:quality(75)/estore-v2/img/fptshop-logo.png){kind=logo}
:quality(75)/Chung_nhan_tieu_chuan_Common_Criteria_CC_e4acb25163.jpg)
:quality(75)/2023_10_9_638324694904769751_ava_ae16eac439.jpg){kind=small}
Tìm hiểu về chứng nhận tiêu chuẩn Common Criteria (CC) - Chứng nhận bảo mật quan trọng trên các thiết bị CNTT
Chứng nhận tiêu chuẩn Common Criteria (CC) là một tiêu chuẩn mà bạn sẽ rất thường gặp trên các sản phẩm công nghệ thông tin như máy tính hay điện thoại thông minh. Vậy chứng nhận này có ý nghĩa gì?
Trong bài này sẽ cùng bạn tìm hiểu về định nghĩa của chứng nhận tiêu chuẩn Common Criteria (CC), và vai trò của chứng nhận này trong quá trình đánh giá các sản phẩm công nghệ thông tin hiện nay.
Chứng nhận tiêu chuẩn Common Criteria (CC) là gì?
Chứng nhận tiêu chuẩn Common Criteria (CC) là một tiêu chuẩn toàn cầu (ISO / IEC 15408) về chứng nhận bảo mật máy tính, được công nhận ở 31 quốc gia trên toàn thế giới. Tiêu chuẩn này được nâng cao liên tục và hiện đang ở phiên bản 3.1.
Chứng nhận này có tên nguyên văn là Tiêu chí chung về đánh giá bảo mật công nghệ thông tin, thường được gọi ngắn gọn hơn là Chứng nhận tiêu chuẩn Common Criteria (CC), Tiêu chuẩn chung CC hoặc Chứng nhận CC.
Chứng nhận tiêu chuẩn Common Criteria (CC) gồm các yếu tố gì?
Chứng nhận tiêu chuẩn Common Criteria bao gồm nhiều khái niệm chuyên ngành liên quan đến bảo mật, có thể được giải thích ngắn gọn như sau:
- Mục tiêu đánh giá (TOE): Sản phẩm hoặc hệ thống cần đánh giá
- Hồ sơ bảo vệ (PP): Một tài liệu do người dùng hoặc cộng đồng người dùng tạo ra nhằm xác định các yêu cầu bảo mật cho một lớp thiết bị bảo mật có liên quan đến người dùng đó, và đáp ứng một mục đích cụ thể.
- Mục tiêu bảo mật (ST): Tài liệu xác định các thuộc tính bảo mật của mục tiêu đánh giá (TOE).
- Yêu cầu chức năng bảo mật (SFR): Chỉ định các chức năng bảo mật độc lập có thể được cung cấp bởi một sản phẩm.
- Yêu cầu đảm bảo an ninh (SAR): Các biện pháp được thực hiện trong quá trình phát triển và đánh giá sản phẩm, để đảm bảo sản phẩm này tuân thủ chức năng bảo mật được yêu cầu.
- Mức độ đảm bảo đánh giá (EAL): Xếp hạng độ sâu và tính nghiêm ngặt của đánh giá. Hiện EPL có 7 cấp độ, 1 là mức cơ bản nhất và 7 là mức nghiêm ngặt nhất.
Hiện nay hầu hết các hồ sơ bảo vệ (TT) và mục tiêu bảo mật (ST) được áp dụng cho các sản phẩm công nghệ thông tin như tường lửa, hệ điều hành, thẻ thông minh (thẻ gắn chip).
Chứng nhận tiêu chuẩn Common Criteria (CC) có ý nghĩa gì?
Tiêu chuẩn CC là một khuôn khổ mà trong đó người dùng có thể chỉ định các yêu cầu về chức năng bảo mật (SFR) và yêu cầu đảm bảo an ninh (SAR) trong mục tiêu bảo mật (ST). Các yêu cầu này có thể được lấy từ hồ sơ bảo vệ (PP).
Các nhà cung cấp có thể tự thực hiện hoặc đưa ra tuyên bố về các thuộc tính bảo mật mà sản phẩm của mình sở hữu. Các phòng thí nghiệm cũng có thể đánh giá các sản phẩm để xác định xem chúng có đáp ứng các tuyên bố của nhà sản xuất hay không.
Nói một cách dễ hiểu hơn, chứng nhận tiêu chuẩn Common Criteria (CC) cho thấy một sản phẩm công nghệ thông tin đã trải qua một quá trình đánh giá nhất quán và nghiêm ngặt, tuân theo tiêu chuẩn chung ISO / IEC 17065 để đáp ứng tính bảo mật, và có thể tiếp tục đáp ứng trong môi trường sử dụng phổ thông.
Một ví dụ điển hình là thương hiệu Samsung với sản phẩm Samsung Knox - một giải pháp bảo mật hàng đầu của hãng. Samsung Knox hiện đã đạt được chứng nhận CC trong suốt 10 năm liên tiếp và được Samsung cải thiện liên tục qua từng năm để trang bị cho hàng loạt các sản phẩm công nghệ của hãng, bao gồm điện thoại thông minh, tivi thông minh, máy tính bảng,...
Với chứng nhận CC, Samsung Knox trên tivi đảm bảo 3 tính năng bảo mật cốt lõi gồm giám sát hệ điều hành Tizen OS, chặn trang web lừa đảo, và bảo vệ thông tin cá nhân người dùng.
Xem thêm: ASTM là gì? Khám phá các lĩnh vực áp dụng tiêu chuẩn ASTM
Chứng nhận tiêu chuẩn Common Criteria (CC) có giá trị quốc tế không?
Trên thực tế, chứng nhận CC có thể được thực hiện tại các quốc gia khác nhau với các quy trình cụ thể khác nhau. Tuy nhiên theo hiệp ước Tiêu chí chung MRA (Thỏa thuận công nhận lẫn nhau) - hiện đã đổi tên thành Thỏa thuận Công nhận Tiêu chí Chung (CCRA), các bên ký hiệp ước sẽ công nhận tính hợp lệ của đánh giá do các bên khác thực hiện.
Ví dụ một sản phẩm đạt được chứng nhận CC do Canada phê duyệt thì chứng nhận CC này vẫn có giá trị khi sản phẩm được bán và hoạt động tại Hoa Kỳ.
Danh sách các thành viên CCRA hiện vẫn đang tiếp tục mở rộng.
Lưu ý về chứng nhận tiêu chuẩn Common Criteria (CC)
Một điều người dùng cần lưu ý, chứng nhận CC không có nghĩa sản phẩm đó có thể chống lại 100% mọi hành vi tấn công bảo mật như bẻ khóa, hack,... Tuy nhiên, chứng nhận CC cho thấy sản phẩm đã trải qua một quá trình đánh giá nghiêm ngặt và được xác minh độc lập bởi các cơ quan uy tín, nên người dùng có thể tin tưởng ở mức độ cao.
Tạm kết
Chứng nhận tiêu chuẩn Common Criteria (CC), gọi tắt là chứng nhận CC, là một tiêu chuẩn toàn cầu thể hiện tính bảo mật toàn diện của một sản phẩm công nghệ công nghệ thông tin. Sản phẩm đạt được chứng nhận CC cho thấy nó có tính bảo mật cao và người dùng có thể an tâm sử dụng.
Tivi thông minh của Samsung không những sở hữu Samsung Knox đạt tiêu chuẩn CC, mà còn có màn hình sắc nét và hệ thống âm thanh đỉnh cao, đem đến cho bạn giải pháp giải trí đa phương tiện tại nhà. Ghé ngay FPT Shop để tham quan và mua sắm nhé.
Xem thêm:
