bỘ thÔng tin vÀ truyỀn thÔng - mic.gov.vn · web viewĐiều 2 tài liệu viện dẫn...

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

--------------

THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM

CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN THỰC HIỆN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

HÀ NỘI, 2018

MỤC LỤC1. TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN............................................................................................2

2. ĐẶT VẤN ĐỀ.......................................................................................................................................2

3. NGHIÊN CỨU TỔNG QUAN............................................................................................................3

3.1 Nguyên tắc xây dựng tiêu chuẩn...............................................................................................3

3.2 Các văn bản Luật và Nghị định.................................................................................................4

3.3 Tiêu chuẩn quốc tế......................................................................................................................4

3.4 Tiêu chuẩn Mỹ............................................................................................................................4

3.5 Tiêu chuẩn Việt Nam..................................................................................................................4

4. GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO/IEC 27000......................................................................4

4.1 Bộ tiêu chuẩn ISO/IEC 27000....................................................................................................4

4.2 Phân tích khả năng áp dụng ISO/IEC 27000 trong bảo vệ hệ thống thông tin theo cấp độ 4

4.2.1 Khái niệm ISMS.......................................................................................................................4

4.2.2 Khái niệm Bảo đảm an toàn hệ thống thông tin theo cấp độ....................................................4

4.2.3 Khả năng áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp độ.........................4

5. GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU TCVN 10541:2014 (ISO/IEC 27003-2010).....4

5.1 Mục tiêu của tiêu chuẩn.............................................................................................................4

5.2 Phạm vi tiêu chuẩn.....................................................................................................................4

5.3 Cấu trúc tiêu chuẩn....................................................................................................................4

6. DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN XXX-2018..............................................................4

6.1 Lý do xây dựng tiêu chuẩn.........................................................................................................4

6.2 Nhu cầu thực tế và khả năng áp dụng......................................................................................4

6.3 Mục đích xây dựng tiêu chuẩn...................................................................................................4

6.4 Sở cứ xây dựng tiêu chuẩn.........................................................................................................4

6.5 Phương pháp xây dựng tiêu chuẩn...........................................................................................4

6.5.1 Nguyên tắc chung.....................................................................................................................4

6.5.2 Các nội dung hướng dẫn bổ sung.............................................................................................4

6.6 Các nội dung dự thảo tiêu chuẩn quốc gia...............................................................................4

6.6.1 Các nội dung hướng dẫn được bổ sung trong từng hoạt động cụ thể.......................................4

6.6.2 Đối chiếu với tiêu chuẩn tham chiếu........................................................................................4

6.6.3 Kết quả đối chiếu với nội dung trong đề cương.......................................................................4

7. KẾT LUẬN...........................................................................................................................................4

7.1 Đánh giá những kết quả đạt được.............................................................................................4

7.2 Thuận lợi và khó khăn................................................................................................................4

7.3 Kiến nghị, đề xuất.......................................................................................................................4

8. TÀI LIỆU THAM KHẢO...................................................................................................................4

1

11. TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN

Tên tiêu chuẩn: “Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn thực hiện bảo đảm an toàn hệ thống thông tin”

Ký hiệu tiêu chuẩn: TCVN xxx:2018

Mã số:

2. ĐẶT VẤN ĐỀ

Luật an toàn thông tin mạng [1] đã được Quốc hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam Khóa XIII tại kỳ họp thứ 10 ngày 19 tháng 11 năm 2015, trong đó quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc đảm bảo an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; và quản lý nhà nước về an toàn thông tin mạng.

Điều 21 của Luật an toàn thông tin mạng quy định bảo vệ hệ thống thông tin theo cấp độ, trong đó phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp cấp độ.

Điều 21 của Luật an toàn thông tin mạng cũng quy định trách nhiệm của chính phủ trong việc quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Để triển khai bảo vệ an toàn hệ thống thông tin theo cấp độ, Chính phủ đã ban hành Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ [2]. Nghị định này quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Điều 23 của Nghị định 85 quy định Bộ Thông tin và Truyền thông có trách nhiệm xây dựng dự thảo tiêu chuẩn quốc gia, ban hành quy chuẩn quốc gia về bảo đảm an toàn thông tin theo cấp độ.

Là một đơn vị trực thuộc Bộ Thông tin và Truyền thông, có nhiều kinh nghiệm trong đào tạo và nghiên cứu trong lĩnh vực an toàn thông tin, Học viện được Bộ Thông tin

2

và Truyền thông giao nhiệm vụ xây dựng dự thảo tiêu chuẩn "Công nghệ thông tin – Kỹ thuật an toàn – Hướng dẫn bảo vệ hệ thống thông tin" dưới dạng nhiệm vụ nghiên cứu khoa học.

Trên cơ sở kết quả đề tài nghiên cứu khoa học, Bộ Thông tin và Truyền thông sẽ tổng hợp, chỉnh sửa thành dự thảo tiêu chuẩn để chuyển sang Bộ Khoa học và Công nghệ thẩm định.

Báo cáo này sẽ trình bày các kết quả nghiên cứu của nhóm thực hiện đề tài, trong đó sẽ bao gồm các nội dung sau. Phần 3 sẽ trình bày nghiên cứu tổng quan của nhóm về các tiêu chuẩn trong và ngoài nước liên quan đến nội dung tiêu chuẩn của đề tài. Phần 4 giới thiệu về bộ tiêu chuẩn ISO/IEC 27000, trong đó có phân tích khả năng sử dụng bộ tiêu chuẩn này để thực hiện bảo vệ hệ thống thông tin. Phần 5 sẽ giới thiệu về tiêu chuẩn tham chiếu TCVN 10541:2014. Phần 6 sẽ trình bày dự thảo tiêu chuẩn. Cuối cùng là kết luận trong đó tóm tắt những kết quả đạt được theo kế hoạch, trình bày những thuận lợi, khó khăn cũng như những kiến nghị và đề xuất.

3. NGHIÊN CỨU TỔNG QUAN

3.1 Nguyên tắc xây dựng tiêu chuẩn

Xây dựng tiêu chuẩn là một quá trình đầu tư (thời gian, kinh phí) vì vậy cần phải cân nhắc để lựa chọn và xây dựng được các tiêu chuẩn cần thiết, có nội dung đáp ứng càng rộng rãi càng tốt các yêu cầu sử dụng trong từng lĩnh vực hay trong các nhóm đối tượng tiêu chuẩn hoá.

Nội dung tiêu chuẩn phải thúc đẩy các ý tưởng và sự phát triển, thúc đẩy các sáng kiến, cải tiến, không cản trở hoạt động thiết kế, sáng tạo.Vì vậy những tiêu chuẩn đề cập các yêu cầu chung chỉ nên quy định những đặc điểm cơ bản, những yêu cầu nhất thiết phải cân nhắc còn những yêu cầu chi tiết sẽ được thể hiện thành tính năng kỹ thuật, thành những đặc điểm riêng biệt cho mỗi đối tượng, mỗi sản phẩm hay thậm chí mỗi khía cạnh của đối tượng hay khía cạnh của sản phẩm cụ thể mà một tiêu chuẩn sẽ đề cập đến nó.

