THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN THỰC HIỆN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (167.23 KB, 31 trang )
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG
--------------
THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM
CƠNG NGHỆ THƠNG TIN – KỸ THUẬT AN TỒN – HƯỚNG DẪN
THỰC HIỆN BẢO ĐẢM AN TỒN HỆ THỐNG THƠNG TIN
HÀ NỘI, 2018
MỤC LỤC
1. TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN................................................................................................................3
2. ĐẶT VẤN ĐỀ...................................................................................................................................................3
3. NGHIÊN CỨU TỔNG QUAN...........................................................................................................................4
3.1 Nguyên tắc xây dựng tiêu chuẩn............................................................................................................4
3.2 Các văn bản Luật và Nghị định................................................................................................................5
3.3 Tiêu chuẩn quốc tế..................................................................................................................................6
3.4 Tiêu chuẩn Mỹ.........................................................................................................................................7
3.5 Tiêu chuẩn Việt Nam...............................................................................................................................8
4. GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO/IEC 27000.........................................................................................11
4.1 Bộ tiêu chuẩn ISO/IEC 27000................................................................................................................11
4.2 Phân tích khả năng áp dụng ISO/IEC 27000 trong bảo vệ hệ thống thông tin theo cấp độ...............12
4.2.1 Khái niệm ISMS..............................................................................................................................12
4.2.2 Khái niệm Bảo đảm an toàn hệ thống thông tin theo cấp độ......................................................12
4.2.3 Khả năng áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp độ............................13
5. GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU TCVN 10541:2014 (ISO/IEC 27003:2010)..............................14
5.1 Mục tiêu của tiêu chuẩn.......................................................................................................................14
5.2 Phạm vi tiêu chuẩn................................................................................................................................14
5.3 Cấu trúc tiêu chuẩn...............................................................................................................................15
6. DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN XXX-2018...................................................................................16
6.1 Lý do xây dựng tiêu chuẩn....................................................................................................................16
6.2 Nhu cầu thực tế và khả năng áp dụng..................................................................................................16
6.3 Mục đích xây dựng tiêu chuẩn.............................................................................................................16
6.4 Sở cứ xây dựng tiêu chuẩn...................................................................................................................16
6.5 Phương pháp xây dựng tiêu chuẩn......................................................................................................17
6.5.1 Nguyên tắc chung..........................................................................................................................17
6.5.2 Các nội dung chỉnh sửa, bổ sung...................................................................................................17
6.6 Các nội dung dự thảo tiêu chuẩn quốc gia...........................................................................................18
6.6.1 Các nội dung trong từng hoạt động cụ thể...................................................................................18
6.6.2 Đối chiếu với tiêu chuẩn tham chiếu............................................................................................25
6.6.3 Kết quả đối chiếu với nội dung trong đề cương...........................................................................29
7. KẾT LUẬN.....................................................................................................................................................30
7.1 Đánh giá những kết quả đạt được........................................................................................................30
7.2 Thuận lợi và khó khăn...........................................................................................................................31
7.3 Kiến nghị, đề xuất.................................................................................................................................31
8. TÀI LIỆU THAM KHẢO..................................................................................................................................31
2
1
1. TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN
Tên tiêu chuẩn: “Cơng nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn thực hiện
bảo đảm an tồn hệ thớng thơng tin”
Ký hiệu tiêu chuẩn: TCVN xxx:2018
Mã số:
2. ĐẶT VẤN ĐỀ
Luật an tồn thơng tin mạng [1] đã được Q́c hội nước Cộng hịa Xã hội Chủ
nghĩa Việt Nam Khóa XIII tại kỳ họp thứ 10 ngày 19 tháng 11 năm 2015, trong đó quy
định về hoạt động an tồn thơng tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá
nhân trong việc đảm bảo an tồn thơng tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn
kỹ thuật về an tồn thơng tin mạng; kinh doanh trong lĩnh vực an tồn thơng tin mạng;
phát triển nguồn nhân lực an tồn thơng tin mạng; và quản lý nhà nước về an tồn thơng
tin mạng.
Điều 21 của Luật an tồn thơng tin mạng quy định bảo vệ hệ thống thông
tin theo cấp độ, trong đó phân loại cấp độ an tồn hệ thống thông tin là việc xác định cấp
độ an tồn thơng tin của hệ thớng thơng tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng
biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp cấp độ.
Điều 21 của Luật an tồn thơng tin mạng cũng quy định trách nhiệm của chính phủ
trong việc quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an
tồn hệ thớng thơng tin và trách nhiệm bảo đảm an tồn hệ thớng thơng tin theo từng cấp
độ.
Để triển khai bảo vệ an tồn hệ thớng thơng tin theo cấp độ, Chính phủ đã ban
hành Nghị định sớ 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an tồn hệ thớng thông
tin theo cấp độ [2]. Nghị định này quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ
tục xác định cấp độ an tồn hệ thớng thơng tin và trách nhiệm bảo đảm an tồn hệ thớng
thơng tin theo từng cấp độ.
Điều 23 của Nghị định 85 quy định Bộ Thơng tin và Truyền thơng có trách nhiệm
xây dựng dự thảo tiêu chuẩn quốc gia, ban hành quy chuẩn q́c gia về bảo đảm an tồn
thơng tin theo cấp độ.
Là một đơn vị trực thuộc Bộ Thông tin và Truyền thơng, có nhiều kinh nghiệm
trong đào tạo và nghiên cứu trong lĩnh vực an tồn thơng tin, Học viện được Bộ Thông tin
3
và Truyền thông giao nhiệm vụ xây dựng dự thảo tiêu chuẩn "Cơng nghệ thơng tin – Kỹ
thuật an tồn – Hướng dẫn bảo vệ hệ thống thông tin" dưới dạng nhiệm vụ nghiên cứu
khoa học.
Trên cơ sở kết quả đề tài nghiên cứu khoa học, Bộ Thông tin và Truyền thông sẽ
tổng hợp, chỉnh sửa thành dự thảo tiêu chuẩn để chuyển sang Bộ Khoa học và Công nghệ
thẩm định.
Báo cáo này sẽ trình bày các kết quả nghiên cứu của nhóm thực hiện đề tài, trong
đó sẽ bao gồm các nội dung sau. Phần 3 sẽ trình bày nghiên cứu tổng quan của nhóm về
các tiêu chuẩn trong và ngoài nước liên quan đến nội dung tiêu chuẩn của đề tài. Phần 4
giới thiệu về bộ tiêu chuẩn ISO/IEC 27000, trong đó có phân tích khả năng sử dụng bộ
tiêu chuẩn này để thực hiện bảo vệ hệ thống thông tin. Phần 5 sẽ giới thiệu về tiêu chuẩn
tham chiếu TCVN 10541:2014. Phần 6 sẽ trình bày dự thảo tiêu chuẩn. Ći cùng là kết
luận trong đó tóm tắt những kết quả đạt được theo kế hoạch, trình bày những thuận lợi,
khó khăn cũng như những kiến nghị và đề xuất.
