CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHO AN TOÀN MẠNG

Bộ tiêu chuẩn quốc tế ISO/IEC 27000 về quản lý an toàn thông tin thường được các tổ chức áp dụng vào hệ thống quản lý của mình.. Tiêuchuẩn ISO/IEC 27032:2012, ra đời năm 2012 nằm trong b

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

-THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM

CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG

DẪN CHO AN TOÀN MẠNG

HÀ NỘI, 2016

MỤC LỤC

1 Tên gọi và ký hiệu tiêu chuẩn 2

2 Đặt vấn đề 2

2.1 Tình hình tiêu chuẩn hóa an toàn thông tin trong nước và quốc tế 2

2.1.1 Quốc tế 2

2.1.2 Trong nước 5

2.2 Lý do, mục đích xây dựng tiêu chuẩn 7

3 Giới thiệu ISO/IEC 27032 và vai trò trong hệ thống ISO/ IEC 27000 9

3.1 Tổng quan về ISO/IEC 27032 9

3.1.1 Mục tiêu 9

3.1.2 Đối tượng 10

3.1.3 Phạm vi áp dụng 10

3.2 Quan hệ với bộ ISO/IEC 27000 11

4 Phương pháp xây dựng tiêu chuẩn 14

5 Nội dung chính của dự thảo tiêu chuẩn 15

6 Bảng đối chiếu tiêu chuẩn viện dẫn 16

7 Kết luận 20

1 Tên gọi và ký hiệu tiêu chuẩn

Tên tiêu chuẩn: “Công nghệ thông tin – Kỹ thuật an toàn – Hướng dẫn cho an toànmạng”

Information technology — Security techniques — Guidelines for cybersecurity

Ký hiệu tiêu chuẩn: TCVN ISO/IEC xxxx:2016

Trong bối cảnh phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổchức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạngmáy tính, máy tính và cơ sở dữ liệu Nếu hệ thống công nghệ thông tin hoặc cơ sở dữ liệugặp sự cố thì hoạt động của các đơn vị này sẽ bị ảnh hưởng nghiêm trọng thậm chí có thể

bị tê liệt hoàn toàn Một trong các biện pháp phòng ngừa được nhắc đến chính là triểnkhai áp dụng Hệ thống Quản lý an toàn thông tin (ISMS) theo các nguyên tắc của bộ tiêuchuẩn quốc tế ISO Bộ tiêu chuẩn quốc tế ISO/IEC 27000 về quản lý an toàn thông tin

thường được các tổ chức áp dụng vào hệ thống quản lý của mình Hiện nay, đã có 17 tiêu chuẩn trong bộ tiêu chuẩn này đã được ban hành, và một số khác đang được xây dựng

Bảng 1: Các tiêu chuẩn quốc tế trong bộ ISO/IEC 27000 đã ban hành.

2 ISO/IEC 27001

Hệ thống quản lý an toàn thông tin – Các yêu cầu(Information security management systems –Requirements)

5 ISO/IEC 27004 Quản lý an toàn thông tin – Đo lường

(Information security management – Measurement)

6 ISO/IEC 27005 Quản lý rủi ro an toàn thông tin

(Information security risk management)

Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn

về an toàn không gian mạng(Information technology – Security techniques –Guidelines for cybersecurity)

16 ISO/IEC 270 35 Quản lý sự cố an toàn thông tin

(Information security incident management)

2006 đến nay Việc nghiên cứu và xây dựng các tiêu chuẩn, quy chuẩn kỹ thuật này đã vàđang được Bộ Thông tin và Truyền thông triển khai hàng năm

Một số tiêu chuẩn đã được ban hành:

 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 – Công nghệ thông tin – Hệthống quản lý an toàn thông tin – Các yêu cầu

 TCVN ISO/IEC 27002:2011 – Công nghệ thông tin – Các kỹ thuật an toàn – Quytắc thực hành quản lý an toàn thông tin

