CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT ANTOÀN – HƯỚNG DẪN ĐÁNH GIÁ VIÊN ĐÁNH GIÁBIỆN PHÁP KIỂM SOÁT AN TOÀN THÔNG TIN

BỘ THÔNG TIN VÀ TRUYỀN THÔNG ---THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN ĐÁNH GIÁ VIÊN ĐÁNH GIÁ BIỆN PHÁP KIỂM SOÁT AN TOÀN THÔNG TI

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

-THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN ĐÁNH GIÁ VIÊN ĐÁNH GIÁ BIỆN PHÁP KIỂM SOÁT AN TOÀN THÔNG TIN

HÀ NỘI, 2017

MỤC LỤC

1 Tên gọi và ký hiệu Tiêu chuẩn quốc gia 3

2 Đặt vấn đề 3

2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước 3 2.1.2 Tình hình tiêu chuẩn hoá quốc tế 12

2.1.4 Lý do xây dựng tiêu chuẩn 17

2.1.5 Mục đích xây dựng tiêu chuẩn 17

2.1.6 Vai trò của ISO/IEC TR 27008 trong bộ ISO/IEC 27000 18

3 Sở cứ xây dựng tiêu chuẩn 20

3.1 Lựa chọn tiêu chuẩn tham chiếu 20 3.2 Phương pháp xây dựng tiêu chuẩn 20 3.3 Phạm vi áp dụng và khả năng áp dụng tiêu chuẩn tại Việt Nam 20 3.3.1 Phạm vi áp dụng: 20

3.3.2 Khả năng áp dụng tiêu chuẩn tại Việt Nam 21

4 Nội dung dự thảo tiêu chuẩn kỹ thuật 22

4.1 Giới thiệu ISO/IEC TR 27008:2011 22 4.2 Cấu trúc và nội dung của Dự thảo tiêu chuẩn 22 4.3 Bảng đối chiếu tiêu chuẩn viện dẫn 24 5 Thư mục tài liệu tham khảo 26

1 Tên gọi và ký hiệu Tiêu chuẩn quốc gia

Tên dự thảo tiêu chuẩn quốc gia : “Công nghệ thông tin Các kỹ thuật an toàn

-Hướng dẫn đánh giá viên đánh giá biện pháp kiểm soát an toàn thông tin”.

Mã số: TCVN 27008:XXXX

2 Đặt vấn đề

2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước

2.1.1 Tình hình tiêu chuẩn hoá trong nước

Việc triển khai TCVN ISO/IEC 27001:2009 là yêu cầu cấp thiết đối với các tổchức, doanh nghiệp nhằm áp dụng các biện pháp, xây dựng các quy trình đảm bảo

an toàn thông tin Rất nhiều cơ quan nhà nước, Bộ/ngành, Sở Thông tin và Truyềnthông các tỉnh/thành phố thường tham khảo các tiêu chuẩn về an toàn thông tin nóichung và tiêu chuẩn TCVN ISO/IEC 27001:2009 nói riêng để xây dựng quy chếđảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin

Bộ Thông tin và Truyền thông hiểu rõ điều này và đã có nhiều biện pháp hỗtrợ cơ quan nhà nước, doanh nghiệp trong việc cung cấp tư vấn, giúp đỡ quá trìnhxây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 và điển hình là thực hiện dự

án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng chỉ ISO 27001” Kết quả của

dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàngchục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng chỉISO 27001

Ngoài ra Bộ Thông tin và Truyền thông đẩy mạnh việc xây dựng và ban hànhcác tiêu chuẩn về an toàn thông tin như dự án 31 tiêu chuẩn về an toàn thông tin vàmột số các tiêu chuẩn về an toàn thông tin được thực hiện dưới dạng đề tài nghiêncứu

Một số tiêu chuẩn về công nghệ thông tin và tiêu chuẩn về an toàn thông tin đã được ban hành tiêu chuẩn quốc gia (09Tiêu chuẩn).

a) Tiêu chuẩn TCVN ISO/IEC 27001:2009

TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu”.

