CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

BỘ THÔNG TIN VÀ TRUYỀN THÔNG ---THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN xxxx:xxxx CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN Informati

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

-THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

TCVN xxxx:xxxx

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN

THÔNG TIN

Information technology – Security techniques – Code of practice for infomation

security management

HÀ NỘI - 9/2010

MỤC LỤC

1 HIỆN TRẠNG QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM 3

1.1 Hiện trạng quản lý an toàn thông tin ở Việt Nam 3

1.2 Chủ trương chính sách của nhà nước về an toàn thông tin 3

1.3 Kết luận 4

2 GIỚI THIỆU VỀ TÀI LIỆU THAM CHIẾU, TIÊU CHUẨN VIỆN DẪN 5

2.1 ISO/IEC 27002 - Quy tắc thực hành quản lý an toàn thông tin 6

2.2 TCVN 7562:2005 ISO/IEC 17799:2000- Công nghệ thông tin - Mã thực hành quản lý an ninh thông tin 8

2.3 So sánh TCVN 7562:2005 ISO/IEC 17799:2000 và ISO/IEC 27002: 2005 9

3 DỰ THẢO TIÊU CHUẨN QUỐC GIA VỀ QUY TẮC QUẢN LÝ AN TOÀN THÔNG TIN 13

3.1 Lý do xây dựng tiêu chuẩn: 13

3.2 Nhu cầu thực tế và khả năng áp dụng: 14

3.3 Mục đích: 14

3.4 Sở cứ xây dựng tiêu chuẩn 14

3.5 Phương pháp xây dựng tiêu chuẩn 14

3.6 Các nội dung dự thảo 14

1 HIỆN TRẠNG QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM

1.1 Hiện trạng quản lý an toàn thông tin ở Việt Nam

- Sự bùng nổ của Internet và thương mại điện tử bên cạnh việc tạo ra những cơ hội lớn

là những nguy cơ rủi ro mất an toàn thông tin, ảnh hưởng trực tiếp đến nền kinh tế và

xã hội hiện đại Trong giai đoạn đầu của quá trình phát triển thương mại điện tử ở Việt Nam, vấn đề mất an toàn thông tin được đánh giá là trở ngại lớn nhất

- Hiện trạng an toàn thông tin ở Việt Nam vẫn còn rất yếu, trong đó nhận thức về tầm quan trọng của an toàn thông tin của các tổ chức, doanh nghiệp vẫn chưa cao và đa số không chú trọng đến lĩnh vực này

- Kiến thức về an toàn thông tin của các tổ chức, doanh nghiệp còn thấp (nhiều nơi không rõ động cơ của tội phạm tin học và định lượng được thiệt hại tài chính khi bị tấn công)

- Việc kiểm soát an toàn thông tin hiện nay chủ yếu lệ thuộc vào các giải pháp kỹ thuật

mà chưa chú trọng đến yếu tố con người Con người ở đây không phải chỉ những người làm về CNTT trong tổ chức, doanh nghiệp, mà là tất cả mọi người ở tất cả các

bộ phận Phải làm sao để tất cả những người đó họ nhận thức được rằng an toàn thông tin là rất quan trọng và nó nắm vai trò quyết định sự thành công cũng như sự phát triển của tổ chức, doanh nghiệp mình

- Hầu hết tổ chức, doanh nghiệp không có quy chế về an toàn thông tin và quy trình phản ứng khi có sự cố

1.2 Chủ trương chính sách của nhà nước về an toàn thông tin

- Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước đã quy định cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về

an toàn thông tin

- Năm 2007, Bộ Bưu chính Viễn thông (nay là Bộ Thông tin và Truyền thông) đã có Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet đã yêu cầu các cơ quan, tổ chức, doanh nghiệp viễn thông, internet tham gia hoạt động trên mạng Internet phải xây dựng quy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thông tin, tham khảo các chuẩn quản lý an toàn TCVN 7562, ISO 27001, đảm bảo khả năng truy vết và khôi phục thông tin trong trường hợp có sự cố

- Ngày 13/1/2010, Thủ tướng Chính phủ đã ký Quyết định số 63/QĐ-TTg phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020

Quy hoạch đặt ra 4 mục tiêu tổng quát đến năm 2020, hệ thống thông tin trọng yếu quốc gia được đảm bảo ATTT bởi các hệ thống bảo mật chuyên dùng có độ tin cậy cao; hình thành mạng lưới điều phối ứng cứu sự cố về an toàn mạng và hạ tầng thông tin quốc gia với sự tham gia của các thành phần kinh tế; Nhân lực công nghệ thông tin của Việt nam được đào tạo về ATTT với trình độ tương đương với các nước dẫn đầu

trong khu vực ASEAN; nhận thức xã hội về ATTT được phổ cập và ngày một nâng cao; 100% cán bộ quản trị hệ thống trong hệ thống thông tin trọng yếu quốc gia được đào tạo và cấp chứng chỉ quốc gia về ATTT

