THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CNTT - CÁC KỸ THUẬT AN TOÀN ỨNG DỤNG TIÊU CHUẨN ISO/IEC 27001 THEO LĨNH VỰC CỤ THỂ – CÁC YÊU CẦU ”

BỘ THÔNG TIN VÀ TRUYỀN THÔNGCỤC AN TOÀN THÔNG TIN  ---THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN CÁC KỸ THUẬT AN TOÀN -ỨNG DỤNG TIÊU CHUẨN ISO/IEC 27001 THEO LĨ

Trang 1

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

CỤC AN TOÀN THÔNG TIN



-THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN CÁC KỸ THUẬT AN TOÀN

-ỨNG DỤNG TIÊU CHUẨN ISO/IEC 27001 THEO LĨNH VỰC CỤ THỂ –

CÁC YÊU CẦU ”

(Information technology – Security techniques – Spector-specific

application of ISO/IEC 27001 – Requirements)

Hà Nội, 2020

Trang 2

M C L C ỤC LỤC ỤC LỤC

1 Tên gọi và ký hiệu tiêu chuẩn 2

2 Đặt vấn đề 2

2.1 Tình hình tiêu chuẩn hóa về quản lý an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27xxx) 2

2.2 Vai trò và mối quan hệ của ISO/IEC 27009:2016 trong họ tiêu chuẩn ISO/IEC 27xxx 16

3 Lý do xây dựng tiêu chuẩn 19

3.1 Mục tiêu 19

3.2 Lý do 19

4 Nhu cầu thực tế và khả năng áp dụng 21

5 Sở cứ xây dựng tiêu chuẩn 22

6 Nội dung dự thảo tiêu chuẩn kỹ thuật 22

6.1 Giới thiệu ISO/IEC 27009:2016 22

6.2 Cấu trúc và nội dung Dự thảo tiêu chuẩn 23

6.3 Bảng đối chiếu tiêu chuẩn viện dẫn 24

TÀI LIỆU KHAM KHẢO 26

Trang 3

1 Tên gọi và ký hiệu tiêu chuẩn

Tên tiêu chuẩn quốc gia: “Công nghệ thông tin - Các kỹ thuật an toàn – Ứng

dụng tiêu chuẩn ISO/IEC 27001 theo lĩnh vực cụ thể – Các yêu cầu”

Kí hiệu: TCVN XXXX:2020

Mục tiêu của việc xây dựng tiêu chuẩn:

Tiêu chuẩn này xác định các yêu cầu đối với việc sử dụng ISO/IEC27001:2013 trong các lĩnh vực cụ thể (ngành, miền ứng dụng hoặc khu vực thịtrường) Tiêu chuẩn này hướng dẫn cách thức bổ sung, hiệu chỉnh cho các yêucầu trong ISO/IEC 27001:2013 và cách thức thêm vào các các biện pháp kiểmsoát hoặc tập các biện pháp kiểm soát bổ sung ngoài Phụ lục A của ISO/IEC27001: 2013

Hoàn thiện Bộ tiêu chuẩn quốc gia về an toàn thông tin bộ 27xxx

2 Đặt vấn đề

2.1Tình hình tiêu chuẩn hóa về quản lý an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27xxx)

2.1.1 Tình hình chuẩn hóa về an toàn thông tin trên thế giới

Việc triển khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS:Information Security Management System) theo các nguyên tắc của bộ tiêuchuẩn quốc tế ISO/IEC 27xxx được biết đến là một trong các biện pháp phòngngừa sự cố ATTT hữu hiệu Có thể nói rằng, ISO/IEC 27000 là một phần của hệthông quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cậncác rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, soát xét,duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức

Bộ tiêu chuẩn ISO/IEC 27xxx có thể áp dụng được cho các tổ chức với cácquy mô và loại hình khác nhau Tất cả các tổ chức đều được khuyến khích đánhgiá các rủi ro an toàn thông tin trong tổ chức, sau đó triển khai các biện phápkiểm soát an toàn thông tin phù hợp theo các nhu cầu của họ dựa trên các hướngdẫn và gợi ý liên quan

Trang 4

Theo cập nhật mới nhất năm 2019, Bộ tiêu chuẩn ISO/IEC 27xxx về hệthống quản lý an toàn thông tin đã có trên 70 tiêu chuẩn, trong đó trên ¾ số tiêuchuẩn đã được ban hành và một số khác hiện đang được xây dựng Cụ thể nhưbảng 01 dưới đây:

Bảng 1: Các tiêu chuẩn về hệ thống quản lý an toàn thông tin

STT Ký hiệu tiêu

27007:2017

Công nghệ thông tin – Các kỹ thuật an toàn Hướng dẫn đánh giá hệ thống quản lý an toànthông tin

-9 ISO/IEC TR

27008:2019

Công nghệ thông tin – Các kỹ thuật an toàn –Hướng dẫn đánh giá viên đánh giá các biện phápkiểm soát của hệ thống quản lý an toàn thông tin

27009:2016

Công nghệ thông tin – Các kỹ thuật an toàn – Ứngdụng ISO/IEC 27001 cho ngành cụ thể - Các yêu

Trang 5

27011:2016

Công nghệ thông tin – Các kỹ thuật an Hướng dẫn quản lý an toàn thông tin cho các tổchức viễn thông dựa trên ISO/IEC 27002

27013:2015

Công nghệ thông tin – Các kỹ thuật an Hướng dẫn triển khai tích hợp ISO/IEC 27001 vàISO/IEC 20000-1

Trang 6

Các kịch bản kết nối mạng tham chiếu – Nguy

cơ, kỹ thuật thiết kế và các vấn đề kiểm soát

Trang 7

Công nghệ thông tin – Các kỹ thuật an toàn –Hướng dẫn phân tích và làm sáng tỏ bằng chứngsố

51 ISO/IEC Công nghệ thông tin – Các kỹ thuật an toàn –

Trang 8

27043:2015 Quy trình và nguyên tắc điều tra số

Trang 9

72 ISO 27799:2008 Thông tin sức khỏe - Quản lý an toàn thông tin

trong lĩnh vực y tế khi áp dung ISO/IEC 27002.Như vậy với 72 tiêu chuẩn thuộc họ tiêu chuẩn ISO/IEC 27xxx đã, đang

và tiếp tục xây dựng (bao gồm chuẩn đã công bố và đang xây dựng dự thảo) cóthể thấy rằng các chuẩn trong họ 27xxx ngày càng được các tổ chức quan tâmtrong lĩnh vực an toàn, an ninh thông tin

Trong năm 2019, đã cập nhật, bổ sung, ban hành thêm được mới cácchuẩn cụ thể:

Bổ sung, cập nhật nội dung cho 02 tiêu chuẩn:

- ISO/IEC 27008: Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống

an toàn thông tin (bổ sung thêm một số nội dung so với phiên bản năm

2011 về cách thức đánh giá từng phần đối với hệ thống quản lý an toànthông tin)

- ISO/IEC 27018: Quy tắc thực hành để kiểm soát, bảo vệ thông tin địnhdanh cá nhân xử lý trong các dịch vụ điện toán đám mây (bổ sung thêmphần tổng quan tại phụ lục so với phiên bản năm 2014)

Ban hành mới 02 tiêu chuẩn:

- ISO/IEC 27102: Quản lý an toàn thông tin- Hướng dẫn bảo hiểmkhông gian mạng; tư vấn về việc mua bảo hiểm để phục hồi một số chiphí phát sinh từ sự cố mạng

Trang 10

- ISO/IEC 27701: Mở rộng ISO/IEC 27001 và ISO/IEC 27002 để quản

lý tính riêng tư - Hướng dẫn và yêu cầu; trong đó tập trung giải thíchcác tiện ích mở rộng cho ISMS theo 27k để quản lý tính riêng tư

Tính đến năm 2019 hiện nay còn 17 dự thảo về các chuẩn vẫn đang tiếptục được hoàn thiện và chờ công bố Trong số 17 dự thảo này có những nội dungcho các chuẩn mới về: thành phố thông minh (27570), dự thảo về an toàn khônggian mạng (27100 - Tổng quan và khái niệm, 27101- Hướng dẫn khung pháttriển an toàn không gian mạng) và các tiêu chuẩn về định danh cá nhân, nền tảngđám mây (cloud) và dữ liệu lớn (bigdata)…

