III.

Common Criteria
1. Lịch sử hình thành

Năm 1993, Mỹ công bố Tiêu chí liên bang về an toàn CNTT (FC - The Federal
Criteria for Information Technology). Canada công bố Hệ tiêu chí an toàn công nghệ
thông tin (The Canadian Trusted Computer Product Evaluation Criteria – CTCPEC).
Cũng trong thời gian này, một số quốc gia khác cung xây dựng hệ tiếu chí an toàn như
Nhật Bản với hệ tiêu chí JCSEC -FR (Japanese Computer Security Evaluation Criteria
-Functionality Requirements).; Khu vực Nam Thái Bình Dương xây dựng hệ tiêu chí
hoàn toàn dựa trên ITSEC.
Gần hai thập kỷ, việc xây dựng tiêu chí an toàn CNTT đã đạt được bước tiến dài,
nhiều hệ tiêu chí được xây dựng. Do tính kế thừa, các tiêu chí này chứa nhưng đặc trưng
cơ bảo chung nhau, đồng thời lại có những đóng góp có tính phát triển. Nhưng mỗi tiêu
chí vẫn có những đặc trưng riêng, điều này làm cho các sản phẩm có thể đạt chuẩn ở
nước này nhưng sang nước khác lại không. Vì vậy, việc hợp nhất các hệ tiêu chí thành hệ
tiêu chí chung tạo thuận lợi cho người dùng trên toàn thế giới và giảm được các chi phí
không cần thiết là vấn đề có ý nghĩa lớn. Năm 1996, phiên bảo CC đầu tiên v1.0 được
công bố.
2. Khái niệm, bố cục và cấu trúc cơ bản của CC
Tiêu chí Chung (CC) là một tiêu chuẩn quốc tế để đánh giá các chức năng bảo mật
của các sản phẩm CNTT. Nó xác định một khuôn khổ cho việc giám sát các đánh giá, cú
pháp để xác định các yêu cầu bảo mật cần được đáp ứng và một phương pháp luận để
đánh giá các yêu cầu đó. Đánh giá CC nhằm cung cấp cho người tiêu dùng một mức độ
đảm bảo độc lập xác định trong hoạt động an toàn của sản phẩm được chứng nhận.
Hồ sơ bảo vệ (Protection Profiles - PP)
Là tài liệu mẫu để xây dựng đích an toàn (ST). Nó giúp nhà phát triển xây dựng hồ
sơ cụ thể cho đối tượng cần được đánh giá, giúp người dùng định hướng vào một nhóm
các yêu cầu an toàn và giúp nhà kiểm định dựa vào đó để đánh giá sản phẩm. Nếu đích an
toàn (ST) được xây dựng cho một đối tượng cụ thể thì PP lại được xây dựng chung cho
một loại đối tượng nào đó. PP mô tả các yêu cầu chung cho các đích đánh giá (TOE) (ví
dụ các thiết bị IDS/IPS, các thiết bị tường lửa, các hệ điều hành,...). PP chứa một tập các
yêu cầu an toàn hoặc từ bộ tiêu chuẩn, hoặc được xác định rõ, trong đó có chứa một cấp
đảm bảo đánh giá (EAL). PP thường được phát triển bởi:

- Một nhà phát triển TOE

- Chính phủ, tập đoàn
- Cộng đồng người dùng
Đích đánh giá (Target Of Evaluation - TOE)
Là sản phẩm CNTT được đưa ra để đánh giá (ví dụ như một tập phần mềm, phần
sụn và/hoặc phần cứng có thể kèm theo hướng dẫn). CC qui định sản phẩm là tập hợp các
phương tiện CNTT thực hiện các chức năng nhất định, được sử dụng trực tiếp hoặc tích
hợp vào hệ thống. Như vậy, sản phẩm theo CC được hiểu là đơn lẻ hoặc là hệ thống, vì
hệ thống là sự khai thác sản phẩm trong các điều kiện cụ thể.
TOE có thể là một sản phẩm CNTT, một phần của một sản phẩm CNTT, một tập
các sản phẩm CNTT,... hoặc một tổ hợp của các thành phần trên. Dó đó, có thể hiểu TOE
chính là sản phẩm CNTT hoặc hệ thống CNTT. TOE có thể đạt được hoặc không đạt
được các yêu cầu an toàn cần thiết mà ST đưa ra đối với nó.
Ví dụ về các TOE là:

