THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN -HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG

BỘ THÔNG TIN VÀ TRUYỀN THÔNGCỤC AN TOÀN THÔNG TIN ---THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN -HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG...

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

CỤC AN TOÀN THÔNG TIN

-THUYẾT MINH

DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN

-HỒ SƠ BẢO VỆ CHO THIẾT BỊ LƯU TRỮ DI ĐỘNG

MỤC LỤC

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam 3

2 Đặt vấn đề 3

2.1 Vấn đề an toàn thông tin đối với thiết bị lưu trữ di động 3

2.2 Tình hình tiêu chuẩn hóa 5

2.3 Các tiêu chuẩn quốc tế về đánh giá an toàn công nghệ thông tin 9

2.4 Các tiêu chuẩn trong nước về đánh giá an toàn công nghệ thông tin 11

2.5 Giới thiệu về hồ sơ bảo vệ cho thiết bị lưu trữ di động 12

3 Lý do xây dựng tiêu chuẩn 14

4 Nhu cầu thực tế và khả năng áp dụng 15

4.1 Nhu cầu thực tế 15

4.2 Phạm vi và khả năng áp dụng 16

5 Sở cứu xây dựng tiêu chuẩn 16

5.1 Lựa chọn tài liệu tham chiếu 16

5.2 Phương pháp xây dựng tiêu chuẩn 17

5.3 Nội dung tiêu chuẩn và Bảng đối chiếu tiêu chẩn viện dẫn 17

6 Kết luận 19

1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam

Tên dự thảo Tiêu chuẩn quốc gia: Công nghệ thông tin - Các kỹ thuật an toàn –

Hồ sơ bảo vệ cho thiết bị lưu trữ di động

Mã số: TCVN XXXX:YYYY

2 Đặt vấn đề

2.1 Vấn đề an toàn thông tin đối với thiết bị lưu trữ di động

Trong những năm qua, cùng với sự phát triển mạnh mẽ của CNTT thì các công nghệ lưu trữ dữ liệu cũng phát triển một cách nhanh chóng Các phương tiện lưu trữ

đã từng được nghiên cứu và phát triển bao gồm: Đĩa mềm, Băng từ, Đĩa cứng, Đĩa quang, ROM, các loại bút nhớ trong đó có các phương tiện lưu trữ đã lỗi thời không còn được sử dụng như Đĩa mềm hoặc ít được biết đến như Băng từ Các phương tiện lưu trữ chủ yếu dựa trên các bộ nhớ như: Bộ nhớ từ, bộ nhớ quang, bộ nhớ bán dẫn, các loại bộ nhớ dựa trên công nghệ FlashROM

Các loại bộ nhớ dựa trên công nghệ FlashROM kết hợp với chuẩn giao tiếp máy tính USB (Universal Serial Bus) tạo ra các bộ nhớ máy tính di động thuận tiện và đa năng như: Các thiết bị giao tiếp USB lưu trữ dữ liệu, thiết bị giao tiếp USB chơi nhạc

số, chơi video số; khóa bảo mật qua giao tiếp USB; thẻ nhớ v.v… Dung lượng thiết

bị lưu trữ FlashROM đã lên tới hàng trăm GB Hiện nay các thiết bị lưu trữ di động USB Flash đã dần thay thế các ổ đĩa cứng, các loại đĩa CD, DVD v.v…

Tuy nhiên, song song với những lợi ích mà thiết bị lưu trữ di động mang lại thì người dùng cũng như các cơ quan, tổ chức cũng phải đối mặt với những nguy cơ và thách thức mới Trong đó, nguy cơ mất an toàn thông tin, đặc biệt là việc lộ lọt các thông tin quan trọng lưu trữ trong thiết bị lưu trữ di động là nguy cơ, thách thức lớn Đặc biệt, ở Việt Nam việc mua bán, sử dụng thiết bị lưu trữ di động USB Flash gần như không chịu sự kiểm soát, cũng như không áp dụng bất kỳ biện pháp bảo đảm an toàn thông tin nào trong việc lưu trữ, trao đổi thông tin giữa người dùng, giữa các cơ quan, tổ chức Khi bị mất dữ liệu, thì tổn hại đối với cơ quan, tổ chức cũng như là cá nhân người dùng có thể rất cao, ví dụ như: lộ tài liệu không phổ biến hoặc hạn chế phổ biến của các cơ quan, tổ chức; thông tin về các hợp đồng, tài khoản ngân hàng, tài khoản truy cập mạng nội bộ, tài sản cá nhân v.v… Có khá nhiều nguyên nhân gây

mất dữ liệu như: nhiễm mã độc, virus; đối tượng xấu lợi dụng các điểm yếu, lỗ hổng

để tấn công, khai thác; dữ liệu lưu trên thiết bị không có cơ chế bảo mật đủ mạnh v.v Các khảo sát cho thấy dữ liệu có thể bị đánh cắp, xem trộm dễ dàng nhất khi được lưu trữ trên các thiết bị lưu trữ di động như USB flash drive Các thiết bị lưu trữ gắn ngoài với kích thước ngày càng nhỏ gọn, cùng với nhu cầu lưu trữ, chia sẽ, trao đổi thông tin thông qua loại thiết bị này ngày càng cao khiến khả năng lộ, lọt thông tin trên đó cũng gia tăng

Bên cạnh nguy cơ lộ, lọt thông tin thì nguy cơ lây nhiễm phần mềm độc hại thông qua thiết bị lưu trữ di động cũng là một nguy cơ lớn đối với người dùng và các cơ quan tổ chức Đặc biệt, năm 2010 xuất hiện một loại phần mềm độc hại rất nổi tiếng

là Stuxnet được thiết kế lây nhiễm vào hệ thống điều khiển công nghiệp thông qua các thiết bị lưu trữ di động USB Stuxnet được cho là vũ khí của một cuộc chiến tranh mạng tiên tiến nhất của thế giới cho đến nay được biết đến Đây được xem là mã độc hoàn hảo và dễ sử dụng nhất, hoạt động theo 3 giai đoạn với bước đầu tiên lây nhiễm

và lan truyền bằng biện pháp tự sao chép Tiếp theo đó nhắm vào phần mềm Step7 của Siemens phát triển chạy trên nền Windows nhằm kiểm soát các thiết bị công nghiệp Cuối cùng là phá hủy các bộ lập trình logic PLC (programmable logic controller) thường được dùng để kiểm soát các hệ thống máy móc trong công nghiệp Stuxnet được công khai vào hồi tháng 6/2010 khi loại sâu máy tính đã lây nhiễm vào

ít nhất 14 địa điểm công nghiệp ở Iran, bao gồm một nhà máy làm giàu uranium nằm trong chương trình hạt nhân của quốc gia này

Năm 2014, nhằm chứng minh cho các nhà sản xuất thấy việc bảo vệ cho phần sụn (firmware) điều khiển ổ nhớ USB là rất quan trọng và cần thiết, hai chuyên gia bảo mật Adam Caudill và Brandon Wilson giới thiệu ra đoạn mã có thể được sử dụng để biến những thanh nhớ USB thành những ổ chứa mã độc và dễ dàng lây nhiễm Cũng trong năm 2014, các chuyên gia của hãng bảo mật Security Research Labs (SRLabs),

đã trình diễn một cuộc tấn công mang tên BadUSB Tấn công BadUSB là hình thức tấn công dựa trên một thiết bị lưu trữ di động USB độc hại khi được nối vào máy tính

sẽ tự động bật lên bàn phím ảo và tạo nên một tổ hợp phím nhấn để cài mã độc vào máy, đồng thời lây nhiễm cả các thiết bị USB khác như bàn phím, chuột hay webcam đang được nối với máy Nó còn có thể thiết lập lại DNS để hướng máy của nạn nhân truy cập tới các trang web chứa mã độc Kiểu tấn công này đòi hỏi sửa đổi firmware điều khiển USB, và điều đó dễ dàng thực hiện từ bên trong hệ điều hành

Tại Việt Nam, việc lây nhiễm phần mềm độc hại thông qua USB cũng diễn ra phổ biến Theo một thống kê cuối năm 2015, đầu năm 2016 cho thấy, thiết bị lưu trữ di động USB flash là một trong các nguồn lây nhiễm virus nhiều nhất tại Việt Nam hiện nay Có đến 83% người dùng tham gia chương trình khảo sát cho biết là USB của họ

đã bị nhiễm virus ít nhất một lần trong năm, giảm không đáng kể so với con số 85% của năm 2014 Hơn 9,1 triệu lượt máy tính đã được ghi nhận nhiễm các loại virus lây qua USB trong năm 2015 cho thấy bức tranh rõ nét về tình trạng sử dụng USB tại Việt Nam Nhiều dòng virus lây nhiễm qua USB một cách dễ dàng do có khả năng lây lan bùng phát chỉ với thao tác mở ổ đĩa USB của người dùng

2.2 Tình hình tiêu chuẩn hóa

Để hướng tới mục tiêu này nhiều nước phát triển đã cùng nhau hợp tác để đưa

ra một bộ tiêu chí chung (Common Criteria) để phục vụ đánh giá, kiểm định an toàn thông tin cho sản phẩm và hệ thống CNTT, bộ tiêu chí chung này sau đó đã được Tổ chức tiêu chuẩn quốc tế ISO ban hành với tên là bộ tiêu chuẩn ISO/IEC 15408 Song song với việc ban hành bộ tiêu chuẩn ISO/IEC 15408, tổ chức ISO cũng đã ban hành tiêu chuẩn ISO/IEC 18045 về hệ thống các phương pháp đánh giá, kiểm định an toàn thông tin nhằm hỗ trợ việc triển khai ISO/IEC 15408

Trên thế giới có nhiều nước đã tiên phong trong việc xây dựng Trung tâm/Phòng thí nghiệm để đánh giá, kiểm định và chứng nhận cho các sản phẩm theo bộ tiêu chuẩn ISO/IEC 15408 như: Úc, Canada, Pháp, Đức, Ý, Nhật, Malaixia, Hà Lan, New Zealand, Na Uy, Hàn Quốc, Tây Ba Nha, Thụy Điển, Thổ Nhĩ Kỳ, Anh, Mỹ Nhu cầu của việc công nhận lẫn nhau kết quả đánh giá, kiểm định và cấp chứng nhận các sản phẩm đã được 1 phòng thí nghiệm thực hiện đánh giá, kiểm định đã hình thành nên Cộng đồng Thỏa thuận thừa nhận lẫn nhau về tiêu chí chung CCRA

Quá trình hình thành cộng đồng CC (Common Criteria)

Thành viên CCRA hiện nay gồm 17 thành viên chủ chốt: ÚC, Canada, Pháp, Đức, Ấn độ, Ý, Nhật, Malaysia,Hà Lan, Newzealand, Nauy, Hàn Quốc, Tây ban nha, Thụy điển, Thổ Nhĩ kỳ, Anh, Mỹ và 11 thành viên chi phối: Áo, TIệp, Đan Mạch, Etiopia, Phần Lan, Hy lạp, Hungary, Israel, Quatar, Pakistan, Singapore (các tổ chức chứng nhận, các Bộ, các cơ quan quản lý, cơ quan về an toàn thông tin của các quốc gia)

Nguồn: https://www.commoncriteriaportal.org/ccra/members/

66 phòng lab được cấp phép bao gồm: Úc (02), Canada (04), Pháp (06), Đức (09),

Ấn độ (01), Ý (06), Nhật (05), Malaysia (02), Hà lan (02), Nauy (04), Hàn Quốc (06), Tây Ban Nha (03),Thụy điển (02), Thổ Nhĩ Kỳ (05), Anh (02), Mỹ (09)

