BỘ THÔNG TIN VÀ TRUYỀN THÔNG THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THƠNG TIN – CÁC KỸ THUẬT AN TỒN – HƯỚNG DẪN ĐÁNH GIÁ VIÊN ĐÁNH GIÁ BIỆN PHÁP KIỂM SỐT AN TỒN THƠNG TIN HÀ NỘI, 2017 MỤC LỤC Tên gọi ký hiệu Tiêu chuẩn quốc gia .3 Đặt vấn đề 2.1 Tình hình tiêu chuẩn hố nước nước 2.1.2 2.1.4 2.1.5 2.1.6 Tình hình tiêu chuẩn hố quốc tế 12 Lý xây dựng tiêu chuẩn 16 Mục đích xây dựng tiêu chuẩn 17 Vai trò ISO/IEC TR 27008 ISO/IEC 27000 .18 Sở xây dựng tiêu chuẩn 20 3.1 Lựa chọn tiêu chuẩn tham chiếu 20 3.2 Phương pháp xây dựng tiêu chuẩn 20 3.3 Phạm vi áp dụng khả áp dụng tiêu chuẩn Việt Nam .20 3.3.1 Phạm vi áp dụng: 20 3.3.2 Khả áp dụng tiêu chuẩn Việt Nam 21 Nội dung dự thảo tiêu chuẩn kỹ thuật 22 4.1 Giới thiệu ISO/IEC TR 27008:2011 22 4.2 Cấu trúc nội dung Dự thảo tiêu chuẩn 22 4.3 Bảng đối chiếu tiêu chuẩn viện dẫn 24 Thư mục tài liệu tham khảo 26 Tên gọi ký hiệu Tiêu chuẩn quốc gia Tên dự thảo tiêu chuẩn quốc gia : “Công nghệ thông tin- Các kỹ thuật an toàn -Hướng dẫn đánh giá viên đánh giá biện pháp kiểm sốt an tồn thơng tin” Mã số: TCVN 27008:XXXX Đặt vấn đề 2.1 Tình hình tiêu chuẩn hố nước ngồi nước 2.1.1 Tình hình tiêu chuẩn hoá nước Việc triển khai TCVN ISO/IEC 27001:2009 yêu cầu cấp thiết tổ chức, doanh nghiệp nhằm áp dụng biện pháp, xây dựng quy trình đảm bảo an tồn thơng tin Rất nhiều quan nhà nước, Bộ/ngành, Sở Thông tin Truyền thông tỉnh/thành phố thường tham khảo tiêu chuẩn an tồn thơng tin nói chung tiêu chuẩn TCVN ISO/IEC 27001:2009 nói riêng để xây dựng quy chế đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông hiểu rõ điều có nhiều biện pháp hỗ trợ quan nhà nước, doanh nghiệp việc cung cấp tư vấn, giúp đỡ trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 điển hình thực dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng ISO 27001” Kết dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàng chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng ISO 27001 Ngồi Bộ Thơng tin Truyền thơng đẩy mạnh việc xây dựng ban hành tiêu chuẩn an tồn thơng tin dự án 31 tiêu chuẩn an tồn thơng tin số tiêu chuẩn an tồn thơng tin thực dạng đề tài nghiên cứu Một số tiêu chuẩn công nghệ thông tin tiêu chuẩn an tồn thơng tin ban hành tiêu chuẩn quốc gia (09Tiêu chuẩn) a) Tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các u cầu” Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management system” Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng ban hành TCVN năm 2009 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Tài liệu viện dẫn - Thuật ngữ định nghĩa - Hệ thống quản lý an tồn thơng tin - Trách nhiệm ban quản lý - Kiểm toán nội hệ thống ISMS - Soát xét ban quản lý hệ thống ISMS - Cải tiến hệ thống ISMS - 03 phụ lục tham khảo b) Tiêu chuẩn TCVN ISO/IEC 27002:2011 TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin” Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005 “Information technology – Security techniques – Code of practice for infomation security management” Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm 2011 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Thuật ngữ định nghĩa - Đánh giá xử lý rủi ro - Chính sách an tồn thơng tin - Tổ chức đảm bảo an tồn thơng tin - Quản lý tài sản - Đảm bảo an tồn thơng tin từ nguồn nhân lực - Đảm bảo an toàn vật lý môi trường - Quản lý truyền thông vận hành - Quản lý truy cập - Tiếp nhận, phát triển trì hệ thống thơng tin - Quản lý cố an tồn thơng tin - Quản lý liên tục hoạt động nghiệp vụ - Sự tuân thủ c) TCVN ISO/IEC 10295:2014 TCVN 10295:2014 “Cơng nghệ thơng tin – Kỹ thuật an tồn – Quản lý rủi ro an tồn thơng tin” Tiêu chuẩn xây dựng hoàn toàn tương đương với ISO/IEC 27005:2011 Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - Bộ Thơng tin Truyền thơng xây dựng Nội dung tiêu chuẩn - Tổng quan quy trình quản lý rủi ro an tồn thơng tin - Thiết