Các tiêu chuẩn về an toàn thông tin thuộc họ 27xxx dưới đây đã được công bố hoặc đang dự thảo.Theo cập nhật mới nhất năm 2020, Bộ tiêu chuẩn ISO/IEC27xxx về hệ thống quản lý an toa
Lý do xây dựng tiêu chuẩn
Mục tiêu
Tiêu chuẩn này cung cấp hướng dẫn triển khai chi tiết cho các kiểm soát an toàn mạng được mô tả trong TCVN ISO/IEC 27002, đồng thời đưa ra cái nhìn tổng quan về an toàn mạng và các định nghĩa liên quan Nó định nghĩa và mô tả các khái niệm liên quan và cung cấp hướng dẫn quản lý về an toàn mạng, giúp tổ chức triển khai các biện pháp bảo mật phù hợp với ngữ cảnh của mình An toàn mạng được áp dụng cho bảo mật của thiết bị, bảo mật của các hoạt động quản lý liên quan đến thiết bị, ứng dụng/dịch vụ và người dùng cuối, bên cạnh việc bảo mật thông tin được truyền qua các liên kết truyền thông.
Việc xây dựng tiêu chuẩn nhằm mục tiêu:
- Cung cấp hướng dẫn về cách xác định và phân tích rủi ro an toàn mạng và định nghĩa các yêu cầu an toàn mạng dựa trên phân tích đó,
Đoạn tổng quan nêu rõ các biện pháp kiểm soát hỗ trợ xây dựng kiến trúc mạng an toàn, kết nối giữa các kiểm soát kỹ thuật có liên quan và các biện pháp phi kỹ thuật, đồng thời nhấn mạnh rằng các kiểm soát này không chỉ áp dụng cho mạng mà còn cho toàn bộ hệ thống CNTT Nội dung trình bày cách phân loại và triển khai các kiểm soát kỹ thuật như quản trị truy cập, bảo mật cấu hình, giám sát và ứng phó sự cố, bảo vệ dữ liệu và vá lỗ hổng, cùng với các biện pháp phi kỹ thuật như quản trị rủi ro, chính sách an toàn thông tin, đào tạo người dùng và quy trình vận hành an toàn, nhằm đảm bảo sự liên tục, tin cậy và an toàn cho kiến trúc mạng và các hệ thống liên quan.
- Giới thiệu cách đạt được kiến trúc an toàn kỹ thuật mạng chất lượng tốt và các khía cạnh rủi ro, thiết kế và kiểm soát liên quan đến các kịch bản mạng điển hình và các lĩnh vực “công nghệ” mạng (được đề cập chi tiết trong các phần tiếp theo của bộ tiêu chuẩn), ngắn gọn giải quyết các vấn đề liên quan đến việc triển khai và vận hành các biện pháp kiểm soát an toàn mạng cũng như việc giám sát và đánh giá việc thực hiện chúng.
Nói chung, tiêu chuẩn cung cấp một cái nhìn tổng quan về bộ tiêu chuẩn và một "lộ trình" cho tất cả các tiêu chuẩn khác.
Lý do
Tại Việt Nam vấn đề an toàn thông tin diễn ra phức tạp, tiềm ẩn nhiều nguy cơ đối với an toàn thông tin quốc gia và trật tự an toàn xã hội Cụ thể thời gian qua có nhiều cuộc tấn công trên diện rộng với quy mô lớn có chủ đích đã xảy ra, điển hình trong năm 2018 thiệt hại do virut máy tính gây ra đối với người dùng Việt Nam là 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017 (Đây là kết quả được đưa ra từ chương trình đánh giá an ninh mạng do Tập đoàn công nghệ Bkav thực hiện tháng 12/2018), hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu trong năm 2018 và hai dòng mã độc phổ biến tại Việt Nam khiến người dùng bị mất dữ liệu là dòng mã độc mã hóa tống tiền ransomware và dòng virus xóa dữ liệu trên USB Chỉ riêng trong năm số lượng lỗ hổng an ninh trong các phần mềm, ứng dụng được công bố tăng đột biến với hơn 15.700 lỗ hổng, gấp khoảng 2,5 lần những năm trước đó Như vậy có thể thấy rằng mặc dù nhận thức về an toàn thông tin của nước ta đã và đang phát triển tuy nhiên chưa kịp so với những phương thức cũng như hậu quả của các cuộc tấn công mạng đã xảy ra
Qua thực tiễn triển khai tại Việt Nam và kinh nghiệm của một số công ty tư vấn về bộ tiêu chuẩn ISO/IEC 27xxx, có thể thấy đây là một hệ thống tiêu chuẩn an toàn mạng mang tính toàn diện, bao quát các khía cạnh quản lý, vận hành và khai thác mạng của các hệ thống thông tin và các kết nối giữa chúng theo chuẩn TCVN 9801 Tuy vậy, việc áp dụng trên thực tế gặp nhiều khó khăn, nhất là thiếu các quy định cụ thể về việc lựa chọn biện pháp quản lý và các tiêu chuẩn hướng dẫn về biện pháp bảo vệ còn mang tính phương pháp luận và chưa đi vào chi tiết Bên cạnh đó, ISO/IEC thường xuyên cập nhật, bổ sung và hoàn chỉnh tiêu chuẩn để bắt kịp sự phát triển của công nghệ mạng, do đó một số nội dung trong tiêu chuẩn đã không còn phù hợp với giai đoạn hiện tại.
Việc triển khai tiêu chuẩn này góp phần cung cấp hướng dẫn triển khai chi tiết hơn nữa về các kiểm soát an toàn mạng được mô tả trong TCVN ISO/IEC 27002, đồng thời mang lại cái nhìn tổng quan về an toàn mạng và các định nghĩa liên quan Tiêu chuẩn định nghĩa và mô tả các khái niệm liên quan và cung cấp hướng dẫn quản lý an toàn mạng An toàn mạng được áp dụng cho bảo mật của thiết bị, bảo mật của các hoạt động quản lý liên quan đến thiết bị, ứng dụng/dịch vụ và người dùng cuối, ngoài việc bảo mật thông tin được truyền qua các liên kết truyền thông.
Việc xây dựng tiêu chuẩn nhằm mục tiêu:
Chúng tôi cung cấp hướng dẫn chi tiết về cách xác định và phân tích rủi ro an ninh mạng và định nghĩa các yêu cầu an toàn mạng dựa trên kết quả phân tích đó, nhằm tối ưu hóa quản lý rủi ro CNTT cho tổ chức Quá trình này gồm nhận diện lỗ hổng, đánh giá mức độ tác động và xác định các biện pháp kiểm soát phù hợp, từ đó hình thành các yêu cầu an toàn mạng rõ ràng, khả thi và có thể triển khai.
- Cung cấp tổng quan về các biện pháp kiểm soát hỗ trợ kiến trúc an toàn kỹ thuật mạng và các kiểm soát kỹ thuật có liên quan, cũng như các kiểm soát phi kỹ thuật và kiểm soát kỹ thuật không chỉ áp dụng cho mạng,
Bài viết giới thiệu cách đạt được kiến trúc an toàn kỹ thuật mạng có chất lượng cao thông qua nhận diện và quản lý rủi ro, đồng thời làm rõ các khía cạnh thiết kế và kiểm soát liên quan đến các kịch bản mạng điển hình và các lĩnh vực công nghệ mạng Các phần tiếp theo sẽ đi sâu vào triển khai và vận hành các biện pháp kiểm soát an toàn mạng, cũng như cách giám sát và đánh giá việc thực hiện chúng nhằm đảm bảo an toàn mạng được duy trì và liên tục cải thiện.
Nói chung, tiêu chuẩn cung cấp một cái nhìn tổng quan về bộ tiêu chuẩn và một "lộ trình" cho tất cả các tiêu chuẩn khác.
