TCVN: CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –HƯỚNG DẪN THỰC HIỆN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

Xác định phạm vi, cấp độKhởi động Phân tích yêu cầu a Các giai đoạn của dự án BVHTTT - Mục tiêu chiến lược của tổ chức; - Tổng quan về các biện pháp bảo đảm an toàn hệ thống thông tin hi

Trang 1

TCVN T I Ê U C H U Ẩ N Q U Ố C G I A

TCVN XXX:2018Xuất bản lần 1

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –

HƯỚNG DẪN THỰC HIỆN BẢO ĐẢM AN TOÀN

HỆ THỐNG THÔNG TIN

Information technology – Security techniques – Information system security assurance

implementation guidance

HÀ NỘI – 2018

Trang 2

2 Tài liệu viện dẫn 7

3 Thuật ngữ và định nghĩa 7

4 Cấu trúc tiêu chuẩn 8

4.1 Cấu trúc chung của các điều 8

4.2 Cấu trúc chung của từng điều 8

4.3 Biểu đồ 8

5 Khởi động 8

5.1 Tổng quan về giai đoạn khởi động 8

5.2 Xác định mục tiêu của tổ chức đối với BVHTTT 8

5.3 Xác định phạm vi BVHTTT sơ bộ 8

5.3.1 Xác định phạm vi sơ bộ của hệ thống thông tin 8

5.3.2 Xác định vai trò và trách nhiệm đối với BVHTTT 8

5.4 Đề xuất dự án BVHTTT ban đầu 8

6 Xác định phạm vi, cấp độ 8

6.1 Tổng quan về giai đoạn xác định phạm vi, cấp độ 8

6.2 Xác định phạm vi và giới hạn về tổ chức 8

6.3 Xác định phạm vi và giới hạn về công nghệ thông tin và truyền thông (ICT) 8

6.4 Xác định phạm vi và giới hạn vật lý 8

6.5 Tổng hợp phạm vi và giới hạn của hệ thống thông tin 8

6.6 Xác định cấp độ của hệ thống thông tin 8

6.7 Xây dựng chính sách tổng thể BVHTTT 8

7 Phân tích yêu cầu 8

7.1 Tổng quan về giai đoạn phân tích yêu cầu 8

7.2 Xác định yêu cầu 8

7.3 Xác định tài sản thông tin 8

7.4 Kiểm tra đánh giá 8

8 Quản lý rủi ro 8

8.1 Tổng quan về giai đoạn quản lý rủi ro 8

8.2 Tiến hành đánh giá rủi ro 8

8.3 Chọn lựa biện pháp BVHTTT 8

8.4 Lập kế hoạch triển khai BVHTTT 8

9 Thiết kế và thực thi 8

9.1 Tổng quan về giai đoạn thiết kế và thực thi 8

9.2 Thiết kế về tổ chức 8

9.2.1 Thiết kế cơ cấu tổ chức cho BVHTTT 8

9.2.2 Thiết kế cấu trúc khung hệ thống tài liệu cho BVHTTT 8

9.2.3 Thiết kế chính sách BVHTTT 8

9.2.4 Xây dựng các quy trình và thủ tục 8

9.3 Thiết kế về vật lý và ICT 8

9.4 Tổng hợp tài liệu thiết kế 8

9.5 Thực thi 8

10 Vận hành 8

10.1 Tổng quan về giai đoạn vận hành 8

10.2 Soát xét 8

10.3 Chương trình tập huấn 8

10.4 Hủy bỏ 8

Phụ lục A (tham khảo): Danh sách các hoạt động 8

Phụ lục B (tham khảo): Các vai trò và trách nhiệm về BVHTTT 8

Tài liệu tham khảo 8

Trang 4

TCVN XXX:2018 là tiêu chuẩn hướng dẫn thực hiện bảo đảm an toàn hệ thống

thông tin theo cấp độ

TCVN XXX:2018 do Viện Công nghệ Thông tin và Truyền thông CDIT, Học viện

Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề

nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và

Công nghệ công bố

Trang 6

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này Đối với các tài liệu viện dẫn ghinăm công bố thì áp dụng phiên bản được nêu Đối với các tài liệu viện dẫn không ghi năm công bố thì

áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung)

TCVN 11930:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thốngthông tin theo cấp độ

Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo)

Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo)

3 Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN 11930:2017 và các thuật ngữ,định nghĩa sau:

3.1

Dự án bảo vệ hệ thống thông tin (BVHTTT)

Các hoạt động có cấu trúc được một tổ chức thực hiện để triển khai BVHTTT

Trang 7

4 Cấu trúc tiêu chuẩn

4.1 Cấu trúc chung của các điều

Triển khai BVHTTT là hoạt động quan trọng, được thực hiện như một dự án bao gồm bảy giai đoạn,mỗi giai đoạn được thể hiện trong một điều Tất cả các điều này đều có cấu trúc giống nhau như mô tảdưới đây Sáu giai đoạn của dự án BVHTTT bao gồm:

a) Khởi động (Điều 5);

b) Xác định phạm vi, cấp độ (Điều 6);

c) Phân tích yêu cầu (Điều 7);

d) Quản lý rủi ro (Điều 8);

e) Thiết kế và xây dựng (Điều 9)

Mỗi điều bao gồm:

a) Mục tiêu thể hiện nội dung cần đạt;

b) Hoạt động cần thiết để đạt được mục tiêu của giai đoạn đó

Mỗi hoạt động được mô tả trong một điều nhỏ

Trang 8

Các mô tả hoạt động trong từng điều nhỏ được cấu trúc như sau:

Mục tiêu

Phần Mục tiêu xác định điều cần thỏa mãn để đạt được toàn bộ hoặc một phần mục tiêu của giai đoạn.

Đầu vào

Phần Đầu vào mô tả xuất phát điểm, ví dụ các quyết định đã có trong các văn bản hoặc các đầu ra từ

các hoạt động khác được mô tả trong tiêu chuẩn

Hướng dẫn

Phần Hướng dẫn cung cấp thông tin chi tiết để thực hiện hoạt động này.

Đầu ra

Phần Đầu ra mô tả kết quả hoặc sản phẩm thu được khi hoạt động này hoàn thành, ví dụ một văn bản.

Các đầu ra đều giống nhau và không phụ thuộc vào quy mô của tổ chức hoặc phạm vi BVHTTT

a) Các giai đoạn trong dự án BVHTTT

Hoạt động A

b) Các hoạt động trong giai đoạn Y

Hoạt động B

Hình 2 - Chú thích luồng công việc

Trang 9

Trong hình trên, phần a) phía trên thể hiện các giai đoạn của một dự án BVHTTT Giai đoạn được đềcập trong mỗi điều sau đó được nhấn mạnh với các tài liệu đầu vào và đầu ra chính của giai đoạn đó.

Phần b) phía dưới (các hoạt động trong giai đoạn Y) bao gồm các hoạt động chính thuộc giai đoạnđược nhấn mạnh trong phần a) phía trên, và các tài liệu đầu vào và đầu ra chính của từng hoạt động.Mũi tên giữa các hoạt động chỉ thứ tự thực hiện các hoạt động đó Hoạt động B và Hoạt động C có thểđược thực hiện đồng thời Hoạt động B và C nên được bắt đầu sau khi Hoạt động A kết thúc

5 Khởi động

5.1 Tổng quan về giai đoạn khởi động

Mục tiêu của giai đoạn này là được lãnh đạo phê duyệt cho thực hiện dự án BVHTTT Để làm đượcviệc đó, đơn vị vận hành hệ thống thông tin cần xây dựng bản đề xuất dự án BVHTTT ban đầu, trong

đó bao gồm mục tiêu của tổ chức đối với BVHTTT, phạm vi sơ bộ của hệ thống thông tin, kế hoạch sơ

bộ của dự án cùng vai trò và trách nhiệm đối với BVHTTT

Các hoạt động trong giai đoạn khởi động được trình bày trong Hình 3

Xác định phạm vi, cấp độKhởi động

Phân tích yêu cầu

a) Các giai đoạn của dự án BVHTTT

- Mục tiêu chiến lược của tổ

chức;