Tiêu chuẩn phải được xây dựng trên cơ sở có nhu cầu sử dụng và thậm chí phải là nhu cầu sử dụng tại nhiều nơi, mang tính lặp đi lặp lại. Vì một tiêu chuẩn có thể liên quan nhiều đối tác quan tâm nên cần có sự bàn bạc thoả thuận giữa các bên. Nội dung của các tiêu chuẩn dạng quy chuẩn kỹ thụât lại càng nên thận trọng để nó thực sự có thể áp dụng được, và hơn thế, được áp dụng một cách đồng bộ.

3

Tiêu chuẩn phải phản ánh những thành tựu và kinh nghiệm mới nhất, đồng thời có khả năng áp dụng trong thực tiễn, vì vậy tiêu chuẩn cần được xem xét lại sau những khoảng thời gian nào đó.1

3.2 Các văn bản Luật và Nghị định

Điều 21 của Luật an toàn thông tin mạng quy định hệ thống thông tin được phân loại theo cấp độ an toàn như sau:

a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, các nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hịa nghiêm trọng tới quốc phòng, an ninh quốc gia;

e) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Nghị định 85 quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo cấp độ, áp dụng đối với cơ quan, tổ chức, các nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam.

Nghị định 85 quy định các tiêu chí xác định cấp độ đối với từng cấp độ của hệ thống thông tin. Đơn vị vận hành hệ thống thông tin (hoặc chủ đầu tư đối với trường hợp dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin) lập hồ sơ đề xuất cấp độ. Thẩm quyền thẩm định và phê duyệt cấp độ có thể là đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin, chủ quản hệ thống thông tin, Bộ Thông

1 Nội dung các nguyên tắc xây dựng tiêu chuẩn tham khảo tài liệu do PGS.TS. Lê Hữu Lập – Học viện CNBCVT cung cấp.

4

tin và Truyền thông, Bộ Quốc phòng, Bộ Công An, Thủ tướng Chính phủ tùy theo từng cấp độ của hệ thống thông tin.

Nghị định cũng quy định vai trò và trách nhiệm của các chủ thể trong bảo đảm an toàn hệ thống thông tin, bao gồm chủ quản hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin và các cơ quan quản lý nhà nước.

3.3 Tiêu chuẩn quốc tế

Vấn đề an toàn thông tin ngày càng trở nên cấp bách trên toàn thế giới. Hàng loạt các sự cố về mạng, các cuộc tấn công ngày càng nhiều nhắm vào các hệ thống công nghệ thông tin trong các lĩnh vực ngân hàng, tài chính, thương mại, cơ quan chính phủ,…Bên cạnh việc liên tục cải tiến các công nghệ bảo mật, việc áp dụng hệ thống tiêu chuẩn an toàn thông tin đã được các quốc gia trên thế giới đặc biệt chú trọng.

Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin. Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 2700x. Bên cạnh những tiêu chuẩn về quản lý an toàn thông tin thì chuẩn về đánh giá an toàn thông tin cũng được các tổ chức tiêu chuẩn thế giới quan tâm.

Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 2700x cung cấp các hướng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin:

ISO/IEC 27000 :2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

ISO/IEC 27001 :2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu

ISO/IEC 27002 :2005 - Quy tắc thực hành quản lý an toàn thông tin

ISO/IEC 27003 :2010 - Hướng dẫn thực thi hệ thống quản lý an toàn thông tin

ISO/IEC 27004 :2009 - Quản lý an toàn thông tin - Đo lường

ISO/IEC 27005 :2011 - Quản lý rủi ro an toàn thông tin

….

Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:

Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo

5

http://en.wikipedia.org/wiki/ISO/IEC_27005






áp dụng các yêu cầu trong quá trình đánh giá an toàn. Bộ tiêu chuẩn này gồm có 3 phần:

ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn

Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp ước lượng an toàn công nghệ thông tin. Tiêu chuẩn này được sử dụng cùng với các tiêu chí đánh giá an toàn trong bộ ISO/IEC 15408

Bộ tiêu chuẩn ISO/IEC TR 19791:2010 - Công nghệ thông tin - Các kỹ thuật an toàn - Đánh giá an toàn các hệ thống hoạt động. Tiêu chuẩn này cung cấp các hướng dẫn và tiêu chí cho việc ước lượng an toàn các hệ thống hoạt động. Tiêu chuẩn này mở rộng hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống hoạt động mà trong tiêu chuẩn ISO/IEC 15408 không được đề cập.

Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phương pháp đánh giá sự phù hợp đảm bảo an toàn. Bộ tiêu chuẩn này gồm 2 phần:

ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung đảm bảo an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung đảm bảo an toàn công nghệ thông tin - Phần 2: Các phân tích

Ngoài ra còn rất nhiều các tiêu chuẩn khác, tham khảo tại website: http://www.iso.org/

3.4 Tiêu chuẩn Mỹ

Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ ban hành hệ thống tiêu chuẩn SP 800 về an toàn máy tính [6].

6

http://www.iso.org/

SP 800-30 đưa ra hướng dẫn đánh giá rủi ro của hệ thống thông tin gồm 9 bước. Thông qua phân tích hiện trạng của hệ thống bao gồm mô tả hệ thống, những lần bị tấn công trong quá khứ, lỗ hổng bảo mật tồn tại, các biện pháp an toàn bảo mật đang dùng, từ đó xác định rủi ro và đánh giá ảnh hưởng của rủi ro tạo nên cho hệ thống, đồng thời đưa ra giải pháp nhằm giảm thiểu rủi ro.

SP 800-53 cung cấp những giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của chính phủ và các tổ chức khác, đồng thời đưa ra quy trình lựa chọn các giải pháp để bảo vệ hệ thống thông tin. Những biện pháp an toàn đáp ứng được những yêu cầu về an toàn và bảo mật của các tổ chức khác nhau. Tiêu chuẩn này cũng mô tả cách thức phát triển một nhóm các giải pháp (hay còn gọi là overlays), phù hợp với yêu cầu đặc thù của tổ chức. Các giải pháp được trình bày cả dưới góc độ chức năng (chức năng và cơ chế an toàn) lẫn dưới góc độ bảo đảm an toàn (kiểm tra đánh giá mức độ an toàn).

3.5 Tiêu chuẩn Việt Nam

Những năm gần đây, Việt Nam đã chú trọng xây dựng và ban hành hệ thống tiêu chuẩn liên quan đến an toàn thông tin. Ban đầu việc xây dựng các tiêu chuẩn chủ yếu tập trung vào các chuẩn liên quan đến từ vựng, khái niệm chung, kỹ thuật mật mã quản lý khoá. Những năm gần đây việc xây dựng tập trung vào hệ thống quản lý và đánh giá an toàn thông tin.

Đối với bộ tiêu chuẩn ISO/IEC 27000, Viêt Nam đã dịch ra tiếng Việt và ban hành một số tiêu chuẩn chính, trong đó có tiêu chuẩn TCVN 10541:2014 là bản dịch của tiêu chuẩn ISO/IEC 27003-2010 về hướng dẫn triển khai hệ thống quản lý an toàn thông tin.

Sau khi Nghị định 85 được ban hành từ 01/7/2016, Bộ Thông tin và Truyền thông cũng đang dự thảo các tiêu chuẩn liên quan, trong đó có tiêu chuẩn “Yêu cầu an toàn cơ bản cho các cấp độ an toàn hệ thống thông tin”.

Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo) đưa ra các yêu cầu an toàn cơ bản cho hệ thống thông tin theo mỗi cấp độ an toàn của hệ thống thông tin. Yêu cầu an toàn cơ bản cho hệ thống thông tin bao gồm hai nhóm yêu cầu: yêu cầu về kỹ thuật và yêu cầu về quản lý. Tài liệu này hiện vẫn đang được xây dựng, rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo) đưa ra các biện pháp bảo đảm an toàn thông tin theo cấp độ tương ứng với các yêu cầu trong Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo). Tài liệu này hiện vẫn đang được xây dựng, rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

7

Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp độ (dự thảo) đưa ra các yêu cầu đánh giá các biện pháp bảo đảm an toàn thông tin theo cấp độ tương ứng với các yêu cầu và biện pháp trong Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo) và Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo). Tài liệu này hiện vẫn đang được xây dựng, rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo) đưa ra các hướng dẫn về quy trình thực hiện kiểm tra đánh giá cấp độ. Tài liệu này hiện vẫn đang được xây dựng, rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

Các tiêu chuẩn trên cùng với tiêu chuẩn mà nhóm thực hiện đề tài nằm trong hệ thống các tiêu chuẩn về an toàn thông tin, có liên quan chặt chẽ với nhau. Hiện tại, các tiêu chuẩn trên vẫn trong quá trình xây dựng, tuy nhiên nhóm thực hiện đề tài vẫn thường xuyên trao đổi với nhóm xây dựng các tiêu chuẩn trên để trao đổi thông tin.

Một số tiêu chuẩn Việt Nam đã được ban hành (sắp xếp thứ tự theo năm ban hành):

TCVN 7326-1:2003 Thiết bị công nghệ thông tin. An toàn. Phần 1: Yêu cầu chung (IEC 60950-1:2001) TCVN 7563-8:2005 Công nghệ thông tin. Từ vựng. Phần 8: An toàn (ISO/IEC 02382-8:1998) TCVN 7562:2005 Công nghệ thông tin. Mã thực hành quản lý an toàn thông tin (ISO/IEC 17799:2000) TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số TCVN 7816:2007 Công nghệ thông tin. Kỹ thuật mật mã thuật toán mã dữ liệu AES TCVN 7818-2:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời gian. Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002) TCVN 7817-3:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá. Phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770-3:1999) TCVN 7817-1:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá. Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996) TCVN 7818-1:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời gian. Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002) TCVN 7563-14:2009 Công nghệ thông tin. Từ vựng. Phần 14: Độ tin cậy, khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)

8

TCVN 8051-1:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng công nghệ thông tin. Phần 1: Quản lý an toàn mạng (ISO/IEC 18028-1:2008) TCVN ISO/IEC 27001:2009 Công nghệ thông tin. Hệ thống quản lý an toàn thông tin. Các yêu cầu (ISO/IEC 27001:2005) TCVN 8051-2:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng công nghệ thông tin. Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028-2:2006) TCVN 7818-3:2010 Công nghệ thông tin. Kỹ thuật an toàn. Dịch vụ tem thời gian. Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009) TCVN 7817-4:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá. Phần 4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006) TCVN 7817-2:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá. Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008) TCVN ISO/IEC 27002:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005) TCVN 8709-1:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình tổng quát (ISO/IEC 15408-1:2009) TCVN 8709-2:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn (ISO/IEC 15408-2:2008) TCVN 8709-3:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn (ISO/IEC 15408-3:2008) TCVN 9801-1:2013 Công nghệ thông tin. Kỹ thuật an toàn an toàn mạng. Phần 1: tổng quan và khái niệm TCVN 9965:2013 Công nghệ thông tin. Kỹ thuật an toàn. Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009) TCVN Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu (ISO-IEC 27001-2009) TCVN Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Quy tắc thực hành quản lý an toàn thông tin (ISO-IEC 27002-2005) TCVN 10541:2014 Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (ISO-IEC 27003-2010)

9

TCVN 10542:2014 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đo lường (ISO-IEC 27004-2009) TCVN 10295:2014 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin (ISO-IEC 27005-2011)

4. GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO/IEC 27000

4.1 Bộ tiêu chuẩn ISO/IEC 27000

Bộ tiêu chuẩn an toàn thông tin ISO/IEC 27000 do Tổ chức tiêu chuẩn hóa quốc tế (ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) kết hợp xây dựng [5]. Hệ thống tiêu chuẩn ISO/IEC 27000 bao gồm nhiều tiêu chuẩn, hiện tại mới hoàn thành 14 tiêu chuẩn, trong đó các tiêu chuẩn liên quan trực tiếp đến nội dung nghiên cứu của đề tài bao gồm:

ISO/IEC 27000: Tổng quan và các thuật ngữ về Hệ thống quản lý an toàn thông tin. ISO/IEC 27000:2016 trình bày tổng quan về hệ thống quản lý an toàn thông tin (ISMS), các khái niệm và định nghĩa thường dùng trong hệ thống tiêu chuẩn cho ISMS. Tiêu chuẩn này thích hợp với bất kỳ loại hình và quy mô của tổ chức (ví dụ doanh nghiệp, cơ quan chính phủ, tổ chức phi chính phủ)

ISO/IEC 27001: Các yêu cầu (đối với Hệ thống quản lý an toàn thông tin). Mục tiêu của tiêu chuẩn này là đưa ra các tiêu chuẩn để xây dựng, triển khai, duy trì và liên tục cải tiến hệ thống quản lý an toàn thông tin ISMS. ISO/IEC 27001:2013 bao gồm các nội dung Giới thiệu về tổ chức; lãnh đạo an toàn thông tin; lập kế hoạch; hỗ trợ; vận hành; đánh giá; cải tiến.

ISO/IEC 27002: Các biện pháp kỹ thuật. Tiêu chuẩn này liệt kê hàng trăm biện pháp, cơ chế an toàn có thể được sử dụng để hướng dẫn thực hiện các yêu cầu liệt kê trong ISO/IEC 27001. ISO/IEC 27002:2013 bao gồm các nội dung: chính sách an toàn thông tin; tổ chức an toàn thông tin; an toàn người dùng; quản lý tài nguyên; điều khiển truy cập; mã hóa; an toàn vật lý; an toàn vận hành; an toàn truyền thông; an toàn hệ thống...

ISO/IEC 27003: Hướng dẫn thực hiện. Mục đích của tiêu chuẩn này là đưa ra hướng dẫn thực tế cho việc xây dựng hệ thống quản lý an toàn thông tin ISMS theo yêu cầu của tiêu chuẩn ISO/IEC 27001. ISO/IEC 27003:2010 bao gồm các nội dung: Phê duyệt chủ trương dự án ISMS; xác định phạm vi, chính sách ISMS; phân tích yêu cầu; đánh giá rủi ro; và thiết kế ISMS.

ISO/IEC 27004: Kiểm tra đánh giá. Tiêu chuẩn này đưa ra hướng dẫn trong việc xây dựng và triển khai kiểm tra đánh giá nhằm đảm bảo hệ thống ISMS đáp ứng các yêu

10

cầu trong ISO/IEC 27001. ISO/IEC 27004:2009 bao gồm các nội dung: Tổng quan về kiểm tra đánh giá; trách nhiệm quản lý của các bên; lập kế hoạch kiểm tra đánh giá; tiến hành đánh giá; phân tích dữ liệu và báo cáo; Đánh giá và cải tiến.

ISO/IEC 27005: Quản lý rủi ro. Tiêu chuẩn này hướng dẫn quản lý rủi ro đối với hệ thống thông tin trong tổ chức, hỗ trợ yêu cầu đối với hệ thống quản lý an toàn thông tin trong tiêu chuẩn ISO/IEC 27001. ISO/IEC 27005:2011 bao gồm các nội dung: đánh giá rủi ro; xử lý rủi ro; chấp nhận rủi ro; truyền thông rủi ro; giám sát và xem xét rủi ro...

4.2 Phân tích khả năng áp dụng ISO/IEC 27000 trong bảo vệ hệ thống thông tin theo cấp độ

4.2.1 Khái niệm ISMS

Theo [ISO/IEC 27000-2016, 3.1], các tổ chức thuộc các loại hình và quy mô đều có các nhiệm vụ:

a) thu thập, xử lý, lưu trữ và trao đổi thông tin;

b) nhận thức được rằng những thông tin đó và các quy trình, hệ thống, mạng lưới và con người liên quan đều là những tài sản quan trọng để đạt được mục tiêu của tổ chức;

c) phải đối mặt với một loạt các rủi ro có thể ảnh hưởng đến hoạt động của tài sản; và

d) giải quyết các rủi ro nhận biết được thông qua việc triển khai biện pháp kiểm soát an toàn thông tin.

Hệ thống quản lý an toàn thông tin (ISMS) bao gồm các chính sách, thủ tục, hướng dẫn và các nguồn lực và hoạt động liên quan, được quản lý chung bởi một tổ chức, để bảo vệ tài sản thông tin của mình. Một ISMS là một cách tiếp cận có hệ thống để thiết lập, thực hiện, vận hành, giám sát, soát xét, duy trì và cải thiện an toàn thông tin của tổ chức để đạt được mục tiêu nghiệp vụ.

4.2.2 Khái niệm Bảo đảm an toàn hệ thống thông tin theo cấp độ

Theo [Điều 3, 3. Luật ATTT mạng], hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

Theo [Điều 21 mục 1 Luật ATTT mạng], phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần

11

từ 1 đến 5 để áp dụng các biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.

Theo [Điều 22 Luật ATTT mạng], Nhiệm vụ bảo vệ hệ thống thông tin

1. Xác định cấp độ an toàn thông tin của hệ thống thông tin

2. Đánh giá và quản lý rủi ro an toàn hệ thống thông tin

3. Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin.

4. Tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin.

5. Thực hiện chế độ báo cáo theo quy định.

6. Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng.

Theo [Điều 23 Luật ATTT mạng], biện pháp bảo vệ hệ thống thông tin

1. Ban hành quy định về bảo đảm an toàn thông tin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.

2. Áp dụng biện pháp quản lý, kỹ thuật theo tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin mạng.

3. Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng.

4. Giám sát an toàn hệ thống thông tin.

Lưu ý là Mục 1 của Luật ATTT mạng là Bảo vệ thông tin mạng. Mục 3 của Luật là Bảo vệ hệ thống thông tin. Như vậy khái niệm bảo vệ hệ thống thông tin và khái niệm bảo vệ thông tin là hai khái niệm khác nhau. ISMS là bảo vệ thông tin.

4.2.3 Khả năng áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp độ

Từ các phân tích trên có thể đưa ra một số luận điểm sau:

1. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu dùng để lưu trữ, xử lý và trao đổi thông tin [Luật ATTT mạng, Điều 3, 3.].

2. Bảo vệ hệ thống thông tin là một phần của bảo vệ thông tin. Nếu hệ thống thông tin không an toàn thì thông tin cũng sẽ không an toàn.

3. ISMS là bảo vệ thông tin [ISO/IEC 27000-2016, 3.1].

4. Như vậy bảo vệ hệ thống thông tin là một phần của ISMS.

5. Có thể dùng ISMS để bảo vệ hệ thống thông tin.

12

Như vậy có thể áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp độ.

Trên thực tế, Tổ công tác xây dựng tiêu chuẩn an toàn thông tin của Bộ Thông tin và Truyền thông đang dựa trên bộ tiêu chuẩn ISO/IEC 27000 để xây dựng bộ tiêu chuẩn bảo vệ hệ thống thông tin theo cấp độ với định hướng như sau:

Bảng 1. Dự kiến các tiêu chuẩn tham chiếu cho bộ tiêu tiêu chuẩn bảo vệ hệ thống thông tin theo

cấp độ

Bảo vệ hệ thống thông tin theo cấp độ Dự kiến tiêu chuẩn tham chiếu

Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo)

Tiêu chuẩn ISO/IEC 27001

Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo)


Tài liệu hướng dẫn thực hiện bảo vệ hệ thống thông tin theo cấp độ (dự thảo)


Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp độ (dự thảo)

Tiêu chuẩn ISO/IEC 27004 (Nội dung xây dựng phép đo)

Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo)

Tiêu chuẩn ISO/IEC 27004 (Nội dung quy trình kiểm tra đánh giá)

5. GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU TCVN 10541:2014 (ISO/IEC 27003:2010)

5.1 Mục tiêu của tiêu chuẩn

Tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) tập trung vào các khía cạnh then chốt để thiết kế và triển khai thành công một hệ thống quản lý an toàn thông tin (ISMS) theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005). Tiêu chuẩn này mô tả quy trình đặc tả và thiết kế ISMS từ lúc khởi đầu đến khi đưa ra các kế hoạch triển khai. Tiêu chuẩn này cũng mô tả quy trình để được ban quản lý phê chuẩn cho triển khai ISMS, xác định một dự án triển khai ISMS (trong tiêu chuẩn này được gọi là dự án ISMS), và đưa ra hướng dẫn lập kế hoạch dự án ISMS để có được kế hoạch triển khai dự án ISMS chính thức.

13

5.2 Phạm vi tiêu chuẩn

Tiêu chuẩn này dành cho các tổ chức triển khai ISMS. Tiêu chuẩn này có thể áp dụng cho tất cả các tổ chức ở mọi loại hình (ví dụ, các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận) với đủ loại quy mô. Mỗi tổ chức có tính phức tạp và các rủi ro riêng, và các yêu cầu cụ thể của tổ chức sẽ chi phối việc triển khai ISMS. Các tổ chức có quy mô nhỏ sẽ nhận thấy các hoạt động được đưa ra trong tiêu chuẩn này đều có thể áp dụng cho họ và có thể được đơn giản hóa hơn nữa. Các tổ chức phức hợp hoặc quy mô lớn có thể nhận thấy cần phải có một hệ thống quản lý hoặc tổ chức theo phân cấp để quản lý các hoạt động trong tiêu chuẩn này một cách hiệu quả. Tuy nhiên, cả hai loại tổ chức đều có thể áp dụng tiêu chuẩn này để lập kế hoạch cho các hoạt động phù hợp.

5.3 Cấu trúc tiêu chuẩn

Tiêu chuẩn này gồm 9 điều và 5 phụ lục cụ thể như sau:

Điều 1 Phạm vi áp dụng

Điều 2 Tài liệu viện dẫn

Điều 3 Thuật ngữ và định nghĩa

Điều 4 Các thuật ngữ viết tắt

Điều 5 Phê chuẩn cho khởi động dự án ISMS. Mục tiêu là được ban quản lý phê chuẩn cho khởi động dự án ISMS thông qua việc xác định tình huống nghiệp vụ và kế hoạch dự án.

Điều 6 Xác định phạm vi ISMS và chính sách ISMS. Mục tiêu là xác định phạm vi chi tiết và các giới hạn của ISMS, xây dựng chính sách ISMS, và được ban quản lý phê chuẩn.

Điều 7 Tiến hành phân tích các yêu cầu an toàn thông tin. Mục tiêu là xác định các yêu cầu phù hợp sẽ được hỗ trợ bởi ISMS, xác định các tài sản thông tin, và đạt được trạng thái an toàn thông tin hiện tại trong phạm vi.

Điều 8 Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro. Mục tiêu là xác định phương pháp đánh giá rủi ro, xác định, phân tích và ước lượng rủi ro an toàn thông tin để chọn lựa cách xử lý rủi ro, mục tiêu quản lý và biện pháp quản lý.

Điều 9 Thiết kế ISMS. Mục tiêu là hoàn thiện kế hoạch triển khai ISMS chính thức bằng cách: thiết kế an toàn về tổ chức dựa trên các phương án xử lý rủi ro được chọn và các yêu cầu liên quan đến việc lập hồ sơ và tài liệu, thiết kế các biện pháp quản lý phối

14

hợp cung cấp sự an toàn cho ICT, các quy trình vật lý và tổ chức, và thiết kế yêu cầu cụ thể về ISMS.

Phụ lục A – Tóm tắt các hoạt động có tham chiếu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005)

Phụ lục B – Các vai trò và trách nhiệm về an toàn thông tin

Phụ lục C – Thông tin về lập kế hoạch đánh giá nội bộ

Phụ lục D – Cấu trúc các chính sách

Phụ lục E – Thông tin về lập kế hoạch giám sát và đo lường.

6. DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN XXX-2018

6.1 Lý do xây dựng tiêu chuẩn

Luật an toàn thông tin mạng quy định bảo vệ hệ thống thông tin theo cấp độ, trong đó phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp cấp độ.

Để triển khai bảo vệ an toàn hệ thống thông tin theo cấp độ theo quy định của Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Hiện tại Việt Nam chưa có hướng dẫn thực hiện Nghị định số 85/2016/NĐ-CP. Tiêu chuẩn này hướng dẫn thực hiện bảo vệ hệ thống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.

6.2 Nhu cầu thực tế và khả năng áp dụng

Việc bảo vệ hệ thống thông tin đáp ứng các yêu cầu an toàn cơ bản theo cấp độ theo quy định là một nhu cầu cần thiết trên thực tế. Tiêu chuẩn giúp cho các cơ quan, tổ chức, cá nhân xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam, đảm bảo an toàn theo cấp độ quy định, phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.

6.3 Mục đích xây dựng tiêu chuẩn

Xây dựng tiêu chuẩn nhằm hướng dẫn thực hiện Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ.

15

6.4 Sở cứ xây dựng tiêu chuẩn

Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn TCVN 10541:2014, hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27003:2010. Đây cũng là tài liệu đã được nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương.

Các phân tích liên quan đến việc sử dụng tiêu chuẩn ISO/IEC 27003:2010 làm tiêu chuẩn tham chiếu cho tiêu chuẩn này đã được trình bày chi tiết ở mục 4.2.

6.5 Phương pháp xây dựng tiêu chuẩn

6.5.1 Nguyên tắc chung

Trên cơ sở các quy định về đảm bảo an toàn hệ thống thông tin theo cấp độ của Luật An toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP, các phương pháp xây dựng các tiêu chuẩn/quy chuẩn, Tiêu chuẩn này được xây dựng trên các nguyên tắc chung như sau:

1) Theo phân tích ở mục 4.2.3, bảo vệ hệ thống thông tin là một phần của hệ thống quản lý an toàn thông tin ISMS, vì vậy có thể dùng tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin làm cơ sở để xây dựng hướng dẫn thực hiện bảo vệ hệ thống thông tin.

2) Bổ sung, chỉnh sửa thêm các hướng dẫn vào tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) để thực hiện bảo vệ hệ thống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.

6.5.2 Các nội dung chỉnh sửa, bổ sung

Như phân tích ở trên hệ thống quản lý an toàn thông tin ISMS đã bao trùm bảo vệ hệ thống thông tin. Do đó có thể nói nếu thực hiện theo hướng dẫn trong tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) thì cũng đã thực hiện bảo vệ hệ thống thông tin, tuy nhiên có hai vấn đề tồn tại:

a) ISMS có phạm vi rộng, người sử dụng khó xác định nội dung nào là trực tiếp dùng cho bảo vệ hệ thống thông tin;

b) Đối với các nội dung trực tiếp dùng cho bảo vệ hệ thống thông tin, vấn chưa có nội dung về bảo vệ hệ thống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.

Vì vậy, các nội dung chỉnh sửa bổ sung cũng thuộc hai nhóm chính, lần lượt giải quyết hai vấn đề trên:

16

Nhóm 1: Hướng dẫn bổ sung giúp người sử dụng xác định nội dung nào là trực tiếp dùng cho bảo vệ hệ thống thông tin, giúp người dùng thực hiện bảo vệ hệ thống thông tin.

Nhóm 2: Hướng dẫn bổ sung đưa thêm những nội dung về bảo vệ hệ thống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP, giúp người dùng thực hiện bảo vệ hệ thống thông tin theo cấp độ.

Đối với nội dung thuộc nhóm 2, một số nội dung phải viện dẫn nội dung từ các tiêu chuẩn khác bao gồm:

a) Nội dung Xác định các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ đã được xác định (nằm trong hoạt động 7.2 - Xác định yêu cầu) cần viện dẫn Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo);

b) Nội dung Đánh giá an toàn đối với hệ thống thông tin (nằm trong hoạt động 7.4 - Kiểm tra đánh giá) cần viện dẫn Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo); Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp độ (dự thảo); và Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo);

c) Nội dung Lựa chọn các mục tiêu và biện pháp bảo đảm an toàn hệ thống thông tin (nằm trong hoạt động 8.3 - Chọn lựa biện pháp BVHTTT) cần viện dẫn Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo);

d) Nội dung Thiết kế bảo vệ hệ thống thông tin (nằm trong hoạt động 9 – Thiết kế và thực thi) cần viện dẫn Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo);

e) Các nội dung Bảo trì và Chấm dứt hệ thống thông tin được bổ sung trong hoạt động 10 - Vận hành;

Các nội dung trên hiện tại đang tạm thời được xây dựng dựa trên giả thuyết là các tài liệu viện dẫn sẽ được xây dựng tương đương với các tài liệu trong bộ ISO/IEC 27000 như đối chiếu trong Bảng 1. Nếu sau này, các tài liệu viện dẫn đó được công bố, tiêu chuẩn này cần được chỉnh sửa cho phù hợp với thực tế.

6.6 Các nội dung dự thảo tiêu chuẩn quốc gia

6.6.1 Các nội dung trong từng hoạt động cụ thể

Các nội dung trong từng hoạt động cụ thể được tổng hợp trong Bảng 2.

Bảng 2. Các nội dung trong từng hoạt động cụ thể

17

Giai đoạn / Hoạt động Đầu vào Đầu ra

5 Khởi động

5.2 Xác định mục

tiêu của tổ chức đối với

BVHTTT

Mục tiêu chiến lược của tổ

chức;

Tổng quan về các các biện

pháp bảo đảm an toàn hệ

thống thông tin hiện có

Mục tiêu của tổ chức đối với

BVHTTT

5.3 Xác định phạm vi BVHTTT sơ bộ

5.3.1 Xác định phạm vi

sơ bộ của hệ thống

thông tin

Mục tiêu của tổ chức đối

với BVHTTT

Phạm vi sơ bộ của hệ thống thông

tin

5.3.2 Xác định vai trò

và trách nhiệm đối với

BVHTTT

Phạm vi sơ bộ của hệ

thống thông tin;

Danh sách các bên liên

quan đến BVHTTT

Vai trò và trách nhiệm đối với

BVHTTT

5.4 Đề xuất dự án

BVHTTT ban đầu

Mục tiêu của tổ chức đối

với BVHTTT;

Phạm vi sơ bộ của hệ

thống thông tin;

Vai trò và trách nhiệm đối

với BVHTTT

Bản đề xuất dự án BVHTTT ban

đầu

6 Xác định phạm vi, cấp độ

6.2 Xác định phạm vi

và giới hạn về tổ chức

Bản đề xuất dự án

BVHTTT ban đầu

Phạm vi và giới hạn về tổ chức

đối với hệ thống thông tin;

18

Các biện pháp bảo đảm an toàn

về tổ chức đối với hệ thống thông

tin hiện đang được sử dụng


và giới hạn về công

nghệ thông tin và truyền

thông (ICT)


BVHTTT ban đầu;

Phạm vi và giới hạn về tổ

chức đối với hệ thống

thông tin

Phạm vi và giới hạn về ICT đối

với hệ thống thông tin;


về ICT đối với hệ thống thông tin

hiện đang được sử dụng


và giới hạn vật lý


BVHTTT ban đầu;



thông tin;

Phạm vi và giới hạn về

ICT đối với hệ thống

thông tin

Phạm vi và giới hạn về vật lý đối

với hệ thống thông tin;


về vật lý đối với hệ thống thông

tin hiện đang được sử dụng

6.5 Tổng hợp phạm

vi và giới hạn của hệ

thống thông tin


BVHTTT ban đầu;



thông tin;

Các biện pháp bảo đảm an

toàn về tổ chức đối với hệ

thống thông tin hiện đang

được sử dụng;

Phạm vi và giới hạn về

ICT đối với hệ thống

Phạm vi và giới hạn của hệ thống

thông tin;


đối với hệ thống thông tin hiện

đang được sử dụng

19

thông tin;


toàn về ICT đối với hệ


được sử dụng;

Phạm vi và giới hạn về vật

lý đối với hệ thống thông

tin;


toàn về vật lý đối với hệ


được sử dụng

6.6 Xác định cấp độ

của hệ thống thông tin

Phạm vi và giới hạn của

hệ thống thông tin

Cấp độ của hệ thống thông tin

6.7 Xây dựng chính

sách tổng thể BVHTTT


BVHTTT ban đầu;

Phạm vi và giới hạn của

hệ thống thông tin;

Cấp độ của hệ thống thông

tin

Chính sách tổng thể BVHTTT

7 Phân tích yêu cầu

7.2 Xác định yêu cầu Chính sách tổng thể

BVHTTT

Yêu cầu đối với BVHTTT

7.3 Xác định tài sản

thông tin

Chính sách tổng thể

BVHTTT

Yêu cầu đối với BVHTTT

Danh mục tài sản thông tin

20

7.4 Kiểm tra đánh

giá


BVHTTT;


toàn đối với hệ thống

thông tin hiện đang được

sử dụng;

Yêu cầu đối với

BVHTTT;

Danh mục tài sản thông

tin

Kết quả kiểm tra đánh giá

8 Quản lý rủi ro

8.2 Tiến hành đánh

giá rủi ro


BVHTTT;

Kết quả kiểm tra đánh giá

Tài liệu mô tả phương pháp đánh

giá rủi ro;

Kết quả từ đánh giá rủi ro

8.3 Chọn lựa biện

pháp BVHTTT

Kết quả đánh giá rủi ro Các biện pháp BVHTTT;

Kế hoạch xử lý rủi ro

8.4 Lập kế hoạch

triển khai BVHTTT


BVHTTT ban đầu;


BVHTTT;

Tài liệu mô tả phương

pháp đánh giá rủi ro;

Kết quả đánh giá rủi ro;

Các biện pháp BVHTTT;

Kế hoạch xử lý rủi ro

Kế hoạch triển khai BVHTTT

21

9 Thiết kế và thực thi

9.2 Thiết kế về tổ chức

9.2.1 Thiết kế cơ cấu

tổ chức cho BVHTTT


BVHTTT ban đầu;


BVHTTT;

Kết quả kiểm tra đánh giá;