Mặt khác, Phần 1 của Bộ tiêu chuẩn ISO/IEC 27033 là tiêu chuẩn TCVN 9801-1:2013 (ISO/IEC 27033-1:2009) Công nghệ thông tin - Kỹ thuật an ninh -
An toàn mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009 Information technology – Security techniques – Network security – Part 1: Overview and concepts) được biên soạn bởi Ban Kỹ thuật tiêu chuẩn quốc gia TCVN/JTC1 “Công nghệ Thông tin” và công bố năm 2013, trình bày tổng quan và các khái niệm cơ bản về an toàn mạng Tuy nhiên, với sự ra đời của Luật An toàn thông tin mạng (2015) và Luật An ninh mạng (2018), một số nội dung trong tiêu chuẩn TCVN 9801-1 không còn phù hợp với thực tế triển khai tại Việt Nam.
Việc nghiên cứu xây dựng tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan và Khái niệm là cơ sở thiết yếu cho việc hướng dẫn các cơ quan, tổ chức sở hữu, vận hành và khai thác mạng triển khai chi tiết hơn các kiểm soát an toàn mạng được mô tả trong TCVN ISO/IEC 27002 Bài viết cung cấp khái niệm nền tảng về an toàn mạng và các kỹ thuật an toàn CNTT, nhằm hỗ trợ các cơ quan, tổ chức thực thi các biện pháp bảo vệ thông tin và chuẩn hóa các kiểm soát an toàn theo chuẩn ISO/IEC 27002.
Nhu cầu thực tế và khả năng áp dụng
Nhu cầu thực tế
Tiêu chuẩn TCVN 9801-1:2013 (ISO/IEC 27033-1:2009) “Công nghệ thông tin – Kỹ thuật an ninh – An ninh mạng – Phần 1: Tổng quan và khái niệm” đã được Viện Khoa học Kỹ thuật Bưu điện xây dựng năm 2011 dựa trên cơ sở ISO/IEC 27033-1:2009
Về cơ bản, tiêu chuẩn TCVN 9801-1:2013 (ISO/IEC 27033-1:2009) “Công nghệ thông tin – Kỹ thuật an toàn – An ninh mạng – Phần 1: Tổng quan và khái niệm” đã được xây dựng tương đối hoàn chỉnh và chấp nhận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27033-1:2009; Tuy nhiên hiện nay, ISO/IEC 27033:2009 vẫn là nền tảng tham chiếu cho các hoạt động về an ninh mạng và chuẩn hóa công nghệ thông tin, đồng thời tiếp tục được cập nhật để phù hợp với thực tiễn và xu hướng phát triển của ngành.
Phạm vi và khả năng áp dụng
4.2 Phạm vi và khả năng áp dụng
Dự thảo tiêu chuẩn này có khả năng áp dụng cho các cơ quan, tổ chức sở hữu, vận hành và khai thác mạng: bao gồm các nhà quản lý cấp cao và các nhà quản lý hoặc người dùng không liên quan đến kỹ thuật khác, ngoài các nhà quản lý và quản trị viên có trách nhiệm cụ thể đối với an toàn thông tin và/hoặc an toàn mạng, vận hành mạng, hoặc người chịu trách nhiệm đối với chương trình an toàn tổng thể và phát triển chính sách an toàn của một tổ chức Tiêu chuẩn này cũng phù hợp với bất kỳ người nào tham gia vào việc lập kế hoạch, thiết kế và thiết lập các khía cạnh kiến trúc an toàn mạng.
