Ngày 19/10, Bộ Thông tin – Truyền Thông, phối hợp với các cơ quan liên quan đã thành lập tổ công tác và có buổi làm việc với Tổng cục Môi trường để đánh giá an toàn hệ thống Công nghệ thông tin của Tổng cục Môi trường.

Trưởng đoàn công tác đánh giá an toàn HTTT của TCMT

Được biết, đảm bảo an toàn hệ thống thông tin là vấn đề mang tính hệ thống, được giải quyết một cách đồng bộ theo các hướng điều chỉnh luật pháp, tổ chức quản lý và sử dụng các phương tiện công nghệ thông tin (CNTT).

Trong đó, một vấn đề có tính then chốt là đánh giá an toàn các phương tiện CNTT đã được tích hợp vào hệ thống. Vậy làm thế nào để nhận biết một hệ thống CNTT là an toàn? Có tồn tại cơ sở để đánh giá một hệ thống CNTT được xây dựng là an toàn hay không?

Thực tiễn trên thế giới chỉ ra rằng đây là vấn đề hoàn toàn không đơn giản, phải trải qua hàng thập kỷ, trên cơ sở nghiên cứu, kiểm nghiệm của nhiều nước, ngày nay người ta mới đi đến thống nhất một tiêu chí để đánh giá an toàn các loại hệ thống này - Đó là “Tiêu chí chung để đánh giá an toàn công nghệ thông tin" (Common Criteria for Information Technology Security Evalution), thường được gọi tắt là “Tiêu chí chung" và kí hiệu là CC. Tiêu chí chung được công bố lần đầu với tư cách là tiêu chuẩn quốc tế (ISO/IEC 15408) vào tháng 12/1999, qua nhiều lần hiệu chỉnh, bổ sung, phiên bản cuối cùng được công bố vào năm 2006 và ngày nay được nhiều nước lấy làm cơ sở để kiểm định và thiết kế hệ thống CNTT. 

Như vậy, sau gần hai thập kỷ, từ tài liệu sơ khai đầu tiên ra đời năm 1973 tại Mỹ, việc xây dựng tiêu chí an toàn CNTT đã đạt được bước tiến dài, nhiều hệ tiêu chí đã được xây dựng. Điều đáng nói là do tính kế thừa, các tiêu chí này chứa những đặc trưng cơ bản chung nhau, đồng thời lại có những đóng góp có tính phát triển. Giữa chúng cũng có những khác biệt nhất định về quan niệm cũng như kỹ thuật. Trong bối cảnh như vậy thì việc hợp nhất các hệ tiêu chí thành hệ tiêu chí chung tạo thuận lợi cho người dùng trên toàn thế giới và giảm được những chi phí không cần thiết là vấn đề có ý nghĩa lớn. Bởi vậy, năm 1990 tổ chức Tiêu chuẩn hóa quốc tế ISO với sự hỗ trợ của các nước Mỹ, Canada, Anh, Pháp, Đức đã tiến hành công việc nói trên. Đến năm 1996, phiên bản CC đầu tiên v 1.0 được công bố, sau đó tháng 12/1999, phiên bản CC thứ hai v 2.1 được chính thức công bố thành Tiêu chuẩn quốc tế ISO /IEC 15408. Các phiên bản hoàn thiện tiếp theo được thực hiện trong giai đoạn 2004 - 2006. Phiên bản CC cuối cùng v.3.1 được công bố vào tháng 12/2006 và ngày nay được đại đa số các nước sử dụng làm cơ sở để đánh giá và thiết kế an toàn hệ thống CNTT.

Phạm vi và đối tượng áp dụng của CC

Nhờ tính khái quát cao, Tiêu chí chung CC có khả năng ứng dụng rộng rãi cho nhiều đối tượng khác nhau, trong đó ba đối tượng chính là người tiêu dùng (người sử dụng sản phẩm CNTT), người phát triển sản phẩm (gọi tắt là người phát triển) và người đánh giá (hay người kiểm định).

Đối với người tiêu dùng, CC hỗ trợ về phương pháp lựa chọn yêu cầu an toàn đáp ứng nhu cầu sử dụng của họ. Kết quả đánh giá sản phẩm cho phép người tiêu dùng quyết định có nên sử dụng sản phẩm hay không. Nhờ tính phân cấp các yêu cầu an toàn trong CC người tiêu dùng có thể so sánh các sản phẩm khác nhau và từ đó có thể lựa chọn cho mình sản phẩm phù hợp.

Đối với người thiết kế, CC hỗ trợ trong việc chuẩn bị đánh giá sản phẩm của mình, cũng như trong việc thiết lập các yêu cầu an toàn mà sản phẩm dự kiến thiết kế cần đáp ứng. CC có thể sử dụng để xác định trách nhiệm và nhiệm vụ trong việc chuẩn bị các hồ sơ trình cơ quan đánh giá và cấp chứng nhận sản phẩm.

Đối với người đánh giá, CC chứa các tiêu chí mà họ có thể sử dụng khi kết luận sự phù hợp của đối tượng đánh giá với các yêu cầu an toàn mà người thiết kế công bố. Trong CC mô tả các hoạt động cơ bản mà người đánh giá phải tiến hành.

Ngoài ra, CC còn là tài liệu tra cứu cho nhưng ai quan tâm đến vấn đề an toàn CNTT cũng như những người chịu trách nhiệm về trạng thái kỹ thuật của thiết bị CNTT, những cán bộ của các cơ quan an ninh chịu trách nhiệm soạn thảo và giám sát chính sánh an toàn, những cơ quan đánh giá có trách nhiệm hướng dẫn và đánh giá trong lĩnh vực an toàn CNTT.

 Mặc dù độ an toàn của sản phẩm CNTT trong một chừng mực đáng kể phụ thuộc vào các biện pháp tổ chức - hành chính như: quản lý nhân sự, bảo vệ vật lý, kiểm tra thực hiện qui định; các thủ tục cấp chứng nhận các sản phẩm CNTT cũng như các vấn đề về tổ chức áp dụng CC, song những vấn đề này không thuộc phạm vi áp dụng của CC. Trong Tiêu chí chung không xem xét trực tiếp các khía cạnh an toàn đặc thù mang tính bảo vệ vật lý như kiểm tra bức xạ điện từ mặc dù một số quan điểm của CC có liên quan đến lĩnh vực này. CC cũng không xem xét chất lượng các thuật toán mật mã, bởi vậy nếu xuất hiện vấn đề đánh giá chất lượng các thuật toán mật mã được tích hợp trong đối tượng đánh giá thì phải xem xét trước vấn đề đánh giá độc lập theo những tiêu chí khác dành cho chúng.

Việc áp dụng CC ở Việt Nam nói chung và TCMT nói riêng

Việc ứng dụng rộng rãi và nhanh chóng CNTT ở nước ta đã đưa bài toán đảm bảo an toàn cho các hệ thống CNTT lên vị trí quan trọng tầm quốc gia, trong đó, việc xây dựng tiêu chuẩn an toàn đóng vai trò then chốt. Vấn đề này cũng được đề cập tới trong nhiều văn bản quản lý của Nhà nước.

Việc xây dựng tiêu chuẩn an toàn thông tin là nhiệm vụ cấp bách của những năm trước mắt và xây dựng Tiêu chuẩn tương thích với tiêu chuẩn quốc tế trong đó có ISO/IEC 15408 là con đường hợp lý. Hơn nữa, CC là tài liệu có tính khái quát và trừu tượng cao, lại không dễ áp dụng vào thực tế nên việc hiểu rõ các nội dung của nó đòi hỏi phải tiến hành những nghiên cứu nhất định. Trên tinh thần đó, Ban Cơ yếu Chính phủ đã tiến hành nghiên cứu về Tiêu chuẩn này trong những năm 2007 - 2009, kết quả nghiên cứu có thể làm căn cứ đề xuất Tiêu chuẩn Việt Nam về đánh giá an toàn CNTT dựa trên ISO/IEC 15408.

Chất lượng đánh giá an toàn sản phẩm CNTT dựa trên CC phụ thuộc vào nhiều yếu tố, trong đó là trình độ và kỹ năng của đội ngũ cán bộ kiểm định và cơ sở vật chất phục vụ hoạt động này như hệ thống phòng thử nghiệm có ý nghĩa quan trọng. Để đẩy mạnh hoạt động đánh giá an toàn hệ thống CNTT, nhiệm vụ trước mắt chúng ta cần thực hiện là:

- Hoàn thiện cơ sở pháp lý bao gồm công bố các tiêu chuẩn Việt nam về đánh giá chất lượng, tiêu chuẩn quản lý an toàn, phương pháp đánh giá và các qui định về hoạt động đánh giá và cấp chứng nhận trong lĩnh vực an toàn thông tin.

- Xây dựng và đào tạo đội ngũ cán bộ trong lĩnh vực kiểm định sản phẩm an toàn thông tin, tăng cường hợp tác quốc tế góp phần đào tạo nguồn nhân lực và tiếp thu tri thức, kinh nghiệm của thế giới trong lĩnh vực này.

 - Nghiên cứu tham gia Thỏa thuận thừa nhận lẫn nhau các kết quả đánh giá sản phẩm an toàn CNTT (The International Mutual Recognition Arrangement - MRA). Việc tham gia MRA là cần thiết và tạo ra nhiều thuận lợi, một phần đáp ứng yêu cầu an toàn trước mắt, mặt khác có thể tránh được những phi tốn liên quan đến việc đánh giá lại các sản phẩm đã được đánh giá bởi các đối tác tin cậy khác .

Một số hình ảnh hoạt động của đoàn công tác: