Tiêu chuẩn Common Criteria (ISO 15408) thường được nhắc đến như một phương pháp kiểm định ATTT uy tín nhất. Tuy nhiên, tiêu chuẩn này có nhược điểm là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trong những sản phẩm công nghệ mới. Một dự án triển khai theo Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả phương pháp kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức rất đáng kể vì phiên bản sản phẩm kiểm định xong rất có thể không còn được ứng dụng.
Ngoài ra, Common Criteria còn có điểm yếu về quản lý sự thay đổi (change management). Một thay đổi nhỏ trên sản phẩm thường đòi hỏi một lượng công việc đáng kể để giữ được giá trị của chứng chỉ.
Đáp ứng với sự bùng nổ của các ứng dụng IoT và điện toán đám mây, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định ATTT linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là Certification de Sécurité de Premier Niveau (CSPN). Phương pháp này được triển khai tại Pháp từ năm 2008 và đang được các nước lân cận như Đức, Hà Lan và Tây Ban Nha áp dụng.
Một dự án CSPN thường không kéo dài quá 8 tuần, tập trung vào quá trình pentest và giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day), trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm. Quá trình quản lý các phiên bản mới của sản phẩm cũng linh hoạt hơn, phương pháp này sẽ tập trung vào bước pentest các thay đổi đối với các chức năng an toàn của sản phẩm.
Đặc biệt, phương pháp CSPN cho phép kiểm định cùng lúc một nhóm các sản phẩm có nhiều chức năng giống nhau, như các sản phẩm có cùng phần cứng nhưng phần mềm chứa những chức năng phục vụ những thị trường khác nhau. Hoặc nhóm sản phẩm có phần cứng chỉ khác nhau ở những bộ phận không liên quan đến an toàn thông tin. Các sản phẩm trong cùng nhóm có thể được kiểm định và cấp chứng chỉ trong cùng lúc cho phép tiết kiệm thời gian và chi phí. Bảng 1 tóm tắt những khác biệt chính giữa hai phương pháp kiểm định ATTT là Common Criteria và CSPN.
Cũng như các phương pháp kiểm định độc lập khác, việc triển khai CSPN đòi hỏi sự phối hợp nhuần nhuyễn của ba đơn vị: cơ quan pháp triển sản phẩm (Vendor), cơ quan kiểm định (ITSEF) và cơ quan Nhà nước phụ trách trực tiếp cấp chứng chỉ (ANSSI).
Cơ quan phát triển sản phẩm: Cơ quan này chịu trách nhiệm lập hồ sơ đăng ký kiểm định và cung cấp các thông tin đầu vào cần thiết cho dự án (xem thêm Bảng 1), đồng thời sẽ chịu toàn bộ chi phí kiểm định và có quyền dừng dự án CSPN tại bất kỳ thời điểm nào.
Cơ quan kiểm định: Cơ quan kiểm định chịu trách nhiệm thực hiện các bước kiểm định theo phương pháp CSPN. Để thực hiện được kiểm định, cơ quan này phải có đủ các kỹ năng cần thiết để kiểm định sản phẩm, đặc biệt là các kỹ năng pentest. Yêu cầu này dẫn tới việc mỗi cơ quan kiểm định thường chỉ được công nhận trên một số lĩnh vực sản phẩm nhất định. Để được công nhận chính thức, cơ quan kiểm định phải vượt qua các kỳ kiểm tra (audit) do ANSSI tổ chức hai năm một lần.
Cơ quan cấp chứng chỉ: ANSSI – cơ quan đặc trách về an toàn thông tin của chính phủ Pháp chịu trách nhiệm xây dựng và cập nhật phương pháp CSPN cũng như cấp chứng chỉ cho các sản phẩm đáp ứng đủ các tiêu chuẩn an toàn. ANSSI cũng đảm đương chức năng kiểm tra và công nhận những cơ quan có đủ khả năng kiểm định ATTT (ITSEF accreditation).
Kết luận
CSPN là một điển hình về một phương pháp kiểm định ATTT linh hoạt, hiệu quả với chi phí thấp cho các sản phẩm có vòng đời ngắn như IoT. Mỗi năm có hàng trăm dự án kiểm định và được cấp chứng chỉ. Điều này đóng góp quan trọng vào việc cải thiện độ tin cậy của người dùng tại châu Âu.
Đối với nước ta, CSPN hoàn toàn có thể là một lựa chọn tối ưu cho một sơ đồ kiểm định ATTT hiệu quả. Phương pháp CSPN có thể được triển khai từng bước, ưu tiên các mảng sản phẩm thiết yếu như phần mềm VPN, ứng dụng ngân hàng điện tử, thiết bị nhà thông minh (như camera giám sát)…. Triển khai phương pháp CSPN sẽ đóng góp đáng kể vào việc nâng cao kỹ năng an toàn thông tin cho doanh nghiệp trong nước, từ cơ quan kiểm định đến các doanh nghiệp phát triển sản phẩm, đồng thời bảo vệ người tiêu dùng Việt Nam trước các sản phẩm có độ an toàn thấp.
