Theo các quy định hiện hành của Luật An toàn thông tin mạng và các văn bản hướng dẫn của Chính phủ, của Bộ Thông tin và Truyền thông thì các sản phẩm an toàn thông tin mạng phải được thực hiện quản lý dưới các hình thức chứng nhận hợp quy, công bố hợp quy, cấp giấy phép nhập khẩu. Để thực hiện những nội dung quản lý này thì việc quy định các tiêu chuẩn áp dụng cho sản phẩm an toàn thông tin mạng là hết sức cần thiết.

Triển khai Luật An toàn thông tin mạng, Bộ Thông tin và Truyền thông đã tổ chức nghiên cứu về định hướng tiêu chuẩn an toàn thông tin cho sản phẩm công nghệ thông tin và xây dựng các TCVN để đánh giá an toàn thông tin của sản phẩm, tuy nhiên chưa có những nghiên cứu cụ thể về áp dụng tiêu chuẩn cho sản phẩm an toàn thông tin mạng nhằm xây dựng các văn bản quản lý các sản phẩm an toàn thông tin mạng phù hợp với mục tiêu quản lý và tình hình thực tiễn. Đây chính là mục tiêu và nội dung nghiên cứu của đề tài “Nghiên cứu đề xuất danh mục tiêu chuẩn áp dụng cho sản phẩm an toàn thông tin mạng tại Việt Nam” do ThS. Đỗ Mạnh Hùng cùng nhóm nghiên cứu tại Viện Công nghệ Thông tin và Truyền thông CDIT thực hiện năm 2018.

Đề tài đã thu được những kết quả sau:

1) Đã đề xuất cụ thể về các sản phẩm an toàn thông tin mạng thuộc diện quản lý của Bộ Thông tin và Truyền thông (theo các phân nhóm) làm cơ sở để xây dựng các quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật cho phù hợp.

2) Đã nghiên cứu, xác định các tiêu chuẩn quốc tế áp dụng cho sản phẩm an toàn thông tin mạng, cụ thể là tiêu chuẩn tiêu chí chung CC (ISO/IEC 15408) và các tài liệu PP, ST để đánh giá, chứng nhận và một số tiêu chuẩn tiêu chí đánh giá của các tổ chức độc lập như ICSA Labs (US), CPA (UK), OWASP...

3) Đã đề xuất phương án áp dụng tiêu chuẩn cho sản phẩm an toàn thông tin mạng của Việt Nam và đề xuất danh mục tiêu chuẩn áp dụng phù hợp.

Thông qua kết quả của nhiệm vụ này, các tác giả khuyến nghị các cơ quan quản lý của Bộ Thông tin và Truyền thông xem xét, xây dựng các quy định về áp dụng tiêu chuẩn cho sản phẩm an toàn thông tin mạng: Quy định về danh mục sản phẩm an toàn thông tin mạng phải áp dụng tiêu chuẩn/chứng nhận hợp quy/công bố hợp quy/có giấy phép nhập khẩu phù hợp với mục tiêu quản lý và có tính khả thi;  quy định về đánh giá, chứng nhận hợp quy trên cơ sở sử dụng chứng nhận của CCRA hoặc các tổ chức có năng lực trong nước, nước ngoài; và nghiên cứu xây dựng bổ sung các TCVN về hồ sơ bảo vệ trên cơ sở tham khảo hồ sơ bảo vệ của CCRA, hồ sơ bảo vệ của các nước phát triển hoặc tiêu chuẩn của tổ chức chứng nhận độc lập như ICSA Labs, CPA, OWASP... có tính đến đặc thù và yêu cầu quản lý của Việt Nam.

Có thể tìm đọc toàn văn Báo cáo kết quả nghiên cứu của Đề tài (Mã số 15659) tại Cục Thông tin Khoa học và Công nghệ Quốc gia.

N.P.D (NASATI)