Mô hình đánh giá an toàn thông tin của Pháp
Cơ quan có thẩm quyền cấp chứng nhận – DCSSI:
DCSSI là cơ quan có thẩm quyền cấp chứng nhận, cơ quan này điều hành hoạt động kiểm định sản phẩm bảo vệ thông tin quốc gia và bảo vệ thông tin của Bộ Quốc phòng. Hàng năm cơ quan này có trách nhiệm báo cáo các hoạt động của quá trình kiểm định cho Ủy ban quản lý.
Cơ quan có thẩm quyền kiểm định (Centres d'évaluation de la sécurité des technologies de l'information – CESTI):
- CESTI của DCSSI có thẩm quyền kiểm định sản phẩm dùng trong chính phủ.
- Các CESTI có thẩm quyền kiểm định sản phẩm dùng trong kinh tế xã hội. Một CESTI muốn trở thành cơ quan có thẩm quyền kiểm định phải có hai điều kiện sau đây:
Phải được COFRAC (Comité français d'accréditation) công nhận năng lực kỹ thuật nói chung
Được DCSSI cấp phép kiểm định sản phẩm an toàn thông tin. Việc cấp phép dựa vào kết quả thẩm định năng lực kiểm định sản phẩm an toàn thông tin do Bộ Quốc phòng và Bộ Công nghiệp thực hiện. Việc thẩm định năng lực kiểm định sản phẩm an toàn thông tin dựa theo tiêu chuẩn AFNOR EN45001 (Association Française de Normalisation Européenne Norme 45001) .
Cơ quan công nhận – COFRAC: Năng lực kỹ thuật nói chung của các cơ quan kiểm định được công nhận bởi cơ quan có thẩm quyền công nhận của Pháp COFRAC.
Quy trình kiểm định sản phẩm
1. Giai đoạn 1: chuẩn bị kiểm định
Xin kiểm định: Nhà phát triển sản phẩm khi có nhu cầu kiểm định sẽ liên hệ Nhà bảo trợ để được hướng dẫn thủ tục, lập hồ sơ kiểm định, cùng các tài liệu có liên quan.
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ phối hợp với nhà phát triển gửi hồ sơ xin kiểm định cho CESTI và nộp đơn xin kiểm định cho DCSSI. Nhà bảo trợ cung cấp các thiết bị phục vụ cho quá trình kiểm định sản phẩm. CESTI có nhiệm vụ kiểm tra hồ sơ xin kiểm định bao gồm: sản phẩm, tài liệu đặc tả TOE, thiết kế TOE, ST, PP, tài liệu test, phân tích điểm yếu, hướng dẫn sử dụng,... Khi hồ sơ đã hợp lệ thì CESTI sẽ đệ trình lên DCSSI. DCSSI sẽ kiểm tra và phê chuẩn đơn xin kiểm định của Nhà bảo trợ.
Xây dựng hợp đồng và ký hợp đồng: CESTI tiến hành lập hợp đồng kiểm định. Nhà bảo trợ sẽ xem xét hợp đồng kiểm định và đề nghị sửa đổi (nếu có). Nếu cả 3 bên: Nhà bảo trợ, CESTI, DCSSI đều đồng ý thông qua Bản hợp đồng kiểm định thì DCSSI sẽ tổ chức một buổi ký hợp đồng kiểm định có sự tham gia của cả 3 bên.
2. Giai đoạn 2- thực hiện kiểm định:
Nhà bảo trợ sẽ tổ chức phiên họp nhằm giúp cho CESTI hiểu biết về hồ sơ xin kiểm định cũng như hiểu biết về sản phẩm đang trong kiểm định.
Lập kế hoạch kiểm định: CESTI thành lập các đội kiểm định và xây dựng dự kiến kế hoạch kiểm định sản phẩm sau đó đệ trình lên cơ quan cấp chứng nhận DCSSI.
Phê chuẩn kế hoạch kiểm định: DCSSI cùng với nhà bảo trợ và CESTI thảo luận và thông qua kế hoạch kiểm định cuối cùng. Sau đó DCSSI sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát.
Yêu cầu bổ sung thông tin: Đội kiểm định kiểm tra hồ sơ sản phẩm và tiến hành kiểm tra an toàn của môi trường phát triển bằng cách yêu cầu được thăm môi trường phát triển sản phẩm của bên phát triển trong thời gian kiểm định hoặc yêu cầu bố sung các tài liệu còn thiếu trong khi kiểm định hoặc đề nghị nhà phát triển giải quyết các vấn đề phát sinh trong khi kiểm định. Nếu phía phát triển không đáp ứng các yêu cầu của CESTI thì DCSSI quyết định dừng việc kiểm định.
Thực hiện kiểm định: Các đội kiểm định thực hiện kiểm định và viết báo cáo kỹ thuật kiểm định đối với sản phẩm xin kiểm định.
Nhóm giám sát độc lập hoàn toàn với các đội kiểm định trong quá trình giám sát và viết báo cáo giám sát.
3. Giai đoạn 3- cấp chứng nhận & hoàn thành:
Khi kiểm định xong, CESTI sẽ xem xét kết quả kiểm định, nếu kết quả kiểm định không đạt theo mức yêu cầu của Nhà bảo trợ, DCSSI ra quyết định dừng việc cấp chứng nhận cho sản phẩm, đồng thời gửi báo cáo kiểm định kỹ thuật, hồ sơ gốc và sản phẩm cho nhà bảo trợ.
Nếu kết quả kiểm định đạt theo mức yêu cầu kiểm định của nhà bảo trợ, CESTI sẽ gửi Báo cáo kỹ thuật kiểm định (ETR) cùng bản sao sản phẩm và các tài liệu có liên quan lên DCSSI đồng thời nhóm giám sát cũng sẽ gửi Báo cáo giám sát lên DCSSI. Căn cứ vào báo cáo kỹ thuật kiểm định và giám sát DCSSI sẽ tiến hành cấp chứng nhận cho sản phẩm.