lập ngữ cảnh - Đánh giá rủi ro an tồn thơng tin - Xử lý rủi ro an tồn thơng tin - Chấp nhận rủi ro an tồn thơng tin - Truyền thơng tư vấn rủi ro an tồn thơng tin - Giám sát sốt xét rủi ro an tồn thơng tin - 07 Phụ lục tham khảo d) Bộ tiêu chuẩn Các tiêu chí đánh giá an tồn CNTT (03 phần) Do Trung tâm VNCERT - Bộ thông tin Truyền thông xây dựng  TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu mơ hình tổng qt" Tiêu chuẩn hồn tồn tương đương với tiêu chuẩn quốc tế ISO/IEC 15408-1:2009 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 1: Introduction and General Model" Tiêu chuẩn ban hành TCVN năm 2011, nội dung tiêu chuẩn cho phép thực so sánh kết đánh giá an toàn độc lập, cung cấp tập yêu cầu chức an toàn cho sản phẩm hệ thống công nghệ thông tin biện pháp đảm bảo áp dụng u cầu q trình đánh giá an tồn Các sản phẩm CNTT dạng phần cứng, phần mềm, phần sụn Ngồi tiêu chuẩn cịn đánh giá giá thiết lập mức tin cậy chức an toàn toàn cho sản phẩm hệ thống CNTT, biện pháp đảm bảo áp dụng mà thoả mãn yêu cầu nêu Các kết đánh giá giúp người dùng xác định xem sản phẩm hệ thông thống CNTT có thoả mã u cầu an tồn đưa hay không?  TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức an toàn" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 15408-2:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 2: Security functional components" Tiêu chuẩn ban hành TCVN năm 2011, nội dung Tiêu chuẩn là: Đưa yêu cầu an toàn làm sở cho yêu cầu chức an toàn biểu thị Hồ sơ bảo vệ (Protection Profile - PP) Đích An tồn (Security Target - ST) Các u cầu mơ tả hành vi an tồn mong muốn dự kiến Đích đánh giá (TOE – Target of Evaluation) môi trường CNTT TOE cần thỏa mãn mục tiêu an toàn công bố PP ST Các u cầu mơ tả đặc tính an tồn người dùng phát thơng qua tương tác trực tiếp (nghĩa thông qua đầu vào, đầu ra) với sản phẩm /hệ thống CNTT qua phản ứng sản phẩm /hệ thống CNTT với tương tác  TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 15408-3:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 3: Security assurance components" Tiêu chuẩn ban hành TCVN năm 2011, nội dung Tiêu chuẩn là: Nêu thành phần đảm bảo bảo an tồn thơng tin sở cho u cầu đảm bảo an tồn thơng tin biểu thị Hồ sơ bảo vệ (Protection Profile – PP) Đích An tồn (Security Target – ST) Các yêu cầu tạo thành cách thức chuẩn để biểu thị yêu cầu đảm bảo cho Đích đánh giá (TOE – Target of Evaluation) Tiêu chuẩn liệt kê danh mục thành phần, họ lớp đảm bảo đồng thời xác định tiêu chí đánh giá cho PPs STs, biểu thị cấp đảm bảo đánh giá dùng để xác định thang bậc ISO/IEC 15408 định trước cho đánh giá tính đảm bảo TOEs, gọi Cấp đảm bảo đánh giá (EALs – Evaluation Assurance Levels) e) Tiêu chuẩn TCVN 9965:2013 TCVN 9965:2013 "Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27013:2012 "Information technology - Security techniques - Guidance on the intgrated implementtation of ISO/IEC 27001 and ISO/IEC 20000-1 " Tiêu chuẩn Viện Tiêu chuẩn chất lượng Việt Nam xây dựng ban hành TCVN năm 2013 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Tài liệu viện dẫn - Tổng quan TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1 - Tiếp cận việc triển khai tích hợp - Xem xét việc triển khai tích hợp - 02 Phụ lục (Tham khảo): Sự phù hợp TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1:2011; So sánh thuật ngữ ISO/IEC 27000:2009 ISO/IEC 20000-1:2011 f) Tiêu chuẩn TCVN 9801-1:2013 TCVN 9801-1:2013 "Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng Phần 1: Tổng quan khái niệm" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27033-1:2009 "INformation technology - Security techniques - Network security Part1: Overview and concepts" Tiêu chuẩn Viện tiêu chuẩn chất lượng Việt Nam xây dựng ban hành TCVN năm 2013 gồm nội dung cụ thể sau: Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan an toàn mạng định nghĩa liên