 TCVN 10295:2016 ISO/IEC 27005:2011 – Công nghệ thông tin – Các kỹ thuật antoàn – Quản lý rủi ro an toàn thông tin

 TCVN 8709-1:2011 ISO/IEC 15408-1:2008 – Công nghệ thông tin – Các kỹ thuật

an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 1: Giới thiệu và mô hìnhchung

 TCVN 8709-2:2011 ISO/IEC 15408-2:2008 – Công nghệ thông tin – Các kỹ thuật

an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 2: Các thành phần chứcnăng an toàn

 TCVN 8709-3:2011 ISO/IEC 15408-3:2008 – Công nghệ thông tin – Các kỹ thuật

an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 3: Các thành phần đảm bảo

an toàn

 TCVN 9801-1:2013 ISO/IEC 27033-1:2009 – Công nghệ thông tin – Các kỹ thuật

an toàn – An toàn mạng – Phần 1: Tổng quan và khái niệm

Tiêu chuẩn về an toàn thông tin trong lĩnh vực Công nghệ thông tin còn thiếu nhiều Tổchức ISO hiện có trên 100 tiêu chuẩn về an toàn thông tin, trong khi tại Việt Nam, cáctiêu chuẩn được ban hành còn khá ít Thiếu tiêu chuẩn dẫn đến việc người sử dụng, tổchức không có cơ sở để thực hiện các biện pháp an toàn cho mình Do đó, việc xây dựngcác tiêu chuẩn về an toàn thông tin nói chung, và về an toàn không gian mạng nói riêng,

là cần thiết

2.2 Lý do, mục đích xây dựng tiêu chuẩn

- Các tổ chức tiêu chuẩn quốc tế liên tục cập nhật các tiêu chuẩn về công nghệ thông tin,trong đó có bộ tiêu chuẩn ISO/IEC 27000 về hệ thống quản lý an toàn thông tin Tiêuchuẩn ISO/IEC 27032:2012, ra đời năm 2012 nằm trong bộ tiêu chuẩn ISO/IEC 27000cung cấp các hướng dẫn để giải quyết các rủi ro an toàn không gian mạng phổ biến và sựkết hợp, chia sẻ thông tin giữa các bên liên quan nhằm cải thiện tình hình an toàn khônggian mạng, giúp cho các tổ chức nắm bắt được các cách thức đảm bảo an toàn không gianmạng và áp dụng vào thực tế của tổ chức

- Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới cũng như ở Việt Nam

Sự bùng nổ của Internet, của thương mại điện tử bên cạnh việc tạo ra những cơ hội lớncũng tạo ra những nguy cơ rủi ro cho nền kinh tế và xã hội hiện đại Khi tất cả các hoạt

động của chúng ta đều dựa vào internet, từ việc chia sẻ những tập tin công việc quantrọng cho đến việc thanh toán hóa đơn, thì an toàn không gian mạng trở thành một vấn đềđược quan tâm hàng đầu “Không gian mạng” là một môi trường phức tạp, là tập hợp các

sự tương tác giữa con người, phần mềm và dịch vụ với nhau, được hỗ trợ bởi các thiết bị

và mạng lưới công nghê thông tin và truyền thông trên toàn thế giới Tuy nhiên vẫn cónhững vấn đề an toàn mà an toàn thông tin, an toàn Internet, an toàn mạng và an toàn ICThiện tại không đề cập đến, như các kẽ hở giữa các miền này, cũng như việc thiếu trao đổithông tin liên lạc giữa các tổ chức và các nhà cung cấp trong không gian mạng Đó là docác thiết bị và kết nối mạng hỗ trợ không gian mạng có rất nhiều chủ thể, có những mốiquan tâm riêng về quản lý, điều hành hay công nghiệp vụ Không chỉ các tổ chức hay cácnhà cung cấp dịch vụ chia sẻ ít hoặc không chia sẻ thông tin đầu vào, mà mỗi đối tượngcòn có một sự tập trung khác nhau khi giải quyết vấn đề an toàn không gian mạng Tìnhtrạng như vậy sẽ dẫn đến việc phân mảnh an toàn trong không gian mạng Do vậy, cầnphải đảm bảo an toàn giao dịch trực tuyến và thông tin cá nhân trao đổi qua Internet, vàbảo vệ máy tính của chúng ta khi duyệt bất kỳ trang web và đảm bảo cho không gianmạng an toàn hơn An toàn không gian mạng được định nghĩa như là “bảo tồn tính bímật, tính toàn vẹn và tính sẵn sàng của thông tin trong không gian mạng”

