Phụ lục Tiêu chuẩn an toàn thông tin (Information security standards) Nhận thức chung về tiêu chuẩn an toàn thông tin Tiêu chuẩn an toàn thông tin(ATTT) là yếu tố quan trọng đảm bảo cho sự hoạt động ổn định và tin cậy của hạ tầng kĩ thuật, sự an toàn của thống thông tin và dữ liêu của tổ chức, cá nhân Đối với các nhà thiết kế và sản xuất, tiêu chuẩn ATTT sẽ hỗ trợ để họ có thể cung cấp cho thị trường những sản phẩm chất lượng cao và phù hợp với các đối tượng sử dụng Hiên thế giới đã hình thành một thống tiêu chuẩn an toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa( sản phẩm, dịch vụ, quy trình) Hê thống này được chia làm ba loại : - Tiêu chuẩn đánh giá: là các tiêu chuẩn dùng để đánh giá phân loại các thống thông tin và các phương tiên bảo vê thông tin - Các tiêu chuẩn đặc tả: là các tiêu chuẩn mang đặc tính kĩ thuật, chúng xác lập các phương diên khác viêc thực thi và sử dụng các phương tiên bảo vê thông tin - Các tiêu chuẩn về quản lý: các tiêu chuẩn này xác định yêu cầu đối với công tác tổ chức và quản lý an toàn thông tin, quản lý rủi ro và quản lý về ATTT Hê thống tiêu chuẩn về ATTT thế giới hiên bao gồm: - Tiêu chuẩn quốc tế (do tổ chức tiêu chuẩn hóa quốc tế ISO và ban kĩ thuật điên quốc tế IEC tổ chức xây dựng và công bố) - Tiêu chuẩn quốc gia (do chính phủ các nước công bố) - Tiêu chuẩn của các tổ chức chuyên ngành (tiêu chuẩn sở) Quá trình hình thành các tiêu chuẩn an toàn thông tin Công nghê thông tin được phát triển và ứng dụng trước hết ở các quốc gia công nghiêp tiên tiến Mỹ, Canada, Nhật Bản và các nước phương Tây Do đó, vai trò quyết định quá trình hình thành thống tiêu chuẩn2 ATTT thuộc về các tổ chức tiêu chuẩn hóa tại các quốc gia này, nổi bật là NIST(National Institute of Standards and Technology), ANSI(American National Standards Institute) (Mỹ), BSI (British Standards Institution)(Anh) Ở có vai trò đặc biêt của tổ chức tiêu chuẩn hóa quốc tế ISO, một tổ chức liên kết các nước thành viên và hoạt động với mục tiêu “quốc tế hóa” các tiêu chuẩn phạm vi toàn cầu Ngoài các quan chính phủ và các tổ chức tiêu chuẩn hóa uy tín nêu trên, một số tổ chức khác Cộng đồng Internet (Internet Community) đã có đóng góp không nhỏ vào sự hình thành thống tiêu chuẩn về ATTT, đặc biêt là viêc xây dựng các tiêu chuẩn kỹ thuật 2.1.Các tiêu chuẩn đánh giá Các tiêu chí đánh giá ATTT dưới góc độ công nghê đời sớm so với các tiêu chí về quản lý, bởi vì thực tiễn trước quản lý Tiêu chí đầu tiên đánh giá ATTT là TCSEC(Trusted Computer System Evaluation Criteria) Sau TCSEC, thời gian 1985 - 1995, có khoảng 30 tiêu chuẩn và tài liêu hướng dẫn lĩnh vực an toàn máy tính, thường được gọi là Rainbow Series được công bố ở Mỹ Bộ tài liêu này đề cập đến nhiều vấn đề của an toàn máy tính, đáng kể nhất số đó là Trusted Network Interpretation, với nội dung giải thích, minh họa TCSEC cho các cấu hình mạng và mô tả, đánh giá các dịch vụ an toàn các mạng máy tính Trong tài liêu tiêu chuẩn này, chế bảo vê mật mã lần đầu được trình bày, nhằm đảm bảo tính bí mật và tính toàn vẹn của thông tin Điểm mới của tài liêu chuẩn này xét theo góc độ thời điểm là có cách tiếp cận thống đối với vấn đề truy cập và sự hình thành các nguyên lý cấu trúc thống Sau năm xuất hiên TCSEC, cuối những năm 80 chính phủ Mỹ cho công bố “Các tiêu chí Liên bang đánh giá an toàn công nghê thông tin” Đây là kết quả của nhiều nghiên cứu thập kỷ 80 và sở phân tích kinh nghiêm sử dụng