Cơ quan cấp chứng nhận - BSI và các Private CB (Private Certification Body):
BSI là cơ quan có thẩm quyền bảo vệ thông tin quốc gia thuộc Bộ Nội vụ, có nhiệm vụ đưa ra các thủ tục và công cụ, những quy tắc chiến lược thực thi kiểm định, an toàn hệ thống thông tin. Trong mô hình trên BSI có vai trò cấp chứng nhận cho các sản phẩm dùng trong chính phủ.
Các sản phẩm dùng trong kinh tế - xã hội có 2 cơ quan có thẩm quyền cấp chứng nhận (Private CB) là T - System và TUViT.
Cơ quan có thẩm quyền kiểm định - các ITSEF (IT Security Evaluation Facility):
Có 11 cơ quan có chức năng kiểm định sản phẩm (1 cơ quan kiểm định các sản phẩm dùng trong chính phủ và 10 cơ quan kiểm định các sản phẩm dùng trong kinh tế - xã hội) cụ thể:
- Cơ quan kiểm định sản phẩm dùng trong khu vực chính phủ là BSI (BSI phê chuẩn ITSEF)
- Các cơ quan kiểm định sản phẩm dùng trong khu vực kinh tế - xã hội:
+ T-Systems ISS GmbH,
+ TUViT(TUV informationstechnik GmbH),
+ Atsec information security GmBH,
+ Competence Center Informatik,
+ CSC Ploenke AG,
+ DFKI(Deutsches Forschungszentrum fur junstliche Inteligenz GmbH),
+ IABG(Industrieanlagen-Betriebsgesellschaft mbH),
+ SRC(Security Reaearch & Consulting Gmbh),
+ Tele-Consulting GmbH,
+ RUV Nord e.V.Software & Elektronik.
Hội đồng công nhận:
Hội đồng công nhận Đức được hình thành từ các cơ quan viễn thông liên bang BAPT (Bundesamt für Post - und Telekommunikation - German Federal Office of Posts and Telecommunications), BSI và DEKITZ (Deutsche Koordinierungsstelle für IT-Normenkonformitätsprüfung und Zertifizierung - Deutsche coordinating body for IT standards conformance testing and certification) vàsẽ đảm nhiệm vai trò công nhận năng lực kỹ thuật và cấp phép về năng lực kiểm định an toàn thông tin cho các tổ chức muốn có được thẩm quyền kiểm định.
Quy trình kiểm định sản phẩm:
Giai đoạn 1: Chuẩn bị kiểm định
Đăng ký kiểm định: Nhà phát triển sản phẩm khi có nhu cầu kiểm định sẽ liên hệ với nhà bảo trợ để được hướng dẫn thủ tục, hồ sơ kiểm định, cùng các tài liệu có liên quan. Nhà bảo trợ sẽ xây dựng hồ sơ kiểm định sản phẩm theo mục đích sử dụng trong thực tiễn: sử dụng trong khu vực chính phủ hay sử dụng trong kinh tế - xã hội.
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ làm đơn xin kiểm định, phối hợp với nhà phát triển hoàn thành hồ sơ xin kiểm định và giao nộp cho ITSEF. Nhà bảo trợ cung cấp các thiết bị phục vụ cho việc kiểm định sản phẩm. Các ITSEF có nhiệm vụ kiểm tra hồ sơ xin kiểm định bao gồm: sản phẩm, tài liệu đặc tả TOE, thiết kế TOE, ST, PP, tài liệu test, phân tích điểm yếu, hướng dẫn sử dụng,... Khi hồ sơ hợp lệ thì ITSEF sẽ đệ trình lên BSI hoặc các Private CB để phê chuẩn đơn xin kiểm định của nhà bảo trợ.
Xây dựng hợp đồng và ký hợp đồng: ITSEF tiến hành xây dựng hợp đồng kiểm định, nhà bảo trợ sẽ xem xét hợp đồng kiểm định và đề nghị sửa đổi (nếu có).
Nếu cả 3 bên: nhà bảo trợ, ITSEF, BSI hay Private CB đều đồng ý thông qua bản hợp đồng kiểm định sẽ tiến hành ký hợp đồng.