- Hiện nay, ở Việt Nam chưa có một tiêu chuẩn nào hướng dẫn cho an toàn về lĩnh vựckhông gian mạng Tiêu chuẩn này sẽ giúp các cơ quan, đơn vị, doanh nghiệp nắm đượccách thức giải quyết sự cố an toàn không gian mạng phổ biến và phương thức chia sẻphối hợp giữa các bên liên quan để có thể bảo đảm an toàn không gian mạng cho hệthống của mình

- Nhận thức được tầm quan trọng của đảm bảo an toàn không gian mạng, bảo vệ chủquyền trên không gian mạng, Đảng ta cũng đã ban hành một loạt các văn bản quan trọngliên quan đến vấn đề này:

 Quyết định 63/QĐ-TTg ngày 13 Tháng 1 năm 2010, “Quy hoạch phát triển antoàn thông tin số quốc gia đến năm 2020” do Thủ tướng chính phủ ký quyết địnhphê duyệt Một trong những nhiệm vụ trong Quy hoạch là xây dựng và ban hành

hệ thống tiêu chuẩn an toàn thông tin quốc gia làm cơ sở cho việc đảm bảo an toàn

thông tin trong giai đoạn 2010-2015, đáp ứng các nhu cầu đảm bảo an toàn thôngtin đang hết sức cấp bách trong thực tiễn Việc xây dựng tiêu chuẩn này nhằm bổsung thêm vào hệ thống tiêu chuẩn về lĩnh vực an toàn thông tin hiện còn đangthiếu nhiều của Việt Nam, để khuyến nghị áp dụng tại Việt Nam

 Chỉ thị số 28-CT/TW ngày 16 tháng 9 năm 2013 của Ban Bí thư về tăng cườngcông tác bảo đảm an toàn thông tin mạng

 Chỉ thị 15/CT-TTg ngày 17 tháng 6 năm 2016 của Thủ tướng Chính phủ về tăngcường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới

 Quyết định 137/QĐ-BTTTT ngày 04 tháng 9 năm 2016 do Bộ Thông tin vàTruyền thông ban hành đã phê duyệt chương trình hành động triển khai thực hiệnhai chỉ thị 28-CT/T và 15/CT-TTg nhằm cụ thể hóa các công việc cần thực hiện đểtăng cường công tác đảm bảo an toàn thông tin, trong đó có nội dung quan trọngliên quan đến đảm bảo an toàn không gian mạng

- Một số tiêu chuẩn đang được dự thảo về an toàn thông tin ở Việt Nam:

 Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng - Phần 3: Các kịch bảnkết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát(ISO/IEC 27033-3:2010)

 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đolường (ISO/IEC 27004:2009)

 Công nghệ thông tin - Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản

lý an toàn thông tin (ISO/IEC 27003:2010)

 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin cho truyềnthông liên tổ chức, liên ngành (ISO/IEC 27010:2012)

- Hiện tại, tiêu chuẩn quốc tế ISO/IEC 27032:2012 đã được ban hành và được áp dụng tạimột số quốc gia khác Cụ thể:

 Quốc gia Anh (British Standards Institution): Tiêu chuẩn BS ISO/IEC 27032:2012Information technology – Security techniques – Guidelines for cybersecurity

 Quốc gia Hà lan (Netherlands Normalisatie Institution): Tiêu chuẩn NEN ISO/IEC27032:2012 Information technology – Security techniques – Guidelines forcybersecurity.