TCSEC Khái niêm cốt lõi của tiêu chuẩn này là Hồ sơ bảo vê (Proctection Profile), một những khái niêm quan trọng nhất thống các tiêu chuẩn đánh giá Đó là tài liêu tiêu chuẩn qui định các phương diên an toàn của sản phẩm CNTT dưới dạng các yêu cầu đối với tất cả các giai đoạn: thiết kế, hoàn chỉnh công nghê, chế tạo và cấp chứng nhận Năm 1991, bốn nước gồm Pháp, Anh, Đức, Hà Lan cùng công bố “Tiêu chí hài hòa của các nước châu Âu” Theo tiêu chuẩn này, tổ chức yêu cầu đánh giá và cấp chứng nhận cho sản phẩm CNTT cần tự xây dựng muc tiêu đánh giá, mô tả các mối đe dọa tiềm ẩn về ATTT và đề xuất các chức bảo vê Cơ quan cấp chứng nhận cần đánh giá mức độ đạt được mục tiêu thông qua các các chức đã đề So với TCSEC và “Các tiêu chí liên bang” thì “Tiêu chí hài hòa của các nước châu Âu” có chức an toàn rộng (gồm 10 hàm chức an toàn, so với chức của TCSEC), đồng thời tiêu chuẩn này đưa các mức an toàn khá chi tiết Cùng thời gian này, chính phủ Canada cho công bố “Tiêu chí đánh giá sản phẩm máy tính tin cậy của Canada” (Canadian Trusted Computer Product Evaluation Criteria) Năm 1993, các tổ chức chính phủ của nước Bắc Mỹ và châu Âu gồm Canada, Mỹ, Anh, Đức, Hà Lan và Pháp cùng soạn thảo tiêu chuẩn “Tiêu chí chung đánh giá an toàn công nghê thông tin” (Common Criteria for IT security Evaluation), thường gọi là Tiêu chí chung (Common Criteria - CC) khuôn khổ một dự án gọi là Dự án CC Mục tiêu của Dự án CC là xây dựng một tiêu chuẩn mới sở kết hợp và phát triển ba tiêu chuẩn “Tiêu chuẩn hài hòa của các nước Châu Âu”, “Tiêu chí đánh giá các thống máy tính tin cậy” của Canada và “Tiêu chuẩn Liên bang an toàn công nghê thông tin” Phương án của CC đã được đời vào năm 1996 Năm 1998, phương án của CC đời với nhiều thay đổi quan trọng so với phương án đầu tiên CC liên tục được xem xét và hoàn thiên, năm 1999, phương án CC 2.1 được ban hành sở góp ý của nhóm công tác chuyên ngành thuộc tổ chức ISO Sáu năm sau (năm 2005), phương án CC 3.0 đời sở xem xét lại nhiều nội dung của các phương án trước đó và năm 2006 phương án CC 3.1 và được ban quản lý CC công bố bản chính thức của CC Phương án 2.1 của CC đã được tổ chức ISO công bố năm 1999 thành tiêu chuẩn quốc tế ISO/IEC15408 - 1999: Tiêu chí đánh giá an toàn công nghê thông tin ISO/IEC 15408:1999 được hoàn thiên, phát triển và năm 2009 được công bố thành ba phần tương ứng với ba nội dung chính của CC là ISO/IEC 15408 - 1: 2009 - Tổng quát (các quan điểm, khái niêm và nguyên lý), ISO/IEC 15408 - 2: 2009 - Các yêu cầu chức về an toàn và ISO/IEC 15408 - 3:2009 - Các yêu cầu đảm bảo Tiêu chí chung CC ISO 15408 được coi là một “siêu tiêu chuẩn”, không vì phạm vi đờ sợ mà cịn vì tính tổng quát và trừu tượng không dễ áp dụng của nó Vì vậy, để tạo thuận lợi cho viêc áp dụng CC, ISO đã ban hành một loạt tài liêu hướng dẫn như: Hướng dẫn xây dựng Hồ sơ bảo vê và Xây dựng nhiêm vụ an toàn, Các thủ tục đăng ký hồ sơ bảo vê và Phương pháp luận tổng quát đánh giá an toàn công nghê thông tin (CEM) Trong các phương tiên bảo đảm ATTT, mật mã có vai trò đặc biêt Do đó các thuật toán và giao thức mật mã thường được công bố thành tiêu chuẩn riêng Tuy nhiên, mật mã được tích hợp vào các sản phẩm ATTT những môđun - được gọi là môđun mật mã (Cryptigraphic module) Các môđun này được thiết kế thành hai phần, phần thuật toán và phần giao diên Vì thế chúng có vị trí đặc biêt cấu an toàn thông tin và cần xây dựng các yêu cầu an toàn riêng