b. Ngoài phạm vi của CC:
CC không bao hàm phương pháp luận đánh giá, đánh giá module mật mã, những biện pháp đối phó an toàn vật lý và những ứng dụng từ con người như: thủ tục hành chính, việc cấp chứng chỉ, xử lý việc, sắp đặt thủ tục đánh giá, các thủ tục công nhận lẫn nhau kết quả đánh giá của CCRA.
1. Thủ tục hành chính là những quy định về pháp luật, hay đó là hành lang pháp lý của riêng từng quốc gia để đưa ra thủ tục hành chính riêng cho quốc gia đó. Vì vậy, CC là chuẩn chung nên không thể bao hàm hành lang pháp lý riêng của từng quốc gia.
2. Một vấn đề của CC đó là không bao hàm đánh giá các module mật mã, trước đây tiêu chuẩn của Liên bang Nga đã đề cập tới. Vì module mật mã đã có tiêu chuẩn riêng dùng đánh giá nó. Mỹ và Canada đã đưa ra tiêu chuẩn đánh giá các thuật toán mật mã và nó đã chuẩn hóa thành FIPS 140, hiện nay có rất nhiều quốc gia đã tham gia chuẩn này.
2.1.1.2. Định nghĩa SPATCNTT và đích đánh giá TOE
a. Sản phẩm an toàn CNTT:
SPATCNTT là những sản phẩm CNTT (là một thực thể CNTT mà nhà phát triển hoặc chủ nhân đặt giá trị lên nó) như phần cứng (hardware), phần mềm (software), phần sụn (firmware) được tạo ra nhằm bảo vệ an toàn cho chủ thể nào đấy. Đơn giản là những ứng dụng an toàn nào đó được thiết kế cài đặt với những yêu cầu an toàn được đặt ra. Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS …
b. Đích đánh giá TOE:
TOE (Target Of Evaluation): Chính là một phần hoặc SPATCNTT cụ thể khi đưa ra đánh giá, nó bao gồm cả tài liệu đi kèm hướng dẫn đánh giá và sử dụng. TOE là SPATCNTT nguyên thủy, tức bản thân nó phát triển làm nhiệm vụ an toàn chứ không phải là các sản phẩm khi cấu hình, cài đặt để sinh ra an toàn. Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS …
Sản phẩm hoặc hệ thống là đối tượng của việc đánh giá. Việc đánh giá nhằm để xác nhận các tuyên bố về mục tiêu. Để được sử dụng thực tế, việc đánh giá phải xác minh tính năng bảo mật của mục tiêu. Điều này được thực hiện thông qua các biện pháp sẽ trình bày sau đây.
2.1.1.3. Hồ sơ bảo vệ (PP), Đích an toàn (ST) và mối quan hệ giữa chúng.
Đây là những định nghĩa quan trọng nhất ở phần 1 của nội dung CC, nó xuyên suốt quá trình phân tích và đánh giá SPATCNTT, khái niệm PP mãi đến Tiêu chuẩn của Liên bang Mỹ mới đưa ra, mang một ý nghĩa lớn, đột phá trong ngành đánh giá, là cơ sở để CC đưa ra tiếp định nghĩa ST và TOE.
a. Hồ sơ bảo vệ (PP):
Hồ sơ bảo vệ PP là tài liệu chính thức biểu thị một sự thi hành – tập hợp độc lập với những cài đặt, những yêu cầu chức năng an toàn và đảm bảo an toàn. PP là bản tóm tắt các đặc tả những yêu cầu chức năng an toàn và đảm bảo an toàn cần thiết của một dòng SPATCNTT khi gặp những yêu cầu an toàn từ phía người sử dụng. Ví dụ về tính độc lập: PP mô tả một dòng sản phẩm Windows nó hoàn toàn khác với sự mô tả Windows 2003, Windows 2000 hay Windows XP.
PP mô tả hợp lý về các mối đe dọa cần được xác định trước và dự tính phương pháp sử dụng SPATCNTT. Trong khi xây dựng Hồ sơ bảo vệ, việc thêm vào các thuộc tính an toàn phải được cân nhắc kỹ giữa yêu cầu chức năng an toàn và đảm bảo an toàn.
PP ST1 ST2 ST3 TOE1 TOE2 TOE3
Tác giả của PP: tất cả những ai có nhu cầu cần SPATCNTT, như: khách hàng. Đánh giá PP: đánh giá xem liệu PP viết ra là đầy đủ, chắc chắn về mặt kỹ thuật hay chưa. Từ đấy làm cơ sở phát triển khung cho Đích an toàn ST.
b. Đích an toàn (ST – Security Target):
Là tổ hợp hoàn chỉnh của những mục tiêu an toàn, những yêu cầu chức năng an toàn và đảm bảo an toàn, những thuyết minh an toàn được sử dụng làm cơ sở đánh giá nhận dạng TOE.
Là những thi hành đáp lại những yêu cầu đòi hỏi về an toàn trong PP. Việc thi hành hoàn toàn phụ thuộc vào cài đặt và vận hành SPATCNTT cụ thể. Ví dụ: ST của Windows 2003 phụ thuộc vào các dạng thuộc tính an toàn Windows 2003. Cung cấp việc thiết kế hợp nhất những đặc tính, những hàm, những cơ chế an toàn để chống lại những đe dọa, đáp ứng những yêu cầu đòi hỏi trong PP.
ST đi phân tích những yêu cầu an toàn trong PP, hướng PP đến sản phẩm cụ thể là TOE. Dùng để trả lời câu hỏi:
- Bạn cung cấp một giải pháp an toàn như thế nào để đáp ứng những yêu cầu an toàn trong PP?
- Tác giả ST là ai?: Là nhà phát triển.
- Đánh giá ST: tức là đánh giá liệu sự đảm bảo an toàn tồn tại trong TOE có tuân theo chính sách an toàn đích đánh giá TSP (TOE Security Policy). Khảo sát những chức năng an toàn, có đầy đủ và hợp lý không. Kết quả của đánh giá ST là việc đưa ra những mô tả về phạm vi TOE chấp nhận tuân theo những yêu cầu an toàn.
Mối quan hệ giữa PP, ST, TOE: