THUYẾT MINH DỰ THẢO TCQG CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN TOÀN – CHỌNLỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁTHIỆN VÀ NGĂN CHẶN XÂM NHẬP

BỘ THÔNG TIN VÀ TRUYỀN THÔNG ---THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN TOÀN – CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

-THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN TOÀN – CHỌN

LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT

HIỆN VÀ NGĂN CHẶN XÂM NHẬP

HÀ NỘI, NĂM 2017

MỤC LỤC

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam 3

2 Đặt vấn đề 3

2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước 3

2.1.1 Tình hình tiêu chuẩn hoá trong nước 3

2.1.2 Tình hình tiêu chuẩn hoá quốc tế 14

2.2 Lý do xây dựng tiêu chuẩn 20

2.3 Mục đích xây dựng tiêu chuẩn 22

2.4 Vai trò của ISO/IEC 27031:2011 trong bộ ISO/IEC 27000 22

3 Sở cứ xây dựng tiêu chuẩn 23

3.1 Lựa chọn tiêu chuẩn tham chiếu 23

3.2 Phương pháp xây dựng tiêu chuẩn 24

3.3 Phạm vi áp dụng và khả năng áp dụng tiêu chuẩn tại Việt Nam 24

3.3.1 Phạm vi áp dụng 24

3.3.2 Khả năng áp dụng tiêu chuẩn tại Việt Nam 24

4 Nội dung dự thảo tiêu chuẩn kỹ thuật 26

4.1 Giới thiệu nội dung của Dự thảo tiêu chuẩn 26

4.2 Cấu trúc và nội dung của Dự thảo tiêu chuẩn 28

4.3 Bảng đối chiếu tiêu chẩn viện dẫn 29

5 Kết luận và kiến nghị 32

5.1 Kiến nghị 32

5.2 Kết luận 32

6 Thư mục tài liệu tham khảo 32

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam

Tên dự thảo Tiêu chuẩn quốc gia: “Công nghệ thông tin - Kỹ thuật an toàn - Chọnlựa, triển khai và vận hành hệ thống phát hiện và ngăn chặn xâm nhập”

Mã số: TCVN ISO/IEC xxxx:yyyy

2 Đặt vấn đề

2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước

2.1.1 Tình hình tiêu chuẩn hoá trong nước

Hiện nay ở Việt Nam đã có nhiều cơ quan tổ chức thực hiện áp dụng các tiêu chuẩn

về an toàn thông tin (bộ tiêu chuẩn về quản lý an toàn thông tin ISO/IEC 27000, tiêuchuẩn về đánh giá an toàn thông tin TCVN 8709:2011 (ISO/IEC 15408)) để xây dựngquy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thôngtin

Bộ Thông tin và Truyền thông hiểu rõ điều này và đã có nhiềubiện pháp hỗ trợ cơ quan nhà nước, doanh nghiệp trong việc cung cấp tư vấn, giúp đỡquá trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 và điển hình là thựchiện dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng chỉ ISO 27001” Kết quảcủa dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàngchục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng chỉ ISO27001

Ngoài ra Bộ Thông tin và Truyền thông đẩy mạnh việc xây dựng và ban hành cáctiêu chuẩn về an toàn thông tin như dự án 31 tiêu chuẩn về an toàn thông tin và một sốcác tiêu chuẩn về an toàn thông tin được thực hiện dưới dạng đề tài nghiên cứu

Một số tiêu chuẩn về công nghệ thông tin nói chung và các tiêu chuẩn về an toàn thông tin nói riêng đã được ban hành thành Tiêu chuẩn quốc gia (08 Tiêu chuẩn).

a) Tiêu chuẩn TCVN ISO/IEC 27001:2009

TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu”.

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005

“Information technology – Security techniques – Information security managementsystem” do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng vàđược ban hành TCVN năm 2009 gồm các nội dung cụ thể như sau:

- Phạm vi áp dụng

- Tài liệu viện dẫn

- Thuật ngữ và định nghĩa

- Hệ thống quản lý an toàn thông tin

- Trách nhiệm của ban quản lý

- Kiểm toán nội bộ hệ thống ISMS

- Soát xét của ban quản lý đối với hệ thống ISMS

- Cải tiến hệ thống ISMS

- 03 phụ lục tham khảo

a) Tiêu chuẩn TCVN ISO/IEC 27002:2011

TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin”.

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005

“Information technology – Security techniques – Code of practice for infomationsecurity management” được Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm

2011 gồm các nội dung cụ thể như sau:

- Phạm vi áp dụng

- Thuật ngữ và định nghĩa

- Đánh giá và xử lý rủi ro

- Chính sách an toàn thông tin

- Tổ chức đảm bảo an toàn thông tin

- Quản lý tài sản

- Đảm bảo an toàn thông tin từ nguồn nhân lực

- Đảm bảo an toàn vật lý và môi trường

- Quản lý truyền thông và vận hành

- Quản lý truy cập

- Tiếp nhận, phát triển và duy trì các hệ thống thông tin

- Quản lý sự cố an toàn thông tin

- Quản lý sự liên tục của hoạt động nghiệp vụ

- Sự tuân thủ

c) Bộ tiêu chuẩn về Các tiêu chí đánh giá an toàn CNTT (03 phần).

Do Trung tâm VNCERT - Bộ thông tin và Truyền thông xây dựng

 TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 1:2009 " Information Technology – Security Techniques – Evaluation Criteria for ITSecurity –Part 1: Introduction and General Model" Tiêu chuẩn này được ban hànhTCVN năm 2011, nội dung của tiêu chuẩn này cho phép thực hiện so sánh các kết quảđánh giá an toàn độc lập, cung cấp một tập các yêu cầu về chức năng an toàn cho cácsản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêucầu trong quá trình đánh giá an toàn Các sản phẩm CNTT này có thể dưới dạng phầncứng, phần mềm, phần sụn Ngoài ra tiêu chuẩn này còn đánh giá giá thiết lập một mứctin cậy về các chức năng an toàn toàn cho các sản phẩm và hệ thống CNTT, về các biện

15408-pháp đảm bảo áp dụng mà thoả mãn các yêu cầu nêu trên Các kết quả đánh giá có thểgiúp người dùng xác định xem sản phẩm hoặc hệ thông thống CNTT có thoả mã các yêucầu an toàn đưa ra hay không?

 TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 2:2008 " Information Technology – Security Techniques – Evaluation Criteria for ITSecurity –Part 2: Security functional components" Tiêu chuẩn này được ban hànhTCVN năm 2011, nội dung của Tiêu chuẩn này là: Đưa ra các yêu cầu an toàn làm cơ sởcho các yêu cầu chức năng an toàn biểu thị trong Hồ sơ bảo vệ (Protection Profile - PP)hoặc một Đích An toàn (Security Target - ST) Các yêu cầu này mô tả các hành vi antoàn mong muốn dự kiến đối với một Đích đánh giá (TOE – Target of Evaluation) hoặcmôi trường CNTT của TOE và cần thỏa mãn các mục tiêu an toàn như đã công bố trongmột PP hoặc một ST Các yêu cầu này mô tả các đặc tính an toàn người dùng có thể pháthiện ra thông qua tương tác trực tiếp (nghĩa là thông qua đầu vào, đầu ra) với sản phẩm /

15408-hệ thống CNTT hoặc qua phản ứng của sản phẩm /15408-hệ thống CNTT với các tương tác

 TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 3:2008 " Information Technology – Security Techniques – Evaluation Criteria for ITSecurity –Part 3: Security assurance components" Tiêu chuẩn này được ban hànhTCVN năm 2011, nội dung của Tiêu chuẩn này là: Nêu ra các thành phần đảm bảo bảo

15408-an toàn thông tin là cơ sở cho các yêu cầu đảm bảo 15408-an toàn thông tin được biểu thị trongmột Hồ sơ bảo vệ (Protection Profile – PP) hoặc một Đích An toàn (Security Target –ST) Các yêu cầu này tạo thành một cách thức chuẩn để biểu thị các yêu cầu đảm bảocho một Đích đánh giá (TOE – Target of Evaluation) Tiêu chuẩn này liệt kê danh mụccác thành phần, các họ và lớp đảm bảo đồng thời xác định các tiêu chí đánh giá cho PPs

và STs, biểu thị các cấp đảm bảo đánh giá dùng để xác định các thang bậc ISO/IEC

15408 định trước cho đánh giá tính đảm bảo của các TOEs, còn gọi là các Cấp đảm bảođánh giá (EALs – Evaluation Assurance Levels)

- Phạm vi áp dụng

- Tài liệu viện dẫn

- Tổng quan TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1

- Tiếp cận việc triển khai tích hợp

- Xem xét việc triển khai tích hợp

- 02 Phụ lục (Tham khảo): Sự phù hợp giữa TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1:2011; So sánh thuật ngữ trong ISO/IEC 27000:2009 và ISO/IEC20000-1:2011

27033-view and concepts" Tiêu chuẩn này Viện tiêu chuẩn chất lượng Việt Nam xây dựng vàban hành TCVN năm 2013 gồm các nội dung cụ thể sau:

Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan về an toàn mạng và các địnhnghĩa liên quan và:

- Cung cấp hướng dẫn về việc nhận biết và phân tích các rủi ro an toàn mạng và xácđịnh các yêu cầu an toàn mạng dựa trên các phân tích đó;

- Cung cấp tổng quan những biện pháp hỗ trợ các kiến trúc an toàn mạng và các biệnpháp kỹ thuật liên quan;

- Hướng dẫn các phương pháp để đạt được kiến trúc an toàn mạng có chất lượng tốt,xác định rủi ro, thiết kế các biện pháp liên quan tới kịch bản mạng và lĩnh vựccông nghệ mạng

- Nêu các vấn đề liên quan đến triển khai và vận hành các biện pháp an toàn mạng,giám sát và soát xét liên tục các biện pháp triển khai an toàn mạng

f) Tiêu chuẩn TCVN ISO 19011:2013

TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý"

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO 19011:2011

"Guidelines for auditing management systems" tiêu chuẩn này do Ban kỹ thuật Tiêuchuẩn quốc gia TCVN/TC 176 xây dựng và được ban hành năm 2013

Tiêu chuẩn này đưa ra hướng dẫn về đánh giá hệ thống quản lý, bao gồm cácnguyên tắc đánh giá, quản lý chương trình đánh giá và tiến hành các cuộc đánh giá hệthống quản lý, cũng nhưng hướng dẫn về xem xét đánh giá năng lực của các cá nhântham gia và quá trình đánh giá gồm cả người quản lý chương trình đánh giá, chuyên giađánh giá và đoàn đánh giá

Một số tiêu chuẩn thuộc bộ ISO/IEC 27000 đã được xây dựng dự thảo tiêu chuẩn

và được thẩm định chờ cơ quan chức năng ban hành (08 tiêu chuẩn).

đo lường chất lượng thẩm định năm 2014.

Tiêu chuẩn này tập trung vào các kía cạnh then chốt để thiết kế và triên khai thànhcông một hệ thống quản lý an toàn thông tin(ISMS) theo TCVN ISO/IEC 27001:2009.Tiêu chuẩn này mô tả quy trình đặc tả và thiết kế ISMS từ lức khởi đầu đến khi đưa racác kế hoạch triển khai bao gồm các nội dung:

- Nêu cấu trúc của tiêu chuẩn

- Ban quản lý khởi động dự án ISMS

- Xác định phạm vi, giới hạn và chính sách của ISMS

- Tiến hành phân tích các yêu cầu an toàn thông tin

- Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro

thông tin – Đo lường”

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toànthông tin – Đo lường” được xây dựng hoàn toàn tương đương với ISO/IEC 27004:2009

Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm

2012 và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014

Nội dung chính của tiêu chuẩn

- Tổng quan về đo lường an toàn thông tin

- Trách nhiệm của ban quản lý

- Lựa chọn các số đo và triển khai các bài đo

- Các hoạt động đo lường

- Phân tích dữ liệu và lập báo cáo kết quả đo

- Định lượng và hoàn thiện Chương trình đo lường an toàn thông tin

- 02 Phụ lục về "Mẫu cấu trúc bài đo" và "ví dụ cấu trúc bài đo"

d) Dự thảo TCVN ISO/IEC 27005

Dự thảo TCVN “Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an toànthông tin”

Dự thảo TCVN được xây dựng hoàn toàn tương đương với ISO/IEC 27005:2011

Dự thảo TCVN này đã được Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - BộThông tin và Truyền thông xây dựng năm 2012 và được Viện Tiêu chuẩn đo lường chấtlượng thẩm định năm 2013 và cho vào kế hoạch ban hành TCVN năm 2014

Nội dung chính của tiêu chuẩn

- Tổng quan về quy trình quản lý rủi ro an toàn thông tin

- Thiết lập ngữ cảnh

- Đánh giá rủi ro an toàn thông tin

- Xử lý rủi ro an toàn thông tin

- Chấp nhận rủi ro an toàn thông tin

- Truyền thông và tư vấn rủi ro an toàn thông tin

- Giám sát và soát xét rủi ro an toàn thông tin

đo lường chất lượng thẩm định năm 2014

Nội dung chính của tiêu chuẩn:

- Chính sách an toàn thông tin

- Tổ chức đảm bảo an toàn thông tin

- Quản lý tài sản

- Đảm bảo an toàn thông tin từ nguồn nhân lực

- Đảm bảo an toàn vật lý và môi trường

- Quản lý truyền thông và vận hành

- Quản lý truy cập

- Phát triển và duy trì các hệ thống thông tin

- Quản lý về các sự cố an toàn thông tin

- Quản lý sự liên tục của hoạt động nghiệp vụ

Tiêu chuẩn này đưa ra hướng dẫn cho tổ chức về lập kế hoạch, thiết kế, triển khai

và lập tài liệu an toàn mạng

Nội dung chính của tiêu chuẩn:

- Chuẩn bị thiết kế an toàn mạng

- Thiết kế an toàn mạng

- Triển khai an toàn mạng

- 03 Phụ lục tham khảo về mẫu tài liệu và mô hình kiểm soát

Nội dung chính của tiêu chuẩn:

- Các dịch vụ truy cập Internet cho nhân viên;

- Các dịch vụ doanh nghiệp tới doanh nghiệp;

- Các dịch vụ doanh nghiệp tới khách hàng;

Tiêu chuẩn này đưa ra một phương pháp tiếp cận nhằm:

 Phát hiện, báo cáo và đánh giá các sự cố an toàn thông tin;

 Ứng phó và quản lý các sự cố an toàn thông tin;

 Phát hiện, đánh giá và quản lý các điểm yếu an toàn thông tin; và

 Liên tục cải tiến việc quản lý sự cố và an toàn thông tin sau khi thựchiện quản lý các sự cố và điểm yếu an toàn thông tin

g) Nhiều tiêu chuẩn An toàn thông tin thuộc bộ 27000 được Bộ thông tin và Truyền thông đưa vào trong danh mục tiêu chuẩn cần xây dựng và đang được một số đơn

vị trực thuộc Bộ xây dựng dự thảo (Bảng 1: Danh sách các tiêu chuẩn thuộc bộ 27000).

2.1.2 Tình hình tiêu chuẩn hoá quốc tế

Đã có trên 26 tiêu chuẩn thuộc bộ 27000 đã được tổ chức tiêu chuẩn quốc tế biênban hành (Bảng 1), trong đó nhiều tiêu chuẩn được ban hành mới gần đây (năm 2013,2014) như: ISO/IEC 27033-4: 2014; IS/IEC 27033-5:2014; ISO/IEC 27037:2014 vàmột số tiêu chuẩn được cập nhật phiên bản mới: ISO/IEC 27001:2013; ISO/IEC27002:2013

Tổ chức tiêu chuẩn quốc tế chuẩn bị ban hành nhiều tiêu chuẩn về đảm bảo an toànthông tin, dữ liệu trên hệ thống đám mây (ISO/IEC 27018, ISO/IEC 27019), an toàn vềlưu trữ (ISO/IEC 27040), hệ thống phát hiện và ngăn chặn xâm nhập (ISO/IEC 27039),điều tra, phân tích thu thập bằng chứng số (ISO/IEC 27041, 27042, 27043)

