Thuyết minh đề tài 14-15-KHKT-TC BỘ THÔNG TIN VÀ TRUYỀN THƠNG CỤC AN TỒN THƠNG TIN THUYẾT MINH XÂY DỰNG DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THỐNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN TỒN HỆ THỐNG THƠNG TIN THEO CẤP ĐỘ” HÀ NỘI 2016 MỤC LỤC Tên gọi ký hiệu tiêu chuẩn 1.1 Tên tiêu chuẩn 1.2 Ký hiệu TCVN Đặt vấn đề Hệ thống tiêu chuẩn dự kiến xây dựng mối quan hệ tiêu chuẩn 3.1 Nhóm tiêu chuẩn đưa yêu cầu bao gồm: 3.2 Nhóm tiêu chuẩn hướng dẫn triển khai: .5 Phạm vi tiêu chuẩn 5 Phương pháp xây dựng tiêu chuẩn 5.1 Phương pháp tiếp cận chung 5.2 Phương pháp tiếp cận xây dựng yêu cầu kỹ thuật .8 5.3 Phương pháp tiếp cận xây dựng yêu cầu quản lý 5.4 Tổng quan tiêu chuẩn SP800-53 10 5.5 Tổng quan tiêu chuẩn ISO/IEC 27001:2013 18 5.6 Bảng ánh xạ yêu cầu dự thảo Tiêu chuẩn với SP800-53 Tiêu chuẩn ISO/IEC 27001 5.7 Bảng ánh xạ yêu cầu Tiêu chuẩn ISO/IEC 27001:2013 với dự thảo Tiêu chuẩn Cấu trúc nội dung dự thảo Tiêu chuẩn .25 6.1 Cấu trúc dự thảo Tiêu chuẩn 25 6.2 Nội dung dự thảo Tiêu chuẩn .28 6.2.1 Yêu cầu kỹ thuật .28 6.2.2 Yêu cầu quản lý 29 6.2.3 Bảng tương quan yêu cầu 05 cấp độ 31 PHỤ LỤC I: TIÊU CHÍ XÁC ĐỊNH CẤP ĐỘ AN TỒN HỆ THỐNG THƠNG TIN QUY ĐỊNH PHỤ LỤC II: BẢNG TƯƠNG QUAN YÊU CẦU AN TOÀN HỆ THỐNG THÔNG TIN THEO C THUYẾT MINH XÂY DỰNG DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THỐNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN TỒN HỆ THỐNG THƠNG TIN THEO CẤP ĐỘ” Tên gọi ký hiệu tiêu chuẩn 1.1 Tên tiêu chuẩn Tên dự thảo tiêu chuẩn: Công nghệ thông tin – Các kỹ thuật an toàn - Yêu cầu an tồn hệ thống thơng tin theo cấp độ 1.2 Ký hiệu TCVN TCVN xxxxx:2016/BTTTT Đặt vấn đề Luật An tồn thơng tin mạng Quốc hội thơng qua ngày 19/11/2015 có hiệu lực từ ngày 01/7/2016 Trong đó, Luật quy định việc quản lý thực thi bảo vệ hệ thống thông tin theo cấp độ an tồn thơng tin Để có quy định chi tiết việc bảo đảm an toàn hệ thống thông tin theo cấp độ, quan, tổ chức vào quy định Nghị định số 85/2016/NĐCP ngày 01/7/2016 bảo đảm an toàn hệ thống thông tin theo cấp độ Theo quy định Điều 19, Nghị định 85, việc bảo đảm an toàn hệ thống thông tin phải đảm bảo yêu cầu an toàn theo tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin Nghị định giao nhiệm vụ cho Bộ Thông tin Truyền thông xây dựng dự thảo tiêu chuẩn ban hành quy chuẩn kỹ thuật an tồn thơng tin Thực nhiệm vụ giao, Cục An tồn thơng tin chủ trì xây dựng dự thảo Tiêu chuẩn “Yêu cầu an tồn hệ thống thơng tin theo cấp độ” Tiêu chuẩn đưa yêu cầu an toàn cho hệ thống thông tin theo cấp độ Từ yêu cầu này, chủ quản hệ thống thông tin có sở thiết kế an tồn hệ thống thơng tin xây dựng trì sách quản lý an tồn thơng tin Hệ thống tiêu chuẩn dự kiến xây dựng mối quan hệ tiêu chuẩn Hệ thuống tiêu chuẩn dự kiến xây dựng để hướng dẫn Nghị định 85 