Xây dựng quy trình đánh giá an toàn thông tin theo ấp độ

Chính vì vậy, xây dựng một quy trình đánh giá an tồn thơng tin theo cấp độ, nó s là công c h tr thi t th c cho công ẽ ụ ỗ ợ ế ựtác đánh giá an tồn thơng tin của các đơn vị ừ đó dễ dàng x

B GIÁO D Ộ ỤC VÀ ĐÀO TẠ O TRƯỜNG ĐẠ I H C BÁCH KHOA HÀ N I Ọ Ộ

-

Nguyễn Th ịThùy Dung

XÂY DỰNG QUY TRÌNH ĐÁNH GIÁ

Chuyên ngành: Công ngh thông tin ệ

LUẬN VĂN THẠC SĨ KỸ THU T ẬCÔNG NGH THÔNG TIN Ệ

NGƯỜI HƯỚNG D N KHOA H C: Ẫ Ọ TS VŨ THỊ HƯƠNG GIANG

Hà N i – ộ Năm 2018

Tai ngay!!! Ban co the xoa dong chu nay!!! 17057204816801000000

2

L I C Ờ ẢM ƠN

Em xin chân thành bày t lòng biỏ ết ơn sâu sắc đến TS Vũ Thị Hương Giang

- Viện Công nghệ thông tin và Truyền thông – Trường Đạ ọi h c Bách Khoa Hà N i - ộngười đã tận tình hướng d n, ch bẫ ỉ ảo, giúp đỡ em th c hi n và hoàn thành luự ệ ận văn

th y, cô giáo và các bầ ạn để ận văn đượ lu c hoàn chỉnh hơn

Em xin trân tr ng cọ ảm ơn!

Hà N i, tháng 4 ộ năm 201 8

Tác gi luả ận văn

Nguy n Th ễ ịThùy Dung

3

L ỜI CAM ĐOAN

Tôi xin cam đoan:

1 Nh ng n i dung trong luữ ộ ận văn này là công trình nghiên cứu của tôi dưới

s ự hướng d n tr c tiẫ ự ếp của TS Vũ Thị Hương Giang

2 M i ngu n tài li u tham kh o dùng trong luọ ồ ệ ả ận văn đều được trích d n rõ ẫràng tên tác gi , tên công trình, thả ời gian, địa điểm công bố

3 Các số ệ li u, k t qu nêu trong luế ả ận văn là trung thực và chưa từng được ai công b trong bố ất kỳ công trình nào khác

4 M i sao chép không h p l , vi phọ ợ ệ ạm quy chế đào tạo tôi xin ch u hoàn ịtoàn trách nhi m ệ

Hà N i, tháng 4 ộ năm 2018

Tác gi lu n ả ậ văn

Nguy n Th ễ ịThùy Dung

4

M C L C Ụ Ụ

TRANG PHỤ BÌA 1

L I CỜ ẢM ƠN 2

LỜI CAM ĐOAN 3

DANH M C CÁC KÝ HI U, CÁC T VIỤ Ệ Ừ ẾT TẮT 8

DANH M C CÁC HÌNH V 9Ụ Ẽ DANH M C CÁC B NG BI U 10Ụ Ả Ể M Ở ĐẦU 12

1 Lý do chọn đề tài, tính c p thiấ ết của đề tài 12

2 M c tiêu, nhi m vụ ệ ụ, đối tượng, phạm vi và phương pháp nghiên cứu 13

3 C u trúc c a luấ ủ ận văn 15

CHƯƠNG 1: TỔNG QUAN V Ề AN TOÀN THÔNG TIN, ĐÁNH GIÁ AN TOÀN THÔNG TIN 16

1.1 An toàn thông tin 16

1.1.1 Một số khái ni m 16ệ 1.1.2 Những nguyên tắc cơ bản an toàn thông tin 16

1.2 Đánh giá an toàn thông tin 16

1.2.1 Phân lo i cạ ấp độ an toàn HTTT 17

1.2.2 Nguyên tắc xác định cấp độ an toàn HTTT 17

1.2.3 Tiêu chí xác định cấp độ an toàn HTTT 19

1.3 Th c tr ng viự ạ ệc đánh giá an toàn thông tin ở Vi t Nam và trên th gi i 21ệ ế ớ 1.4 Phương pháp đánh giá an toàn công nghệ thông tin TCVN 11386:2016 (ISO/IEC 18045:2008) 24 1.4.1 T ng quan v TCVN 11386:2016 24ổ ề

5

1.4.2 Mô hình đánh giá 24

1.5 Định hướng và gi i pháp 26ả CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TOÀN THÔNG TIN THEO CẤP ĐỘ 28

2.1 Đề xuất quy trình đánh giá an toàn thông tin theo cấp độ 28

2.1.1 Sơ đồ ổng quan đánh giá an toàn thông tin theo cấp độ t 28

2.1.2 Chi tiết quy trình đánh giá an toàn thông tin theo cấp độ 36

2.1.2.1 Chú thích về quy tắc vẽ quy trình đánh giá an toàn thông tin theo cấp độ 36

2.1.2.2 Sơ đồ quy trình đánh giá an toàn thông tin theo cấp độ 36

2.1.2.3 Mô t ả các bước th c hi n 38ự ệ 2.1.3 Quy trình ti p nh n/ x lý h 52ế ậ ử ồ sơ 2.1.4 Quy trình thẩm định h ồ sơ đề xu t 52ấ 2.1.5 Quy trình đánh giá an toàn thông tin theo cấp độ 54

2.1.6 Quy trình k t luế ận đánh giá an toàn thông tin theo cấp độ 55

2.2 Mô hình chuyển đổi tr ng thái cạ ủa hồ sơ 55

2.2.1 Danh sách tr ng thái trong quy trình 55ạ 2.2.1.1 Tr ng thái h 55ạ ồ sơ 2.2.1.2 Tr ng thái nạ ộp hồ sơ bản cứng 57

2.2.1.3 Tr ng thái thạ ẩm định h ồ sơ đề xu t cấ ấp độ 57

2.2.1.4 Tr ng thái khạ ảo sát đánh giá từng ch tiêu 58ỉ 2.2.1.5 Trạng thái đánh giá tổng thể an toàn h th ng thông tin 58ệ ố 2.2.2 Mô hình chuyển đổi tr ng thái cạ ủa hồ sơ 59 2.3 Mô hình x lý ngo i l 63ử ạ ệ

6

2.4 Mô hình phân quyền theo các bước trong quy trình 64

2.4.1 Danh sách tác nhân tham gia 64

2.4.2 Phân quyền theo chức năng hệ ố th ng 65

2.4.3 Phân quyền phạm vi khai thác d li u 69ữ ệ 2.5 Mô hình Qu n lý nh t ký h th ng 70ả ậ ệ ố 2.6 Sơ đồ phân c p chấ ức năng theo quy trình đềxuất 71

2.6.1 Mô hình chức năng website 71

2.6.2 Nhóm chức năng hỗ ợ ngườ tr i dùng 72

2.6.3 Nhóm chức năng dành cho Chuyên viên tiếp nh n/x lý h 73ậ ử ồ sơ 2.6.4 Nhóm chức năng dành cho Chuyên viên thẩm định h ồ sơ đề xu t cấ ấp độ 74

2.6.5 Nhóm chức năng dành cho Chuyên viên đánh giá an toàn hệ ố th ng thông tin 75

2.6.6 Nhóm chức năng dành cho Đối tượng kiểm tra, đánh giá 76

2.6.7 Nhóm chức năng dành cho Quản tr h ị ệthống 77

2.7 Mô hình ca s dử ụng 79

2.7.1 Biểu đồca sử ụ d ng 79

2.7.2 Biểu đồ gói ca s d ng 80ử ụ 2.7.2.1 Qu n tr ả ị người dùng và phân quy n kiề ểm soát 80 2.7.2.2 Qu n lý nh t ký h th ng 81ả ậ ệ ố 2.7.2.3 Biểu đồthống kê tr ng thái 81ạ 2.7.2.4 Th ng kê 82ố CHƯƠNG 3: THỬ NGHI M 84Ệ 3.1 Ki n trúc h th ng 84ế ệ ố

7

3.2 Công c ụ được sử ụ d ng 843.3 K ch b n th nghi m 85ị ả ử ệ3.3.1 Danh sách tài kho n 85ả3.3.2 Kịch bản ki m th theo lu ng thông tin trong quy trình 87ể ử ồ3.3.3 Kịch bản ki m th x lý ngo i l i vể ử ử ạ ệ đố ới với trường hợp đối tượng kiểm tra, đánh giá cập nh t h ậ ồ sơ đề xu t cấ ấp độ theo bi u m u 88ể ẫ3.4 K t qu ế ả và đánh giá kết qu th nghi m 90ả ử ệ3.4.1 Kết quả xây dựng chương trình 903.4.2 Đánh giá 95