quan và: - Cung cấp hướng dẫn việc nhận biết phân tích rủi ro an toàn mạng xác định yêu cầu an tồn mạng dựa phân tích đó; - Cung cấp tổng quan biện pháp hỗ trợ kiến trúc an toàn mạng biện pháp kỹ thuật liên quan; - Hướng dẫn phương pháp để đạt kiến trúc an tồn mạng có chất lượng tốt, xác định rủi ro, thiết kế biện pháp liên quan tới kịch mạng lĩnh vực công nghệ mạng - Nêu vấn đề liên quan đến triển khai vận hành biện pháp an toàn mạng, giám sát soát xét liên tục biện pháp triển khai an toàn mạng g) Tiêu chuẩn TCVN ISO 19011:2013 TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO 19011:2011 "Guidelines for auditing management systems" tiêu chuẩn Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 176 xây dựng ban hành năm 2013 Tiêu chuẩn đưa hướng dẫn đánh giá hệ thống quản lý, bao gồm nguyên tắc đánh giá, quản lý chương trình đánh giá tiến hành đánh giá hệ thống quản lý, hướng dẫn xem xét đánh giá lực cá nhân tham gia trình đánh giá gồm người quản lý chương trình đánh giá, chuyên gia đánh giá đoàn đánh giá Một số tiêu chuẩn thuộc ISO/IEC 27000 xây dựng dự thảo tiêu chuẩn thẩm định chờ quan chức ban hành (07 tiêu chuẩn) a) Dự thảo TCVN ISO/IEC 27000 Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 "Công nghệ thông tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan Từ vựng" Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 hoàn toàn tương đương với tiêu chuẩn quốc tế: ISO/IEC 27000:2012 b) Dự thảo TCVN ISO/IEC 27003 Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin” xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27003:2010 "Information technology – Security techniques – Information security management system implementation guidance" Tiêu chuẩn Viện KHKTBĐ - Bộ Thông tin Truyền thông xây dựng Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Tiêu chuẩn tập trung vào kía cạnh then chốt để thiết kế triên khai thành cơng hệ thống quản lý an tồn thơng tin(ISMS) theo TCVN ISO/IEC 27001:2009 Tiêu chuẩn mô tả quy trình đặc tả thiết kế ISMS từ lức khởi đầu đến đưa kế hoạch triển khai bao gồm nội dung: - Nêu cấu trúc tiêu chuẩn - Ban quản lý khởi động dự án ISMS - Xác định phạm vi, giới hạn sách ISMS - Tiến hành phân tích u cầu an tồn thơng tin - Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro - Thiết kế ISMS - 05 Phụ lục c) Dự thảo TCVN ISO/IEC 27004 Dự thảo TCVN “Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” xây dựng hoàn toàn tương đương với ISO/IEC 27004:2009 Dự thảo TCVN Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Nội dung tiêu chuẩn - Tổng quan đo lường an tồn thơng tin - Trách nhiệm ban quản lý - Lựa chọn số đo triển khai đo - Các hoạt động đo lường - Phân tích liệu lập báo cáo kết đo - Định lượng hồn thiện Chương trình đo lường an tồn thông tin - 02 Phụ lục "Mẫu cấu trúc đo" "ví dụ cấu trúc đo" d) Dự thảo TCVN ISO/IEC 27010 Dự thảo TCVN “Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin cho truyền thơng liên tổ chức, liên ngành” Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an tồn thơng tin cho truyền thơng liên tổ chức, liên ngành” xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27010:2012 Dự thảo TCVN Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Nội dung tiêu chuẩn: - Chính sách an tồn thơng tin - Tổ chức đảm bảo an tồn thơng tin - Quản lý tài sản - Đảm bảo an toàn thông tin từ nguồn nhân lực - Đảm bảo an tồn vật lý mơi trường - Quản lý truyền thông vận hành - Quản lý truy cập - Phát triển trì hệ thống thơng tin - Quản lý cố an tồn thơng tin - Quản lý liên tục hoạt động nghiệp vụ - Sự tuân thủ - 04 Phụ lục tham khảo e) Dự thảo TCVN ISO/IEC 27033-2 Dự thảo TCVN ISO/IEC 27033-2 "Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế triển khai an toàn mạng" 10 ISO/IEC 27000: 2009 “Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an ninh thông tin - Tổng quan từ vựng(Information technology