TIÊU CHUẨN CƠ SỞ HIỆP HỘI AN TỒN THƠNG TIN VIỆT NAM TCCS 01 : 2019/VNISA Xuất lần 01 TIÊU CHUẨN KỸ THUẬT VỀ GIẢI PHÁP HÓA ĐƠN ĐIỆN TỬ AN TOÀN HÀ NỘI - 2019 MỤC LỤC LỜI NÓI ĐẦU GIỚI THIỆU Phạm vi đối tượng áp dụng Tài liệu tham chiếu Thuật ngữ viết tắt Nội dung Tiêu chuẩn kỹ thuật 4.1 4.2 4.3 Mô tả chung Các phương pháp đánh giá đo lường chuẩn Mô tả chi tiết yêu cầu bắt buộc Phụ lục 18 5.1 Mẫu đánh giá Chức năng, nghiệp vụ Giải pháp 18 5.2 Mẫu đánh giá an tồn thơng tin hệ thống máy chủ 20 5.3 Mẫu đánh giá Phần mềm, ứng dụng 25 5.4 Mẫu đánh giá an tồn thơng tin vật lý 30 5.5 Mẫu đánh giá tổ chức, nhân tiêu chí khác 32 LỜI NÓI ĐẦU TCCS 01: 2019/VNISA – Tiêu chuẩn kỹ thuật Giải pháp hóa đơn điện tử an tồn Hiệp hội An tồn thơng tin Việt Nam biên soạn công bố Câu lạc Chữ ký số Giao dịch điện tử Việt Nam (VCDC) đơn vị giúp Hiệp hội xây dựng nội dung Tiêu chuẩn TCCS 01: 2019/VNISA xây dựng sở tham khảo tài liệu TCVN 11930 Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu an tồn hệ thống thơng tin theo cấp độ, văn quy phạm pháp luật liên quan tới phạm vi tiêu chuẩn GIỚI THIỆU Hóa đơn lĩnh vực quan trọng lĩnh vực tài chính, sở để tính tốn tiền thuế mà doanh nghiệp, cá nhân cần hoàn thành nghĩa vụ nộp thuế với nhà nước Hệ thống cung cấp Dịch vụ hóa đơn điện tử hệ thống quan trọng hệ thống quản lý liệu hóa đơn điện tử doanh nghiệp nhiều năm Giải pháp Hóa đơn điện tử an toàn cần phải đảm bảo tiêu chí nghiệp vụ, tiêu chí an tồn thơng tin (ATTT) đảm bảo hạn chế đến mức cao rủi ro liên quan tới liệu hóa đơn doanh nghiệp Theo đề xuất Câu lạc Chữ ký số Giao dịch điện tử Việt Nam, Hiệp hội An tồn Thơng tin Việt Nam (VNISA) ban hành tiêu chuẩn kỹ thuật (TCKT) giải pháp Hóa đơn điện tử (HĐĐT) an tồn với mục đích đưa tiêu chí tối thiểu mà giải pháp Hóa đơn điện tử nên có để đáp ứng: - Các quy định Nhà nước ATTT - Các yêu cầu khách hàng ATTT - Các tiêu chí an tồn thơng tin áp dụng cho hệ thống phần mềm VNISA Bộ TCKT làm sở cho việc đánh giá, công nhận giải pháp HĐĐT đạt tiêu chuẩn ATTT theo tiêu chí VNISA Bộ TCKT bao gồm 05 phần: - Phần 1: Phạm vi đối tượng áp dụng - Phần 2: Tài liệu liên quan - Phần 3: Thuật ngữ viết tắt - Phần 4: Nội dung Tiêu chuẩn kỹ thuật - Phần 5: Phụ lục Hệ thống cung cấp dịch vụ HĐĐT VNISA định nghĩa tương đương với hệ thống thông tin cấp độ (level 3) hệ thống mà bị phá hoại làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại tới quốc phòng, anh ninh quốc gia (TCVN 11930) Các TCKT sử dụng để đánh giá giải pháp HĐĐT an tồn kế thừa có bổ sung TCKT liên quan, phù hợp mặt tổng thể với quy định nhà nước lĩnh vực Hệ thống đánh giá Đạt khi: Đáp ứng 100% yêu cầu TCKT Phạm vi đối tượng áp dụng - Phạm vi: + Tài liệu áp dụng hoạt động kiểm tra, đánh giá, chứng nhận truyền thông, đào tạo VNISA VNISA sử dụng tài liệu tiêu chuẩn sở Hiệp hội hoạt động chuyên môn theo quy định pháp luật + Tài liệu có tính chất tham khảo để tổ chức, cá nhân vận dụng vào hoạt động xây dựng, lựa chọn, hoàn thiện giải pháp HĐĐT - Đối tượng áp dụng: + Các tổ chức, cá nhân thành viên VNISA có liên quan lĩnh vực cần tuân thủ chấp hành nội dung đề cập TCCS + Các Doanh nghiệp, cá nhân, tổ chức sử dụng tài liệu tham khảo việc xây dựng, lựa chọn, đánh giá tính ATTT giải pháp HĐĐT an tồn Tài liệu tham chiếu - Nghị định 26/2007/NĐ-CP Quy định thi hành luật giao dịch điện tử Chữ ký số Dịch vụ Chứng thực Chữ ký số - Thông tư 06/2015/TT-BTTTT Quy định danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số - Thông tư 32/2011/TT-BTC Hướng dẫn khởi tạo, phát hành sử dụng Hóa đơn điện tử bán hàng hóa cung ứng dịch vụ - Nghị Định 119/2018/NĐ-CP Quy định hóa đơn điện tử bán hàng hóa, cung cấp dịch vụ - TCVN 11930: 2017 Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu an tồn hệ thống thơng tin theo cấp độ Thuật ngữ viết tắt ATTT An tồn thơng tin CSDL CCID (protocol) FIPS Cơ sở liệu (Database) Chuẩn giao thức USB cho phép thiết bị thẻ thông minh kết nối với máy tính qua giao diện USB (Chip card interface device) Là tiêu chuẩn Chính phủ liên bang Hoa Kỳ phát triển công bố sử dụng hệ thống máy tính quan phi phủ nhà thầu phủ (Federal Information Processing Standard) HĐĐT Hóa đơn điện tử HSM HA IP Thiết bị phần cứng bảo mật chuyên dụng dùng để tạo, lưu trữ bảo vệ khóa quan trọng CA SubCA (Hardware Security Module) Là đặc điểm hệ thống nhằm đảm bảo mức độ hiệu hoạt động đảm bảo khoảng thời gian hoạt động bình thường thời gian cao tải (High Availability) Mã bảo vệ quốc tế (International Protection) NĐ NĐ-CP PC PCCC SHA TCKT TCVN TT-BTTTT TT TT-BTC Nghị định Nghị định phủ Máy vi tính cá nhân (Personal Computer) Phịng cháy chữa cháy Hàm băm an tồn (Secure Hash Algorithm) Tiêu chuẩn kỹ thuật Tiêu chuẩn Việt Nam Thông tư Bộ thông tin truyền thông Thông tư Thơng tư Bộ tài Nội dung Tiêu chuẩn kỹ thuật 4.1 Mơ tả chung Hóa đơn chứng từ kế toán tổ chức, cá nhân bán hàng hóa, cung cấp dịch vụ lập, ghi nhận thơng tin bán hàng hóa, cung cấp dịch vụ theo quy định luật kế tốn Hóa đơn điện tử hóa đơn thể dạng liệu điện tử tổ chức, cá nhân bán hàng hóa, cung cấp dịch vụ lập, ghi nhận thơng tin bán hàng hóa, cung cấp dịch vụ, ký số, ký điện tử theo quy định phương tiện điện tử, bao gồm trường hợp hóa đơn khởi tạo từ máy tính tiền có kết nối chuyển liệu điện tử với quan thuế Giải pháp Hóa đơn điện tử giải pháp hệ thống phần mềm, phần cứng, quy trình để triển khai cho phép doanh nghiệp khởi tạo, lập, gửi, nhận, lưu trữ quản lý Hóa đơn phương tiện điện tử Yêu cầu Hệ thống cho Giải pháp hóa đơn điện tử cần đáp ứng tiêu chí: - Tính đầy đủ chức nghiệp vụ HĐĐT theo quy định nhà nước - ATTT máy chủ - ATTT phần mềm, ứng dụng, bảo vệ liệu - ATTT vật lý - Tổ chức Nhân - Các tiêu chí khác ( chi tiết hóa ) 4.2 Các phương pháp đánh giá đo lường chuẩn a Phương pháp đánh giá: kiểm tra hoạt động thực tiễn chức năng, hệ thống, giải pháp - Nguyên tắc đánh giá: Dựa việc kiểm tra, đo lường kết hoạt động chức hệ thống, giải pháp có đạt mức phù hợp với yêu cầu, tiêu, tiêu chuẩn cơng bố - Mục đích áp dụng để đánh giá: Tính phù hợp, tính xác chức theo tiêu chí đề - Phương thức thực hiện: Chạy thử thực tế, tình huống, kiểm tra chức năng, tổng hợp kết đánh giá b Phương pháp đánh giá: Lấy ý kiến chuyên gia - Nguyên tắc đánh giá: Dựa ý kiến nhận xét chuyên gia hàng đầu Hội đồng chuyên gia chuyên ngành sở kinh nghiệm phân tích tài liệu hồ sơ biên vận hành hệ thống Mục đích áp dụng: Có thể áp dụng để đánh giá tiêu chí phi chức như: Tính bảo mật, kiến trúc cơng nghệ, khả bảo trì, khả tương tác, khả phân tích, khả thay đổi được, khả cài đặt phần mềm, khả chịu lỗi, khả phục hồi, khả tương thích, chất lượng mã nguồn - Phương thức thực hiện: Tổng hợp ý kiến chuyên gia nhận xét đánh giá tài liệu giải pháp, công nghệ áp dụng, hồ sơ hệ thống kết vận hành thử nghiệm thực tiễn c Các phương pháp khác - Tùy theo tình hình thực tế, xem xét áp dụng bổ sung không giới hạn phương pháp khác phù hợp với đối tượng mục tiêu đánh giá - Các phương pháp bổ sung phải mô tả đầy đủ báo cáo mục tiêu chí đánh giá liên quan - 4.3 Mô tả chi tiết yêu cầu bắt buộc Phương pháp đánh giá TT Nội dung đánh giá Các tiêu chí I Đầy đủ chức nghiệp vụ HĐĐT Chức khởi tạo HĐĐT Chức lập HĐĐT Chức gửi, nhận HĐĐT Chức lưu trữ HĐĐT Chức quản lý HĐĐT: tìm kiếm, thay thế, điều chỉnh Hóa đơn điện tử Chức ký số HĐĐT Chức xác thực chữ ký số HĐĐT Quy trình thực Kết cần đạt Tài liệu tham chiếu (nếu có) Là chức đáp ứng nghiệp vụ để dịch vụ HĐĐT hoạt động theo quy định Nhà nước hóa đơn điện tử Chức ký số xác thực cần đáp ứng yêu cầu: - Ký xác thực với tất nhà cung cấp hợp pháp công nhận theo quy định pháp luật - Ký xác thực theo quy định pháp luật - Chức ký số áp dụng thuật toán hàm băm tối thiểu SHA1 trở lên Chức ký số xác thực cần đáp ứng yêu cầu: - Ký xác thực với tất nhà cung cấp hợp pháp công nhận theo quy định pháp luật - Ký xác thực theo quy quy định pháp luật Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức Các chức có đầy đủ NĐ 19, thực TT 32, NĐ 130 nghiệp vụ Các chức có đầy đủ thực nghiệp vụ II An tồn thơng tin hệ thống máy chủ Bảo đảm an toàn máy chủ, thiết bị hệ thống 1.1 Xác thực Kiểm soát truy cập Thiết lập sách xác thực người dùng truy cập, quản lý sử dụng máy chủ thiết bị hệ thống (nếu thiết bị có chức xác thực) Là sách xác thực người dùng quản trị truy cập máy chủ hệ thống Không cho phép Thay đổi vơ hiệu tài khoản mặc hóa tài khoàn mặc định, cổng quản trị định, cổng quản trị mặc mặc định hoạt động định (nếu có) khơng phép Hệ thống vơ hiệu hóa tài TCVN khoản, 11930 cổng quản trị mặc định Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức Hệ thống áp dụng TCVN sách 11930 mật mạnh Giới hạn, kiểm sốt thông tin truy cập tới máy chủ: IP, thời gian, số lượng truy cập Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức Hệ có sách lý cập, hình sốt cập u cầu sử dụng mật mạnh có sử dụng phần mềm công cụ giúp quản trị viên quản lý mật hệ thống - 1.2 TCVN Hệ thống 11930 có thiết lập sách quản trị người dùng Thay đổi mật mặc định Thiết lập mật mạnh Thời gian thay đổi mật định kỳ < tháng Số lần nhập sai mật - Thiết lập sách quản lý truy cập, IP truy cập, thời gian truy cập,… đến máy chủ thiết bị hệ thống vận hành từ xa Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức TCVN thống 11930 quản truy cấu kiểm truy Nhật ký hệ thống Nhật ký hệ thống cần lưu trữ đầy đủ thông tin sau: Log tường lửa, thông tin đăng nhập vào máy chủ, thiết bị, thông tin tác động người dùng phiên đăng nhập Các thông tin lưu tối thiểu thời gian tháng gần (so với thời điểm đánh giá) 1.3 Lưu đầy đủ thông tin hoạt động tác động đến máy chủ thời gian quy định, phục vụ việc truy vết, xác định nguyên nhân vụ việc Áp dụng phương pháp đánh giá, kiểm tra hoạt động thực tiễn chức Kết hợp phương pháp đánh giá, lấy ý kiến chuyên gia TCVN 11930 Hệ thống có đầy đủ Log tác động Phịng chống xâm nhập, phần mềm độc hại Sử dụng tường lửa (firewall) để ngăn chặn truy cấp trái phép tới máy chủ, thiết bị hệ thống Sử dụng giao thức mạng an tồn Vơ hiệu hóa giao thức mạng khơng an tồn, dịch vụ mặc định khơng sử dụng máy chủ, thiết bị Có phương án cập nhật nâng cấp, vá lỗi hệ điều hành dịch vụ kèm máy chủ, thiết bị Áp dụng phương pháp đánh giá, kiểm Quản lý, kiểm soát tra hoạt kết nối hợp pháp động thực tiễn chức Máy tính (windows Áp dụng server, Linux …) phương thường có giao pháp đánh thức mạng, dịch giá, kiểm vụ mặc định Nếu tra hoạt khơng sử dụng động thực phải vơ hiệu hóa tiễn thơng tin để chức tránh bị lợi dụng lỗ hổng Áp dụng phương pháp đánh Có phương án, kế giá, kiểm hoạch cập nhật tra hoạt thường xuyên động thực vá hệ điều hành tiễn chức Kết hợp Có sử dụng tường lửa, có cấu TCVN hình ngăn 11930 chặn truy cập bất hợp pháp Vô hiệu hóa giao thức mạng, TCVN dịch vụ 11930 mặc định khơng sử dụng cho dịch vụ Có TCVN phương án 11930 khả thi 10 5.2 Mẫu đánh giá an tồn thơng tin hệ thống máy chủ MẪU ĐÁNH GIÁ AN TỒN THƠNG TIN MÁY CHỦ (Các u cầu bắt buộc) Bài đo kết Kết TCKT Các tiêu mong Thực tế Có Khơng muốn Xác thực Kiểm sốt truy cập Thiết lập sách xác thực người dùng truy cập, quản lý sử dụng máy chủ thiết