chia 02 nhóm: 3.1 Nhóm tiêu chuẩn đưa yêu cầu bao gồm: + Tiêu chuẩn “Công nghệ thơng tin – Các kỹ thuật an tồn – u cầu an tồn hệ thống thơng tin theo cấp độ” (Tiêu chuẩn 1) Tiêu chuẩn đưa yêu cầu an toàn hệ thống thông tin theo cấp độ Các yêu cầu bản, tối thiểu cần phải đáp ứng theo cấp độ hệ thống thông tin Yêu cầu an tồn bao gồm hai nhóm yêu cầu: yêu cầu kỹ thuật yêu cầu quản lý Nhóm yêu cầu kỹ thuật giúp quan, tổ chức có sở thiết kế, thiết lập hệ thống thơng tin q trình xây dựng hệ thống thơng tin Nhóm u cầu quản lý giúp quan, tổ chức có sở để xây dựng sách, quy trình quản lý an tồn thơng tin cho hệ thống trình vận hành, khai thác, sử dụng + Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu kiểm tra, đánh giá an tồn hệ thống thơng tin theo cấp độ” (Tiêu chuẩn 2) Tiêu chuẩn đưa yêu cầu, nội dung kiểm tra đánh giá hệ thống thông tin có đáp ứng u cầu an tồn đưa Tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu an tồn hệ thống thơng tin theo cấp độ” 3.2 Nhóm tiêu chuẩn hướng dẫn triển khai: + Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an tồn – Hướng dẫn quy trình kiểm tra, đánh giá an tồn hệ thống thơng tin” (Tiêu chuẩn 3) Tiêu chuẩn hướng dẫn quy trình kiểm tra, đánh giá hệ thống thơng tin có đáp ứng u cầu an tồn theo cấp độ hay khơng? Căn theo yêu cầu yêu cầu kiểm tra đánh giá an tồn hệ thống thơng tin hai tiêu chuẩn + Tiêu chuẩn “Công nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn triển khai yêu cầu an tồn hệ thống thơng tin theo cấp độ” Tiêu chuẩn đưa hướng dẫn để triển khai yêu cầu Tiêu chuẩn + Các tiêu chuẩn hướng dẫn cụ thể nội dung kỹ thuật Tiêu chuẩn 1: Thiết kế hệ thống, cấu hình cứng hóa, lưu dự phịng,… + Các tiêu chuẩn hướng dẫn cụ thể nội dung kỹ thuật Tiêu chuẩn 1: Hướng dẫn xây dựng sách an tồn thơng tin, quản lý điểm yếu, quản lý cố an tồn thơng tin… Phạm vi tiêu chuẩn Tiêu chuẩn đưa yêu cầu an tồn hệ thống thơng tin theo cấp độ Các u cầu bản, tối thiểu cần phải đáp ứng theo cấp độ hệ thống thông tin Khuyến khích quan, tổ chức triển khai biện pháp bảo đảm an tồn thơng tin cho hệ thống thơng tin mình, đáp ứng u cầu an toàn cấp độ cao nhằm tăng cường bảo đảm an tồn thơng tin cho hệ thống Các yêu cầu đưa tiêu chuẩn nhằm bảo vệ hệ thống thông tin mức độ Cơ quan, tổ chức vào yêu cầu an tồn thực tế mình, thực đánh giá rủi ro an tồn hệ thống thơng tin quản lý để xác định yêu cầu an toàn bổ sung có biện pháp quản lý rủi ro phù hợp Yêu cầu an toàn bao gồm hai nhóm yêu cầu: yêu cầu kỹ thuật yêu cầu quản lý Nhóm yêu cầu kỹ thuật giúp quan, tổ chức có sở thiết kế, thiết lập hệ thống thơng tin q trình xây dựng hệ thống thơng tin Nhóm yêu cầu quản lý giúp quan, tổ chức có sở để xây dựng sách, quy trình quản lý an tồn thơng tin cho hệ thống trình vận hành, khai thác, sử dụng Yêu cầu an toàn đưa tiêu