BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc BÁO CÁO Về việc tham khảo kinh nghiệm nước khu vực giới quản lý an tồn thơng tin I LUẬT PHÁP VỀ AN TỒN THƠNG TIN Luật pháp an tồn thông tin chọn lọc Mỹ 1.1 Luật gian lận lạm dụng máy tính (Computer Fraud and Abuse Act) Đây luật gốc liên bang (viết tắt 18 U.S.C.Đ 1030, 1984, CFAA) Điều 18 Hiến pháp Hoa kỳ, mục 1030, đưa vào từ năm 1984, từ bổ sung số lần Về bản, Luật nghiêm cấm xâm nhập, làm hỏng truy nhập trái phép Luật có hai đặc điểm bật: − Tìm cách định vị tội phạm máy tính đạo luật hoàn chỉnh − Đưa khái niệm “máy tính bảo vệ” với phân loại: + Loại A: dùng riêng cho quan tài Chính phủ Mỹ, hoặc, trường hợp khơng dành riêng cho sử dụng vậy, dùng cho quan tài Chính phủ Mỹ việc xem xét tác động vi phạm hiến pháp dùng cho quan tài Chính phủ Mỹ + Loại B: sử dụng thương mại liên lạc toàn Liên bang ngoại thương, kể máy tính để ngồi nước Mỹ mà sử dụng theo cách ảnh hưởng đến thương mại liên lạc toàn Liên bang liên lạc nước Mỹ Luật đưa loại hành vi bị cấm: 1) Truy nhập trái phép tới máy tính chứa liệu quốc phịng, quan hệ quốc tế liệu hạn chế Chính phủ liên bang 2) Truy nhập trái phép tới máy tính chứa thơng tin định tài ngân hàng 3) Truy nhập trái phép, sử dụng, xuyên tạc (thay đổi), thay đổi cấu trúc, làm lộ máy tính thơng tin máy tính làm việc nhân danh lợi ích Chính phủ Mỹ 4) Sự truy nhập khơng có cho phép “máy tính bảo hộ”, mà tồ án định máy tính kết nối với Internet 5) Các gian lận máy tính 6) Lan truyền mã gây hại hệ thống máy tính mạng 7) Bn bán mật máy tính Các hình phạt bao gồm từ 5.000 đến 100.000 USD, hai lần giá trị thu hành vi phạm pháp, đơi cịn cao hơn, phạt tù từ năm đến 20 năm, hai 1.2 Luật bảo vệ liên lạc điện tử (Electronic Communications Privacy Act – ECPA) Ký hiệu 18 U.S.C.Đ2510 – 2221, 1986, ECPA Luật nghiêm cấm can thiệp bất hợp pháp tiết lộ liên lạc điện tử truyền tải lưu cất mạng Các đặc trưng bật luật là: - Bổ sung mở rộng điều luật liên bang chống nghe trộm liên lạc “miệng” “giấy” truyền tải thông thường - Mở rộng bảo vệ tới “các liên lạc điện tử” – Khái niệm quan trọng định nghĩa “bất kỳ truyền tải ký hiệu, tín hiệu, chữ viết, hình ảnh, âm thanh, liệu, kiến thức khác truyền toàn phần hệ thống vô tuyến, hữu tuyến, điện tử, điện quang hay quang học, mà tác động tới thương mại toàn liên bang ngoại thương”, - loại trừ “các liên lạc giấy miệng”, “sự ghi nhận âm sắc”, “thiết bị ghi dấu vết”, “thông tin chuyển tiền điện tử” lưu giữ bảo vệ luật khác - Bảo vệ chống can thiệp truyền tải - Đưa hình phạt quyền bảo vệ chống hành vi làm hại, bồi thường thoả đáng, phí thuê luật sư giá theo kiện - Định thủ tục cho truy nhập hợp pháp quan thực thi pháp luật Về vấn đề có lưu ý quan trọng Thứ nhất, nhân viên thực thi pháp luật luôn cho phép lấy lệnh Toà án để truy nhập vào liên lạc ghi chúng Một bổ xung vào luật yêu cầu nhà cung cấp dịch vụ Internet (ISP) cài đặt thiết bị cần thiết cho phép nghe ngầm theo lệnh Toà án Thứ hai, luật cho phép nhà ISP đọc nội dung liên lạc nhằm để trì dịch vụ để bảo vệ khỏi bị hại Chẳng hạn, ví dụ, nhà cung cấp dịch vụ ghi đọc luồng để loại trừ virut 1.3 Luật thống tăng cường nước Mỹ, cung cấp công cụ cần thiết để ngăn chặn đối phó với chủ nghĩa khủng bố (gọi tắt đạo luật yêu nước Hoa Kỳ) ( The Uniting and Strengthening America by Providing Appropriate Tools to Intercept and Obstruct Terrorism Act – USA Patriot Act) Luật thông qua năm 2001 mà công khủng bố liên tục xảy lãnh thổ Mỹ Luật yêu nước Hoa Kỹ bổ sung mở rộng vào tháng năm 2006 Luật bao gồm loạt điều khoản hỗ trợ tiếp cận buộc thực thi luật liên lạc điện tử Theo luật này, quan thực thi pháp luật cần thuyết phục Tồ án đích nhân viên tổ chức nước ngồi nhận lệnh cho phép nghe ngầm Điều khoản an tồn máy tính Luật u nước điều chỉnh, mở rộng luật chống gian lận lạm dụng máy tính: - Cố ý tạo lan truyền mã gây hại cho “ máy tính bảo hộ ” trọng tội (tội nghiêm trọng) - Do sai sót gây thiệt hại cho hệ thống máy tính tương tự hậu truy nhập bất hợp pháp bị coi trọng tội - Gây thiệt hại ( dù không cố ý ) truy nhập bất hợp pháp tới máy tính bảo vệ coi tội ác ( nhẹ ) - Sửa đổi vài luật tồn để cung cấp cho phủ cơng cụ bổ sung để ghi dấu vết, ngăn chặn tiêu diệt chủ nghĩa khủng bố - Tạo điều kiện chia sẻ thông tin an ninh quốc gia thực thi luật - Cho phép tiếp cận bổ xung phủ tới thơng tin cần thiết, gồm thông tin điện tử 1.4 Luật đại hóa cơng nghệ ngân hàng 1999 ( Financial Industries Modernization Act of 1999 – Gramm-Leach-Bliley ) 15 U.S.C.Đ Đ6801 – 6810 ( chống tiết lộ thông tin tài riêng ) 15 U.S.C.Đ Đ6821 – 6827 ( chống tiếp cận gian lận ) Luật cịn có tên thường gọi luật Gramm – Leach – Bliley, 1999; bao gồm an toàn liệu cho khách hàng thiết chế tài Mỗi thiết chế ( quan ) tài phải có sách an tồn để thơng báo cho khách hàng Và khách hàng phải cung cấp hội để khước từ việc dùng liệu không mục đích kinh doanh cần thiết mà liệu thu thập cho Luật Gramm-Leach-Bliley quy định áp dụng địi hỏi thiết chế ngân hàng phải đánh giá an toàn – rủi ro chi tiết định kỳ Dựa sở kết đánh giá này, quan tài phải thơng qua “ chương trình an tồn thơng tin ” tăng cường nhằm bảo vệ chống truy nhập trái phép việc dùng thông tin riêng không công bố khách hàng 1.5 Luật năm 1998 ngăn chặn giả mạo ăn cắp định danh( Indentity Theft and Assumption Deterrence Act of 1998) Đây điều chỉnh bổ sung 18 U.S.C.