Năm 2010, ban hành hệ thống các tiêu chuẩn và tiêu chí đánh giá ATTT cho các hệ thống thông tin, để từ năm 2015 các tiêu chuẩn này được áp dụng rộng rãi trong toàn

bộ các hệ thống thông tin trọng yếu của quốc gia

Cục An toàn thông tin quốc gia sẽ được thành lập để quản lý, điều phối và hướng dẫn cho các hoạt động đảm bảo ATTT trên phạm vi cả nước Đồng thời, thành lập các Nhóm ứng cứu sự cố máy tính (CSIRT) tại các cơ quan đơn vị và liên kết các CSIRT thành một mạng lưới trên toàn quốc nhằm ứng phó kịp thời khi xảy ra các sự cố mất ATTT

1.3 Kết luận

Cùng với việc ứng dụng rộng rãi của Internet, đặc biệt Internet băng thông rộng, số vụ xâm phạm an toàn bảo mật ở Việt Nam đã ngày càng tăng, đặt ra mối quan tâm ngày càng lớn đối với vấn đề an toàn thông tin ở Việt Nam

ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người Tuy nhiên, con người lại là khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin Việc nhận thức kém, thiếu cẩn thận và lơ là bảo mật là nguyên nhân chính gây ra làm cho tình trạng mất an toàn thông tin ngày càng nghiêm trọng Hầu hết tổ chức, doanh nghiệp không có quy chế về an toàn thông tin và quy trình phản ứng khi có sự cố

Do vậy, cần có các chính sách và hệ thống tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin làm căn cứ cho các tổ chức xây dựng quy chế an toàn thông tin của tổ chức

để bảo vệ thông tin trước các mối đe dọa và đảm bảo sự liên tục của hoạt động, giảm thiểu rủi ro, đạt được tối đa lợi nhuận đầu tư và các cơ hội kinh doanh

2 GIỚI THIỆU VỀ TÀI LIỆU THAM CHIẾU, TIÊU CHUẨN VIỆN DẪN

Bảng 1: Các tiêu chuẩn về hệ thống quản lý an toàn thông tin trên thế giới

và ở Việt Nam

1

ISO/IEC 27000

Information security management systems — Overview and vocabulary

2

ISO/IEC 27001

Information security management systems — Requirements

TCVN ISO/IEC 27001:2009 ISO/IEC

27001:2005

Công nghệ thông tin - Hệ thống quản

lý an toàn thông tin – Các yêu cầu

3

ISO/IEC 27002

Code of practice for information

security management

TCVN 7562:2005 ISO/IEC 17799:2000 Công nghệ thông tin - Mã thực hành quản lý an ninh thông tin

4

ISO/IEC 27003

Information security management system implementation guidance

5

ISO/IEC 27004

Information security risk management

6

ISO/IEC 27005

Information security risk management management

systems

Requirements for bodies providing audit and certification

of information security

management systems

8

ISO/IEC 27011

Information security management guidelines for telecommunications organizations based on ISO/IEC

27002

9

ISO 27799

Information security management in health using ISO/IEC 27002

2.1 ISO/IEC 27002 — Công nghệ thông tin - Quy tắc thực hành quản lý an toàn thông tin

Phiên bản hiện tại: ISO/IEC 27002: 2005

Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác về quản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin ISO/IEC 27000

Mục tiêu

Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai, duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức Mục tiêu đặt

ra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung

đã được công nhận về quản lý an toàn thông tin

Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng các yêu cầu được xác định bởi quá trình đánh giá rủi ro Tiêu chuẩn này có thể đóng vai trò như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổ chức và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt động liên tổ chức

Nội dung

Sự phát triển công nghệ, dịch vụ cũng như sự thay đổi khác trong xã hội đã bộc lộ những vấn đề mà tiêu chuẩn ISO/IEC 17799: 2000 chưa đáp ứng được Nội dung của

ISO/IEC 27002: 2005 đã được cập nhật để bổ sung, điều chỉnh một số vấn đề so với ISO/IEC 17799: 2000 để đáp ứng được các yêu cầu thực tiễn

Nội dung của ISO/IEC 27002: 2005 bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 11 nhóm Dựa trên việc phân tích các ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên bản mới này có khá nhiều thay đổi so với phiên bản năm 2000 Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây…