3. NGHIÊN CỨU TỔNG QUAN
3.1 Nguyên tắc xây dựng tiêu chuẩn
Xây dựng tiêu chuẩn là một quá trình đầu tư (thời gian, kinh phí) vì vậy cần phải
cân nhắc để lựa chọn và xây dựng được các tiêu chuẩn cần thiết, có nội dung đáp ứng
càng rộng rãi càng tốt các yêu cầu sử dụng trong từng lĩnh vực hay trong các nhóm đới
tượng tiêu chuẩn hố.
Nội dung tiêu chuẩn phải thúc đẩy các ý tưởng và sự phát triển, thúc đẩy các sáng
kiến, cải tiến, không cản trở hoạt động thiết kế, sáng tạo.Vì vậy những tiêu chuẩn đề cập
các yêu cầu chung chỉ nên quy định những đặc điểm cơ bản, những yêu cầu nhất thiết
phải cân nhắc còn những yêu cầu chi tiết sẽ được thể hiện thành tính năng kỹ thuật, thành
những đặc điểm riêng biệt cho mỗi đối tượng, mỗi sản phẩm hay thậm chí mỗi khía cạnh
của đới tượng hay khía cạnh của sản phẩm cụ thể mà một tiêu chuẩn sẽ đề cập đến nó.
Tiêu chuẩn phải được xây dựng trên cơ sở có nhu cầu sử dụng và thậm chí phải là
nhu cầu sử dụng tại nhiều nơi, mang tính lặp đi lặp lại. Vì một tiêu chuẩn có thể liên quan
nhiều đới tác quan tâm nên cần có sự bàn bạc thoả thuận giữa các bên. Nội dung của các
tiêu chuẩn dạng quy chuẩn kỹ thụât lại càng nên thận trọng để nó thực sự có thể áp dụng
được, và hơn thế, được áp dụng một cách đồng bộ.
4
Tiêu chuẩn phải phản ánh những thành tựu và kinh nghiệm mới nhất, đồng thời có
khả năng áp dụng trong thực tiễn, vì vậy tiêu chuẩn cần được xem xét lại sau những
khoảng thời gian nào đó.1
3.2 Các văn bản Luật và Nghị định
Điều 21 của Luật an tồn thơng tin mạng quy định hệ thống thông tin được phân
loại theo cấp độ an toàn như sau:
a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp
pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích cơng cộng, trật tự, an tồn
xã hội, q́c phịng, an ninh quốc gia;
b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và
lợi ích hợp pháp của tổ chức, các nhân hoặc làm tổn hại tới lợi ích cơng cộng nhưng
khơng làm tổn hại tới trật tự, an tồn xã hội, q́c phịng, an ninh q́c gia;
c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất,
lợi ích cơng cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới q́c phịng, an ninh q́c
gia;
d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới
lợi ích cơng cộng và trật tự, an toàn xã hội hoặc làm tổn hịa nghiêm trọng tới q́c phịng,
an ninh q́c gia;
e) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới
quốc phịng, an ninh q́c gia.
Nghị định 85 quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định
cấp độ an tồn hệ thớng thơng tin và trách nhiệm bảo đảm an tồn hệ thớng thơng tin theo
cấp độ, áp dụng đối với cơ quan, tổ chức, các nhân tham gia hoặc có liên quan đến hoạt
động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt
Nam.
Nghị định 85 quy định các tiêu chí xác định cấp độ đới với từng cấp độ của hệ
thống thông tin. Đơn vị vận hành hệ thống thông tin (hoặc chủ đầu tư đối với trường hợp
dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin) lập hồ sơ đề xuất
cấp độ. Thẩm quyền thẩm định và phê duyệt cấp độ có thể là đơn vị chuyên trách về an
tồn thơng tin của chủ quản hệ thớng thông tin, chủ quản hệ thống thông tin, Bộ Thông
1
Nội dung các nguyên tắc xây dựng tiêu chuẩn tham khảo tài liệu do PGS.TS. Lê Hữu Lập – Học viện CNBCVT cung
cấp.
5
tin và Truyền thơng, Bộ Q́c phịng, Bộ Cơng An, Thủ tướng Chính phủ tùy theo từng
cấp độ của hệ thớng thơng tin.
Nghị định cũng quy định vai trị và trách nhiệm của các chủ thể trong bảo đảm an
toàn hệ thống thông tin, bao gồm chủ quản hệ thống thơng tin, đơn vị chun trách về an
tồn thơng tin của chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin và các
cơ quan quản lý nhà nước.
3.3 Tiêu chuẩn quốc tế
Vấn đề an tồn thơng tin ngày càng trở nên cấp bách trên toàn thế giới. Hàng loạt
các sự cố về mạng, các cuộc tấn công ngày càng nhiều nhắm vào các hệ thống công nghệ
thơng tin trong các lĩnh vực ngân hàng, tài chính, thương mại, cơ quan chính phủ,…Bên
cạnh việc liên tục cải tiến các công nghệ bảo mật, việc áp dụng hệ thớng tiêu chuẩn an
tồn thơng tin đã được các q́c gia trên thế giới đặc biệt chú trọng.
Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới
các tiêu chuẩn về an toàn thơng tin. Trong các tiêu chuẩn an tồn thơng tin liên quan đến
vấn đề quản lý an tồn thơng tin có bộ tiêu chuẩn ISO/IEC 2700x. Bên cạnh những tiêu
chuẩn về quản lý an tồn thơng tin thì chuẩn về đánh giá an tồn thơng tin cũng được các
tổ chức tiêu chuẩn thế giới quan tâm.
Tiêu chuẩn về quản lý an tồn thơng tin có bộ ISO/IEC 2700x cung cấp các hướng
dẫn và các vấn đề liên quan trong hệ thớng quản lý an tồn thơng tin:
• ISO/IEC 27000:2009 - Hệ thớng quản lý an tồn thơng tin - Tổng quan và từ
vựng
• ISO/IEC 27001:2005 - Hệ thớng quản lý an tồn thơng tin - Các u cầu
• ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an tồn thơng tin
• ISO/IEC 27003:2010 - Hướng dẫn thực thi hệ thớng quản lý an tồn thơng tin
• ISO/IEC 27004:2009 - Quản lý an tồn thơng tin - Đo lường
• ISO/IEC 27005:2011 - Quản lý rủi ro an tồn thơng tin
• ….
Tiêu chuẩn liên quan về đánh giá an tồn thơng tin có:
• Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an
toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo
6
áp dụng các yêu cầu trong quá trình đánh giá an tồn. Bộ tiêu chuẩn này gồm có 3
phần:
ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an tồn Tiêu chí đánh giá cho an tồn cơng nghệ thơng tin - Phần 1: Giới thiệu và mơ
hình chung
ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an tồn Tiêu chí đánh giá cho an tồn cơng nghệ thơng tin - Phần 2: Các thành phần
chức năng an tồn
ISO/IEC 15408-3:2008 - Cơng nghệ thơng tin - Các kỹ thuật an tồn Tiêu chí đánh giá cho an tồn cơng nghệ thơng tin - Phần 3: Các thành phần
đảm bảo an tồn
• Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an
tồn - Phương pháp ước lượng an tồn cơng nghệ thông tin. Tiêu chuẩn này được
sử dụng cùng với các tiêu chí đánh giá an tồn trong bộ ISO/IEC 15408
• Bộ tiêu chuẩn ISO/IEC TR 19791:2010 - Cơng nghệ thơng tin - Các kỹ thuật
an tồn - Đánh giá an tồn các hệ thớng hoạt động. Tiêu chuẩn này cung cấp các
hướng dẫn và tiêu chí cho việc ước lượng an tồn các hệ thớng hoạt động. Tiêu
chuẩn này mở rộng hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng
trong các hệ thớng hoạt động mà trong tiêu chuẩn ISO/IEC 15408 khơng được đề
cập.
• Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí
cho việc so sánh và phân tích các phương pháp đánh giá sự phù hợp đảm bảo an
toàn. Bộ tiêu chuẩn này gồm 2 phần:
ISO/IEC 15443-1:2012 - Cơng nghệ thơng tin - Kỹ thuật an tồn - Khung
đảm bảo an tồn cơng nghệ thơng tin - Phần 1: Giới thiệu và khái niệm
ISO/IEC 15443-2:2012 - Công nghệ thơng tin - Kỹ thuật an tồn - Khung
đảm bảo an tồn cơng nghệ thơng tin - Phần 2: Các phân tích
Ngồi ra cịn rất nhiều các tiêu chuẩn khác, tham khảo tại website:
/>3.4 Tiêu chuẩn Mỹ
Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ ban hành hệ thớng tiêu chuẩn SP
800 về an tồn máy tính [6].
7
SP 800-30 đưa ra hướng dẫn đánh giá rủi ro của hệ thống thông tin gồm 9 bước.
Thông qua phân tích hiện trạng của hệ thớng bao gồm mơ tả hệ thống, những lần bị tấn
công trong quá khứ, lỗ hổng bảo mật tồn tại, các biện pháp an toàn bảo mật đang dùng, từ
đó xác định rủi ro và đánh giá ảnh hưởng của rủi ro tạo nên cho hệ thống, đồng thời đưa
ra giải pháp nhằm giảm thiểu rủi ro.
SP 800-53 cung cấp những giải pháp đảm bảo an tồn và bảo mật cho hệ thớng
thơng tin của chính phủ và các tổ chức khác, đồng thời đưa ra quy trình lựa chọn các giải
pháp để bảo vệ hệ thớng thơng tin. Những biện pháp an tồn đáp ứng được những yêu cầu
về an toàn và bảo mật của các tổ chức khác nhau. Tiêu chuẩn này cũng mơ tả cách thức
phát triển một nhóm các giải pháp (hay còn gọi là overlays), phù hợp với yêu cầu đặc thù
của tổ chức. Các giải pháp được trình bày cả dưới góc độ chức năng (chức năng và cơ chế
an tồn) lẫn dưới góc độ bảo đảm an tồn (kiểm tra đánh giá mức độ an toàn).
3.5 Tiêu chuẩn Việt Nam
Những năm gần đây, Việt Nam đã chú trọng xây dựng và ban hành hệ thống tiêu
chuẩn liên quan đến an tồn thơng tin. Ban đầu việc xây dựng các tiêu chuẩn chủ yếu tập
trung vào các chuẩn liên quan đến từ vựng, khái niệm chung, kỹ thuật mật mã quản lý
khoá. Những năm gần đây việc xây dựng tập trung vào hệ thống quản lý và đánh giá an
tồn thơng tin.
Đới với bộ tiêu chuẩn ISO/IEC 27000, Viêt Nam đã dịch ra tiếng Việt và ban hành
một số tiêu chuẩn chính, trong đó có tiêu chuẩn TCVN 10541:2014 là bản dịch của tiêu
chuẩn ISO/IEC 27003-2010 về hướng dẫn triển khai hệ thớng quản lý an tồn thơng tin.
Sau khi Nghị định 85 được ban hành từ 01/7/2016, Bộ Thông tin và Truyền thông
cũng đang dự thảo các tiêu chuẩn liên quan, trong đó có tiêu chuẩn “Yêu cầu an toàn cơ
bản cho các cấp độ an toàn hệ thống thông tin”.
Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo)
đưa ra các yêu cầu an toàn cơ bản cho hệ thống thông tin theo mỗi cấp độ an tồn của hệ
thớng thơng tin. u cầu an tồn cơ bản cho hệ thớng thơng tin bao gồm hai nhóm yêu
cầu: yêu cầu về kỹ thuật và yêu cầu về quản lý. Tài liệu này hiện vẫn đang được xây
dựng, rà sốt để trở thành dự thảo tiêu chuẩn q́c gia.
Tài liệu mô tả các biện pháp bảo đảm an tồn hệ thớng thơng tin theo cấp độ (dự
thảo) đưa ra các biện pháp bảo đảm an tồn thơng tin theo cấp độ tương ứng với các yêu
cầu trong Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự
thảo). Tài liệu này hiện vẫn đang được xây dựng, rà soát để trở thành dự thảo tiêu chuẩn
quốc gia.
8
Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp độ (dự thảo) đưa ra các yêu cầu
đánh giá các biện pháp bảo đảm an tồn thơng tin theo cấp độ tương ứng với các yêu cầu
và biện pháp trong Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp
độ (dự thảo) và Tài liệu mô tả các biện pháp bảo đảm an tồn hệ thớng thơng tin theo cấp
độ (dự thảo). Tài liệu này hiện vẫn đang được xây dựng, rà sốt để trở thành dự thảo tiêu
chuẩn q́c gia.
Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo) đưa ra các hướng
dẫn về quy trình thực hiện kiểm tra đánh giá cấp độ. Tài liệu này hiện vẫn đang được xây
dựng, rà soát để trở thành dự thảo tiêu chuẩn quốc gia.
Các tiêu chuẩn trên cùng với tiêu chuẩn mà nhóm thực hiện đề tài nằm trong hệ
thớng các tiêu chuẩn về an tồn thơng tin, có liên quan chặt chẽ với nhau. Hiện tại, các
tiêu chuẩn trên vẫn trong quá trình xây dựng, tuy nhiên nhóm thực hiện đề tài vẫn thường
xuyên trao đổi với nhóm xây dựng các tiêu chuẩn trên để trao đổi thông tin.
Một số tiêu chuẩn Việt Nam đã được ban hành (sắp xếp thứ tự theo năm ban hành):
• TCVN 7326-1:2003 Thiết bị cơng nghệ thơng tin. An tồn. Phần 1: u cầu
chung (IEC 60950-1:2001)
• TCVN 7563-8:2005 Cơng nghệ thơng tin. Từ vựng. Phần 8: An tồn (ISO/IEC
02382-8:1998)
• TCVN 7562:2005 Công nghệ thông tin. Mã thực hành quản lý an tồn thơng
tin (ISO/IEC 17799:2000)
• TCVN 7635:2007 Kỹ thuật mã hố, Chữ ký sớ
• TCVN 7816:2007 Cơng nghệ thơng tin. Kỹ thuật mật mã thuật tốn mã dữ liệu
AES
• TCVN 7818-2:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời
gian. Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002)
• TCVN 7817-3:2007 Cơng nghệ thơng tin. Kỹ thuật mật mã quản lý khoá. Phần
3: Các cơ chế sử dụng kỹ thuật khơng đới xứng (ISO/IEC 11770-3:1999)
• TCVN 7817-1:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khố. Phần
1: Khung tổng qt (ISO/IEC 11770-1:1996)
• TCVN 7818-1:2007 Cơng nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời
gian. Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002)
• TCVN 7563-14:2009 Công nghệ thông tin. Từ vựng. Phần 14: Độ tin cậy, khả
năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)
• TCVN 8051-1:2009 Cơng nghệ thơng tin. Kỹ thuật an tồn. An tồn mạng
cơng nghệ thơng tin. Phần 1: Quản lý an toàn mạng (ISO/IEC 18028-1:2008)
9
• TCVN ISO/IEC 27001:2009 Công nghệ thông tin. Hệ thống quản lý an tồn
thơng tin. Các u cầu (ISO/IEC 27001:2005)
• TCVN 8051-2:2009 Cơng nghệ thơng tin. Kỹ thuật an tồn. An tồn mạng
cơng nghệ thơng tin. Phần 2: Kiến trúc an tồn mạng (ISO/IEC 18028-2:2006)
• TCVN 7818-3:2010 Cơng nghệ thơng tin. Kỹ thuật an toàn. Dịch vụ tem thời
gian. Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009)
• TCVN 7817-4:2010 Cơng nghệ thơng tin. Kỹ thuật an tồn quản lý khố. Phần
4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006)
• TCVN 7817-2:2010 Cơng nghệ thơng tin. Kỹ thuật an tồn quản lý khố. Phần
2: Cơ chế sử dụng kỹ thuật đới xứng (ISO/IEC 11770-2:2008)
• TCVN ISO/IEC 27002:2011 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quy
tắc thực hành quản lý an tồn thơng tin (ISO/IEC 27002:2005)
• TCVN 8709-1:2011 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí
đánh giá an tồn công nghệ thông tin - Phần 1: Giới thiệu và mơ hình tổng qt
(ISO/IEC 15408-1:2009)
• TCVN 8709-2:2011 Cơng nghệ thơng tin - Các kỹ thuật an toàn - Các tiêu chí
đánh giá an tồn cơng nghệ thơng tin - Phần 2: Các thành phần chức năng an tồn
(ISO/IEC 15408-2:2008)
• TCVN 8709-3:2011 Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí
đánh giá an tồn cơng nghệ thông tin - Phần 3: Các thành phần đảm bảo an tồn
(ISO/IEC 15408-3:2008)
• TCVN 9801-1:2013 Cơng nghệ thơng tin. Kỹ thuật an toàn an toàn mạng. Phần
1: tổng quan và khái niệm
• TCVN 9965:2013 Cơng nghệ thơng tin. Kỹ thuật an tồn. Hướng dẫn tích hợp
triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1
• TCVN 9801-1:2013 Cơng nghệ thơng tin - Các kỹ thuật an toàn - An toàn
mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)
• TCVN Cơng nghệ thơng tin - Hệ thớng quản lý an tồn thơng tin – Các u cầu
(ISO-IEC 27001-2009)
• TCVN Cơng nghệ thơng tin - Hệ thớng quản lý an tồn thơng tin – Quy tắc
thực hành quản lý an tồn thơng tin (ISO-IEC 27002-2005)
• TCVN 10541:2014 Cơng nghệ thơng tin – Các kỹ thuật an toàn – Hướng dẫn
triển khai hệ thớng quản lý an tồn thơng tin (ISO-IEC 27003-2010)
• TCVN 10542:2014 Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an
tồn thơng tin – Đo lường (ISO-IEC 27004-2009)
• TCVN 10295:2014 Cơng nghệ thơng tin – Các kỹ thuật an toàn – Quản lý rủi
ro an toàn thông tin (ISO-IEC 27005-2011)
10
4.
GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO/IEC 27000
4.1 Bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn an tồn thơng tin ISO/IEC 27000 do Tổ chức tiêu chuẩn hóa q́c tế
(ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) kết hợp xây dựng [5]. Hệ thống tiêu chuẩn
ISO/IEC 27000 bao gồm nhiều tiêu chuẩn, hiện tại mới hoàn thành 14 tiêu chuẩn, trong
đó các tiêu chuẩn liên quan trực tiếp đến nội dung nghiên cứu của đề tài bao gồm:
ISO/IEC 27000: Tổng quan và các thuật ngữ về Hệ thống quản lý an tồn thơng
tin. ISO/IEC 27000:2016 trình bày tổng quan về hệ thớng quản lý an tồn thơng tin
(ISMS), các khái niệm và định nghĩa thường dùng trong hệ thống tiêu chuẩn cho ISMS.
Tiêu chuẩn này thích hợp với bất kỳ loại hình và quy mơ của tổ chức (ví dụ doanh nghiệp,
cơ quan chính phủ, tổ chức phi chính phủ)
ISO/IEC 27001: Các yêu cầu (đối với Hệ thống quản lý an tồn thơng tin). Mục
tiêu của tiêu chuẩn này là đưa ra các tiêu chuẩn để xây dựng, triển khai, duy trì và liên tục
cải tiến hệ thớng quản lý an tồn thơng tin ISMS. ISO/IEC 27001:2013 bao gồm các nội
dung Giới thiệu về tổ chức; lãnh đạo an tồn thơng tin; lập kế hoạch; hỗ trợ; vận hành;
đánh giá; cải tiến.
ISO/IEC 27002: Các biện pháp kỹ thuật. Tiêu chuẩn này liệt kê hàng trăm biện
pháp, cơ chế an tồn có thể được sử dụng để hướng dẫn thực hiện các yêu cầu liệt kê
trong ISO/IEC 27001. ISO/IEC 27002:2013 bao gồm các nội dung: chính sách an tồn
thơng tin; tổ chức an tồn thơng tin; an tồn người dùng; quản lý tài nguyên; điều khiển
truy cập; mã hóa; an toàn vật lý; an toàn vận hành; an toàn truyền thơng; an tồn hệ
thớng...
ISO/IEC 27003: Hướng dẫn thực hiện. Mục đích của tiêu chuẩn này là đưa ra
hướng dẫn thực tế cho việc xây dựng hệ thống quản lý an tồn thơng tin ISMS theo u
cầu của tiêu chuẩn ISO/IEC 27001. ISO/IEC 27003:2010 bao gồm các nội dung: Phê
duyệt chủ trương dự án ISMS; xác định phạm vi, chính sách ISMS; phân tích yêu cầu;
đánh giá rủi ro; và thiết kế ISMS.
ISO/IEC 27004: Kiểm tra đánh giá. Tiêu chuẩn này đưa ra hướng dẫn trong việc
xây dựng và triển khai kiểm tra đánh giá nhằm đảm bảo hệ thống ISMS đáp ứng các yêu
cầu trong ISO/IEC 27001. ISO/IEC 27004:2009 bao gồm các nội dung: Tổng quan về
kiểm tra đánh giá; trách nhiệm quản lý của các bên; lập kế hoạch kiểm tra đánh giá; tiến
hành đánh giá; phân tích dữ liệu và báo cáo; Đánh giá và cải tiến.
11
ISO/IEC 27005: Quản lý rủi ro. Tiêu chuẩn này hướng dẫn quản lý rủi ro đối với
hệ thống thông tin trong tổ chức, hỗ trợ yêu cầu đối với hệ thớng quản lý an tồn thơng
tin trong tiêu chuẩn ISO/IEC 27001. ISO/IEC 27005:2011 bao gồm các nội dung: đánh
giá rủi ro; xử lý rủi ro; chấp nhận rủi ro; truyền thông rủi ro; giám sát và xem xét rủi ro...
4.2 Phân tích khả năng áp dụng ISO/IEC 27000 trong bảo vệ hệ thống thông tin
theo cấp độ
4.2.1 Khái niệm ISMS
Theo [ISO/IEC 27000-2016, 3.1], các tổ chức thuộc các loại hình và quy mơ đều
có các nhiệm vụ:
a)
thu thập, xử lý, lưu trữ và trao đổi thông tin;
b)
nhận thức được rằng những thơng tin đó và các quy trình, hệ thớng, mạng
lưới và con người liên quan đều là những tài sản quan trọng để đạt được mục tiêu của tổ
chức;
c)
sản; và
phải đới mặt với một loạt các rủi ro có thể ảnh hưởng đến hoạt động của tài
d)
giải quyết các rủi ro nhận biết được thông qua việc triển khai biện pháp
kiểm sốt an tồn thơng tin.
Hệ thớng quản lý an tồn thơng tin (ISMS) bao gồm các chính sách, thủ tục, hướng
dẫn và các nguồn lực và hoạt động liên quan, được quản lý chung bởi một tổ chức, để bảo
vệ tài sản thơng tin của mình. Một ISMS là một cách tiếp cận có hệ thớng để thiết lập,
thực hiện, vận hành, giám sát, sốt xét, duy trì và cải thiện an tồn thơng tin của tổ chức
để đạt được mục tiêu nghiệp vụ.
4.2.2 Khái niệm Bảo đảm an tồn hệ thống thơng tin theo cấp độ
Theo [Điều 3, 3. Luật ATTT mạng], hệ thống thông tin là tập hợp phần cứng, phần
mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu
thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
Theo [Điều 21 mục 1 Luật ATTT mạng], phân loại cấp độ an tồn hệ thớng thơng
tin là việc xác định cấp độ an tồn thơng tin của hệ thống thông tin theo cấp độ tăng dần
từ 1 đến 5 để áp dụng các biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin
phù hợp theo cấp độ.
Theo [Điều 22 Luật ATTT mạng], Nhiệm vụ bảo vệ hệ thống thông tin
1. Xác định cấp độ an tồn thơng tin của hệ thớng thông tin
12
2. Đánh giá và quản lý rủi ro an toàn hệ thống thông tin
3. Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin.
4. Tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin.
5. Thực hiện chế độ báo cáo theo quy định.
6. Tổ chức tuyên truyền, nâng cao nhận thức về an tồn thơng tin mạng.
Theo [Điều 23 Luật ATTT mạng], biện pháp bảo vệ hệ thống thông tin
1. Ban hành quy định về bảo đảm an tồn thơng tin mạng trong thiết kế, xây dựng,
quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.
2. Áp dụng biện pháp quản lý, kỹ thuật theo tiêu chuẩn, quy chuẩn kỹ thuật an tồn
thơng tin mạng để phịng, chớng nguy cơ, khắc phục sự cớ an tồn thơng tin mạng.
3. Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện
pháp quản lý và kỹ thuật được áp dụng.
4. Giám sát an toàn hệ thống thông tin.
Lưu ý là Mục 1 của Luật ATTT mạng là Bảo vệ thông tin mạng. Mục 3 của Luật là
Bảo vệ hệ thống thông tin. Như vậy khái niệm bảo vệ hệ thống thông tin và khái niệm bảo
vệ thông tin là hai khái niệm khác nhau. ISMS là bảo vệ thông tin.
4.2.3 Khả năng áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp
độ
Từ các phân tích trên có thể đưa ra một sớ luận điểm sau:
1. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu dùng để
lưu trữ, xử lý và trao đổi thông tin [Luật ATTT mạng, Điều 3, 3.].
2. Bảo vệ hệ thống thông tin là một phần của bảo vệ thông tin. Nếu hệ thớng thơng
tin khơng an tồn thì thơng tin cũng sẽ khơng an tồn.
3. ISMS là bảo vệ thơng tin [ISO/IEC 27000-2016, 3.1].
4. Như vậy bảo vệ hệ thống thông tin là một phần của ISMS.
5. Có thể dùng ISMS để bảo vệ hệ thớng thơng tin.
Như vậy có thể áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp độ.
Trên thực tế, Tổ công tác xây dựng tiêu chuẩn an tồn thơng tin của Bộ Thơng tin
và Truyền thông đang dựa trên bộ tiêu chuẩn ISO/IEC 27000 để xây dựng bộ tiêu chuẩn
bảo vệ hệ thống thông tin theo cấp độ với định hướng như sau:
13
Bảng 1. Dự kiến các tiêu chuẩn tham chiếu cho bộ tiêu tiêu chuẩn bảo vệ hệ
thống thông tin theo cấp độ
Bảo vệ hệ thống thông tin theo cấp độ
Dự kiến tiêu chuẩn tham chiếu
Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ Tiêu chuẩn ISO/IEC 27001
thống thông tin theo cấp độ (dự thảo)
Tài liệu mô tả các biện pháp bảo đảm an toàn hệ Tiêu chuẩn ISO/IEC 27002
thống thông tin theo cấp độ (dự thảo)
Tài liệu hướng dẫn thực hiện bảo vệ hệ thống Tiêu chuẩn ISO/IEC 27003
thông tin theo cấp độ (dự thảo)
Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp Tiêu chuẩn ISO/IEC 27004 (Nội dung
độ (dự thảo)
xây dựng phép đo)
Tài liệu hướng dẫn quy trình kiểm tra đánh giá Tiêu chuẩn ISO/IEC 27004 (Nội dung
cấp độ (dự thảo)
quy trình kiểm tra đánh giá)
5. GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU TCVN 10541:2014 (ISO/IEC
27003:2010)
5.1 Mục tiêu của tiêu chuẩn
Tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) tập trung vào các khía cạnh
then chớt để thiết kế và triển khai thành công một hệ thớng quản lý an tồn thơng tin
(ISMS) theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005). Tiêu chuẩn này mơ tả
quy trình đặc tả và thiết kế ISMS từ lúc khởi đầu đến khi đưa ra các kế hoạch triển khai.
Tiêu chuẩn này cũng mơ tả quy trình để được ban quản lý phê chuẩn cho triển khai ISMS,
xác định một dự án triển khai ISMS (trong tiêu chuẩn này được gọi là dự án ISMS), và
đưa ra hướng dẫn lập kế hoạch dự án ISMS để có được kế hoạch triển khai dự án ISMS
chính thức.
5.2 Phạm vi tiêu chuẩn
Tiêu chuẩn này dành cho các tổ chức triển khai ISMS. Tiêu chuẩn này có thể áp
dụng cho tất cả các tổ chức ở mọi loại hình (ví dụ, các doanh nghiệp thương mại, các cơ
quan chính phủ, các tổ chức phi lợi nhuận) với đủ loại quy mơ. Mỗi tổ chức có tính phức
tạp và các rủi ro riêng, và các yêu cầu cụ thể của tổ chức sẽ chi phối việc triển khai ISMS.
Các tổ chức có quy mơ nhỏ sẽ nhận thấy các hoạt động được đưa ra trong tiêu chuẩn này
14
đều có thể áp dụng cho họ và có thể được đơn giản hóa hơn nữa. Các tổ chức phức hợp
hoặc quy mơ lớn có thể nhận thấy cần phải có một hệ thớng quản lý hoặc tổ chức theo
phân cấp để quản lý các hoạt động trong tiêu chuẩn này một cách hiệu quả. Tuy nhiên, cả
hai loại tổ chức đều có thể áp dụng tiêu chuẩn này để lập kế hoạch cho các hoạt động phù
hợp.
5.3 Cấu trúc tiêu chuẩn
Tiêu chuẩn này gồm 9 điều và 5 phụ lục cụ thể như sau:
Điều 1 Phạm vi áp dụng
Điều 2 Tài liệu viện dẫn
Điều 3 Thuật ngữ và định nghĩa
Điều 4 Các thuật ngữ viết tắt
Điều 5 Phê chuẩn cho khởi động dự án ISMS. Mục tiêu là được ban quản lý phê
chuẩn cho khởi động dự án ISMS thơng qua việc xác định tình h́ng nghiệp vụ và kế
hoạch dự án.
Điều 6 Xác định phạm vi ISMS và chính sách ISMS. Mục tiêu là xác định phạm vi
chi tiết và các giới hạn của ISMS, xây dựng chính sách ISMS, và được ban quản lý phê
chuẩn.
Điều 7 Tiến hành phân tích các u cầu an tồn thơng tin. Mục tiêu là xác định các
yêu cầu phù hợp sẽ được hỗ trợ bởi ISMS, xác định các tài sản thơng tin, và đạt được
trạng thái an tồn thơng tin hiện tại trong phạm vi.
Điều 8 Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro. Mục tiêu là xác định
phương pháp đánh giá rủi ro, xác định, phân tích và ước lượng rủi ro an tồn thơng tin để
chọn lựa cách xử lý rủi ro, mục tiêu quản lý và biện pháp quản lý.
Điều 9 Thiết kế ISMS. Mục tiêu là hoàn thiện kế hoạch triển khai ISMS chính thức
bằng cách: thiết kế an tồn về tổ chức dựa trên các phương án xử lý rủi ro được chọn và
các yêu cầu liên quan đến việc lập hồ sơ và tài liệu, thiết kế các biện pháp quản lý phới
hợp cung cấp sự an tồn cho ICT, các quy trình vật lý và tổ chức, và thiết kế yêu cầu cụ
thể về ISMS.
Phụ lục A – Tóm tắt các hoạt động có tham chiếu TCVN ISO/IEC 27001:2009
(ISO/IEC 27001:2005)
Phụ lục B – Các vai trò và trách nhiệm về an tồn thơng tin
15
Phụ lục C – Thông tin về lập kế hoạch đánh giá nội bộ
Phụ lục D – Cấu trúc các chính sách
Phụ lục E – Thơng tin về lập kế hoạch giám sát và đo lường.
6. DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN XXX-2018
6.1 Lý do xây dựng tiêu chuẩn
Luật an tồn thơng tin mạng quy định bảo vệ hệ thớng thơng tin theo cấp độ, trong
đó phân loại cấp độ an tồn hệ thớng thơng tin là việc xác định cấp độ an tồn thơng tin
của hệ thớng thơng tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và
kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp cấp độ.
Để triển khai bảo vệ an tồn hệ thớng thơng tin theo cấp độ theo quy định của Luật
An tồn thơng tin mạng, Nghị định số 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm
quyền, trình tự, thủ tục xác định cấp độ an tồn hệ thớng thơng tin và trách nhiệm bảo
đảm an tồn hệ thớng thơng tin theo từng cấp độ.
Hiện tại Việt Nam chưa có hướng dẫn thực hiện Nghị định số 85/2016/NĐ-CP.
Tiêu chuẩn này hướng dẫn thực hiện bảo vệ hệ thống thông tin theo cấp độ theo quy định
của Luật an tồn thơng tin mạng và Nghị định số 85/2016/NĐ-CP.
6.2 Nhu cầu thực tế và khả năng áp dụng
Việc bảo vệ hệ thống thông tin đáp ứng các yêu cầu an toàn cơ bản theo cấp độ
theo quy định là một nhu cầu cần thiết trên thực tế. Tiêu chuẩn giúp cho các cơ quan, tổ
chức, cá nhân xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông
tin tại Việt Nam, đảm bảo an toàn theo cấp độ quy định, phục vụ ứng dụng công nghệ
thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin
trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.
6.3 Mục đích xây dựng tiêu chuẩn
Xây dựng tiêu chuẩn nhằm hướng dẫn thực hiện Nghị định sớ 85/2016/NĐ-CP về
bảo đảm an tồn hệ thớng thông tin theo cấp độ.
6.4 Sở cứ xây dựng tiêu chuẩn
Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn TCVN 10541:2014, hoàn toàn
tương đương với tiêu chuẩn ISO/IEC 27003:2010. Đây cũng là tài liệu đã được nhiều
quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương.
16
Các phân tích liên quan đến việc sử dụng tiêu chuẩn ISO/IEC 27003:2010 làm tiêu
chuẩn tham chiếu cho tiêu chuẩn này đã được trình bày chi tiết ở mục 4.2.
6.5 Phương pháp xây dựng tiêu chuẩn
6.5.1 Nguyên tắc chung
Trên cơ sở các quy định về đảm bảo an toàn hệ thớng thơng tin theo cấp độ của
Luật An tồn thơng tin mạng và Nghị định số 85/2016/NĐ-CP, các phương pháp xây
dựng các tiêu chuẩn/quy chuẩn, Tiêu chuẩn này được xây dựng trên các nguyên tắc chung
như sau:
1) Theo phân tích ở mục 4.2.3, bảo vệ hệ thống thông tin là một phần của hệ thớng
quản lý an tồn thơng tin ISMS, vì vậy có thể dùng tiêu chuẩn TCVN 10541:2014
(ISO/IEC 27003:2010) Công nghệ thông tin – Các kỹ thuật an tồn – Hướng dẫn triển
khai hệ thớng quản lý an tồn thơng tin làm cơ sở để xây dựng hướng dẫn thực hiện bảo
vệ hệ thống thông tin.
2) Bổ sung, chỉnh sửa thêm các hướng dẫn vào tiêu chuẩn TCVN 10541:2014
(ISO/IEC 27003:2010) để thực hiện bảo vệ hệ thống thông tin theo cấp độ theo quy định
của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.