chuẩn tập trung vào yêu cầu bảo đảm an tồn thơng tin mạng Các u cầu khác an tồn thơng tin, khơng liên quan trực tiếp đến bảo đảm an tồn thơng tin mạng không thuộc phạm vi tiêu chuẩn Các yêu cầu đưa tiêu chuẩn sử dụng để đánh giá hệ thống thông tin có đáp ứng u cầu an tồn theo cấp độ hay không Phương pháp xây dựng tiêu chuẩn 5.1 Phương pháp tiếp cận chung Dự thảo Tiêu chuẩn xây dựng sở tham khảo tiêu chuẩn quốc tế, tiêu chuẩn nước phát triển công nghệ thông tin tiêu chuẩn quốc gia ban hành Các tiêu chuẩn tham chiếu lựa chọn nội dung cho phù hợp với cầu tổ chức, công tác quản lý nhà nước tồn tồn thơng tin điều kiện thực tế Việt Nam Đặc biệt đối tượng phạm vi áp dụng tiêu chuẩn phải phù hợp với quy định Nghị định 85 hệ thống thông tin phục vụ ứng dụng công nghệ thông tin hoạt động quan, tổ chức nhà nước cung cấp dịch vụ trực tuyến phục vụ người dân doanh nghiệp Về nguyên tắc (Điều Nghị định 85), việc bảo đảm an toàn hệ thống thông tin theo cấp độ hoạt động quan, tổ chức thực thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến hủy bỏ Do đó, yêu cầu đưa dự thảo Tiêu chuẩn chia làm 02 nhóm: yêu cầu kỹ thuật yêu cầu quản lý Trong đó, yêu cầu kỹ thuật sở để quan, tổ chức sử dụng để thiết kế, thiết lập cấu hình kỹ thuật an tồn cho hệ thống thông tin Yêu cầu quản lý sử dụng để xây dựng sách, quy trình phục vụ việc quản lý, vận hành an tồn hệ thống thơng tin trình khai thác, sử dụng Thêm Khung kiến trúc Chính phủ điện tử Việt Nam phiên 1.0 (http://mic.gov.vn/Upload/Store/tintuc/vietnam/64/Khung-Kien-truc-CPDT-VN.pdf) nội dung Sơ đồ tổng thể Khung kiến trúc CPĐT Việt Nam trang 11 rõ Cơng tác bảo đảm an tồn thơng tin phải gắn liền với Hạ tầng Kỹ thuật Quản lý, đạo Hình Sơ đồ tổng thể Khung Kiến trúc CPĐT Việt Nam Trên sở đó, dự thảo xây dựng sở tham chiếu 02 tiêu chuẩn, tiêu chuẩn SP800-53 Mỹ để xây dựng yêu cầu kỹ thuật tiêu chuẩn ISO/IEC 27001:2013 để xây dựng yêu cầu quản lý Các nội dung lựa chọn đề xây dựng tiêu chuẩn tập trung vào nội dung bảo vệ hệ thống thông tin môi trường mạng đảm bảo yêu cầu bản, khả thi phù hợp với đối tượng áp dụng Những nội dung khác an tồn vật lý, bảo vệ thơng tin cá nhân… có tiêu chuẩn tham chiếu nghiên cứu xây dựng thành tiêu chuẩn độc lập Việc phân 02 nhóm phù hợp với nhóm khảo sát tình hình an tồn thơng tin Việt Nam hàng năm sau: Hình Chỉ số an tồn thơng tin Việt Nam VNISA Index năm 2015 Để phân chia yêu cầu thành 05 cấp độ phù hợp, trước hết xây dựng yêu cầu cho cấp độ Đối với yêu cầu cụ thể, nội dung yêu cầu xếp theo thứ tự từ đến nâng cao Các u cầu có tiêu chí: cần thiết, dễ triển khai khơng phí đầu tư lớn Các yêu cầu mở mức yêu cầu có mức triển khai phức tạp địi hỏi chun mơn cao Các mức u cầu mức độ nâng cao yêu cầu phải nâng cấp, đầu tư để đáp ứng yêu cầu đặt Trên sở cấp độ đầy đủ yêu cầu, cấp độ lại giản lược bớt yêu cầu cho phù hợp với cấp độ theo tiêu chí xác định cấp độ quy định Nghị định 85 5.2 Phương pháp tiếp cận xây dựng yêu cầu kỹ thuật Dự thảo Tiêu chuẩn lựa chọn yêu cầu an toàn kỹ thuật đưa Tiêu chuẩn SP800-53 Các yêu cầu an toàn Tiêu chuẩn chi tiết, cụ thể áp dụng hệ thống thơng tin Chính phủ Mỹ nhiều năm Tuy nhiên, yêu cầu đưa Tiêu chuẩn nhóm lại theo nhóm để phù hợp với cơng tác quản lý nhà nước an tồn thơng tin Việt Nam Cụ thể yêu cầu nhóm lại thành 04 nhóm: An tồn hạ tầng mạng, An toàn máy chủ, An toàn ứng dụng, An toàn liệu Các phân nhóm phù hợp với Khung bảo đảm an tồn thơng tin cho Chính phủ điện tử Khung Kiến trúc CPĐT, an tồn Mạng, Máy tính Ứng dụng Cơ sở liệu nội dung lớn phân chia Khung kiến trúc Chính phủ điện tử sau: Hình Khung Kiến trúc CPĐT cấp Bộ Bên cạnh đó, phân nhóm phù hợp với tiêu trí khảo sát an tồn thơng tin Việt Nam mà Cục An tồn thơng tin phối hợp với Hiệp hội an tồn thơng tin thực năm vừa qua Các yêu cầu kỹ thuật đưa Tiêu chuẩn SP800-53 phân chia làm 03 cấp độ (Low, Moderate High) Trong việc quản lý thực thi bảo đảm an tồn hệ thống thơng tin lại theo 05 cấp độ, đó, yêu cầu 02 Tiêu chuẩn tái cấu trúc lại để tuân thủ quy định Luật An tồn thơng tin mạng Nghị định 85 bảo đảm an tồn hệ thống thơng tin theo cấp độ, tình hình thực tế Việt Nam Thêm nữa, trình nghiên cứu kinh nghiệm Trung Quốc, cách phân chia Trung Quốc áp dụng cho hệ thống tiêu chuẩn 5.3 Phương pháp tiếp cận xây dựng yêu cầu quản lý Về yêu cầu quản lý Tiêu chuẩn ISO/IEC 27000 chất Tiêu chuẩn cho hệ thống quản lý an toàn thông tin sau hệ thống thông tin thiết kế, xây dựng đưa vào khai thác vận hành Bộ tiêu chuẩn triển khai áp dụng nhiều quan, tổ chức nước giới Tuy nhiên, yêu cầu an toàn đưa tiêu chuẩn lại không phân chia thành cấp độ, mà yêu cầu hướng tới việc áp dụng vào tất loại hình quan, tổ chức sở đánh giá quản lý rủi ro an toàn hệ thống thông tin để lựa chọn yêu cầu an toàn phù hợp, theo yêu cầu thực tế quan tổ chức Do đó, u cầu an tồn Tiêu chuẩn cấu trúc lại để phù hợp với công tác quản lý nhà nước an tồn thơng tin phù hợp với tình hình thực tế Việt Nam Cụ thể, yêu cầu quản lý chia làm 05 nhóm: Chính sách an tồn thơng tin, Tổ chức bảo đảm an tồn thông tin, Bảm đảm nguồn nhân lực, Quản lý thiết kế, xây dựng hệ thống Quản lý vận hành an tồn hệ thống thơng Trong nhóm Chính sách an tồn thơng tin, Tổ chức bảo đảm an tồn thơng tin Bảm đảm nguồn nhân lực giữ lại theo cấp trúc cũ tiêu chuẩn ISO/IEC 27001:2013 để đưa các yêu cầu quản lý chung cho toàn hệ thống Để đưa yêu cầu quản lý cho khâu thiết kế, xây dựng quản lý, vận hành hệ thống thơng tin dự thảo Tiêu chuẩn cấu trúc lại yêu cầu liên quan tiêu chuẩn ISO/IEC 27001:2013 thành 02 nhóm: Quản lý thiết kế, xây dựng hệ thống Quản lý vận hành an tồn hệ thống thơng Đối với nhóm