dành cho các loại môđun này Đáp ứng nhu cầu này, tháng 5/2001, Mỹ đã công bố tiêu chuẩn FIPS 140 - “Yêu cầu an toàn đối với các môđun mật mã” (FIPS 140 - 2: Security Requirements for Cryptographic Modules) Về thực chất, các tiêu chuẩn đánh giá chủ yếu mô tả các khái niêm và các phương diên quan trọng nhất của ATTT, chúng giữ vai trò đặc tả về tổ chức và cấu trúc, mô tả các yêu cầu an toàn , đó cần có các tài liêu chuẩn về xây dựng các thống an toàn theo cấu trúc và các yêu cầu an toàn mà các tiêu chí đánh giá đề 2.2.Các tiêu chuẩn đặc tả kỹ thuật Các tiêu chuẩn đặc tả kỹ thuật chủ yếu được nhóm chuyên đề về công nghê Internet (Internet Engineeng Task Force - IETF) và các bộ phận của nhóm này soạn thảo Đối tượng xây dựng các tiêu chuẩn đặc tả kỹ thuật của IETF là vấn đề an toàn các tầng mạng Một số lượng đáng kể tài liêu chuẩn đã được IETF xây dựng và công bố được sử dụng rộng rãi, nhất là IPsec, TLS và GSS- API IPsec cung cấp các giao thức quản lý truy cập, xác thực, bảo mật, đảm bảo tính toàn vẹn và bảo vê phần chống lại các tấn công, các giao thức quản lý khóa mật mã TLS (Transport layer Security) là giao thức mật mã chuẩn lần đầu tiên được công bố năm 1999, nhằm đảm bảo liên lạc an toàn internet và được cập nhật vào RFC 5246 (năm 2008) và RFC 6176 (năm 2011) TLS có cấu trúc hai mức, mức là giao thức truyền dữ liêu, mức hai là giao thức thiết lập liên lạc cho phép các bên liên lạc xác thực lẫn và lựa chọn thuật toán khóa mật mã Mục tiêu của GSS- API (The generic Security Services Application Program Interface) - giao diên ứng dụng chương trình tổng quát dịch vụ ATTT - là bảo vê liên lạc giữa các thành phần của thống được thiết kế theo cấu trúc client/server Trong số các tiêu chuẩn đặc tả kỹ thuật, quan trọng nhất cần kể đến các tài liêu X800 - The security architecture for open systems interconnections (Kiến trúc an toàn cho các kết nối thống mở), X.500 - The Directory: Overview of concepts, models and servicers và X509 - The Directory: public- key and Attributute Certificate Frameworks Tài liêu chuẩn này cung cấp các yếu tố sở hạ tầng về ATTT Chẳng hạn X509 là tài liêu chuẩn quan trọng nhất và sử dụng rộng rãi nhất hiên viêc xây dựng sở hạ tầng khóa công khai tại nhiều quốc gia 2.3.Các tiêu chuẩn quản lý an toàn thông tin Một những tiêu chuẩn về quản lý an toàn thông tin đời sớm nhất (1986) là Thư viên hạ tầng Công nghê thông tin (Information Technologies Infrastructure Library - ITIL) Trung tâm máy tính và Viễn thông của chính phủ Anh xây dựng Sự đời của tiêu chuẩn này có động lực từ những ý kiến phê phán cho chất lượng các dịch vụ công nghê thông tin đó chưa đáp ứng yêu cầu Trong công bố lần đầu vào năm 1986, ITIL bao gồm một số tài liêu, mỗi cuốn đề cập đến một loại dịch vụ công nghê thông tin Đến ITIL đã có thêm phiên bản (v.2 năm 2000, v.3 năm 2007 và v.4 năm 2011) Mỗi phiên bản mới đều được bổ sung và hoàn thiên nhằm mở rộng thêm phạm vi và tăng cường khả đáp ứng yêu cầu người dùng Nhìn chung, ITIL bị cho là không áp dụng được với các đối tượng “phi kinh doanh” và có nhiều hạn chế viêc đáp ứng khách hàng Do đó, năm 1995, Viên Tiêu chuẩn Anh đã triển khai xây dựng và công bố tiêu chuẩn BS 15000 Tuy nhiên, BS 15000 là tiêu chuẩn không dành riêng cho lĩnh vực an toàn Mặt khác, nội dung an toàn thuộc ITIL không đủ đáp ứng các yêu cầu của người dùng, nên theo đơn đặt hàng của chính phủ Anh, năm 1995, Viên Tiêu chuẩn Anh (BSI) cho