Security techniques - Information security management systems - Overview and vocabulary); ISO/ IEC 27001: 2005 “Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin – Các u cầu” (Information Technology – Security techniques – Information security management system – Requirements); ISO/IEC 27002:2005 “ Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an ninh thông tin” (Information technology – Security techniques – Code of practice for infomation security management); ISO/IEC 27003: 2010 – “Công nghệ thông tin- Kỹ thuật an toàn- Hướng dẫn triển khai Hệ thống quản lý an ninh thông tin(ISMS)” (Information technology - Security techniques - Information security management system implementation guidance); ISO/IEC 27004:2009 Công nghệ thơng tin – Kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường(Information technology - Security techniques ― Information security management – Measurement); ISO/IEC 27005:2011 “Cơng nghệ thơng tin- Kỹ thuật an tồn - Quản lý rủi ro an ninh thông tin”(Information technology - Security techniques Information security risk management); ISO/IEC 27006:2007 “Công nghệ thơng tin- Kỹ thuật an tồn - u cầu công nhận tổ chức đánh giá chứng nhận hệ thống an ninh thông tin”(Information technology - Security techniques - Requirements for the accreditation of bodies providing audit and certification of information security management systems); ISO/IEC 27007:2011 “Cơng nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn đánh giá bảo mật hệ thống thông tin quản lý (FCD)(Information technology - Security techniques -Guidelines for information security management systems auditing (FCD); ISO/IEC TR 27008:2011 “Cơng nghệ thơng tin –Kỹ thuật an tồn - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an ninh thông tin” (Information technology - Security techniques - Guidelines for auditors on information security management systems controls; 13 10.ISO/IEC 27010:2012 “Cơng nghệ thơng tin - Kỹ thuật an tồn - An tồn thơng tin quản lý cho truyền thơng liên ngành liên tổ chức” (Information technology - Security techniques - Information security management for intersector and inter-organisational communications); 11 ISO/IEC 27011: 2008 “Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho tổ chức viễn thông dựa tiêu chuẩn ISO / IEC 27002”(Information technology - Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002); 12 ISO/IEC 27031: 2011 “Công nghệ thông tin - Kỹ thuật an toàn- Hướng dẫn liên tục kinh doanh hướng công nghệ thông tin truyền thông” (Information technology - Security techniques - Guidelines for information and communications technology readiness for business continuity); 13 ISO/IEC 27032:2012 “Công nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn an tồn khơng gian mạng” (Information technology — Security techniques — Guidelines for cybersecurity) 14 ISO/IEC 27033, “Công nghệ thơng tin - Kỹ thuật an tồn - an tồn mạng” (Information technology - Security techniques - Network security) thay Tiêu chuẩn ISO/IEC 18028 an toàn mạng IT Hiện tổ chức tiêu chuẩn quốc tế ban hành 5/6 tiêu chuẩn thuộc tiêu chuẩn 15 ISO/IEC 27034 “Công nghệ thông tin - Kỹ thuật an toàn– an toàn ứng dụng” (Information technology - Security techniques - Application security) Phần ISO/IEC 27034-1:2011, ban hành năm 2011, tiêu đề “Tổng quan khái niệm”(Overview and concepts); 16 ISO/IEC 27035:2011 “Công nghệ thông tin - Kỹ thuật an toàn -Quản lý cố an tồn thơng tin”(Information technology - Security techniques Information security incident management) thay ISO TR 18044 quản lý cố an tồn; 17 ISO 27799:2008 “Thơng tin y tế - Quản lý an tồn thơng tin y tế sử dụng tiêu chuẩn ISO / IEC 27002” (Health informatics - Information security management in health using ISO/IEC 27002) 14 Bảng 1: Quá trình xây dựng ban hành tiêu chuẩn quốc tế, chuẩn quốc gia tiêu chuẩn