K T LUẾ ẬN, HƯỚNG PHÁT TRI N 96Ể

1 K t lu n 96ế ậ

2 Nh ng vữ ấn đề còn t n t i 96ồ ạ

3 Hướng phát tri n 97ểTÀI LIỆU THAM KHẢO 98

ATHTTT An toàn h th ng thông tin ệ ố

BTTTT B Thông tin Truy n thông ộ ề

VNISA Hi p h i an toàn thông tin Vi t Nam ệ ộ ệ

NSD Ngườ ử ụi s d ng

9

DANH M C CÁC HÌNH V Ụ Ẽ

Hình 1.1: Ch s an toàn thông tin 2017 23ỉ ố

Hình 1.2: Tổng quan mô hình đánh giá theo TCVN 11386:2016 25

Hình 2.1: Sơ đồ ổng quan đánh giá an toàn thông tin theo cấp độ t 31

Hình 2.2: Sơ đồ quy trình đánh giá an toàn thông tin theo ấp độ c 37

Hình 2.3: Quy trình ti p nh n/x lý h 52ế ậ ử ồ sơ Hình 2.4: Quy trình thẩm định h ồ sơ đề xu t cấ ấp độ 53

Hình 2.5: Quy trình đánh giá an toàn thông tin theo cấp độ 54

Hình 2.6: Quy trình k t luế ận đánh giá an toàn thông tin theo cấp độ 55

Hình 2.7: Luồng biểu đồ chuy n tr ng thái cể ạ ủa hồ sơ 62

Hình 2.8: X lý ngo i lử ạ ệ ới trườ v ng hợp đối tượng kiểm tra, đánh giá cập nh t hậ ồ sơ đề xu t cấ ấp độ theo bi u m u 63ể ẫ Hình 2.9: Mô hình chức năng 71

Hình 2.10: Biểu đồca sử ụng chương trình đánh giá ATTT d 79

Hình 2.11: Biểu đồca sử ụ d ng Qu n tr ả ị người dùng và phân quyền ki m soát 80ể Hình 2.12: Biểu đồca sử ụ d ng Qu n lý nh t ký h th ng 81ả ậ ệ ố Hình 2.13: Biểu đồca sử ụ d ng biểu đồ ố th ng kê tr ng thái h 82ạ ồ sơ Hình 2.14: Biểu đồca sử ụ d ng Th ng kê 82ố Hình 3.1: Giao diện đăng nhập chương trình 90

Hình 3.2: Giao diện chương trình đánh giá an toàn thông tin theo cấp độ 91

Hình 3.3: Giao di n phân quyệ ền theo các bước trong quy trình 91

Hình 3.4: Giao di n chệ ức năng xử lý lu ng thông tin trong quy trình 92ồ Hình 3.5: Giao di n l ch sệ ị ử ạ tr ng thái hồ sơ theo nhóm người dùng trong quy trình 93

Hình 3.6: Giao di n qu n lý nh t ký h th ng 93ệ ả ậ ệ ố Hình 3.7: Giao di n chệ ức năng thống kê s ố lượng h ồ sơ xử lý theo người dùng 94 Hình 3.8: Giao di n th ng kê nhanh 95ệ ố

10

DANH M C CÁC B NG BI U Ụ Ả Ể

Bảng 2.1: Chú thích về quy tắc vẽ quy trình đánh giá an toàn thông tin theo cấp độ

36

Bảng 2.2: Mô tả các bước thực hiện trong quy trình đánh giá an toàn thông tin theo cấp độ 38

B ng 2.3: Danh sách tr ng thái cả ạ ủa hồ sơ 56

B ng 2.4: Danh sách tr ng thái n p h ả ạ ộ ồ sơ bản cứng 57

B ng 2.5: Danh sách tr ng thái thả ạ ẩm định hồ sơ đề ấ ấp độ xu t c 57

B ng 2.6: Danh sách tr ng thái khả ạ ảo sát đánh giá từng ch tiêu 58ỉ B ng 2.7: Danh sách trả ạng thái đánh giá tổng th an toàn h th ng thông tin 59ể ệ ố Bảng 2.8: Thao tác làm thay đổi trạng thái của hồ sơ đối của mỗi vai trò trong hệ th ng 59ố B ng 2.9: Danh sách tác nhân tham gia h ả ệthống 64

B ng 2.10: Danh sách quy n ki m soát 67ả ề ể B ng 2.11: B ng thuả ả ộc tính nhóm người dùng 68

B ng 2.12: B ng thu c tính thông tin chả ả ộ ức năng 68

B ng 2.13: B ng thu c tính phân quyả ả ộ ền cho nhóm người dùng 68

B ng 2.14: B ng thuả ả ộc tính thông tin người dùng 69

B ng 2.15: B ng thu c tính thông tin ph m vi khai thác 69ả ả ộ ạ B ng 2.16: B ng thu c tính thông tin h ả ả ộ ồ sơ được phân quy n theo ph m vi khai thácề ạ 70

B ng 2.17: B ng thu c tính thông tin nh t ký h th ng 70ả ả ộ ậ ệ ố B ng 2.18: Nhóm chả ức năng hỗ ợ ngườ tr i dùng 73

B ng 2.19: Nhóm chả ức năng dành cho Chuyên viên tiếp nh n/x lý h 73ậ ử ồ sơ Bảng 2.20: Nhóm chức năng dành cho Chuyên viên thẩm định hồ sơ đề ất cấp độ xu 75

B ng 2.21: Nhóm chả ức năng dành cho Chuyên viên đánh giá an toàn HTTT 76

B ng 2.22: Nhóm chả ức năng dành cho Đối tượng kiểm tra, đánh giá 76

B ng 2.23: Nhóm chả ức năng dành cho Quản tr h th ng 78ị ệ ố

11

B ng 3.1: Công c s d ng xây dả ụ ử ụ ựng chương trình 85

B ng 3.2: Danh sách tài kho n h ả ả ệthống 86

B ng 3.3: K ch b n kiả ị ả ểm thử theo lu ng thông tin trong quy trình 87ồ

Bảng 3.4: Kịch bản kiểm thử ử lý ngoại lệ đối với với trường hợp đối tượng kiể x m tra, đánh giá cập nh t h ậ ồ sơ đề xu t cấ ấp độ theo bi u m u 89ể ẫ

12

M Ở ĐẦ U

1 Lý do ch ọ n đ ề tài, tính c ấ p thiế ủa đề t c tài

Trong những năm gần đây, ệ ốh th ng thông tin m ng c a các doanh nghi p ạ ủ ệcũng như các cơ quan nhà nướ đang đứng trước c nhi u m i đe d a v an toàn thông ề ố ọ ềtin, việc đẩy mạnh công tác đảm bảo an toàn thông tin mạng đang là nhu cầu cấp thiết đối với tất cả các đơn vị Vi c b o đ m an toàn h th ng thông tin trong ho t ệ ả ả ệ ố ạ

động của cơ quan, tổ ch c cứ ần được th c hiự ện thường xuyên, liên t c và tuân theo ụcác tiêu chuẩn đánh giá an toàn thông tin đã được công b ố

Theo quy định c a Lu t An toàn thông tin m ng có hi u l c t ngày ủ ậ ạ ệ ự ừ01/07/2016, đểáp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ ệ ống thông h thtin phù hợp theo cấp độ, trước hế ần phân loại, xác địt c nh cấp độ an toàn thông tin

của hệ thống thông tin, với 5 cấp đ tăng dần từ 1 đến 5 Để ướng dẫn thi hành ộ hLuật An toàn thông tin mạng, vào ngày 01/07/2016, Chính phủ đã ban hành Nghị

định 85/2016/NĐ-CP (V m b o an toàn h th ng thông tin theo cề đả ả ệ ố ấp độ) quy đ nh ịchi ti t v tiêu chí, thế ề ẩm quyền, trình t , thự ủ ụ t c xác định cấp độ an toàn hệ th ng ốthông tin và trách nhiệm bảo đảm an toàn hệ ố th ng thông tin theo t ng cừ ấp độ Tại Ngh ị định này, Chính Phủ đã giao ộ Thông tin và TruyềB n thông hướng d n chi ti t ẫ ế

việc xác định hệ thống thông tin theo cấp độ; ban hành quy định văn bản hướng dẫn

v bề ảo đảm an toàn thông tin theo cấp độ,… Ngày 24/04/2017, B ộ Thông tin và Truyền thông cũng đã ban hành Thông tư 03/2017/TT-BTTTT quy định chi tiết và hướng d n m t s u c a Ngh nh ẫ ộ ố điề ủ ị đị 85/2016/NĐ-CP Thông tư bao gồm 7 Chương, 19 Điều và 5 Phụ ụ l c, thông tư 03/2017/TT-BTTTT c a B Thông tin và ủ ộTruyền thông có hiệu lực thi hành từ ngày 1/7/2017 Bên cạnh việc hướng dẫn các chủ qu n h th ng thông tin v cách xác địả ệ ố ề nh h th ng và cệ ố ấp độ an toàn h th ng ệ ốthông tin, Thông tư 03/2017/TT-BTTTT cũng quy định c th v các yêu c u b o ụ ể ề ầ ả

đảm an toàn h th ng thông tin theo cệ ố ấp độ; đồng thời hướng d n vi c ki m tra, ẫ ệ ểđánh giá an toàn thông tin và m t s ộ ố công tác liên quan đến vi c bệ ảo đảm an toàn thông tin