Đ1028 ( khởi tố hình việc chuyển giao cố ý hay sử dụng định danh người khác cho mục đích phi pháp ) Trộm cắp định danh vi phạm luật hình liên bang khác 18 U.S.C.Đ1029: gian lận thẻ tín dụng, 18 U.S.C.Đ1030: gian lận máy tính, 18 U.S.C.Đ1341: gian lận thư tín, 18 U.S.C.Đ1343: gian lận điện tín, 18 U.S.C.Đ1344: gian lận thiết chế tài 1.6 Luật 2004 tăng cường hình phạt ăn cắp định danh (Indentity Theft Penalty Enhancement Act of 2004) Các điều chỉnh bổ sung vào điều luật có, luật xác lập hai loại “ trộm cắp định danh trầm trọng ”: - Trộm cắp danh tính liên quan tới chủ nghĩa khủng bố - Trộm cắp danh tính liên quan với trọng tội khác Luật tăng hình phạt hợp pháp hố khoản tiền phụ phí theo kiện vụ ăn cắp định danh Luật pháp an tồn thơng tin Châu Âu Nhiều nước khác Anh quốc, Australia, Canada, Brazil, Nhật Bản, Cộng Hoà Séc, Hàn Quốc Ấn độ ban hành nhiều đạo luật an toàn máy tính Các luật quy định vi phạm gian lận, truy nhập máy tính trái phép bí mật liệu, lạm dụng máy tính 2.1 Thoả thuận Uỷ ban Châu Âu tội phạm điều khiển (Council of Europe Agreement on Cybercrime – ECAC) Tháng 11 năm 2001, Mỹ, Canada, Nhật 22 nước Châu Âu ký Thoả thuận EC tội phạm điều khiển (ECAC) để thống xác định hoạt động tội phạm không gian điều khiển (cyberspace) hỗ trợ việc truy nã xét xử chúng vượt qua biên giới quốc gia Ý nghĩa thoả thuận không quan trọng chỗ coi hoạt động tội phạm phi pháp, mà chỗ việc 25 nước công nhận chúng tội ác xuyên quốc gia giúp cho quan thực thi pháp luật dễ dàng việc hợp tác với nhau, việc dẫn độ tội phạm thực tội ác chống nước từ lãnh thổ nước khác Tuy nhiên để thực tế hỗ trợ cho truy nã, xét xử trừng phạt tội phạm máy tính, cần phải vào khơng 25 nước mà nhiều nhiều ta nói chất toàn cầu tội phạm máy tính Cho nên thoả thuận EC kêu gọi nước khác (ngoài 25 nước ký) tham gia vào Bản thoả thuận yêu cầu nước thông qua nó, tiến hành ban bố đạo luật hình giống tin tặc (hacking ), gian lận làm giả lĩnh vực điện toán, truy nhập bất hợp pháp, vi phạm quyền, quấy rối mạng khiêu dâm trẻ em Bản Thoả thuận bao gồm điều khoản hiệu lực truy nã thủ tục cần thiết săn lùng mạng chặn bắt liên lạc yêu cầu hợp tác thực thi luật qua biên giới truy lùng, bắt giữ dẫn độ Văn gốc Thoả thuận bổ sung phụ lục coi tội hình hình thức tuyên truyền thơng qua mạng máy tính phân biệt chủng tộc ngoại 2.2 Luật bảo vệ liệu Cộng đồng châu Âu (EU) (Europe Union Data Protection Act) Luật bảo vệ liệu EU, dựa dẫn an ninh châu Âu, mơ hình pháp lý cho tất nước EU Nó xác lập quyền riêng tư trách nhiệm bảo hộ công dân nước thành viên Luật quy định thu thập lưu trữ liệu riêng cá nhân, họ tên, địa số đặc ( nhận dạng, thơng hành ) Luật địi hỏi mục đích kinh doanh việc thu thập liệu giám sát chống tiết lộ Thông qua vào năm 1994, số luật sớm xác lập yêu cầu bảo hộ việc an toàn liệu cá nhân Điều quan trọng là: Luật yêu cầu bảo hộ tương tự bên nước EU trường hợp tổ chức EU đưa liệu bảo hộ khỏi lãnh thổ EU Một số luật pháp an tồn thơng tin nước khác 3.1 Các nước Đông Nam Á Malaysia: - Luật tội phạm máy tính (Computer Crimes Act 1997): tội phạm truy nhập thay đổi nội dung lưu giữ máy tính bất hợp pháp - Luật chữ ký số (Digital Signature Act 1997): cho phép nhằm mục đích đảm bảo an tồn cho giao dịch sử dụng chữ ký số - Luật truyền thông đa phương tiện (Communications and Multimedia Act 1998): đảm bảo an tồn thơng tin mạng, tính thống độ tin cậy mạng lưới Thái Lan: - Luật giao dịch điện tử (Electronic Transactions Act 2001): kết hợp luật giao dịch điện tử luật chữ ký số, nên có số điều khoản an tồn thơng tin mạng giao dịch điện tử - Luật kinh doanh viễn thông (Telecommunication Business Act 2001): biện pháp trừng phạt vi phạm sử dụng sở hạ tầng viễn thông để xâm phạm thơng tin - Luật tội phạm máy tính (Computer Crimes Act ): xử lý loại tội phạm liên quan tới máy tính giả mạo, lừa đảo, khiêu dâm trẻ em, - Luật thông tin cá nhân (Personal Data Law): bảo vệ quyền riêng tư, không bị người khác xâm phạm, Singapore: - Luật giao dịch điện tử (Electronic Transactions Act): quản lý quan chứng thực điện tử để quan trợ giúp việc thiết lập quy định cấp phép cho CA - Luật chống lạm dụng máy tính (Computer Misuse Act – 1993): hình thức phạt cho phép cảnh sát phép truy cập cách hợp pháp máy tính thiết bị liên quan điều tra tội phạm - Luật chứng (Evidence Act): luật có từ trước, sửa đổi để phù hợp với mơi trường máy tính, công nghệ thông tin cao, cho phép sử dụng hồ sơ điện tử (Electronic Records) chứng trước tịa, cho phép họp qua truyền hình (video conference) tòa 3.2 Các nước Bắc Á Hàn Quốc: - Luật thúc đẩy thông tin truyền thông, sử dụng mạng bảo vệ thông tin, 2005 - Luật bảo vệ thông tin cá nhân (Protection of Personal Information Act 01/04/2005) - Luật bảo vệ sở hạ tầng thông tin (Information Infrastructure Protection Act): Tạo hành lang pháp lý bảo vệ sở hạ tầng thông tin gồm phương thức bảo vệ, ngăn chặn phản hồi tội phạm - Luật chữ ký số (Digital Signature Act): cho phép sử dụng chữ ký số giao dịch điện tử, có điều khoản để bảo đảm cho chữ ký số an toàn Nhật Bản: - Luật sở hệ thống thông tin mạng viễn thông 2001 (Basic Law on the Formation of an Advanced Information and Telecommunications Network Society Japan 06/01/2001) - Luật chữ ký điện tử (Electronic Signature Law) - Công ước tội phạm mạng khủng bố mạng - Luật bảo vệ thông tin cá nhân 2003 3.3 Một số nước khác Canada: - Luật truy nhập thông tin (Access to Information Act Canada 1983) Quy định quyền truy cập hồ sơ thơng tin kiểm sốt phủ - Bộ luật tội phạm, phần xâm hại (Mischieft): quy định hành vi xâm hại, gây nguy hiểm phá hoại cách chủ ý tới liệu làm cản trở, gián đoạn liệu - Luật bảo vệ thông tin cá nhân tài liệu điện tử 2000 (Personal Information Protection and Electronic Documents Act Canada 13/04/2000): gồm quy định lưu thông, trao đổi thông tin, quy tắc để điều chỉnh việc thu thập, sử dụng tiết lộ thông tin cá nhân Đức: - Luật bảo vệ liệu liên bang (Federal Data Protection Act 2003) Anh: - Luật bảo vệ liệu (Data Protection Act 1998) - Luật chống lạm dụng máy tính (Computer Misuse Act 1990) II KINH NGHIỆM QUY ĐỊNH VỀ PHÂN LOẠI VÀ QUẢN LÝ HỆ THỐNG THÔNG TIN Mỹ Trong tiêu chuẩn FIPS Pulication 1999 Mỹ [1], việc phân loại an toàn áp dụng cho hệ thống thông tin là: Xác định phân loại an tồn hệ thống thơng tin địi hỏi phải phân tích nhiều chút phải xem xét phân loại an tồn tất loại thơng tin hệ thống thông tin Đối với hệ thống thông tin, giá trị tác động tiềm gán cho mục tiêu an toàn tương ứng (tính bí mật, tính nguyên vẹn, tính khả dụng) giá trị cao (ví dụ, mực nước cao) số loại an toàn xác định cho loại thông tin hệ thống thông tin Dạng tổng quát SC (Security categorization) để thể thể loại an tồn hệ thống thơng tin là: SChệ thống thơng tin = {(Tính bảo mật, tác động), (Tính nguyên vẹn, tác động), (Tính khả dụng, tác động)} Trong “tác động” có giá trị chấp nhận cho tác động tiềm thấp, trung bình cao Lưu ý giá trị “không áp dụng” gán cho mục tiêu an toàn bối cảnh thiết lập phân loại an tồn cho hệ thống thơng tin Điều công nhận tác động tiềm tối thiểu thấp (tức mực nước thấp) theo mát tính bảo mật, tính nguyên vẹn tính khả dụng cho hệ thống thông tin yêu cầu để bảo vệ chức xử lý hệ thống thông tin quan trọng hoạt động hệ thống thơng tin Ví dụ: hệ thống thông tin sử dụng để thực việc mua lại hợp đồng có thơng tin nhạy cảm, thông tin trước đàm phán thông tin quản trị Quản lý tổ chức ký kết hợp đồng xác định rằng: (i) thông tin hợp đồng nhạy cảm, tác động tiềm từ mát bí mật vừa phải, tác động tiềm tàng từ tính nguyên vẹn vừa phải tác động tiềm tàng từ tính khả dụng thấp, (ii) với thông tin hành hàng ngày (thơng tin khơng liên quan đến riêng tư) phần tác động tiềm tàng từ tính bảo mật thấp, tác động tiềm tàng từ tính nguyên vẹn thấp, tiềm tác động từ tính khả dụng thấp Tổng hợp phân loại an toàn cho kết quả, SC thể sau: SCcontractinformation = {(confidentiality, MODERATE) , (availability , LOW) }, MODERATE) , (integrity , and SCadministrativeinformation = (availability , LOW) } {(confidentiality, LOW) , (integrity , LOW) , Kết phân loại an tồn thơng tin hệ thống thơng tin là: SCacquisitionsystem = {(confidentiality, MODERATE) , (availability , LOW) }, MODERATE) , (integrity , Đối với Mỹ việc phân loại hệ thống thông tin dựa việc phân loại hai loại thơng tin có hệ thống thơng tin Đó thơng tin nghiệp vụ (bảo đảm chức xử lý hệ thống) thông tin dịch vụ (dịch vụ mà hệ thống cung cấp thông tin quan trọng hoạt động hệ thống) Như hệ thống SCADA việc phân loại thực sau: SCsensordata = {(confidentiality, NA) , (integrity, HIGH) , (availability, HIGH) }, SCadministrativeinformation = (availability, LOW)} {(confidentiality, LOW) , (integrity, LOW), Từ kết trên, hệ thống thông tin SCADA phân loại: SCSCADASystem = {( confidentiality, LOW), (integrity , HIGH), (availability, HIGH) }, Trong hướng dẫn kết hợp loại thông tin hệ thống thơng tin vào việc phân loại an tồn NIST Special Publication 800-60 [2], phân loại an toàn cho thông tin hệ thống thông tin Việc phân loại dựa ảnh hưởng tiềm cố xảy tổ chức Việc phân loại dựa tổn thương nguy thông tin mà tổ chức gặp phải xem xét đánh giá rủi ro an tồn thơng tin FIPS 199 lập mức ảnh hưởng Thấp, Trung bình Cao cho thơng tin hệ thống thơng tin Mỗi mức phụ thuộc vào tính bí mật, tính nguyên vẹn tính khả dụng thông tin mức mức Thấp, Trung bình Cao dựa sở đánh giá tác động hai loại thơng tin có hệ thống thông tin là: loại thông tin mà hệ thống thơng tin quản lý; hai loại thơng tin giúp cho hệ thống thơng tin hoạt động theo tính thiết kế Dựa sở tổng hợp tác động, ảnh hưởng tiềm tới quan hệ xã hội pháp luật bảo hộ (tổ chức, cá nhân, trật tự xã hội, lợi ích công cộng an ninh quốc gia) để định cấp độ an tồn hệ thống thơng tin Trên sở đó, Mỹ đưa hướng dẫn đánh giá ảnh hưởng sau Mức ảnh hưởng tiềm Thấp Bảng