bị hệ thống (nếu thiết bị có chức xác thực) Thay đổi vơ hiệu hóa tài khồn mặc định, cổng quản trị mặc định máy chủ dịch vụ DB (nếu có) Kết luận Xác thực tài khoản/mật Hệ thống Xác thực có thiết lập OTP sách người dùng Xác thực Chữ quản trị ký số Khác Đã đóng thay Hệ thống đổi cổng dịch vụ vơ hiệu hóa SSH 22 tài khoản, Đã đóng thay cổng quản mặc đổi cổng dịch vụ trị Microsoft RDP định 3389 Đã đóng thay đổi cổng dịch vụ Telnet 23 22 Đã đóng thay đổi cổng dịch vụ IHS Administration 8008 20 Yêu cầu sử dụng mật mạnh có sử dụng phần mềm công cụ giúp quản trị viên quản lý mật hệ thống Thiết lập sách quản lý truy cập, IP truy cập, thời gian truy cập, đến Đã đóng thay đổi cổng dịch vụ Jonas Admin Console 9000 Đã đóng thay đổi cổng dịch vụ WildFly Admin Console 9990 Đã đóng thay đổi cổng dịch vụ WebLogic Admin Console Đã đóng thay đổi cổng dịch vụ WAS Admin Console (SSL) Đã đóng thay đổi cổng dịch vụ WAS Admin Console Đã đóng thay đổi cổng dịch vụ JBoss Admin Console 8080 Đã thiết lập sách mật phải bao gồm chữ hoa, chữ thường, ký tự đặc biệt dài ký tự (Hoặc sử dụng phần mềm quản lý tạo mật khẩu) Đã thiết lập sách bắt buộc tháng thay đổi mật lần Đã thiết lập xác thực IP truy cập cho thiết bị máy chủ truy cập từ xa Đã giới hạn lần truy cập thất bại bị khóa gửi cảnh báo đến quản trị viên: SMS 7001 9043 9060 Hệ thống áp dụng sách mật mạnh Hệ thống có sách, cấu hình kiểm sốt 21 máy email chủ thiết bị hệ thống vận hành từ Đã giới hạn thời xa ngắt kết nối khơng có thao tác (q phút) Nhật ký hệ thống Đã lưu log Nhật ký hệ IPS/IDS thống cần Đã lưu log tường Có lưu log lưu trữ đầy lửa đủ Đã lưu log đăng thông tin nhập hệ thống sau: Đã lưu log thay đổi Log tường cấu hình quản lửa, thông trị tin đăng nhập vào máy chủ, thiết bị, thơng tin Hệ thống tác động lưu người đầy đủ nhật dùng Thời gian lưu trữ ký, kiện phiên đăng log tối thiểu an tồn nhập Các tháng tính từ ngày thơng tin thông tin kiểm tra lưu tối thiểu thời gian tháng gần (so với thời điểm đánh giá) Phòng chống xâm nhập, phần mềm độc hại Sử dụng tường lửa (fỉewall) để ngăn chặn truy cập trái phép tới máy chủ, thiết bị Đã thiết lập luật chặn cho máy chủ, thiết bị hệ thống tường lửa theo mơ hình hệ thống Có sử dụng tường lửa, có cấu hình ngăn chặn truy cập bất hợp pháp 22 hệ thống Đã vơ hiệu hóa HTTP Đã vơ hiệu hóa Ping, Telnet Đã vơ hiệu hóa: TLS 1.1 Đã vơ hiệu hóa, TLS 1.0, TLS 1.1 Đã sử dụng giao thức an toàn: HTTPS (Khuyến nghị nên chuyển sang giao thức TLS v2) Sử dụng giao thức mạng an tồn Vơ hiệu hóa giao thức mạng khơng an tồn, dịch vụ mặc định không sử dụng máy chủ, Đã sử dụng giao thức an toàn: thiết bị TLS v2 Có phương án cập nhật nâng cấp, vá lỗi hệ điều hành dịch vụ kèm máy chủ, thiết bị Máy chủ cài đặt phần mềm diệt Virus, phần mềm phòng