THUYẾT MINH DỰ THẢO TCQG CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN TOÀN – CHỌNLỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁTHIỆN VÀ NGĂN CHẶN XÂM NHẬP
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (225.48 KB, 33 trang )
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
--------
THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN TOÀN – CHỌN
LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT
HIỆN VÀ NGĂN CHẶN XÂM NHẬP
HÀ NỘI, NĂM 2017
MỤC LỤC
1. Tên gọi và ký hiệu Tiêu chuẩn Việt Nam...................................................................3
2. Đặt vấn đề..................................................................................................................3
2.1. Tình hình tiêu chuẩn hố trong nước và ngồi nước...........................................3
2.1.1. Tình hình tiêu chuẩn hố trong nước............................................................3
2.1.2 Tình hình tiêu chuẩn hố quốc tế.................................................................14
2.2. Lý do xây dựng tiêu chuẩn................................................................................20
2.3. Mục đích xây dựng tiêu chuẩn..........................................................................22
2.4. Vai trò của ISO/IEC 27031:2011 trong bộ ISO/IEC 27000..............................22
3. Sở cứ xây dựng tiêu chuẩn.....................................................................................23
3.1. Lựa chọn tiêu chuẩn tham chiếu........................................................................23
3.2. Phương pháp xây dựng tiêu chuẩn....................................................................24
3.3. Phạm vi áp dụng và khả năng áp dụng tiêu chuẩn tại Việt Nam.......................24
3.3.1 Phạm vi áp dụng..........................................................................................24
3.3.2 Khả năng áp dụng tiêu chuẩn tại Việt Nam.................................................24
4. Nội dung dự thảo tiêu chuẩn kỹ thuật..................................................................26
4.1 Giới thiệu nội dung của Dự thảo tiêu chuẩn.......................................................26
4.2 Cấu trúc và nội dung của Dự thảo tiêu chuẩn....................................................28
4.3. Bảng đối chiếu tiêu chẩn viện dẫn....................................................................29
5. Kết luận và kiến nghị..............................................................................................32
5.1 Kiến nghị............................................................................................................32
5.2 Kết luận..............................................................................................................32
6. Thư mục tài liệu tham khảo..........................................................................................32
2
1. Tên gọi và ký hiệu Tiêu chuẩn Việt Nam
Tên dự thảo Tiêu chuẩn quốc gia: “Công nghệ thông tin - Kỹ thuật an toàn - Chọn
lựa, triển khai và vận hành hệ thống phát hiện và ngăn chặn xâm nhập”
Mã số: TCVN ISO/IEC xxxx:yyyy
2. Đặt vấn đề
2.1. Tình hình tiêu chuẩn hố trong nước và ngồi nước
2.1.1. Tình hình tiêu chuẩn hoá trong nước
Hiện nay ở Việt Nam đã có nhiều cơ quan tổ chức thực hiện áp dụng các tiêu chuẩn
về an tồn thơng tin (bộ tiêu chuẩn về quản lý an tồn thơng tin ISO/IEC 27000, tiêu
chuẩn về đánh giá an tồn thơng tin TCVN 8709:2011 (ISO/IEC 15408)) để xây dựng
quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông
tin.
Bộ Thông tin và Truyền thông hiểu rõ điều này và đã có nhiều
biện pháp hỗ trợ cơ quan nhà nước, doanh nghiệp trong việc cung cấp tư vấn, giúp đỡ
quá trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 và điển hình là thực
hiện dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng chỉ ISO 27001”. Kết quả
của dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàng
chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng chỉ ISO
27001.
Ngồi ra Bộ Thơng tin và Truyền thông đẩy mạnh việc xây dựng và ban hành các
tiêu chuẩn về an tồn thơng tin như dự án 31 tiêu chuẩn về an tồn thơng tin và một số
các tiêu chuẩn về an tồn thơng tin được thực hiện dưới dạng đề tài nghiên cứu.
Một số tiêu chuẩn về cơng nghệ thơng tin nói chung và các tiêu chuẩn về an
tồn thơng tin nói riêng đã được ban hành thành Tiêu chuẩn quốc gia (08 Tiêu
chuẩn).
a) Tiêu chuẩn TCVN ISO/IEC 27001:2009
3
TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng
tin – Các u cầu”.
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005
“Information technology – Security techniques – Information security management
system” do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng và
được ban hành TCVN năm 2009 gồm các nội dung cụ thể như sau:
- Phạm vi áp dụng
- Tài liệu viện dẫn
- Thuật ngữ và định nghĩa
- Hệ thống quản lý an tồn thơng tin
- Trách nhiệm của ban quản lý
- Kiểm toán nội bộ hệ thống ISMS
- Soát xét của ban quản lý đối với hệ thống ISMS
- Cải tiến hệ thống ISMS
- 03 phụ lục tham khảo
a) Tiêu chuẩn TCVN ISO/IEC 27002:2011
TCVN ISO/IEC 27002:2011 “Cơng nghệ thơng tin – Các kỹ thuật an tồn - Quy tắc
thực hành quản lý an tồn thơng tin”.
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005
“Information technology – Security techniques – Code of practice for infomation
security management” được Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm
2011 gồm các nội dung cụ thể như sau:
- Phạm vi áp dụng
- Thuật ngữ và định nghĩa
4
- Đánh giá và xử lý rủi ro
- Chính sách an tồn thơng tin
- Tổ chức đảm bảo an tồn thơng tin
- Quản lý tài sản
- Đảm bảo an tồn thơng tin từ nguồn nhân lực
- Đảm bảo an tồn vật lý và môi trường
- Quản lý truyền thông và vận hành
- Quản lý truy cập
- Tiếp nhận, phát triển và duy trì các hệ thống thơng tin
- Quản lý sự cố an tồn thơng tin
- Quản lý sự liên tục của hoạt động nghiệp vụ
- Sự tuân thủ
c) Bộ tiêu chuẩn về Các tiêu chí đánh giá an tồn CNTT (03 phần).