- Một ứng dụng phần mềm;

- Một hệ điều hành;

- Một ứng dụng phần mềm kết hợp với một hệ điều hành;

- Một ứng dụng phần mềm kết hợp với một hệ điều hành và một trạm làm việc;

- Một hệ điều hành kết hợp với một trạm làm việc;

- Một mạch tổ hợp thẻ thông minh;

- Một bộ đồng xử lý mật mã của một mạch tổ hợp thẻ thông minh;

- Một mạng cục bộ bao gồm tất cả các đấu nối, máy chủ, thiết bị mạng và phần
mềm;
Một ứng dụng cơ sở dữ liệu ngoại trừ phần mềm máy khách từ xa thường kết hợp
với ứng dụng cơ sở dữ liệu.
Đích an toàn (Security Target - ST)
 Là một tập dữ liệu chứa các yêu cầu an toàn cho một TOE tương ứng. Ngoài ra ST
còn chứa đặc tả về các biện pháp cần thiết cho an toàn về chức năng và biện pháp đảm
bảo cho TOE để thỏa mãn các yêu cầu an toàn đã đặt ra. Đồng thời ST là cơ sở để đánh
giá TOE.
Đích an toàn được xây dựng sau khi phân tích môi trường an toàn, tức là phân tích
các yếu tố đảm bảo cho an toàn như các mối nguy cơ đe dọa an toàn, các quy định và
chính sách an toàn của tổ chức, kinh nghiệm, kỹ năng và kiến thức. Đích an toàn bao
gồm đích an toàn cho đối tượng và đích an toàn cho môi trường. Đích an toàn cho đối
tượng phải có khả năng đối chiếu được với các mối đe dọa an toàn mà có thể đối phó
bằng các phương tiện kỹ thuật của Đích đánh giá hoặc bằng chính sách an toàn của tổ
chức. Đích an toàn cho môi trường cần đối chiếu được với các mối đe dọa mà các
phương tiện kỹ thuật của đối tượng và chính sách an toàn không hoàn toàn có khả năng
chống đỡ.
Các yêu cầu an toàn trong ST có thể tạo thành một tham chiếu tới một hồ sơ bảo
vệ (PP), trực tiếp tham chiếu tới các thành phần chức năng an toàn hoặc thành phần đảm
bảo an toàn.
Như vậy, PP giải thích "cái gì" cần được an toàn thì ST giải thích "làm thế nào".
ST chi tiết hơn và có thể đặc tả nhiều hơn so với PP.
Sử dụng PP/ST
PP là một phát biểu về một tập hợp chung các nhu cầu an toàn. Vì thế PP thường
được sử dụng như là:

- yêu cầu của người tiêu dùng hoặc nhóm người tiêu dùng (chỉ mua một loại sản
phẩm CNTT nào đó nếu nó đáp ứng PP);
- yêu cầu của cơ quan quản lý (chỉ cho phép sử dụng một loại sản phẩm CNTT nếu
nó đáp ứng PP);
- yêu cầu của nhà phát triển sản phẩm CNTT (chỉ phát triển loại sản phẩm CNTT
đáp ứng các yêu cầu PP).
Ghi chú:

- PP chỉ đặc tả về an toàn và không phải là một đặc tả an toàn chi tiết (những mô tả
chi tiết về thuật toán, các cơ chế, các hoạt động chi tiết...)
 - PP là một đặc tả của một kiểu sản phẩm CNTT, không phải là đặc tả của một sản
phẩm đơn lẻ. Sử dụng ST sẽ tốt hơn trong trường hợp muốn đặc tả một sản phẩm
đơn lẻ.
- PP được sử dụng như là "mẫu" của một ST. PP mô tả một tập hợp các nhu cầu của
người sử dụng, trong khi một ST tuân thủ với PP đó mô tả một TOE thỏa mãn
những nhu cầu đó.
- Một PP cũng có thể được sử dụng như là một mẫu cho một PP khác. Có nghĩa là
một PP có thể tuyên bố tuân thủ các PP khác. Trường hợp này là hoàn toàn tương
tự như trường hợp một ST so với một PP.
Yêu cầu chức năng an toàn (Security Functional Requirements - SFRs)
Xác định các chức năng an toàn cá nhân có thể được cung cấp bởi một sản phẩm.
Tiêu chuẩn chung đưa ra một danh mục tiêu chuẩn các chức năng như vậy. Ví dụ: SFR có
thể nêu rõ người dùng có vai trò cụ thể có thể được xác thực như thế nào. Danh sách các
SFRs có thể khác nhau từ đánh giá này sang đánh giá tiếp theo, ngay cả khi hai đích là
cùng một loại sản phẩm.
Yêu cầu đảm bảo an toàn (Security Assurance Requirements - SARs)
Mô tả các biện pháp được thực hiện trong quá trình phát triển và đánh giá sản
phẩm để đảm bảo tuân thủ chức năng an toàn được yêu cầu. Ví dụ, một đánh giá có thể
yêu cầu tất cả các mã nguồn được giữ trong một hệ thống quản lý thay đổi hoặc kiểm tra
đầy đủ chức năng được thực hiện. Tiêu chí chung cung cấp một danh mục các yêu cầu
này và các yêu cầu có thể khác nhau từ đánh giá này sang đánh giá tiếp theo. Yêu cầu đối
với các mục tiêu cụ thể hoặc các loại sản phẩm được ghi lại trong ST và PP tương ứng.
Mức đảm bảo đánh giá (Evaluation Assurance Level - EAL)
Tiêu chí chung phân ra 7 mức đảm bảo đánh giá từ EAL 1 đến EAL 7, cho thấy độ
sâu và độ nghiêm ngặt của việc đánh giá an toàn. Trong đó EAL 1 là cơ bản nhất (và do
đó chi phí rẻ nhất để thực hiện và đánh giá) và EAL 7 là mức nghiêm ngặt nhất (và tốn
kém nhất).
Mức đảm bảo trong tiêu chí chung
EAL1 Kiểm thử chức năng
EAL2 Kiểm thử cấu trúc
EAL3 Kiểm tra và kiểm thử có phương pháp
EAL4 Thiết kế, kiểm thử và soát xét có phương pháp
EAL5 Thiết kế và kiểm thử bán chính thức
EAL6 Thiết kế và kiểm thử được xác nhận hợp lệ bán chính thức
EAL7 Thiết kế và kiểm thử được xác nhận hợp lệ chính thức
 So sánh mức đảm bảo
Common Criteria EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7
ITSEC (Europe) - E1 E2 E3 E4 E5 E6
TCSEC (U.S.) D C1 C2 B1 B2 B3 A1