Mức ảnh hưởng tiềm Nguyên tắc xác định Các ảnh hưởng tiềm thấp mát tính bảo mật, tính nguyên vẹn, tính khả dụng dự kiến có ảnh hưởng bất lợi hạn chế cho hoạt động tổ chức, tài sản tổ chức, cá nhân Một ảnh hưởng hạn chế tác động bất lợi có nghĩa là, ví dụ, mát tính bảo mật, nguyên vẹn, tính khả dụng có thể: (i) gây suy thoái chức nhiệm vụ đến mức độ thời gian mà tổ chức thực chức nó, hiệu chức giảm đáng kể, (ii) kết dẫn tới gây thiệt hại nhỏ tài sản tổ chức, (iii) kết dẫn tới mát nhỏ tài chính, (iv) gây nguy hại nhỏ cho cá nhân Trung bình Cao Các ảnh hưởng tiềm Trung bình mát tính bảo mật, nguyên vẹn, tính khả dụng dự kiến có ảnh hưởng nghiêm trọng bất lợi hoạt động tổ chức, tài sản tổ chức, cá nhân Một tác dụng phụ nghiêm trọng có nghĩa là, ví dụ, mát tính bảo mật, nguyên vẹn, khả dụng có thể: (i) gây suy thoái đáng kể chức nhiệm vụ đến mức độ thời gian mà tổ chức thực chức nó, hiệu chức bị giảm đáng kể, (ii) dẫn đến thiệt hại lớn cho tài sản tổ chức, (iii) dẫn đến thiệt hại lớn tài (iv) dẫn đến thiệt hại đáng kể cho cá nhân không bao gồm tổn thất sống, chấn thương đe dọa sống nghiêm trọng Các ảnh hưởng tiềm Cao mát tính bảo mật, nguyên vẹn, tính khả dụng dự kiến ảnh hưởng đặc biệt nghiêm trọng hoạt động tổ chức, tài sản tổ chức, cá nhân Một ảnh hưởng đặc biệt nghiêm trọng có nghĩa là, ví dụ, mát tính bảo mật, tính ngun vẹn, tính khả dụng có thể: (i) gây đe dọa nghiêm trọng khả nhiệm vụ mức độ thời gian mà tổ chức thực chức nó, (ii) gây thiệt hại lớn đến tài sản tổ chức, (iii) gây mát lớn tài chính, (iv) gây tổn hại nghiêm trọng cho cá nhân liên quan đến thiệt hại người hay sống Theo đó, thơng tin phân loại dựa theo đánh giá trên, sau: Security CategoryinformationTypes= {(confidentiality, impact), (integrity, impact), (availability, impact)} Trong đó: giá trị ảnh hưởng tiềm là: thấp, trung bình, cao không áp dụng Đối với Mỹ, loại thông tin lại xác định theo 26 lĩnh vực nhiệm vụ an ninh quốc phòng, an ninh nội địa, hoạt động tình báo, lượng…tất có 26 lĩnh vực nhiệm vụ với 108 loại thông tin Trên sở phân loại thông tin trên, Mỹ tiến hành phân loại hệ thống thông tin theo công thức: 10 sách quản lý mật mã bên liên quan Nội dung hướng dẫn sách quản lý mật mã bao gồm: a) Tin tưởng vào phương pháp mật mã Các phương pháp mật mã sử dụng phải tin tưởng bên tham gia b) Lựa chọn phương pháp mật mã Người sử dụng nên có quyền chọn phương pháp mật mã, tùy thuộc vào pháp luật áp dụng c) Định hướng phát triển thị trường mật mã Thị trường phương pháp mật mã cần khuyến khích phát triển để đáp ứng nhu cầu cá nhân, tổ chức phủ d) Tiêu chuẩn hóa phương pháp mật mã Các tiêu chuẩn kỹ thuật, tiêu chí, giao thức mật mã cần phát triển ban hành cấp quốc gia quốc tế e) Bảo vệ riêng tư liệu cá nhân Các quyền cá nhân liên quan đến riêng tư, bao gồm tính bí mật thơng tin liệu cá nhân cần quy định sách mật mã quốc gia f) Truy cập hợp pháp Chính sách mật mã quốc gia quy định cho phép truy cập hợp pháp vào rõ khóa mật mã liệu mã hóa g) Trách nhiệm pháp lý Trách nhiệm cá nhân tổ chức cung cấp dịch vụ mật mã lưu giữ khóa mật mã cần quy định rõ h) Hợp tác quốc tế Chính phủ cần hợp tác để phối hợp quản lý mật mã, loại bỏ sách tạo rào cản, trở ngại hoạt động thương mại 22 Chính sách xuất Phần lớn quốc gia kiểm soát việc xuất thiết bị mật mã Quốc gia khơng kiểm sốt xuất khẩu: Bỉ, Hungary, Ireland, Tây Ban Nha Các kiểm soát xuất mật mã thường tuân theo quy định Hiệp ước Wassenaar Các hạn chế áp dụng sản phẩm phục vụ an ninh, quốc phòng sản phẩm danh cho thị trường đại chúng, khu vực công cộng, cá nhân ngoại lệ [3] Đảm bảo an ninh quốc gia không xuất tới tổ chức khủng bố Chính sách nhập Hầu hết quốc gia Châu Âu cho phép tự nhập thiết bị mật mã Trung Quốc, Israel, Nga: yêu cầu phải có giấy phép nhập Pháp: phải khai báo nhập khơng nhằm mục đích sử dụng cá nhân 23 Việc nhập phải đảm bảo an ninh quốc gia bảo hộ phát triển nước Chính sách quản lý sản xuất, kinh doanh, ứng dụng Sản xuất, kinh doanh: Có kiểm sốt nhà nước, số nước yêu cầu giấy phép hoạt động: Nga, Trung Quốc, Israel Sử dụng: Tuỳ theo quan điểm nước mà có sách khác Đa số nước cho phép sử dụng sản phẩm mật mã Nga, Trung Quốc, Israel: Yêu cầu có giấy phép sử dụng IV KINH NGHIỆM QUẢN LÝ KINH DOANH, DỊCH VỤ VÀ SẢN PHẨM AN TỒN THƠNG TIN Trung quốc a Đối với việc quản lý sản phẩm an tồn thơng tin Trung Quốc chứng nhận cho sản phẩm bảo mật thông tin (CC-IS) mua sắm phủ Các sản phẩm an tồn thơng tin khơng thuộc lĩnh vực mua sắm phủ áp dụng tự nguyện Cơ quan định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực chứng nhận CC-IS bao gồm 08 mục sản phẩm mở rộng thành 13 loại sản phẩm cụ thể Hạng mục sản phẩm Loại sản phẩm 24 An toàn biên (1) Tường lửa (2) Card phân tách an tồn mạng chọn dịng (3) Sản phẩm trao đổi thông tin bảo mật cách ly An toàn giao tiếp (4) Bộ định tuyến bảo mật Điều khiển truy nhập xác thực (5)Hệ thống điều hành chip thẻ thơng minh 4.An tồn liệu (6) Sản phẩm khơi phục dự phịng liệu (7) Hệ điều hành bảo mật (8) Hệ sở dự liệu bảo mật 5.An toàn nội dung thông tin (9) Sản phẩm chống spam 6.