Do Trung tâm VNCERT - Bộ thông tin và Truyền thông xây dựng.
TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí
đánh giá an toàn CNTT - Phần 1: Giới thiệu và mơ hình tổng qt".
Tiêu chuẩn này hồn tồn tương đương với tiêu chuẩn quốc tế ISO/IEC 154081:2009 " Information Technology – Security Techniques – Evaluation Criteria for IT
Security –Part 1: Introduction and General Model". Tiêu chuẩn này được ban hành
TCVN năm 2011, nội dung của tiêu chuẩn này cho phép thực hiện so sánh các kết quả
đánh giá an toàn độc lập, cung cấp một tập các yêu cầu về chức năng an toàn cho các sản
phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu
trong quá trình đánh giá an tồn. Các sản phẩm CNTT này có thể dưới dạng phần cứng,
phần mềm, phần sụn. Ngoài ra tiêu chuẩn này còn đánh giá giá thiết lập một mức tin cậy
về các chức năng an toàn toàn cho các sản phẩm và hệ thống CNTT, về các biện pháp
5
đảm bảo áp dụng mà thoả mãn các yêu cầu nêu trên. Các kết quả đánh giá có thể giúp
người dùng xác định xem sản phẩm hoặc hệ thông thống CNTT có thoả mã các u cầu
an tồn đưa ra hay không?
TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí
đánh giá an tồn CNTT - Phần 2: Các thành phần chức năng an toàn".
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 154082:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT
Security –Part 2: Security functional components". Tiêu chuẩn này được ban hành
TCVN năm 2011, nội dung của Tiêu chuẩn này là: Đưa ra các yêu cầu an toàn làm cơ sở
cho các yêu cầu chức năng an toàn biểu thị trong Hồ sơ bảo vệ (Protection Profile - PP)
hoặc một Đích An tồn (Security Target - ST). Các yêu cầu này mô tả các hành vi an
tồn mong muốn dự kiến đối với một Đích đánh giá (TOE – Target of Evaluation) hoặc
môi trường CNTT của TOE và cần thỏa mãn các mục tiêu an toàn như đã công bố trong
một PP hoặc một ST. Các u cầu này mơ tả các đặc tính an tồn người dùng có thể phát
hiện ra thơng qua tương tác trực tiếp (nghĩa là thông qua đầu vào, đầu ra) với sản
phẩm /hệ thống CNTT hoặc qua phản ứng của sản phẩm /hệ thống CNTT với các tương
tác.
TCVN 8709-3:2011 "Công nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí
đánh giá an tồn CNTT - Phần 2: Các thành phần đảm bảo an toàn".
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 154083:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT
Security –Part 3: Security assurance components". Tiêu chuẩn này được ban hành
TCVN năm 2011, nội dung của Tiêu chuẩn này là: Nêu ra các thành phần đảm bảo bảo
an toàn thông tin là cơ sở cho các yêu cầu đảm bảo an tồn thơng tin được biểu thị trong
một Hồ sơ bảo vệ (Protection Profile – PP) hoặc một Đích An toàn (Security Target –
ST). Các yêu cầu này tạo thành một cách thức chuẩn để biểu thị các yêu cầu đảm bảo
cho một Đích đánh giá (TOE – Target of Evaluation). Tiêu chuẩn này liệt kê danh mục
6
các thành phần, các họ và lớp đảm bảo đồng thời xác định các tiêu chí đánh giá cho PPs
và STs, biểu thị các cấp đảm bảo đánh giá dùng để xác định các thang bậc ISO/IEC
15408 định trước cho đánh giá tính đảm bảo của các TOEs, cịn gọi là các Cấp đảm bảo
đánh giá (EALs – Evaluation Assurance Levels).
d) Tiêu chuẩn TCVN 9965:2013
TCVN 9965:2013 "Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp
triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1".
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC
27013:2012 "Information technology - Security techniques - Guidance on the intgrated
implementtation of ISO/IEC 27001 and ISO/IEC 20000-1 ". Tiêu chuẩn này do Viện
Tiêu chuẩn chất lượng Việt Nam xây dựng và ban hành TCVN năm 2013 gồm các nội
dung cụ thể như sau:
- Phạm vi áp dụng
- Tài liệu viện dẫn
- Tổng quan TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1
- Tiếp cận việc triển khai tích hợp
- Xem xét việc triển khai tích hợp
- 02 Phụ lục (Tham khảo): Sự phù hợp giữa TCVN ISO/IEC 27001:2009 và
ISO/IEC 20000-1:2011; So sánh thuật ngữ trong ISO/IEC 27000:2009 và
ISO/IEC 20000-1:2011.
e) Tiêu chuẩn TCVN 9801-1:2013
TCVN 9801-1:2013 "Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng Phần 1: Tổng quan và khái niệm".
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 270331:2009 "INformation technology - Security techniques - Network security - Part1:
7
Overview and concepts". Tiêu chuẩn này Viện tiêu chuẩn chất lượng Việt Nam xây dựng
và ban hành TCVN năm 2013 gồm các nội dung cụ thể sau:
Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan về an toàn mạng và các định
nghĩa liên quan và:
- Cung cấp hướng dẫn về việc nhận biết và phân tích các rủi ro an tồn mạng và xác
định các yêu cầu an toàn mạng dựa trên các phân tích đó;
- Cung cấp tổng quan những biện pháp hỗ trợ các kiến trúc an toàn mạng và các biện
pháp kỹ thuật liên quan;
- Hướng dẫn các phương pháp để đạt được kiến trúc an toàn mạng có chất lượng tốt,
xác định rủi ro, thiết kế các biện pháp liên quan tới kịch bản mạng và lĩnh vực
công nghệ mạng.
