CC EAL4+ / ICSA / FCC / RoHS มาตรฐานเหล่านี้คืออะไร ?

หลายท่านเมื่ออ่าน Data Sheet ของผลิตภัณฑ์ประเภท IT Enterprise-grade หรือในเอกสารข้อกำหนดโครงงาน (Term of Reference) แล้วเจอการบรรยายคุณสมบัติ เช่น “ผ่านการประเมิน Common Criteria EAL4+”, “ได้รับการรับรองจาก ICSA” หรือ “ผ่านมาตรฐานสินค้า CE, FCC หรือเทียบเท่า” คงมีข้อสงสัยหรือคำถามเกิดขึ้นในใจแน่นอนว่า ตัวอักษรย่อ การรับรอง หรือมาตรฐานเหล่านี้คืออะไร มีความหมายว่าอย่างไร แล้วมันสำคัญขนาดนั้นเลยหรือ

ทางทีมงาน TechTalkThai จึงรวบรวมข้อมูลมาตรฐานเหล่านี้มาเพื่อให้ทุกท่านที่เกี่ยวข้องกับ Enterprise IT ได้เข้าใจถึงความหมายและความสำคัญของมาตรฐานดังกล่าว โดยขอแบ่งออกเป็น 2 ประเภทใหญ่ๆ คือ มาตรฐานความปลอดภัยทางด้าน IT และเครื่องหมายรับรองผลิตภัณฑ์

มาตรฐานความปลอดภัยทางด้าน IT

หลักๆที่เห็นกันบ่อย มีทั้งหมด 3 มาตรฐาน คือ Common Criteria, ICSA และ FIPS 140-2

Common Criteria

คือ ชุดของแนวทางและคุณสมบัติสากลที่ถูกพัฒนาขึ้นเพื่อประเมินผลิตภัณฑ์ทางด้านความปลอดภัยของข้อมูล โดยเน้นความปลอดภัยตามมาตรฐานของรัฐบาล แบ่งเป็น 2 องค์ประกอบหลัก คือ โปรไฟล์การป้องกัน (Protection Profile: PP) และระดับความมั่นใจจากการทดสอบ (Evaluation Assurance Level: EAL)

• PP เป็นตัวกำหนดมาตรฐานของความปลอดภัยสำหรับผลิตภัณฑ์แต่ละประเภท เช่น ไฟร์วอลล์
• EAL เป็นตัวกำหนดความละเอียดในการทดสอบผลิตภัณฑ์ ซึ่งใช้ชี้วัดความมั่นใจของผู้ใช้งานได้ แบ่งเป็นระดับ EAL1 – EAL7 ต่ำสุดไปจนถึงสูงสุด ระดับที่สูงไม่ได้หมายความว่ามีความปลอดภัยสูง แต่ผ่านการทดสอบอย่างละเอียดหลากหลายรูปแบบ

EAL ยิ่งระดับสูงยิ่งใช้เวลานานในการทดสอบ และเสียค่าใช้จ่ายเป็นจำนวนมาก โดยส่วนใหญ่แล้ว หลายผลิตภัณฑ์จึงเลือกทดสอบที่ระดับ 2 ถึง 4 นอกจากนี้ บางกรณีเราอาจเห็นเครื่องหมาย + ต่อท้ายมาตรฐาน เช่น EAL4+ นั่นหมายถึง การทดสอบมีการขยายขอบเขตเพื่อเพิ่มระดับความมั่นใจมากกว่าขอบเขตปกติ สรุป คือ Common Criteria EAL ระดับยิ่งสูงยิ่งดี ซึ่งส่วนใหญ่จะพบสูงสุดที่ EAL4+

รายละเอียดเพิ่มเติม: http://www.commoncriteriaportal.org/

ICSA (International Computer Security Association)

ICSA Labs เป็นหน่วยงานอิสระของ Verizon ก่อตั้งขึ้นมาเมื่อปี 1989 เพื่อให้การรับประกันเทคโนโลยีทางด้านความปลอดภัยและด้านสาธารณสุขแก่ผู้ใช้งานและองค์กรต่างๆ โดย ICSA LAbs จะทำการทดสอบเพื่อชี้วัดความสามารถ, ความน่าเชื่อถือ และประสิทธิภาพ รวมทั้งให้การรับรองมาตรฐานความปลอดภัยแก่ผลิตภัณฑ์ IT ชั้นนำระดับโลก ซึ่งปัจจุบันให้บริการ 4 อย่าง คือ

• การดำเนินการตามสมาคม และการทดสอบและออกใบรับรองตามมาตรฐาน ISO
• ให้บริการการทดสอบสำหรับองค์กรและผู้พัฒนาระบบ
• การทดสอบและออกใบรับรองสำหรับผลิตภัณฑ์ IT ทางด้านสาธารณสุข
• ให้บริการทดสอบตามมาตรฐานของรัฐบาล