Đánh giá, kiểm tra điều khiển (10) Hệ thống phát xâm nhập (11) Sản phẩm quét nguy công mạng (12) Sản phẩm kiểm tra an toàn An toàn ứng dụng (13) Sản phẩm khôi phục website - Trong 13 loại sản phẩm nói trên, 06 sản phẩm phải chứng nhận mật mã – chứng nhận đo kiểm giải mã, thực Văn phòng quan quản lý mật mã thương mại quốc gia (OSCCA) - Các sản phẩm đủ điều kiện lưu thông sử dụng Trung Quốc phải đáp ứng yêu cầu phù hợp với tiêu chuẩn quy định thực thi Trung Quốc Các tiêu chuẩn định nghĩa yêu cầu kỹ thuật cho sản phẩm thông tin tiêu chuẩn quốc gia ban hành Cơ quan tiêu chuẩn hóa Trung Quốc (SAC) - Trung Quốc ban hành danh mục tổ chức định thực chứng nhận sản phẩm an toàn thông tin 25 b Đối với quản lý dịch vụ an tồn thơng tin Đối với việc quản lý dịch vụ an tồn thơng tin Trung quốc quy định chặt chẽ cụ thể sau: Doanh nghiệp vận doanh viễn thông nên lựa chọn đơn vị dịch vụ an toàn phù hợp với điều kiện tiến hành đánh giá định lượng đánh giá nguy hiểm an tồn cho hệ thống viễn thơng: o Đăng ký thành lập nước Cộng Hòa Nhân Dân Trung Hoa (trừ Hongkong Ma Cao); o Do công dân, pháp nhân Trung Quốc đầu tư đơn vị nghiệp nhà nước đầu tư (trừ Hongkong Ma Cao); o Hoạt động lĩnh vực dịch vụ bảo đảm an tồn hệ thống viễn thơng từ 01 năm trở lên, khơng có hồ sơ vi phạm pháp luật; o Cán công nhân viên tương quan công dân Trung Quốc; o Pháp nhân nghiệp vụ chủ yếu, nhân viên kỹ thuật khơng có hồ sơ phạm tội; o Có chế độ quản lý bảo mật, hạng mục, chất lượng, nhân viên đào tạo bồi dưỡng quản lý an toàn hoàn bị Nghĩa vụ đơn vị dịch vụ an toàn Để cung cấp dịch vụ đánh giá định lượng an toàn đánh giá nguy hiểm an tồn cho hệ thống viễn thơng, đơn vị dịch vụ an toàn phải thực nghĩa vụ đây: o Tuân thủ pháp luật pháp quy tiêu chuẩn kỹ thuật tương quan Nhà nước Bộ CN Tin tức hóa, cung cấp dịch vụ đánh giá định lượng an toàn đánh giá nguy hiểm an tồn, khách quan, cơng chính, bảo đảm chất lượng hiệu việc đánh giá định lượng an toàn đánh giá nguy hiểm an toàn; o Giữ bí mật quốc gia, bí mật doanh nghiệp thơng tin riêng cơng dân q trình đánh giá định lượng an toàn đánh giá nguy hiểm an tồn, đề phịng nguy hiểm cơng tác tương quan mang lại; o Tiến hành giáo dục bảo vệ an tồn cán cơng nhân viên, có sổ đăng ký trách nhiệm bảo mật, quy định nghĩa vụ bảo mật an toàn trách nhiệm pháp luật phải gánh chịu thực hiện, đồng thời chịu trách nhiệm kiểm tra thực 26 1.1 Canada Việc quản lý dịch vụ an tồn thơng tin cách cấp giấy chứng nhận để xác minh yêu cầu an ninh thiết lập cho hệ thống dịch vụ cụ thể đáp ứng điều kiện đảm bảo Các doanh nghiệp cung cấp dịch vụ phải chứng nhận công nhận trước hoạt động Việc thực cấp giấy chứng nhận phụ thuộc vào số lượng chất lượng theo yêu cầu quan có thẩm quyền cơng nhận Ấn độ Sản phẩm an tồn thơng tin chứng nhận dựa tiêu chuẩn quốc tế tiêu chuẩn mở quốc gia công nghệ thông tin Mỹ a Đối với dịch vụ an tồn thơng tin, hướng dẫn cụ thể văn hướng dẫn (SP-800.35 Guide to Information TechnologySecurity Services) khuyến nghị Viện tiêu chuẩn Quốc gia tổ chức cung cấp dịch vụ dựa hướng dẫn thường xuyên phải đánh giá lựa chọn loạt công nghệ thông tin (CNTT) dịch vụ an ninh để trì cải thiện chương trình bảo mật tổng thể họ kiến trúc doanh nghiệp Dịch vụ an ninh CNTT, bao gồm từ xây dựng sách an ninh để hỗ trợ phát xâm nhập, cung cấp nhóm IT nội cho tổ chức, nhóm ngày tăng nhà cung cấp Tổ chức có lợi lựa chọn dịch vụ nhà cung cấp dịch vụ khuyến khích cạnh tranh mang lại đổi cho thị trường Tuy nhiên, khó khăn thách thức để xác định khả cung cấp dịch vụ, độ tin cậy dịch vụ đo lường điều hướng nhiều phức tạp liên quan đến thỏa thuận dịch vụ bảo vệ Trách nhiệm cá nhân, thực quản lý dịch vụ CNTT an ninh cho tổ chức phải đánh giá cách cẩn thận lựa chọn họ trước lựa chọn nguồn lực Các yếu tố cần xem xét lựa chọn, thực quản lý dịch vụ bảo mật bao gồm: loại xếp dịch vụ; trình độ cung cấp dịch vụ, yêu cầu hoạt động khả năng, kinh nghiệm, khả tồn tại, tin cậy nhân viên cung cấp dịch vụ khả cung cấp dịch vụ để cung cấp bảo vệ đầy đủ cho hệ thống tổ chức, ứng dụng thông tin Những nhận xét áp dụng (mức độ khác nhau) cho tất dịch vụ tùy thuộc vào kích cỡ, chủng loại, phức tạp, chi phí, quan trọng dịch vụ xem xét nhu cầu cụ thể tổ chức thực ký kết hợp đồng cho dịch vụ Hướng dẫn công nghệ bảo mật thông tin Dịch vụ, cung cấp hỗ trợ việc lựa chọn, thực quản lý dịch vụ an ninh CNTT tổ chức hướng dẫn qua giai đoạn khác dịch vụ an ninh vòng đời CNTT Quản lý hệ thống an ninh trình dịch vụ CNTT quan trọng Nếu không xem xét nhiều 27 vấn đề liên quan quản lý rủi ro tổ chức ảnh hưởng nghiêm trọng cho tổ chức Các nhà sản xuất định an ninh CNTT phải suy nghĩ chi phí liên quan yêu cầu bảo mật bản, tác động tiềm định vào nhiệm vụ tổ chức, hoạt động, chiến lược, nhân viên, thỏa thuận cung cấp dịch vụ Sáu giai đoạn chu kỳ sống bảo mật là: Giai đoạn 1: Khởi đầu Tổ chức định có nên điều tra, thực dịch vụ bảo mật CNTT cải thiện hiệu chương trình bảo mật tổ chức Giai đoạn 2: Đánh giá Tổ chức xác định độ an ninh môi trường sử dụng số liệu xác định yêu cầu giải