BỘ THÔNG TIN VÀ TRUYỀN THÔNG THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THƠNG TIN - KỸ THUẬT AN TỒN – CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP HÀ NỘI, NĂM 2017 MỤC LỤC Tên gọi ký hiệu Tiêu chuẩn Việt Nam Đặt vấn đề 2.1 Tình hình tiêu chuẩn hố nước ngồi nước 2.1.1 Tình hình tiêu chuẩn hoá nước 2.1.2 Tình hình tiêu chuẩn hố quốc tế .14 2.2 Lý xây dựng tiêu chuẩn 20 2.3 Mục đích xây dựng tiêu chuẩn 22 2.4 Vai trò ISO/IEC 27031:2011 ISO/IEC 27000 22 Sở xây dựng tiêu chuẩn 23 3.1 Lựa chọn tiêu chuẩn tham chiếu 23 3.2 Phương pháp xây dựng tiêu chuẩn 24 3.3 Phạm vi áp dụng khả áp dụng tiêu chuẩn Việt Nam .24 3.3.1 Phạm vi áp dụng 24 3.3.2 Khả áp dụng tiêu chuẩn Việt Nam .24 Nội dung dự thảo tiêu chuẩn kỹ thuật 26 4.1 Giới thiệu nội dung Dự thảo tiêu chuẩn .26 4.2 Cấu trúc nội dung Dự thảo tiêu chuẩn 28 4.3 Bảng đối chiếu tiêu chẩn viện dẫn 29 Kết luận kiến nghị 32 5.1 Kiến nghị 32 5.2 Kết luận 32 Thư mục tài liệu tham khảo 32 Tên gọi ký hiệu Tiêu chuẩn Việt Nam Tên dự thảo Tiêu chuẩn quốc gia: “Công nghệ thông tin - Kỹ thuật an toàn - Chọn lựa, triển khai vận hành hệ thống phát ngăn chặn xâm nhập” Mã số: TCVN ISO/IEC xxxx:yyyy Đặt vấn đề 2.1 Tình hình tiêu chuẩn hố nước ngồi nước 2.1.1 Tình hình tiêu chuẩn hố nước Hiện Việt Nam có nhiều quan tổ chức thực áp dụng tiêu chuẩn an tồn thơng tin (bộ tiêu chuẩn quản lý an tồn thơng tin ISO/IEC 27000, tiêu chuẩn đánh giá an tồn thơng tin TCVN 8709:2011 (ISO/IEC 15408)) để xây dựng quy chế đảm bảo an toàn, an ninh thông tin hoạt động ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông hiểu rõ điều có nhiều biện pháp hỗ trợ quan nhà nước, doanh nghiệp việc cung cấp tư vấn, giúp đỡ trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 điển hình thực dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng ISO 27001” Kết dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàng chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng ISO 27001 Ngồi Bộ Thơng tin Truyền thông đẩy mạnh việc xây dựng ban hành tiêu chuẩn an tồn thơng tin dự án 31 tiêu chuẩn an tồn thơng tin số tiêu chuẩn an tồn thơng tin thực dạng đề tài nghiên cứu Một số tiêu chuẩn cơng nghệ thơng tin nói chung tiêu chuẩn an tồn thơng tin nói riêng ban hành thành Tiêu chuẩn quốc gia (08 Tiêu chuẩn) a) Tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các u cầu” Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management system” Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng ban hành TCVN năm 2009 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Tài liệu viện dẫn - Thuật ngữ định nghĩa - Hệ thống quản lý an tồn thơng tin - Trách nhiệm ban quản lý - Kiểm toán nội hệ thống ISMS - Soát xét ban quản lý hệ thống ISMS - Cải tiến hệ thống ISMS - 03 phụ lục tham khảo a) Tiêu chuẩn TCVN ISO/IEC 27002:2011 TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin” Tiêu chuẩn hồn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005 “Information technology – Security techniques – Code of practice for infomation security management” Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm 2011 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Thuật ngữ định nghĩa - Đánh giá xử lý rủi ro - Chính sách an tồn thơng tin - Tổ chức đảm bảo an tồn thơng tin - Quản lý tài sản - Đảm bảo an tồn thơng tin từ nguồn nhân lực - Đảm bảo an toàn