 Quốc gia Đan Mạch (Danish Standards): Tiêu chuẩn DS ISO/IEC 27032:2012Information technology – Security techniques – Guidelines for cybersecurity

3 Giới thiệu ISO/IEC 27032 và vai trò trong hệ thống ISO/ IEC 27000

3.1 Tổng quan về ISO/IEC 27032

ISO / IEC 27032:2012, Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn về an toàn không gian mạng, được ban hành tháng 7 năm 2012 bởi Ủy ban kỹ thuật ISO/IEC JTC1, Công nghệ thông tin, nhóm SC 27, kỹ thuật an toàn IT ISO/IEC 27032 cung cấp

một bộ khung cho: Chia sẻ thông tin; Phối hợp; Xử lý sự cố có thể xảy ra (Incident)

3.1.1 Mục tiêu

Ngày nay, hầu như các hoạt động của chúng ta đều dựa vào internet, từ việc chia sẻnhững tập tin công việc quan trọng cho đến việc thanh toán hóa đơn, do vậy vấn đề antoàn không gian mạng trở thành một vấn đề được quan tâm hàng đầu “Không gianmạng” là một môi trường phức tạp, là tập hợp các sự tương tác giữa con người, phầnmềm và dịch vụ với nhau, được hỗ trợ bởi các thiết bị và mạng lưới công nghê thông tin

và truyền thông trên toàn thế giới

Mục tiêu của tiêu chuẩn ISO/IEC 27032:2012 nhằm cung cấp các hướng dẫn để giảiquyết các rủi ro an toàn không gian mạng phổ biến và tạo điều kiện cho sự hợp tác, chia

sẻ thông tin giữa các bên liên quan nhằm cải thiện tình hình an toàn không gian mạng,giúp cho các tổ chức nắm bắt được các cách thức đảm bảo an toàn không gian mạng và

áp dụng vào thực tế của tổ chức

3.1.2 Đối tượng

Tiêu chuẩn này được áp dụng cho các nhà cung cấp dịch vụ trong không gian mạng, vàngười tiêu dùng sử dụng các dịch vụ ấy Trường hợp các tổ chức cung cấp dịch vụ trongkhông gian mạng cho người sử dụng tại nhà hay tại các tổ chức khác, họ có thể cần chuẩn

bị các hướng dẫn dựa trên tiêu chuẩn này, bao gồm các giải thích bổ sung hay các ví dụgiúp người dùng hiểu và làm theo nó.

3.1.3 Phạm vi áp dụng

Tiêu chuẩn này hướng dẫn chúng ta cải thiện tình trạng an toàn không gian mạng, rút ranhững khía cạnh đặc thù của những hoạt động đó và sự phụ thuộc vào nó và các miền antoàn khác:

- An toàn thông tin (Information security)

- An toàn mạng (Network security)

- An toàn Internet (Internet security)

- Bảo vệ cơ sở hạ tầng thông tin trọng yếu (Critical information infrastructureprotection (CIIP))

Nó bao gồm các biện pháp an toàn cơ bản cho các bên liên quan trong không gian mạng.Tiêu chuẩn này cung cấp:

- Tổng quan về an toàn không gian mạng

- Giải thích rõ mối quan hệ giữa an toàn không gian mạng và các miền an toàn khác

- Định nghĩa về các bên liên quan và mô tả vai trò của họ trong an toàn không gianmạng

- Hướng dẫn chung về giải quyết các vấn đề thường gặp trong an toàn không gianmạng

- Một bộ khung cho phép các bên liên quan hợp tác giải quyết vấn đề an toàn khônggian mạng

3.1.4 Cấu trúc

Tiêu chuẩn này bao gồm 13 điều và 3 phụ lục cụ thể như sau:

- Mục 6 giới thiệu tổng quan về an toàn không gian mạng

- Mục 7, 8, 9 đưa ra các khái niệm và phân loại về các bên liên quan, các tài sản vàcác mối đe dọa trong không gian mạng

- Mục 10, 11, 12 chỉ ra vai trò và hướng dẫn cho các bên liên quan trong không gianmạng và các biện pháp kiểm soát các mối đe dọa trong không gian mạng

- Mục 13 đưa ra bộ khung chia sẻ, phối hợp thông tin giữa các bên liên quan trongkhông gian mạng.