6.5.2 Các nội dung chỉnh sửa, bổ sung
Như phân tích ở trên hệ thớng quản lý an tồn thơng tin ISMS đã bao trùm bảo vệ
hệ thớng thơng tin. Do đó có thể nói nếu thực hiện theo hướng dẫn trong tiêu chuẩn
TCVN 10541:2014 (ISO/IEC 27003:2010) thì cũng đã thực hiện bảo vệ hệ thớng thơng
tin, tuy nhiên có hai vấn đề tồn tại:
a) ISMS có phạm vi rộng, người sử dụng khó xác định nội dung nào là trực tiếp
dùng cho bảo vệ hệ thống thông tin;
b) Đối với các nội dung trực tiếp dùng cho bảo vệ hệ thống thông tin, vấn chưa có
nội dung về bảo vệ hệ thớng thơng tin theo cấp độ theo quy định của Luật an tồn thơng
tin mạng và Nghị định sớ 85/2016/NĐ-CP.
Vì vậy, các nội dung chỉnh sửa bổ sung cũng thuộc hai nhóm chính, lần lượt giải
quyết hai vấn đề trên:
Nhóm 1: Hướng dẫn bổ sung giúp người sử dụng xác định nội dung nào là trực
tiếp dùng cho bảo vệ hệ thống thông tin, giúp người dùng thực hiện bảo vệ hệ thống
thông tin.
17
Nhóm 2: Hướng dẫn bổ sung đưa thêm những nội dung về bảo vệ hệ thống thông
tin theo cấp độ theo quy định của Luật an tồn thơng tin mạng và Nghị định số
85/2016/NĐ-CP, giúp người dùng thực hiện bảo vệ hệ thống thông tin theo cấp độ.
Đối với nội dung thuộc nhóm 2, một sớ nội dung phải viện dẫn nội dung từ các
tiêu chuẩn khác bao gồm:
a) Nội dung Xác định các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ
đã được xác định (nằm trong hoạt động 7.2 - Xác định yêu cầu) cần viện dẫn Tài liệu mô
tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo);
b) Nội dung Đánh giá an tồn đới với hệ thống thông tin (nằm trong hoạt động 7.4
- Kiểm tra đánh giá) cần viện dẫn Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống
thông tin theo cấp độ (dự thảo); Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp độ (dự
thảo); và Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo);
c) Nội dung Lựa chọn các mục tiêu và biện pháp bảo đảm an toàn hệ thống thông
tin (nằm trong hoạt động 8.3 - Chọn lựa biện pháp BVHTTT) cần viện dẫn Tài liệu mô tả
các biện pháp bảo đảm an tồn hệ thớng thơng tin theo cấp độ (dự thảo);
d) Nội dung Thiết kế bảo vệ hệ thống thông tin (nằm trong hoạt động 9 – Thiết kế
và thực thi) cần viện dẫn Tài liệu mơ tả các biện pháp bảo đảm an tồn hệ thống thông tin
theo cấp độ (dự thảo);
e) Các nội dung Bảo trì và Chấm dứt hệ thớng thơng tin được bổ sung trong hoạt
động 10 - Vận hành;
Các nội dung trên hiện tại đang tạm thời được xây dựng dựa trên giả thuyết là các
tài liệu viện dẫn sẽ được xây dựng tương đương với các tài liệu trong bộ ISO/IEC 27000
như đối chiếu trong Bảng 1. Nếu sau này, các tài liệu viện dẫn đó được cơng bớ, tiêu
chuẩn này cần được chỉnh sửa cho phù hợp với thực tế.
6.6 Các nội dung dự thảo tiêu chuẩn quốc gia
6.6.1 Các nội dung trong từng hoạt động cụ thể
Các nội dung trong từng hoạt động cụ thể được tổng hợp trong Bảng 2.
Bảng 2.
Giai đoạn / Hoạt động
5
Khởi động
5.2
Xác
định
Các nội dung trong từng hoạt động cụ thể
Đầu vào
Đầu ra
mục Mục tiêu chiến lược của tổ Mục tiêu của tổ chức đối với
18
tiêu của tổ chức đối với chức;
BVHTTT
BVHTTT
Tổng quan về các các biện
pháp bảo đảm an tồn hệ
thớng thơng tin hiện có
5.3
Xác định phạm vi BVHTTT sơ bộ
5.3.1 Xác định phạm vi Mục tiêu của tổ chức đối Phạm vi sơ bộ của hệ thống thông
sơ bộ của hệ thống với BVHTTT
tin
thơng tin
5.3.2 Xác định vai trị Phạm vi sơ bộ của hệ Vai trị và trách nhiệm đới với
và trách nhiệm đối với thống thông tin;
BVHTTT
BVHTTT
Danh sách các bên liên
quan đến BVHTTT
5.4
Đề xuất dự án Mục tiêu của tổ chức đối Bản đề xuất dự án BVHTTT ban
BVHTTT ban đầu
với BVHTTT;
đầu
Phạm vi sơ bộ của hệ
thớng thơng tin;
Vai trị và trách nhiệm đối
với BVHTTT
6
Xác định phạm vi, cấp độ
6.2
Xác định phạm vi Bản
và giới hạn về tổ chức
đề
xuất
dự
BVHTTT ban đầu
án Phạm vi và giới hạn về tổ chức
đối với hệ thớng thơng tin;
Các biện pháp bảo đảm an tồn về
tổ chức đối với hệ thống thông tin
hiện đang được sử dụng
6.3
Xác định phạm vi Bản
đề
xuất
dự
và giới hạn về công BVHTTT ban đầu;
án Phạm vi và giới hạn về ICT đối
với hệ thống thông tin;
nghệ thông tin và truyền Phạm vi và giới hạn về tổ Các biện pháp bảo đảm an tồn về
thơng (ICT)
19
chức đối với hệ thống ICT đối với hệ thống thông tin
thông tin
6.4
Xác định phạm vi Bản
và giới hạn vật lý
đề
hiện đang được sử dụng
xuất
dự
án Phạm vi và giới hạn về vật lý đối
BVHTTT ban đầu;
với hệ thống thông tin;
Phạm vi và giới hạn về tổ Các biện pháp bảo đảm an tồn về
chức đới với hệ thớng vật lý đối với hệ thống thông tin
thông tin;
hiện đang được sử dụng
Phạm vi và giới hạn về
ICT đối với hệ thống
thông tin
6.5
Tổng hợp phạm Bản
đề
xuất
dự
án Phạm vi và giới hạn của hệ thống
vi và giới hạn của hệ BVHTTT ban đầu;
thống thông tin
thông tin;
Phạm vi và giới hạn về tổ Các biện pháp bảo đảm an tồn