vật lý môi trường - Quản lý truyền thông vận hành - Quản lý truy cập - Tiếp nhận, phát triển trì hệ thống thơng tin - Quản lý cố an tồn thơng tin - Quản lý liên tục hoạt động nghiệp vụ - Sự tuân thủ c) Bộ tiêu chuẩn Các tiêu chí đánh giá an tồn CNTT (03 phần) Do Trung tâm VNCERT - Bộ thông tin Truyền thông xây dựng  TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu mơ hình tổng qt" Tiêu chuẩn hồn tồn tương đương với tiêu chuẩn quốc tế ISO/IEC 154081:2009 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 1: Introduction and General Model" Tiêu chuẩn ban hành TCVN năm 2011, nội dung tiêu chuẩn cho phép thực so sánh kết đánh giá an toàn độc lập, cung cấp tập yêu cầu chức an toàn cho sản phẩm hệ thống công nghệ thông tin biện pháp đảm bảo áp dụng yêu cầu q trình đánh giá an tồn Các sản phẩm CNTT dạng phần cứng, phần mềm, phần sụn Ngồi tiêu chuẩn cịn đánh giá giá thiết lập mức tin cậy chức an toàn toàn cho sản phẩm hệ thống CNTT, biện pháp đảm bảo áp dụng mà thoả mãn yêu cầu nêu Các kết đánh giá giúp người dùng xác định xem sản phẩm hệ thơng thống CNTT có thoả mã yêu cầu an toàn đưa hay không?  TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức an toàn" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 154082:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 2: Security functional components" Tiêu chuẩn ban hành TCVN năm 2011, nội dung Tiêu chuẩn là: Đưa yêu cầu an toàn làm sở cho yêu cầu chức an toàn biểu thị Hồ sơ bảo vệ (Protection Profile - PP) Đích An tồn (Security Target - ST) Các u cầu mơ tả hành vi an tồn mong muốn dự kiến Đích đánh giá (TOE – Target of Evaluation) môi trường CNTT TOE cần thỏa mãn mục tiêu an toàn công bố PP ST Các u cầu mơ tả đặc tính an tồn người dùng phát thơng qua tương tác trực tiếp (nghĩa thông qua đầu vào, đầu ra) với sản phẩm /hệ thống CNTT qua phản ứng sản phẩm /hệ thống CNTT với tương tác  TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 154083:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 3: Security assurance components" Tiêu chuẩn ban hành TCVN năm 2011, nội dung Tiêu chuẩn là: Nêu thành phần đảm bảo bảo an toàn thông tin sở cho yêu cầu đảm bảo an tồn thơng tin biểu thị Hồ sơ bảo vệ (Protection Profile – PP) Đích An tồn (Security Target – ST) Các u cầu tạo thành cách thức chuẩn để biểu thị yêu cầu đảm bảo cho Đích đánh giá (TOE – Target of Evaluation) Tiêu chuẩn liệt kê danh mục thành phần, họ lớp đảm bảo đồng thời xác định tiêu chí đánh giá cho PPs STs, biểu thị cấp đảm bảo đánh giá dùng để xác định thang bậc ISO/IEC 15408 định trước cho đánh giá tính đảm bảo TOEs, gọi Cấp đảm bảo đánh giá (EALs – Evaluation Assurance Levels) d) Tiêu chuẩn TCVN 9965:2013 TCVN 9965:2013 "Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27013:2012 "Information technology - Security techniques - Guidance on the intgrated implementtation of ISO/IEC 27001 and ISO/IEC 20000-1 " Tiêu chuẩn Viện Tiêu chuẩn chất lượng Việt Nam xây dựng ban hành TCVN năm 2013 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Tài liệu viện dẫn - Tổng quan TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1 - Tiếp cận việc triển khai tích hợp - Xem xét việc triển khai tích hợp - 02 Phụ lục (Tham khảo): Sự phù hợp TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1:2011; So sánh thuật ngữ ISO/IEC 27000:2009 ISO/IEC 20000-1:2011 