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005

“Information technology – Security techniques – Information security managementsystem” do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng

và được ban hành TCVN năm 2009 gồm các nội dung cụ thể như sau:

- Phạm vi áp dụng

- Tài liệu viện dẫn

- Thuật ngữ và định nghĩa

- Hệ thống quản lý an toàn thông tin

- Trách nhiệm của ban quản lý

- Kiểm toán nội bộ hệ thống ISMS

- Soát xét của ban quản lý đối với hệ thống ISMS

- Cải tiến hệ thống ISMS

- 03 phụ lục tham khảo

b) Tiêu chuẩn TCVN ISO/IEC 27002:2011

TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin”.

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005

“Information technology – Security techniques – Code of practice for infomationsecurity management” được Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVNnăm 2011 gồm các nội dung cụ thể như sau:

- Phạm vi áp dụng

- Thuật ngữ và định nghĩa

- Đánh giá và xử lý rủi ro

- Chính sách an toàn thông tin

- Tổ chức đảm bảo an toàn thông tin

- Quản lý tài sản

- Đảm bảo an toàn thông tin từ nguồn nhân lực

- Đảm bảo an toàn vật lý và môi trường

- Quản lý truyền thông và vận hành

- Quản lý truy cập

- Tiếp nhận, phát triển và duy trì các hệ thống thông tin

- Quản lý sự cố an toàn thông tin

- Quản lý sự liên tục của hoạt động nghiệp vụ

- Sự tuân thủ

c) TCVN ISO/IEC 10295:2014

TCVN 10295:2014 “Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro

an toàn thông tin”

Tiêu chuẩn này được xây dựng hoàn toàn tương đương với ISO/IEC27005:2011 và được Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - Bộ Thôngtin và Truyền thông xây dựng

Nội dung chính của tiêu chuẩn

- Tổng quan về quy trình quản lý rủi ro an toàn thông tin

- Thiết lập ngữ cảnh

- Đánh giá rủi ro an toàn thông tin

- Xử lý rủi ro an toàn thông tin

- Chấp nhận rủi ro an toàn thông tin

- Truyền thông và tư vấn rủi ro an toàn thông tin

- Giám sát và soát xét rủi ro an toàn thông tin

- 07 Phụ lục tham khảo

d) Bộ tiêu chuẩn về Các tiêu chí đánh giá an toàn CNTT (03 phần).

Do Trung tâm VNCERT - Bộ thông tin và Truyền thông xây dựng

 TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC15408-1:2009 " Information Technology – Security Techniques – EvaluationCriteria for IT Security –Part 1: Introduction and General Model" Tiêu chuẩn này

được ban hành TCVN năm 2011, nội dung của tiêu chuẩn này cho phép thực hiện

so sánh các kết quả đánh giá an toàn độc lập, cung cấp một tập các yêu cầu về chứcnăng an toàn cho các sản phẩm và hệ thống công nghệ thông tin và các biện phápđảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn Các sản phẩmCNTT này có thể dưới dạng phần cứng, phần mềm, phần sụn Ngoài ra tiêu chuẩnnày còn đánh giá giá thiết lập một mức tin cậy về các chức năng an toàn toàn chocác sản phẩm và hệ thống CNTT, về các biện pháp đảm bảo áp dụng mà thoả mãncác yêu cầu nêu trên Các kết quả đánh giá có thể giúp người dùng xác định xemsản phẩm hoặc hệ thông thống CNTT có thoả mã các yêu cầu an toàn đưa ra haykhông?

 TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC15408-2:2008 " Information Technology – Security Techniques – EvaluationCriteria for IT Security –Part 2: Security functional components" Tiêu chuẩn nàyđược ban hành TCVN năm 2011, nội dung của Tiêu chuẩn này là: Đưa ra các yêucầu an toàn làm cơ sở cho các yêu cầu chức năng an toàn biểu thị trong Hồ sơ bảo

vệ (Protection Profile - PP) hoặc một Đích An toàn (Security Target - ST) Các yêucầu này mô tả các hành vi an toàn mong muốn dự kiến đối với một Đích đánh giá(TOE – Target of Evaluation) hoặc môi trường CNTT của TOE và cần thỏa mãncác mục tiêu an toàn như đã công bố trong một PP hoặc một ST Các yêu cầu này

mô tả các đặc tính an toàn người dùng có thể phát hiện ra thông qua tương tác trựctiếp (nghĩa là thông qua đầu vào, đầu ra) với sản phẩm /hệ thống CNTT hoặc quaphản ứng của sản phẩm /hệ thống CNTT với các tương tác

 TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC15408-3:2008 " Information Technology – Security Techniques – EvaluationCriteria for IT Security –Part 3: Security assurance components" Tiêu chuẩn nàyđược ban hành TCVN năm 2011, nội dung của Tiêu chuẩn này là: Nêu ra cácthành phần đảm bảo bảo an toàn thông tin là cơ sở cho các yêu cầu đảm bảo antoàn thông tin được biểu thị trong một Hồ sơ bảo vệ (Protection Profile – PP) hoặc

một Đích An toàn (Security Target – ST) Các yêu cầu này tạo thành một cách thứcchuẩn để biểu thị các yêu cầu đảm bảo cho một Đích đánh giá (TOE – Target ofEvaluation) Tiêu chuẩn này liệt kê danh mục các thành phần, các họ và lớp đảmbảo đồng thời xác định các tiêu chí đánh giá cho PPs và STs, biểu thị các cấp đảmbảo đánh giá dùng để xác định các thang bậc ISO/IEC 15408 định trước cho đánhgiá tính đảm bảo của các TOEs, còn gọi là các Cấp đảm bảo đánh giá (EALs –Evaluation Assurance Levels).

2013 gồm các nội dung cụ thể như sau:

- Phạm vi áp dụng

- Tài liệu viện dẫn

- Tổng quan TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1

- Tiếp cận việc triển khai tích hợp

- Xem xét việc triển khai tích hợp

- 02 Phụ lục (Tham khảo): Sự phù hợp giữa TCVN ISO/IEC 27001:2009 vàISO/IEC 20000-1:2011; So sánh thuật ngữ trong ISO/IEC 27000:2009 vàISO/IEC 20000-1:2011

f) Tiêu chuẩn TCVN 9801-1:2013

TCVN 9801-1:2013 "Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng

- Phần 1: Tổng quan và khái niệm".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC27033-1:2009 "INformation technology - Security techniques - Network security -Part1: Overview and concepts" Tiêu chuẩn này Viện tiêu chuẩn chất lượng ViệtNam xây dựng và ban hành TCVN năm 2013 gồm các nội dung cụ thể sau:

Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan về an toàn mạng và cácđịnh nghĩa liên quan và:

- Cung cấp hướng dẫn về việc nhận biết và phân tích các rủi ro an toàn mạng vàxác định các yêu cầu an toàn mạng dựa trên các phân tích đó;

- Cung cấp tổng quan những biện pháp hỗ trợ các kiến trúc an toàn mạng và cácbiện pháp kỹ thuật liên quan;

- Hướng dẫn các phương pháp để đạt được kiến trúc an toàn mạng có chất lượngtốt, xác định rủi ro, thiết kế các biện pháp liên quan tới kịch bản mạng và lĩnh vựccông nghệ mạng

- Nêu các vấn đề liên quan đến triển khai và vận hành các biện pháp an toàn mạng,giám sát và soát xét liên tục các biện pháp triển khai an toàn mạng

g) Tiêu chuẩn TCVN ISO 19011:2013

TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý"

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO19011:2011 "Guidelines for auditing management systems" tiêu chuẩn này do Ban

kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 176 xây dựng và được ban hành năm2013

Tiêu chuẩn này đưa ra hướng dẫn về đánh giá hệ thống quản lý, bao gồm cácnguyên tắc đánh giá, quản lý chương trình đánh giá và tiến hành các cuộc đánh giá

hệ thống quản lý, cũng nhưng hướng dẫn về xem xét đánh giá năng lực của các cánhân tham gia và quá trình đánh giá gồm cả người quản lý chương trình đánh giá,chuyên gia đánh giá và đoàn đánh giá