- Nêu các vấn đề liên quan đến triển khai và vận hành các biện pháp an toàn mạng,
giám sát và soát xét liên tục các biện pháp triển khai an toàn mạng.
f) Tiêu chuẩn TCVN ISO 19011:2013
TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý"
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO 19011:2011
"Guidelines for auditing management systems" tiêu chuẩn này do Ban kỹ thuật Tiêu
chuẩn quốc gia TCVN/TC 176 xây dựng và được ban hành năm 2013.
Tiêu chuẩn này đưa ra hướng dẫn về đánh giá hệ thống quản lý, bao gồm các
nguyên tắc đánh giá, quản lý chương trình đánh giá và tiến hành các cuộc đánh giá hệ
thống quản lý, cũng nhưng hướng dẫn về xem xét đánh giá năng lực của các cá nhân
tham gia và quá trình đánh giá gồm cả người quản lý chương trình đánh giá, chuyên gia
đánh giá và đoàn đánh giá.
Một số tiêu chuẩn thuộc bộ ISO/IEC 27000 đã được xây dựng dự thảo tiêu chuẩn
và được thẩm định chờ cơ quan chức năng ban hành (08 tiêu chuẩn).
8
a) Dự thảo TCVN ISO/IEC 27000
Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 "Công nghệ thông tin - Các kỹ thuật an
tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan và Từ vựng".
Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 hoàn toàn tương đương với tiêu chuẩn
quốc tế: ISO/IEC 27000:2012
b) Dự thảo TCVN ISO/IEC 27003
Dự thảo TCVN “Công nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn triển
khai hệ thống quản lý an tồn thơng tin” được xây dựng hoàn toàn tương đương với tiêu
chuẩn quốc tế ISO/IEC 27003:2010 "Information technology – Security techniques –
Information security management system implementation guidance". Tiêu chuẩn này do
Viện KHKTBĐ - Bộ Thông tin và Truyền thông xây dựng và đã được Viện Tiêu chuẩn
đo lường chất lượng thẩm định năm 2014.
Tiêu chuẩn này tập trung vào các kía cạnh then chốt để thiết kế và triên khai thành
công một hệ thống quản lý an tồn thơng tin(ISMS) theo TCVN ISO/IEC 27001:2009.
Tiêu chuẩn này mơ tả quy trình đặc tả và thiết kế ISMS từ lức khởi đầu đến khi đưa ra
các kế hoạch triển khai bao gồm các nội dung:
- Nêu cấu trúc của tiêu chuẩn.
- Ban quản lý khởi động dự án ISMS.
- Xác định phạm vi, giới hạn và chính sách của ISMS.
- Tiến hành phân tích các u cầu an tồn thơng tin.
- Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro
- Thiết kế ISMS.
- 05 Phụ lục
c) Dự thảo TCVN ISO/IEC 27004
Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn
9
thông tin – Đo lường”
Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an tồn
thơng tin – Đo lường” được xây dựng hồn toàn tương đương với ISO/IEC 27004:2009.
Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm
2012 và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014.
Nội dung chính của tiêu chuẩn
- Tổng quan về đo lường an tồn thơng tin
- Trách nhiệm của ban quản lý
- Lựa chọn các số đo và triển khai các bài đo
- Các hoạt động đo lường
- Phân tích dữ liệu và lập báo cáo kết quả đo
- Định lượng và hoàn thiện Chương trình đo lường an tồn thơng tin.
- 02 Phụ lục về "Mẫu cấu trúc bài đo" và "ví dụ cấu trúc bài đo".
d) Dự thảo TCVN ISO/IEC 27005
Dự thảo TCVN “Cơng nghệ thơng tin – Kỹ thuật an tồn – Quản lý rủi ro an tồn
thơng tin”
Dự thảo TCVN được xây dựng hoàn toàn tương đương với ISO/IEC 27005:2011
Dự thảo TCVN này đã được Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - Bộ
Thơng tin và Truyền thơng xây dựng năm 2012 và được Viện Tiêu chuẩn đo lường chất
lượng thẩm định năm 2013 và cho vào kế hoạch ban hành TCVN năm 2014.
Nội dung chính của tiêu chuẩn
- Tổng quan về quy trình quản lý rủi ro an tồn thơng tin
- Thiết lập ngữ cảnh
- Đánh giá rủi ro an tồn thơng tin
10
- Xử lý rủi ro an tồn thơng tin
- Chấp nhận rủi ro an tồn thơng tin
- Truyền thơng và tư vấn rủi ro an tồn thơng tin
- Giám sát và sốt xét rủi ro an tồn thơng tin
- 07 Phụ lục tham khảo
e) Dự thảo TCVN ISO/IEC 27010
Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an tồn
thơng tin cho truyền thơng liên tổ chức, liên ngành”
Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an tồn
thơng tin cho truyền thơng liên tổ chức, liên ngành” được xây dựng hoàn toàn tương
đương với tiêu chuẩn quốc tế ISO/IEC 27010:2012. Dự thảo TCVN này đã được Viện
Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 và đã được Viện Tiêu chuẩn
đo lường chất lượng thẩm định năm 2014.