công bố tiêu chuẩn BS 7799: Các quy tắc thực hành quản lý an toàn thông tin (Code of practice for information security management), ngày được ký hiêu là BS 77991 Đây thực sự là tài liêu hướng dẫn thực hành quản lý ATTT, nó mô tả 10 lĩnh vực với 127 chế kiểm soát thống ATTT Phần của tiêu chuẩn là BS7799- 2: Các thống quản lý ATTT- Hướng dẫn sử dụng (Information security management systems –Specification with guidance for use) được công bố năm 1998, phần này xác định mô hình tổng quát xây dựng thống quản lý ATTT (ISMS) và các yêu cầu bắt buộc mà ISMS phải thỏa mãn Với sự đời của BS 7799- 2, lĩnh vực chứng nhận sự phù hợp và cùng với nó, thống cấp chứng nhận bắt đầu phát triển mạnh Năm 2005, phần của BS 7799 là BS7799- được công bố dành cho lĩnh vực quản lý rủi ro ATTT BS 7799 có thể coi là “khởi nguồn” của các tiêu chuẩn quản lý ATTT Trong tiêu chuẩn này, lần đầu tiên đề cập đến các khái niêm như: chính sách an toàn, các nguyên tắc chung tổ chức bảo vê thông tin, phân loại và quản lý tài nguyên an toàn nhân sự, an toàn vật lý, các nguyên lý quản trị thống và mạng, quản lý truy cập Năm 1999, Ủy ban kỹ thuật của ISO xem xét hai phần đầu của BS 7799 và một năm sau đó BS7799- được ISO ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799: 2000 Năm 2005, BS 7799 - và BS 7799 - được ban hành thành các tiêu chuẩn quốc tế ISO/IEC 2700 Từ năm 1998 đến năm 2004, tổ chức ISO đã công bố thêm bộ tiêu chuẩn ISO/IEC 13.335 – X, gọi tắt là GMITS(Hướng dẫn vê quản lý an ninh CNTT) bao gồm bốn tiêu chuẩn ISO/IEC 13.335 - 1:1999 cung cấp hướng dẫn về thống quản lý an toàn, ISO/IEC 13.335 - 2: 2003 một mô tả chi tiết của thống lập kế hoạch và quản lý an toàn, ISO/IEC 13.335- một mô tả về kỹ thuật của các thống quản lý an toàn, ISO/IEC 13.335- giải thích sự lựa chọn biên pháp bảo vê thích hợp, ISO/IEC 13.335 - phần cuối cùng của tiêu chuẩn an ninh tính phương pháp cho các kết nối với các mạng bên ngoài Tương tự các bộ tiêu chuẩn quản lý các lĩnh vực khác (như ISO/IEC 900X lĩnh vực quản lý chất lượng, ISO/IEC 2000X lĩnh vực quản lý dịch vụ công nghê thông tin), bắt đầu từ năm 2005, tổ chức ISO và IEC đã tiến hành triển khai kế hoạch xây dựng bộ tiêu chuẩn ISO/IEC 2700X lĩnh vực quản lý ATTT và khởi đầu bởi 2700 - và ISO/IEC 13335 - X Cho đến nay, ISO/IEC 2700X đã có 30 tiêu chuẩn và một số quá trình dự thảo Các tiêu chuẩn này bao quát hầu hết các vấn đề của lĩnh vực ATTT như: khái quát (các quan điểm, khái niêm và mô hình), các yêu cầu (đối với thống ISMS, đối với các quan kiểm toán, cấp chứng nhận), các phương pháp đảm bảo an toàn, các phương pháp đo lường, các quy tắc thực hành quản lý, hướng dẫn áp dụng ISMS, quản lý an toàn các lĩnh vực tài chính (ISO 27015), giáo dục, sức khỏe (ISO/IEC 27099), an toàn mạng (ISO/IEC 27033 gồm tiêu chuẩn từ ISO 270033 - đến ISO/IEC 27033 - 8) và nhiều vấn đề khác Các tiêu chuẩn quốc tế ISO/IEC hiên được ứng dụng rộng rãi nhất là các tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002 Theo thống kê, hai tiêu chuẩn này cùng với BS7799 và các tiêu chuẩn ITIL, PCIDSS, COBIT tạo thành những tiêu chuẩn khá phổ biến (163 nước áp dụng ISO/IEC 27001 và 27002; 110 nước áp dụng BS7799, 115 nước áp dụng PCIDSS; 50 nước áp dụng ITIL và 160 nước áp dụng COBIT) Mỗi tiêu chuẩn về quản lý ATTT được sử dụng phổ biến nhất hiên có vai trò, vị trí và trọng tâm riêng Nếu các tiêu chuẩn ISO/IEC 27001, ISO/IEC 27002 và BS 7799 đặt trọng