e) Tiêu chuẩn TCVN 9801-1:2013 TCVN 9801-1:2013 "Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng Phần 1: Tổng quan khái niệm" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 270331:2009 "INformation technology - Security techniques - Network security - Part1: Overview and concepts" Tiêu chuẩn Viện tiêu chuẩn chất lượng Việt Nam xây dựng ban hành TCVN năm 2013 gồm nội dung cụ thể sau: Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan an toàn mạng định nghĩa liên quan và: - Cung cấp hướng dẫn việc nhận biết phân tích rủi ro an toàn mạng xác định yêu cầu an tồn mạng dựa phân tích đó; - Cung cấp tổng quan biện pháp hỗ trợ kiến trúc an toàn mạng biện pháp kỹ thuật liên quan; - Hướng dẫn phương pháp để đạt kiến trúc an tồn mạng có chất lượng tốt, xác định rủi ro, thiết kế biện pháp liên quan tới kịch mạng lĩnh vực công nghệ mạng - Nêu vấn đề liên quan đến triển khai vận hành biện pháp an toàn mạng, giám sát soát xét liên tục biện pháp triển khai an toàn mạng f) Tiêu chuẩn TCVN ISO 19011:2013 TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO 19011:2011 "Guidelines for auditing management systems" tiêu chuẩn Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 176 xây dựng ban hành năm 2013 Tiêu chuẩn đưa hướng dẫn đánh giá hệ thống quản lý, bao gồm nguyên tắc đánh giá, quản lý chương trình đánh giá tiến hành đánh giá hệ thống quản lý, hướng dẫn xem xét đánh giá lực cá nhân tham gia trình đánh giá gồm người quản lý chương trình đánh giá, chuyên gia đánh giá đoàn đánh giá Một số tiêu chuẩn thuộc ISO/IEC 27000 xây dựng dự thảo tiêu chuẩn thẩm định chờ quan chức ban hành (08 tiêu chuẩn) a) Dự thảo TCVN ISO/IEC 27000 Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 "Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan Từ vựng" Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 hoàn toàn tương đương với tiêu chuẩn quốc tế: ISO/IEC 27000:2012 b) Dự thảo TCVN ISO/IEC 27003 Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin” xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27003:2010 "Information technology – Security techniques – Information security management system implementation guidance" Tiêu chuẩn Viện KHKTBĐ - Bộ Thông tin Truyền thông xây dựng Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Tiêu chuẩn tập trung vào kía cạnh then chốt để thiết kế triên khai thành cơng hệ thống quản lý an tồn thơng tin(ISMS) theo TCVN ISO/IEC 27001:2009 Tiêu chuẩn mô tả quy trình đặc tả thiết kế ISMS từ lức khởi đầu đến đưa kế hoạch triển khai bao gồm nội dung: - Nêu cấu trúc tiêu chuẩn - Ban quản lý khởi động dự án ISMS - Xác định phạm vi, giới hạn sách ISMS - Tiến hành phân tích u cầu an tồn thơng tin - Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro - Thiết kế ISMS - 05 Phụ lục c) Dự thảo TCVN ISO/IEC 27004 Dự thảo TCVN “Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” xây dựng hoàn toàn tương đương với ISO/IEC 27004:2009 Dự thảo TCVN Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Nội dung tiêu chuẩn - Tổng quan đo lường an tồn thơng tin - Trách nhiệm ban quản lý - Lựa chọn số đo triển khai đo - Các hoạt động đo lường - Phân tích liệu lập báo cáo kết đo - Định lượng hồn thiện Chương trình đo lường an tồn thông tin - 02 Phụ lục "Mẫu cấu trúc đo" "ví dụ cấu trúc đo" d) Dự thảo TCVN ISO/IEC 27005 Dự thảo TCVN “Công nghệ thơng tin – Kỹ thuật an tồn – Quản lý rủi ro an tồn thơng tin” Dự thảo TCVN xây dựng hoàn toàn tương đương với ISO/IEC 27005:2011 Dự thảo TCVN Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - Bộ Thơng tin Truyền thông xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2013 cho vào kế hoạch ban hành TCVN năm 2014 Nội dung tiêu chuẩn - Tổng quan quy trình quản lý rủi ro an tồn thơng tin - Thiết lập ngữ cảnh - Đánh giá rủi ro an tồn thơng tin 10 Tiêu chuẩn dự thảo tiêu STT Tiêu chuẩn quốc tế ISO/IEC 27000:2009 Dự thảo TCVN ISO/IEC 27001:2005 TCVN ISO/IEC 27001:2009 ISO/IEC 27002:2005 TCVN ISO/IEC 27002:2011 ISO/IEC 27003:2010 Dự thảo TCVN ISO/IEC 27004:2009 Dự thảo TCVN ISO/IEC 27005:2012 Dự thảo TCVN ISO/IEC 27006:2011 Đang xây dựng ISO/IEC 27007:2011 Đang xây dựng ISO/IEC TR 27008:2011 Đang xây dựng 10 ISO/IEC 27010:2012 Dự thảo TCVN 11 ISO/IEC 27011:2008 Đang xây dựng 12 ISO/IEC 27013:2012 TCVN 9965 : 2013 13 ISO/IEC 27014:2013 Chưa xây dựng 14 ISO/IEC TR 27015:2012 Đang xây dựng 15 ISO/IEC TR 27016:2014 Chưa xây dựng 16 ISO/IEC 27018:2014 Chưa xây dựng 17 ISO/IEC TR 27019:2013 Chưa xây dựng 18 ISO/IEC 27031:2011 Đang xây dựng 19 ISO/IEC 27032: 2012 Đang xây dựng 20 ISO/IEC 27033-1:2009 TCVN 9801-1:2013 ISO/IEC 27033-2:2012 Dự thảo TCVN ISO/IEC 27033-3:2010 Dự thảo TCVN chuẩn quốc gia 19 STT Tiêu chuẩn quốc tế Tiêu chuẩn dự thảo tiêu chuẩn quốc gia ISO/IEC 27033-4:2014 Chưa xây dựng ISO/IEC 27033-5:2014 Chưa xây dựng 21 ISO/IEC 27034:2011 Chưa xây dựng 22 ISO/IEC 27035:2011 Dự thảo TCVN 23 ISO/IEC 27036:2013 Chưa xây dựng 24 ISO/IEC 27037:2012 Chưa xây dựng 25 ISO/IEC 27038:2014 Chưa xây dựng 26 ISO 27799:2008 Chưa xây dựng 2.2 Lý xây dựng tiêu chuẩn Trong năm gần công nghệ thông tin ngày đóng vai trị to lớn hoạt động lĩnh vực, đời sống kinh tế xã hội, song song với việc an tồn thơng tin nhiều quan, tổ chức Các quan tổ chức bắt đầu đầu tư cho hệ thống đảm bảo an tồn thơng tường lửa, hệ thống phát ngăn chặn xâm nhập để sớm nhận biết thời gian, cách thức xâm nhập vào hệ thống mạng, ứng dụng họ cách thức khai thác lỗ hổng để triển khai biện pháp kịp thời trước thay đổi rủi ro để ngăn chặn lại xâm nhập tương tự tương lai Ngày có nhiều sản phẩm công nghệ IDPS bao gồm phần cứng phần mềm Việc đầu tư vận hành hệ thống phát ngăn chặn xâm nhập mà tài liệu hướng dẫn, quy chuẩn dẫn đến nhiều rủi ro làm cho IDPS hoạt động không hiệu quả: - Chọn lựa sản phẩm không phù hợp với nhu cầu tổ chức: có nhiều sản phẩm IDPS bao gồm sản phẩm phần cứng phần mềm, sản phẩm thương 20 mại với phần cứng đắt tiền tới phần mềm miễn phí triển khai mức chi phí thấp Việc lựa chọn sản phẩm khơng phù hợp dẫn đến tốn mà không hiệu - Việc triển khai vận hành IDPS đòi hỏi nhân viên phải có kiến thức kinh nghiệm hệ thống mạng Việc triển khai vị trí khơng phù hợp không làm khả IDPS mà làm ảnh hưởng tới hoạt động hệ thống mạng, gây ảnh hưởng tới hoạt động nghiệp vụ tổ chức - Tình hình an tồn thơng tin giới Việt Nam ngày gia tăng, lỗ hổng, điểm yếu công ngày nhiều, hệ thống IDPSnếu khơng thường xun cập nhật khơng thể phát kịp thời điểm yếu cơng Vì để tổ chức thu lợi ích tối đa từ hệ thống phát ngăn chặn xâm nhập IDPS cần có tài liệu, tiêu chuẩn hướng dẫn, giúp cho tổ chức việc xây dựng quy trình chọn lựa, triển khai vận hành IDPS Để đáp ứng với nhu cầu thực tế tổ chức tiêu chuẩn quốc tế xây dựng tiêu chuẩn cho “Hệ thống phát ngăn chặn xâm nhập” (tương ứng với phiên ISO/IEC DIS 27039) thay cho tiêu chuẩn ISO/IEC 18043:2006 hệ thống phát xâm nhập ban hành từ năm 2006 Tiêu chuẩn ISO/IEC DIS 27039 đưa hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát ngăn chặn xâm nhập Trên giới có nhiều nước xây dựng tiêu chuẩn cho hệ thống phát ngăn chặn xâm nhập (Anh, Đan Mạch, Hàn Quốc, Brunei…), Việt Nam chưa có tiêu chuẩn hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát ngăn chặn xâm nhập 2.3 Mục đích xây dựng tiêu chuẩn Hồn thiện tiêu chuẩn quốc gia an tồn thơng tin nói chung quản lý an 21 tồn thơng tin nói riêng Hiện Việt Nam ban hành nhiều tiêu chuẩn quốc gia an tồn thơng tin (như trình bày phần trên) Việt Nam có nhiều tổ chức sử dụng phiên tiếng Anh trình nghiên cứu, tìm hiểu để xây dựng hệ thống phát ngăn chặn xâm nhập cho Do việc xây dựng dự thảo TCVN "Hệ thống phát ngăn chặn xâm nhập" phù hợp với yêu cầu chung 2.4 Vai trò ISO/IEC 27031:2011 ISO/IEC 27000 Hình – Mối quan hệ tiêu chuẩn ISO/IEC 27000 Về tiêu chuẩn ISO/IEC 27000 chia thành nhóm sau: Nhóm 1: Tiêu chuẩn tổng quan thuật ngữ: ISO/IEC 27000 Nhóm 2: Các tiêu chuẩn đưa để đánh giá chứng nhận: ISO/IEC 27001; ISO/IEC 27006 Nhóm 3: Các tiêu chuẩn đưa hướng dẫn hỗ trợ hệ thống quản lý an tồn 22 thơng tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008 Nhóm 4: Các tiêu chuẩn đưa hướng dẫn cho ngành cụ thể: ISO/IEC 27010; ISO/IEC 27011; ISO/IEC 27015; ISO/IEC 27799 Nhóm 5: Các tiêu chuẩn đưa yêu cầu tiêu chuẩn hướng dẫn khác: ISO/IEC 27013; ISO/IEC 27031; ISO/IEC 27032; ISO/IEC 27033; ISO/IEC 27034; ISO/IEC 27035; ISO/IEC 27036 Như dựa vào hình cách phân nhóm tiêu chuẩn thuộc Bộ ISO/IEC 27000 ta thấy tiêu chuẩn ISO/IEC DIS 27039 dự thảo tiêu chuẩn dùng đưa yêu cầu hướng dẫn hướng dẫn cho tổ chức việc lựa chọn, triển khai vận hành hệ thống phát ngăn chặn xâm nhập Sở xây dựng tiêu chuẩn 3.1 Lựa chọn tiêu chuẩn tham chiếu Tiêu chuẩn ISO/IEC DIS 27039 “Information technology - Security techniques Selection, deployment and operations of intrusion detection and prevention systems (IDPS)” tổ chức tiêu chuẩn quốc tế ban hành năm 2013 Tiêu chuẩn thay cho tiêu chuẩn ISO/IEC 18043:2006 “Information technology Security techniques -Selection, deployment and operations of intrusion detection systems” Nhóm thực đề tài sửa dụng tiêu chuẩn quốc tế ISO/IEC 27039 làm để xây dựng tiêu chuẩn quốc gia "Hướng dẫn chọn lựa triển khai vận hành hệ thống phát ngăn chặn xâm nhập " có nhiều quốc gia giới (Đan Mạch, Hà Lan, Anh…) có tiêu chuẩn hệ thống phát ngăn chặn xâm nhập dựa tiêu chuẩn quốc tế ISO/IEC 18043:2006, nhiêu chuẩn ISO/IEC DIS 27039 tiêu chuẩn thay cho tiêu chuẩn ISO/IEC 18043:2006 23 3.2 Phương pháp xây dựng tiêu chuẩn Dự thảo tiêu chuẩn TCVN ISO/IEC 27039:yyyy xây dựng từ tiêu chuẩn quốc tế ISO/IEC DIS 27039 tổ chức tiêu chuẩn quốc tế ban hành năm 2013, sở rà soát tiêu chuẩn Việt nam quốc tế hệ thống quản lý an toàn thông tin, tham khảo phương pháp xây dựng tiêu chuẩn/ quy chuẩn, nhóm chủ trì xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC 27039:yyyy theo phương pháp chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC DIS 27039 (có chỉnh sửa thể thức trình bày theo quy định hành trình bày Tiêu chuẩn quốc gia) 3.3 Phạm vi áp dụng khả áp dụng tiêu chuẩn Việt Nam 3.3.1 Phạm vi áp dụng Tiêu chuẩn áp dụng cho tổ chức (tư nhân, phủ, phi phủ, kích cỡ) chuẩn bị triển khai hệ thống phát ngăn chặn xâm nhập tổ chức cân nhắc việc th ngồi tính phát xâm nhập Tiêu chuẩn cung cấp hướng dẫn giúp tổ chức chuẩn bị triển khai hệ thống IDPS Nó đề cập đến việc chọn lựa, triển khai vận hành IDPS, cung cấp thông tin nguồn gốc hướng dẫn 3.3.2 Khả áp dụng tiêu chuẩn Việt Nam Theo số liệu thống kê Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), năm gần có nhiều quan nhà nước doanh nghiệp tư nhân bị gián đoạn hoạt động nghiệp vụ hệ thống công nghệ thông tin truyền thông bị công không phát ngăn chặn kịp thời Điển hình cố gián đoạn hoạt động trang báo điện tử (dantri.com.vn, vietnamnet.vn, tuoitre.vn) năm 2013 cố Công ty VCCorp năm 2014 (bị gián đoạn hoạt động thời gian dài) Dưới số liệu khảo sát an tồn thơng tin 03 năm (2012-2014) Trung tâm VNCERT Hiệp hội an tồn thơng tin Việt Nam tiến hành 24 Bảng 2: Khảo sát ATTT năm 2014, 2013, 2012 Câu 30 Tổ chức quý vị có có tuân theo có ý định tuân theo Năm Năm Năm dẫn chuẩn ATTT dưói khơng? Khơng Có ISO/IEC 2700x Cobit HiPAA PCI Common Criteria Khác Câu 31 Trong thời gian tới, tổ chức q vị có dự kiến triển khai 2014 2013 2012 32.56 % 54.3% 66.28 % 20.2% 54.07 % 21.1% 5.23 % 1.8% 0.58 % 1.8% 8.72 % 3.7% 1.74 % 1.2% 6.40 % 5.2% 42% 36% 35% 4% 2% 5% 2% 4% Hệ thống quản lý an tồn thơng tin (ISMS) theo ISO 27001 khơng? Khơng có kế hoạch Chỉ triển khai ISMS tuân thủ ISO/IEC 27001 Triển khai ISMS tuân thủ ISO/IEC 27001 lấy chứng nhận ISO/IEC 27001 Câu 32 Tổ chức quý vị có Quy chế ATTT (Security Policy) chưa? (đã lãnh đạo phê duyệt đưa vào áp dụng) Có Chưa có: + Sẽ xây dựng Quy chế thời gian tới + Chưa có ý định xây dựng Quy chế 0.0% 53.49 % 51.0% 37.79 % 16.1% 53% 23% 9.9% 12% 16.86 % 0.0% 58.14 % 27.1% 36.05 % 36.3% 44.19 % 33.3% 8.72 % 26.9% 41% 32% 27% 16% Theo số liệu tổng hợp kết khảo sát ATTT Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Hiệp hội an tồn thơng tin (VNISA) tiến hành 500 quan nhà nước doanh nghiệp tồn quốc thấy rằng: - Các đơn vị ngày trọng tới việc xây dựng quy chế an tồn thơng tin áp dụng đơn vị - Số lượng đơn vị tuân thủ có ý định tuân thủ theo dẫn Bộ ISO 27000 ngày tăng nhanh - Nhu cầu mong muốn triển khai tuân thủ yêu cầu biện pháp kiểm sốt an tồn thơng tin mong muốn có nhận ISO/IEC 27001 ngày tăng nhanh Khi đơn vị có nhu cầu mong muốn triển khai, tuân thủ cấp chứng 25 nhận theo ISO/IEC 27001 tăng nhu cầu sử dụng, áp dụng hướng dẫn theo biện pháp đảm bảo an tồn thơng tin thuộc tiêu chuẩn 27000 nói chung tiêu chuẩn ISO/IEC DIS 27039 nói riêng ngày lớn Ngồi ra, khơng đơn vị mong muốn triển khai, tuân thủ cấp chứng nhận theo ISO/IEC 27001 mà tổ chức muốn triển khai quy hoạch lại hệ thống phát ngăn chặn xâm nhập áp dụng tiêu chuẩn để chọn lựa, triển khai vận hành cách hiệu Nội dung dự thảo tiêu chuẩn kỹ thuật 4.1 Giới thiệu nội dung Dự thảo tiêu chuẩn Dự thảo tiêu chuẩn xây dựng dựa tiêu chuẩn quốc tế ISO/IEC DIS 27039 “Information technology - Security techniques - Selection, deployment and operations of intrusion detection and prevention systems (IDPS)” phiên 2013 tiêu chuẩn Tiêu chuẩn ISO/IEC DIS 27039 cung cấp hướng dẫn cho việc chọn lựa, triển khai vận hành IDPS Trước chọn lựa IDPS tổ chức cần phải đánh giá rủi ro an tồn thơng tin, phân biệt có kiến thức hệ thống phát ngăn chặn xâm nhập cho máy chủ hệ thống phát ngăn chặn xâm nhập mạng Khi chọn lựa tổ chức cần xem xét yếu tố môi trường hệ thống, sách an tồn áp dụng cho IDPS, xác thực tính IDPS tính năng, chiến lược cảnh báo, chi phí đặc biệt tính cập nhật dấu hiệu cơng Trong q trình triển khai tổ chức cần phải ý đến chiến lược triển khai, vị trí đặt IDPS đặc biệt việc đảm bảo an tồn cho IDPS Trong q trình vân hành tổ chức cần ý tới việc tùy chỉnh luật cấu hình IDPS, cập nhật vá lỗ hổng cho IDPS, xử lý cảnh báo IDPS, tùy chọn phản ứngvà xem xét môi trường pháp lý liên quan tới liệu IDPS Tiêu chuẩn áp dụng cho tổ chức cân nhắc việc th ngồi 26 tính phát xâm nhập Thông tin mức độ thỏa thuận dịch vụ th ngồi đề cập quy trình quản lý dịch vụ công nghệ thông tin (ITSM) tiêu chuẩn ISO/IEC 20000 Ngoài tiêu chuẩn thiết kế giúp: - Tổ chức đáp ứng yêu cầu ISO/IEC 27001: - Tổ chức cần thực thủ thục kiểm soát khác để phát phản ứng với cố an toàn; - Tổ chức phải thực thủ tục theo dõi soát xét kiểm soát khác để định danh các nỗ lực, hành vi vi phạm sách an tồn cố - Tổ chức thực biện pháp kiểm soát để đáp ứng mục tiêu ISO/IEC 27002: - Để phát hành động xử lý thông tin trái phép; - Hệ thống phải theo dõi kiện an tồn thơng tin phải ghi lại Nhật ký hoạt động nhật ký lỗi phải sử dụng để đảm bảo vấn đề hệ thống thông tin xác định; - Tổ chức phải tuân thủ yêu cầu pháp lý có liên quan áp dụng tới việc hành động giám sát ghi nhật ký - Giám sát hệ thống phải sử dụng để kiểm tra hiệu biện pháp kiểm soát để xác nhận tính phù hợp mơ hình sách truy cập - Việc triển khai IDPS giải pháp để đảm bảo đáp ứng đầy đủ yêu cầu Tiêu chuẩn ISO/IEC DIS 27039 đưa hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát ngăn chặn xâm nhập 27 4.2 Cấu trúc nội dung Dự thảo tiêu chuẩn Tiêu chuẩn gồm điều phụ lục cụ thể sau: - Điều đến điều nêu quy định chung tiêu chuẩn - Điều đưa mơ hình tổng quan pha lựa chọn, triển khai, vận hành hệ thống phát ngăn chặn xâm nhập - Điều đưa hướng dẫn giúp tổ chức chọn lựa hệ thống phát ngăn chặn xâm nhập - Điều đưa hướng dẫn giúp tổ chức triển khai hệ thống phát ngăn chặn xâm nhập - Điều đưa hướng dẫn giúp tổ chức vận hành hệ thống phát ngăn chặn xâm nhập - Phụ lục A nêu kiến thức tổng quan hệ thống phát ngăn chặn xâm nhập 28 4.3 Bảng đối chiếu tiêu chẩn viện dẫn Tiêu chuẩn Việt Nam Tiêu chuẩn viện dẫn Sửa đổi, TCVN-xxx:2014/BTTT ISO/IEC DIS 27039 bổ sung Phạm vi áp dụng 1Scope Chấp nhận nguyên vẹn Thuật ngữ định Terms and definitions Chấp nhận nguyên vẹn Nền tảng Background Chấp nhận nguyên vẹn Tổng quan General Chấp nhận nguyên vẹn Chọn lựa Selection 5.1 Tổng quan 5.1 Introduction nghĩa 5.2 Đánh giá rủi ro an tồn 5.2 Information Security Risk assessment thơng tin Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn 5.3 Host or Network IDPS Chấp nhận nguyên vẹn 5.4 Các xem xét 5.4 Considerations Chấp nhận nguyên vẹn 5.5 Công cụ bổ sung cho 5.5 Tools that complement Chấp nhận nguyên vẹn IDPS IDPS 5.6 Tính mở rộng 5.6 Scalability Chấp nhận nguyên vẹn 5.7 Hỗ trợ kỹ thuật 5.7 Technical support Chấp nhận nguyên vẹn 5.8 Đào tạo 5.8 Training Chấp nhận nguyên vẹn Triển khai Deployment 5.3 IDPS dựa Host dựa mạng 29 6.1 Tổng quan 6.1 Overview Chấp nhận nguyên vẹn 6.2 Triển khai chiến lược 6.2 Staged deployment 6.3 Triển khai NIDPS 6.3 NIDPS deployment Chấp nhận nguyên vẹn 6.4 Triển khai HIDPS 6.4 HIDPS deployment Chấp nhận nguyên vẹn 6.5 Đảm bảo bảo vệ an 6.5 Safeguarding and Chấp nhận ngun vẹn tồn thơng tin IDPS protecting IDPS information security Vận hành Operations 7.1 Tổng quan 7.1 Overview Chấp nhận nguyên vẹn 7.2 Tùy chỉnh IDPS 7.2 IDPS tuning Chấp nhận nguyên vẹn 7.3 Điểm yếu IDPS 7.3 IDPS aulnerabilities Chấp nhận nguyên vẹn 7.4 Xử lý cảnh báo IDPS 7.4 Handling IDPS alerts Chấp nhận nguyên vẹn 7.5 Tùy chọn phản ứng 7.5 Response options Chấp nhận nguyên vẹn 7.6 Xem xét pháp lý 7.6 Legal Considerations Chấp nhận nguyên vẹn Phụ lục A (Tham khảo) Annex A (Informative) Hệ thống phát ngăn chặn xâm nhập IDPS: Nền tảng vấn đề xem xét Intrusion Detection and Prevention System (IDPS): Framework and issues to be considered A.1 Giới thiệu hệ thống A.1 Introduction to phát xâm nhập intrusion detection A.2 Các kiểu xâm nhập A.2 Types of intrusions Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn 30 công and attacks A Mơ hình chung A.3 Generic model of the quy trình phát xâm intrusion detection process Chấp nhận nguyên vẹn nhập A.4 Các kiểu IDPS A.4 Types of IDPS Chấp nhận nguyên vẹn A.5 Kiến trúc A.5 Architecture Chấp nhận nguyên vẹn A.6 Quản lý IDPS A.6 Management of an Chấp nhận nguyên vẹn IDPS A.7 Vấn đề thực A.7 Implementation and triển khai deployment Issues A.8 Vấn đề phát xâm A.8 Intrusion detection Issues nhập Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn 31 Kết luận Hiện tổ chức ngày nhiều tổ chức triển khai hệ thống IDPS hệ thống mạng để đảm bảo an toàn cho hoạt động nghiệp vụ, kinh doanh Tuy nhiên chưa có chuẩn Việt Nam đưa hướng dẫn việc chọn lựa, triển khai vận hành hệ thống IDPS Chính việc xây dựng dự thảo tiêu chuẩn công nghệ thông tin, kỹ thuật an toàn hướng dẫn chọn lựa, triển khai vận hành hệ thống IDPS hoạt động cần thiết nhằm tạo hệ thống tiêu chuẩn liên quan đến an tồn thơng tin, áp dụng Việt Nam Ngoài việc xây dựng dự thảo tiêu chuẩn cịn góp phần cho hoạt động nghiên cứu, hướng dẫn cho tổ chức đưa yêu cầu, kế hoạch quy trình để khai thác cách hiệu hệ thống IDPS Thư mục tài liệu tham khảo [1] TCVN 8709 Công nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn cơng nghệ thơng tin (tất phần) (ISO/IEC 15408) [2] ISO/IEC 18028-3:2005 Information technology - Security techniques - IT network security - Part 3: Securing communications between networks using security gateways [3] ISO/IEC 18028-4:2005 Information technology - Security techniques - IT network security - Part 4: Securing remote access [4] ISO/IEC 18028-5 Information technology - Security techniques - IT network security - Part 5: Securing communications across networks using virtual private networks [5] ISO/IEC 20000 (all parts) Information technology - Service management [6] ISO/IEC 27010:2012 Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications [7] TCVN 9801-1:2013, Cơng nghệ thơng tin - Các kỹ thuật an tồn - An toàn mạng Phần 1: Tổng quan nội dung (ISO/IEC 27033-1:2009) [8] ISO/IEC 27033-2:2012 Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security 32 [9] ISO/IEC 27035:2011 Information technology - Security techniques - Information security incident management [10] ISO/IEC 27001 Information Technology – Security techniques – Information security management systems – Requirements [11] ISO/IEC 27002 Information technology - Security techniques - Code of practice for information security controls 33