Tiêu chuẩn Common Criteria (ISO 15408) thường được nhắc đến như một phương pháp kiểm định ATTT uy tín nhất. Tuy nhiên, tiêu chuẩn này có nhược điểm là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trong những sản phẩm công nghệ mới. Một dự án triển khai theo Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả phương pháp kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức rất đáng kể vì phiên bản sản phẩm kiểm định xong rất có thể không còn được ứng dụng.
Ngoài ra, Common Criteria còn có điểm yếu về quản lý sự thay đổi (change management). Một thay đổi nhỏ trên sản phẩm thường đòi hỏi một lượng công việc đáng kể để giữ được giá trị của chứng chỉ.
Đáp ứng với sự bùng nổ của các ứng dụng IoT và điện toán đám mây, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định ATTT linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là Certification de Sécurité de Premier Niveau (CSPN). Phương pháp này được triển khai tại Pháp từ năm 2008 và đang được các nước lân cận như Đức, Hà Lan và Tây Ban Nha áp dụng.
Một dự án CSPN thường không kéo dài quá 8 tuần, tập trung vào quá trình pentest và giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day), trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm. Quá trình quản lý các phiên bản mới của sản phẩm cũng linh hoạt hơn, phương pháp này sẽ tập trung vào bước pentest các thay đổi đối với các chức năng an toàn của sản phẩm.
Đặc biệt, phương pháp CSPN cho phép kiểm định cùng lúc một nhóm các sản phẩm có nhiều chức năng giống nhau, như các sản phẩm có cùng phần cứng nhưng phần mềm chứa những chức năng phục vụ những thị trường khác nhau. Hoặc nhóm sản phẩm có phần cứng chỉ khác nhau ở những bộ phận không liên quan đến an toàn thông tin. Các sản phẩm trong cùng nhóm có thể được kiểm định và cấp chứng chỉ trong cùng lúc cho phép tiết kiệm thời gian và chi phí. Bảng 1 tóm tắt những khác biệt chính giữa hai phương pháp kiểm định ATTT là Common Criteria và CSPN.
Bảng 1: Khác biệt chính giữa Common Criteria và CSPN
.JPG)
Cũng như các phương pháp kiểm định độc lập khác, việc triển khai CSPN đòi hỏi sự phối hợp nhuần nhuyễn của ba đơn vị: cơ quan pháp triển sản phẩm (Vendor), cơ quan kiểm định (ITSEF) và cơ quan Nhà nước phụ trách trực tiếp cấp chứng chỉ (ANSSI).
Cơ quan phát triển sản phẩm: Cơ quan này chịu trách nhiệm lập hồ sơ đăng ký kiểm định và cung cấp các thông tin đầu vào cần thiết cho dự án (xem thêm Bảng 1), đồng thời sẽ chịu toàn bộ chi phí kiểm định và có quyền dừng dự án CSPN tại bất kỳ thời điểm nào.
Cơ quan kiểm định: Cơ quan kiểm định chịu trách nhiệm thực hiện các bước kiểm định theo phương pháp CSPN. Để thực hiện được kiểm định, cơ quan này phải có đủ các kỹ năng cần thiết để kiểm định sản phẩm, đặc biệt là các kỹ năng pentest. Yêu cầu này dẫn tới việc mỗi cơ quan kiểm định thường chỉ được công nhận trên một số lĩnh vực sản phẩm nhất định. Để được công nhận chính thức, cơ quan kiểm định phải vượt qua các kỳ kiểm tra (audit) do ANSSI tổ chức hai năm một lần.
Cơ quan cấp chứng chỉ: ANSSI – cơ quan đặc trách về an toàn thông tin của chính phủ Pháp chịu trách nhiệm xây dựng và cập nhật phương pháp CSPN cũng như cấp chứng chỉ cho các sản phẩm đáp ứng đủ các tiêu chuẩn an toàn. ANSSI cũng đảm đương chức năng kiểm tra và công nhận những cơ quan có đủ khả năng kiểm định ATTT (ITSEF accreditation).
Ông Poupard, Tổng Giám đốc ANSSI trao chứng nhận cơ quan kiểm định CSPN cho công ty Trusted Labs và tập đoàn Thales
Kết luận
CSPN là một điển hình về một phương pháp kiểm định ATTT linh hoạt, hiệu quả với chi phí thấp cho các sản phẩm có vòng đời ngắn như IoT. Mỗi năm có hàng trăm dự án kiểm định và được cấp chứng chỉ. Điều này đóng góp quan trọng vào việc cải thiện độ tin cậy của người dùng tại châu Âu.