ICSA Labs ปัจจุบันให้การทดสอบและออกใบรับรองแก่ผลิตภัณฑ์ทางด้านความปลอดภัย ได้แก่ Anti-virus, Firewall, IPsec VPN, SSL VPN, Cryptography, IPS และอื่นๆ

รายละเอียดเพิ่มเติม: https://www.icsalabs.com/

FIPS 140-2 (Federal Information Processing Standard Publication 140-2)

FIPS 140-2 เป็นมาตรฐานทางด้านความปลอดภัยระบบคอมพิวเตอร์สำหรับโมดูลของการเข้ารหัสของรัฐบาลสหรัฐฯ ออกโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และถูกนำมาใช้ร่วมกับสถาบันเพื่อความปลอดภัยในการสื่อสารของรัฐบาลแคนาดา (CSE)

มาตรฐาน FIPS 140-2 เป็นข้อกำหนดความปลอดภัยของการเข้ารหัสข้อมูลที่ไม่เป็นความลับ (Unclassified Information) ในระบบ IT โดยแบ่งเป็นระดับ 1 – 4 ต่ำสุดไปจนถึงสูงสุด ซึ่งเป็นตัวชี้วัดความสามารถในการเข้ารหัสภายใต้สภาพแวดล้อมและแอพพลิเคชันประเภทต่างๆ ได้แก่ การออกแบบ และติดตั้งโมดูลการเข้ารหัส, อินเตอร์เฟสของโมดูล, ความปลอดภัยของฮาร์ดแวร์, ความปลอดภัยของซอฟต์แวร์, การจัดการ Key, อัลกอริธึมในการเข้ารหัส, การรบกวนและการเข้ากันได้ของคลื่นแม่เหล็กไฟฟ้า (EMI/EMC) เป็นต้น

รายละเอียดเพิ่มเติม: http://csrc.nist.gov/groups/STM/cmvp/standards.html

เครื่องหมายรับรองผลิตภัณฑ์

มีหลากหลายเครื่องหมายรับรองขึ้นอยู่กับประเทศและภูมิภาค ที่พบบ่อย ได้แก่ FCC, CE, UL, RoHS และ VCCI

FCC (Federal Communications Commission)

FCC เป็นข้อกำหนดเกี่ยวกับคลื่นความถี่วิทยุของรัฐบาลสหรัฐฯ ออกโดยคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร เพื่อวางระเบียบให้แก่ อุปกรณ์ประเภทวิทยุ โทรทัศน์ ผู้ให้บริการการสื่อสารระหว่างรัฐ และงานให้บริการระหว่างประเทศที่อยู่ในสหรัฐฯ รวมทั้งคอมพิวเตอร์ที่ผลิตสัญญาณความถี่วิทยุ ซึ่งอาจจะไปรบกวนการกระจายสัญญาณทางธุรกิจ อุปกรณ์คอมพิวเตอร์เหล่านี้ต้องได้รับการรับรองจาก FCC ก่อนที่จะนำเข้ามาขายในประเทศสหรัฐฯ โดยข้อกำหนด FCC จะถูกแบ่งออกเป็น 2 คลาส คือ Class A สำหรับในในงานอุตสาหกรรมหรือด้านธุรกิจ และ Class B สำหรับใช้งานตามบ้าน

รายละเอียดเพิ่มเติม: http://www.fcc.gov/

CE (European Conformity)

เดิมทีใช้ตัวย่อ EC แต่เปลี่ยนมาเป็น CE อย่างเป็นทางการเมื่อปี 1993 เครื่องหมาย CE บนผลิตภัณฑ์คอมพิวเตอร์เป็นเครื่องหมายที่แสดงถึงการรับรองจากโรงงานผลิตว่าเป็นอุปกรณ์ที่มีคุณสมบัติตามข้อกำหนดทางด้านสุขอนามัย ความปลอดภัย และการคุ้มครองสิ่งแวดล้อม ตามกฏหมายและกฏระเบียบที่เกี่ยวข้องของเครือสหภาพยุโรป (EU)

เครื่องหมาย CE ที่กำกับอยู่บนผลิตภัณฑ์เป็นตัวระบุว่าอุปกรณ์ดังกล่าวสามารถวางจำหน่ายและเคลื่อนย้ายอย่างเสรีภายใต้เขตเศรษฐกิจยุโรป (European Economic Area: EAA) ได้ ยกเว้น ประเทศสวิตเซอร์แลนด์ ซึ่งสมาชิกภายในเครือสหภาพยุโรปจะออกกฏหมายภายในประเทศให้สอดคล้องกับกฏระเบียบข้อบังคับของเครือสหภาพยุโรป (EC Directives) ที่เกี่ยวข้องกับการใช้เครื่องหมาย CE