Nguồn: https://www.commoncriteriaportal.org/labs/

Trên trang web của tổ chức Common Criteria có ít nhất 1623 sản phẩm đã được chứng nhận, 169 tiêu chí/tiêu chuẩn đánh giá đã được ban hành thuộc nhóm đã đạt được (Archived Protection Profiles), 217 hồ sơ bảo vệ thuộc nhóm đang được áp dụng… ), điều này cho thấy Bộ tiêu chuẩn này là rất cần thiết và được các nước phát triển rất quan tâm

356 tài liệu hồ sơ bảo vệ trên trang web của CC

Mức đảm bảo đánh giá theo các hồ sơ bảo vệ

Tại Việt Nam đã ban hành một số tiêu chuẩn về các tiêu chí và phương pháp đánh giá an toàn cho các sản phẩm công nghệ thông tin như bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) (03 phần) về các tiêu chí đánh giá an toàn thông tin và TCVN 11386:2016 về phương pháp đánh giá an toàn công nghệ thông tin

Đối với nhóm sản phẩm thiết bị lưu trữ di động, bộ Hồ sơ bảo vệ đã được xây dựng và CCRA ban hành từ 11/09/2012, hồ sơ bảo vệ này được áp dụng để đánh giá, cấp giấy chứng nhận cho các sản phẩm thiết bị lưu trữ di động và hiện tại vẫn đang được tiếp tục áp dụng

Hồ sơ bảo vệ cho thiết bị lưu trữ di động ban hành ngày 11/9/2012

Dựa trên sự phố biến của các thiết bị lưu trữ di động và việc bộ Hồ sơ bảo vệ

“Portable Storage Media Protection Profile Version 1.0” được xây dựng và do CCRA ban hành từ 11/09/2012 và vẫn được áp dụng đến thời điểm hiện tại, nhóm thực hiện

đề tại đã lựa chọn hồ sơ bảo vệ “Portable Storage Media Protection Profile Version 1.0” làm tài liệu tham chiếu để thực hiện dự thảo TCVN: Công nghệ thông tin - Các

kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin - Hồ sơ bảo vệ cho thiết bị lưu trữ di động

2.3 Các tiêu chuẩn quốc tế về đánh giá an toàn công nghệ thông tin

Các tổ chức quốc tế đã nghiên cứu và đưa ra nhiều tài liệu, tiêu chuẩn về an toàn công nghệ thông tin như:

1 Bộ tiêu chuẩn về quản lý an toàn thông tin thuộc họ ISO/IEC 27xxx, cung cấp các

hướng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin Trong

đó, có nhiều tiêu chuẩn được ban hành mới gần đây như ISO/IEC 27033-4:2014, ISO/IEC 27033-5:2014, ISO/IEC 27037:2014 và một số tiêu chuẩn được cập nhật phiên bản mới như ISO/IEC 27001:2013, ISO/IEC 27002:2013…

 ISO/IEC 27000:2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

 ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu

 ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an toàn thông tin

 ISO/IEC 27003:2010 - Hướng dẫn thực thi hệ thống quản lý an toàn thông tin

 ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường

 ISO/IEC 27005:2011 - Quản lý rủi ro an toàn thông tin

 …

 ISO/IEC 27033:2009 - Tổng quan và các khái niệm về an toàn mạng

-Tổng quan và các khái niệm



2 Tiêu chuẩn về đánh giá an toàn thông tin

 Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm, hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn Bộ tiêu chuẩn này gồm có 3 phần:

 ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung

 ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn

 ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn

Hình thành và tương quan giữa các tiêu chuẩn quốc gia, Tiêu chí Chung (CC) và

Bộ tiêu chuẩn ISO/IEC 15408

Mối quan hệ giữa ISO/IEC 15408 và các tiêu chuẩn khác về đánh giá ATTT:

Mối quan hệ giữa ISO/IEC 15408 và các tiêu chuẩn

 Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin Tiêu chuẩn này quy định

những hành động mà một người đánh giá cần thực hiện theo một trình tự nhất định để kiểm soát việc đánh giá trong ISO/IEC 15408, sử dụng các tiêu chí đánh giá trong bộ ISO/IEC 15408

 Bộ tiêu chuẩn ISO/IEC TR 19791:2010 - Công nghệ thông tin - Các kỹ thuật

an toàn - Đánh giá an toàn các hệ thống vận hành Tiêu chuẩn này cung cấp các hướng dẫn và tiêu chí đánh giá an toàn các hệ thống vận hành Tiêu chuẩn này mở rộng hơn ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống vận hành mà trong tiêu chuẩn ISO/IEC 15408 không được đề cập

 Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phương pháp đánh giá sự phù hợp bảo đảm an toàn

Bộ tiêu chuẩn này gồm 2 phần:

 ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm

 ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 2: Các phân tích

2.4 Các tiêu chuẩn trong nước về đánh giá an toàn công nghệ thông tin

1 Bộ TCVN về Hệ thống quản lý an toàn thông tin

 TCVN ISO 27001:2009 (ISO/IEC 27001:2005): Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu

 TCVN ISO 27002:2011 (ISO/IEC 27002:2005): Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành Quản lý an toàn thông tin

 TCVN 10541:2014 (ISO/IEC 27003:2010): Công nghệ thông tin - Các kỹ thuật

an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin

 TCVN 10542:2014 (ISO/IEC 27004:2010): Công nghệ thông tin - Các kỹ thuật

an toàn - Quản lý an toàn thông tin - Đo lường

 TCVN 10295:2014 (ISO/IEC 27005:2011): Công nghệ thông tin - Các kỹ thuật

an toàn - Quản lý rủi ro an toàn thông tin

 TCVN 10543:2014 (ISO/IEC 27010:2012): Công nghệ thông tin - Các kỹ thuật

an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành

 TCVN 11239:2015 (ISO/IEC 27035:2011): Công nghệ thông tin - Các kỹ thuật

an toàn - Quản lý sự cố an toàn thông tin

2 Bộ TCVN về đánh giá an toàn công nghệ thông tin

 TCVN 8709-1:2011 (ISO/IEC 15408-1:2009): Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát

 TCVN 8709-2:2011 (ISO/IEC 15408-2:2008): Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn

 TCVN 8709-3:2011 (ISO/IEC 15408-3:2008): Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn

3 Bộ TCVN về phương pháp đánh giá an toàn công nghệ thông tin

 TCVN 11386:2016 (ISO/IEC 18045:2008): Công nghệ thông tin - Các kỹ thuật

an toàn - Phương pháp đánh giá an toàn thông tin Đây là bộ tiêu chuẩn quốc gia về

hệ thống phương pháp đánh giá an toàn công nghệ thông tin theo các tiêu chí chung

về an toàn công nghệ thông tin quy định trong ISO/IEC 15408, phục vụ việc đánh giá

an toàn thông tin cho các sản phẩm, hệ thống CNTT

2.5 Giới thiệu về hồ sơ bảo vệ cho thiết bị lưu trữ di động

a Mục tiêu của tiêu chuẩn

Tiêu chuẩn này quy định yêu cầu về an toàn thông tin đối với loại thiết bị lưu trữ

di động Các yêu cầu an toàn thông tin trong tiêu chuẩn được xây dựng theo phù hợp với các nguyên tắc về tiêu chí đánh giá an toàn công nghệ thông tin tại TCVN 8709

và được tổng hợp dưới dạng tài liệu Hồ sơ bảo vệ (PP)

Các loại thiết bị được đánh giá theo tiêu chuẩn này được gọi chung là Đích đánh giá (TOE) và được quy định cụ thể tại mục “Tổng quan về TOE” Đối tượng đánh giá (TOE) trong PP là: thiết bị lưu trữ di động kết nối máy chủ vật lý lưu trữ dữ liệu người dùng được mã hóa và cần xác thực để có quyền truy cập vào dữ liệu người dùng được mã hóa

b Cấu trúc tiêu chuẩn

Lời nói đầu