Sở cứ xây dựng tiêu chuẩn
Lựa chọn tiêu chuẩn tham chiếu
Tiêu chuẩn này được xây dựng dựa trên ISO/IEC 27033-1:2015
“Information technology – Security techniques – Network security – Part 1:
Phương pháp xây dựng tiêu chuẩn
Dự thảo của tiêu chuẩn TCVN 9801-1:2021 được xây dựng từ tiêu chuẩn quốc tế ISO/IEC 27033:2015 được tổ chức tiêu chuẩn quốc tế ban hành năm
Vào năm 2015, dựa trên rà soát tiêu chuẩn Việt Nam TCVN 9801-1:2013 (ISO/IEC 27033-1:2009) và cập nhật bổ sung các nội dung mới, cùng tham khảo các phương pháp xây dựng tiêu chuẩn/quy chuẩn, nhóm chủ trì đã xây dựng dự thảo TCVN 9801-1:2021 theo phương pháp chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27033-1:2015, với chỉnh sửa về thể thức trình bày để phù hợp với quy định hiện hành về trình bày Tiêu chuẩn quốc gia.
Nội dung dự thảo tiêu chuẩn
Giới thiệu ISO/IEC 27033-1:2015
Dự thảo tiêu chuẩn đã được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 27033-1:2015 “Information technology – Security techniques – Network security
– Part 1: Overview and concept” được công bố năm 2015 là phiên bản mới nhất của tiêu chuẩn này
Cấu trúc của dự thảo TCVN 9801-1 (ISO/IEC 27033-1) bao gồm:
- Tổng quan về phương pháp tiếp cận an toàn mạng (xem Điều 6),
- Tóm tắt các quy trình xác định các rủi ro liên quan đến mạng và việc chuẩn bị để xác định các biện pháp kiểm soát an toàn, như việc thiết lập các yêu cầu an toàn mạng (xem Điều 7),
- Tổng quan về các kiểm soát hỗ trợ kiến trúc kỹ thuật an toàn mạng và các kiểm soát kỹ thuật có liên quan, như các kiểm soát an toàn khác (phi kỹ thuật và kỹ thuật) không chỉ áp dụng cho các mạng (xem Điều 8) Các tài liệu tham khảo được cung cấp cho nội dung liên quan của TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và TCVN 10295 (ISO/IEC 27005),
Những thành tựu về kiến trúc an toàn kỹ thuật và chất lượng giúp đảm bảo an toàn mạng phù hợp với môi trường kinh doanh của tổ chức Việc áp dụng một cách tiếp cận nhất quán trong lập kế hoạch và thiết kế an toàn mạng được hỗ trợ bởi các mô hình và khung chuẩn, như phần giới thiệu nội dung của TCVN 9801-2 (ISO/IEC 27033-2) Xem Điều 9 để tham khảo hướng dẫn triển khai và đánh giá hiệu quả kiến trúc an toàn mạng trong thực tiễn doanh nghiệp.
Giới thiệu về các rủi ro bảo mật, thiết kế và kỹ thuật liên quan đến các kịch bản mạng tham chiếu, được xem xét dựa trên nội dung của TCVN 9801-3 (ISO/IEC 27033-3) và tham chiếu Điều 10 Bài viết trình bày các rủi ro phổ biến như xâm nhập trái phép, rò rỉ dữ liệu và phụ thuộc vào các yếu tố mạng, đồng thời đề xuất các nguyên tắc thiết kế an toàn, giải pháp kỹ thuật và chức năng kiểm soát nhằm giảm thiểu nguy cơ Các biện pháp kỹ thuật được nêu rõ bao gồm bảo mật liên tục, xác thực, quản lý khóa, mã hóa và giám sát an toàn, giúp triển khai các kịch bản mạng tham chiếu một cách an toàn và hiệu quả Việc tham chiếu đến TCVN 9801-3 và ISO/IEC 27033-3 cho Điều 10 giúp người đọc hiểu rõ các yêu cầu đánh giá rủi ro, thiết kế kiểm soát và tuân thủ trong bối cảnh mạng phức tạp Đồng thời bài viết nhấn mạnh cách áp dụng các khuyến nghị này vào thực tiễn để đảm bảo an toàn thông tin trong tổ chức.