Nội dung chính của tiêu chuẩn:
-
Chính sách an tồn thơng tin
-
Tổ chức đảm bảo an tồn thơng tin
-
Quản lý tài sản
-
Đảm bảo an tồn thơng tin từ nguồn nhân lực
-
Đảm bảo an toàn vật lý và môi trường
-
Quản lý truyền thông và vận hành
-
Quản lý truy cập
-
Phát triển và duy trì các hệ thống thơng tin
-
Quản lý về các sự cố an tồn thơng tin
-
Quản lý sự liên tục của hoạt động nghiệp vụ
11
-
Sự tuân thủ
-
04 Phụ lục tham khảo
f) Dự thảo TCVN ISO/IEC 27033-2
Dự thảo TCVN ISO/IEC 27033-2 "Công nghệ thông tin - Các kỹ thuật an toàn - An
toàn mạng - Phần 2: Hướng dẫn thiết kế và triển khai an toàn mạng".
Dự thảo TCVN ISO/IEC 27033-2 tương đương với tiêu chuẩn quốc tế ISO/IEC
27033-2:2012. Dự thảo này đã được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam,
Bộ Thơng tin và Truyền thông tiến hành xây dựng dự thảo năm 2013 và đã được được
nghiệm thu cấp Bộ, đang chờ các cơ quan chức năng thẩm định ban hành tiêu chuẩn
quốc gia.
Tiêu chuẩn này đưa ra hướng dẫn cho tổ chức về lập kế hoạch, thiết kế, triển khai
và lập tài liệu an tồn mạng.
Nội dung chính của tiêu chuẩn:
-
Chuẩn bị thiết kế an toàn mạng
-
Thiết kế an toàn mạng
-
Triển khai an toàn mạng
-
03 Phụ lục tham khảo về mẫu tài liệu và mơ hình kiểm sốt.
g) Dự thảo TCVN ISO/IEC 27033-3
Dự thảo TCVN ISO/IEC 27033-3 “Công nghệ thông tin – Kỹ thuật an toàn – An
toàn mạng –Phần 3: Các kịch bản kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế
và các vấn đề kiểm soát”.
Dự thảo TCVN ISO/IEC 27033-3 tương đương với tiêu chuẩn quốc tế ISO/IEC
27033-3:2010. Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành
xây dựng năm 2012 và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm
2014.
12
Nội dung chính của tiêu chuẩn:
-
Các dịch vụ truy cập Internet cho nhân viên;
-
Các dịch vụ doanh nghiệp tới doanh nghiệp;
-
Các dịch vụ doanh nghiệp tới khách hàng;
-
Các dịch vụ hợp tác nâng cao;
-
Phân đoạn mạng;
-
Hỗ trợ nối mạng cho nhà riêng và văn phịng kinh doanh nhỏ;
-
Truyền thơng di động;
-
Hỗ trợ kết nối mạng cho người sử dụng di chuyển;
-
Các dịch vụ thuê ngoài;
h) Dự thảo TCVN ISO/IEC 27035
Dự thảo TCVN ISO/IEC 27035 “Công nghệ thông tin – Các kỹ thuật an toàn –
Quản lý sự cố an toàn thông tin”.
Dự thảo TCVN ISO/IEC 27035 tương đương với tiêu chuẩn quốc tế ISO/IEC
27035:2011. Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành
xây dựng năm 2013 và đã được được nghiệm thu cấp Bộ, đang chờ các cơ quan chức
năng thẩm định ban hành tiêu chuẩn quốc gia.
Tiêu chuẩn này đưa ra một phương pháp tiếp cận nhằm:
Phát hiện, báo cáo và đánh giá các sự cố an tồn thơng tin;
Ứng phó và quản lý các sự cố an tồn thơng tin;
Phát hiện, đánh giá và quản lý các điểm yếu an tồn thơng tin; và
Liên tục cải tiến việc quản lý sự cố và an tồn thơng tin sau khi thực
hiện quản lý các sự cố và điểm yếu an tồn thơng tin.
g) Nhiều tiêu chuẩn An tồn thơng tin thuộc bộ 27000 được Bộ thông tin và Truyền
thông đưa vào trong danh mục tiêu chuẩn cần xây dựng và đang được một số đơn
13
vị trực thuộc Bộ xây dựng dự thảo (Bảng 1: Danh sách các tiêu chuẩn thuộc bộ
27000).
2.1.2 Tình hình tiêu chuẩn hố quốc tế
Đã có trên 26 tiêu chuẩn thuộc bộ 27000 đã được tổ chức tiêu chuẩn quốc tế biên
ban hành (Bảng 1), trong đó nhiều tiêu chuẩn được ban hành mới gần đây (năm 2013,
2014) như: ISO/IEC 27033-4: 2014; IS/IEC 27033-5:2014; ISO/IEC 27037:2014 và
một số tiêu chuẩn được cập nhật phiên bản mới: ISO/IEC 27001:2013; ISO/IEC
27002:2013...
Tổ chức tiêu chuẩn quốc tế chuẩn bị ban hành nhiều tiêu chuẩn về đảm bảo an tồn
thơng tin, dữ liệu trên hệ thống đám mây (ISO/IEC 27018, ISO/IEC 27019), an toàn về
lưu trữ (ISO/IEC 27040), hệ thống phát hiện và ngăn chặn xâm nhập (ISO/IEC 27039),
điều tra, phân tích thu thập bằng chứng số (ISO/IEC 27041, 27042, 27043)....
Ngoài ra trên thế giới cũng có một số tiêu chuẩn liên quan tới hệ thống phát hiện và
ngăn chặn xâm nhập gồm:
1. ISO/IEC 18043:2006 Information technology -- Security techniques -- Selection,
deployment and operations of intrusion detection systems. Tiêu chuẩn này đưa ra
các hướng dẫn cho các tổ chức trong việc lựu chọn, triển khai và vận hành hệ
thống phát hiện xâm nhập. Tuy nhiên hiện nay tiêu chuẩn này đã được tổ chức
tiêu chuẩn quốc tế thay thế bằng tiêu chuẩn ISO/IEC DIS 27039 và áp dụng cho
hệ thống phát hiện và ngăn chặn xâm nhập.