13

Mặc dù đã có những văn bản quy định và hướng dẫn như trên, tuy nhiên việc triển khai thực tế còn gặp nhiều khó khăn Chính vì vậy, xây dựng một quy trình đánh giá an toàn thông tin theo cấp độ, nó s là công c h tr thi t th c cho công ẽ ụ ỗ ợ ế ựtác đánh giá an toàn thông tin của các đơn vị ừ đó dễ dàng xác định đượ, t c cấp độ

an toàn cũng như các phương án bảo đảm an toàn HTTT theo cấp độ cho các HTTT

ở Vi t Nam hi n nay ệ ệ Do đó, tôi chọn đề tài “Xây d ng ự quy trình đánh giá an toàn thông tin theo cấp độ” làm đề tài nghiên c u cho luứ ận văn của mình

2 M c tiêu, ụ nhiệ m v ụ, đối tượ ng, phạm vi và phương pháp nghiên cứ u

Mục tiêu : Mục đích của luận văn là nghiên cứu về ệc đánh giá an toàn vithông tin theo cấp độ và xuđề ất ra m t ộ quy trình để đánh giá độ an toàn thông tin theo cấp độ có th áp dể ụng để đánh giá độ an toàn thông tin chocác HTTT Viở ệt Nam

Nhiệm vụ: Để hoàn thành được m c tiêu c a lu n văn đưa ra và d dàng ti p ụ ủ ậ ễ ếcận được nội dung xây dựng quy trình đánh giá ATTT, trước tiên tác gi c n tìm ả ầ

hi u ể lý thuyết chung về an toàn thông tin đánh giá an toàn thông tin theo cấp độ ,

T ừ đó, tác giả đề ấ ra ột quy trình ục vụ ệc đánh giá an toàn thông tin theo xu t m ph vi

cấp độ Bên cạnh đó, tác giả xây dựng mô hình căn cứ theo các bước của quy trình nhằm trực quan hóa được quy trình đánh giá an toàn thông tin theo cấp độ:

1 Tác giả ây dựng mô hình chuyển đổi trạng thái hồ sơ x nhằm đưa ra một

tập trạng thái mà người dùng có thể nhìn thấy được, quản lý được sốlượng tr ng thái trong quy trình Đ ng th i, tác gi ạ ồ ờ ả cũng đưa ra luật chuyển đổi trạng thái nhằm kiểm soát mứ ộc đ khai thác dữ ệu của mỗi lingười dùng thu c vai trò khác nhau ộ

2 V i ớ mô hình xử lý ngoại lệ, tác giả muốn đưa ra quy định cho phép thông tin được x lý trong quy trình T vi c quử ừ ệ ản lý được s ố lượng tr ng thái ạtrong quy trình sẽ xác định được các nút tham gia vào quy trình, từ đó có

th ể đưa ra được nguyên tắc chung trong việc kiểm soát ửx lý d liữ ệu khi chuyển đổi giữa các vai trò, bên cạnh đó cũng đưa ra trường hợp tối ưu quy định vai trò nào được phép th c hi n nh ng lu ng ngo i l gì ự ệ ữ ồ ạ ệ

14

3 Xây dựng mô hình phân quyền theo các bước trong quy trình Trong quy : trình đánh giá cấp độ an toàn được đề xuất, cảnh báo nguy cơ mất an toàn thông tin mạng cho các TT/CTTĐT, số lượng các đối tượng giám sát dữ liệu cần quản lý là rất lớn Từ đó cần phải giải quyết yêu cầu quản lý thông tin xác thực và phân quyền cho các tài khoản trong hệ thống một cách nhất quán và linh hoạt Mỗi chuyên viên sẽ chịu trách nhiệm quản lý một phân vùng giám sát gồm các TT/CTTĐT và các phân hệ phần mềm

có liên quan Chương trình đánh giá an toàn hệ thống thông tin sẽ cung cấp chức năng hỗ trợ định nghĩa ra danh sách cácvai trò(roles) để đảm nhận các chức năng công việc khác nhau Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions') Người dùng của hệ thống sẽ được phân một vai trò riêng,

và thông qua việc phân vai trò này mà họ sẽ được cấp phát những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống

4 Xây dựng mô hình Quản lý nhật ký hệ ố : Trong quá trình vận hành hệ th ng

th ng, vi c th c hi n thu thố ệ ự ệ ập các dữ ệu nhậ li t ký truy cập cũng là mộ ất v n

đề thi t th c Qu n lý nh t ký h th ng nh m phát hi n, cế ự ả ậ ệ ố ằ ệ ảnh báo nguy cơ

s c ự ốan toàn thông tin mạng, các tấn công, bất thường Thông tin nhật ký được ghi nh n s ph c v cho vi c tra v t h th ng ậ ẽ ụ ụ ệ ế ệ ố

Đối tượ ng nghiên c u c a lu ứ ủ ận văn:Quy trình đánh giá an toàn thông tin theo cấp độ

Ph ạ m vi nghiên cứ : u Quy trình đánh giá an toàn thông tin theo cấp độmà tác giả đề xuất có thể xây d ng ự trên những ứng d ng khác nhau, trong ph m vi cho ụ ạphép của đềtài, tác giả ẽ ự s tr c quan hóa quy trình đánh giá an toàn thông tin theo

cấp độ dưới dạng một website và thử nghi m ệ các module ỗ ợ ệ ống đánh giá h tr h th

an toàn thông tin theo cấp độ

Phương pháp n ghiên cứu: Tổng hợp lý thuyết (thu thập, tìm hiểu, phân

tích), xu t quy trìnhđề ấ , xây dựng th nghiử ệm và đánh giá

15

Ý nghĩa khoa họ c và th c ti n: Nghiên cứ đề ự ễ u, xuất quy trình đánh giá an toàn thông tin theo cấp độ được áp dụng Viở ệt Nam đóng góp một quy trình giúp cho việc đánh giá độ an toàn thông tin cho các HTTT ở Việt Nam được thuậ ợn l i,

d dàng, nhanh chóng ễ hơn

3 C ấ u trúc củ a lu ận văn

Cấu trúc của luận văn bao gồm các phần như sau:

M Ở ĐẦ U: Nội dung phần mở đầu chỉ ra lý do chọn đề tài; mục đích, đối tượng, ph m vi nghiên c u c a luạ ứ ủ ận văn; tóm tắt những điểm cơ bản và đóng góp

của các HTTT ở ệt Nam được dễ Vi dàng, phù h p v i ợ ớ các quy định của Nhà nước

CHƯƠNG 3: THỬ NGHI M: Tr Ệ ực quan hóa quy trình đánh giá an toàn thông tin theo cấp độ đã đề xu t ấ Đánh giá về ế k t qu th nghiả ử ệm đã đạt được

K Ế T LUẬ N N: ội dung phần m ở đầu, tác giả đã tổng kế ề các kết quả đạt t v được c a luủ ận văn, bên cạnh đó cũng có ữnh ng vấn đề còn t n t i và t ồ ạ ừ đó tác giảđưa ra hướng gi i quy t và phát tri n cả ế ể ủa đề tài

16

CHƯƠNG 1: Ổ T NG QUAN V AN TOÀN THÔNG TIN Ề , ĐÁNH GIÁ AN

TOÀN THÔNG TIN 1.1 An toàn thông tin

1.1.1 Một số khái ni m ệ

Định nghĩa của an toàn thông tin được nêu ra t nhi u ngu n khác nhau, ừ ề ồchúng ta có thể ể hi u theo khái ni m sau: An toàn thông tinệ là hành động ngăn cản, phòng ngừa sử ụng, truy c , ti d ập ết lộ, chia sẻ, phát tán, ghi l i ho c phá h y thông ạ ặ ủtin chưa có sựcho phép

Theo điều 3 – Luật an toàn thông tin mạng 2015, an toàn thông tin mạ là ng

s bự ảo vệ thông tin, hệ ống thông tin trên mạng tránh bị truy nhập, sử ụng, tiết th d

lộ, gián đoạn, sử ổa đ i hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính

bảo mật và tính kh d ng c a thông tin ả ụ ủ

1.1.2 Những nguyên tắc cơ bản an toàn thông tin

Để có th xây dể ựng được h th ng an toàn thông tin trong doanh nghiệ ố ệp, cơ quan nhà nước m t cách hi u qu nh t thì ph i hi u v m c tiêu và nh ng nguyên ộ ệ ả ấ ả ể ề ụ ữ

tắc cơ bản khi xây d ng hự ệ ố th ng an toàn thông tin trong doanh nghi p Mệ ục tiêu để xây dựng m t h th ng an toàn thông tin phộ ệ ố ải đảm bảo nguyên tắc cơ bản sau:

Tính Bả o m t: Đả ậ m bảo thông tin đó là duy nhất, những người mu n ti p ố ế

c n phậ ải được phân quyền truy c p ậ

Tính Toàn v n ẹ : B o v s hoàn ch nh toàn di n cho h th ng thông tin ả ệ ự ỉ ệ ệ ố