Giai đoạn 2: Thực hiện kiểm định
Nhà bảo trợ sẽ tổ chức phiên họp nhằm giúp cho ITSEF hiểu biết về hồ sơ xin kiểm định cũng như hiểu biết về sản phẩm.
Lập kế hoạch và duyệt kế hoạch kiểm định: ITSEF thành lập các đội kiểm định và xây dựng dự kiến kế hoạch kiểm định sản phẩm sau đó đệ trình lên cơ quan cấp chứng nhận BSI hoặc Private CB. BSI hay Private CB sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát.
Thực hiện kiểm định: Đội kiểm định xem xét hồ sơ sản phẩm và tiến hành kiểm định. Trong quá trình kiểm định có thể đề nghị nhà bảo trợ giải quyết các vấn đề phát sinh trong khi kiểm định. Nếu nhà bảo trợ không đáp ứng các yêu cầu của ITSEF thì sẽ có quyết định dừng việc kiểm định từ BSI hay Private CB.
Các đội kiểm định thực hiện kiểm định và viết báo cáo kỹ thuật về sản phẩm xin kiểm định. Nhóm giám sát làm việc song song và độc lập với các đội kiểm định.
Giai đoạn 3: Cấp chứng nhận và hoàn thành
Sau khi kiểm định, ITSEF sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của Nhà bảo trợ, BSI hay Private CB ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời ITSEF gửi lại báo cáo kỹ thuật kiểm định (ETR) cùng hồ sơ tới nhà bảo trợ.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của nhà bảo trợ, ITSEF sẽ gửi báo cáo kiểm định kỹ thuật cùng Bản sao sản phẩm và các tài liệu có liên quan lên BSI hay Private CB. Đồng thời, nhóm giám sát cũng sẽ gửi báo cáo giám sát lên BSI hay Private CB. BSI hay Private CB căn cứ vào các văn bản trên sẽ tiến hành cấp chứng nhận cho sản phẩm.
03:52 | 24/06/2016
Trong lĩnh vực công nghệ thông tin, nhu cầu sử dụng các cơ chế mật mã để bảo vệ thông tin liên tục gia tăng. Tính an toàn và tin cậy của các cơ chế như vậy phụ thuộc trực tiếp vào các môđun mật mã, trong đó các cơ chế này được thực thi. Trước yêu cầu này, Tiêu chuẩn Quốc gia Việt Nam TCVN 11295:2016 ISO/IEC 19790:2012 “Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho môđun mật mã” đã được công bố theo đề nghị của Ban Cơ yếu Chính phủ. Tiêu chuẩn này đã bước đầu đáp ứng cho công tác tiêu chuẩn, kiểm định, đánh giá trong lĩnh vực mật mã. Bài viết dưới đây sẽ phân tích một số vấn đề liên quan đến việc triển khai tiêu chuẩn mới này.
02:00 | 12/07/2012
Trước nguy cơ bị tấn công đánh cắp dữ liệu, mất an toàn thông tin, hiện nhiều ngân hàng, tổ chức thẻ tại Việt Nam đang đẩy mạnh áp dụng và tuân thủ tiêu chuẩn bảo mật Payment Card Indutry Data Security Standard (PCI DSS) để hạn chế rủi ro, phát triển kinh doanh.
05:00 | 05/01/2010
Cùng với sự ra đời và phát triển của Internet, web đã ra đời và ngày càng phát triển, khẳng định vị trí và vai trò của nó trong đời sống thông tin toàn cầu hiện nay. Nhiều quốc gia, tổ chức, cá nhân đã sử dụng web như một công cụ truyền tải, khai thác thông tin hiệu quả ở bất cứ đâu có kết nối Internet, tại bất kỳ thời điểm nào. Điều này giúp tiết kiệm thời gian, chi phí và nhân lực.
06:00 | 07/10/2008
Năm 2005, Tổ chức Tiêu chuẩn hóa quốc tế (ISO) và Ban Kỹ thuật điện quốc tế (IEC) đã ban hành tiêu chuẩn ISO/IEC 27001 về Hệ thống quản lý an ninh thông tin. Tiêu chuẩn này được thực hiện trên nguyên tắc tiếp cận rủi ro trong hoạt động để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an ninh thông tin của cơ quan/tổ chức.