- Tổng quan về các biện pháp bảo

đảm an toàn hệ thống thông tin

hiện có

- Bản đề xuất dự án BVHTTT ban đầu, bao gồm các nội dung:a) Mục tiêu của tổ chức đối với BVHTTT

b) Phạm vi sơ bộ của hệ thống thông tin

c) Vai trò và trách nhiệm đối với BVHTTT

d) Kế hoạch sơ bộ của dự án BVHTTT

Trang 10

Xác định mục tiêu của tổ chức đối với BVHTTT

- Mục tiêu chiến lược của tổ

chức;

- Tổng quan về các biện pháp bảo

đảm an toàn hệ thống thông tin

- Mục tiêu của tổ chức đối với

b) Phạm vi sơ bộ của hệ thống thông tin

d) Kế hoạch sơ bộ của dự án BVHTTT

Hình 3 – Sơ đồ tổng quát của giai đoạn khởi động5.2 Xác định mục tiêu của tổ chức đối với BVHTTT

Mục tiêu

Mục tiêu của hoạt động này là xác định mục tiêu tổ chức đối với bảo vệ hệ thống thông tin theo cấp độ

Đầu vào

a) Mục tiêu chiến lược của tổ chức;

b) Tổng quan về các các biện pháp bảo đảm an toàn hệ thống thông tin hiện có

Trang 11

nghiệp, theo quy định của Luật an toàn thông tin mạng (Luật số 86/2015/QH13) và Nghị định số85/2016/NĐ-CP Việc thực hiện dự án BVHTTT sẽ giúp bảo vệ hệ thống thông tin theo cấp độ theođúng quy định hiện hành Như vậy bảo vệ hệ thống thông tin theo cấp độ theo đúng quy định hiện hành

là mục tiêu đầu tiên của tổ chức đối với BVHTTT

Thứ hai, bản thân tổ chức cũng có những yêu cầu riêng đối với bảo đảm an toàn hệ thống thông tincủa mình Thông qua các mục tiêu chiến lược của tổ chức và tổng quan về các các biện pháp bảo đảm

an toàn hệ thống thông tin hiện đang triển khai có thể xác định được những mục tiêu khác của tổ chứcđối với BVHTTT

Đầu ra

Sản phẩm đầu ra của hoạt động này là:

a) Mục tiêu của tổ chức đối với BVHTTT, trong đó bao gồm mục tiêu đáp ứng yêu cầu bảo vệ hệthống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng (Luật số86/2015/QH13) và Nghị định số 85/2016/NĐ-CP và các mục tiêu khác của tổ chức đối với bảođảm an toàn hệ thống thông tin (nếu có.)

a) Phạm vi sơ bộ của hệ thống thông tin

5.3.2 Xác định vai trò và trách nhiệm đối với BVHTTT

Mục tiêu

Mục tiêu của hoạt động này là xác định vai trò và trách nhiệm chung đối với BVHTTT, làm cơ sở đểxây dựng bản đề xuất dự án BVHTTT

Trang 12

Đầu vào

a) Phạm vi sơ bộ của hệ thống thông tin;

b) Danh sách các bên liên quan đến BVHTTT

Hướng dẫn

Việc xác định vai trò và trách nhiệm đối với BVHTTT được thực hiện dựa trên hai khía cạnh sau:

Thứ nhất, theo Nghị định 85, các vai trò và trách nhiệm liên quan đến bảo vệ hệ thống thông tin của tổchức bao gồm: Chủ quản hệ thống thông tin; Đơn vị chuyên trách về an toàn thông tin; Đơn vị vậnhành hệ thống thông tin

Thứ hai, căn cứ vào phạm vi sơ bộ của hệ thống thông tin và danh sách các bên liên quan đếnBVHTTT của tổ chức xác định các vai trò và trách nhiệm liên quan

Phụ lục B cung cấp thông tin chi tiết về các vai trò và trách nhiệm cần có trong tổ chức để có thể triểnkhai BVHTTT

Đầu ra

a) Vai trò và trách nhiệm đối với BVHTTT

5.4 Đề xuất dự án BVHTTT ban đầu

Mục tiêu

Mục tiêu của hoạt động này là đề xuất dự án BVHTTT ban đầu để trình lãnh đạo phê duyệt

Đầu vào

a) Mục tiêu của tổ chức đối với BVHTTT;

b) Phạm vi sơ bộ của hệ thống thông tin;

Trang 13

Đầu ra

a) Bản đề xuất dự án BVHTTT ban đầu, bao gồm các nội dung: Mục tiêu của tổ chức đối vớiBVHTTT; phạm vi sơ bộ của hệ thống thông tin; vai trò và trách nhiệm đối với BVHTTT; và kếhoạch sơ bộ của dự án BVHTTT

6 Xác định phạm vi, cấp độ

6.1 Tổng quan về giai đoạn xác định phạm vi, cấp độ

Mục tiêu của giai đoạn này là xác định chi tiết về phạm vi và các giới hạn của hệ thống thông tin, xácđịnh cấp độ của hệ thống thông tin và đưa ra chính sách tổng thể BVHTTT, làm cơ sở để xác định yêucầu BVHTTT và kiểm tra đánh giá đối với BVHTTT

Các hoạt động trong giai đoạn xác định phạm vi, cấp độ được trình bày trong Hình 4

Khởi động

Xác định phạm vi, cấp độ

- Bản đề xuất dự án BVHTTT

ban đầu, bao gồm các nội dung:

a) Mục tiêu của tổ chức đối với

Trang 14

- Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin;

- Các biện pháp bảo đảm an toàn

về tổ chức đối với hệ thống thông tin hiện đang được sử dụng

- Phạm vi và giới hạn về ICT đối với hệ thống thông tin;

về ICT đối với hệ thống thông tin hiện đang được sử dụng

đối với hệ thống thông tin

- Phạm vi và giới hạn về ICT đối

với hệ thống thông tin

- Phạm vi và giới hạn vật lý đối với hệ thống thông tin;

về vật lý đối với hệ thống thông tin hiện đang được sử dụng

- Bản đề xuất dự án BVHTTT

ban đầu

- Phạm vi và giới hạn về tổ chức

đối với hệ thống thông tin;

- Phạm vi và giới hạn về ICT đối

với hệ thống thông tin;

- Phạm vi và giới hạn vật lý đối

với hệ thống thông tin

- Phạm vi và giới hạn của hệ thống thông tin;

- Các biện pháp bảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng

Đầu vào

a) Bản đề xuất dự án BVHTTT ban đầu

Trang 15

Hướng dẫn

Trong bản đề xuất dự án BVHTTT ban đầu có bao gồm các nội dung: Mục tiêu của tổ chức đối vớiBVHTTT; phạm vi sơ bộ của hệ thống thông tin; vai trò và trách nhiệm đối với BVHTTT; và kế hoạch

sơ bộ của dự án BVHTTT

Căn cứ phạm vi sơ bộ của hệ thống thông tin và vai trò và trách nhiệm đối với BVHTTT, xác định phạm

vi và giới hạn về tổ chức đối với hệ thống thông tin, bao gồm chủ quản hệ thống thông tin, đơn vị vậnhành hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin,Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin phải được xác định để đảm bảo rằng tất cảcác hoạt động ở các bước tiếp theo liên quan đến hệ thống thông tin đều được xem xét

Căn cứ phạm vi và giới hạn về tổ chức đối với hệ thống thông tin, xác định các biện pháp bảo đảm antoàn về tổ chức đối với hệ thống thông tin hiện đang được sử dụng

Đầu ra

a) Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin;

b) Các biện pháp bảo đảm an toàn về tổ chức đối với hệ thống thông tin hiện đang được sử dụng

6.3 Xác định phạm vi và giới hạn về công nghệ thông tin và truyền thông (ICT)

Mục tiêu

Mục tiêu của hoạt động này là xác định phạm vi và giới hạn về ICT đối với hệ thống thông tin Đồngthời xác định các biện pháp bảo đảm an toàn về ICT đối với hệ thống thông tin hiện đang được sửdụng

Đầu vào

a) Bản đề xuất dự án BVHTTT ban đầu;

b) Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin

Hướng dẫn

Trong bản đề xuất dự án BVHTTT ban đầu có bao gồm nội dung phạm vi sơ bộ của hệ thống thông tin.Căn cứ phạm vi sơ bộ của hệ thống thông tin và phạm vi và giới hạn về tổ chức đối với hệ thống thôngtin, xác định phạm vi về ICT đối với hệ thống thông tin, bao gồm hệ thống mạng, phần cứng, phầnmềm, hệ thống cơ sở dữ liệu