Tính luôn s n sàng ẵ : Việc bảo mật thông tin luôn ph i s n sàng, có thả ẵ ể ự th c

hi n b t c ệ ấ ứ đâu, bấ ứt c khi nào

Tính chính xác: Thông tin đưa ra phải chính xác, đầy đủ, không được sai

lệch hay không được vi phạm bản quyề ộn n i dung

1.2 Đánh giá an toàn thông tin

Trong thực tế, đánh giá an toàn thông tin là đánh giá mứ ộc đ an toàn của các tài nguyên trong hệ ố th ng thông tin Chất lượng ATTT phải được đánh giá trên toàn

b ộcác yếu tố đảm bảo tính an toàn cho hệ ống từ ổ chức, con người, an ninh vật th t

lý, quản lý tài nguyên … đến việc sử ụ d ng các công cụ ỹ k thuật Nói cách khác,

17

chất lượng ATTT được đánh giá trên cơ sở thực thi các chính sách v ATTT trong ề

h thệ ống Các chính sách này được chuẩn hoá và được công nh n là các tiêu chu n ậ ẩ

v ềATTT áp dụng trên phạm vi toàn thế ới Trong phạm vi nghiên cứu của l ậ gi u n văn, tác giả muốn đề ập đến phương thứ c c đánh giá an toàn thông tin là xác định được c p an toàn c a các HTTT ấ độ ủ Phương pháp tiếp cận xác định cấp độ an toàn

của HTTT là dựa vào thông tin mà hệ ống đó trực tiếp tạo lập, xử lý, quản lý và th

b o v ả ệ

1.2.1 Phân loại cấp độ an toàn HTTT

Theo điều 21 – Lu t an toàn thông tin mang 2015, cậ ấp độ an toàn HTTT có

th ể được chia làm 5 cấp, xác định dựa vào mứ ộc đ ổ t n hại tới quyền và l i ích h p ợ ợpháp của tổ ứ ch c, cá nhân; trật tự an toàn xã h i, l i ích công c ng; an ninh, quộ ợ ộ ốc phòng của đất nước khi hệ ố th ng b mị ất an toàn thông tin như sau:

C ấ p đ ộ 1 là cấp độ mà khi b ịphá hoạ ẽ làm tổ ạ ới s n h i t i quy n và l i ích hề ợ ợp pháp của tổ ức, cá nhân nhưng không làm tổ ch n h i t i l i ích công c ng, tr t t , an ạ ớ ợ ộ ậ ựtoàn xã h i, qu c phòng, an ninh qu c gia ộ ố ố

C ấ p đ ộ 2là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền

và l i ích h p pháp cợ ợ ủa tổ chức, cá nhân hoặc làm tổn h i t i l i ích công cạ ớ ợ ộng nhưng không làm tổn h i t i tr t t , an toàn xã h i, qu c phòng, an ninh qu c gia ạ ớ ậ ự ộ ố ố

C ấ p đ ộ 3là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản

xu t, l i ích công c ng và tr t t , an toàn xã h i hoấ ợ ộ ậ ự ộ ặc làm tổ ại tới quốn h c phòng, an ninh quốc gia

C ấ p đ ộ 4là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệ nghiêm trọng t tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới

18

HTTT Cấp độ an toàn của hệ ố th ng phải được xác định d a vào mự ức tổn hại cao nhất mà HTTT đó gây ra cho đối tượng thi t h i khi b m t ATTT Bên cệ ạ ị ấ ạnh đó, cơ quan, tổ ch c vậứ n hành, khai thác và sử ụ d ng HTTT có trách nhi m tr c ti p trong ệ ự ế

việc xác định cấ ộp đ an toàn hệ thống Việc xác định hệ thống thông tin để xác định

cấp độ căn cứ trên nguyên tắc như sau:

1 H th ng thông tin ch ệ ố ỉcó một ch qu n h th ng thông tin; ủ ả ệ ố

2 H th ệ ống thông tin có thể hoạt động độc lập, được thiết lập nhằm trực

ti p phế ục vụ ặc hỗ ợ ạt độ ho tr ho ng nghi p vệ ụ, sả xuấn t, kinh doanh c th ụ ể

của cơ quan, tổ chức thuộc ột trong các loại hình hệ ống thông tin quy m th

định:

 H th ng ệ ố thông tin phục vụ ạt động nội bộ là hệ ống chỉ ục vụ ạ ho th ph ho t

động qu n tr , v n hành n i b cả ị ậ ộ ộ ủa cơ quan, tổ ch c, bao g m: H th ng ứ ồ ệ ốthư điện t ; H th ng quử ệ ố ản lý văn bản và điều hành; H th ng h p, h i ệ ố ọ ộngh truyị ền hình trực tuyến; H th ng qu n lý thông tin c th (nhân s , ệ ố ả ụ ể ựtài chính, tài s n hoả ặc lĩnh vực chuyên môn nghi p vệ ụ ụ ể c th khác) ho c ặ

h thệ ống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghi p v khác nhau); H th ng x lý thông tin n i b ; ệ ụ ệ ố ử ộ ộ

 H thệ ống thông tin phục vụ người dân, doanh nghiệp là hệ ống trực tiếp th

hoặc hỗ ợ cung cấ ị tr p d ch v c tuy n, bao g m dụtrự ế ồ ịch vụ công trực tuyến

và d ch vị ụ ự tr c tuyến khác trong các lĩnh vực vi n thông, công ngh ễ ệthông tin, thương m i, tài chính, ngân hàng, y t , giáo dạ ế ục và lĩnh vực chuyên ngành khác, bao gồm: H thệ ống thư điện tử; H thệ ống qu n lý ảvăn bản và điều hành; H th ng m t c a đi n t ; H th ng trang, c ng ệ ố ộ ử ệ ử ệ ố ổthông tin điện t ; H th ng cung c p ho c h tr cung c p d ch v tr c ử ệ ố ấ ặ ỗ ợ ấ ị ụ ựtuy n; H ế ệthống chăm sóc khách hàng;

 H thệ ống cơ sở ạ ầng thông tin là tập hợp trang thiết bị, đường truyền h t

dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao

gồm: ạng nội bộ, mạng diện rộng, mạng truyền số ệu chuyên dùng; M li

H thệ ống cơ sở ữ ệu, trung tâm dữ ệu, điện toán đám mây d li li ; H th ng ệ ố

 H thệ ống thông tin khác là hệ ống thông tin không thuộc các loại hình thtrên, được s dử ụng để ự tr c ti p ph c v ho c h tr hoế ụ ụ ặ ỗ ợ ạt động nghi p v , ệ ụ

sản xuất, kinh doanh cụ ể ủa cơ quan, tổ chức theo lĩnh vực chuyên th cngành

1.2.3 Tiêu chí xác định cấp độ an toàn HTTT

T viừ ệc phân loại cấp độ an toàn HTTT và nguyên tắc xác định cấp độ an toàn HTTT, chúng ta có thể xác định được cấp độ an toàn HTTT dựa vào các tiêu chí sau:

Tiêu chí xác đị nh c p đ 1: ấ ộ là hệ ống thông tin phục vụ th hoạt động nội bộ

của cơ quan, ổt chứ và chỉ ửc x lý thông tin công c ng ộ

Tiêu chí xác đị nh c p đ 2: ấ ộ là hệ ống thông tin có một trong các tiêu chí th

c th ụ ể như sau:

 H thệ ống thông tin phục vụ hoạt động nội bộ ủa cơ quan, tổ chức và có c

x ửlý thông tin riêng, thông tin cá nhân của người sử ụng nhưng không d

x lý thông tin bí mử ật nhà nước

 H thệ ống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các

loại hình như sau: Cung cấp thông tin và dịch vụ công trực tuyến từ ức m

độ 2 tr xuở ống theo quy định c a pháp lu t; Cung c p d ch v tr c tuyến ủ ậ ấ ị ụ ựkhông thu c danh Mộ ục dịch vụ kinh doanh có Điều kiện; Cung c p dịch ấ

v trụ ực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 ngườ ử ụi s d ng

 H thệ ống thông tin xử lý thông tin bí mật nhà nước hoặc hệ ống phục th

v quụ ốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, anninh quốc gia

 H thệ ống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các

loại hình như sau: Cung cấp thông tin và dịch vụ công trực tuyế ừ ứn t m c

độ 3 tr ở lên theo quy định c a pháp lu t; Cung c p d ch v tr c tuy n ủ ậ ấ ị ụ ự ếthuộc danh Mục dịch vụ nh doanh có Điều kiệ ki n; Cung c p d ch v tr c ấ ị ụ ựtuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 ngườ ử ụi s d ng tr lên ở

 H thệ ống cơ sở ạ ầ h t ng thông tin dùng chung ph c v hoụ ụ ạt động c a các ủ

cơ quan, tổ ch c trong ph m vi m t ngành, m t t nh ho c m t s t nh ứ ạ ộ ộ ỉ ặ ộ ố ỉ

 H thệ ống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạ ộng bình thườt đ ng của các công trình xây d ng c p II, cự ấ ấp III hoặc cấp IV theo phân c p c a pháp luấ ủ ật về xây dựng