2.1.2 Tình hình chuẩn hóa về an toàn thông tin tại Việt Nam

Hiện nay ở Việt Nam đã có nhiều cơ quan tổ chức thực hiện áp dụng cáctiêu chuẩn về an toàn thông tin (bộ tiêu chuẩn về quản lý an toàn thông tinISO/IEC 27000, tiêu chuẩn về đánh giá an toàn thông tin TCVN 8709:2011(ISO/IEC 15408)) để xây dựng quy chế đảm bảo an toàn, an ninh thông tin tronghoạt động ứng dụng công nghệ thông tin

Thời gian gần đây Bộ Thông tin và Truyền thông đã có nhiều biện phápnhằm đẩy mạnh các hoạt động nghiên cứu xây dựng và ban hành các tiêu chuẩn

về an toàn thông tin như dự án xây dựng 31 tiêu chuẩn về an toàn thông tin dướidạng đề tài nghiên cứu khoa học năm 2014, hay hằng năm vẫn giao cho một sốđơn vị trong Bộ thực hiện nghiên cứu xây dựng các tiêu chuẩn như:, Cục Antoàn thông tin, Học viện Công nghệ bưu chính viễn thông, Viện Khoa học kỹthuật Bưu điện…

Trong năm 2017 và 2018 Bộ Thông tin và Truyền thông cũng giao một sốnhiệm vụ cho các đơn vị thực hiện xây dựng các tiêu chuẩn về kỹ thuật an toànthông tin trong dự án “Nâng cao năng suất chất lượng sản phẩm hàng hóanghành Thông tin và Truyền thông”

Bên cạnh đó Luật an toàn thông tin mạng có hiệu lực năm 2015 cũng quyđịnh, định hướng tiêu chuẩn hóa về an toàn thông tin (thực hiện quản lý an toànthông tin theo cấp độ, áp dụng các biện pháp quản lý và kỹ thuật)

Tính đến thời điểm hiện tại Danh mục về các chuẩn an toàn thông tin đãđược xây dựng và công bố 22 chuẩn trong Bộ 27xxx; 01 chuẩn trong bộ tiêu

Trang 11

chuẩn cấp độ; 03 chuẩn trong bộ tiêu chí chung; 03 chuẩn chống chối bỏ; 02chuẩn cho DNSSEC; 03 chuẩn trong lĩnh vực đánh giá ATTT; 01 chuẩn chobiện pháp quản lý và dịch vụ an toàn và 03 chuẩn về định danh và tính riêng tư.

Bảng 2 Bảng danh mục các tiêu chuẩn đã được công bố làm TCVN về

an toàn thông tin theo họ tiêu chuẩn 27xxx

STT Tên tiêu chuẩn

ISO/IEC quốc tế tham chiếu

TCVN11238:2015

II Các tiêu chuẩn yêu cầu

1 Công nghệ thông tin – Hệ

thống quản lý an toàn thông

tin – Các yêu cầu

ISO/IEC27001:2013

TCVNISO/IEC27001:2019

2 Công nghệ thông tin – Các kỹ

thuật an toàn – Yêu cầu đối

với tổ chức đánh giá và

chứng nhận hệ thống quản lý

an toàn thông tin

ISO/IEC27006:2015

III Các tiêu chuẩn hướng dẫn

thuật an toàn – Quy tắc thực

hành quản lý an toàn thông

tin

ISO/IEC27002:2005

Đang cậpnhật

ISO/IEC27002:2013

thuật an toàn – Hướng dẫn

triển khai hệ thống quản lý an

toàn thông tin

ISO/IEC27003:2010

TCVN10541:2014

thuật an toàn – Quản lý an

toàn thông tin – Đo lường

ISO/IEC27004:2009

TCVN10542:2014

4 Công nghệ thông tin – Các kỹ ISO/IEC TCVN

Trang 12

thuật an toàn – Quản lý rủi ro

an toàn thông tin

27005:2011 10295:2014

đánh giá hệ thống quản lý an

toàn thông tin

ISO/IEC27007:2011

TCVN11779:2017

6 Hướng dẫn kiểm toán các

biện pháp kiểm soát ISMS

ISO/IECTR

27008 :2011

TCVN27008:2018

IV Các tiêu chuẩn hướng dẫn

lĩnh vực cụ thể

thuật an toàn – Quản lý an

toàn trao đổi thông tin liên tổ

chức, liên ngành

ISO/IEC27010:2012

TCVN10543:2014

quản lý an toàn thông tin cho

các tổ chức viễn thông dựa

trên ISO/IEC 27002

ISO/IEC27011:2008

thuật an toàn - Hướng dẫn

quản lý an toàn thông tin cho

dịch vụ tài chính

ISO/IEC27015:2012

V Các tiêu chuẩn hướng dẫn

kiểm soát cụ thể (ISO/IEC

2703x, ISO/IEC 2704x)

xác định, tập hợp, thu thập và

bảo quản bằng chứng số

ISO/IEC27037:2012

bảo đảm sự phù hợp và đầy

đủ theo phương pháp điều tra

ISO/IEC27041:2015

Trang 13

sự cố

thuật an toàn – Nguyên tắc và

quy trình điều tra sự cố

ISO/IEC27043:2015

đảm bảo sự sẵn sàng về công

nghệ thông tin và truyền

thông cho tính liên tục của

hoạt động

ISO/IEC27031:2011

thuật an toàn – Hướng dẫn về

an toàn không gian mạng

ISO/IEC27032:2012

TCVN11780:2017

6 Công nghệ thông tin – Kỹ

thuật an ninh – An ninh

mạng Phần 1: Tổng quan và

khái niệm

ISO/IEC27033-1:2009

TCVN9801-1:2013

thuật an toàn- An toàn mạng

- Phần 2: Hướng dẫn thiết kế

và triển khai an toàn mạng

ISO/IEC27033-2:2012

TCVN9801-2:2015

8 Công nghệ thông tin – Kỹ

thuật an toàn – An toàn mạng

– Phần 3: Các kịch bản kết

nối mạng tham chiếu – Nguy

cơ, kỹ thuật thiết kế và các

vấn đề kiểm soát

ISO/IEC27033-3:2010

TCVN9801-3:2014

thuật an toàn – Quản lý sự cố

an toàn thông tin

ISO/IEC27035:2011

TCVN11239:2015

thuật an toàn – Chọn lựa,

triển khai và vận hành các hệ

thống phát hiện xâm nhập

ISO/IEC27039:2015

Đã hủy do

có Phiênbản mới

Trang 14

Bảng 3 Chuẩn cấp độ ST

T Tên tiêu chuẩn

Tài liệu tham khảo

Đang hoàn thiện Đã công bố

1 Công nghệ thông tin –

Bảng 4 Danh mục chuẩn về tiêu chí chung ST

T

Tên tiêu chuẩn Tài liệu tham

khảo

Đã công bố

1 Công nghệ thông tin - Các kỹ thuật

an toàn - Các tiêu chí đánh giá an

toàn CNTT - Phần 1: Giới thiệu và

mô hình tổng quát

ISO/IEC15408-1:2009

TCVN 1:2011

8709-2 Công nghệ thông tin - Các kỹ thuật

toàn CNTT - Phần 2: Các thành

phần chức năng an toàn

ISO/IEC15408-2:2008

TCVN 2:2011

8709-3 Công nghệ thông tin - Các kỹ thuật

toàn CNTT - Phần 3: Các thành

phần đảm bảo an toàn

ISO/IEC15408-3:2008

TCVN 3:2011

8709-Bảng 05 Chuẩn về yêu cầu an toàn đối với một số loại sản phẩm IT ST

T

Tên tiêu chuẩn Tài liệu tham

khảo

Đã công bố

1 TCVN về yêu cầu kỹ thuật an

toàn cho trình duyệt web

ExtendedPackage forWeb Browsersv2.0

TCVN12637:2019

Bảng 6 Chuẩn An toàn thông tin khác

Trang 15

Tài liệu tham

I Tiêu chuẩn về mật mã

1

Công nghệ thông tin - Các kỹ

thuật an toàn Chống chối bỏ

-Phần 1: Tổng quan

ISO/IEC 13888-1:2009

TCVN 11393-1:2016

2

-Phần 2: Các cơ chế sử dụng kỹ

thuật đối xứng

ISO/IEC 13888-2:2009

TCVN 11393-2:2016

3

-Phần 3: Các cơ chế sử dụng kỹ

thuật bất đối xứng

ISO/IEC 13888-3:2009

TCVN 11393-3:2016

4 Các yêu cầu bảo mật DNS

(DNSSEC)