pháp khả thi Giai đoạn 3: Giải pháp Các nhà sản xuất định đánh giá giải pháp tiềm năng, phát triển trường hợp kinh doanh xác định thuộc tính giải pháp xếp dịch vụ chấp nhận từ thiết lập tùy chọn có sẵn Giai đoạn 4: Thực Tổ chức lựa chọn tham gia cung cấp dịch vụ, phát triển thỏa thuận dịch vụ, thực giải pháp Giai đoạn 5: hoạt động Tổ chức đảm bảo thành công hoạt động cách liên tục giám sát nhà cung cấp dịch vụ thực an ninh tổ chức chống lại yêu cầu xác định, định kỳ thay đổi đánh giá rủi ro mối đe dọa đến tổ chức đảm bảo an toàn tổ chức giải pháp điều chỉnh cần thiết để trì trận an ninh chấp nhận Giai đoạn 6: khóa sổ Tổ chức đảm bảo trình chuyển đổi trơn tru dịch vụ kết thúc bị gián đoạn b Đối với sản phẩm an tồn thơng tin, hướng dẫn cụ thể văn hướng dẫn (800-36 Guide to Selecting Information Technology Security Products) khuyến nghị Viện tiêu chuẩn Quốc gia Việc lựa chọn sản phẩm bảo mật phần thiết kế, phát triển trì sở hạ tầng bảo mật để đảm bảo tính bảo mật, tính tồn vẹn tính 28 sẵn sàng nhiệm vụ thông tin quan trọng Hướng dẫn này, xác định sản phẩm bảo mật rộng, nhiều chủng loại, quy định cụ thể loại sản phẩm thuộc loại Sau cung cấp danh sách đặc điểm câu hỏi thích hợp yêu cầu lựa chọn sản phẩm loại Việc lựa chọn sản phẩm bảo mật, thực chương trình an ninh sản phẩm sử dụng, sau trình quản lý rủi ro việc xác định kết hợp có hiệu quản lý, kiểm sốt hoạt động, kỹ thuật Sự pha trộn đặc biệt an ninh kiểm soát tổ chức sử dụng gắn liền với nhiệm vụ tổ chức vai trò hệ thống tổ chức Quản lý rủi ro trình sử dụng để xác định hỗn hợp có hiệu điều khiển Sau kiểm soát cần thiết xác định, sản phẩm bảo mật cơng nghệ thơng tin xác định để cung cấp cho hoạt động cách sử dụng cân nhắc đặt câu hỏi thảo luận Hướng dẫn hỗ trợ việc lựa chọn sản phẩm bảo mật đáp ứng tổ chức yêu cầu cần phải có kết hợp với hướng dẫn khác liên quan như: hướng dẫn quản lý rủi ro cho hệ thống thông tin; nguyên tắc kỹ thuật cho công nghệ bảo mật thông tin; giới thiệu Firewall Firewall Policy… Các loại sản phẩm khuyến nghị cân nhắc sử dụng, lựa chọn đề phù hợp với môi trường chủng loại như: - Nhận dạng xác thực Điều khiển truy cập Phát xâm phạm Tường lửa Cơ sở hạ tầng khóa cơng khai Bảo vệ mã độc … Ngồi việc khuyến nghị lựa chọn cụ thể loại sản phẩm, tài liệu đề nghị chung lựa chọn sản phẩm bảo mật: Tổ chức cần cân nhắc nên bao gồm việc xác định cộng đồng người sử dụng, mối quan hệ sản phẩm an tồn thơng tin nhiệm vụ tổ chức, yêu cầu bảo mật tổ chức, sách, thủ tục hoạt động vấn đề hoạt động hàng ngày, bảo trì đào tạo Cân nhắc sản phẩm bao gồm tổng chi phí vịng đời (bao gồm mua lại hỗ trợ), tính dễ sử dụng, khả mở rộng, yêu cầu khả tương tác, yêu cầu kiểm tra, lỗ hổng, yêu cầu thực cho vá lỗi có liên quan, yêu cầu phương pháp xem xét tiêu chuẩn sản phẩm chương trình tổ chức có kế hoạch, sách, thủ tục, tiêu chuẩn, an ninh phụ thuộc quan trọng với sản phẩm khác, tương tác với sở hạ tầng có 29 Nhà cung cấp sản phẩm an tồn thơng tin cần có tư vấn cho tổ chức kinh nghiệm lựa chọn sản phẩm để tránh lỗ hổng bảo mật V KINH NGHIỆM QUẢN LÝ TIÊU CHUẨN, QUY CHUẨN KỸ THUẬT Tiêu chuẩn quốc tế an tồn thơng tin Các tiêu chuẩn ISO an toàn bao gồm: ISO/IEC 27002:2005 (Bộ luật thực thi quản lý an tồn thơng tin) Đây tiêu chuẩn quốc tế đưa Viện Tiêu Chuẩn Anh Quốc (BSI), luật thực thi quản lý an tồn thơng tin dự kiến hướng dẫn chung thức thi để phát triển tiêu chuẩn an tồn cơng việc quản lý hiệu tổ chức Tiêu chuẩn bao gồm hướng dẫn khuyến nghị trường hợp triển khai thành cơng cho 10 lĩnh vực an tồn thơng tin bao gồm: Chính sách an tồn; Tổ chức thực an tồn thơng tin; Quản lý đánh giá; An tồn nguồn nhân lực; An tồn mơi trường vật lý; quản lý vận hành giao tiếp; điều kiển truy nhập; trì, phát triển thu thập thơng tin; quản lý vụ việc an tồn thơng tin; quản lý tính liên tục hoạt động sản xuất, kinh doanh; tính tương thích Trong số 10 vấn đề an tồn này, có tổng số 39 mục tiêu điều hành hàng trăm biện pháp điều hành an tồn thơng tin tốt khuyến nghị cho tổ chức để thỏa mãn mục tiêu điều khiển bảo vệ quyền sở hữu thông tin chống lại nguy xâm phạm đến tính bảo mật, tính tồn vẹn sẵn sàng ISO/IEC 27001:2005 (Các yêu cầu – Hệ thống quản lý an toàn thông tin) Tiêu chuẩn quốc tế ISO/IEC 27001:2005 xuất phát từ nội dung tiêu chuẩn BSI (BS7799 phần 2:2002) Nó yêu cầu đề thiết lập, thực thi, vận hành, giám sát, rà sốt, trì cải thiện Hệ thống quản lý an tồn thơng tin (ISMS) tổ chức Nó thiết kế để đảm bảo cho việc chọn lựa điều hành phù hợp đầy đủ nhằm bảo vệ tài sản thông tin tổ chức Tiêu chuẩn thường áp dụng tất tổ chức bao gồm doanh nghiệp, quan nhà nước,v.v Tiêu chuẩn giới thiệu mơ hình tuần hồn “Lập kế hoạch – Thực –Kiểm tra – Thi hành” (“Plan-Do-Check-Act” - PDCA) có mục đích thiết lập, thực thi, giám sát cải thiện hiệu Hệ thống quản lý an tồn thơng tin Chu trình PDCA có pha: - Pha Lập kế hoạch (Plan phase): Thiết lập hệ thống ISMS; 30 - Pha thực (“Do” phase): Thực thi vận hành hệ thống; - Pha kiểm tra (“Check” phase): Giám sát rà soát hệ thống ISMS; - Pha thi hành (“Act” phase): Duy