Mục tiêu chính của CCEVS là thiết lập một chương trình quốc gia về kiểm định dựa vào tiêu chuẩn chung CC. Cấu trúc của mô hình được mô tả như sau:
Hình. Mô hình kiểm định an toàn thông tin Mỹ
Mô hình trên của Mỹ được điều hành bởi Viện Tiêu chuẩn và Công nghệ quốc gia (National Institute of Standards and Technology - NIST) và Cơ quan an ninh quốc gia (National Security Agency - NSA).
Cơ quan công nhận – NIST
Có vai trò nghiên cứu tiêu chuẩn của Bộ Thương mại. Các hoạt động chính của NIST: Điều hành hệ thống công nghệ quốc gia và cung cấp mạng truyền thông cho các nhà sản xuất; Kiểm soát và cải tiến chất lượng sản phẩm của ngành công nghiệp sản xuất và dịch vụ.
Để công nhận năng lực kỹ thuật của các trung tâm kiểm định, NIST đã sử dụng chương trình NVLAP (National Voluntary Laboratory Accreditation Program). NVLAP là một chương trình công nhận phòng Lab đạt các yêu cầu theo tiêu chuẩn ISO/IEC Guide 25.
Cơ quan kiểm định - các CCTL (Common Criteria Test Lab)
Một phòng Lab muốn đạt tiêu chuẩn để kiểm định các sản phẩm an toàn thông tin theo Tiêu chuẩn chung (CC Test Lab) thì nó phải tuân theo chương trình NVLAP và tuân theo các chính sách và được NIAP phê chuẩn.
Một số phòng Lab cho sản phẩm thuộc khu vực kinh tế - xã hội được NIST công nhận như: Booz Allen Hamilton CCTL, COACT, Arca CCTL, Computer Sciences Corp, CyganaCom Solutions, Infogard Laboratories, SAIC CCTL, Criterian Independent Labs, Lockheed Martin IS&S SSO.
Cơ quan cấp chứng nhận
- Thẩm quyền cấp chứng nhận sản phẩm dùng trong chính phủ là Cơ quan an ninh quốc gia (Mỹ) NSA, với các hoạt động:
+ Cấp chứng nhận cho sản phẩm dùng trong chính phủ.
+ Phát triển và kiểm định tiêu chí bảo vệ thông tin.
+ Phát triển và quản lý chương trình bảo vệ thông tin.
- Thẩm quyền cấp chứng nhận sản phẩm thuộc kinh tế xã hội là Hiệp hội bảo đảm thông tin quốc gia NIAP. Nó gồm các thành viên từ NIST và NSA, bao gồm giám sát viên, chuyên viên kỹ thuật, người quản lý, nhân viên và có cả nhân sự theo hợp đồng. NIAP đóng vai trò cấp chứng nhận cho sản phẩm đã qua kiểm định tại CCTL. Các hoạt động chính của NIAP là:
+ Cấp chứng nhận cho sản phẩm dùng trong khu vực kinh tế - xã hội.
+ Phát triển lược đồ cấp chứng nhận, lược đồ kiểm định theo tiêu chuẩn chung CC và cấp giấy phép cho cơ quan có thẩm quyền kiểm định.
+ Giám sát quá trình kiểm định và thực hiện hợp tác quốc tế về lĩnh vực kiểm định sản phẩm an toàn thông tin.
+ Báo cáo kết quả kiểm định và quản lý danh sách sản phẩm đã kiểm định.
+ Hỗ trợ dịch vụ công nghệ cho kiểm định sản phẩm.
+ Phát triển công cụ cho bên phát triển sản phẩm và cơ quan có thẩm quyền kiểm định.
+ Phát triển hồ sơ bảo vệ dựa trên CC và phương pháp kiểm định, phương pháp kiểm tra sản phẩm an toàn thông tin.
+ Phát triển và điều hành chương trình đào tạo và tổ chức các cuộc hội thảo liên quan đến kiểm định sản phẩm.
Quy trình kiểm định sản phẩm
Giai đoạn 1: Chuẩn bị kiểm định
Giai đoạn 2: Thực hiện kiểm định
Bên xin kiểm định, CCTL và đại diện NIAP tiến hành một số cuộc họp nhằm hiểu rõ về sản phẩm cần kiểm định và thống nhất các mốc kiểm định. CCTL xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIAP phê chuẩn.
CCTL thành lập đội kiểm định bao gồm người đứng đầu và những kiểm định viên để kiểm định sản phẩm. NIAP sẽ thành lập một nhóm đảm nhiệm việc giám sát quá trình kiểm định.
Tiến hành kiểm định
Các đội kiểm định của CCTL kiểm định các hồ sơ và sản phẩm theo phương pháp luận kiểm định CC (CEM). Nếu có yêu cầu về các tài liệu cần bố sung thì CCTL sẽ đề nghị nhà phát triển giải quyết các vấn đề phát sinh trong khi kiểm định.
Nhóm kiểm định viết Báo cáo kỹ thuật kiểm định (ETR) sản phẩm.
Giai đoạn 3: Cấp chứng nhận
Khi kiểm định xong, CCTL sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của bên xin kiểm định, CCTL sẽ cùng với NIAP thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời gửi lại Báo cáo kiểm định kỹ thuật, hồ sơ gốc cùng các bản sao hồ sơ xin kiểm định, sản phẩm, tài liệu tới Bên xin kiểm định.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của Bên xin kiểm định, CCTL sẽ gửi kết quả kiểm định là Báo cáo kỹ thuật kiểm định (ETR) lên NIAP để NIAP tiến hành cấp chứng nhận cho sản phẩm.
01:00 | 05/03/2015
Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế - ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.
04:00 | 22/08/2013
Theo đó, phần mềm độc hại được xác định là bất kỳ chương trình bí mật đưa vào một chương trình khác với mục đích làm tổn hại tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống dữ liệu, các ứng dụng hay hệ điều hành của nạn nhân.
02:00 | 26/06/2013
Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.
05:00 | 06/07/2008
Trong nhiều trường hợp, người ta lại cần bằng chứng để chứng minh rằng một tài liệu được kiến tạo sau một thời điểm nào đó hoặc trong một khoảng thời gian xác định. Bằng chứng gắn liền với mốc thời gian đó có thể được gọi là “tem thời gian”.