Nhu cầu kiểm định, đánh giá an toàn thông tin
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Mục đích của việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật, hay nói cách khác là các tiêu chí, yêu cầu đã đặt ra cho sản phẩm hay không. Đó chính là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Các yếu tố ảnh hưởng tới công tác kiểm định sản phẩm ATTT
Xây dựng Hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT hết sức phức tạp, đòi hỏi phải có sự đầu tư lớn về cơ sở vật chất và nguồn nhân lực. Về cơ bản, các yếu tố chính ảnh hưởng đến hoạt động kiểm định, đánh giá sản phẩm ATTT được thể hiện trong sơ đồ dưới đây.
Trong sơ đồ có thể thấy, nhân tố chính trong hệ thống kiểm định, đánh giá sản phẩm là Cơ quan kiểm định sản phẩm ATTT.
Cơ quan kiểm định là thành phần trung tâm trong việc xây dựng, phối hợp và áp dụng các văn bản quy phạm pháp luật, các công nghệ, công cụ trong hoạt động kiểm định. Cơ cấu và tổ chức của bộ máy kiểm định cần được xây dựng để đáp ứng nhu cầu vận hành hiệu quả mô hình hệ thống kiểm định và cấp chứng nhận trong cả nước. Đội ngũ nhân lực của Cơ quan kiểm định cần được trang bị những kiến thức cơ bản về khoa học công nghệ, kiến thức nền tảng về CNTT, đặc biệt là kiến thức liên quan đến sản phẩm ATTT như nguyên lý chế tạo, vận hành, quản trị sản phẩm. Các cán bộ kiểm định cũng cần nắm vững các kiến thức chuyên môn về công tác kiểm định đánh giá sản phẩm ATTT như các tiêu chuẩn, tiêu chí, phương pháp luận đánh giá, các kỹ thuật, công nghệ và công cụ thực hiện việc kiểm định, đánh giá. Do đó, đội ngũ nhân lực phục vụ hoạt động kiểm định cần phải đáp ứng những yêu cầu về chuyên môn, luôn được đào tạo và bồi dưỡng bổ sung kiến thức thường xuyên.
Yếu tố thứ hai là các văn bản quy phạm pháp luật liên quan tới hoạt động kiểm định, đánh giá cùng các tiêu chuẩn, tiêu chí, qui trình kiểm định, phương pháp luận kiểm định. Đây là những cơ sở khoa học và pháp lý để triển khai công tác kiểm định.
Các tiêu chuẩn (quy chuẩn kỹ thuật) đánh giá sản phẩm ATTT có thể được xây dựng ở cấp quốc gia, cấp khu vực (giữa các quốc gia) hay mang tầm quốc tế. Xu hướng của nhiều nước trên thế giới là ban hành các tiêu chuẩn quốc gia dựa trên tiêu chuẩn quốc tế hoặc theo tiêu chuẩn của các nước có nền khoa học công nghệ phát triển như Mỹ, Nga, Anh.…
|
Trong lĩnh vực kiểm định, đánh giá sản phẩm ATTT, Tổ chức các quốc gia công nhận lẫn nhau (Common Criteria Recognition Arrangement - CCRA) thống nhất sử dụng Tiêu chí chung (CC – Common Criteria) cho hoạt động đánh giá sản phẩm ATTT. CCRA hiện có 17 thành viên chính thức (được phép hoạt động kiểm định, cấp chứng nhận sản phẩm ATTT), 9 thành viên (Certificate Consuming Members) đang trong quá trình gia nhập và nhiều quốc gia gián tiếp sử dụng tiêu chí chung (được công nhận là tiêu chuẩn quốc tế ISO/IEC 15408) cho hoạt động kiểm định của mình. |
Các nước như Anh, Nga và Trung Quốc đều đã xây dựng các tiêu chí, tiêu chuẩn, phương pháp luận, quy định riêng về quy trình kiểm định, đánh giá đối với sản phẩm ATTT.
