Hoàn thiện Bộ tiêu chuẩn quốc gia về an toàn thông tin bộ 27K và đặcbiệt là nhóm tiêu các tiêu chuẩn liên quan đến quản lý sự cố và điều tra số.. Những con số được hiển thị t
Trang 1BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM
-THUYẾT MINH DỰ THẢO TIÊU CHUẨN
“CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN BẢO ĐẢM PHÙ HỢP VÀ ĐẦY ĐỦ CỦA PHƯƠNG
PHÁP ĐIỀU TRA SỰ CỐ”
(Information technology – Security techniques – Guidance on assuring suitability and adequacy of incident investigative method)
HÀ NỘI, 2017
Trang 2MỤC LỤC
1 Tên gọi và ký hiệu tiêu chuẩn 3
2 Đặt vấn đề 3
2.1 Tình hình tiêu chuẩn hóa về quản lý an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27000) 3
2.2 Vai trò và mối quan hệ của ISO/IEC 27041:2015 trong nhóm các tiêu chuẩn về xử lý sự cố và điều tra số thuộc bộ 27000 12
3 Lý do xây dựng tiêu chuẩn 18
4 Nhu cầu thực tế và khả năng áp dụng 18
5 Sở cứ xây dựng tiêu chuẩn 20
6 Nội dung dự thảo tiêu chuẩn kỹ thuật 20
6.1 Giới thiệu ISO/IEC 27041:2015 20
6.2 Cấu trúc và nội dung Dự thảo tiêu chuẩn 21
6.3 Bảng đối chiếu tiêu chuẩn viện dẫn 23
7 Kết luận 25
TÀI LIỆU KHAM KHẢO 25
Trang 31 Tên gọi và ký hiệu tiêu chuẩn
Tên tiêu chuẩn quốc gia: “Công nghệ thông tin- Các kỹ thuật an toàn – Hướng
dẫn bảo đảm sự phù hợp và đầy đủ của phương pháp điều tra sự cố”
Kí hiệu: TCVN XXXX:2017
Mục tiêu của việc xây dựng tiêu chuẩn:
Cung cấp hướng dẫn về quá trình điều tra sự cố an toàn thông tin cho các
cơ quan, tổ chức, doanh nghiệp đặc biệt là các tổ chức ứng cứu sự cố an toànthông tin để đảm bảo rằng quá trình điều tra được sử dụng là phù hợp và đầy đủđối với sự cố đang được điều tra
Hoàn thiện Bộ tiêu chuẩn quốc gia về an toàn thông tin bộ 27K và đặcbiệt là nhóm tiêu các tiêu chuẩn liên quan đến quản lý sự cố và điều tra số
Bộ tiêu chuẩn ISO/IEC 27000 có thể áp dụng được cho các tổ chức với cácquy mô và loại hình khác nhau Tất cả các tổ chức đều được khuyến khích đánhgiá các rủi ro an toàn thông tin trong tổ chức, sau đó triển khai các biện phápkiểm soát an toàn thông tin phù hợp theo các nhu cầu của họ dựa trên các hướngdẫn và gợi ý liên quan
Bộ tiêu chuẩn ISO/IEC 27000 về hệ thống quản lý an toàn thông tin đã cótrên 40 tiêu chuẩn, trong đó trên ¾ số tiêu chuẩn đã được ban hành và một sốkhác hiện đang được xây dựng
Trang 4Tại Việt Nam, một số tiêu chuẩn trong bộ ISO/IEC 27000 đã được sử dụnglàm tài liệu tham chiếu để xây dựng các tiêu chuẩn quốc gia tương đương Hiệncó 15 tiêu chuẩn quốc gia được ban hành và nhiều dự thảo tiêu chuẩn chuẩn bịđược ban hành
Bảng dưới đây sẽ tổng kết các tiêu chuẩn quốc tế và quốc gia về hệ thống quảnlý an toàn thông tin
Bảng 1: Các tiêu chuẩn về hệ thống quản lý an toàn thông tin (Bộ tiêu chuẩnISO/IEC 27000)
STT
Ký hiệu tiêu
chuẩn
ISO/IEC
Tên tiêu chuẩn
Ký hiệu tiêu chuẩn Việt
Nam
1 ISO/IEC
27000 :2014
Công nghệ thông tin – Các kỹ thuật an toàn –
Hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng
TCVN 11238:2015ISO/IEC 27000:2014
2 ISO/IEC
2700 1:2013
Công nghệ thông tin – Các kỹ thuật an toàn
-Hệ thống quản lý an toàn thông tin — Các yêu cầu
TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005
4 ISO/IEC
2700 3:2010
Công nghệ thông tin – Các kỹ thuật an toàn Hướng dẫn triển khai hệ thống quản lý an toàn thông tin
-TCVN ISO/IEC27006:2017
ISO/IEC 2700 6:2011
8 ISO/IEC Công nghệ thông tin – Các kỹ thuật an toàn - TCVN 11779:2017
Trang 52700 7:2011 Hướng dẫn đánh giá hệ thống quản lý an toàn
TCVN ISO/IEC 27015:2017
16 ISO/IEC TR
27016:2014
An toàn IT – Các kỹ thuật an toàn - Quản lý
an toàn thông tin– Kinh tế của tổ chức
27017
Công nghệ thông tin – Các kỹ thuật an toàn — Quy tắc thực hành các biện pháp kiểm soát ATTT dựa trên ISO/IEC 27002 đối với các dịch vụ đám mây (FDIS)
Trang 6động có vai trò là các bộ vi xử lý PII
19 ISO/IEC TR
27019:2013
Công nghệ thông tin – Các kỹ thuật an toàn — Hướng dẫn quản lý ATTT dựa trên ISO/IEC
27002 đối với các hệ thống kiểm soát xử lý
dành cho công nghiệp năng lượng
27021
Công nghệ thông tin – Các kỹ thuật an toàn
— Các yêu cầu năng lực đối với các chuyên gia quản lý ATTT (dự thảo)
21 ISO/IEC TR
27023:2015
Công nghệ thông tin – Các kỹ thuật an toàn
— Ánh xạ các phiên bản sửa đổi của ISO/IEC
-TCVN ISO/IEC27031:2017ISO/IEC 27031:2011
Các kịch bản kết nối mạng tham chiếu – Nguy
cơ, kỹ thuật thiết kế và các vấn đề kiểm soát TCVN 9801-3:2014
Trang 8Công nghệ thông tin – Các kỹ thuật an toàn – Lựa chọn, triển khai và vận hành hệ thống phát hiện và ngăn chặn xâm nhập (IDPS)
27042:2015
Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn phân tích và làm sáng tỏ bằng chứng số
Trang 9Bảng 1 Bảng danh mục các tiêu chuẩn đã được công bố và đang dự thảo
ISO/IEC 27000 2016 Hệ thống quản lý an toàn thông tin (ISMS)
-Tổng quan và từ vựngISO/IEC 27001 2013 ISMS- Các yêu cầu
ISO/IEC 27002 2013 Quy tắc thực hành quản lý an toàn thông tinISO/IEC 27003 2017 ISMS- Hướng dẫn triển khai
ISO/IEC 27004 2016 Quản lý an toàn thông tin- Đo lường
ISO/IEC 27005 2011 Quản lý rủi ro an toàn thông tin
ISO/IEC 27006 2015 Yêu cầu các tổ chức
Trang 10ISO/IEC 27007 2017 Hướng dẫn đánh giá hệ thống quản lý an toàn
thông tinISO/IEC TR
27008
2011 Hướng dẫn chuyên gia đánh giá kiểm soát hệ
thống an toàn thông tinISO/IEC 27009 2016 Ứng dụng ngành cụ thể của ISO/IEC 27001-
Các yêu cầu ISO/IEC 27010 2015 Quản lý an toàn thông tin cho truyền thông
liên ngành và liên tổ chứcISO/IEC 27011 2016 Hướng dẫn quản lý an toàn thông tin cho các
tổ chức viễn thông dựa trên tiêu chuẩnISO/IEC 27002
ISO/IEC 27013 2015 Hướng dẫn thực hiện tích hợp ISO/IEC
27001 và ISO/IEC 20000-1ISO/IEC 27014 2013 Quản trị an toàn thông tin
ISO/IEC TR
27015
2012 Hướng dẫn quản lý an toàn thông tin cho dịch
vụ tài chínhISO/IEC TR
27016
2014 Quản lý an toàn thông tin- Các tổ chức kinh
tế
ISO/IEC 27017 2015 Quy tắc thực hành kiểm soát an toàn thông
tin cho các dịch vụ điện toán đám mây dựatrên ISO 27002
ISO/IEC 27018 2014 Quy tắc thực hành để kiểm soát, bảo vệ thông
tin định danh cá nhân xử lý trong các dịch vụđiện toán đám mây
ISO/IEC TR
27019
2013 Hướng dẫn quản lý an toàn thông tin dựa trên
ISO/IEC 27002 cho các hệ thống kiểm soátquy trình đặc trưng trong ngành công nghiệpnăng lượng
ISO/IEC 27031 2011 Hướng dẫn công nghệ thông tin và truyền
thông cho tính liên tục nghiệp vụISO/IEC 27032 2012 Hướng dẫn về an toàn không gian mạng
Trang 11ISO/IEC 27033
-1 2015 Khái niệm và tổng quan an toàn mạng-2 2012 Hướng dẫn thiết kế và triển khai an toàn
mạng-3 2010 Các kịch bản kết nối mạng tham chiếu- Nguy
cơ, kỹ thuật thiết kế và các vấn đề kiểm soát.-4 2014 Bảo mật truyền thông giữa các mạng sử dụng
cổng an toàn
-5 2013 Bảo mật truyền thông trên mạng sử dụng
VPN (mạng riêng ảo)-6 2016 Bảo vệ truy cập mạng không giây
tin-2 2016 Hướng dẫn lập kế hoạch và chuẩn bị ứng cứu
sự cố
-3 Hướng dẫn cho các hoạt động ứng cứu sự cố
ICT (công nghệ thông tin và truyền thông)ISO/IEC 27036 -1 2014 An toàn thông tin cho mối quan hệ cung ứng
- Tổng quan và khái niệm
-2 2014 Yêu cầu chung
Trang 12-3 2013 Hướng dẫn an toàn chuỗi cung ứng ICT-4 2013 Hướng dẫn an toàn thông tin cho dịch vụ điện
toán đám mâyISO/IEC 27037 2012 Hướng dẫn xác định, thu thập, sao chép và
bảo quản bằng chứng số
ISO/IEC 27038 2014 Chỉ dẫn kỹ thuật biên soạn kỹ thuật số
ISO/IEC 27039 2015 Lựa chọn, triển khai và vận hành hệ thống
phát hiện và ngăn chặn xâm nhậpISO/IEC 27040 2015 An toàn lưu trữ
ISO/IEC 27041 2015 Hướng dẫn đảm bảo tính phù hợp và đầy đủ
của phương pháp điều tra số
ISO/IEC 27042 2015 Hướng dẫn phân tích và làm sáng tỏ bằng
tin trong lĩnh vực y tế sử dụng ISO/IEC27002
2.2Vai trò và mối quan hệ của ISO/IEC 27041:2015 trong nhóm các tiêu chuẩn về xử lý sự cố và điều tra số thuộc bộ 27000.
Hình 2 cho thấy các hoạt động điển hình xung quanh một sự cố và việcđiều tra nó Những con số được hiển thị trong biểu đồ này (ví dụ: 27037) cho
biết tiêu chuẩn được liệt kê ở trên và các thanh được tô bóng hiển thị nơi có nhiều khả năng áp dụng trực tiếp hoặc có một số ảnh hưởng đối với quá trình điều tra (ví dụ bằng cách thiết lập chính sách hoặc tạo ra các ràng buộc).
Tuy nhiên, tất cả các tiêu chuẩn này nên được tham khảo trước và trong quá
Trang 13trình lập kế hoạch và chuẩn bị Các lớp quy trình được trình bày được xác địnhđầy đủ trong tiêu chuẩn này và các hoạt động được xác định phù hợp với những
gì được thảo luận chi tiết hơn trong ISO/IEC 27035-2, ISO/IEC 27037 vàISO/IEC 27042:2015
Trang 14Hình 2: Khả năng áp dụng các tiêu chuẩn đối với các lớp và hoạt động của quy trình điều tra sự cố.