chức đới với hệ thớng đối với hệ thống thông tin hiện
thông tin;
đang được sử dụng
Các biện pháp bảo đảm an
tồn về tổ chức đới với hệ
thống thông tin hiện đang
được sử dụng;
Phạm vi và giới hạn về
ICT đối với hệ thống
thông tin;
Các biện pháp bảo đảm an
tồn về ICT đới với hệ
thớng thơng tin hiện đang
được sử dụng;
Phạm vi và giới hạn về vật
lý đối với hệ thống thông
20
tin;
Các biện pháp bảo đảm an
tồn về vật lý đới với hệ
thống thông tin hiện đang
được sử dụng
6.6
Xác định cấp độ Phạm vi và giới hạn của Cấp độ của hệ thống thông tin
của hệ thống thông tin
6.7
hệ thống thông tin
Xây dựng chính Bản
sách tổng thể BVHTTT
đề
xuất
dự
án Chính sách tổng thể BVHTTT
BVHTTT ban đầu;
Phạm vi và giới hạn của
hệ thống thơng tin;
Cấp độ của hệ thớng thơng
tin
7
Phân tích u cầu
7.2
Xác định u cầu
Chính
sách
tổng
thể u cầu đới với BVHTTT
tổng
thể Danh mục tài sản thơng tin
BVHTTT
7.3
Xác định tài sản Chính
thơng tin
sách
BVHTTT
u cầu đới với BVHTTT
7.4
giá
Kiểm tra đánh Chính
sách
tổng
thể Kết quả kiểm tra đánh giá
BVHTTT;
Các biện pháp bảo đảm an
tồn đới với hệ thống
thông tin hiện đang được
sử dụng;
Yêu
cầu
đối
BVHTTT;
21
với
Danh mục tài sản thông
tin
8
Quản lý rủi ro
8.2
Tiến hành đánh Chính
giá rủi ro
8.3
sách
tổng
thể Tài liệu mơ tả phương pháp đánh
BVHTTT;
giá rủi ro;
Kết quả kiểm tra đánh giá
Kết quả từ đánh giá rủi ro
Chọn lựa biện Kết quả đánh giá rủi ro
Các biện pháp BVHTTT;
pháp BVHTTT
8.4
Lập
kế
Kế hoạch xử lý rủi ro
hoạch Bản
triển khai BVHTTT
đề
xuất
dự
án Kế hoạch triển khai BVHTTT
BVHTTT ban đầu;
Chính
sách
tổng
thể
BVHTTT;
Tài liệu mô tả phương
pháp đánh giá rủi ro;
Kết quả đánh giá rủi ro;
Các biện pháp BVHTTT;
Kế hoạch xử lý rủi ro
9
Thiết kế và thực thi
9.2
Thiết kế về tổ chức
9.2.1 Thiết kế cơ cấu Bản
tổ chức cho BVHTTT
đề
xuất
dự
án Cơ cấu tổ chức cho BVHTTT
BVHTTT ban đầu;
Chính
sách
tổng
thể
BVHTTT;
Kết quả kiểm tra đánh giá;
Kế
hoạch
triển
BVHTTT
22
khai
9.2.2 Thiết kế cấu trúc Chính
sách
tổng
thể Cấu trúc khung hệ thống tài liệu
khung hệ thống tài liệu BVHTTT;
cho BVHTTT
Kế
cho BVHTTT
hoạch
triển
khai
BVHTTT;
Cơ
cấu
tổ
chức
cho
BVHTTT
9.2.3 Thiết kế chính Bản
sách BVHTTT
đề
xuất
dự
án Chính sách BVHTTT
BVHTTT ban đầu;
Chính
sách
tổng
thể
BVHTTT;
Kết quả kiểm tra đánh giá;
Kế
hoạch
triển
khai
BVHTTT;
Cơ
cấu
tổ
chức
cho
BVHTTT;
Cấu trúc khung hệ thống
tài liệu cho BVHTTT
9.2.4 Xây
dựng
quy trình và thủ tục
các Chính
sách
tổng
thể Tài liệu thiết kế về tổ chức cho
BVHTTT;
Kế
BVHTTT
hoạch
triển
khai
BVHTTT;
Cơ
cấu
tổ
chức
cho
BVHTTT;
Cấu trúc khung hệ thống
tài liệu cho BVHTTT
9.3
Thiết kế về vật lý Chính
và ICT
sách
tổng
BVHTTT;
thể Tài liệu thiết kế về vật lý và ICT
cho BVHTTT
23
Kết quả kiểm tra đánh giá;
Kế
hoạch
triển
khai
BVHTTT
9.4
Tổng hợp tài liệu Chính sách BVHTTT;
thiết kế
Thiết kế chi tiết BVHTTT
Tài liệu thiết kế về tổ chức
cho BVHTTT;
Tài liệu thiết kế về vật lý
và ICT cho BVHTTT
9.5
Thực thi
Thiết kế chi tiết BVHTTT
Các biện pháp bảo đảm an tồn hệ
thớng thơng tin được thực thi.
10
Vận hành
10.2
Sốt xét
Chính sách BVHTTT;
Kế
hoạch
triển
Kế hoạch sốt xét
khai
BVHTTT
10.3
huấn
Chương trình tập Chính sách BVHTTT;
Yêu
cầu
đối
BVHTTT;
Các tài liệu giáo dục, đào tạo và
với nâng cao nhận thức về an tồn
thơng tin;
Đội ngũ thực hiện giáo dục, đào
Kế hoạch xử lý rủi ro;
Kế
hoạch
triển
khai
BVHTTT;
tạo và nâng cao nhận thức về an
tồn thơng tin, bao gồm các vai
trò và trách nhiệm;
Tài liệu thiết kế về tổ chức
cho BVHTTT;
Các kế hoạch giáo dục, đào tạo và
nâng cao nhận thức về an tồn
thơng tin;
Các hồ sơ thực tế thể hiện các kết
quả của công tác giáo dục, đào
tạo và nâng cao nhận thức về an
24
tồn thơng tin cho các nhân viên.
10.4
Hủy bỏ
Danh mục tài sản thông Tài liệu, hồ sơ xử lý dữ liệu và
tin;
thiết bị
Danh mục thiết bị phần
cứng, phần mềm;
Danh mục thiết bị lưu trữ
6.6.2 Đối chiếu với tiêu chuẩn tham chiếu
Kết quả đới chiếu tiêu chuẩn tham chiếu được trình bày trong Bảng 3.
Bảng 3.
STT
Kết quả đối chiếu tiêu chuẩn tham chiếu
Nội dung tiêu chuẩn
Tài liệu tham chiếu
Sửa đổi, bổ sung
TCVN 10541:2014
(ISO/IEC 27003:2010)
1
Phạm vi áp dụng
Phạm vi áp dụng
Có sửa đổi, bổ sung
2
Tài liệu viện dẫn
Tài liệu viện dẫn
Có sửa đổi, bổ sung
3
Thuật ngữ và định nghĩa
Thuật ngữ và định nghĩa
Có sửa đổi, bổ sung
4
Cấu trúc tiêu chuẩn
Cấu trúc tiêu chuẩn
Có sửa đổi, bổ sung
4.1
Cấu trúc chung của các điều
Cấu trúc chung của các Có sửa đổi, bổ sung
điều
4.2
Cấu trúc chung của từng điều
Cấu trúc chung của từng Có sửa đổi, bổ sung
điều
4.3
Biểu đồ
Biểu đồ
5
Khởi động
Phê chuẩn cho khởi động Có sửa đổi, bổ sung
dự án ISMS
5.1
Tổng quan về giai đoạn khởi
động
Tổng quan về cách thức Có sửa đổi, bổ sung
để được phê chuẩn cho
khởi động dự án ISMS
25
Có sửa đổi, bổ sung