Căn cứ phạm vi và giới hạn về ICT đối với hệ thống thông tin, xác định các biện pháp bảo đảm an toàn

về ICT đối với hệ thống thông tin hiện đang được sử dụng

Đầu ra

Trang 16

a) Phạm vi và giới hạn về ICT đối với hệ thống thông tin;

b) Các biện pháp bảo đảm an toàn về ICT đối với hệ thống thông tin hiện đang được sử dụng

6.4 Xác định phạm vi và giới hạn vật lý

Mục tiêu

Mục tiêu của hoạt động này là xác định phạm vi và giới hạn về vật lý đối với hệ thống thông tin Đồngthời xác định các biện pháp bảo đảm an toàn về vật lý đối với hệ thống thông tin hiện đang được sửdụng

Đầu vào

b) Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin;

c) Phạm vi và giới hạn về ICT đối với hệ thống thông tin

Hướng dẫn

Trong bản đề xuất dự án BVHTTT ban đầu có bao gồm nội dung phạm vi sơ bộ của hệ thống thông tin.Căn cứ phạm vi sơ bộ của hệ thống thông tin và phạm vi, phạm vi và giới hạn về tổ chức đối với hệthống thông tin và phạm vi và giới hạn về ICT đối với hệ thống thông tin, xác định phạm vi và giới hạn

về vật lý đối với hệ thống thông tin, bao gồm phòng máy, vị trí lắp đặt

Căn cứ phạm vi và các giới hạn về vật lý đối với hệ thống thông tin, xác định các biện pháp bảo đảm

an toàn về vật lý đối với hệ thống thông tin hiện đang được sử dụng

Đầu ra

a) Phạm vi và giới hạn về vật lý đối với hệ thống thông tin;

b) Các biện pháp bảo đảm an toàn về vật lý đối với hệ thống thông tin hiện đang được sử dụng

6.5 Tổng hợp phạm vi và giới hạn của hệ thống thông tin

Mục tiêu

Mục tiêu của hoạt động này là tổng hợp các phạm vi và giới hạn về tổ chức, về ICT và vật lý đối với hệthống thông tin thành phạm vi và giới hạn của hệ thống thông tin Đồng thời tổng hợp các biện phápbảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng

Đầu vào

b) Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin;

Trang 17

c) Các biện pháp bảo đảm an toàn về tổ chức đối với hệ thống thông tin hiện đang được sử dụng;d) Phạm vi và giới hạn về ICT đối với hệ thống thông tin;

e) Các biện pháp bảo đảm an toàn về ICT đối với hệ thống thông tin hiện đang được sử dụng;f) Phạm vi và giới hạn về vật lý đối với hệ thống thông tin;

g) Các biện pháp bảo đảm an toàn về vật lý đối với hệ thống thông tin hiện đang được sử dụng

Hướng dẫn

Trong bản đề xuất dự án BVHTTT ban đầu có bao gồm nội dung phạm vi sơ bộ của hệ thống thông tin

Căn cứ phạm vi sơ bộ của hệ thống thông tin và phạm vi, phạm vi và giới hạn về tổ chức đối với hệthống thông tin, phạm vi và giới hạn về ICT đối với hệ thống thông tin và phạm vi và giới hạn về vật lýđối với hệ thống thông tin, tổng hợp thành phạm vi và giới hạn của hệ thống thông tin

Căn cứ các biện pháp bảo đảm an toàn về tổ chức, về ICT và về vật lý đối với hệ thống thông tin, tổnghợp thành các biện pháp bảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng

Đầu ra

c) Phạm vi và giới hạn của hệ thống thông tin;

d) Các biện pháp bảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng

6.6 Xác định cấp độ của hệ thống thông tin

Hoạt động này bao gồm những nội dung sau:

a) Xác định sơ bộ cấp độ bảo vệ an toàn hệ thống thông tin Căn cứ quy định quản lý quốc gia vàphương pháp phân cấp độ trong Nghị định 85, đơn vị vận hành hệ thống thông tin xác định sơ

bộ cấp độ an toàn của mỗi đối tượng

b) Thẩm định và phê duyệt kết quả phân cấp độ Sau khi xác định sơ bộ cấp độ an toàn của mỗi

hệ thống thông tin, đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ Hồ sơ đề xuấtbao gồm:

1) Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin

Trang 18

2) Tài liệu thiết kế là một trong những tài liệu sau:

i Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin:Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;

ii Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩmquyền phê duyệt hoặc tài liệu có giá trị tương đương

3) Tài liệu thuyết minh về việc đề xuất cấp độ

4) Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản

hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5

c) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2, đơn vị vận hành hệ thốngthông tin gửi hồ sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin của chủ quản hệthống thông tin thực hiện thẩm định, phê duyệt

d) Đối với hệ thống thông tin được đề xuất là cấp độ 3, đơn vị vận hành hệ thống thông tin gửi hồ

sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tinthực hiện thẩm định; sau đó đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thôngtin phê duyệt

e) Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

1) Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các

bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất đối với hệ thống thông tin khôngphải do Bộ Quốc phòng và Bộ Công an quản lý

2) Bộ Quốc phòng chủ trì, phối hợp với Bộ Thông tin và Truyền thông và các bộ, ngànhliên quan thực hiện thẩm định hồ sơ đề xuất đối với hệ thống thông tin do Bộ Quốcphòng quản lý

3) Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông và các bộ, ngành liênquan thực hiện thẩm định hồ sơ đề xuất đối với hệ thống thông tin do Bộ Công an quảnlý

4) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tincấp độ 4

5) Thủ tướng Chính phủ phê duyệt Danh mục Hệ thống thông tin cấp độ 5

Trang 19

Đầu vào

b) Phạm vi và giới hạn của hệ thống thông tin;

c) Cấp độ của hệ thống thông tin

Hướng dẫn

Căn cứ bản đề xuất dự án BVHTTT ban đầu, phạm vi và giới hạn của hệ thống thông tin và cấp độ của

hệ thống thông tin đã được xác định, xây dựng Chính sách tổng thể BVHTTT bao gồm các nội dungsau:

a) Phạm vi và giới hạn của hệ thống thông tin;

b) Cấp độ đối với hệ thống thông tin;

c) Mục tiêu của tổ chức đối với BVHTTT, trong đó bao gồm mục tiêu đáp ứng yêu cầu bảo vệ hệthống thông tin theo cấp độ đã được xác định theo quy định của Luật an toàn thông tin mạng(Luật số 86/2015/QH13) và Nghị định số 85/2016/NĐ-CP và các mục tiêu khác của tổ chức đốivới bảo đảm an toàn hệ thống thông tin (nếu có.);

d) Hướng dẫn hành động để đạt được các mục tiêu trên Hướng dẫn hành động là các nội dung

cụ thể hơn so với kế hoạch sơ bộ của dự án BVHTTT bao gồm các hoạt động liên quan vàđược triển khai theo trình tự của các giai đoạn trong các điều từ 6 đến 10 của tiêu chuẩn này;

e) Phân tích bối cảnh quản lý rủi ro trong tổ chức và thiết lập tiêu chí đánh giá các rủi ro và xácđịnh cấu trúc đánh giá rủi ro

f) Vai trò và trách nhiệm đối với BVHTTT

Trình cấp có thẩm quyền phê duyệt chính sách tổng thể BVHTTT

TCVN 10295:2014 (ISO/IEC 27005:2011) cung cấp thông tin bổ sung về chỉ tiêu đánh giá rủi ro

Đầu ra

a) Chính sách tổng thể BVHTTT

7 Phân tích yêu cầu

7.1 Tổng quan về giai đoạn phân tích yêu cầu

Mục tiêu của giai đoạn này là phân tích đánh giá trạng thái an toàn của hệ thống thông tin hiện tại sovới các yêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin theo cấp độ đã được xác định và cácyêu cầu đặc thù khác của tổ chức đối với BVHTTT

Các hoạt động trong giai đoạn phân tích yêu cầu được trình bày trong Hình 5

Trang 20

Xác định phạm vi, cấp độ

Quản lý rủi ro

Các giai đoạn của dự án BVHTTT

Xác định yêu cầu

- Chính sách tổng thể BVHTTT

Các hoạt động trong giai đoạn phân tích yêu cầu

Xác định tài sản thông tin

Kiểm tra đánh giá

-Yêu cầu đối với BVHTTT

- Danh mục tài sản thông tin

- Chính sách tổng thể BVHTTT;