thuộc 27000 STT Tiêu chuẩn quốc tế Tiêu chuẩn dự thảo tiêu chuẩn quốc gia ISO/IEC 27000:2009 Dự thảo TCVN ISO/IEC 27001:2005 TCVN ISO/IEC 27001:2009 ISO/IEC 27002:2005 TCVN ISO/IEC 27002:2011 ISO/IEC 27003:2010 Dự thảo TCVN ISO/IEC 27004:2009 Dự thảo TCVN ISO/IEC 27005:2011 TCVN 10295:2014 ISO/IEC 27006:2011 Đang xây dựng ISO/IEC 27007:2011 Đang xây dựng ISO/IEC TR 27008:2011 Đang xây dựng 10 ISO/IEC 27010:2012 Dự thảo TCVN 11 ISO/IEC 27011:2008 Đang xây dựng 12 ISO/IEC 27013:2012 TCVN 9965 : 2013 13 ISO/IEC 27014:2013 Chưa xây dựng 14 ISO/IEC TR 27015:2012 Đang xây dựng 15 ISO/IEC TR 27016:2014 Chưa xây dựng 16 ISO/IEC 27018:2014 Chưa xây dựng 17 ISO/IEC TR 27019:2013 Chưa xây dựng 18 ISO/IEC 27031:2011 Đang xây dựng 19 ISO/IEC 27032: 2012 Đang xây dựng 20 ISO/IEC 27033-1:2009 TCVN 9801-1:2013 ISO/IEC 27033-2:2012 Dự thảo TCVN ISO/IEC 27033-3:2010 Dự thảo TCVN 15 Tiêu chuẩn quốc tế Tiêu chuẩn dự thảo tiêu chuẩn quốc gia ISO/IEC 27033-4:2014 Chưa xây dựng ISO/IEC 27033-5:2014 Chưa xây dựng 21 ISO/IEC 27034:2011 Chưa xây dựng 22 ISO/IEC 27035:2011 Dự thảo TCVN 23 ISO/IEC 27036:2013 Chưa xây dựng 24 ISO/IEC 27037:2012 Chưa xây dựng 25 ISO/IEC 27038:2014 Chưa xây dựng 26 ISO 27799:2008 Chưa xây dựng STT 2.1.3 Nhóm tiêu chuẩn liên quan đến đánh giá hệ thống Để đánh giá hệ thống công nghệ thơng tin nói chung hệ thống đánh giá an tồn thơng tin (ISMS) nói riêng cần xem xét vấn đề sau: - Lựa chọn phương pháp/phương pháp luận để đánh giá - Đưa tiêu chí đánh giá - Hướng dẫn đánh giá + Hướng dẫn đánh giá viên để đánh giá hệ thống (nêu yêu cầu trách nhiệm, trình độ, lực, cấp, kinh nghiệm, đạo đức thái độ chuyên viên đánh giá) + Hướng dẫn/đưa yêu cầu quan đánh giá cấp chứng nhận (Nêu yêu cầu chung, trách nhiệm, cấu tổ chức, nguồn nhân lực, quản lý thông tin quản lý quy trình) 2.1.4 Lý xây dựng tiêu chuẩn Tiêu chuẩn ISO/IEC 27008 cung cấp hướng dẫn soát xét việc triển khai vận hành biện pháp kiểm soát bao gồm kiểm tra tuân thủ kỹ thuật biện pháp kiểm soát hệ thống quản lý an tồn thơng tin tn thủ theo tiêu chuẩn an tồn thơng tin tổ chức thiết lập 16 - Một số nước áp dụng tiêu chuẩn ISO/IEC TR 27008:2011 làm tiêu chuẩn quốc gia như: + Đan mạch: DS/ISO/IEC TR 27008:2011, ban hành 04/11/2011 + Hà Lan: NEN-ISO/IEC TR 27008:2011 + Anh: BS PD ISO/IEC TR 27008:2011, ban hành ngày 31/10/2011 - Xây dựng dự thảo TCVN ISO/IEC 27008 phù hợp với tiêu chuẩn quốc tế ATTT 2.1.5 Mục đích xây dựng tiêu chuẩn - Hoàn thiện tiêu chuẩn quốc gia hệ thống ISMS Hiện Việt Nam ban hành tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 “Công nghệ thơng tin Hệ thống quản lý an tồn thơng tin – Các yêu cầu” TCVN ISO/IEC 27002:2011 “Công nghệ thơng tin - Hệ thống quản lý an tồn thông tin – Hướng dẫn thực hành quản lý an tồn thơng tin” nhiều tiêu chuẩn thẩm định xây dựng xong dự thảo nên việc xây dựng dự thảo TCVN "Công nghệ thông tin Các kỹ thuật an toàn - Hướng dẫn chuyên gia đánh giá kiểm sốt an tồn thơng tin" phù hợp với yêu cầu chung - Hoàn thiện tiêu chuẩn liên quan đến hệ thống đánh giá Hiện Tổng Cục tiêu chuẩn đo lường chất lượng Việt Nam - Bộ Khoa học Công nghệ ban hành số tiêu chuẩn quốc gia về: Nêu yêu cầu tổ chức đánh giá/chứng nhận; Đưa tiêu chí đánh giá; hướng dẫn đánh giá hệ thống + Một số tiêu chuẩn thuộc tiêu chuẩn đánh giá ban hành tiêu chuẩn quốc gia trình dự thảo Tiêu chuẩn nêu yêu cầu tổ chức đánh giá/chứng nhận • TCVN ISO/IEC 17021:2011 - Đánh giá phù hợp – yêu cầu tổ chức đánh giá chứng nhận hệ thống quản lý • Dự thảo ISO/IEC 27006 nêu cầu với quan đánh giá chứng nhận ISMS Đang Bộ Thông tin Truyền thông xây dựng dự thảo TCVN Tiêu chuẩn lựa chọn phương pháp luận để đánh giá • Dự thảo TCVN ISO/IEC 18045 đưa phương pháp luận để đánh giá Đang Bộ Thông tin Truyền thông xây dựng dự thảo TCVN 17 Tiêu chuẩn đưa tiêu chí đánh giá an tồn CNTT • TCVN 8709-1:2011; TCVN 8709-2:2011;TCVN 8709-3:2011 • Dự thảo TCVN 19791 "Công nghệ thông tin - Kỹ thuật an toàn - Đánh giá an toàn hệ thống vận hành" Đang Bộ Thông tin Truyền thông xây dựng dự thảo TCVN Tiêu chuẩn hướng dẫn đánh giá hệ thống • TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý • Dự thảo TCVN 27007, Hướng dẫn đánh giá hệ thống quản lý an tồn thơng tin Đang Bộ Thông tin Truyền thông xây dựng dự thảo TCVN Tiêu chuẩn hướng dẫn chuyên gia đánh giá ATTT • Dự thảo ISO/IEC TR 27008:2011 cung cấp hướng dẫn soát xét việc triển khai vận hành biện pháp kiểm soát, kiểm tra tuân thủ kỹ thuật Tuy nhiên chưa có tiêu chuẩn quốc gia "Hướng dẫn chuyên gia đánh giá kiểm soát an tồn thơng tin" Vì việc xây dựng tiêu chuẩn cần thiết để bổ sung, hoàn thiện tiêu chuẩn đánh giá hệ thống 2.1.6 Vai trò ISO/IEC TR 27008 ISO/IEC 27000 18 Hình 1: Mối quan hệ tiêu chuẩn ISO/IEC 27000 Về tiêu chuẩn ISO/IEC 27000 chia thành nhóm sau: Nhóm 1: Tiêu chuẩn tổng quan thuật ngữ: ISO/IEC 27000 Nhóm 2: Các tiêu chuẩn đưa để đánh giá chứng nhận: ISO/IEC 27001; ISO/IEC 27006 Nhóm 3: Các tiêu chuẩn đưa hướng dẫn hỗ trợ hệ thống quản lý an tồn thơng tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008 Nhóm 4: Các tiêu chuẩn đưa hướng dẫn cho ngành cụ thể: ISO/IEC 27010; ISO/IEC 27011; ISO/IEC 27015; ISO/IEC 27799 Nhóm 5: Các tiêu chuẩn đưa yêu cầu tiêu chuẩn hướng dẫn khác: ISO/IEC 27013; ISO/IEC 27031; ISO/IEC 27032; ISO/IEC 27033; ISO/IEC 27034; ISO/IEC 27035; ISO/IEC 27036 19 Như dựa vào Hình1 cách phân nhóm tiêu chuẩn thuộc Bộ ISO/IEC 27000 ta thấy tiêu chuẩn ISO/IEC TR 27008:2011 thuộc nhóm tiêu chuẩn hướng dẫn ISO/IEC 27000 Sở xây dựng tiêu chuẩn 3.1 Lựa chọn tiêu chuẩn tham chiếu Tiêu chuẩn ISO/IEC 27008:2011 TR Information technology – Security techniques – Guidelines for auditors on information security controls tổ chức tiêu chuẩn tế ban hành ngày 15 tháng 10 năm 2011 Nhóm xây dựng dự thảo TCVN sử dụng tiêu chuẩn quốc tế ISO/IEC TR 27008:2011 làm để xây dựng tiêu chuẩn quốc gia "Hướng dẫn chuyên gia đánh giá kiểm sốt an tồn thơng tin" có nhiều quốc gia giới lựa chọn tiêu chuẩn quốc tế ISO/IEC TR 27008:2011 làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia họ như: + Đan mạch: DS/ISO/IEC TR 27008:2011, ban hành 04/11/2011 + Hà Lan: NEN-ISO/IEC TR 27008:2011 + Anh: BS PD ISO/IEC TR 27008:2011, ban hành ngày 31/10/2011 3.2 Phương pháp xây dựng tiêu chuẩn ISO/IEC TR 27008:2011 tài liệu tham chiếu làm sở để xây dựng tiêu chuẩn Trên sở rà soát tiêu chuẩn quốc gia quốc tế hệ thống quản lý an tồn thơng tin, tham khảo phương pháp xây dựng tiêu chuẩn nhóm chủ trì xây dựng tiêu chuẩn theo phương pháp chấp thuận ngun vẹn (có chỉnh sửa thể thức trình bày theo qui định hành trình bày Tiêu chuẩn quốc gia) 3.3 Phạm vi áp dụng khả áp dụng tiêu chuẩn Việt Nam 3.3.1 Phạm vi áp dụng: Tiêu chuẩn áp dụng cho tất loại hình quy mơ tổ chức bao gồm công ty công tư, tổ chức phủ, tổ chức phi lợi nhuận nhằm hướng dẫn soát xét việc triển khai vận hành biện pháp kiểm 20 soát bao gồm kiểm tra tuân thủ kỹ thuật theo biện pháp kiểm sốt tiêu chuẩn an tồn thơng tin tổ chức thiết lập 3.3.2 Khả áp dụng tiêu chuẩn Việt Nam Số liệu khảo sát an tồn thơng tin năm 2013 2014 Trung tâm VNCERT Hiệp hội an tồn thơng tin tiến hành Bảng 2: Khảo sát ATTT năm 2014, 2013 Câu 30 Tổ chức quý vị có có tuân theo có ý định tuân theo dẫn chuẩn ATTT dưói khơng? Khơng Có ISO/IEC 2700x Cobit HiPAA PCI Common Criteria Khác Câu 31 Trong thời gian tới, tổ chức q vị có dự kiến triển khai Hệ thống quản lý an tồn thơng tin (ISMS) theo ISO 27001 khơng? Khơng có kế hoạch Chỉ triển khai ISMS tuân thủ ISO/IEC 27001 Triển khai ISMS tuân thủ ISO/IEC 27001 lấy chứng nhận ISO/IEC 27001 Câu 32 Tổ chức quý vị có Quy chế ATTT (Security Policy) chưa? (đã lãnh đạo phê duyệt đưa vào áp dụng) Có Chưa có: + Sẽ xây dựng Quy chế thời gian tới + Chưa có ý định xây dựng Quy chế Năm 2014 Năm 2013 32.56 % 