2. SP 800-94 Guide to Intrusion Detection and Prevention Systems của Viện tiêu
chuẩn và kỹ thuật Quốc gia Hoa Kỳ. Tiêu chuẩn này đưa ra các hướng dẫn để phát
hiện và ngăn chặn xâm nhập hệ thống.
Thông tin cụ thể về các tiêu chuẩn quốc tế và năm ban hành như sau:
14
1. ISO/IEC 27000: 2009 Information technology - Security techniques - Information
security management systems - Overview and vocabulary (Công nghệ thông tin Kỹ thuật an toàn - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng);
2. ISO/ IEC 27001: 2013 Information Technology – Security techniques –
Information security management system – Requirements (Công nghệ thông tin Kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin – Các yêu cầu);
3. ISO/IEC 27002:2013 Information technology – Security techniques – Code of
practice for infomation security management (Cơng nghệ thơng tin - Các kỹ thuật
an tồn - Quy tắc thực hành quản lý an ninh thông tin);
4. ISO/IEC 27003: 2010 Information technology - Security techniques - Information
security management system implementation guidance (Công nghệ thông tin- Kỹ
thuật an toàn- Hướng dẫn triển khai Hệ thống quản lý an ninh thông tin);
5. ISO/IEC 27004:2009 Information technology - Security techniques ―
Information security management – Measurement (Công nghệ thông tin – Kỹ
thuật an tồn - Quản lý an tồn thơng tin - Đo lường);
6. ISO/IEC 27005:2011 Information technology - Security techniques - Information
security risk management (Công nghệ thông tin- Kỹ thuật an tồn - Quản lý rủi ro
an ninh thơng tin);
7. ISO/IEC
27006:2007
Information
technology
-
Security
techniques
-
Requirements for the accreditation of bodies providing audit and certification of
information security management systems (Công nghệ thông tin - Kỹ thuật an
toàn - Yêu cầu đối với cơ quan kiểm tốn và chứng nhận các hệ thống quản lý an
tồn thông tin);
15
8. ISO/IEC 27007:2011 Information technology - Security techniques -Guidelines
for information security management systems auditing (Công nghệ thông tin - Kỹ
thuật an tồn - Hướng dẫn kiểm tốn hệ thống quản lý an tồn thơng tin quản lý);
9. ISO/IEC TR 27008:2011 Information technology - Security techniques Guidelines for auditors on information security management systems controls
(Công nghệ thông tin –Kỹ thuật an tồn - Hướng dẫn chun gia đánh giá kiểm
sốt hệ thống an tồn thơng tin);
10.ISO/IEC 27010:2012 Information technology - Security techniques - Information
security management for intersector and inter-organisational communications
(Công nghệ thơng tin - Kỹ thuật an tồn - An tồn thông tin quản lý cho truyền
thông liên ngành và liên tổ chức);
11. ISO/IEC 27011: 2008 Information technology - Security techniques - Information
security management guidelines for telecommunications organizations based on
ISO/IEC 27002 (Cơng nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn quản lý an
tồn thơng tin cho các tổ chức viễn thông dựa trên tiêu chuẩn ISO / IEC 27002);
12. ISO/IEC 27013:2012 Information technology - Security techniques - Guidance
on the integrated implementation of ISO/IEC 27001 and 20000-1 (Công nghệ
thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC
27001 và ISO/IEC 20000-1);
13.ISO/IEC 27014:2013 Information technology - Security techniques - Governance
of information security (Công nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn an
tồn thơng tin);
14. ISO/IEC TR 27015:2012 Information technology - Security techniques Information security management guidelines for financial services (Công nghệ
16
thơng tin - Kỹ thuật an tồn - Hướng dẫn quản lý an tồn thơng tin cho dịch vụ
tài chính);
15.ISO/IEC TR 27016:2014 IT Security - Security techniques - Information security
management - Organization economics (An tồn cơng nghệ thơng tin - Kỹ thuật
an tồn - Quản lý an tồn thơng tin - Tổ chức kinh tế);
16.ISO/IEC 27018:2014 Information technology - Security techniques - Code of
practice for protection of Personally Identifiable Information (PII) in public
clouds acting as PII processors (Công nghệ thông tin - Kỹ thuật an toàn - Mã thực
hành cho việc bảo vệ thông tin định danh cá nhân khi xử lý thông tin định danh cá
nhân đám mây);
17.ISO/IEC TR 27019:2013 Information technology - Security techniques Information security management guidelines based on ISO/IEC 27002 for process
control systems specific to the energy industry (Cơng nghệ thơng tin - Kỹ thuật an
tồn - Hướng dẫn quản lý an tồn thơng tin dựa trên ISO/IEC 27002 cho các hệ
thống kiểm sốt quy trình đặc trưng trong công nghiệp năng lượng);
18. ISO/IEC 27031: 2011 Information technology - Security techniques - Guidelines
for information and communications technology readiness for business continuity
(Công nghệ thông tin - Kỹ thuật an tồn- Hướng dẫn cơng nghệ thơng tin và
truyền thơng cho về tính liên tục của nghiệp vụ);
19. ISO/IEC 27032:2012 Information technology — Security techniques —
Guidelines for cybersecurity (Công nghệ thơng tin - Kỹ thuật an tồn - Hướng
dẫn về an tồn khơng gian mạng);
20.ISO/IEC 27033:2009+ Information technology - Security techniques - Network
security (Công nghệ thông tin - Kỹ thuật an toàn - an toàn mạng) gồm 05 phần đã
17
được ban hành, phần 6 đang trong quá trình xây dựng; Thay thế bộ ISO/IEC
18028 về an toàn mạng IT.