Đoạn giới thiệu này nêu rõ các rủi ro cụ thể liên quan đến công nghệ mạng, đồng thời trình bày các kỹ thuật thiết kế và các vấn đề kiểm soát cần được cân nhắc để tăng cường an toàn thông tin Nội dung tham chiếu từ chuẩn ISO/IEC 27033, đặc biệt các phần 27033-4, 27033-5 và 27033-6, đồng thời nhấn mạnh khả năng bổ sung các phần mới trong tương lai nhằm mở rộng phạm vi và cập nhật các yêu cầu bảo mật mạng Bài viết cung cấp cái nhìn tổng quan về cách nhận diện rủi ro, áp dụng các biện pháp kiểm soát phù hợp và thiết kế hệ thống mạng có thể chống chịu trước các mối đe dọa hiện tại và trong tương lai, dựa trên khung tham chiếu của ISO/IEC 27033 và các hướng dẫn tại Điều 11.
Đoạn văn tóm tắt trình bày các vấn đề cốt lõi liên quan đến phát triển, triển khai và thử nghiệm một giải pháp an toàn mạng (xem Điều 12), vận hành giải pháp an toàn mạng (xem Điều 13) và giám sát, đánh giá liên tục quá trình triển khai an toàn mạng (xem Điều 14) Bài viết nhấn mạnh sự phối hợp giữa các giai đoạn thiết kế, thử nghiệm, triển khai và vận hành để đảm bảo hệ thống an toàn mạng hoạt động liên tục, tin cậy và thích ứng với rủi ro ngày càng phức tạp Đồng thời nêu rõ các tiêu chí đánh giá, cơ chế giám sát hiệu suất và phản hồi để tối ưu hóa hiệu quả bảo mật và an toàn của hệ thống, giúp người đọc nắm rõ phạm vi và mục tiêu của từng điều khoản liên quan.
Phụ lục A trình bày bảng tham chiếu chéo giữa các kiểm soát an ninh liên quan đến an toàn mạng theo TCVN ISO/IEC 27001/27002 và các điều của TCVN 9801-1 (ISO/IEC 27033) Bảng này cho phép người đọc đối chiếu dễ dàng giữa các yêu cầu quản lý bảo mật, kiểm soát kỹ thuật và thực tiễn vận hành mạng, đồng thời liên kết các tiêu chuẩn quốc tế với các điều khoản tương ứng của chuẩn Việt Nam Nhờ tham chiếu này, tổ chức có thể triển khai và đánh giá hệ thống quản lý an toàn thông tin một cách nhất quán hơn, cải thiện sự tuân thủ, ứng phó sự cố và quản trị rủi ro mạng một cách hiệu quả.
Cấu trúc và nội dung dự thảo tiêu chuẩn
Tiêu chuẩn này bao gồm 14 điều và 02 phụ lục (tham khảo) với nội dung cụ thể như sau:
3 Thuật ngữ và định nghĩa
6 2 Quản lý và lập kế hoạch an toàn mạng
7 Xác định các rủi ro và việc chuẩn bị xác định kiểm toán an toàn 7.1 Giới thiệu chung
7 2 Thông tin tren mạng hiện tại và/hoặc dự kiến
3 Rủi ro an toàn thông tin và vùng kiểm soát an toàn tiềm năng
8 2 Quản lý an toàn thông tin
8.3 Quản lý lỗ hổng kỹ thuật
8.4 Định danh và xác thực
8.5 Giám sát và ghi nhật ký mạng
8.7 Phát hiện và phòng chống xâm nhập
8.8 Bảo vệ phòng chống mã độc
8.9 Dịch vụ dựa trên mã hóa
8.9 Quản trị kinh doanh liên tục
9 Hướng dẫn cho việc thiết kế và thiết lập an toàn mạng
9.2 Kiến trúc/thiết kế an toàn kỹ thuật
10 Kịch bản nghiệp vụ mạng tham chiếu – Các rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát
10.2 Dịch vụ truy cập mạng Internet cho nhân viê