รายละเอียดเพิ่มเติม: http://ec.europa.eu/enterprise/policies/single-market-goods/cemarking/index_en.htm

UL (Underwriters Laboratories)

UL เป็นองค์กรอิสระที่ไม่แสวงหาผลกำไร โดยให้บริการการทดสอบและออกใบรับรองมาตรฐานความปลอดภัยของผลิตภัณฑ์มานานกว่า 100 ปี

UL ทำการประเมินผลิตภัณฑ์, ชิ้นส่วน, วัสดุ และระบบ โดยมีมาตรฐานรองรับไม่น้อยกว่า 1,200 มาตรฐาน จุดประสงค์หลักของ UL คือ การสนับสนุนให้ความเป็นอยู่และสภาพแวดล้อมในการทำงานมีความปลอดภัย โดยใช้วิทยาศาสตร์และวิศวกรรมศาสตร์เกี่ยวกับความปลอดภัย ซึ่งครอบคลุมผลิตภัณฑ์ทางด้านไฟฟ้า, เครื่องมือการแพทย์, เครื่องมือป้องกันอัคคีภัย, ชิ้นส่วนอิเล็คทรอนิกส์, ยาง, สายไฟฟ้า, พลาสติก และอื่นๆ

รายละเอียดเพิ่มเติม: http://www.ul.com/

RoHS (Restriction of Hazardous Substances Directive)

RoHS เป็นมาตรฐานทางด้านสิ่งแวดล้อมตามข้อกำหนดที่ 2002/95/EC ของเครือสหภาพยุโรป (EU) ว่าด้วยเรื่องการใช้สารที่เป็นอันตรายในผลิตภัณฑ์เครื่องใช้ไฟฟ้าและอิเล็คทรอนิกส์ รวมถึงผลิตภัณฑ์ที่ใช้กำลังไฟฟ้าในการทำงาน เช่น โทรทัศน์, วิทยุ, อุปกรณ์ทางด้านคอมพิวเตอร์ เป็นต้น ชิ้นส่วนภายในผลิตภัณฑ์ดังกล่าว ตั้งแต่แผงวงจร, อุปกรณ์อิเล็คทรอนิกส์ จนไปถึงสายไฟ จะต้องผ่านตามข้อกำหนดดังกล่าว

สารที่ถูกจำกัดปริมาณในปัจจุบันมี 6 ชนิด คือ ตะกั่ว (Pb), ปรอท (Hg), แคดเมียม (Cd), เฮกสะวาเลนท์ โครเมียม (Cr⁶⁺), โพลีโบรมิเนต ไบเฟนนิลส์ (PBB) และ โพลีโบรมิเนต ไดเฟนนิล อีเธอร์ (PBDE) โดยต้องมีปริมาณไม่เกิน 0.1% หรือ 1000 ppm โดยน้ำหนัก ยกเว้นแคดเมียมที่ต้องไม่เกิน 0.01% หรือ 100 ppm อย่างไรก็ตาม ก็มีข้อยกเว้นสำหรับผลิตภัณฑ์บางประเภทที่ยังไม่สามารถหาสารอื่นมาใช้ทดแทนได้ หรือสารทดแทนมีอันตรายมากกว่า

รายละเอียดเพิ่มเติม: https://corvalent.com/support/restriction-of-hazardous-substances-directive-rohs/

VCCI (Voluntary Control Council for Interference)

VCCI เป็นมาตรฐานแจ้งเตือนการรบกวนของคลื่นแม่เหล็กไฟฟ้าโดยรัฐบาลญี่ปุ่น สำหรับผลิตภัณฑ์ IT โดยเฉพาะ มาตรฐานนี้ไม่ได้ถูกใช้บังคับ แต่บริษัทส่วนใหญ่ก็นำผลิตภัณฑ์เข้าทดสอบมาตรฐานดังกล่าวเพื่อระบุถึงคุณภาพของผลิตภัณฑ์ ผลิตภัณฑ์ที่เข้ารับทดสอบจะได้กำกับเครื่องหมาย VCCI ซึ่งจะถูกแบ่งเป็น 2 คลาส คือ

• Class B หรือ VCCI-B คือ ผลิตภัณฑ์อาจก่อให้เกิดการรบกวนของคลื่นวิทยุภายใต้สภาพแวดล้อมที่อยู่อาศัยซึ่งมีเครื่องรับวิทยุหรือโทรทัศน์อยู่ในรัศมี 10 เมตร
• Class A หรือ VCCI-A คือ ผลิตภัณฑ์อาจก่อให้เกิดการรบกวนของคลื่นวิทยุภายใต้สภาพแวดล้อมบริเวณที่อยู่อาศัยนอกเหนือขอบเขตของ Class B

รายละเอียเพิ่มเติม: http://www.vcci.jp/vcci_e/index.html