TCVN 12044:20175

An toàn hệ thống bảo mật DNS

(DNSSEC) - Thay đổi trong giao

thức

TCVN 11818:2r017

II Tiêu chuẩn trong lĩnh vực đánh giá an toàn thông tin

thuật an toàn – Đánh giá an toàn

cho các hệ thống vận hành

ISO/IEC TR19791:2010

TCVN12210:2018

thuật an toàn – Khung cho đảm

bảo an toàn công nghệ thông tin –

Phần 1: Giới thiệu và khái niệm

ISO/IEC TR15443-1:2012

TCVN11778-1:2017

thuật an toàn – Khung cho đảm

bảo an toàn công nghệ thông tin –

Phần 2: Phân tích

ISO/IEC TR15443-2:2012

TCVN11778-2:2017

III Tiêu chuẩn biện pháp quản lý và dịch vụ an toàn

1 Khuôn dạng dữ liệu trao đổi mô tả

sự cố an toàn mạng

RFC5070:2007 RFC

6684:2012

TCVN12043:2017

Trang 16

IV Tiêu chuẩn về quản lý định danh và tính riêng tư

1 Công nghệ thông tin - Các kỹ

thuật an toàn - Đánh giá an toàn

sinh trắc học

ISO/IEC19792:2009

TCVN11385:2016

thuật an toàn – Ngữ cảnh xác thực

cho sinh trắc học

ISO/IEC24761:2009

TCVN12042:2017

thuật an toàn – Mật mã hóa xác

thực

ISO/IEC TR19772:2009

TCVN1297:2018

2.2Vai trò và mối quan hệ của ISO/IEC 27009:2016 trong họ tiêu chuẩn ISO/IEC 27xxx

2.2.1 Vai trò của ISO/IEC 27009 trong họ tiêu chuẩn 27xxx

Về cơ bản các bộ tiêu chuẩn ISO/IEC 27xxx được chia thành 5 nhóm saunhư hình 1 dưới đây:

Hình 1 Vai trò của ISO/IEC trong họ tiêu chuẩn 27xxx

Trang 17

Nhóm 1: Tiêu chuẩn về tổng quan và từ vựng: ISO/IEC 27000.

Nhóm 2: Các tiêu chuẩn yêu cầu: ISO/IEC 27001; ISO/IEC 27006;ISO/IEC 27009

Nhóm 3: Các tiêu chuẩn đưa ra các hướng dẫn hỗ trợ hệ thống quản lý antoàn thông tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004;ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008, ISO/IEC 27013, ISO/IEC

Như vậy có thể thấy được rằng tiêu chuẩn ISO/IEC 27009 nằm trong nhóm

số 2 chuẩn đưa ra các yêu cầu về việc áp dụng ISO/IEC 27001 cho ngành/lĩnhvực cụ thể Theo đó các chuẩn hướng dẫn cho lĩnh vực cụ thể (trong nhóm 04)

sẽ tuân thủ các yêu cầu chung trong 27009, cụ thể cách trình bày sẽ tuân theomẫu được quy định tại phụ A trong 27009 liên quan đến các yêu cầu trong tiêuchuẩn ISO/IEC 27001 và các hướng dẫn trong tiêu chuẩn ISO/IEC 27002

2.2.2 Mối quan hệ giữa ISO 27009 và các tiêu chuẩn trong họ 27xxx

Tại mục 2.2.1 chúng ta nhận thấy được vai trò của ISO/IEC 27009:2016 làtiêu chuẩn đưa ra các yêu cầu chung cho từng lĩnh vực cụ thể khi áp dụngISO/IEC 27001 Theo đó nhóm tiêu chuẩn theo các lĩnh vực cụ thể của đã đượcxây dựng và được tổ chức quốc tế ban hành Hình 2 dưới đây thể hiện mối quan

hệ giữa tiêu chuẩn yêu cầu chung hướng dẫn việc áp dụng ISO27001 cho từnglĩnh vực cụ thể:

Định dạng
Số trang	27
Dung lượng	596,5 KB