Tiêu chí xác đị nh c p đ 4: là hệ ố ấ ộ th ng thông tin có m t trong các tiêu chí ộ

c th ụ ể như sau:

 H thệ ống thông tin xử lý thông tin bí mật nhà nước hoặc hệ ống phục th

v quụ ốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia

 H thệ ống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu

cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế

hoạch trước

 H thệ ống cơ sở ạ ầ h t ng thông tin dùng chung ph c v hoụ ụ ạt động c a các ủ

cơ quan, tổ ch c trên ph m vi toàn qu c, yêu c u v n hành 24/7 và không ứ ạ ố ầ ậ

chấp nh n ng ng v n hành mà không có k hoậ ừ ậ ế ạch trước

21

 H thệ ống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây d ng c p I theo ự ấphân c p c a pháp luấ ủ ật về xây dựng

Tiêu chí xác đị nh c p đ 5: là hệ ố ấ ộ th ng thông tin có m t trong các tiêu chí ộ

c th ụ ể như sau:

 H thệ ống thông tin xử lý thông tin bí mật nhà nước hoặc hệ ống phục th

v quụ ốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm

tr ng tọ ới quốc phòng, an ninh qu c gia ố

 H thệ ống thông tin phục vụ lưu trữ ữ liệ ập trung đố ớ d u t i v i m t s lo i ộ ố ạhình thông tin, d liữ ệu đặc bi t quan trệ ọng của qu c gia ố

 H thệ ống cơ sở h tạ ầng thông tin quốc gia phục vụ ết nối liên thông hoạt k

động c a Vi t Nam v i qu c t ủ ệ ớ ố ế

 H thệ ống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của công trình xây d ng cự ấp đặc biệt theo phân cấp của pháp luật về xây dựng ho c công trình quan tr ng liên ặ ọquan đến an ninh qu c gia theo pháp lu t v an ninh qu c gia ố ậ ề ố

 H th ng thông tin khác theo quyệ ố ết định của Thủ tướng Chính ph ủ

1.3 Th c tr ng vi ự ạ ệc đánh giá an toàn thông tin ở Vi t Nam và trên th gi i ệ ế ớ

Đứng trước th c tr ng ATTT ngày càng di n bi n ph c t p và nguy hiểm ự ạ ễ ế ứ ạ

dẫn đến nhu cầu kiểm định, đánh giá chất lượng ATTT các sản phẩm và hệ ố th ng CNTT đã được quan tâm và phát tri n m nh t i nhiể ạ ạ ều nước trên th gi i Nh ng ế ớ ữnước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, … đã đưa ra hệ th ng tiêu ốchí đánh giá ATTT cho các hệ ố th ng CNTT v i n i dung ngày càng hoàn ch nh nớ ộ ỉ hư Sách Da cam (năm 1983) Tiêu chí đánh giá hệ– thống máy tính được tin c y ậ(TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ th ng phân b ố ố được bảo v ; sách Hệ ồng (năm 1991) Cơ sở ữ ệu đượ– d li c bảo vệ Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)

22

Trên thế ới, các nước như Anh, Nga, Trung cũng đều đã xây dự gi ng các tiêu chí, tiêu chuẩn, phương pháp luận, quy định riêng v quy trình kiề ểm định, đánh giá

đố ớ ải v i s n ph m ATTT M ẩ ỹ đã ban hành các tiêu chuẩn và các hướng d n yêu c u ẫ ầ

k thuỹ ật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại thông tin trong hệ ố th ng; SP800-60 – Hướng dẫn xác định lo i HTTT d a vào loạ ự ại thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53 – Các biện pháp bảo đảm ATTT theo loại HTTT Theo đó, biện pháp bảo vệ được ,.xác định d a vào lo i thông tin, thu c tính c a thông tin (chia làm 3 lo i thu c tính), ự ạ ộ ủ ạ ộ

cấp độ ảnh hưởng (chia thành 3 cấp độ) Cách phân loại này phức tạp, khó th c hiự ện khi có nhi u lo i HTTT và trong HTTT có nhi u lo i thông tin Trung Quề ạ ề ạ ốc đã ban hành các tiêu chu n v phân loẩ ề ại như: GB/T 22240-2008 - Hướng d n phân loẫ ại HTTT; GBT 25058-2010 – Hướng d n th c hiẫ ự ện bảo v HTTT theo cệ ấp độ Như ,

vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về ỹ thuật, quản lý ktương ứng và hướng d n th c hi n b o v HTTT theo cẫ ự ệ ả ệ ấp độ an toàn

Tại Việt Nam, theo “Báo cáo tổng hợp kết quả điều tra, đánh giá thực trạng

an toàn thông tin t i Viạ ệt Nam năm 2017” do Hiệp h i An toàn thông tin Vi t Nam ộ ệ(VNISA) ti n hành cho thế ấy xu hướng phát tri n ATTT là tích c c do ể ự ảnh hưởng của Luật ATTT mạng và các quy định pháp lý m i ớ Nhưng bên cạnh đó, đại di n ệVNISA đã công bố ế k t qu kh o sát hi n trả ả ệ ạng, đánh giá chỉ ố ATTT năm 2017 đố s i

với nhóm các doanh nghiệp Theo đánh giá, chỉ ố ATTT của các doanh nghiệp s đang rất th p và ch m c trung bình ấ ỉ ở ứ

23

Hình 1.1: Chỉ ố s an toàn thông tin 2017 VNISA đã tiến hành kh o sát hi n tr ng ATTT c a 360 doanh nghi p t i 3 ả ệ ạ ủ ệ ạvùng trọng điểm Hà Nội, Thành phố ồ Chí Minh, Đà Nẵng bao gồm 304 doanh H nghiệp vừa và nhỏ (SME) và 56 doanh nghiệp hoạt động trong lĩnh vực Ngân hàng – Tài chính Kết quả khảo sát cho thấy chỉ ố ATTT trung bình của tất cả các s nhóm Doanh nghi p Việ ệt Nam chỉ đạt 54.2% là mức trung bình Trong đó nhóm các Doanh Nghi p thuệ ộc lĩnh vực tài chính ngân hàng đạt chỉ ố s 59.9% và nhóm các doanh nghi p khác là 31.1% Các chệ ỉ ố s thành ph n bao gầ ồm: Chính sách đầu tư, kinh phí (44,8%); Nguyên t c tri n bắ ể ảo đảm ATTT mạng (72,4%); Trình độ nh n ậ

thức và đào tạo bồi dưỡng về ATTT (51,3%); Tổ chức và quản lý nhân lực bảo đảm ATTT mạng (43,2%); Chính sách pháp lý (60,9%); Ý th– ức lãnh đạo và chuyên gia ATTT (78%); Hoạt động th c ti n (19,8%); Bi n pháp kự ễ ệ ỹ thuật (53,7%); và Biện pháp qu n lý (63,9%) ả

Với kết quả khảo sát trên cho thấy các doanh nghiệp có chỉ ố ATTT thấp, s tương đương có nguy cơ mất ATTT m ng r t cao Các doanh nghi p còn y u trong ạ ấ ệ ếcác khâu thi t l p, th c thi chính sách ATTT và hoế ậ ự ạt động th c tiự ễn đảm bảo ATTT

m ng Mạ ặc dù đã được Chính phủ và Bộ TTTT ban hành các văn bản quy định, hướng d n th c hi n, tuy nhiên viẫ ự ệ ệc đánh giá còn gặp nhiều khó khăn do chưa có hệ

Ngân hàng - tàichính (56) nghiệp khác Các doanh

24

thống nào được xây dựng nhằm trực quan hóa quy trình đánh giá ATTT hỗ ợ các tr

cơ quan, doanh nghi p ệ

T nhừ ững thực trạng trên cho thấ, y được ệc quy định và hướvi ng d n xác ẫ

định cấp độ an toàn HTTT nh m đưa ra các yêu cầ ảo đảằ u b m an toàn c n thi t v k ầ ế ề ỹthuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ còn gặp nhiều khó khăn

1.4 Phương pháp đánh giá an toàn công nghệ thông tin TCVN 11386:2016 (ISO/IEC 18045:2008)

1.4.1 Tổng quan về TCVN 11386:2016

TCVN 11386:2016 do H c vi n Công nghọ ệ ệ Bưu chính Viễn thông biên soạn,

B ộThông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng

thẩm định, Bộ Khoa học và Công nghệ công bố TCVN 11386:2016 hoàn toàn tương đương với ISO/IEC 18045:2008 – phương pháp đánh giá an toàn CNTT Đối tượng hướng tới đối v i tiêu chu n này ch yếớ ẩ ủ u là những người đánh giá áp dụng TCVN 8709 (ISO/IEC 15408) – Các tiêu chí đánh giá an toàn CNTT ISO/IEC

15408 sử ụ d ng khái niệm "Đích đánh giá" (Target of Evaluation - TOE) TOE chính

là m t s n ph m CNTT cộ ả ẩ ần được đánh giá TOE được định nghĩa như là một tập

hợp các phần mềm, phần sụn (firmware) và/hoặc phần cứng đi kèm TOE có thể là

một sản phẩm CNTT, một bộ ận của sản phẩm CNTT, một tập hợp các sản phẩ ph m CNTT, …