54.3% 66.28 % 20.2% 54.07 % 21.1% 5.23 % 1.8% 0.58 % 1.8% 8.72 % 3.7% 1.74 % 1.2% 6.40 % 5.2% 0.0% 53.49 % 51.0% 37.79 % 16.1% 16.86 % 9.9% 0.0% 58.14 % 27.1% 36.05 % 36.3% 44.19 % 33.3% 8.72 % 26.9% Theo số liệu tổng hợp kết khảo sát ATTT Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Hiệp hội an tồn thơng tin (VNISA) tiến hành 500 quan nhà nước doanh nghiệp tồn quốc thấy rằng: - Các đơn vị ngày trọng tới việc xây dựng quy chế an tồn thơng tin áp dụng đơn vị - Số lượng đơn vị tuân thủ có ý định tuân thủ theo dẫn Bộ ISO 27000 ngày tăng nhanh 21 - Nhu cầu mong muốn triển khai tuân thủ yêu cầu biện pháp kiểm sốt an tồn thơng tin mong muốn có nhận ISO/IEC 27001 ngày cao Khi đơn vị có nhu cầu mong muốn triển khai, tuân thủ cấp chứng nhận theo ISO/IEC 27001 tăng nhu cầu sử dụng, áp dụng hướng dẫn theo biện pháp đảm bảo an toàn thơng tin thuộc tiêu chuẩn 27000 nói chung tiêu chuẩn "Hướng dẫn chuyên gia đánh giá kiểm sốt an tồn thơng tin" nói riêng ngày lớn Nội dung dự thảo tiêu chuẩn kỹ thuật 4.1 Giới thiệu ISO/IEC TR 27008:2011 Dự thảo tiêu chuẩn xây dựng dựa tiêu chuẩn quốc tế ISO/IEC TR 27008, Information technology – Security techniques – Guidelines for auditors on information security controls, phiên 2011 tiêu chuẩn Tiêu chuẩn ISO/IEC 27008 cung cấp hướng dẫn soát xét việc triển khai vận hành biện pháp kiểm soát bao gồm kiểm tra tuân thủ kỹ thuật biện pháp kiểm sốt hệ thống quản lý an tồn thơng tin tuân thủ theo tiêu chuẩn an toàn thông tin tổ chức thiết lập 4.2 Cấu trúc nội dung Dự thảo tiêu chuẩn - Dự thảo tiêu chuẩn gồm 08 Điều 02 Phụ lục tham khảo - Nội dung cụ thể Dự thảo tiêu chuẩn Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Cấu trúc tiêu chuẩn Nền tảng (điều 5); Các biện pháp kiểm sốt an tồn thơng tin tổ chức cần lựa chọn dựa kết đánh giá rủi ro phần quy trình quản lý rủi ro an tồn thơng tin để giảm thiểu rủi ro đến mức chấp nhận Tuy nhiên, tổ chức định không triển khai ISMS chọn cách thức khác để chọn 22 lựa, triển khai trì biện pháp kiểm sốt an tồn thơng tin Các thành phần điển hình biện pháp kiểm sốt an tồn thông tin tổ chức thực việc triển khai biện pháp kiểm sốt an tồn thơng tin kỹ thuật Các biện pháp kiểm sốt an tồn kỹ thuật tổ chức cần phải xác định, lập tài liệu, triển khai trì theo tiêu chuẩn kỹ thuật an tồn thơng tin Tổng quan soát xét biện pháp kiểm soát an tồn thơng tin (điều 6); - Quy trình sốt xét - Nguồn lực Phương pháp soát xét (điều 7); - Kiểm tra - Phỏng vấn - Thử nghiệm Các hoạt động (điều 8); - Xây dựng kế hoạch - Tiến hành sốt xét - Phân tích báo cáo kết Phụ lục A (Tham khảo) Hướng dẫn thực hành kiểm tra tuân thủ kỹ thuật; A.1 Kiểm tra kỹ thuật biện pháp kiểm soát phòng ngừa mã độc A.2 Kiểm tra kỹ thuật biện pháp kiểm soát nhật ký đánh giá A.3 Kiểm tra kỹ thuật biện pháp kiểm soát quản lý đặc quyền A.4 Kiểm tra kỹ thuật biện pháp kiểm soát lưu A.5 Kiểm tra kỹ thuật biện pháp quản lý an tồn mạng A.6 Kiểm tra kỹ thuật kiểm sốt trách nhiệm người dùng Phụ lục B (Tham khảo) Thu thập thông tin ban đầu B.1 Nguồn nhân lực an tồn 23 B.2 Chính sách B.3 Tổ chức B.4 An tồn vật lý mơi trường B.5 Quản lý cố 4.3 Bảng đối chiếu tiêu chuẩn viện dẫn Bảng 2: Bảng đối chiếu tiêu chuẩn viện dẫn Dự thảo Tiêu chuẩn viện dẫn Sửa đổi bố sung Phạm vi áp dụng Scope Chấp nhận nguyên vẹn Tài liệu viện dẫn Normative references Chấp nhận nguyên vẹn Thuật ngữ định nghĩa Terms and definitions Chấp nhận nguyên vẹn 3.1 Đối tượng soát xét 3.1 review object 3.2 Mục tiêu soát xét 3.2 review objective TCVN 2008:XXXX 3.3 Tiêu chuẩn thực thi an 3.3 security implementation toàn standard Cấu trúc Structure Chấp nhận nguyên vẹn Nền tảng Background Chấp nhận nguyên vẹn Tổng quan soát xét Overview of information biện pháp kiểm soát security control reviews an tồn thơng tin 6.1 Quy trình sốt xét 6.1 Review process 6.2 Nguồn lực 6.2 Resourcing Phương pháp soát xét Review methods 