm định của CCTL kiểm định các hồ sơ và sản phẩm theo phương pháp luận kiểm định CC (CEM). Nếu có yêu cầu về các tài liệu cần bố sung thì CCTL sẽ đề nghị nhà phát triển giải quyết các vấn đề phát sinh trong khi kiểm định.
Nhóm kiểm định viết Báo cáo kỹ thuật kiểm định (ETR) sản phẩm.
Giai đoạn 3: Cấp chứng nhận
Khi kiểm định xong, CCTL sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của bên xin kiểm định, CCTL sẽ cùng với NIAP thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời gửi lại Báo cáo kiểm định kỹ thuật, hồ sơ gốc cùng các bản sao hồ sơ xin kiểm định, sản phẩm, tài liệu tới Bên xin kiểm định.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của Bên xin kiểm định, CCTL sẽ gửi kết quả kiểm định là Báo cáo kỹ thuật kiểm định (ETR) lên NIAP để NIAP tiến hành cấp chứng nhận cho sản phẩm.
04:00 | 06/06/2014
CC-IS là các yêu cầu chứng nhận cần tuân thủ bắt buộc đối với các sản phẩm an toàn thông tin cho thị trường mua sắm cho cơ quan chính phủ của Trung Quốc. Các sản phẩm an toàn thông tin không thuộc lĩnh vực mua sắm cho cơ quan chính phủ thì áp dụng tự nguyện. Cơ quan chỉ định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực hiện chứng nhận CC-IS bao gồm 08 mục sản phẩm và được mở rộng thành 13 loại sản phẩm cụ thể.
02:00 | 26/06/2013
Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.
06:00 | 07/07/2011
Đảm bảo an toàn hệ thống thông tin là vấn đề mang tính hệ thống, được giải quyết một cách đồng bộ theo các hướng điều chỉnh luật pháp, tổ chức quản lý và sử dụng các phương tiện công nghệ thông tin (CNTT).
06:00 | 06/01/2009
Công tác đánh giá và cấp chứng nhận đối với các sản phẩm thuộc lĩnh vực bảo mật và an toàn thông tin được coi là một trong những nhiệm vụ quan trọng để thực hiện quản lý nhà nước. Bài báo này giới thiệu một số vấn đề liên quan đến hoạt động đánh giá và chứng nhận sự phù hợp của các sản phẩm bảo vệ thông tin (BVTT) của Liên bang Nga.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