Tiêu chuẩn này là tài liệu đi kèm với các tiêu chí đánh giá an toàn công nghệthông tin đã được quy định trong TCVN 8709 (ISO/IEC 15408), s d ng tiêu chí và ử ụ

b ng chằ ứng đánh giá quy định trong TCVN 8709 (ISO/IEC 15408)

1.4.2 Mô hình đánh giá

Mỗi một đánh giá đều theo quy trình như nhau và có bốn nhi m v chung ệ ụ

của người đánh giá là: nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động con đánh giá

và s thuyự ết minh v ề năng lực k thuỹ ật đố ới v i nhi m v c a t chệ ụ ủ ổ ức đánh giá Dướ i đây là ổ t ng quan v m i quan h gi a các nhi m v này và các hoạt động con ề ố ệ ữ ệ ụ

25

Hình 1.2: Tổng quan mô hình đánh giá theo TCVN 11386:2016

Nhiệm vụ đầu vào và các nhiệm vụ đầu ra có liên quan đến quản lý bằng chứng đánh giá và phát sinh báo cáo (Báo cáo quan sát (OR) và Báo cáo k thu t ỹ ậđánh giá (ETR)) M i nhi m v có các nhi m v ỗ ệ ụ ệ ụ con liên quan được áp d ng và quy ụ

định cho t t c ấ ả các đánh giá của TCVN 8709 (ISO/IEC 15408) Các Hoạt động con đánh giá thay đổi tùy thuộc đó là đánh giá ồh sơ b o v ( ) ả ệ PP hay đích đánh giá (TOE) Hơn nữa, trong trường hợp đánh giá TOE, hoạt động con phụ thuộc vào các yêu cầu đảm bảo đã được chọn Công vi c đư c th c hi n và s tham gia cệ ợ ự ệ ự ủa các vai trò khác nhau Trong quy trình xác định đặc điểm của các vai trò sau: nhà bảo

tr , nhà phát triợ ển, người đánh giá và tổchức đánh giá

vi

Nhà bả o tr có trách nhiệm yêu cầu và hỗ trợ ệc đánh giá Điều này có ợ

nghĩa là nhà bảo tr thi t l p các th a thu n khác nhau cho viợ ế ậ ỏ ậ ệc đánh giá (ví dụ như

ủy thác đánh giá) Ngoài ra, nhà bảo tr có trách nhiợ ệm đảm b o rả ằng người đánh giá được cung c p b ng chấ ằ ứng đánh giá

Nhà phát triển ạo ra TOE và chịu trách nhiệm cung cấp các bằng chứ

được yêu c u cho viầ ệc đánh giá (ví dụ như đào tạo, thông tin thi t k ), thay m t cho ế ế ặnhà b o tr ả ợ

th

Người đánh giá ực hiện các nhiệm vụ đánh giá được yêu cầu trong bối

cảnh của một đánh giá: người đánh giá tiếp nhận bằng chứng đánh giá từ nhà phát

Quy trình được áp d ng theo các yêu c u chung trong TCVN 8709 (ISO/IEC ụ ầ15408), k t qu cế ả ủa quá trình đánh giá được tổng h p thành 3 tr ng thái sau: ợ ạ

Đạ t Các điều kiện để các phần tử đạ được xác định là: Các đơn vị

việc cấu thành của hành động phương pháp đánh giá có liên quan; Tất cả các bằng chứng đánh giá đã được yêu cầu để ự th c hiện các đơn vị công việc này là mạch l c, ạ

có nghĩa là người đánh giá có thể hiểu được đ y đầ ủ và tr n v n v nó; T t c các ọ ẹ ề ấ ả

bằng chứng đánh giá đã được yêu cầu để ực hiện các đơn vị công việc này không th

có b t kấ ỳ ự s không nh t quán n i b rõ ràng nào hoấ ộ ộ ặc sự không nh t quán v i bấ ớ ằng chứng đánh giá khác

t Không đạ : Các điều ki n cho m t nhệ ộ ận định “không đạ đượt” c xác định là

một việc hoàn thành của người đánh giá cho phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408) và quyết định rằng các yêu cầu đố ới v i PP, đích an toàn (ST) ho c TOE cặ ần được đánh giá là không đáp ứng ho c b ng ch ng ặ ằ ứkhông mạch l c hoạ ặc mộ ự t s không nh t quán rõ ràng trong bấ ằng chứng đánh giá được tìm ra

n Không có kết luậ : Tấ ảt c các nhận định đều được ch ỉ định ban đầu là

“không có kết luận” và giữ nguyên như vậy cho đến khi nhận định “ t” ho c đạ ặ

“không đạ đượt” c chỉ đị nh

Nhận định tổng th là “ t” ể đạ khi và chỉ khi tất cả các nhận định thành phần cùng là "đạt"

1.5 Đị nh hư ớ ng và gi ả i pháp

T thừ ực trạng đã tìm hiểu, tác giả muốn đưa ra ột quy trình thống nhất để mđánh giá an toàn thông tin theo cấp độ, nó s giúp cho viẽ ệc đánh giá cấp độ an toàn

27

thông tin c a các HTTT tr nên thu n ti n và d dàng trong công tác triủ ở ậ ệ ễ ển khai hơn

Luận văn nhằm đạt được các mục tiêu sau:

1 Đưa ra quy trình t ốh ng nhất để đánh giá an toàn thông tin theo cấp độ ừ, t

đó trực quan hóa quy trình dưới d ng m t website nhạ ộ ằm đáp ứng được các yêu cầu, ti n ích s d ng ệ ử ụ dành cho các cơ quan Nhà nước, doanh nghi p, t ệ ổchức dễ dàng áp dụng đánh giá an toàn HTTT

2 Đánh giá an toàn HTTT theo cấp độ nhằm xác định được thông tin mà hệ

thống đó tạo lập, xử lý, quản lý và bảo vệ Việc xác định và phân loại cấp

độ ủa HTTT là căn cứ ầ c c n thiết để đưa ra được các phương án bảo đảm

an toàn hệ ố th ng thông tin trong quá trình n hành hvậ ệ ố th ng theo cấp độtương ứng, h th ng thông tin phệ ố ải đáp ứng yêu c u cơ bản trong tiêu ầchuẩn, quy chuẩn kỹ thuật về ảo đảm an toàn hệ ống thông tin theo b th

cấp độ

3 Xây dựng module h ỗtrợ công tác đánh giá an toàn thông tin

o Module Quản lý người dùng và phân quy n kiề ểm soát

o Module Qu n lý nh t ký h th ng ả ậ ệ ố

o Module th ng kê các tr ng thái trong quy trình ố ạ

4 Việc áp dụng đánh giá an toàn theo quy trình còn hỗ ợ đượ tr c vi c phân ệtích và t ng h p dổ ợ ữ ệu để ế li k t xuất ra các báo cáo quản tr , báo cáo thị ống

kê theo nhu c u cầ ủa người s d ng ử ụ

Cho phép t ng kê tr c quan theo các thông tin: T ng shố ự ổ ố ồ h sơ, s lư ng ố ợ

h ồ sơ đã được xử lý, s ố lượng h ồ sơ đã được thẩm định, …

Cho phép t ng kê theo mhố ục đích của người sử ụng, đưa ra nhữ d ng tiêu chí hỗ ợ ngườ tr i dùng t ng kê:hố Thống kê hồ sơ theo cấp độ; Thống kê sốlượng người tham gia x lý, tham gia th m đ nh;… ử ẩ ị

K t lu ế ận chương

mTrong chương này, tác giả đã trình bày khái quát về ột số khái niệm, cũng như những vấn đề lý thuy t liên quan ế đến an toàn thông tin và đánh giá an toàn thông tin

nh t ấ Nhưng trên thực tế, tại Việt Nam, phần lớn các cơ quan, tổ chức chưa áp dụng

đầy đủ các bi n pháp bệ ảo đảm cho HTTT và chưa xác định được cấp độ an toàn c n ầthiết, vì vậy không xác định được đ y đầ ủ các yêu cầu về ỹ thu k ật và quản lý Vì

vậy, rong chương này, dựa trên những tìm hiểu vềt Ngh ị định 85/2016/NĐ-CP và Thông tư 03/2017/TT-BTTT, tác gi s ả ẽ đưa ra một quy trình th ng nh t nh m ố ấ để ằgiúp cho việc đánh giá trở nên thu n ti n và d dàng trong công tác triậ ệ ễ ển khai hơn

2.1 Đề xuất quy trình đánh giá an toàn thông tin the ấ o c p đ ộ

2.1.1 Sơ đồ ổng quan đánh giá an toàn thông tin theo cấp độ t

xuQuy trình đánh giá an toàn thông tin theo cấp độ được tác giả đề ất căn cứchủ ế y u t nhừ ững quy định trong Ngh nh ị đị 85/2016/NĐ CP và Thông tư -03/2017/TT-BTTT Quy trình liệt kê và mô hình hóa toàn bộ các bước thực hiện trong suốt quá trình đánh giá an toàn thông tin áp dụng đố ới cơ quan, tổi v ch c, cá ứnhân có nhu cầu đánh giá ATHTTT Quy trình sẽ chi ti t hóa v ế ề tiêu chí đánh giá,

thẩm quyền, trình tự, thủ ụ t c xác định cấp độ ATHTTT và trách nhiệm đảm bảo an toàn h th ng thông tin theo t ng cệ ố ừ ấp độ

an toàn thông tin theo c bao g m

1 H ồ sơ tổchức được khai báo: Theo điều 14 – Ngh ị định 85/2016/NĐ -CP

đơn vị ậ v n hành/ch qu n l p h ủ ả ậ ồ sơ đề xu t cấ ấp độ ửi đơn vị g chuyên trách v ề an toàn thông tin để ẩ th m định

2 Tiếp nhận/X ửlý hồ sơ: Theo điề u 14 – Thông tư 03/2017/TT -BTTTT, sau

khi đơn vị ậ v n hành/ch qu n g i h sơ đ xu t củ ả ử ồ ề ấ ấp độ ới đơn vị t chuyên

-v ịchuyên trách về an toàn thông tin lấy ý ki n bế ằng văn bản của các đơn

v liên quan ị

4 Kh o sát h th ng theo các tiêu chuả ệ ố ẩn đánh giá ấp độc

5 Đánh giá cấp độ ủ c a hệ ố th ng thông tin

6 K t lu n c ế ậ ấp độ ủa hệ ố c th ng thông tin

H

Điề u ki n b ệ ắt đầ u c a quy trình: ồ sơ của tổ chức có nhu cầu đánh giá an ủ

toàn HTTT theo cấp độ

t thúc:

Điề u kiện kế K t qu ế ả đánh giá ết luận được cấp độ ủ, k c a HTTT

Vai trò tham gia Quy định danh sách vai trò tham gia quy trình, quy định :

thẩm quyền, trình t , và trách nhiự ệm đảm nhậ ủa từng đối tượ n c ng

1. Đối tượ ng, ki ểm tra đánh giá: Căn cứ theo Điều 10, chương IV kiểm tra, đánh giá ATTT Thông tư 03/2017/TT– -BTTTT quy đ nh ị đối tượng

kiểm tra, đánh giá à đại diện chủ l quản hệ ống thông tin hoặ ạ th c đ i diện đơn vị ậ v n hành h th ng thông tin và các h th ng thông tin có liên ệ ố ệ ốquan

Ch ủ quản hệ th ố ng thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối vớ ệ ống thông tin, c ỉ đạo đơn vị ậi h th h v n hành hệ ố th ng thông tin lập hồ sơ đ xu t cấề ấ p độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ ổ chức thực hiện kiểm tra, đánh giá an toàn , t thông tin và qu n lý r i ro an toàn thông tin trong phả ủ ạm vi cơ quan, tổchức mình

30

qu

Đơn vị ậ v n hành h th ng thông tin là cơ quan, tổ chức được chủ ản ệ ố

h th ng ệ ố thông tin giao nhiệm vụ ận hành hệ ống thông tin Đơn vị v th

thực hiện xác định cấp độ an toàn hệ thống thông tin, t ực hiện bảo vệ ệh h thống thông tin theo quy định và p i h p, th c hi n theo yêu c u c a cơ hố ợ ự ệ ầ ủquan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin

2 Chuyên viên tiế p nh n h ậ ồ sơ: Là đại diện đơn vị chuyên trách về ATTT

để ẩ định, đơn vị ẽ ế th m s ti p nh n h sơ đ xu t cậ ồ ề ấ ấp độ ể ki m tra tính h p ợ

l cệ ủa hồ sơ Trong trường hợp hồ sơ không hợp lệ, tổ chức tiếp nhận hồ

sơ đề xu t cấ ấp độ thông báo bằng văn bản cho t ch c n p h ổ ứ ộ ồ sơ biết để

b sung, hoàn thi n h (ổ ệ ồ sơ Điề u 14 – Thông tư 03/2017/TT -BTTTT)

3 Chuyên viên thẩ m đ ị nh h : Là đại diện đơn vị ủ ồ sơ ch trì thẩm định, đơn

v thị ực hiện đánh giá ự phù hợp củ ềs a đ xuất cấp độ và phương án bảo

đảm an toàn h th ng thông tin theo c p đ (Điềệ ố ấ ộ u 16 - Ngh nh ị đị 85/2016/NĐ-CP)

4. Chuyên viên đánh giá: Là đại diện đơn vị chủ trì kiể tra, đánh giám

Đơn vị được c p có th m quy n giao nhi m v hoấ ẩ ề ệ ụ ặc đượ ực l a chọn để

thực hiện nhiệm vụ ểm tra, đánh gi ki á, đưa ra kết luận kết quả đánh giá(Điề u 10 – Thông tư 03/2017/TT -BTTTT)

5 H th ệ ống đánh giá an toàn thông tin theo cấ p đ ộ: Chương trình hỗ ợ tr trong quá trình đánh giá an toàn thông tin theo cấp độ: Chương trình đề

xuất cấp độ ủa hệ ống theo thông tin hồ sơ khai báo củ c th a đối tượng

kiểm tra, đánh giá Ngoài ra, chương trình còn đưa ra cảnh báo hỗ ợ tr cho chuyên viên ti p nhế ận/x ử lý hồ sơ trong trường hợp hồ sơ củ ối tượa đ ng

kiểm tra, đánh giá chưa đầy đ theo quy địủ nh

Chương trình tự động

đánh giá cấp độ

Hình 2.1: Sơ đồ ổng quan đánh giá an toàn thông tin theo cấp độ t

Mô tả quy trình: Quy trình đánh giá an toàn thông tin theo cấp độ có th ểtrao đổ ữ ệu như sau:i d li

1 Đối tượng kiểm tra đánh giá thực hiện khai báo hồ sơ của tổ chứ Đối tược: ng

kiểm tra, đánh giá là chủ quản hệ ống thông tin hoặc đơn vị ận hành hệ th v

thống thông tin và các ệ ống thông tin có liên quan Đối tượng lập hồ sơ h th

đề xu t cấ ấp độ được quy định t i ạ Điề u 14 – Thông tư 03/2017/TT -BTTT:

 Đối v i h thớ ệ ống thông tin được đề xu t cấ ấp độ 1, 2, 3: Đơn vị ậ v n hành

h thệ ống thông tin gửi hồ sơ đề xuất cấp độ ới đơn vị t chuyên trách vềATTT để ẩ th m đ nh ị

 Đố ớ ệ ống thông tin đượi v i h th c đề xu t c p đ 4, 5: Ch qu n HTTT g i ấ ấ ộ ủ ả ử

h ồ sơ đềxuấ ấp độ ới đơn vịt c t chuyên trách v ề ATTT đểthẩm định

 H ồ sơ đề xu t cấ ấp độ bao g m các thông tin: ồ

32

 Thông tin chung: Tên hệ th ng, Ch qu n h thố ủ ả ệ ống, Đơn vị ậ v n hành h ệ

th ng, website, mã s doanh nghi p, … ố ố ệ

 Thông tin xác định h th ng thông tin Phân loệ ố : ại theo thu c tính bí m t; ộ ậPhân lo i theo chạ ức năng phục vụ ạt độ ho ng nghi p v ệ ụ

 Danh sách hồ sơ đ xu t cề ấ ấp độ: Tài li u mô t , thuy t minh t ng quan v ệ ả ế ổ ề

h th ng thông tin; ệ ố Tài liệu thiết kế Tài liệu thuyết minh về việ ề; c đ xuất

cấp độ căn cứ trên các tiêu chí theo quy định c a pháp lu t; Tài li u ủ ậ ệthuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng;

Ý ki n vế ề ặ m t chuyên môn của đơn v chuyên trách v an toàn thông tin ị ề

của chủ ản hệ thống thông tin đối với hệ ống thông tin đề ất cấp độ qu th xu

4 hoặc cấp độ 5;

Căn cứ theo Điề u 5 – Ngh ị định 85/2016/NĐ -CP n Điềđế u 11 – Ngh nh ị đị 85/2016/NĐ -CP (Đã đượ c mô t t i ả ạ 1.2.2 Nguyên tắ c xác đ ị nh c ấp độ an toàn HTTT và mục 1.2.3 Tiêu chí xác định cấp độ an toàn HTTT của luận văn), tác giả đưa ra giải thu t đ xây dậ ể ựng chương trình hỗ ợ công tác đề tr

//Kh i tở ạo đối tượng h ồ sơ tổchức

HsProfileEntity entity= new HsProfileEntity();

//Ki m tra lo i hình h th ng (Phân lo i theo chể ạ ệ ố ạ ức năng phục vụ ạt độ ho ng nghi p vệ ụ) và phân loại hệ ố th ng (Phân lo i theo thu c tính bí m t) ạ ộ ậ

if( oaiHinhHeThong == l

eLoaiHinhHeThong.HOAT_DONG_NOI_BO.getCode()

&& phanLoai == ePhanLoaiHeThong.CONG_CONG.getCode())

//Gán cấp độ đề xu t cho h ấ ồ sơ

.setCapDo(( ) eCapDo .getCode());