- Yêu cầu đối với BVHTTT

- Yêu cầu đối với BVHTTT;

- Danh mục tài sản thông tin

- Kết quả kiểm tra đánh giá

Hình 4 – Sơ đồ tổng quát của giai đoạn phân tích yêu cầu7.2 Xác định yêu cầu

Mục tiêu

Mục tiêu của hoạt động này là xác định các yêu cầu chi tiết đối với BVHTTT, bao gồm các yêu an toàn

cơ bản về bảo đảm an toàn hệ thống thông tin theo cấp độ đã được phê duyệt và các yêu cầu đặc thùkhác của tổ chức đối với BVHTTT

Trang 21

Mục tiêu của tổ chức đối với BVHTTT bao gồm mục tiêu đáp ứng yêu cầu bảo vệ hệ thống thông tintheo cấp độ đã được xác định theo quy định của Luật an toàn thông tin mạng (Luật số 86/2015/QH13)

và Nghị định số 85/2016/NĐ-CP và các mục tiêu khác của tổ chức đối với bảo đảm an toàn hệ thốngthông tin (nếu có);

Căn cứ kết quả xác định cấp độ đối với hệ thống thông tin và TCVN 11930:2017 xác định các yêu cầu

cơ bản về bảo vệ hệ thống thông tin theo cấp độ

Căn cứ vào các mục tiêu khác của tổ chức đối với bảo đảm an toàn hệ thống thông tin, xác định cácyêu cầu đặc thù khác của tổ chức đối với BVHTTT

Đầu ra

a) Yêu cầu đối với BVHTTT, trong đó bao gồm các yêu an toàn cơ bản về bảo đảm an toàn hệthống thông tin theo cấp độ đã được phê duyệt và các yêu cầu đặc thù khác của tổ chức đối vớiBVHTTT

7.3 Xác định tài sản thông tin

Đầu ra

a) Danh mục tài sản thông tin, trong đó bao gồm thông tin về mức độ quan trọng của tài sản thôngtin đối với tổ chức

7.4 Kiểm tra đánh giá

Mục tiêu

Mục tiêu của hoạt động này là đánh giá trạng thái an toàn của hệ thống thông tin hiện tại so với cácyêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin theo cấp độ đã được xác định và các yêu cầuđặc thù khác của tổ chức đối với BVHTTT

Trang 22

Đầu vào

a) Chính sách tổng thể BVHTTT;

b) Các biện pháp bảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng;

c) Yêu cầu đối với BVHTTT;

d) Danh mục tài sản thông tin

Hướng dẫn

Hoạt động này xác định khoảng cách giữa các biện pháp bảo đảm an toàn hệ thống thông tin hiệnđang được sử dụng với các yêu cầu an toàn cơ bản về bảo vệ hệ thống thông tin theo cấp độ đã đượcxác định, từ đó đánh giá trạng thái an toàn của hệ thống thông tin hiện tại, đưa ra các điểm yếu của hệthống thông tin so với yêu cầu của cấp độ bảo vệ tương ứng và yêu cầu đặc thù khác của tổ chức đốivới BVHTTT

Cách thức tiến hành kiểm tra đánh giá được mô tả chi tiết trong Tài liệu hướng dẫn quy trình kiểm trađánh giá cấp độ đối với hệ thống thông tin (dự thảo)

Kết quả kiểm tra đánh giá bao gồm các nội dung sau:

a) Yêu cầu đối với BVHTTT

b) Danh mục tài sản thông tin

c) Các điểm yếu so với các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ đã được xácđịnh;

d) Các điểm yếu so với các yêu cầu đặc thù khác của tổ chức (nằm ngoài các yêu cầu cơ bản vềbảo vệ hệ thống thông tin theo cấp độ đã được xác định);

e) Kết quả đánh giá bảo vệ hệ thống thông tin đã đáp ứng các yêu cầu cơ bản về bảo vệ hệ thốngthông tin theo cấp độ đã được xác định hay chưa