7.1 Tổng quan 7.1 Overview 7.2 Phương pháp soát xét: 7.2 Review method: 24 Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn Ghi Bài kiểm tra Examine 7.3 Phương pháp soát xét: 7.3 Review method: Phỏng vấn Interview 7.4 Phương pháp soát xét: 7.4 Review method: Test Kiểm thử Các hoạt động Activities 8.1 Chuẩn bị Preparations 8.2 Xây dựng kế hoạch Developing a plan 8.3 Tiến hành đánh giá Conducting reviews 8.4 Phân tích báo cáo kết Analysis and reporting results Phụ lục A (Tham khảo) Annex A (Informative) - Hướng dẫn thực hành Technical compliance kiểm tra tuân thủ kỹ checking practice guide thuật A1 Kiểm tra kỹ thuật biện pháp kiểm sốt phịng ngừa mã độc Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn A.1 Technical checking of the control against malicious code A.2 Kiểm tra kỹ thuật đối A.2 Technical checking of với biện pháp kiểm soát the control on audit logging nhật ký kiểm toán A.3 Kiểm tra kỹ thuật đối A.3 Technical checking of với biện pháp kiểm soát the control on privilege quản lý đặc quyền management A.4 Kiểm tra kỹ thuật đối A.4 Technical checking of với biện pháp kiểm soát the control on Back-up lưu A.5 Kiểm tra kỹ thuật biện pháp quản lý an toàn mạng A.5 Technical checking of the control on the Network security management A.6 Kiểm tra kỹ thuật kiểm soát trách nhiệm người dùng A.6 Technical checking of the control on the User responsibilities Phụ lục B (Tham khảo) Annex B (Informative) 25 Chấp nhận nguyên vẹn Chấp nhận - Thu thập thông tin ban đầu Initial information gathering (other than IT) B.1 Nguồn nhân lực an tồn B.1 Human resources and security B.2 Chính sách B.2 Policies B.3 Tổ chức B.3 Organization B.4 An toàn vật lý môi B.4 Physical and trường environmental security B.5 Quản lý cố nguyên vẹn Chấp nhận nguyên vẹn B.5 Incident management Thư mục tài liệu tham khảo [1] TCVN ISO/IEC 27001:2009, Công nghệ thông tin — Hệ thống quản lý an tồn thơng tin u cầu [2] TCVN ISO/IEC 27002:2011, Công nghệ thông tin — Các kỹ thuật an toàn — Quy tắc thực hành quản lý an tồn thơng tin [3] TCVN 10295:2014, Cơng nghệ thơng tin - Kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin [4] ISO/IEC 27006:2007, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems [5] ISO/IEC 27007:2011, Information technology — Security techniques — Guidelines for information security management systems auditing [6] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý [7] TCVN 9788:2013, Quản lý rủi ro — Từ vựng [8] NIST Special publication (SP) 800-53A, Guide for reviewing the controls in federal information systems, July 2008 Available from: http://csrc.nist.gov/publications/PubsSPs.html [9] Institute For Security And Open Methodologies, Open-Source Security Testing Methodology Manual Available from: http://www.isecom.org/osstmm/ [10] Federal Office for Information Security (BSI), Germany, Standard 100-1, Information Security Management Systems (ISMS); 100-2, IT-Grundschutz Methodology; 100-3, Risk Analysis based on IT-Grundschutz and IT26 Grundschutz Catalogues (available in German and English) Available from: https://www.bsi.bund.de/cln_174/EN/Publications/publications_node.html [11] Information Security Forum, The Standard of Good Practice for Information Security, 2007 Available from: https://www.securityforum.org/services/publicresearch/ 27 ... ? ?Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” Dự thảo TCVN ? ?Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” xây dựng hoàn toàn. .. TCVN ? ?Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin cho truyền thơng liên tổ chức, liên ngành” Dự thảo TCVN ? ?Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an tồn... kiểm soát nhật ký đánh giá A.3 Kiểm tra kỹ thuật biện pháp kiểm soát quản lý đặc quyền A.4 Kiểm tra kỹ thuật biện pháp kiểm soát lưu A.5 Kiểm tra kỹ thuật biện pháp quản lý an toàn mạng A.6 Kiểm