Đối với các tiêu chuẩn, quy chuẩn kỹ thuật, tiêu chí, hay các tài liệu quy phạm pháp luật có thể phân ra làm hai nhóm chính. Nhóm thứ nhất là các chuẩn, tiêu chí đánh giá ATTT được Cơ quan đánh giá sử dụng để định hướng cho việc đánh giá, để thực hiện phân tích, phân loại sản phẩm. Đây là các tài liệu đóng vai trò phương pháp luận để đánh giá sản phẩm (CC, FIPS 140, ISO/IEC 15408,...). Nhóm thứ hai là các tiêu chuẩn, tiêu chí ATTT nói chung, các quy chuẩn kỹ thuật và các yêu cầu riêng biệt đối với từng loại và từng đối tượng sản phẩm ATTT. Đây là các tài liệu kỹ thuật được mô tả chi tiết để Cơ quan đánh giá thực hiện việc kiểm định, đánh giá chất lượng của sản phẩm và so sánh với các yêu cầu trong các tài liệu đó (các tiêu chuẩn mật mã, các tiêu chuẩn RFC, các quy chuẩn kỹ thuật,...). Dựa trên hai nhóm đó, Cơ quan đánh giá thực hiện việc kiểm định, đánh giá đối với một sản phẩm ATTT cụ thể.
Một trong các yếu tố quan trọng ảnh hưởng lớn tới thời gian đánh giá, chất lượng đánh giá là các công cụ được sử dụng hỗ trợ cho việc kiểm định, đánh giá.
Công tác kiểm định, đánh giá sẽ không thể thực hiện nếu không có hệ thống trang thiết bị, công cụ phục vụ việc kiểm định. Bên cạnh các phòng thử nghiệm (lab) với trang thiết bị hiện đại, phù hợp cho việc kiểm định từng loại sản phẩm, hoạt động kiểm định còn cần có các trang thiết bị thử nghiệm, thiết bị giả lập, thiết bị đo kiểm, các bộ công cụ thử nghiệm dưới dạng phần cứng và phần mềm.
Xây dựng chương trình hợp tác và chuyển giao công nghệ về kiểm định, đánh giá sản phẩm ATTT từ các nước phát triển là những bước không thể thiếu trong quá trình xây dựng hệ thống đánh giá sản phẩm của mỗi quốc gia để từng bước tiến tới hội nhập với khu vực và thế giới.
Trên cơ sở đó, có thể thấy muốn phát triển một cách hoàn thiện hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT thì việc phát triển đồng bộ các yếu tố nêu trên là nguyên tắc cần thiết. Chính các yếu tố này đóng góp một phần lớn vào việc thúc đẩy sự phát triển các sản phẩm, dịch vụ ATTT và tạo điều kiện cho các sản phẩm được ứng dụng rộng rãi với độ tin cậy cao.
Kết luận
Phát triển hệ thống kiểm định, cấp chứng nhận sản phẩm ATTT là một quá trình lâu dài, cần rất nhiều nguồn tài nguyên và nhân lực. Tùy theo từng giai đoạn phát triển mà các yếu tố chính trong mô hình kiểm định, đánh giá sản phẩm ATTT sẽ được quan tâm, đầu tư ở các mức độ khác nhau với lộ trình thống nhất. Tuy nhiên, quá trình đầu tư cho nguồn nhân lực làm công tác kiểm định, đánh giá sản phẩm ATTT cần phải được quan tâm thường xuyên, liên tục và thích đáng, bởi đây là yếu tố quyết định tới kết quả hoạt động đánh giá an toàn thông tin.
08:00 | 16/01/2018
15:00 | 03/02/2020
08:00 | 07/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
10:00 | 31/01/2024
Các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát triển một kỹ thuật mới có tên là iShutdown để có thể phát hiện và xác định các dấu hiệu của một số phần mềm gián điệp trên thiết bị iOS, bao gồm các mối đe dọa tinh vi như Pegasus, Reign và Predator. Bài viết sẽ cùng khám phát kỹ thuật iShutdown dựa trên báo cáo của Kaspersky.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Davey Winder - một hacker và cũng là nhà phân tích an ninh mạng kỳ cựu cho biết, các cuộc tấn công mạng đang ngày càng phức tạp và Gmail là một trong những mục tiêu hàng đầu của các tin tặc. Tính năng xác thực hai yếu tố đã không còn an toàn khi có những báo cáo cho thấy tin tặc đã vượt qua biện pháp này.
14:00 | 20/11/2024