Ngoài ra trên thế giới cũng có một số tiêu chuẩn liên quan tới hệ thống phát hiện vàngăn chặn xâm nhập gồm:

1 ISO/IEC 18043:2006 Information technology Security techniques Selection,deployment and operations of intrusion detection systems Tiêu chuẩn này đưa racác hướng dẫn cho các tổ chức trong việc lựu chọn, triển khai và vận hành hệthống phát hiện xâm nhập Tuy nhiên hiện nay tiêu chuẩn này đã được tổ chứctiêu chuẩn quốc tế thay thế bằng tiêu chuẩn ISO/IEC DIS 27039 và áp dụng cho

hệ thống phát hiện và ngăn chặn xâm nhập

2 SP 800-94 Guide to Intrusion Detection and Prevention Systems của Viện tiêuchuẩn và kỹ thuật Quốc gia Hoa Kỳ Tiêu chuẩn này đưa ra các hướng dẫn đểphát hiện và ngăn chặn xâm nhập hệ thống

Thông tin cụ thể về các tiêu chuẩn quốc tế và năm ban hành như sau:

1 ISO/IEC 27000: 2009 Information technology - Security techniques - Information

security management systems Overview and vocabulary (Công nghệ thông tin

-Kỹ thuật an toàn - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng);

2 ISO/ IEC 27001: 2013 Information Technology – Security techniques –

Informa-tion security management system – Requirements (Công nghệ thông tin - Kỹ thuật

an toàn - Hệ thống quản lý an toàn thông tin – Các yêu cầu);

3 ISO/IEC 27002:2013 Information technology – Security techniques – Code of

practice for infomation security management (Công nghệ thông tin - Các kỹ thuật

an toàn - Quy tắc thực hành quản lý an ninh thông tin);

4 ISO/IEC 27003: 2010 Information technology - Security techniques - Information

security management system implementation guidance (Công nghệ thông tin- Kỹ

thuật an toàn- Hướng dẫn triển khai Hệ thống quản lý an ninh thông tin);

5 ISO/IEC 27004:2009 Information technology - Security techniques ―

Informa-tion security management – Measurement (Công nghệ thông tin – Kỹ thuật an

toàn - Quản lý an toàn thông tin - Đo lường);

6 ISO/IEC 27005:2011 Information technology - Security techniques - Information

security risk management (Công nghệ thông tin- Kỹ thuật an toàn - Quản lý rủi ro

an ninh thông tin);

7 ISO/IEC 27006:2007 Information technology - Security techniques -

Require-ments for the accreditation of bodies providing audit and certification of

informa-tion security management systems (Công nghệ thông tin - Kỹ thuật an toàn - Yêu

cầu đối với cơ quan kiểm toán và chứng nhận các hệ thống quản lý an toàn thông tin);

8 ISO/IEC 27007:2011 Information technology - Security techniques -Guidelines

for information security management systems auditing (Công nghệ thông tin - Kỹ

thuật an toàn - Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin quản lý);

9 ISO/IEC TR 27008:2011 Information technology - Security techniques -

Guide-lines for auditors on information security management systems controls (Công

nghệ thông tin –Kỹ thuật an toàn - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an toàn thông tin);

10.ISO/IEC 27010:2012 Information technology - Security techniques - Information

security management for intersector and inter-organisational communications

(Công nghệ thông tin - Kỹ thuật an toàn - An toàn thông tin quản lý cho truyền thông liên ngành và liên tổ chức);

11.ISO/IEC 27011: 2008 Information technology - Security techniques - Information

security management guidelines for telecommunications organizations based on

ISO/IEC 27002 (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an

toàn thông tin cho các tổ chức viễn thông dựa trên tiêu chuẩn ISO / IEC 27002);

12 ISO/IEC 27013:2012 Information technology - Security techniques - Guidance

on the integrated implementation of ISO/IEC 27001 and 20000-1 (Công nghệ

thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC

27001 và ISO/IEC 20000-1);

13.ISO/IEC 27014:2013 Information technology - Security techniques - Governance

of information security (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn an

toàn thông tin);

14 ISO/IEC TR 27015:2012 Information technology - Security techniques -

Infor-mation security management guidelines for financial services (Công nghệ thông