Đầu ra

a) Kết quả kiểm tra đánh giá

8 Quản lý rủi ro

8.1 Tổng quan về giai đoạn quản lý rủi ro

Mục tiêu của giai đoạn này là phân tích, ước lượng rủi ro an toàn hệ thống thông tin để lựa chọn cách

xử lý rủi ro và biện pháp bảo đảm an toàn thông tin

Các hoạt động trong giai đoạn quản lý rủi ro được trình bày trong Hình 6

Trang 23

Quản lý rủi ro

Thiết kế và thực thi

BVHTTT

Tiến hành đánh giá rủi ro

- Kết quả kiểm tra đánh giá

b) Các hoạt động trong giai đoạn quản lý rủi ro

- Tài liệu mô tả phương pháp

đánh giá rủi ro;

- Kết quả đánh giá rủi ro;

- Các biện pháp BVHTTT;

- Kế hoạch xử lý rủi ro

- Kế hoạch triển khai BVHTTT

Hình 5 - Tổng quan về giai đoạn quản lý rủi ro8.2 Tiến hành đánh giá rủi ro

Mục tiêu

Mục tiêu của hoạt động này là đánh giá rủi ro đối với các điểm yếu so với các yêu cầu đặc thù kháccủa tổ chức (nằm ngoài các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ đã được xácđịnh)

Đầu vào

a) Chính sách tổng thể BVHTTT;

b) Kết quả kiểm tra đánh giá

Trang 24

Hướng dẫn

Theo quy định của của Luật an toàn thông tin mạng (Luật số 86/2015/QH13) và Nghị định số 85/2016/NĐ-CP, hệ thống cần đáp ứng các yêu cầu an toàn cơ bản của cấp độ tương ứng, vì vậy đối vớinhững điểm yếu so với các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ đã được xác địnhthì không cần phải đánh giá rủi ro Việc tiến hành đánh giá rủi ro đối với các điểm yếu so với các yêucầu đặc thù khác của tổ chức (nằm ngoài các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ

đã được xác định)

Đánh giá rủi ro là việc xác định các điểm yếu có thể bị các mối đe dọa khai thác để gây hại cho tài sảnthông tin hoặc tổ chức, xác định hậu quả gây mất tính bí mật, toàn vẹn, sẵn sàng, chống chối bỏ, vànhững yêu cầu an toàn khác đối với tài sản, ước đoán mức độ rủi ro và so sánh mức độ rủi ro với chỉtiêu đánh giá rủi ro và chỉ tiêu chấp nhận rủi ro

Những người tham gia vào việc đánh giá rủi ro nên là những cá nhân có kiến thức vững chắc về cácmục tiêu của tổ chức cũng như hiểu biết về vấn đề an toàn Những người này nên được chọn từ nhiều

bộ phận của tổ chức

Đầu ra

a) Tài liệu mô tả phương pháp đánh giá rủi ro;

b) Kết quả từ đánh giá rủi ro

8.3 Chọn lựa biện pháp BVHTTT

Mục tiêu

Mục tiêu của hoạt động này là xác định các phương án xử lý rủi ro và lựa chọn các biện pháp bảo đảm

an toàn hệ thống thông tin thích hợp theo các phương án xử lý rủi ro đã được xác định

Đầu vào

a) Kết quả đánh giá rủi ro

Hướng dẫn

Xử lý rủi ro và lựa chọn các biện pháp bảo đảm an toàn hệ thống thông tin được tiến hành như sau:

a) Đối với các điểm yếu so với các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ đãđược xác định, tổ chức thực hiện đầy đủ các biện pháp bảo đảm an toàn hệ thống thông tin chocấp độ tương ứng theo quy định của Luật an toàn thông tin mạng (Luật số 86/2015/QH13) vàNghị định số 85/2016/NĐ-CP quy định bảo vệ hệ thống thông tin theo cấp độ Các biện phápbảo đảm an toàn hệ thống thông tin được lựa chọn từ TCVN 11930:2017;

b) Đối với các điểm yếu so với các yêu cầu đặc thù khác của tổ chức (nằm ngoài các yêu cầu cơbản về bảo vệ hệ thống thông tin theo cấp độ đã được xác định), tổ chức căn cứ kết quả đánh

Định dạng
Số trang	49
Dung lượng	493 KB