tâm vào thống quản lý ATTT (ISMS - Information security magagement system), thì PCIDSS lại chú trọng vào giao dịch thương mại và thẻ toán; ITIL và COBIT dành cho các vấn đề ATTT liên quan đến quản lý dự án và quản trị CNTT Tuy vậy, người ta đã so sánh BS 7799, ISO 27001, PCIDSS, ITIL và COBIT theo 12 nội dung quản lý chủ chốt, thường được gọi là 12EC (12 essetial control), gồm chính sách an toàn, quản lý truyền thông và vận hành, quản lý truy cập, tổ chức ATTT, tiếp nhận thống thông tin, quản lý tài sản, quản lý sự cố an toàn, quản lý kinh doanh liên tục, an toàn nguồn nhân lực, an toàn vật lý và môi trường) Theo tính khả dụng phạm vi toàn cầu, tính linh hoạt và dễ sử dụng với người dùng thì ISO/IEC 27001 chiếm vị trí quán quân Điều này dễ hiểu, bởi các tiêu chuẩn ISO là kết quả chọn lọc từ các tiêu chuẩn quốc gia và chuyên ngành, được hoàn thiên qua đội ngũ chuyên gia nhiều nước làm viêc các ban kỹ thuật của tổ chức này Tình hình tiêu chuẩn hoá nước và ngoài nước 3.1 Tình hình tiêu chuẩn hóa quốc tê Vấn đề an toàn thông tin ngày càng trở nên cấp bách toàn thế giới Hàng loạt các sự cố về mạng, các cuộc tấn công ngày càng nhiều nhắm vào các thống công nghê thông tin các lĩnh vực ngân hàng, tài chính, thương mại, quan chính phủ,…Bên cạnh viêc liên tục cải tiến các công nghê bảo mật, viêc áp dụng thống tiêu chuẩn an toàn thông tin đã được các quốc gia thế giới đặc biêt chú trọng Hàng năm các tổ chức tiêu chuẩn quốc tế liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 27000, ISO/ICE 1335(quản lý an toàn công nghê thông tin) Bên cạnh những tiêu chuẩn về quản lý an toàn thông tin thì chuẩn về đánh giá an toàn thông tin được các tổ chức tiêu chuẩn thế giới quan tâm, như: • Bợ tiêu ch̉n ISO/IEC 15408:2009 • Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghê thông tin - Các kỹ thuật an toàn- Phương pháp ước lượng an toàn công nghê thông tin Tiêu chuẩn này được sử dụng cùng với các tiêu chí đánh giá an toàn bợ ISO/IEC 15408 • Bợ tiêu ch̉n ISO/IEC TR19791:2010 - Công nghê thông tin - Các kỹ thuật an toàn - Đánh giá an toàn các thống hoạt động Tiêu chuẩn này cung cấp các hướng dẫn và tiêu chí cho viêc ước lượng an toàn các thống hoạt động Tiêu chuẩn này mở rộng của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng các thống hoạt động mà tiêu ch̉n ISO/IEC 15408 khơng được đề cập • Bợ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niêm và tiêu chí cho viêc so sánh và phân tích các phương pháp đánh giá sự phù hợp bảo đảm an toàn Bộ tiêu chuẩn này gồm phần:  ISO/IEC 15443-1:2012 - Công nghê thông tin - Kỹ thuật an toàn Khung bảo đảm an toàn công nghê thông tin - Phần 1: Giới thiêu và khái niêm  ISO/IEC 15443-2:2012 - Công nghê thông tin - Kỹ thuật an toàn Khung bảo đảm an toàn công nghê thông tin - Phần 2: Các phân tích 3.2 Tình hình tiêu chuẩn hóa nước Viêc triển khai TCVN ISO/IEC 27001:2009 là yêu cầu cấp thiết đối với các tổ chức, doanh nghiêp nhằm áp dụng các biên pháp, xây dựng các quy trình đảm bảo an toàn thông tin Rất nhiều quan nhà nước, Bộ/ngành, Sở Thông tin và Truyền thông các tỉnh/thành phố thường tham khảo các tiêu chuẩn về an toàn thông tin nói chung và tiêu chuẩn TCVN ISO/IEC 27001:2009 nói riêng để xây dựng quy chế đảm bảo an toàn, an ninh thông tin hoạt động ứng dụng công nghê thông tin Bộ Thông tin và Truyền thông hiểu rõ điều này và đã có nhiều biên pháp hỗ trợ quan nhà nước, doanh nghiêp viêc cung cấp tư vấn, giúp