Cơ quan cấp chứng nhận - BSI và các Private CB (Private Certification Body):
BSI là cơ quan có thẩm quyền bảo vệ thông tin quốc gia thuộc Bộ Nội vụ, có nhiệm vụ đưa ra các thủ tục và công cụ, những quy tắc chiến lược thực thi kiểm định, an toàn hệ thống thông tin. Trong mô hình trên BSI có vai trò cấp chứng nhận cho các sản phẩm dùng trong chính phủ.
Các sản phẩm dùng trong kinh tế - xã hội có 2 cơ quan có thẩm quyền cấp chứng nhận (Private CB) là T - System và TUViT.
Cơ quan có thẩm quyền kiểm định - các ITSEF (IT Security Evaluation Facility):
Có 11 cơ quan có chức năng kiểm định sản phẩm (1 cơ quan kiểm định các sản phẩm dùng trong chính phủ và 10 cơ quan kiểm định các sản phẩm dùng trong kinh tế - xã hội) cụ thể:
- Cơ quan kiểm định sản phẩm dùng trong khu vực chính phủ là BSI (BSI phê chuẩn ITSEF)
- Các cơ quan kiểm định sản phẩm dùng trong khu vực kinh tế - xã hội:
+ T-Systems ISS GmbH,
+ TUViT(TUV informationstechnik GmbH),
+ Atsec information security GmBH,
+ Competence Center Informatik,
+ CSC Ploenke AG,
+ DFKI(Deutsches Forschungszentrum fur junstliche Inteligenz GmbH),
+ IABG(Industrieanlagen-Betriebsgesellschaft mbH),
+ SRC(Security Reaearch & Consulting Gmbh),
+ Tele-Consulting GmbH,
+ RUV Nord e.V.Software & Elektronik.
Hội đồng công nhận:
Hội đồng công nhận Đức được hình thành từ các cơ quan viễn thông liên bang BAPT (Bundesamt für Post - und Telekommunikation - German Federal Office of Posts and Telecommunications), BSI và DEKITZ (Deutsche Koordinierungsstelle für IT-Normenkonformitätsprüfung und Zertifizierung - Deutsche coordinating body for IT standards conformance testing and certification) vàsẽ đảm nhiệm vai trò công nhận năng lực kỹ thuật và cấp phép về năng lực kiểm định an toàn thông tin cho các tổ chức muốn có được thẩm quyền kiểm định.
Quy trình kiểm định sản phẩm:
Giai đoạn 1: Chuẩn bị kiểm định
Đăng ký kiểm định: Nhà phát triển sản phẩm khi có nhu cầu kiểm định sẽ liên hệ với nhà bảo trợ để được hướng dẫn thủ tục, hồ sơ kiểm định, cùng các tài liệu có liên quan. Nhà bảo trợ sẽ xây dựng hồ sơ kiểm định sản phẩm theo mục đích sử dụng trong thực tiễn: sử dụng trong khu vực chính phủ hay sử dụng trong kinh tế - xã hội.
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ làm đơn xin kiểm định, phối hợp với nhà phát triển hoàn thành hồ sơ xin kiểm định và giao nộp cho ITSEF. Nhà bảo trợ cung cấp các thiết bị phục vụ cho việc kiểm định sản phẩm. Các ITSEF có nhiệm vụ kiểm tra hồ sơ xin kiểm định bao gồm: sản phẩm, tài liệu đặc tả TOE, thiết kế TOE, ST, PP, tài liệu test, phân tích điểm yếu, hướng dẫn sử dụng,... Khi hồ sơ hợp lệ thì ITSEF sẽ đệ trình lên BSI hoặc các Private CB để phê chuẩn đơn xin kiểm định của nhà bảo trợ.
Xây dựng hợp đồng và ký hợp đồng: ITSEF tiến hành xây dựng hợp đồng kiểm định, nhà bảo trợ sẽ xem xét hợp đồng kiểm định và đề nghị sửa đổi (nếu có).
Nếu cả 3 bên: nhà bảo trợ, ITSEF, BSI hay Private CB đều đồng ý thông qua bản hợp đồng kiểm định sẽ tiến hành ký hợp đồng.
Giai đoạn 2: Thực hiện kiểm định
Nhà bảo trợ sẽ tổ chức phiên họp nhằm giúp cho ITSEF hiểu biết về hồ sơ xin kiểm định cũng như hiểu biết về sản phẩm.
Lập kế hoạch và duyệt kế hoạch kiểm định: ITSEF thành lập các đội kiểm định và xây dựng dự kiến kế hoạch kiểm định sản phẩm sau đó đệ trình lên cơ quan cấp chứng nhận BSI hoặc Private CB. BSI hay Private CB sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát.
Thực hiện kiểm định: Đội kiểm định xem xét hồ sơ sản phẩm và tiến hành kiểm định. Trong quá trình kiểm định có thể đề nghị nhà bảo trợ giải quyết các vấn đề phát sinh trong khi kiểm định. Nếu nhà bảo trợ không đáp ứng các yêu cầu của ITSEF thì sẽ có quyết định dừng việc kiểm định từ BSI hay Private CB.
Các đội kiểm định thực hiện kiểm định và viết báo cáo kỹ thuật về sản phẩm xin kiểm định. Nhóm giám sát làm việc song song và độc lập với các đội kiểm định.
Giai đoạn 3: Cấp chứng nhận và hoàn thành
Sau khi kiểm định, ITSEF sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của Nhà bảo trợ, BSI hay Private CB ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời ITSEF gửi lại báo cáo kỹ thuật kiểm định (ETR) cùng hồ sơ tới nhà bảo trợ.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của nhà bảo trợ, ITSEF sẽ gửi báo cáo kiểm định kỹ thuật cùng Bản sao sản phẩm và các tài liệu có liên quan lên BSI hay Private CB. Đồng thời, nhóm giám sát cũng sẽ gửi báo cáo giám sát lên BSI hay Private CB. BSI hay Private CB căn cứ vào các văn bản trên sẽ tiến hành cấp chứng nhận cho sản phẩm.
00:00 | 24/02/2018
Ngày nay, hệ thống điều khiển công nghiệp phải đối mặt với nguy cơ mất an toàn thông tin tương tự như đối với các hệ thống CNTT thông thường, nhưng với mức độ phức tạp và rủi ro lớn hơn nhiều. Những tấn công ngẫu nhiên vốn vô hại đối với hệ thống CNTT thông thường như máy tính bị nhiễm mã độc, mã hoá ngẫu nhiên… có thể mang đến hậu quả nghiêm trọng cho hệ thống điều khiển công nghiệp.
01:00 | 07/12/2013
Mô hình đánh giá ATTT của Pháp được điều hành bởi Cơ quan có thẩm quyền cấp chứng nhận (Direction Centrale de la Sécurité des Systèmes d'Information - DCSSI).
02:00 | 26/06/2013
Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.
06:00 | 07/07/2011
Đảm bảo an toàn hệ thống thông tin là vấn đề mang tính hệ thống, được giải quyết một cách đồng bộ theo các hướng điều chỉnh luật pháp, tổ chức quản lý và sử dụng các phương tiện công nghệ thông tin (CNTT).
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