Kế hoạch triển khai

BVHTTT

Cơ cấu tổ chức cho BVHTTT

9.2.2 Thiết kế cấu trúc

khung hệ thống tài liệu

cho BVHTTT


BVHTTT;


BVHTTT;

Cơ cấu tổ chức cho

BVHTTT

Cấu trúc khung hệ thống tài liệu

cho BVHTTT

9.2.3 Thiết kế chính

sách BVHTTT


BVHTTT ban đầu;


BVHTTT;



BVHTTT;


BVHTTT;

Cấu trúc khung hệ thống

Chính sách BVHTTT

22

tài liệu cho BVHTTT

9.2.4 Xây dựng các

quy trình và thủ tục


BVHTTT;


BVHTTT;


BVHTTT;

Cấu trúc khung hệ thống

tài liệu cho BVHTTT

Tài liệu thiết kế về tổ chức cho

BVHTTT

9.3 Thiết kế về vật lý

và ICT


BVHTTT;



BVHTTT

Tài liệu thiết kế về vật lý và ICT

cho BVHTTT

9.4 Tổng hợp tài liệu

thiết kế

Chính sách BVHTTT;

Tài liệu thiết kế về tổ chức

cho BVHTTT;

Tài liệu thiết kế về vật lý

và ICT cho BVHTTT

Thiết kế chi tiết BVHTTT

9.5 Thực thi Thiết kế chi tiết BVHTTT Các biện pháp bảo đảm an toàn

hệ thống thông tin được thực thi.

10 Vận hành

10.2 Soát xét Chính sách BVHTTT;


BVHTTT

Kế hoạch soát xét

23

10.3 Chương trình tập

huấn

Chính sách BVHTTT;

Yêu cầu đối với

BVHTTT;

Kế hoạch xử lý rủi ro;


BVHTTT;

Tài liệu thiết kế về tổ chức

cho BVHTTT;

Các tài liệu giáo dục, đào tạo và

nâng cao nhận thức về an toàn

thông tin;

Đội ngũ thực hiện giáo dục, đào

tạo và nâng cao nhận thức về an

toàn thông tin, bao gồm các vai

trò và trách nhiệm;

Các kế hoạch giáo dục, đào tạo và

nâng cao nhận thức về an toàn

thông tin;

Các hồ sơ thực tế thể hiện các kết

quả của công tác giáo dục, đào

tạo và nâng cao nhận thức về an

toàn thông tin cho các nhân viên.

10.4 Hủy bỏ Danh mục tài sản thông

tin;

Danh mục thiết bị phần

cứng, phần mềm;

Danh mục thiết bị lưu trữ

Tài liệu, hồ sơ xử lý dữ liệu và

thiết bị

6.6.2 Đối chiếu với tiêu chuẩn tham chiếu

Kết quả đối chiếu tiêu chuẩn tham chiếu được trình bày trong Bảng 3.

Bảng 3. Kết quả đối chiếu tiêu chuẩn tham chiếu

STT Nội dung tiêu chuẩn Tài liệu tham chiếu

TCVN 10541:2014 (ISO/IEC 27003:2010)

Sửa đổi, bổ sung

1 Phạm vi áp dụng Phạm vi áp dụng Có sửa đổi, bổ sung

24


TCVN 10541:2014 (ISO/IEC 27003:2010)


2 Tài liệu viện dẫn Tài liệu viện dẫn Có sửa đổi, bổ sung

3 Thuật ngữ và định nghĩa Thuật ngữ và định nghĩa Có sửa đổi, bổ sung

4 Cấu trúc tiêu chuẩn Cấu trúc tiêu chuẩn Có sửa đổi, bổ sung

4.1 Cấu trúc chung của các điều Cấu trúc chung của các điều

Có sửa đổi, bổ sung

4.2 Cấu trúc chung của từng điều Cấu trúc chung của từng điều


4.3 Biểu đồ Biểu đồ Có sửa đổi, bổ sung

5 Khởi động Phê chuẩn cho khởi động dự án ISMS


5.1 Tổng quan về giai đoạn khởi động

Tổng quan về cách thức để được phê chuẩn cho khởi động dự án ISMS


5.2 Xác định mục tiêu của tổ chức đối với BVHTTT

Làm rõ các ưu tiên của tổ chức cho phát triển ISMS


5.3 Xác định phạm vi BVHTTT sơ bộ

Xác định phạm vi ISMS sơ bộ


5.3.1

Xác định phạm vi sơ bộ của hệ thống thông tin

Phát triển phạm vi ISMS sơ bộ


5.3.2

Xác định vai trò và trách nhiệm đối với BVHTTT

Xác định vai trò và trách nhiệm đối với phạm vi


25


TCVN 10541:2014 (ISO/IEC 27003:2010)


ISMS sơ bộ

5.4 Đề xuất dự án BVHTTT ban đầu

Xây dựng tình huống nghiệp vụ và kế hoạch dự án trình ban quản lý phê chuẩn


6 Xác định phạm vi, cấp độ Xác định phạm vi, các giới hạn và chính sách ISMS


6.1 Tổng quan về giai đoạn xác định phạm vi, cấp độ

Tổng quan về xác định phạm vi, các giới hạn và chính sách ISMS


6.2 Xác định phạm vi và giới hạn về tổ chức

Xác định phạm vi và các giới hạn về tổ chức


6.3 Xác định phạm vi và giới hạn về công nghệ thông tin và truyền thông (ICT)

Xác định phạm vi và các giới hạn về công nghệ thông tin và truyền thông (ICT)


6.4 Xác định phạm vi và giới hạn vật lý

Xác định phạm vi và các giới hạn vật lý


6.5 Tổng hợp phạm vi và giới hạn của hệ thống thông tin

Phối hợp phạm vi và các giới hạn để nhận được phạm vi và các giới hạn ISMS


6.6 Xác định cấp độ của hệ thống thông tin

Có bổ sung

6.7 Xây dựng chính sách tổng thể BVHTTT

Phát triển chính sách Có sửa đổi, bổ sung

26


TCVN 10541:2014 (ISO/IEC 27003:2010)


