Cơ quan cấp chứng nhận - BSI và các Private CB (Private Certification Body):
BSI là cơ quan có thẩm quyền bảo vệ thông tin quốc gia thuộc Bộ Nội vụ, có nhiệm vụ đưa ra các thủ tục và công cụ, những quy tắc chiến lược thực thi kiểm định, an toàn hệ thống thông tin. Trong mô hình trên BSI có vai trò cấp chứng nhận cho các sản phẩm dùng trong chính phủ.
Các sản phẩm dùng trong kinh tế - xã hội có 2 cơ quan có thẩm quyền cấp chứng nhận (Private CB) là T - System và TUViT.
Cơ quan có thẩm quyền kiểm định - các ITSEF (IT Security Evaluation Facility):
Có 11 cơ quan có chức năng kiểm định sản phẩm (1 cơ quan kiểm định các sản phẩm dùng trong chính phủ và 10 cơ quan kiểm định các sản phẩm dùng trong kinh tế - xã hội) cụ thể:
- Cơ quan kiểm định sản phẩm dùng trong khu vực chính phủ là BSI (BSI phê chuẩn ITSEF)
- Các cơ quan kiểm định sản phẩm dùng trong khu vực kinh tế - xã hội:
+ T-Systems ISS GmbH,
+ TUViT(TUV informationstechnik GmbH),
+ Atsec information security GmBH,
+ Competence Center Informatik,
+ CSC Ploenke AG,
+ DFKI(Deutsches Forschungszentrum fur junstliche Inteligenz GmbH),
+ IABG(Industrieanlagen-Betriebsgesellschaft mbH),
+ SRC(Security Reaearch & Consulting Gmbh),
+ Tele-Consulting GmbH,
+ RUV Nord e.V.Software & Elektronik.
Hội đồng công nhận:
Hội đồng công nhận Đức được hình thành từ các cơ quan viễn thông liên bang BAPT (Bundesamt für Post - und Telekommunikation - German Federal Office of Posts and Telecommunications), BSI và DEKITZ (Deutsche Koordinierungsstelle für IT-Normenkonformitätsprüfung und Zertifizierung - Deutsche coordinating body for IT standards conformance testing and certification) vàsẽ đảm nhiệm vai trò công nhận năng lực kỹ thuật và cấp phép về năng lực kiểm định an toàn thông tin cho các tổ chức muốn có được thẩm quyền kiểm định.
Quy trình kiểm định sản phẩm:
Giai đoạn 1: Chuẩn bị kiểm định
Đăng ký kiểm định: Nhà phát triển sản phẩm khi có nhu cầu kiểm định sẽ liên hệ với nhà bảo trợ để được hướng dẫn thủ tục, hồ sơ kiểm định, cùng các tài liệu có liên quan. Nhà bảo trợ sẽ xây dựng hồ sơ kiểm định sản phẩm theo mục đích sử dụng trong thực tiễn: sử dụng trong khu vực chính phủ hay sử dụng trong kinh tế - xã hội.
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ làm đơn xin kiểm định, phối hợp với nhà phát triển hoàn thành hồ sơ xin kiểm định và giao nộp cho ITSEF. Nhà bảo trợ cung cấp các thiết bị phục vụ cho việc kiểm định sản phẩm. Các ITSEF có nhiệm vụ kiểm tra hồ sơ xin kiểm định bao gồm: sản phẩm, tài liệu đặc tả TOE, thiết kế TOE, ST, PP, tài liệu test, phân tích điểm yếu, hướng dẫn sử dụng,... Khi hồ sơ hợp lệ thì ITSEF sẽ đệ trình lên BSI hoặc các Private CB để phê chuẩn đơn xin kiểm định của nhà bảo trợ.
Xây dựng hợp đồng và ký hợp đồng: ITSEF tiến hành xây dựng hợp đồng kiểm định, nhà bảo trợ sẽ xem xét hợp đồng kiểm định và đề nghị sửa đổi (nếu có).
Nếu cả 3 bên: nhà bảo trợ, ITSEF, BSI hay Private CB đều đồng ý thông qua bản hợp đồng kiểm định sẽ tiến hành ký hợp đồng.
Giai đoạn 2: Thực hiện kiểm định
Nhà bảo trợ sẽ tổ chức phiên họp nhằm giúp cho ITSEF hiểu biết về hồ sơ xin kiểm định cũng như hiểu biết về sản phẩm.
Lập kế hoạch và duyệt kế hoạch kiểm định: ITSEF thành lập các đội kiểm định và xây dựng dự kiến kế hoạch kiểm định sản phẩm sau đó đệ trình lên cơ quan cấp chứng nhận BSI hoặc Private CB. BSI hay Private CB sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát.
Thực hiện kiểm định: Đội kiểm định xem xét hồ sơ sản phẩm và tiến hành kiểm định. Trong quá trình kiểm định có thể đề nghị nhà bảo trợ giải quyết các vấn đề phát sinh trong khi kiểm định. Nếu nhà bảo trợ không đáp ứng các yêu cầu của ITSEF thì sẽ có quyết định dừng việc kiểm định từ BSI hay Private CB.
Các đội kiểm định thực hiện kiểm định và viết báo cáo kỹ thuật về sản phẩm xin kiểm định. Nhóm giám sát làm việc song song và độc lập với các đội kiểm định.
Giai đoạn 3: Cấp chứng nhận và hoàn thành
Sau khi kiểm định, ITSEF sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của Nhà bảo trợ, BSI hay Private CB ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời ITSEF gửi lại báo cáo kỹ thuật kiểm định (ETR) cùng hồ sơ tới nhà bảo trợ.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của nhà bảo trợ, ITSEF sẽ gửi báo cáo kiểm định kỹ thuật cùng Bản sao sản phẩm và các tài liệu có liên quan lên BSI hay Private CB. Đồng thời, nhóm giám sát cũng sẽ gửi báo cáo giám sát lên BSI hay Private CB. BSI hay Private CB căn cứ vào các văn bản trên sẽ tiến hành cấp chứng nhận cho sản phẩm.
01:00 | 05/03/2015
Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế - ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.
06:00 | 07/12/2013
Mô hình đánh giá và cấp chứng nhận ATTT của Mỹ là mô hình kiểm định và phê duyệt theo tiêu chuẩn chung CCEVS (Common Criteria Evaluation and Validation Scheme). Nó đại diện cho phương thức hoạt động của Hiệp hội Bảo đảm Thông tin Quốc gia (National Information Assurance Partnership - NIAP).
06:00 | 06/12/2013
Giới thiệu hệ thống mô hình tổ chức của các đơn vị tham gia vào quá trình đánh giá sản phẩm an toàn thông tin của Cannada.
04:00 | 22/08/2013
Theo đó, phần mềm độc hại được xác định là bất kỳ chương trình bí mật đưa vào một chương trình khác với mục đích làm tổn hại tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống dữ liệu, các ứng dụng hay hệ điều hành của nạn nhân.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