Cấu trúc

Về mặt cấu trúc, tiêu chuẩn ISO/IEC 27002: 2005 đã có một số thay đổi phù hợp hơn với thực tế so với tiêu chuẩn ISO/IEC 17799

Tiêu chuẩn này gồm 11 điều về kiểm soát an toàn thông tin với tất cả 39 danh mục an toàn chính và một điều giới thiệu về đánh giá và xử lý rủi ro Mỗi điều gồm một số danh mục an toàn chính:

 Chính sách an toàn (1)

 Tổ chức thực hiện an toàn thông tin (2)

 Quản lý tài sản (2)

 An toàn nguồn nhân lực (3)

 An toàn vật lý và môi trường (2)

 Quản lý khai thác và truyền thông (10)

 Kiểm soát truy cập (7)

 Thu thập, phát triển và duy trì hệ thống thông tin (6)

 Quản lý sự cố an toàn thông tin (2)

 Quản lý tính liên tục về nghiệp vụ (1)

 Sự tuân thủ (3)

Trong tiêu chuẩn này nội dung của các điều không đề cập đến tầm quan trọng của chúng Tùy thuộc vào từng trường hợp cụ thể, tất cả các điều này có thể rất quan trọng,

vì vậy mỗi tổ chức áp dụng tiêu chuẩn này cần xác định các điều khoản thích hợp, tầm quan trọng của chúng và áp dụng chúng cho các quá trình nghiệp vụ cụ thể Các danh mục trong tiêu chuẩn này không được đặt theo thứ tự ưu tiên (trừ khi được chú thích) ISO/IEC 27002 đã có các tiêu chuẩn hoàn toàn tương đương ở một số quốc gia

Bảng 2: Các tiêu chuẩn quốc gia tương đương ISO/IEC 27002

Australia

New Zealand

AS/NZS ISO/IEC 27002:2006

Netherlands NEN-ISO/IEC 17799:2002 nl, đang dịch phiên bản năm 2005

Peru NTP-ISO/IEC 17799:2007

United KingdomBS ISO/IEC 27002:2005

2.2 TCVN 7562:2005 ISO/IEC 17799:2000- Công nghệ thông tin - Mã thực hành quản lý an ninh thông tin

Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 và hoàn toàn tương đương với tiêu chuẩn quốc tế này Đây chính là phiên bản cũ của ISO/ IEC 27002

Tiêu chuẩn này đưa ra các khuyến nghị về công tác quản lý an ninh thông tin cho những người có trách nhiệm cài đặt, thực thi hoặc duy trì an ninh trong tổ chức của họ Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các tiêu chuẩn an ninh trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu quả và tạo sự tin cậy trong các giao dịch liên tổ chức

Cũng như ISO/IEC 17799:2000, TCVN 7562:2005 ISO/IEC 17799:2000 đã đưa ra 127

biện pháp nhằm đảm bảo an toàn thông tin được phân thành 10 nhóm, bao gồm:

 Chính sách an ninh

 An ninh tổ chức

 Phân loại và kiểm soát tài sản

 An ninh cá nhân

 An ninh môi trường và vật lý

 Quản lý truyền thông và hoạt động

 Kiểm soát truy cập

 Phát triển và duy trì hệ thống

 Quản lý liên tục trong kinh doanh

 Sự tuân thủ

2.3 So sánh TCVN 7562:2005 ISO/IEC 17799:2000 và ISO/IEC 27002: 2005

Phần này so sánh 2 tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2000 (ISO/IEC 17799:2000) và ISO/IEC 27002: 2005 để thấy được sự cải tiến của ISO/IEC 27002:

2005 so với phiên bản cũ đồng thời đánh giá sự phù hợp và khả năng đáp ứng yêu cầu thực tiễn của TCVN 7562:2005 ISO/IEC 17799:2000

Về nội dung:

Nội dung của ISO/IEC 27002: 2005 đã được cập nhật, bổ sung, điều chỉnh một số vấn

đề so với ISO/IEC 17799: 2000 Cụ thể:

- Bổ sung, điều chỉnh một số thuật ngữ:

o Bổ sung 14 thuật ngữ

o Thuật ngữ “đánh giá rủi ro” trong ISO/IEC 27002: 2005 được định nghĩa

là “toàn bộ quá trình phân tích rủi ro và ước lượng rủi ro”, còn trong TCVN 7562 là “đánh giá các mối đe dọa, những ảnh hưởng và điểm yếu của thông tin và các phương tiện xử lý thông tin cũng như khả năng có thể xảy ra”

o Thuật ngữ “quản lý rủi ro” trong ISO/IEC 27002: 2005 được định nghĩa

là “các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước

giá rủi ro, xử lý rủi ro, thừa nhận rủi ro và thông báo rủi ro”

- Bổ sung các 2 điều về đánh giá và xử lý rủi ro, và quản lý sự cố an toàn thông tin

- Nội dung trong các điều đã có ở ISO/IEC 17799: 2000 khi được đưa vào ISO/IEC 27002: 2005 cũng có sự bổ sung, điều chỉnh phù hợp Ví dụ, điều 10-quản lý khai thác và truyền thông, có bổ sung nội dung về trao đổi thông tin khi làm việc với tổ chức bên ngoài, và nội dung về các dịch vụ thương mại điện tử Ngoài ra, TCVN 7562:2005 ISO/IEC 17799:2000 có một số lỗi dịch thuật chưa chính xác:

- Thuật ngữ “an ninh” và “an ninh thông tin” được sử dụng trong tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2000 phải được dịch là “an toàn” và “an toàn thông tin” theo đúng định nghĩa về an toàn thông tin là “Sự duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin”

- Điều 6 của TCVN 7562:2005 ISO/IEC 17799:2000 có tên là “an ninh cá nhân” xuất phát từ cụm từ “personnel security” Cụm từ “personnel security” trong tiêu chuẩn này có ý nghĩa là việc đảm bảo an toàn thông tin từ nguồn nhân lực

Bảng 3: So sánh TCVN 7562:2005 ISO/IEC 17799:2000 và ISO/IEC 27002: 2005

TCVN 7562:2005

Thuật ngữ và định nghĩa (Terms and

definitions): 3 thuật ngữ

Terms and definitions: 17 thuật ngữ

Risk assessment & treatment Chính sách an ninh (Security policy) Security policy

Chính sách an ninh thông tin Information security policy

An ninh tổ chức

(Security organization)

Organisation of information security

Hạ tầng an ninh thông tin Internal Organization

An ninh đối với sự truy cập của bên thứ ba External parties

Cung ứng bên ngoài

Phân loại và kiểm soát tài sản (Asset

classification and control)

Asset management

Trách nhiệm giải trình các tài sản Responsibility for Assets

Phân loại thông tin Information classification

An ninh cá nhân (Personnel security) Human resource security

An ninh theo đĩnh nghĩa và nguồn công

việc

Prior to employment

Đào tạo người sử dụng During employment

Đối phó với các sự cố và sự cố an ninh Termination or change employment

An ninh môi trường vật lý

(Physical and environmental security)

Physical and environmental security

Kiểm soát chung

Quản lý truyền thông và hoạt động

(Communication and operation management)

Communications and operations management

Trách nhiệm và thủ tục hoạt động Operational procedures and

responsibilities Lập kế hoạch hệ thống và sự công nhận Thirt party service delivery management Bảo vệ chống lại phần mềm cố ý gây hại System planning and acceptance

Công việc cai quản Protection agains malicious and mobilde

code

Trình điều khiển và an ninh môi trường

truyền thông

Network security management

Các trao đổi thông tin và phần mềm Media handling

Exchange of information Electronic commerce services Monitoring

Kiểm soát truy cập (Access control) Access control

Yêu cầu kinh doanh đối với kiểm soát truy

Quản lý truy cập người sử dụng User access management

Trách nhiệm của người sử dụng User responsibilities

Kiểm soát truy cập mạng Network access control

Kiểm soát truy cập hệ điều hành Operating system access control

Kiểm soát truy cập của ứng dụng Application and information access

control Kiểm tra sự truy cập và sử dụng hệ thống Mobile computing and teleworking Công tác từ xa và tính toán lưu động

Phát triển và duy trì hệ thống

(System development & maintenance)

Information systems acquisition development and maintenance.

Các yêu cầu an ninh của hệ thống Security requirements of information

systems

An ninh trong các hệ thống ứng dụng Correct processing in applications Các kiểm soát mật mã hóa Cryptographic controls

An ninh các tệp hệ thống Security of system files

An ninh quá trình hỗ trợ và phát triển Sucurity in development and support

process Technical vulnerability management

Information security incident management Quản lý liên tục trong kinh doanh

(Business continuity)

Business continuity management

Các khía cạnh về quản lý liên tục trong

kinh doanh

Information secrity aspects of business continuity management

Sự tuân thủ

(Compliance)

Compliance

Tuân thủ các yêu cầu pháp lý Compliance with legal requirements Soát xét của chính sách an ninh và yêu cầu

kỹ thuật

Compliance with security policies and standard, and technical compliance

Sự xem xét kiểm tra hệ thống Information systems audit consideration Cấu trúc