đỡ quá trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 và điển hình là thực hiên dự án “Tư vấn hỗ trợ doanh nghiêp đánh giá, lấy chứng ISO 27001” Kết quả của dự án hỗ trợ nhiều doanh nghiêp đạt chứng chứng nhận ISO/IEC 27001, mở hàng chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng ISO 27001 Ngoài Bộ Thông tin và Truyền thông đẩy mạnh viêc xây dựng và ban hành các tiêu chuẩn về an toàn thông tin dự án 31 tiêu chuẩn về an toàn thông tin và một số các tiêu chuẩn về an toàn thông tin được thực hiên dưới dạng đề tài nghiên cứu 3.2.1 Một số tiêu chuẩn về công nghệ thông tin nói chung và các tiêu chuẩn về an toàn thông thông tin nói riêng ban hành thành Tiêu chuẩn quốc gia (09 Tiêu chuẩn) 3.2.1.1 Tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các u cầu” Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management system” Trung tâm Ứng cứu khẩn cấp máy tính Viêt Nam - Bộ TTTT xây dựng và được ban hành TCVN năm 2009 gồm các nội dung cụ thể sau: - Phạm vi áp dụng - Tài liêu viên dẫn - Thuật ngữ và định nghĩa - Hê thống quản lý an toàn thông tin - Trách nhiêm của ban quản lý - Đánh giá nội bộ thống ISMS - Soát xét của ban quản lý đối với thống ISMS - Cải tiến thống ISMS - 03 phụ lục tham khảo 3.2.1.2 Tiêu chuẩn TCVN ISO/IEC 27002:2011 TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin” Tiêu ch̉n này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005 “Information technology – Security techniques – Code of practice for infomation security management” được Viên KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm 2011 gồm các nội dung cụ thể sau: - Phạm vi áp dụng - Thuật ngữ và định nghĩa - Đánh giá và xử lý rủi ro ISO/IEC TR 27008:2011 Information technology - Security techniques - Guidelines for auditors on information security management systems controls (Cơng nghệ thơng tin –Kỹ thuật an tồn - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an tồn thơng tin); 10 ISO/IEC 27010:2012 Information technology - Security techniques - Information security management for intersector and interorganisational communications (Cơng nghệ thơng tin - Kỹ thuật an tồn - An tồn thơng tin quản lý cho truyền thơng liên ngành liên tổ chức); 11 ISO/IEC 27011: 2008 Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thơng dựa tiêu chuẩn ISO / IEC 27002); 12 ISO/IEC 27013:2012 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and 20000-1 (Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1); 13 ISO/IEC 27014:2013 Information technology - Security techniques - Governance of information security (Công nghệ thông tin - Kỹ thuật an tồn - Hướng dẫn an tồn thơng tin); 14 ISO/IEC TR 27015:2012 Information technology - Security techniques - Information security management guidelines for financial services (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an tồn thơng tin cho dịch vụ tài chính); 15 ISO/IEC TR 27016:2014 IT Security - Security techniques Information security management - Organization economics (An tồn cơng nghệ thơng tin - Kỹ thuật an tồn - Quản lý an tồn thơng tin - Tổ chức kinh tế); 16.ISO/IEC 27018:2014 Information technology - Security techniques - Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors (Cơng nghệ thơng tin - Kỹ thuật an tồn - Mã thực hành cho việc bảo vệ thông tin định danh cá nhân xử lý thông tin định danh cá nhân đám mây); 17.ISO/IEC TR 27019:2013 Information technology - Security