Quản lý thiết kế, xây dựng hệ thống có bổ sung nội dung liên quan đến việc xác định cấp độ thiết kế xây dựng hệ thống thông tin Đối với yêu cầu quản lý tham chiếu từ tiêu chuẩn ISO/IEC 27001:2013 yêu cầu lựa chọn yêu cầu phù hợp với hệ thống thông tin thuộc phạm vi điều chỉnh Nghị định 85 (Hệ thống thông tin phục vụ quan, tổ chức nhà nước hệ thống thông tin phục vụ người dân doanh nghiệp) Các yêu cầu nâng cao yêu cầu việc triển khai áp dụng phức tạp, yêu cầu chi phí lớn áp dụng cho đối tượng doanh nghiệp lựa chọn có chọn lọc yêu cầu Các nội dung mang tính tuân thủ, quy phạm không lựa chọn đưa vào có quy định khác pháp luật liên quan 5.4 Tổng quan tiêu chuẩn SP800-53 Tiêu chuẩn an tồn thơng tin hệ thống thông tin Mỹ Viện Tiêu chuẩn công nghệ quốc gia (the National Institute of Standards and Technology - NIST) xây dựng ban hành Bộ tiêu chuẩn ban hành thực thi sở Điều khoản 5131 Bộ Luật cải cách quản lý công nghệ thông tin năm 1996 (Public Law 104-106) Bộ luật Quản lý an tồn thơng tin Liên bang năm 2002 (Public Law 107347) FIPS 199 lập mức ảnh hưởng Thấp, Trung bình Cao cho thông tin hệ thống thông tin Mỗi mức phụ thuộc vào tính bí mật, tính ngun vẹn tính khả dụng thơng tin mức mức Thấp, Trung bình Cao dựa sở đánh giá tác động hai loại thơng tin có hệ thống thơng tin là: loại thơng tin mà hệ thống thơng tin quản lý; hai loại thông tin giúp cho hệ thống thơng tin hoạt động theo tính thiết kế Dựa sở tổng hợp tác động, ảnh hưởng tiềm tới quan hệ xã hội pháp luật bảo hộ (tổ chức, cá nhân, trật tự xã hội, lợi ích cơng cộng an ninh quốc gia) để định cấp độ an toàn hệ thống thông tin Trong FIPS 200 yêu cầu phải xác định cấp độ ảnh hưởng trước cân nhắc yêu cầu an tồn thơng tin tối thiểu kiểm sốt an toàn phù hợp với cấp độ hệ thống Các hệ thống thơng tin phân loại an tồn phải áp dụng 17 nhóm u cầu an tồn tối thiểu với mức độ chi tiết khác Chi tiết u cầu bảo đảm an tồn 17 nhóm kể quy định FIPS SP 800-53 Ở mức kiểm sốt an tồn (Security Controls) hiểu là: kiểm sốt an tồn quản lý, vận hành bảo vệ kỹ thuật biện pháp đối phó sử dụng hệ thống thơng tin tổ chức để bảo vệ tính bí mật, tính nguyên vẹn tính khả dụng hệ thống thơng tin thơng tin 10 ... Nhóm tiêu chuẩn đưa yêu cầu bao gồm: + Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu an tồn hệ thống thơng tin theo cấp độ” (Tiêu chuẩn 1) Tiêu chuẩn đưa yêu cầu an tồn hệ thống. .. TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN TỒN HỆ THỐNG THƠNG TIN THEO CẤP ĐỘ” Tên gọi ký hiệu tiêu chuẩn 1.1 Tên tiêu chuẩn Tên dự thảo tiêu chuẩn: Công nghệ thơng tin – Các kỹ thuật an. .. TIÊU CHÍ XÁC ĐỊNH CẤP ĐỘ AN TỒN HỆ THỐNG THƠNG TIN QUY ĐỊNH PHỤ LỤC II: BẢNG TƯƠNG QUAN YÊU CẦU AN TỒN HỆ THỐNG THƠNG TIN THEO C THUYẾT MINH XÂY DỰNG DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THỐNG TIN -