Tiêu chuẩn quốc tế ISO/IEC về an toàn thông tin và áp dụng tại Việt Nam
Tin tức - Ngày đăng : 20:18, 03/11/2015
Thông tin được lưa trữ trong các sản phẩm và hệ thống công nghệ thông tin (CNTT) và là tài sản của một cá nhân hay tổ chức. Đảm bảo an toàn thông tin (ATTT) là đảm bảo an toàn kỹ thuật trong hoạt động của mạng và cơ sở hạ tầng thông tin, ngăn ngừa khả năng lợi dụng mạng và cơ sở hạ tầng thông tin để thực hiện các hành vi phạm pháp, gây hại cho cộng đồng; đảm bảo các tính chất: bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưa trữ, xử lý và truyền tải trên mạng.
Bài báo này giới thiệu một số tiêu chuẩn quốc tế về quản lý ATTT, kiểm soát an toàn mạng, đánh giá an toàn CNTT và quản lý sự cố ATTT. Đây là những tiêu chuẩn có vai trò quan trọng trong việc đảm bảo ATTT, được áp dụng phổ biến trên thế giới cũng như được khuyến nghị áp dụng tại Việt Nam.
MỘT SỐ TIÊU CHUẨN QUỐC TẾ QUAN TRỌNG CỦA ISO/IEC TRONG LĨNH VỰC ATTT
Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin (họ ISO/IEC 27000)
Bộ tiêu chuẩn này cung cấp mô hình phục vụ cho việc thiết lập và vận hành một hệ thống quản lý an toàn thông tin (ISMS - Information Security Management System):
-Hỗ trợ, hướng dẫn và giải nghĩa cho các yêu cầu và các quy trình PDCA (Lập kế hoạch - Thực hiện - Kiểm tra - Hành động).
-Trình bày các hướng dẫn theo lĩnh vực cụ thể cho hệ thống ISMS.
-Trình bày việc đánh giá tuân thủ cho hệ thống ISMS.
Bộ tiêu chuẩn về ISMS hỗ trợ các tổ chức thuộc mọi loại hình, mọi quy mô để triển khai và vận hành một hệ thống quản lý ATTT. Thông qua sử dụng bộ tiêu chuẩn ISMS, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an toàn các tài sản thông tin của họ, bao gồm các thông tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin cản có độ tin cậy cung cấp bởi khách hàng hay bên thứ ba.
Bộ tiêu chuẩn ISMS được phân loại và mô tả như Hình 1, bao gồm:
-Các tiêu chuẩn mô tả tổng quan và từ vựng.
-Các tiêu chuẩn xác định các yêu cầu.
-Các tiêu chuẩn mô tả các nguyên tắc chung.
-Các tiêu chuẩn mô tả hướng dẫn các ngành cụ thể.
ISO/IEC 27000 là tiêu chuẩn mô tả về tổng quan và từ vựng cho hệ thống quản lý an toàn thông tin.
Các tiêu chuẩn xác định yêu cầu trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin là ISO/ IEC 27001 và ISO/IEC 27006.
Các tiêu chuẩn cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết, giải thích cho các quy trình PDCA tổng thể và yêu cầu quy định trong ISO/IEC 27001 lần lượt bao gồm: ISO/IEC 27002, ISO/IEC 27003, ISO/ IEC 27004, ISO/IEC 27005, ISO/IEC 27007, ISO/IEC 27013, ISO/IEC 27014 và ISO/IEC 27016.
Tiêu chuẩn cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết, giải thích cho các biện pháp kiểm soát quy định trong tiêu chuẩn ISO/IEC 27002 là ISO/IEC 27008.
ISO/IEC 27006 đề cập các yêu cầu về cơ quan cung cấp chứng nhận ISMS.
ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27015 và ISO 27799 đưa ra hướng dẫn ISMS cho các ngành cụ thể.
Bộ tiêu chuẩn về đánh giá an toàn công nghệ thông tin
Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống thông tin có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào? Đánh giá ATTT chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống.
Tổ chức tiêu chuẩn quốc tế ISO đã ban hành bộ tiêu chuẩn ISO/IEC 15408 nhằm đưa ra các tiêu chí chung cho việc đánh giá ATTT cho các sản phẩm và hệ thống. Song song với việc ban hành bộ tiêu chuẩn ISO/IEC 15408, tổ chức ISO cũng đã ban hành tiêu chuẩn ISO/IEC 18045 về hệ thống các phương pháp đánh giá ATTT nhằm hỗ trợ việc triển khai ISO/IEC 15408.
ISO/IEC 15408 sử dụng khái niệm "Đích đánh giá" (Target of Evaluation - TOE). TOE chính là một sản phẩm CNTT cần được đánh giá. Tuy nhiên, thuật ngữ này phải được hiểu tương đối linh hoạt và không gắn với các ranh giới sản phẩm CNTT như cách hiểu thông thường. TOE được định nghĩa như là một tập hợp các phần mềm, phần sụn (firmware) và/hoặc phần cứng đi kèm. TOE có thể là một sản phẩm CNTT, một bộ phận của sản phẩm CNTT, một tập hợp các sản phẩm CNTT, một công nghệ độc nhất mà có thể chưa bao giờ được chuyển vào sản phẩm, hoặc một tổ hợp những nội dung như vậy.
Bộ tiêu chuẩn ISO/IEC 15408 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá cho an toàn CNTT" gồm 3 phần:
-Phần 1: Giới thiệu và mô hình tổng quan, giới thiệu ISO/IEC 15408, các khái niệm chung, các nguyên tắc đánh giá an toàn và mô hình tổng quan đánh giá.
-Phần 2: Các thành phần chức năng an toàn, thiết lập một tập các thành phần chức năng như là các mẫu chuẩn để làm cơ sở các yêu cầu chức năng cho các TOE.
-Phần 3: Các thành phần đảm bảo an toàn, thiết lập một tập các thành phần đảm bảo như là các mẫu chuẩn để làm cơ sở cho các yêu cầu đảm bảo cho các TOE.
Bộ tiêu chuẩn này giúp cơ quan Chính phủ, doanh nghiệp và đặc biệt là các tổ chức đánh giá thực hiện các đánh giá an toàn trên các hệ thống. Nó cũng là một bộ tài liệu hướng dẫn cho các doanh nghiệp phát triển sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về ATTT.
Bộ tiêu chuẩn về an toàn mạng
Sự phát triển rất nhanh của công nghệ mạng (đặc biệt là Internet) mang lại các cơ hội kinh doanh quan trọng, tuy nhiên kèm theo đó là các rủi ro ATTT mới cần quản lý. Với các tổ chức dựa chủ yếu vào sử dụng thông tin và các mạng thích hợp để thực hiện nghiệp vụ của họ, việc mất tính bảo mật, tính toàn vẹn, tính sẵn sàng của thông tin và dịch vụ có thể gây ra các tác động bất lợi đáng kể tới hoạt động kinh doanh. Do đó, việc triển khai và duy trì an toàn mạng đầy đủ là tối quan trọng cho sự thành công của bất cứ hoạt động kinh doanh nào của tổ chức.
Mục tiêu của ISO/IEC 27033 là cung cấp hướng dẫn chi tiết trên các khía cạnh của an toàn về quản lý, vận hành và sử dụng mạng, hệ thống thông tin và các kết nối giữa chúng. Tiêu chuẩn này gồm 6 phần và có mối quan hệ với nhau như thể hiện trong Hình 2.
Cụ thể nội dung của 6 phần trong bộ tiêu chuẩn ISO/IEC 27033:
-ISO/IEC 27033-1: Tổng quan và khái niệm, xác định và mô tả các khái niệm liên quan, cung cấp hướng dẫn quản lý cho an toàn mạng và các khía cạnh rủi ro, thiết kế và kiểm soát liên quan đến các kịch bản mạng điển hình.
-ISO/IEC 27033-2: Hướng dẫn thiết kế và triển khai an toàn mạng, xác định tổ chức phải đạt được các kiến trúc, thiết kế và triển khai an toàn kỹ thuật mạng chất lượng tốt như thế nào.
-ISO/IEC 27033-3: Rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho các kịch bản mạng khác nhau.
-ISO/IEC 27033-4: An toàn truyền thông giữa các mạng sử dụng thiết bị cổng an toàn, xác định các rủi ro cụ thể, các kỹ thuật thiết kế và các vấn đề kiểm soát cho ATTT truyền giữa các mạng sử dụng cổng an toàn.
-ISO/IEC 27033-5: An toàn truyền thông giữa các mạng sử dụng mạng riêng ảo, xác định các rủi ro cụ thể, các kỹ thuật thiết kế và các vấn đề kiểm soát cho an toàn kết nối được thiết lập sử dụng mạng riêng ảo (VPN).
-ISO/IEC 27033-6: An toàn truy nhập mạng IP không dây, xác định các rủi ro cụ thể, các kỹ thuật thiết kế và các vấn đề kiểm soát cho an toàn các mạng không dây.
Hình 3. Các nội dung hướng dẫn của ISO.IEC 27035 |
Bộ tiêu chuẩn về quản lý sự cố ATTT
Tiêu chuẩn ISO/IEC 27035, Công nghệ thông tin -Các kỹ thuật an toàn - Quản lý sự cố ATTT đưa ra một phương pháp tiếp cận có cấu trúc và có kế hoạch để:
-Phát hiện, báo cáo và đánh giá các sự cố ATTT.
