Khi quyết định một sản phẩm ATAN thì cơ quan/tổ chức nên tìm hiểu, đánh giá và kiểm tra xem liệu sản phẩm đó có hoạt động và vận hành như nó đã được quảng cáo không, điều này sẽ giúp cho cơ quan/tổ chức hiểu rõ, và tự tin hơn khi sử dụng sản phẩm đó sau này. Các câu hỏi sau nhằm giúp cho một cơ quan/tổ chức trong việc quyết định chọn lựa các sản phẩm ATAN
Cơ quan/tổ chức có thể xem xét hiệu quả, tính khả thi dựa trên những câu hỏi sau:
- Sản phẩm có thiết thực trong việc giảm nhẹ rủi ro không?
- Cộng đồng người sử dụng đã được xác định chưa? Số lượng và các dạng người dùng sản phẩm ATAN là gì?
- Mối liên hệ giữa sản phẩm ATAN này và tiêu chí của cơ quan/tổ chức có được hiểu thấu đáo và ghi lại không?
- Cơ quan/tổ chức đã phân loại dữ liệu cần được bảo vệ chưa?
- Các chính sách, thủ tục và kế hoạch bảo mật có hỗ trợ các yêu cầu về bảo mật của cơ quan/tổ chức không?
- Các yêu cầu về bảo mật đã được xác định và so sánh với các đặc điểm kỹ thuật của sản phẩm chưa?
- Khi chọn lọc sản phẩm, cơ quan/tổ chức cần phải nhận xét các nguồn nguy cơ và các chức năng bảo mật cần thiết để giảm nhẹ rủi ro tới mức chấp nhận được - Sản phẩm bảo mật có hài hòa với an toàn an ninh vật lý và các yêu cầu về chính
sách khác không?
- Cơ quan/tổ chức đã lưu ý tới ảnh hưởng của sản phẩm tới môi trường vận hành khi triển khai chưa?
Các nhận xét về sản phẩm
Nên lưu ý các điểm sau:
- Các điểm yếu của sản phẩm đã được kiểm duyệt chưa? - Tất cả các bản vá đã được kiểm tra và cài đặt chưa?
- Khi sản phẩm phát hành phiên bản mới thì đã cân nhắc, đánh giá lại các đặc tính chưa?
35
- Các đặc điểm kỹ thuật của sản phẩm đã được kiểm duyệt và so sánh chưa? (với các chương trình, chính sách, thủ tục, tiêu chuẩn đang có và hoạch định) ví dụ như:
o Chính sách về Web
o Chính sách và chương trình hạ tầng mã khóa công khai (PKI)
o Các chương trình sử dụng thẻ từ
o Các kết nối mạng và các chính sách phê duyệt
- Sản phẩm có lệ thuộc vào tính năng bảo mật của các sản phẩm khác không? (ví dụ hệ điều hành hoặc các môđun mã hóa)
- Khi tích hợp sản phẩm mới vào môi trường hiện tại thì có phát sinh những điểm yếu mới không?
- Mức độ hỏng hóc của sản phẩm là gì? Các biện pháp khắc phục có hiệu quả không?
Các nhận xét về nhà cung cấp
Nên lưu ý các điểm sau:
- Sự lựa chọn một sản phẩm cụ thể có hạn chế các chọn lọc trong tương lai không, ví dụ như những thay đổi, những cải tiến về ATAN?
- Nhà cung cấp/phân phối có kinh nghiệm trong việc sản xuất, cung cấp các sản phẩm ATAN chất lượng cao không?
- Nhà cung cấp có kinh nghiệm gì trong việc khắc phục những lỗ hổng an ninh trong sản phẩm của họ?
- Nhà cung cấp xử lý ra sao với vấn đề về bảo trì phần cứng, phần mềm, hỗ trợ người dùng?
- Nhà cung cấp có các chỉ dẫn về bảo mật và cấu hình đi kèm với sản phẩm không?
36