ISO/IEC 27041:2015 bổ sung cho các tiêu chuẩn và tài liệu khác hướngdẫn việc điều tra và chuẩn bị điều tra sự cố an toàn thông tin Đây không phải làhướng dẫn toàn diện nhưng đưa ra một số nguyên tắc cơ bản nhằm đảm bảo rằngcác công cụ, kỹ thuật và phương pháp có thể được lựa chọn phù hợp và được thểhiện đúng với mục đích cần thiết
ISO/IEC 27041:2015 cũng cung cấp tài liệu cho những người ra quyếtđịnh cần xác định độ tin cậy của bằng chứng số được trình bày với họ Tiêuchuẩn này cũng được áp dụng cho các tổ chức cần bảo vệ, phân tích, và trìnhbày bằng chứng số tiềm năng Tiêu chuẩn cũng phù hợp với các cơ quan xâydựng chính sách để thiết lập và đánh giá các thủ tục liên quan đến bằng chứngsố, thường là một phần của một cơ quan lớn hơn về bằng chứng
Tiêu chuẩn này mô tả thành phần của quy trình điều tra toàn diện, baogồm, nhưng không giới hạn bởi, các lĩnh vực, chủ đề sau đây:
- Quản lý sự cố, bao gồm chuẩn bị và lập kế hoạch điều tra;
- Xử lý bằng chứng số;
- Việc sử dụng tài liệu biên tập, và các vấn đề gây ra do biên tập tài liệu;
- Các hệ thống phát hiện và ngăn chặn xâm nhập, bao gồm cả thông tin cóthể thu được từ các hệ thống này;
- Bảo đảm an toàn hệ thống lưu trữ, bao gồm cả việc xóa sạch dữ liệu trong
hệ thống lưu trữ;
- Đảm bảo các phương pháp điều tra phù hợp với mục đích;
- Tiến hành phân tích và giải thích bằng chứng số;
- Hiểu các nguyên tắc và quy trình điều tra bằng chứng số;
- Quản lý sự kiện sự cố an toàn thông tin, bao gồm việc thu thập bằngchứng từ các hệ thống liên quan đến việc quản lý sự kiện sự cố an toàn thôngtin;
Trang 15- Mối quan hệ giữa phương pháp phát hiện điện tử và các phương pháp điềutra khác, cũng như việc sử dụng kỹ thuật phát hiện điện tử trong các cuộc điềutra khác;
- Quản trị điều tra, bao gồm điều tra pháp lý
Những chủ đề này được đề cập từng phần trong các tiêu chuẩn ISO/IEC sau:
ISO/IEC 27037:2012
Tiêu chuẩn này mô tả các phương tiện mà nhờ chúng những người thamgia vào các giai đoạn đầu của cuộc điều tra, bao gồm cả ứng phó ban đầu, có thểđảm bảo rằng bằng chứng số tiềm năng được thu thập đầy đủ để cho phép tiếnhành điều tra một cách thích hợp
ISO/IEC 27038:2014
Một số tài liệu có thể chứa thông tin không được tiết lộ cho một số cộngđồng Các tài liệu đã được sửa đổi có thể được phát hành cho các cộng đồng nàysau khi xử lý thích hợp tài liệu nguyên gốc Quá trình loại bỏ thông tin khôngđược tiết lộ được gọi là "biên tập"
Việc biên tập các tài liệu bằng kỹ thuật số là một lĩnh vực tương đối mớiđối với việc quản lý tài liệu, làm phát sinh các vấn đề đơn nhất và những rủi rotiềm ẩn Khi tài liệu số được biên tập, thông tin được gỡ bỏ phải không thể phụchồi được Do đó, cần phải chú ý sao cho thông tin biên tập lại phải được xóavĩnh viễn khỏi tài liệu số (ví dụ: không được ẩn một cách đơn giản trong cácphần không thể hiển thị của tài liệu)
ISO / IEC 27038: chỉ định các phương pháp biên tập số đối với các tài
liệu số Tiêu chuẩn này cũng xác định các yêu cầu đối với phần mềm được sửdụng để biên tập
ISO/IEC 27040:2015
Tiêu chuẩn này cung cấp hướng dẫn kỹ thuật chi tiết về cách thức các tổchức có thể xác định giảm thiểu rủi ro đến mức phù hợp bằng cách sử dụngphương pháp tiếp cận đã được chứng minh và nhất quán cho việc lập kế hoạch,thiết kế hệ thống tài liệu và thực hiện bảo đảm an toàn hệ thống lưu trữ dữ liệu
Trang 16An toàn hệ thống lưu trữ áp dụng để bảo vệ (an toàn) thông tin được lưu trữ và
để bảo vệ thông tin được chuyển qua các liên kết truyền thông liên quan đến hệthống lưu trữ An toàn hệ thống lưu trữ bao gồm an toàn thiết bị và phương tiện,
an toàn các hoạt động quản lý liên quan đến thiết bị và phương tiện, an toàn ứngdụng và dịch vụ, và an toàn liên quan đến người dùng cuối trong suốt thời giantồn tại và sau khi kết thúc sử dụng các thiết bị và phương tiện
Các cơ chế an toàn như mã hóa và xóa sạch dữ liệu có thể ảnh hưởng đếnkhả năng điều tra của điều tra viên do có các cơ chế biến đổi dữ liệu Chúng phảiđược xem xét trước và trong khi tiến hành điều tra Chúng cũng có thể quantrọng để đảm bảo rằng việc lưu trữ tài liệu bằng chứng trong và sau một cuộcđiều tra đã được chuẩn bị đầy đủ và an toàn
ISO/IEC 27042:2015
Tiêu chuẩn này mô tả các phương pháp và quy trình được sử dụng trongmột cuộc điều tra có thể được thiết kế và thực hiện như thế nào để cho phépđánh giá đúng bằng chứng số tiềm năng, giải thích bằng chứng số và báo cáo cóhiệu quả về các phát hiện
ISO / IEC 27035 (tất cả các phần)
Tiêu chuẩn này gồm 03 phần cung cấp cho các tổ chức một cách tiếp cậncó cấu trúc và có kế hoạch để quản lý sự cố an toàn thông tin Tiêu chuẩn nàybao gồm:
ISO/IEC 27035-1: Cung cấp các khái niệm cơ bản và các bước quản lý antoàn thông tin Tiêu chuẩn này kết hợp các khái niệm với nguyên tắc trong cáchtiếp cận hướng cấu trúc để phát hiện, báo cáo, đánh giá, ứng phó và áp dụng cácbài học kinh nghiệm
Trang 17ISO/IEC 27035-2: Cung cấp khái niệm để chuẩn bị và lập kế hoạch ứngphó sự cố Các khái niệm gồm chính sách và kế hoạch quản lý sự cố, thành lậpnhóm ứng phó sự cố, đào tạo và nâng cao nhận thức dựa trên pha chuẩn bị vàlập kế hoạch theo mô hình trong ISO/IEC 27035-1 Phần này cũng bao gồm cácpha “Bài học kinh nghiệm” trong mô hình.
ISO/IEC 27035-3: Phần này cung cấp trách nhiệm của nhân viên và cáchoạt động thực hành ứng phó sự cố của tổ chức Cụ thể sẽ tập trung đưa ra cáchoạt động của đội ứng phó sự cố gồm: Giám sát, phát hiện, phân tích, ứng phó
để thu thập dữ liệu hoặc sự kiện an toàn thông tin
ISO/IEC 27050 (tất cả các phần)
Tiêu chuẩn này đề cập đến các hoạt động trong khám phá điện tử, baogồm, nhưng không giới hạn, việc xác định, bảo quản, thu thập, xử lý, soát xét,phân tích, và tạo ra các thông tin lưu trữ điện tử (ESI) Bên cạnh đó, tiêu chuẩnnày cung cấp hướng dẫn về các biện pháp, trải rộng từ sự khởi tạo ESI đến việcsắp đặt cuối cùng của chúng, mà tổ chức có thể thực hiện để giảm thiểu rủi ro vàchi phí khám phá điện tử Tiêu chuản này thích hợp cho cả nhân viên kỹ thuật vàphi kỹ thuật có liên quan đến một vài hoặc tất cả hoạt động khám phá điện tử.Điều quan trọng cần lưu ý là hướng dẫn này không được mâu thuẫn hoặc viphạm các quy định pháp lý hoặc quy định nội bộ
Khám phá điện tử thường phục vụ như là động lực cho các cuộc điều tra,cũng như các hoạt động xử lý và thu thập bằng chứng Bên cạnh đó, tính nhạycảm và quan trọng của dữ liệu đôi khi đòi hỏi phải có bảo vệ như an toàn lưu trữ
để chống lại sự vi phạm dữ liệu
ISO/IEC 30121:2015
Tiêu chuẩn này cung cấp khung mẫu cho các bộ phận quản trị của tổ chức(bao gồm cả chủ sở hữu, hội đồng thành viên, giám đốc, đối tác, giám đốc điềuhành hoặc tương tự) cách tốt nhất để chuẩn bị cho việc điều tra số trước khi tiếnhành Tiêu chuẩn này áp dụng cho việc phát triển các quy trình chiến lược (vàcác quyết định) liên quan đến việc lưu trữ, sự sẵn sàng, truy cập, sự hiệu quả vềchi phí của việc tiết lộ bằng chứng số Tiêu chuẩn này áp dụng cho tất cả các loạihình và các quy mô tổ chức Tiêu chuẩn này là việc chuẩn bị chiến lược cho quá