-Ứng phó và quản lý các sự cố ATTT.
-Phát hiện, đánh giá và quản lý các điểm yếu ATTT.
-Liên tục cải tiến việc quản lý sự cố và ATTT sau khi thực hiện quản lý các sự cố và điểm yếu ATTT.
Tiêu chuẩn này đưa ra hướng dẫn quản lý sự cố
ATTT cho các tổ chức quy mô lớn và trung bình, nhưng vẫn có thể sử dụng cho các tổ chức có quy mô nhỏ hơn. Hình 3 mô tả các nội dung hướng dẫn của ISO/IEC 27035.
Khái niệm "Quản lý sự cố ATTT" được sử dụng trong tiêu chuẩn không chỉ là quản lý sự cố ATTT mà còn bao hàm quản lý các điểm yếu ATTT. Nếu tổ chức triển khai hệ thống ISMS thì việc quản lý tốt các sự cố ATTT sẽ góp phần không nhỏ để có một ISMS hiệu quả và hiệu lực. ISO/IEC 27035 có vai trò là một tiêu chuẩn hướng dẫn với cách tiếp cận có cấu trúc và kế hoạch để quản lý sự cố ATTT. Do vậy, việc áp dụng tiêu chuẩn sẽ rất hữu ích cho các tổ chức mong muốn quản lý sự cố ATTT hiệu quả.
TÌNH HÌNH XÂY DỰNG, ÁP DỤNG TIÊU CHUẨN ATTT TẠI VIỆT NAM
Tại Việt Nam, một số tiêu chuẩn quốc gia (TCVN) về ATTT đã được xây dựng, công bố trên cơ sở chấp nhận nguyên vẹn các tiêu chuẩn ISO/IEC.
Bộ tiêu chuẩn về hệ thông quản lý an toàn thông tin ISMS:
-Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu (TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005).
-Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành Quản lý an toàn thông tin (TCVN ISO/IEC 27002:2011).
-Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin (TCVN 10295:2014 ISO/IEC 27005:2011)
Bộ tiêu chuẩn về đánh giá ATTT
-Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát (TCVN 8709-1:2011 ISO/IEC 15408-1:2009).
-Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn (TCVN 8709-2:2011 ISO/IEC 15408-2:2008).
-Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn (TCVN 8709-3:2011 ISO/IEC 15408-3:2008).
Bộ tiêu chuẩn về an toàn mạng
-TCVN 9801-1:2013 ( ISO/IEC 27033-1:2009) Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng - Phần 1: Tổng quan và khái niệm
Hiện nay, Bộ Thông tin và Truyền thông đang gấp rút hoàn thành và chuẩn bị ban hành bổ sung các TCVN còn thiếu trong bộ tiêu chuẩn hệ thống quản lý ATTT (ISO/IEC 27000:2012, ISO/IEC 27003:2010, ISO/IEC 27004:2009, ISO/IEC 27010:2012), tiêu chuẩn về an toàn mạng (ISO/IEC 27033-3:2010, ISO/ IEC 27033-2:2012), tiêu chuẩn về quản lý sự cố ATTT (ISO/IEC 27035:2011). Một số TCVN khác cũng đang được tập trung xây dựng: hướng dẫn bổ sung về ISMS (ISO/IEC 27006, ISO/IEC 27007, ISO/IEC 270011, ISO/ IEC 27013, ISO/IEC 27015); hướng dẫn đánh giá an toàn công nghệ thông tin (ISO/IEC 18045, ISO/IEC TR 15446:2004); chọn lựa, triển khai và vận hành các hệ thống phát hiện xâm nhập (ISO/IEC 18043:2006); an toàn sinh trắc học (ISO/IEC 19792, ISO/IEC 24761); chống chối bỏ (ISO/IEC 13888)...
Hy vọng rằng trong thời gian tới, với một hệ thống tiêu chuẩn quốc gia về ATTT đầy đủ hơn, các cơ quan, tổ chức trong nước sẽ được trang bị các hướng dẫn kỹ thuật, nâng cao nhận thức và chủ động áp dụng các biện pháp kỹ thuật thích hợp để đối phó với các tấn công mạng, hạn chế tối đa ảnh hưởng của sự cố an toàn thông tin, cũng như khắc phục nhanh chóng các thiệt hại ATTT nếu phải đối mặt.
Tài liệu tham khảo
[1].Họ tiêu chuẩn ISO/IEC 27000, ISO/IEC 15408, ISO/IEC 18045...
[2].TCVN 8709, TCVN 9801, TCVN 10295.
Đỗ Xuân Bình