ISMS và được ban quản lý phê chuẩn

7 Phân tích yêu cầu Tiến hành phân tích các yêu cầu an toàn thông tin


7.1 Tổng quan về giai đoạn phân tích yêu cầu

Tổng quan về tiến hành phân tích các yêu cầu an toàn thông tin


7.2 Xác định yêu cầu Xác định các yêu cầu an toàn thông tin cho quy trình ISMS


7.3 Xác định tài sản thông tin Xác định các tài sản thuộc phạm vi ISMS


7.4 Kiểm tra đánh giá Tiến hành đánh giá an toàn thông tin


8 Quản lý rủi ro Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro


8.1 Tổng quan về giai đoạn quản lý rủi ro

Tổng quan về tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro


8.2 Tiến hành đánh giá rủi ro Tiến hành đánh giá rủi ro Có sửa đổi, bổ sung

8.3 Chọn lựa biện pháp BVHTTT Chọn lựa mục tiêu và biện pháp quản lý


8.4 Lập kế hoạch triển khai BVHTTT

Phê chuẩn cho triển khai Có sửa đổi, bổ sung

27


TCVN 10541:2014 (ISO/IEC 27003:2010)


và vận hành ISMS

9 Thiết kế và thực thi Thiết kế ISMS Có sửa đổi, bổ sung

9.1 Tổng quan về giai đoạn thiết kế và thực thi

Tổng quan về thiết kế ISMS


9.2 Thiết kế về tổ chức Thiết kế an toàn thông tin về tổ chức


9.2.1

Thiết kế cơ cấu tổ chức cho BVHTTT

Thiết kế cơ cấu tổ chức chính thức cho an toàn thông tin


9.2.2

Thiết kế cấu trúc khung hệ thống tài liệu cho BVHTTT

Thiết kế cấu trúc khung hệ thống tài liệu về ISMS


9.2.3

Thiết kế chính sách BVHTTT Thiết kế chính sách an toàn thông tin


9.2.4

Xây dựng các quy trình và thủ tục

Phát triển các tiêu chuẩn và thủ tục an toàn thông tin


9.3 Thiết kế về vật lý và ICT Thiết kế an toàn thông tin vật lý và ICT


9.4 Tổng hợp tài liệu thiết kế Đưa ra kế hoạch dự án ISMS chính thức


9.5 Thực thi Có bổ sung

10 Vận hành Có bổ sung

10.2 Soát xét Lập kế hoạch soát xét Có sửa đổi, bổ sung

28


TCVN 10541:2014 (ISO/IEC 27003:2010)


của ban quản lý

10.3 Chương trình tập huấn Thiết kế chương trình giáo dục, đào tạo và nâng cao nhận thức về an toàn thông tin


10.4 Hủy bỏ Có sửa đổi, bổ sung

Phụ lục A

Danh sách các hoạt động Danh sách các hoạt động Có sửa đổi, bổ sung

Phụ lục B

Các vai trò và trách nhiệm về BVHTTT

Các vai trò và trách nhiệm về an toàn thông tin


Thư mục tài liệu tham khảo Thư mục tài liệu tham khảo


6.6.3 Kết quả đối chiếu với nội dung trong đề cương

Kết quả đối chiếu những nội dung đã thực hiện đối với đề cương nghiên cứu được trình bày trong Bảng 4.

Bảng 4. Đối chiếu với nội dung trong đề cương

TT Nội dung trong đề cương Nội dung trong tiêu chuẩn

Nội dung trong thuyết minh tiêu chuẩn

1 Rà soát hệ thống tiêu chuẩn quốc gia về an toàn thông tin

3.5 Tiêu chuẩn Việt Nam

5. Giới thiệu về tiêu chuẩn tham chiếu TCVN 10541:2014

29

2 Nghiên cứu một số tài liệu tham khảo quốc tế liên quan

3.3 Tiêu chuẩn quốc tế

3.4 Tiêu chuẩn Mỹ

4. Giới thiệu về bộ tiêu chuẩn ISO/IEC 27000

3 Nguyên tắc chung thực hiện bảo vệ hệ thống thông tin

3. Thuật ngữ và định nghĩa

4. Cấu trúc tiêu chuẩn

Phụ lục B: Các vai trò và trách nhiệm

4 Thực hiện phân cấp độ hệ thống thông tin

6.6 Xác định cấp độ của hệ thống thông tin

5 Kế hoạch bảo vệ hệ thống thông tin

5 Khởi động

6 Xác định phạm vi, cấp độ

7 Phân tích yêu cầu

8 Quản lý rủi ro

6 Thiết kế tổng thể hệ thống bảo vệ hệ thống thông tin

9 Thiết kế và thực thi

7 Thực hiện bảo vệ hệ thống thông tin

9.5 Thực thi

8 Bảo trì hệ thống thông tin 10 Vận hành

9 Chấm dứt hệ thống thông tin

10.4 Hủy bỏ

30

7. KẾT LUẬN

7.1 Đánh giá những kết quả đạt được

Nhóm thực hiện đề tài đã tiến hành nghiên cứu tổng quan về cách thức xây dựng tiêu chuẩn cũng như các nguyên tắc xây dựng tiêu chuẩn, nghiên cứu tổng quan về hệ thống tiêu chuẩn quốc tế ISO và một số quốc gia trong đó có Việt Nam, Hoa Kỳ, từ đó đưa ra phương án xây dựng tiêu chuẩn. Hiện tại đã thực hiện được tất cả nội dung của tiêu chuẩn.

7.2 Thuận lợi và khó khăn

Trong quá trình thực hiện, nhóm thực hiện đề tài đã nhận được sự chỉ đạo sát sao của Bộ TTTT, sự ủng hộ của đơn vị chủ quản, và ý kiến góp ý của các chuyên gia trong ngành. Các thành viên trong nhóm có kỹ năng nghiên cứu tài liệu nước ngoài tốt.

Khó khăn là các tiêu chuẩn mà nhóm đang xây dựng nằm trong một hệ thống tiêu chuẩn quốc gia, trong đó các tiêu chuẩn có liên quan đến nhau, viện dẫn lẫn nhau, vì vậy, trong quá trình xây dựng phải thường xuyên trao đổi với các nhóm xây dựng tiêu chuẩn khác, đảm bảo các tiêu chuẩn được xây dựng đồng bộ, theo đúng quan điểm chỉ đạo của Lãnh đạo Bộ TTTT, đáp ứng được yêu cầu của Việt Nam và phản ánh được những thành tựu, kinh nghiệm mới nhất của thế giới.

7.3 Kiến nghị, đề xuất

Kết quả nghiên cứu của đề tài có thể tiếp tục được xin ý kiến đóng góp của các chuyên gia, sau khi các tiêu chuẩn viện dẫn bắt buộc được ban hành, tiếp tục chỉnh sửa thành dự thảo tiêu chuẩn trước khi chuyển sang các cấp có thẩm quyền thẩm định và phê duyệt.

8. TÀI LIỆU THAM KHẢO

[1] Quốc hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam Khóa XIII, “Luật an toàn thông tin mạng,” Luật số 86/2015/QH13, 2015

[2] Chính phủ Nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, “Nghị định về đảm bảo an toàn hệ thống thông tin theo cấp độ,” Nghị định số 85/2016/NĐ-CP

[3] Tài liệu giảng dạy về Xây dựng tiêu chuẩn do PGS.TS Lê Hữu Lập, Học viện CNBCVT cung cấp.

[4] Tài liệu mô tả các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ (dự thảo).

[5] ISO/IEC 27000, http://www.iso.org

31

[6] SP 800, http://csrc.nist.gov/publications/PubsSPs.html#SP 800

32

bỘ thÔng tin vÀ truyỀn thÔng - mic.gov.vn · web viewĐiều 2 tài liệu viện dẫn...

Documents