Tiêu chuẩn hóa về an toàn thông tin của ITU với mục tiêu tạo lập sự tin cậy cho giao dịch

Với vai trò là một tổ chức tiêu chuẩn hóa quốc tế về viễn thông, trong nhiều năm qua ITU đã luôn coi trọng công tác tiêu chuẩn hóa về an toàn thông tin. Hội nghị toàn quyền ITU năm 2014 tại Busan, Hàn Quốc tiếp tục nhận thức vai trò cơ bản của ITU trong xây dựng niềm tin và an toàn trong sử dụng ICT. Hội nghị đã thông qua Nghị quyết 130 sửa đổi về việc tăng cường vai trò của ITU trong xây dựng niềm tin và an toàn trong sử dụng công nghệ thông tin và truyền thông (ICT). Trong Nghị quyết này ITU quyết định đối với bộ phận tiêu chuẩn hóa (ITU-T) phải tiếp tục phát triển các khuyến nghị kỹ thuật để giải quyết các mối đe dọa hiện tại và tương lai và xây dựng niềm tin và an toàn trong sử dụng ICT, đối với bộ phận phát triển (ITU-D) phải hỗ trợ các nước thành viên nâng cao năng lực chống lại tội phạm mạng và mối đe dọa không gian mạng, thiết lập các biện pháp về kỹ thuật và thủ tục nhằm tăng cường an toàn cơ sở hạ tầng ICT quốc gia, thiết lập các cơ chế quốc gia như CIRT và các cơ chế cộng tác khu vực, toàn cầu để nhận biết, quản lý và ứng phó với các đe dọa không gian mạng.

Nhìn nhận các kết quả tiêu chuẩn hóa về an toàn thông tin, có thể thấy hiện nay ITU-T tập trung vào tiêu chuẩn hóa một số lĩnh vực chính sau:

- An toàn thông tin và mạng (khuyến nghị X.1000-X.1099)

- An toàn không gian mạng (khuyến nghị X.1200-X.1299)

- Trao đổi thông tin an toàn không gian mạng (khuyến nghị X.1500-X.1599)

- An toàn điện toán đám mây (khuyến nghị X.1600-X.1699)

An toàn thông tin và mạng

Trong an toàn thông tin và mạng, ITU-T đã tập trung xây dựng các khuyến nghị về an toàn mạng và quản lý an toàn và sinh trắc viễn thông.

- Về an toàn mạng, ITU-T nhấn mạnh vào kiến trúc an toàn với chủ thể là người sử dụng và các mạng viễn thông, ví dụ: khuyến nghị X.1031 về vai trò của người sử dụng và mạng viễn thông trong kiến trúc an toàn, X.1033 về hướng dẫn an toàn của dịch vụ thông tin cá nhân do nhà khai thác cung cấp; X.1036 về khung tạo lập, lưu trữ, phân phối và thực thi các chính sách an toàn mạng; X.1037 về hướng dẫn an toàn kỹ thuật IPv6.

- Về quản lý an toàn, ITU-T xây dựng các khuyến nghị về quản lý an toàn tương tự họ tiêu chuẩn ISO/IEC 27000 nhưng cụ thể cho các tổ chức viễn thông. Những khuyến nghị điển hình là X.1051 (04/2016) về quy tắc thực hành kiểm soát an toàn thông tin dựa trên ISO/IEC 27002 cho các tổ chức viễn thông (tương đương với ISO/IEC 27011) và X.1052 (05/2011) về khung quản lý an toàn thông tin.

Trong khung quản lý an toàn thông tin, ITU đang dần hoàn chỉnh các khuyến nghị cụ thể về quản trị an toàn thông tin (X.1054); quản lý rủi ro (X.1055), quản lý sự cố (X.1056), quản lý tài sản (X.1057)…  

An toàn không gian mạng

Về an toàn không gian mạng, ITU-T tập trung vào các lĩnh vực Cybersecurity, đối phó với spam, và quản lý định danh.

- Về đối phó với spam: ITU-T đã đưa ra rất nhiều khuyến nghị về đối phó spam như các chiến lược kỹ thuật đối phó spam (X.1231), các công nghệ và khung kỹ thuật đối phó với email spam (X.1240, X.1241), các hệ thống lọc spam SMS, spam trong các ứng dụng đa phương tiện dựa trên IP, voice spam trong các tổ chức viễn thông…

- Về quản lý định danh: ITU-T xác định các thuật ngữ và định nghĩa cơ bản cho quản lý định danh (X.1252), đưa ra hướng dẫn an toàn cho các hệ thống quản lý định danh (X.1253) và các khung đảm bảo xác thực thực thể, khung phát hiện các thông tin quản lý định danh, khung chia sẻ các kết quả xác thực mạng với các ứng dụng dịch vụ, nguyên tắc phân loại quản lý định danh và truy cập. ITU-T cũng có khuyến nghị X.1275 đưa ra hướng dẫn về bảo vệ thông tin định danh cá nhân (PII) trong ứng dụng công nghệ RFID. Khuyến nghị này giải quyết một vấn đề tương đối nóng trong quản lý tính riêng tư của cá nhân trong các ứng dụng RFID đang phổ dụng hiện nay.

Trao đổi thông tin an toàn không gian mạng

ITU-T tập trung xây dựng bộ tiêu chuẩn về trao đổi thông tin cybersecurity (Cybersecurity information exchange), viết tắt là CYBEX.

Một số khuyến nghị quan trọng đó là: tổng quan về trao đổi thông tin an toàn không gian mạng (X.1500). Đặc biệt loạt khuyến nghị X.1520 - X.1539 hỗ trợ xác định các lỗ hổng thông thường, hệ thống tính điểm các lỗ hổng thông thường, liệt kê các điểm yếu thông thường, hệ thống tính điểm các điểm yếu thông thường. X.1526 hướng dẫn ngôn ngữ cho định nghĩa mở về các lỗ hổng và cho việc đánh giá trạng thái hệ thống. Tại đây cũng có các khuyến nghị xác định các nền tảng (platform) thông thường cũng như ngôn ngữ để liệt kê các platform này.

X.1570 nói về các cơ chế phát hiện trong trao đổi thông tin an toàn không gian mạng (Discovery mechanisms in the exchange of cybersecurity information).

Trong loạt khuyến nghị X.1580-X.1589, ITU-T hướng dẫn về các giao thức truyền tải hỗ trợ trao đổi thông tin an toàn không gian mạng (X.1582), truyền tải các thông điệp bảo vệ liên mạng thời gian thực (X.1581).

An toàn điện toán đám mây

Một mảng tiêu chuẩn an toàn của ITU-T đó là an toàn điện toán đám mây. Hiện nay ITU-T đã có khuyến nghị X.1601về khung an toàn cho điện toán đám mây. Bên cạnh đó, trong khuyến nghị X.1602, ITU cũng đưa ra yêu cầu an toàn đối với phần mềm hoạt động như là môi trường ứng dụng của dịch vụ (software as a service application environments). Đặc biệt trong khuyến nghị X.1631 (Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services), ITU đã cụ thể hóa ISO/IEC 27002 và đưa ra quy tắc thực hành quản lý an toàn thông tin cho dịch vụ đám mây, đồng thời trong khuyến nghị X.1642, ITU đưa ra hướng dẫn về an toàn vận hành cho điện toán đám mây (Guidelines of operational security for cloud computing).

Một số tài liệu, hướng dẫn khác của ITU-T

Phần bổ sung số 3 (Supplement 3) của loạt khuyến nghị ITU-T X.800-X.849 cung cấp các hướng dẫn thực hiện an toàn hệ thống và mạng. Những hướng dẫn này giải quyết 4 lĩnh vực: chính sách an toàn về kỹ thuật; nhận diện tài sản; các mối đe dọa, lỗ hổng và việc giảm nhẹ; đánh giá an toàn. Tài liệu này cũng cung cấp các hướng dẫn về các vấn đề quản lý.   

Bên cạnh các khuyến nghị về an toàn thông tin, ITU-T đưa ra nhiều tài liệu, hướng dẫn về áp dụng khuyến nghị, tiêu chuẩn, tổng hợp các thông tin về tiêu chuẩn hóa an toàn thông tin ICT. Đặc biệt một số tài liệu dưới đây là tài liệu tổng hợp có giá trị, được ITU-T thường xuyên cập nhật phát hành hàng năm:

- Trích yếu an toàn (Security Compendium)

Tài liệu này cung cấp thông tin về khuyến nghị của ITU-T liên quan đến các hoạt động an toàn thông tin của ITU, bao gồm 5 phần:

Danh sách các khuyến nghị đã được phê duyệt của ITU-T liên quan đến an toàn viễn thông

Danh sách các định nghĩa về an toàn thông tin được ITU-T phê duyệt trích từ các khuyến nghị của ITU-T

Tóm tắt về các nhóm nghiên cứu của ITU-T có các hoạt động liên quan đến an toàn thông tin

Tóm tắt về các khuyến nghị của ITU-T đang được rà soát về an toàn thông tin

Tóm tắt các hoạt động an toàn khác của ITU

- Lộ trình tiêu chuẩn an toàn thông tin (Security Standards Roadmap)

Đây là một nguồn thông tin trực tuyến của ITU cung cấp thông tin về các tiêu chuẩn an toàn ICT hiện tại và các hoạt động đang triển khai trong các tổ chức phát triển tiêu chuẩn quan trọng. Bên cạnh thông tin về hoạt động tiêu chuẩn của ITU-T, bản lộ trình này bao gồm cả thông tin về hoạt động tiêu chuẩn an toàn của ISO/IEC, ATIS, ENISA, ETSI, IEEE, IETF, OASIS, 3GPP và 3GPP2. Bản lộ trình bao gồm 5 phần có thể truy cập trực tuyến:

Phần 1: Các tổ chức phát triển tiêu chuẩn ICT và hoạt động của chúng. Phần này bao gồm thông tin về cấu trúc của bản Lộ trình và giới thiệu các tổ chức tiêu chuẩn, các liên kết tới các từ vựng về an toàn thông tin.

Phần 2: Các tiêu chuẩn an toàn ICT đã được phê chuẩn. Đây là một cơ sở dữ liệu tra cứu về các tiêu chuẩn an toàn thông tin đã được phê chuẩn kèm theo đường liên kết trực tiếp tới các tiêu chuẩn này.

Phần 3: Các tiêu chuẩn an toàn thông tin đang phát triển.

Phần 4: Các nhu cầu tương lai và các tiêu chuẩn an toàn mới được đề xuất.

Phần 5: Các thực hành tốt về an toàn thông tin.

Đỗ Xuân Bình (Vụ KHCN, Bộ TTTT)