Một số tiêu chuẩn thuộc bộ ISO/IEC 27000 đã được xây dựng dự thảo tiêu chuẩn và được thẩm định chờ cơ quan chức năng ban hành (07 tiêu chuẩn) a) Dự thảo TCVN ISO/IEC 27000

Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 "Công nghệ thông tin - Các kỹthuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và Từ vựng"

Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 hoàn toàn tương đương với tiêuchuẩn quốc tế: ISO/IEC 27000:2012

b) Dự thảo TCVN ISO/IEC 27003

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫntriển khai hệ thống quản lý an toàn thông tin” được xây dựng hoàn toàn tươngđương với tiêu chuẩn quốc tế ISO/IEC 27003:2010 "Information technology –Security techniques – Information security management system implementationguidance" Tiêu chuẩn này do Viện KHKTBĐ - Bộ Thông tin và Truyền thông xâydựng và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014.

Tiêu chuẩn này tập trung vào các kía cạnh then chốt để thiết kế và triên khaithành công một hệ thống quản lý an toàn thông tin(ISMS) theo TCVN ISO/IEC27001:2009 Tiêu chuẩn này mô tả quy trình đặc tả và thiết kế ISMS từ lức khởiđầu đến khi đưa ra các kế hoạch triển khai bao gồm các nội dung:

- Nêu cấu trúc của tiêu chuẩn

- Ban quản lý khởi động dự án ISMS

- Xác định phạm vi, giới hạn và chính sách của ISMS

- Tiến hành phân tích các yêu cầu an toàn thông tin

- Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro

Nội dung chính của tiêu chuẩn

- Tổng quan về đo lường an toàn thông tin

- Trách nhiệm của ban quản lý

- Lựa chọn các số đo và triển khai các bài đo

- Các hoạt động đo lường

- Phân tích dữ liệu và lập báo cáo kết quả đo

- Định lượng và hoàn thiện Chương trình đo lường an toàn thông tin

- 02 Phụ lục về "Mẫu cấu trúc bài đo" và "ví dụ cấu trúc bài đo"

Nội dung chính của tiêu chuẩn:

- Chính sách an toàn thông tin

- Tổ chức đảm bảo an toàn thông tin

- Quản lý tài sản

- Đảm bảo an toàn thông tin từ nguồn nhân lực

- Đảm bảo an toàn vật lý và môi trường

- Quản lý truyền thông và vận hành

- Quản lý truy cập

- Phát triển và duy trì các hệ thống thông tin

- Quản lý về các sự cố an toàn thông tin

- Quản lý sự liên tục của hoạt động nghiệp vụ

Dự thảo TCVN ISO/IEC 27033-2 tương đương với tiêu chuẩn quốc tếISO/IEC 27033-2:2012 Dự thảo này đã được Trung tâm Ứng cứu khẩn cấp máytính Việt Nam, Bộ Thông tin và Truyền thông tiến hành xây dựng dự thảo năm

2013 và đã được được nghiệm thu cấp Bộ, đang chờ các cơ quan chức năng thẩmđịnh ban hành tiêu chuẩn quốc gia

Tiêu chuẩn này đưa ra hướng dẫn cho tổ chức về lập kế hoạch, thiết kế, triểnkhai và lập tài liệu an toàn mạng

Nội dung chính của tiêu chuẩn:

- Chuẩn bị thiết kế an toàn mạng

- Thiết kế an toàn mạng

- Triển khai an toàn mạng

- 03 Phụ lục tham khảo về mẫu tài liệu và mô hình kiểm soát

f) Dự thảo TCVN ISO/IEC 27033-3

Dự thảo TCVN ISO/IEC 27033-3 “Công nghệ thông tin – Kỹ thuật an toàn –

An toàn mạng –Phần 3: Các kịch bản kết nối mạng tham chiếu – Nguy cơ, kỹ thuậtthiết kế và các vấn đề kiểm soát”

Dự thảo TCVN ISO/IEC 27033-3 tương đương với tiêu chuẩn quốc tếISO/IEC 27033-3:2010 Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưuđiện tiến hành xây dựng năm 2012 và đã được Viện Tiêu chuẩn đo lường chấtlượng thẩm định năm 2014