trì cải thiện hệ thống ISMS; Thông thường, ISO/IEC 27001:2005 thực với ISO/IEC 27002:2005 ISO/IEC 27001 định nghĩa yêu cầu cho hệ thống ISMS sử dụng ISO/IEC 27002 để đưa hoạt động điều khiển an tồn thơng tin phù hợp bên Hệ thống ISMS ISO/IEC 27002 luật thực thi cấp hoạt động điều khiển tham khảo mà tổ chức ban hành để cơng bố nguy an tồn thơng tin Các hoạt động điều khiển khơng bắt buộc Vì mà khơng có việc chứng nhận cho ISO/IEC 27002, cơng ty chứng nhận phù hợp với tiêu chuẩn ISO/IEC 27001 quy trình quản lý tuân thủ tiêu chuẩn hệ thống ISMS Danh sách quan chứng nhận thức chứng nhận tổ chức tuân thủ tiêu chuẩn ISMS wesite dịch vụ định UK ISO/IEC 15408 (Tiêu chuẩn đánh giá cho an tồn cơng nghệ thơng tin) Tiêu chuẩn quốc tế ISO/IEC 15408 coi Tiêu chuẩn chung “Common Criteria” Tiêu chuẩn bao gồm 03 phần ISO/IEC 15408-1:2005 (giới thiệu mơ hình chung), ISO/IEC 15408-2:2005 (các u cầu tính an tồn), ISO/IEC 15408-3:2005 (các u cầu bảo đảm an tồn) Tiêu chuẩn giúp tính toán, phê chuẩn, xác nhận việc bảo đảm an tồn cho sản phẩm cơng nghệ phù hợp với số thông số yêu cầu tính an tồn tiêu chuẩn Phần cứng phần mềm đánh giá phù hợp với yêu cầu tiêu chuẩn chung (CC) phịng thí nghiệm đo kiểm định để chứng nhận Mức độ bảo đảm ước lượng EAL cho sản phẩm hệ thống thơng tin Có loại EAL: EAL1 – đo tính năng, EAL2 – đo cấu trúc, EAL3-Đo kiểm theo phương pháp, EAL4- thiết kế, đo đánh giá theo phương pháp, EAL5-thiết kế thử nghiệm bán thức, EAL6-Thiết kế, thử nghiệm xác nhận, EAL7-thiết kế, đo, xác nhận thức Danh sách quan định sản phẩm đánh giá Cổng tiêu chuẩn chung Danh sách sản phẩm đánh giá Mỹ tìm website Hệ thống đánh giá xác nhận cho an tồn cơng nghệ thơng tin (CCEVS) Tiêu chuẩn ISO/IEC 13335 (Quản lý an tồn cơng nghệ thơng tin) Tiêu chuẩn ISO/IEC 13335 ban đầu báo cáo kỹ thuật (TR) trước trở thành tiêu chuẩn ISO/IEC đầy đủ Tiêu chuẩn bao gồm tập hợp hướng dẫn biện pháp kỹ thuật điều khiển an toàn: 31 a) ISO/IEC 13335-1:2004: Dẫn chứng khái niệm mơ hình cho quản lý an tồn cơng nghệ thông tin truyền thông; b) ISO/IEC TR 13335-3:1998 dẫn chứng kỹ thuật cho an tồn thơng tin c) ISO/IEC TR 13335-4:2000 bao trùm chọn lựa hoạt động bảo vệ (điều khiển kỹ thuật an toàn), phần xem xét lại thay ISO/IEC 27005 d) ISO/IEC TR 13335-5:2001 gồm việc hướng dẫn quản lý an toàn mạng Phần xem xét lại hợp vào tiêu chuẩn ISO/IEC 18028-1 ISO/IEC 27005 Hungary Một số nội dung quy định tiêu chuẩn Bản dự luật số T/10327 an tồn thơng tin điện tử cho quan nhà nước địa phương sau : - Điểm f Khoản (1) Mục 11§, quy định trách nhiệm bắt buộc Lãnh đạo quan việc bảo vệ hệ thống thông tin điện tử sau: “f) định tiêu chuẩn liên quan đến người có nhiệm vụ, trách nhiệm bảo vệ hệ thống thông tin điện tử quan người có thẩm quyền cần thiết cho việc này, người sử dụng, đưa nội quy an ninh thông tin Tại mục 24 § Chương V cơng việc (biện pháp) kết thúc quy định Chính phủ nhận ủy nhiệm thực công việc liên quan đến tiêu chuẩn sau: (1) a) Các tiêu chuẩn chi tiết nhiệm vụ quyền, tiêu chuẩn thủ tục chi tiết việc thực kiểm tra quyền, b) Mức tiền quyền phạt, tiêu chuẩn thủ tục chi tiết cho việc định hình phạt trả tiền phạt, c) Các tiêu chuẩn, phạm vi cơng việc trình tự thủ tục ủy nhiệm người giám sát an ninh thông tin, f) Các tiêu chuẩn, phạm vi chức quyền lực liên quan đến việc thành lập đưa vào hoạt động Hội đồng, Diễn đàn tiểu ban làm việc quan an ninh mạng theo mục 21.§ 32 Trung Quốc Từ năm 1966, Trung Quốc ban hành tiêu chuẩn quốc gia (bắt buộc áp dụng) an tồn thơng tin ban hành bổ sung tiêu chuẩn bắt buộc áp dụng theo thời kỳ Các tiêu chuẩn quốc gia an tồn thơng tin bao gồm: GB 15851-1995 – Công nghệ thông tin – Kỹ thuật an toàn – Hệ thống chữ ký số khôi phục tin nhắn GB/T 17900-1999: Các yêu cầu kỹ thuật an toàn cho máy chủ proxy GB/T 17901.1-1999: Công nghệ thông tin – kỹ thuật an toàn – quản lý chủ yếu – Phần 1: Mơ hình GB/T 17902.1-1999: Cơng nghệ thơng tin – Kỹ thuật an toàn – Chữ ký số với phần bổ sung – Phần 1: General GB 17859-1999: Tiêu chuẩn phân loại cho bảo vệ an toàn hệ thống thơng tin máy tính GB/T 18238.1-2000: Cơng nghệ thơng tin – Kỹ thuật an tồn – Hàm băm – Phần 1: Tổng quan GB/T 18238.2-2002: Công nghệ thơng tin – Kỹ thuật an tồn – Hàm băm – Phần 2: Hàm băm sử dụng mã khóa n- bit GB/T 18238.3-2002: Công nghệ thông tin – Kỹ thuật an toàn – Hàm băm – Phần 3: Hàm băm chuyên dụng GB/T 19713-2005: Công nghệ thông tin – Kỹ thuật an tồn – Hạ tầng Khóa cơng khai – Giao thức chứng nhận trực tuyến 10 GB/T 19714-2005: Cơng nghệ thơng tin – Kỹ thuật an tồn – Hạ tầng khóa cơng khai Internet 11 GB/T 19771-2005: Cơng nghệ thơng tin – Kỹ thuật an tồn – Hạ tầng khóa cơng khai - Tiêu chuẩn tương thích tối thiểu cho phận Hạ tầng khóa công khai PKI; 12 GB/T 17902.2-2005: Công nghệ thông tin – Kỹ thuật an toàn – Chữ ký số với phụ lục – Phần 2: Cơ chế dựa định danh 13 GB/T 17902.3-2005: Công nghệ thông tin – Kỹ thuật an toàn – Chữ ký số với phụ lục – Phần 2: Cơ chế dựa chứng nhận 33 14 GP/T 15843.5-2005: Công nghệ thông tin – Kỹ thuật an toàn – Xác thực đối tượng – Phần 