21.ISO/IEC 27034:2011+ Information technology - Security techniques - Application
security (Công nghệ thơng tin - Kỹ thuật an tồn– an tồn ứng dụng). Đã ban
hành phần 1 ISO/IEC 27034-1:2011 Overview and concepts (Tổng quan và khái
niệm);
22. ISO/IEC 27035:2011 Information technology - Security techniques - Information
security incident management (Công nghệ thông tin - Kỹ thuật an tồn -Quản lý
sự cố an tồn thơng tin) thay thế ISO TR 18044 về quản lý sự cố an toàn;
23. ISO/IEC 27036:2013+ IT Security - Security techniques - Information security
for supplier relationships (An tồn cơng nghệ thơng tin - Kỹ thuật an tồn - An
tồn thơng tin đối với mối quan hệ của nhà cung cấp);
24. ISO/IEC 27037:2012 Information technology - Security techniques - Guidelines
for identification, collection, acquisition and preservation of digital evidence
(Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn việc xác định, tập hợp, tìm
kiếm và bảo quản bằng chứng số);
25. ISO/IEC 27038:2014 Information technology - Security techniques Specification for digital redaction (Cơng nghệ thơng tin - Kỹ thuật an tồn - Chỉ
dẫn kỹ thuật biên soạn kỹ thuật số);
26. ISO 27799:2008 Health informatics - Information security management in health
using ISO/IEC 27002 (Thơng tin y tế - Quản lý an tồn thơng tin trong y tế sử
dụng tiêu chuẩn ISO/IEC 27002).
Bảng 1: Quá trình xây dựng ban hành tiêu chuẩn quốc tế, chuẩn quốc gia về các
tiêu thuộc bộ 27000.
18
Tiêu chuẩn hoặc dự thảo tiêu
STT
Tiêu chuẩn quốc tế
1
ISO/IEC 27000:2009
Dự thảo TCVN
2
ISO/IEC 27001:2005
TCVN ISO/IEC 27001:2009
3
ISO/IEC 27002:2005
TCVN ISO/IEC 27002:2011
4
ISO/IEC 27003:2010
Dự thảo TCVN
5
ISO/IEC 27004:2009
Dự thảo TCVN
6
ISO/IEC 27005:2012
Dự thảo TCVN
7
ISO/IEC 27006:2011
Đang xây dựng
8
ISO/IEC 27007:2011
Đang xây dựng
9
ISO/IEC TR 27008:2011
Đang xây dựng
10
ISO/IEC 27010:2012
Dự thảo TCVN
11
ISO/IEC 27011:2008
Đang xây dựng
12
ISO/IEC 27013:2012
TCVN 9965 : 2013
13
ISO/IEC 27014:2013
Chưa xây dựng
14
ISO/IEC TR 27015:2012
Đang xây dựng
15
ISO/IEC TR 27016:2014
Chưa xây dựng
16
ISO/IEC 27018:2014
Chưa xây dựng
17
ISO/IEC TR 27019:2013
Chưa xây dựng
18
ISO/IEC 27031:2011
Đang xây dựng
19
ISO/IEC 27032: 2012
Đang xây dựng
20
ISO/IEC 27033-1:2009
TCVN 9801-1:2013
ISO/IEC 27033-2:2012
Dự thảo TCVN
ISO/IEC 27033-3:2010
Dự thảo TCVN
chuẩn quốc gia
19
STT
Tiêu chuẩn quốc tế
Tiêu chuẩn hoặc dự thảo tiêu
chuẩn quốc gia
ISO/IEC 27033-4:2014
Chưa xây dựng
ISO/IEC 27033-5:2014
Chưa xây dựng
21
ISO/IEC 27034:2011
Chưa xây dựng
22
ISO/IEC 27035:2011
Dự thảo TCVN
23
ISO/IEC 27036:2013
Chưa xây dựng
24
ISO/IEC 27037:2012
Chưa xây dựng
25
ISO/IEC 27038:2014
Chưa xây dựng
26
ISO 27799:2008
Chưa xây dựng
2.2. Lý do xây dựng tiêu chuẩn
Trong những năm gần đây công nghệ thông tin ngày càng đóng vai trị to lớn trong
hoạt động của mọi lĩnh vực, đời sống kinh tế xã hội, song song với đó là việc mất an
tồn thơng tin trong nhiều cơ quan, tổ chức. Các cơ quan tổ chức này cũng đã bắt đầu
đầu tư cho các hệ thống đảm bảo an tồn thơng như tường lửa, hệ thống phát hiện và
ngăn chặn xâm nhập để sớm nhận biết thời gian, cách thức của các xâm nhập vào hệ
thống mạng, ứng dụng của họ cũng như cách thức khai thác lỗ hổng để triển khai biện
pháp kịp thời trước những thay đổi về rủi ro để ngăn chặn lại các xâm nhập tương tự
trong tương lai.
Ngày nay có rất nhiều sản phẩm về công nghệ IDPS bao gồm cả phần cứng và phần
mềm. Việc đầu tư và vận hành hệ thống phát hiện và ngăn chặn xâm nhập mà không có
tài liệu hướng dẫn, quy chuẩn có thể dẫn đến nhiều rủi ro làm cho IDPS hoạt động
không hiệu quả:
- Chọn lựa sản phẩm không phù hợp với nhu cầu của tổ chức: hiện nay có rất nhiều
sản phẩm IDPS bao gồm cả sản phẩm phần cứng và phần mềm, sản phẩm thương
20
mại với phần cứng đắt tiền tới các phần mềm miễn phí có thể triển khai ở mức chi
phí thấp. Việc lựa chọn sản phẩm khơng phù hợp có thể dẫn đến tốn kém mà
không hiệu quả.