Nội dung chính của tiêu chuẩn:

- Các dịch vụ truy cập Internet cho nhân viên;

- Các dịch vụ doanh nghiệp tới doanh nghiệp;

- Các dịch vụ doanh nghiệp tới khách hàng;

Tiêu chuẩn này đưa ra một phương pháp tiếp cận nhằm:

- Phát hiện, báo cáo và đánh giá các sự cố an toàn thông tin;

- Ứng phó và quản lý các sự cố an toàn thông tin;

- Phát hiện, đánh giá và quản lý các điểm yếu an toàn thông tin;

- Liên tục cải tiến việc quản lý sự cố và an toàn thông tin sau khi thực hiện quản lýcác sự cố và điểm yếu an toàn thông tin

g) Nhiều tiêu chuẩn An toàn thông tin thuộc bộ 27000 được Bộ thông tin vàTruyền thông đưa vào trong danh mục tiêu chuẩn cần xây dựng và đang được một

số đơn vị trực thuộc Bộ xây dựng dự thảo (Bảng 1: Danh sách các tiêu chuẩn thuộc

bộ 27000)

2.1.2 Tình hình tiêu chuẩn hoá quốc tế

Đã có trên 25 tiêu chuẩn thuộc bộ 27000 đã được tổ chức tiêu chuẩn quốc tếbiên ban hành, trong đó nhiều tiêu chuẩn được ban hành mới gần đây (năm 2013,2014) như: ISO/IEC 27033-4: 2014; IS/IEC 27033-5:2014; ISO/IEC 27037:2014

và một số tiêu chuẩn được cập nhật phiên bản mới: ISO/IEC 27001:2013; ISO/IEC27002:2013

Tổ chức tiêu chuẩn quốc tế chuẩn bị ban hành nhiều tiêu chuẩn về bảo vệ antoàn thông tin, dữ liệu trên hệ thống đám mây (ISO/IEC 27018, ISO/IEC 27019),

an toàn về lưu trữ (ISO/IEC 27040), hệ thống phát hiện và ngăn chặn xâm nhập(ISO/IEC 27039), điều tra, phân tich, thu thập bằng chứng số (ISO/IEC 27041,

27042, 27043)

1 ISO/IEC 27000: 2009 “Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng(Information technology - Security techniques - Information security management systems - Overview and vocabulary);

2 ISO/ IEC 27001: 2005 “Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin – Các yêu cầu” (Information Technology – Security techniques – Information security management system – Requirements);

3 ISO/IEC 27002:2005 “ Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an ninh thông tin” (Information technology – Security techniques – Code of practice for infomation security management);

4 ISO/IEC 27003: 2010 – “Công nghệ thông tin- Kỹ thuật an toàn- Hướng dẫn triển khai Hệ thống quản lý an ninh thông tin(ISMS)” (Information technology - Security techniques - Information security management system implementation guidance);

5 ISO/IEC 27004:2009 Công nghệ thông tin – Kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường(Information technology - Security techniques ― Information security management – Measurement);

6 ISO/IEC 27005:2011 “Công nghệ thông tin- Kỹ thuật an toàn - Quản lý rủi

ro an ninh thông tin”(Information technology Security techniques Information security risk management);

-7 ISO/IEC 27006:2007 “Công nghệ thông tin- Kỹ thuật an toàn - Yêu cầu đối

với công nhận của các tổ chức đánh giá và chứng nhận hệ thống an ninh

thông tin”(Information technology - Security techniques - Requirements for the accreditation of bodies providing audit and certification of information security management systems);

8 ISO/IEC 27007:2011 “Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn đánh giá bảo mật hệ thống thông tin quản lý (FCD)(Information technology

- Security techniques -Guidelines for information security management systems auditing (FCD);

9 ISO/IEC TR 27008:2011 “Công nghệ thông tin –Kỹ thuật an toàn - Hướng

dẫn chuyên gia đánh giá kiểm soát hệ thống an ninh thông tin” (Informationtechnology - Security techniques - Guidelines for auditors on informationsecurity management systems controls;