5: Cơ chế sử dụng kỹ thuật Zero Knowledge 15 GB/T 16264.8-2005: Công nghệ thông tin – Liên kết hệ thống mở Thư mục: Mơ hình chứng thực thuộc tính khóa cơng khai 16 GB/Z 19717-2005: Trao đổi tin nhắn bảo mật dựa phần mở rộn thư điện tử Internet đa mục đích 17 GB/T 20008-2005: Kỹ thuật an tồn thơng tin – Tiêu chuẩn xác định an toàn hệ điều hành 18 GB/T 20010-2005: Kỹ thuật an tồn thơng tin – Tiêu chuẩn xác định an toàn hệ thống quản trị sở liệu 19 GB/T 20010-2005: Kỹ thuật an tồn thơng tin – Tiêu chuẩn xác định tường lửa lọc gói 20 GB/T 20011-2005: Kỹ thuật an tồn thơng tin – Tiêu chuẩn xác định an toàn định tuyến 21 GB/T 19715.1-2005: Công nghệ thông tin – Hướng dẫn quản lý an tồn cơng nghệ thơng tin – Phần 1: Khái niệm mơ hình an tồn thơng tin 22 GB/T 19715.2-2005: Cơng nghệ thơng tin- Hướng dẫn quản lý an tồn thơng tin – Phần 2: Quản lý lập kế hoạch an toàn thơng tin 23 GB/T 20269-2006: Cơng nghệ an tồn thơng tin – Yêu cầu quản lý an toàn hệ thống thơng tin * Chứng nhận sản phẩm an tồn thông tin Trung Quốc; CC-IS yêu cầu chứng nhận cần tuân thủ bắt buộc sản phẩm an tồn thơng tin cho thị trường mua sắm phủ Trung Quốc Các sản phẩm an tồn thơng tin khơng thuộc lĩnh vực mua sắm phủ áp dụng tự nguyện Cơ quan định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực chứng nhận CC-IS bao gồm 08 mục sản phẩm mở rộng thành 13 loại sản phẩm cụ thể Hạng mục sản phẩm An toàn biên Loại sản phẩm cụ thể (1) Tường lửa (2) Card phân tách an toàn mạng chọn dịng (3) Sản phẩm trao đổi thơng tin bảo mật cách ly 34 An toàn giao tiếp Điều khiển truy nhập xác thực 4.An toàn liệu (4) Bộ định tuyến bảo mật (5)Hệ thống điều hành chip thẻ thông minh (6) Sản phẩm khôi phục dự phòng liệu (7) Hệ điều hành bảo mật (8) Hệ sở dự liệu bảo mật 5.An tồn nội dung thơng tin 6.Đánh giá, kiểm tra điều khiển (9) Sản phẩm chống spam (10) Hệ thống phát xâm nhập (11) Sản phẩm quét nguy cơng mạng (12) Sản phẩm kiểm tra an tồn (13) Sản phẩm khơi phục website An tồn ứng dụng - Trong 13 loại sản phẩm nói trên, 06 sản phẩm phải chứng nhận mật mã – chứng nhận đo kiểm giải mã, thực Văn phòng quan quản lý mật mã thương mại quốc gia (OSCCA) - Các sản phẩm đủ điều kiện lưu thông sử dụng Trung Quốc phải đáp ứng yêu cầu phù hợp với tiêu chuẩn quy định thực thi Trung Quốc Các tiêu chuẩn định nghĩa yêu cầu kỹ thuật cho sản phẩm thông tin tiêu chuẩn quốc gia ban hành Cơ quan tiêu chuẩn hóa Trung Quốc (SAC) - Thủ tục chứng nhận phù hợp tiêu chuẩn CC-IS bao gồm bước: Nộp hồ sơ; Đo kiểm phân loại thực phịng thí nghiệm định, Kiểm tra nơi sản xuất, đánh giá, Dán tem hợp chuẩn, tiếp tục kiểm tra việc sản xuất sản phẩm - Trung Quốc ban hành danh mục tổ chức định thực chứng nhận sản phẩm an tồn thơng tin Mỹ Tiêu chuẩn Phân loại bảo đảm an tồn thơng tin hệ thống thông tin liên bang Viện Tiêu chuẩn công nghệ quốc gia (the National Institute of Standards and Technology - NIST) ban hành tháng 02/2004 Bộ tiêu chuẩn ban hành thực thi sở Điều khoản 5131 Bộ Luật cải cách quản lý công nghệ thông tin năm 1996 (Public Law 104-106) Bộ luật Quản lý an tồn thơng tin Liên bang năm 2002 (Public Law 107-347) Nhiệm vụ NIST liên quan đến tiêu chuẩn sau: Xây dựng tiêu chuẩn áp dụng quyền liên bang phân loại hệ thống thông tin thông tin thu thập trì quan quyền liên bang quan thay mặt quyền liên bang dựa mục tiêu cung cấp mức độ an tồn thơng tin với mức nguy công 35 Nhiệm vụ FIPS Publication 199 quy định phát triển tiêu chuẩn để phân loại thông tin hệ thống thông tin Tiêu chuẩn phân loại an tồn thơng tin hệ thống thơng tin cung cấp mơ hình kiến thức chung để diễn đạt an tồn áp dụng cho quyền liên bang để tăng cường: (i) Quản lý dự đoán hiểu chương trình an tồn thơng tin bao gồm điều phối hoạt động đẩy mạnh an tồn thơng tin thơng qua cộng đồng dân cư, quan an ninh quốc gia, ứng cứu khẩn cấp, quan an ninh địa phương, quan thực thi Luật; (ii) Thường xuyên báo cáo Cơ quan quản lý ngân sách (OMB) Quốc hội hiệu đầy đủ sách, thủ tục thực thi an tồn thơng tin Phân loại an tồn áp dụng cho thơng tin hệ thống thơng tin Phân loại an tồn áp dụng cho hệ thống thông dựa vào khả tác động vào hệ thống tổ chức cần xác định kiện xuất gây nguy hại cho thông tin hệ thống thông tin tổ chức việc thực nhiệm vụ phân công, bảo vệ tài sản, thực trách nhiệm pháp lý, trì chức hoạt động thường ngày bảo vệ thành viên tổ chức Phân loại an tồn thực với thơng tin nguy lỗ hổng việc đánh giá nguy cho tổ chức BỘ THÔNG TIN VÀ TRUYỀN THÔNG 36 ... độ an toàn (thấp nhất) Cấp độ toàn an Cấp độ an toàn Trật tự xã hội, lợi ích cơng cộng Cấp độ an toàn Cấp độ toàn an Cấp độ an toàn An ninh quốc gia Cấp độ an toàn Cấp độ toàn an Cấp độ an toàn. .. với việc tăng số bậc Xếp mức an tồn quan có hệ thống thơng tin xếp hạng: Mức an toàn quan xếp loại phù hợp với hạng an toàn cao hệ thống thông tin điện tử quan III KINH NGHIỆM QUẢN LÝ MẬT MÃ Các. .. sát an tồn thơng tin - Sự cố an tồn thơng tin - An toàn vật lý - An toàn người - An tồn truyền thơng - Hệ thống truyền thơng thiết bị - An tồn cơng nghệ thơng tin - An toàn đa phương tiện - An toàn