- Việc triển khai và vận hành IDPS địi hỏi nhân viên phải có kiến thức và kinh
nghiệm về hệ thống mạng. Việc triển khai trên những vị trí khơng phù hợp sẽ
khơng chỉ làm mất khả năng của IDPS mà còn làm ảnh hưởng tới hoạt động của
hệ thống mạng, gây ảnh hưởng tới hoạt động nghiệp vụ của tổ chức.
- Tình hình mất an tồn thơng tin trên thế giới và Việt Nam ngày càng gia tăng, các
lỗ hổng, điểm yếu và các tấn cơng mới ngày càng nhiều, vì vậy hệ thống IDPSnếu
khơng thường xun cập nhật thì khơng thể phát hiện kịp thời các điểm yếu và tấn
cơng mới.
Vì vậy để tổ chức có thể thu được lợi ích tối đa từ hệ thống phát hiện và ngăn chặn
xâm nhập IDPS thì cần có một tài liệu, tiêu chuẩn hướng dẫn, giúp cho các tổ chức trong
việc xây dựng quy trình chọn lựa, triển khai và vận hành IDPS của mình.
Để đáp ứng với nhu cầu thực tế tổ chức tiêu chuẩn quốc tế đã xây dựng tiêu chuẩn
mới cho “Hệ thống phát hiện và ngăn chặn xâm nhập” (tương ứng với phiên bản
ISO/IEC DIS 27039) thay thế cho tiêu chuẩn ISO/IEC 18043:2006 về hệ thống phát hiện
xâm nhập được ban hành từ năm 2006.
Tiêu chuẩn ISO/IEC DIS 27039 đưa ra các
hướng dẫn cho các tổ chức trong việc chọn lựa, triển khai và vận hành hệ thống phát
hiện và ngăn chặn xâm nhập.
Trên thế giới đã có nhiều nước xây dựng tiêu chuẩn cho hệ thống phát hiện và ngăn
chặn xâm nhập như (Anh, Đan Mạch, Hàn Quốc, Brunei…), ở Việt Nam chưa có tiêu
chuẩn nào hướng dẫn cho các tổ chức trong việc chọn lựa, triển khai và vận hành hệ
thống phát hiện và ngăn chặn xâm nhập.
2.3. Mục đích xây dựng tiêu chuẩn
Hồn thiện bộ tiêu chuẩn quốc gia về an tồn thơng tin nói chung và quản lý an
21
tồn thơng tin nói riêng. Hiện nay tại Việt Nam đã ban hành nhiều tiêu chuẩn quốc gia
về an toàn thơng tin (như đã trình bày ở phần trên) và ở Việt Nam cũng đã có nhiều tổ
chức sử dụng phiên bản tiếng Anh trong quá trình nghiên cứu, tìm hiểu để xây dựng hệ
thống phát hiện và ngăn chặn xâm nhập cho mình. Do vậy việc xây dựng dự thảo TCVN
về "Hệ thống phát hiện và ngăn chặn xâm nhập" là phù hợp với yêu cầu chung.
2.4. Vai trò của ISO/IEC 27031:2011 trong bộ ISO/IEC 27000
Hình 2 – Mối quan hệ giữa các tiêu chuẩn trong bộ ISO/IEC 27000
Về cơ bản các bộ tiêu chuẩn ISO/IEC 27000 được chia thành 5 nhóm sau:
Nhóm 1: Tiêu chuẩn về tổng quan và thuật ngữ: ISO/IEC 27000.
Nhóm 2: Các tiêu chuẩn đưa ra để đánh giá chứng nhận: ISO/IEC 27001; ISO/IEC
27006.
Nhóm 3: Các tiêu chuẩn đưa ra các hướng dẫn hỗ trợ hệ thống quản lý an toàn
22
thông tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005;
ISO/IEC 27007; ISO/IEC TR 27008.
Nhóm 4: Các tiêu chuẩn đưa ra các hướng dẫn cho các ngành cụ thể: ISO/IEC
27010; ISO/IEC 27011; ISO/IEC 27015; ISO/IEC 27799.
Nhóm 5: Các tiêu chuẩn đưa ra các yêu cầu và các tiêu chuẩn hướng dẫn khác:
ISO/IEC 27013; ISO/IEC 27031; ISO/IEC 27032; ISO/IEC 27033; ISO/IEC 27034;
ISO/IEC 27035; ISO/IEC 27036...
Như vậy dựa vào hình trên cũng như cách phân nhóm các tiêu chuẩn thuộc Bộ
ISO/IEC 27000 ta có thể thấy được rằng tiêu chuẩn ISO/IEC DIS 27039 là dự thảo tiêu
chuẩn dùng đưa ra các yêu cầu và hướng dẫn hướng dẫn cho các tổ chức trong việc lựa
chọn, triển khai và vận hành hệ thống phát hiện và ngăn chặn xâm nhập.
3. Sở cứ xây dựng tiêu chuẩn
3.1. Lựa chọn tiêu chuẩn tham chiếu
Tiêu chuẩn ISO/IEC DIS 27039 “Information technology - Security techniques Selection, deployment and operations of intrusion detection and prevention systems
(IDPS)” được tổ chức tiêu chuẩn quốc tế ban hành năm 2013. Tiêu chuẩn này thay thế
cho tiêu chuẩn ISO/IEC 18043:2006 “Information technology -- Security techniques -Selection, deployment and operations of intrusion detection systems”.