Đối với nước ta, CSPN hoàn toàn có thể là một lựa chọn tối ưu cho một sơ đồ kiểm định ATTT hiệu quả. Phương pháp CSPN có thể được triển khai từng bước, ưu tiên các mảng sản phẩm thiết yếu như phần mềm VPN, ứng dụng ngân hàng điện tử, thiết bị nhà thông minh (như camera giám sát)…. Triển khai phương pháp CSPN sẽ đóng góp đáng kể vào việc nâng cao kỹ năng an toàn thông tin cho doanh nghiệp trong nước, từ cơ quan kiểm định đến các doanh nghiệp phát triển sản phẩm, đồng thời bảo vệ người tiêu dùng Việt Nam trước các sản phẩm có độ an toàn thấp.
|
Đôi nét về tác giả TS. Nguyễn Quang Huy có hơn 15 năm kinh nghiệm làm việc trong các môi trường kiểm định an toàn thông tin tại châu Âu và thế giới. Hiện nay, ông là lãnh đạo cơ quan kiểm định công ty Trusted Labs thuộc tập đoàn Thales, Cộng hoà Pháp. Ông có bề dày kinh nghiệm về các hệ thống nhúng triển khai trong các môi trường đòi hỏi kết nối cao như IoT, quản lý năng lượng, nhà thông minh, điện thoại thông minh, ô tô tự lái... Tập đoàn Thales với hơn 80 nghìn nhân viên làm việc tại 68 nước là một trong những nhà cung cấp sản phẩm và giải pháp công nghệ hàng đầu thế giới trong lĩnh vực quốc phòng, hàng không, vũ trụ, giao thông vận tải và an ninh số. .jpg)
|
15:00 | 05/12/2013
15:00 | 29/12/2017
13:00 | 24/03/2022
14:00 | 22/10/2014
10:00 | 28/03/2024
Tiền điện tử là một phát hiện đột phá trong thế giới tài chính, tuy ra đời muộn nhưng ảnh hưởng của nó vượt xa các hệ thống tiền tệ truyền thống. Tiền điện tử đã cách mạng hóa thế giới điều tra gian lận kỹ thuật số, mang lại cả những thách thức và cơ hội cho các cơ quan thực thi pháp luật. Với sự gia tăng của các loại tiền điện tử như Bitcoin, tội phạm mạng đã tìm ra những phương pháp mới để thực hiện các hoạt động bất hợp pháp, khiến các nhà điều tra phải thích nghi và phát triển các kỹ thuật của mình.
09:00 | 28/02/2024
Hiện nay, Mỹ đang đứng trước những thách thức và đe dọa trên không gian mạng bởi các nhóm tin tặc hoạt động tinh vi, có mức độ bao phủ rộng, chủ yếu tập trung vào cơ sở hạ tầng và hệ thống mạng của các tổ chức, doanh nghiệp và cơ quan chính phủ, gây nguy hại đến tình hình an ninh mạng quốc gia. Do vậy, Chính phủ Mỹ bên cạnh việc thiết lập những chính sách và giải pháp ngăn chặn thì cũng đã giao trọng trách cho Bộ Quốc phòng Mỹ (Department of Defense - DoD) xây dựng, hoạch địch chiến lược an ninh mạng chống lại các mối đe dọa. Bài báo sẽ đưa ra những nội dung chính trong bản tóm tắt về Chiến lược không gian mạng 2023 của DoD.
09:00 | 09/01/2024
Thất thoát dữ liệu nội bộ là một trong những mối đe dọa an ninh mạng rất khó phát hiện trong bối cảnh quá trình chuyển đổi số và phát triển kinh tế số đang được đẩy mạnh thời gian qua. Mới đây, công ty phần mềm Code42 (Mỹ) đã công bố báo cáo rò rỉ dữ liệu năm 2023, nghiên cứu cho thấy các doanh nghiệp hoạt động trong lĩnh vực khoa học đời sống, bao gồm các nhà sản xuất thiết bị y tế, công ty công nghệ sinh học và dược phẩm đang có tỉ lệ mất mát dữ liệu nội bộ ngày càng tăng.
15:00 | 23/11/2023
Chiều ngày 22/11, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức Hội thảo về công tác đào tạo phát triển nguồn nhân lực ngành Cơ yếu Việt Nam đến năm 2030 và định hướng đến năm 2045. Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội thảo.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