techniques - Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry (Cơng nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn quản lý an tồn thơng tin dựa ISO/IEC 27002 cho hệ thống kiểm soát quy trình đặc trưng cơng nghiệp lượng); 18 ISO/IEC 27031: 2011 Information technology - Security techniques - Guidelines for information and communications technology readiness for business continuity (Công nghệ thơng tin Kỹ thuật an tồn- Hướng dẫn cơng nghệ thơng tin truyền thơng cho tính liên tục nghiệp vụ); 19 ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity (Công nghệ thông tin Kỹ thuật an tồn - Hướng dẫn an tồn khơng gian mạng); 20 ISO/IEC 27033:2009+ Information technology - Security techniques - Network security (Công nghệ thông tin - Kỹ thuật an tồn - an tồn mạng) gờm 05 phần đã được ban hành, phần quá trình xây dựng; Thay thế bộ ISO/IEC 18028 về an toàn mạng IT 21 ISO/IEC 27034:2011+ Information technology - Security techniques - Application security (Công nghệ thông tin - Kỹ thuật an toàn– an toàn ứng dụng) Đã ban hành phần ISO/IEC 270341:2011 Overview and concepts (Tổng quan khái niệm); 22 ISO/IEC 27035:2011 Information technology - Security techniques - Information security incident management (Công nghệ thông tin Kỹ thuật an tồn -Quản lý cố an tồn thơng tin) thay thế ISO TR 18044 về quản lý sự cố an toàn; 23 ISO/IEC 27036:2013+ IT Security - Security techniques Information security for supplier relationships (An tồn cơng nghệ thơng tin - Kỹ thuật an tồn - An tồn thơng tin mối quan hệ nhà cung cấp); 24 ISO/IEC 27037:2012 Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence (Công nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn việc xác định, tập hợp, tìm kiếm bảo quản chứng số); 25 ISO/IEC 27038:2014 Information technology - Security techniques - Specification for digital redaction (Công nghệ thông tin - Kỹ thuật an toàn - Chỉ dẫn kỹ thuật biên soạn kỹ thuật số); 26 ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002 (Thông tin y tế Quản lý an tồn thơng tin y tế sử dụng tiêu chuẩn ISO/IEC 27002) 4.4 Giới thiệu về IOS/IEC 27001:2013 Tiêu chuẩn ISO/IEC 27001: 2013 Hê thống quản lý an toàn thông tin - Các yêu cầu (Information security management systems Requirements) Là một tiêu chuẩn thuộc bộ tiêu chuẩn ISO/IEC 27000, vì vậy phạm vi áp dụng, các thuật ngữ và định nghĩa được định nghĩa ISO/IEC 27000 đều có thể áp dụng đối với ISO/IEC 27001 Về cấu trúc, tiêu chuẩn ISO/IEC 27001 gồm lời mở đầu, 11 mục ( bắt đầu từ mục 0), ba phụ lục và một thư mục tài liêu tham khảo Bắt đầu từ mục đến mục 10 của tiêu chuẩn gắn với quy trình mà tiêu chuẩn quy định về viêc xây dựng và áp dụng một thống ISMS Cụ thể là từ mục đến mục là quy trình lập kế hoạch (Plan), mục gắn với quy trình triển khai (Do), mục là quy trình kiểm tra, đánh giá(Check), và cuối cùng là mục 10 quy định về viêc cập nhật, cải tiến (Atc) .. .Tiêu chuẩn an toàn thông tin (Information security standards) Nhận thức chung về tiêu chuẩn an toàn thông tin Tiêu chuẩn an toàn thông tin( ATTT) là yếu tố quan trọng đảm... mạnh viêc xây dựng và ban hành các tiêu chuẩn về an toàn thông tin dự án 31 tiêu chuẩn về an toàn thông tin và một số các tiêu chuẩn về an toàn thông tin được thực hiên dưới... an toàn thông tin - Xử lý rủi ro an toàn thông tin - Chấp nhận rủi ro an toàn thông tin - Truyền thông và tư vấn rủi ro an toàn thông tin - Giám sát và soát xét rủi ro an toàn