Nhóm thực hiện đề tài sửa dụng tiêu chuẩn quốc tế ISO/IEC 27039 làm căn cứ để
xây dựng tiêu chuẩn quốc gia về "Hướng dẫn chọn lựa triển khai và vận hành hệ thống
phát hiện và ngăn chặn xâm nhập " vì hiện tại đã có rất nhiều quốc gia trên thế giới (Đan
Mạch, Hà Lan, Anh…) đã có tiêu chuẩn về hệ thống phát hiện và ngăn chặn xâm nhập
dựa trên tiêu chuẩn quốc tế ISO/IEC 18043:2006, tuy nhiêu chuẩn ISO/IEC DIS 27039
là tiêu chuẩn thay thế cho tiêu chuẩn ISO/IEC 18043:2006.
23
3.2. Phương pháp xây dựng tiêu chuẩn
Dự thảo của tiêu chuẩn TCVN ISO/IEC 27039:yyyy được xây dựng từ tiêu chuẩn
quốc tế ISO/IEC DIS 27039 được tổ chức tiêu chuẩn quốc tế ban hành năm 2013, trên
cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về hệ thống quản lý an tồn thơng tin,
cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ quy chuẩn, nhóm chủ trì
đã xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC 27039:yyyy theo phương pháp chấp
thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC DIS 27039 (có chỉnh sửa về thể thức trình
bày theo quy định hiện hành về trình bày Tiêu chuẩn quốc gia).
3.3. Phạm vi áp dụng và khả năng áp dụng tiêu chuẩn tại Việt Nam
3.3.1 Phạm vi áp dụng
Tiêu chuẩn này áp dụng cho mọi tổ chức (tư nhân, chính phủ, phi chính phủ, bất kể
kích cỡ) chuẩn bị triển khai hệ thống phát hiện và ngăn chặn xâm nhập và tổ chức đang
cân nhắc việc thuê ngoài các tính năng phát hiện xâm nhập. Tiêu chuẩn này cung cấp các
hướng dẫn giúp các tổ chức chuẩn bị triển khai hệ thống IDPS. Nó đề cập đến việc chọn
lựa, triển khai và vận hành IDPS, và cung cấp thông tin cơ bản về nguồn gốc của các
hướng dẫn.
3.3.2 Khả năng áp dụng tiêu chuẩn tại Việt Nam
Theo số liệu thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
(VNCERT), trong những năm gần đây có rất nhiều cơ quan nhà nước cũng như doanh
nghiệp tư nhân đã bị gián đoạn hoạt động nghiệp vụ do hệ thống công nghệ thông tin và
truyền thông bị tấn công và không được phát hiện và ngăn chặn kịp thời. Điển hình là sự
cố gián đoạn hoạt động của các trang báo điện tử (dantri.com.vn, vietnamnet.vn,
tuoitre.vn) trong năm 2013 và sự cố của Công ty VCCorp năm 2014 (bị gián đoạn hoạt
động trong thời gian dài). Dưới đây là số liệu khảo sát về an tồn thơng tin trong 03 năm
(2012-2014) do Trung tâm VNCERT và Hiệp hội an tồn thơng tin Việt Nam tiến hành.
24
Bảng 2: Khảo sát ATTT năm 2014, 2013, 2012.
Câu 30. Tổ chức của quý vị có có tuân theo hoặc có ý định tuân theo
Năm
Năm
Năm
những chỉ dẫn của các chuẩn ATTT nào dưói đây khơng?
Khơng
Có
ISO/IEC 2700x
Cobit
HiPAA
PCI
Common Criteria
Khác . . . . . . .
Câu 31. Trong thời gian tới, tổ chức của q vị có dự kiến triển khai
2014
2013
2012
32.56 %
54.3%
66.28 %
20.2%
54.07 %
21.1%
5.23 %
1.8%
0.58 %
1.8%
8.72 %
3.7%
1.74 %
1.2%
6.40 %
5.2%
42%
36%
35%
4%
2%
5%
2%
4%
Hệ thống quản lý an tồn thơng tin (ISMS) theo ISO 27001 khơng?
Khơng có kế hoạch
Chỉ triển khai ISMS và tuân thủ ISO/IEC 27001
Triển khai ISMS và tuân thủ ISO/IEC 27001 và lấy chứng nhận ISO/IEC
27001
Câu 32. Tổ chức của quý vị có Quy chế về ATTT (Security Policy)
chưa? (đã được lãnh đạo phê duyệt và đưa vào áp dụng).
Có
Chưa có:
+ Sẽ xây dựng Quy chế trong thời gian tới
+ Chưa có ý định xây dựng Quy chế này
0.0%
53.49 %
51.0%
37.79 %
16.1%
53%
23%
9.9%
12%
16.86 %
0.0%
58.14 %
27.1%
36.05 %
36.3%
44.19 %
33.3%
8.72 %
26.9%
41%
32%
27%
16%
Theo số liệu tổng hợp kết quả khảo sát ATTT của Trung tâm Ứng cứu khẩn cấp
máy tính Việt Nam (VNCERT) và Hiệp hội an tồn thơng tin (VNISA) tiến hành trên
hơn 500 cơ quan nhà nước và doanh nghiệp trên tồn quốc chúng ta có thể thấy rằng:
- Các đơn vị ngày càng chú trọng tới việc xây dựng quy chế an tồn thơng tin áp
dụng tại các đơn vị.
- Số lượng đơn vị đã tuân thủ và có ý định tuân thủ theo các chỉ dẫn của Bộ ISO
27000 ngày càng tăng nhanh.
- Nhu cầu và mong muốn triển khai và tuân thủ các yêu cầu về các biện pháp kiểm
sốt an tồn thơng tin và mong muốn có chính nhận ISO/IEC 27001 ngày càng
tăng nhanh.
Khi các đơn vị có nhu cầu và mong muốn được triển khai, tuân thủ và cấp chứng
25