10.3 Dịch vụ cộng tác tăng cường
10.4 Dịch vụ Tổ chức tới Tổ chức
10.5 Dịch vụ Tổ chức tới Khách hàng
10.9 Hỗ trợ mạng cho người dùng di chuyển
10.10 Hỗ trợ mạng cho văn phòng tại gia đình và tổ chức nhỏ
11 Các chủ đề “công nghệ” - Các rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát
12 Phát triển và kiểm tra giải pháp an toàn
13 Vận hành giải pháp an toàn
14 Giám sát và đánh giá thiết lập đánh giá
Phụ lục A ( Tham khảo ) Tham chiếu ngang giữa TCVN ISO/IEC
27001 và TCVN ISO/IEC 27002 – Các kiểm soát liên quan đến an toàn mạng, và các điều trong TCVN 9801-1 (ISO/IEC 27033-1)
Phụ lục B (Tham khảo) VÍ DỤ MẪU TÀI LIỆU SECOP
Thư mục tài liệu tham khảo
6.3 Bảng đối chiếu tiêu chuẩn viện dẫn
Dự thảo tiêu chuẩn TCVN 9801-1:2021 (ISO/IEC 27033-1:2015) được xây dựng dựa trên phương pháp chấp thuận nguyên vẹn nội dung của tiêu chuẩn quốc tế ISO/IEC 27033-1:2015, nhằm đảm bảo sự nhất quán và tương thích giữa tiêu chuẩn quốc gia và tiêu chuẩn quốc tế Bảng đối chiếu kèm theo so sánh dự thảo tiêu chuẩn quốc gia với ISO/IEC 27033-1:2015, làm rõ nội dung được giữ nguyên, chỉnh sửa hoặc bổ sung để phù hợp với bối cảnh Việt Nam.
TÀI LIỆU VIỆN DẪN ISO/IEC 27033-1:2015 SỬA ĐỔI, BỔ SUNG
1 Phạm vi áp dụng 1 Scope Chấp thuận nguyên vẹn
2 Tài liệu viện dẫn 2 Normative references Chấp thuận nguyên vẹn
3 Thuật ngữ và định nghĩa 3 Terms and definitions Chấp thuận nguyên vẹn
4 Thuật ngữ viết tắt 4 Symbols and abbreviated terms
5 Cấu trúc 5 Structure Chấp thuận nguyên vẹn
6 Tổng quan 6 Overview Chấp thuận nguyên vẹn
7 Xác định các rủi ro và việc chuẩn bị xác định kiểm toán an toàn
7 Identifying risks and preparing to identify security controls
Bảng đối chiếu tiêu chuẩn viện dẫn
TÀI LIỆU VIỆN DẪN ISO/IEC 27033-1:2015 SỬA ĐỔI, BỔ SUNG
8 Kiểm soát hỗ trợ 8 Supporting controls Chấp thuận nguyên vẹn
9 Hướng dẫn cho việc thiết kế và thiết lập an toàn mạng
9 Guidelines for the design and implementation of network security
10 Kịch bản nghiệp vụ mạng tham chiếu – Các rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát
10 Reference network scenarios – Risks, design, techniques and control issues
11 Các chủ đề “công nghệ”
- Các rủi ro, thiết kế, kỹ thuật và các vấn đề kiểm soát
11 Technology’ topics — Risks, design techniques and control issues
12 Phát triển và kiểm tra giải pháp an toàn
12 Develop and test security solution
13 Vận hành giải pháp an toàn
14 Giám sát và đánh giá thiết lập đánh giá
14 Monitor and review solution implementation
Các kiểm soát liên quan đến an toàn mạng, và các điều trong TCVN 9801-1
Annex A (informative) Cross-references between ISO/IEC 27001/27002 network security related controls and ISO/IEC 27033-1 clauses/subclauses
Phụ lục B (Tham khảo) Ví dụ mẫu tài kiệu SecOP
Annex B (informative) Example template for a SecOPs document