33

else if (( oaiHinhHeThong == l

eLoaiHinhHeThong.HOAT_DONG_NOI_BO.getCode()

&& phanLoai == ePhanLoaiHeThong.RIENG.getCode()) oaiHinhHeThong == || (l

eLoaiHinhHeThong.PHUC_VU_NGUOIDAN_DOANHNGHIEP.getCode()

&& phanLoai ==

ePhanLoaiHeThong.CONG_CONG.getCode()) oaiHinhHeThong == || (l

eLoaiHinhHeThong.HA_TANG_THONG_TIN.getCode())

entity.setCapDo((short) eCapDo.CAP_2.getCode());

eLoaiHinhHeThong.DIEU_KHIEN_CONG_NGHIEP.getCode()))

entity.setCapDo((short) eCapDo.CAP_3.getCode());

END;

2 Phân hệ đánh giá sẽ cung cấp chức năng để Đối tượng kiểm tra, đánh giá

g i h ử ồ sơ theo quy định

3 Chuyên viên tiếp nhận hồ sơ sẽ ến hành tiếp nhận và kiểm duyệt hồ sơ ti

của các tổ chức có nhu cầu đánh giá an toàn HTTT Tại bước này, chương trình sẽ đưa ra cảnh báo n u h ế ồ sơ củ ổa t ch c chưa đ y đ theo ứ ầ ủquy định, h tr chuyên d dàng trong quá trình xét duy t h sơ ỗ ợ ễ ệ ồ

a Nếu hồ sơ không hợp lệ: Chuyên viên tiếp nhận hồ sơ đề ất cấ xu p độthông báo bằng văn bản cho tổ ch c nộứ p hồ sơ biết để ổ b sung, hoàn thi n h ệ ồ sơ

a N u h ế ồ sơ không hợ ệp l : Chuyên viên thẩm định t ừchối

b N ếu hồ sơ hợp lệ: Chuyên viên thẩm định hồ sơ sẽ phê duyệt thẩm định Khi đó, tổ ch c có th ti n hành kh o sát h th ng c a đơn v ứ ể ế ả ệ ố ủ ịmình theo cấp độ

c N u thiế ếu thông tin để ẩ th m định:

 Chuyên viên thẩm định h sơ yêu cầu Chuyên viên đánh giá bổ ồsung thông tin đánh giá

 Chuyên viên thẩm định h ồ sơ yêu cầ ổu t ch c b sung h ứ ổ ồ sơ đánh giá

d N ếu công việc nằm ngoài phạm vi thẩm định hồ sơ, Chuyên viên thẩm

định h sơ t ch i công vi c, Qu n tr h th ng ti n hành phân quy n ồ ừ ố ệ ả ị ẹ ố ế ề

x lý cho chuyên viên thử ẩm định khác

e Ngoài ra, trong quá thẩm định h ồ sơ, chuyên viên có thể ạ t m d ng ừ

thẩm định

5 Sau khi hồ sơ đề xuất cấp độ được thẩm định, đối tượng kiểm tra, đánh giá sẽ được phép th c hi n kh o sát hự ệ ả ệ thống theo các tiêu chí đánh giá

cấp độ và d li u ánh x thông tin cuữ ệ ạ ộc tấn công/s c an toàn thông tin ự ố

6 H th ệ ống cập nhật dữ ệu khảo sát hệ ống theo cấp độ ựa trên li th D thông tin h ồ sơ, các kết quả đánh giá theo tiêu chí đánh giá, hệ ống sẽ có khả thnăng đưa ra kết qu ả đánh giá tổng th ể

//Duy t danh sách k t qu ệ ế ả đánh giá chỉ tiêu theo cấp độ

(KetQuaKhaoSatEntity for ketQuaKhaoSatEntity :

lstKetQuaKhaoSat) { //Ki m tra k t qu ể ế ảkhảo sát theo t ng ch tiêuừ ỉ

8 Cán bộ Quản trị ệ ống có khả năng vận hành hệ ống, phân quyền sử h th th

dụng các chức năng phần mềm cho Chuyên viên thẩm định hồ sơ, Chuyên viên ti p nhế ận hồ sơ và Đối tượng kiểm tra, đánh giá

36

2.1.2 Chi ti t quy trình ế đánh giá an toàn thông tin theo cấp độ

2.1.2.1 Chú thích v ềquy tắc vẽ quy trình đánh giá an toàn thông tin theo cấp độ

B ng 2.1: Chú thích v ả ềquy tắc ẽv quy trình đánh giá an toàn thông tin theo cấp độ

Các thao tác ngoài hệ thống

Để người dùng dễ hình dung trong quá trình theo dõi quy trình đánh giá an toàn thông tin theo cấp độ, tác giả đưa ra bảng bi u các ký hiể ệu để làm quy tắc chung, th ng nh t xuyên su t trong các quy trình ố ấ ố

2.1.2.2 Sơ đồ quy trình đánh giá an toàn thông tin theo cấp độ

T sừ ơ đồ ổng quan đánh giá an toàn thông tin theo cấp độ ở t trên, tác giảmuốn đưa ra một sơ đ quy trình chi tiồ ết hơn Sơ đồquy trình này sẽ ch ỉrõ chi tiết các bước cho phép thông tin được xử lý trong quy trình, t ừ đó sẽ xác định được ánh trạng thái giữa các bước và quy định thẩm quyền cho mỗi người dùng h th ng ệ ố ở

mức độ khác nhau

37

Đối tượng kiểm tra đánh giá Chuyên viên tiếp nhận hồ sơ Chuyên viên thẩm định hồ sơ Hệ thống đánh giá Chuyên viên đánh giá

Hồ sơ tổ chức 1 Khai báo thông tin chung của tổ

chức Bắt đầu

6b Đề xuất cấp độ

9a Xử lý hồ sơ 8a Xem

văn bản

10 Khảo sát hệ thống theo các tiêu chí đánh giá cấp độ

DV_QTDG

Gửi

2 Khai báo thông tin xác định hệ thống

8b Xem hồ sơ điện tử 5b KT hồ sơ Hợp lệ

4a Gửi hồ sơ

Không hợp lệ

Phê duyệt

3a Cập nhật hồ

sơ đề xuất cấp độ (scan)

3b Nộp hồ sơ (Bản chính, bản sao)

4b Xem văn bản Gửi

6a Đề xuất cấp độ

7 Thông báo văn bản

11 Dữ liệu khảo sát hệ thống theo cấp độ

Từ chối thẩm định/ Tạm dừng thẩm định

12 Khảo sát ánh xạ thông tin cuộc tấn công/

sự cố an toàn thông tin

Gửi 13 Dữ liệu ánh xạ thông tin cuộc tấn công/ sự cố

an toàn thông tin

14 Đánh giá cấp

độ HTTT

15 Kết luận cấp độ HTTT Đạt Không đạt

16b Kết quả đánh giá Kết thúc

17b Thống kê kết quả đánh giá

4c Lưu trữ dữ liệu hồ sơ 17a Thống kê hồ sơ đơn vị

5a Đề xuất cấp độ

16a Kết luận cấp độ HTTT

4c Cập nhật trạng thái

9c Thông tin đánh giá

Từ chối Công việc

Yêu cầu bổ sung thông tin đánh giá

Hình 2.2: Sơ đồ quy trình đánh giá an toàn thông tin theo cấp độ

Mô tả chi tiết

1 Khai báo thông

tin chung của tổ

chức

Đối tượng kiểm tra đánh giá

Hồ sơ tổ chức Đối tượng kiểm tra

đánh giá thực hiện khai báo thông tin chung của

tổ chức Thông tin chung của tổ chức bao gồm:

- Địa chỉ, Điện

Thông tin chung của hồ

sơ được khai báo

Hệ thố

an toàtheo c

Mô tả chi tiết

thoại, Email, … Trạng thái của hồ sơ:

Thông tin chung của tổ chức

Sau khi khai báo thông tin chung, đối tượng kiểm tra đánh giá tiếp tục khai báo thông tin xác định cấp độ hệ thống

Thông tin khai báo bao gồm:

- Hình thức thiết lập, hình thành HTTT

- Phân loại HTTT

- Phân loại thuộc

Thông tin xác định cấp độ

hệ thống được khai báo

Hệ thố

an toàtheo c

Mô tả chi tiết

tính bí mật của thông tin xử lý hệ thống

Trạng thái của hồ sơ:

Mới tạo3a Cập nhật hồ sơ

đề xuất cấp độ

(Bản scan)

Đối tượng kiểm tra đánh giá

Thông tin chung của tổ chức Thông tin xác định cấp độ hệ thống

Đối tượng kiểm tra đánh giá tiếp tục thực hiện cập nhật hồ sơ đề xuất cấp độ Danh mục

hồ sơ được quy định theo Điều 15 nghị định 85/2016/NĐ-CP Trạng thái của hồ sơ:

Mới tạo

Hồ sơ đề xuất cấp độ

Hệ thố

an toàtheo c

3b Nộp hồ sơ đề Đối tượng Hồ sơ đề xuất cấp Các bì văn bản, văn bản Hồ sơ đề xuất