- Phụ lục đưa ra một số biện pháp nhằm giúp cải thiện tình trạng an toàn không gianmạng tại các tổ chức và các nguồn tài nguyên bổ sung

Một số thuật ngữ trong tiêu chuẩn dễ gây nhầm lẫn về khái niệm trong phạm vi của bộtiêu chuẩn ISO/IEC 27000 sẽ được làm rõ ở dưới đây:

- Cybersecurity: An toàn không gian mạng – Bảo tồn tính bí mật, tính toàn vẹn vàtính sẵn sàng của thông tin trong không gian mạng

- Cybersafety: Điều kiện an toàn không gian mạng – Điều kiện được bảo vệ chốnglại tác nhân vật lý, xã hội, tinh thần, tài chính, chính trị, tình cảm, nghề nghiệp,tâm lý, giáo dục hoặc các loại khác hoặc hậu quả của thất bại, hư hỏng, lỗi, tai nạnhay bất cứ sự kiện nào khác trong không gian mạng không mong muốn

- Internet security: An toàn Internet – Bảo tồn tính bí mật, tính toàn vẹn và tính sẵnsàng của thông tin trên Internet

- Internet safety: Điều kiện an toàn Internet – Điều kiện được bảo vệ chống lại vật

lý, xã hội, tinh thần, tài chính, chính trị, tình cảm, nghề nghiệp, tâm lý, giáo dụchoặc các loại khác hoặc hậu quả của sự thất bại, hư hỏng, lỗi, tai nạn, tổn hại hoặcbất kỳ sự kiện khác trên mạng Internet không mong muốn

3.2 Quan hệ với bộ ISO/IEC 27000

Hình 1 – Quá trình hình thành và phát triển bộ tiêu chuẩn ISO/IEC 27000

Bộ Tiêu chuẩn về hệ thống quản lý an toàn thông tin ISO 27000 (Information Security Management System) là một phần hệ thống quản lý chung của tổ chức được thực hiện

trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theodõi, xem xét, duy trì và cải tiến đảm bảo an toàn cho tổ chức Cho tới nay, việc áp dụng

hệ thống quản lý an toàn thông tin phù hợp với ISO 27000 đã được triển khai rộng khắp ởhầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng Bộ tiêuchuẩn ISO/IEC 27000 là một phần của hệ thống quản lý chung của các tổ chức, doanhnghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác nhưISO 9000, ISO 14000

Lợi ích của việc áp dụng:

 Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ

 Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu.

 Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng

 Giảm giá thành và các chi phí bảo hiểm

 Nâng cao nhận thức và trách nhiệm của nhân viên về an toàn thông tin

Tổng quan các tiêu chuẩn trọng bộ tiêu chuẩn ISO/IEC 27000 được đưa ra trong Hình 2dưới đây

Hình 2 – Tổng quan các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000.

Nằm trong bộ tiêu chuẩn ISO/IEC 27000, ISO/IEC 27032 có vai trò là một trong nhữngtiêu chuẩn hướng dẫn về an toàn không gian mạng ISO/IEC 27032 thuộc nhóm các tiêuchuẩn cần thiết, tiêu chuẩn hướng dẫn hoàn thiện về an toàn thông tin

Bên cạnh ISO/IEC 27033 cung cấp biện pháp an toàn mạng, ISO/IEC 27034 hướng dẫn

an toàn ứng dụng, ISO/IEC 27035 về quản lý sự cố an toàn thông tin, ISO/IEC 27036 về

an toàn thông tin cho mối quan hệ của các nhà cung cấp, thì ISO/IEC 27032 lại tập trung