Tiêu chí chung CC thường được bố cục gồm ba nội dung chính:
Nội dung 1: Giới thiệu các quan điểm và nguyên tắc chung đánh giá tính an toàn
của sản phẩm CNTT cũng như mô hình đánh giá tổng quát; giới thiệu các cấu trúc cơ bản
như Đối tượng đánh giá (TOE), Hồ sơ bảo vệ (PP), Mục tiêu an toàn (ST), các yêu cầu
tuân thủ, định nghĩa vấn đề an toàn.
Nội dung 2: “Các yêu cầu chức năng về an toàn”, giới thiệu một cách tổng thể và
hệ thống danh mục các yêu cầu chức năng an toàn và xem xét khả năng chi tiết hóa
chúng cũng như khả năng mở rộng chúng theo một qui tắc nhất định.
Nội dung 3: “Các yêu cầu đảm bảo an toàn” giới thiệu hệ thống danh mục các yêu
cầu đảm bảo an toàn, những yêu cầu này xác định các biện pháp phải được chấp nhận
trên tất cả các giai đoạn chu kỳ sống của sản phẩm CNTT để đảm bảo rằng chúng đáp
ứng các yêu cầu chức năng đã được xác định.
3. Phạm vi và đối tượng áp dụng của CC
Nhờ tính khái quát cao, Tiêu chí chung CC có khả năng ứng dụng rộng rãi cho nhiều đối
tượng khác nhau, trong đó ba đối tượng chính là người tiêu dùng (người sử dụng sản
phẩm CNTT), người phát triển sản phẩm (gọi tắt là người phát triển) và người đánh giá
(hay người kiểm định).
Đối với người tiêu dùng, CC hỗ trợ về phương pháp lựa chọn yêu cầu an toàn đáp ứng
nhu cầu sử dụng của họ. Kết quả đánh giá sản phẩm cho phép người tiêu dùng quyết định
có nên sử dụng sản phẩm hay không. Nhờ tính phân cấp các yêu cầu an toàn trong CC
người tiêu dùng có thể so sánh các sản phẩm khác nhau và từ đó có thể lựa chọn cho
mình sản phẩm phù hợp.
Đối với người thiết kế, CC hỗ trợ trong việc chuẩn bị đánh giá sản phẩm của mình, cũng
như trong việc thiết lập các yêu cầu an toàn mà sản phẩm dự kiến thiết kế cần đáp ứng.
CC có thể sử dụng để xác định trách nhiệm và nhiệm vụ trong việc chuẩn bị các hồ sơ
trình cơ quan đánh giá và cấp chứng nhận sản phẩm.
Đối với người đánh giá, CC chứa các tiêu chí mà họ có thể sử dụng khi kết luận sự phù
hợp của đối tượng đánh giá với các yêu cầu an toàn mà người thiết kế công bố. Trong CC
mô tả các hoạt động cơ bản mà người đánh giá phải tiến hành.
4. Việc áp dụng CC ở Việt Nam
Chất lượng đánh giá an toàn sản phẩm CNTT dựa trên CC phụ thuộc vào nhiều yếu tố,
trong đó là trình độ và kỹ năng của đội ngũ cán bộ kiểm định và cơ sở vật chất phục vụ
hoạt động này như hệ thống phòng thử nghiệm có ý nghĩa quan trọng. Để đẩy mạnh hoạt
động đánh giá an toàn hệ thống CNTT, nhiệm vụ trước mắt chúng ta cần thực hiện là:
- Hoàn thiện cơ sở pháp lý bao gồm công bố các tiêu chuẩn Việt nam về đánh giá chất
lượng, tiêu chuẩn quản lý an toàn, phương pháp đánh giá và các qui định về hoạt động
đánh giá và cấp chứng nhận trong lĩnh vực an toàn thông tin.
- Xây dựng và đào tạo đội ngũ cán bộ trong lĩnh vực kiểm định sản phẩm an toàn thông
tin, tăng cường hợp tác quốc tế góp phần đào tạo nguồn nhân lực và tiếp thu tri thức, kinh
nghiệm của thế giới trong lĩnh vực này.
- Nghiên cứu tham gia Thỏa thuận thừa nhận lẫn nhau các kết quả đánh giá sản phẩm an
toàn CNTT (The International Mutual Recognition Arrangement - MRA). Việc tham gia
MRA là cần thiết và tạo ra nhiều thuận lợi, một phần đáp ứng yêu cầu an toàn trước mắt,
mặt khác có thể tránh được những phi tốn liên quan đến việc đánh giá lại các sản phẩm
đã được đánh giá bởi các đối tác tin cậy khác .