chống mã độc hại Vơ hiệu hóa giao thức mạng, dịch vụ mặc định không sử dụng cho dịch vụ Đã có phương án định kỳ cập nhật Có phương vá hệ điều án khả thi hành tối thiểu tháng lần Đã cài đặt phần mềm diệt virus có quyền thường xuyên cập nhật phiên Có cài đặt phần mềm diệt virus đủ mạnh 23 Có sách định kỳ dị qt xử lý phần mềm độc hại, điểm yếu ATTT Máy cài phần có quyền DB) Đã có quy trình, quy định định kỳ tháng lần dò quét xử lý phần mềm độc hại, điểm yếu ATTT (đã chứng nhận tổ chức có giấy phép kinh doanh dịch vụ ATTT) Hoặc thuê tổ chức thứ có giấy phép kinh doanh dịch vụ ATTT giám sát an tồn hệ thống Đã có quyền (nếu phần mềm phí) cho Hệ quản trị CSDL Có quy trình, quy định dị qt xử lý chủ đặt mềm Đã có quyền (nếu phần mềm (OS, phí) cho hệ điều hành Có quyền Hệ điều hành phần mềm sử dụng hệ thống Xử lý máy chủ, thiết bị chuyển giao mục đích sử dụng Có quy Đã có quy trình trình, quy Có phương sách việc định xử lý án xóa xóa liệu đảm thiết bị liệu bảo khôi chuyển giao khơng cịn phục sau xóa hủy bỏ sử dụng Đảm bảo Sử dụng phần mềm liệu chuyên dụng Sử dụng phá hủy phục hồi vật lý sau Sử dụng định dạng xóa nhiều lần Sử dụng Phương pháp khác 24 5.3 Mẫu đánh giá Phần mềm, ứng dụng MẪU ĐÁNH GIÁ PHẦN MỀM, ỨNG DỤNG (Các yêu cầu bắt buộc) Bài đo kết TCKT Các tiêu Kết mong muốn Thực tế Có Khơng Kết luận Xác thực, kiểm soát truy cập Mật phải mã Lưu trữ mã hóa hóa lưu trữ thơng tin Bản dự phòng nhạy cảm CSDL mã hóa Đã có sách mật phải bao gồm Đảm bảo an chữ hoa, chữ toàn mật thường, ký tự người sử dụng đặc biệt dài gồm: ký tự - Thay đổi mật Đã thiết lập mặc định sách bắt - Sử dụng mật buộc tháng mạnh thay đổi mật - Thiết lập thời lần gian thay đổi mật Đã thiết lập số - Số lần nhập lần nhập sai mật sai mật khẩu lần bị khóa tài khoản Đã giới hạn thời Thiết lập thời gian ngắt kết gian ngắt kết nối không nối khơng có thao tác có u cầu từ (Không người dùng phút) Kiểm tra mặt Thiết lập phân sách phân quyền người quyền người dùng mức dùng theo giải liệu pháp Nhật ký hệ thống Các thông tin nhạy cảm phải mã hóa CSDL Có áp dụng sách mật mạnh Ứng dụng có thiết lập thơng số thời gian ngắt kết nối Ứng dụng có phân quyền mức liệu 25 ... phụ trách ATTT tổ chức phải có trình độ, chun ngành CNTT, an tồn thơng tin, phù hợp với vị trí tuyển dụng Tối thiểu phải có cán phụ trách đào tạo ATTT (Có đại học chuyên ngành ATTT chứng ATTT Áp... tiêu chí: - Tính đầy đủ chức nghiệp vụ HĐĐT theo quy định nhà nước - ATTT máy chủ - ATTT phần mềm, ứng dụng, bảo vệ liệu - ATTT vật lý - Tổ chức Nhân - Các tiêu chí khác ( chi tiết hóa ) 4.2 Các... điểm yếu mềm độc hại, điểm ATTT yếu ATTT Phần mềm có đảm bảo Máy chủ cài đặt phần thường xun cập mềm có quyền (hệ nhật tính điều hành, sở mới, vá lỗi, liệu) đảm bảo ATTT 1.4 Áp dụng phương pháp