T TCCS TIÊU CHUẨN CƠ SỞ HIỆP HỘI AN TOÀN THÔNG TIN VIỆT NAM TCC CS 02: 202 20/VNISA A X Xuất lần 01 TIÊU CHUẨN C N DỊCH H VỤ KIỂM TR RA, ĐÁ ÁNH GIIÁ AN T TỒN THƠNG G TIN M MẠNG Spe ecification n Service of o Informattion Securrity Asses ssment HÀ NỘI - 2020 Mục lục Lời nói đầu Lời giới thiệu Phạm vi, đối tượng áp dụng Phạm vi áp dụng Đối tượng áp dụng Thuật ngữ định nghĩa Các thuật ngữ viết tắt Các yêu cầu Phương pháp đánh giá đo lường chuẩn Yêu cầu cụ thể việc thực dịch vụ, kiểm tra, đánh giá ATTT 10 6.1 Quy trình thực dịch vụ kiểm tra, đánh giá ATTT 10 6.2 Mô tả chi tiết hạng mục dịch vụ kiểm tra, đánh giá ATTT mạng 12 Yêu cầu tổ chức cung cấp dịch vụ kiểm tra, đánh giá ATTT mạng 16 7.1 Yêu cầu pháp lý 16 7.2 Yêu cầu lực kinh nghiệm tổ chức .16 Yêu cầu nhân lực thực dịch vụ kiểm tra, đánh giá ATTT mạng 17 8.1 Trưởng nhóm kiểm tra, đánh giá ATTT (chuyên gia loại 1) 17 8.2 Chuyên gia kiểm tra, đánh giá ATTT (chuyên gia loại 2) 17 Kết bàn giao 18 PHỤ LỤC A: MẪU KIỂM TRA QUY TRÌNH THỰC HIỆN 19 PHỤ LỤC B: MẪU KIỂM TRA NĂNG LỰC TỔ CHỨC 22 PHỤ LỤC C: MẪU KIỂM TRA NĂNG LỰC NHÂN SỰ 25 PHỤ LỤC D: MẪU BÁO CÁO TỔNG KẾT KẾT QUẢ ĐÁNH GIÁ 28 PHỤ LỤC E: GIẢI PHÁP VÀ PHƯƠNG PHÁP LUẬN 31 PHỤ LỤC F: TÀI LIỆU THAM KHẢO 32 Lời nói đầu TCCS 02: 2020/VNISA xây dựng sở thực tiễn thực dịch vụ kiểm tra kiểm tra, đánh giá An tồn thơng tin mạng Việt Nam, có tham khảo tiêu chuẩn quốc tế tiêu chuẩn nước TCCS 02: 2020/VNISA Câu lạc Kiểm tra, Đánh giá Kiểm định An tồn thơng tin Việt Nam (VSAC) biên soạn, Hiệp hội An tồn thơng tin Việt Nam thẩm định công bố Lời giới thiệu Tiêu chuẩn quy định yêu cầu dịch vụ kiểm tra, đánh giá An tồn thơng tin mạng, bao gồm 03 nhóm: u cầu quản lý kỹ thuật; yêu cầu tổ chức yêu cầu nhân Nhóm yêu cầu quản lý kỹ thuật sở để tổ chức cung cấp dịch vụ xây dựng quy trình, nội dung bước thực nhiệm vụ kiểm tra, đánh giá Nhóm yêu cầu tổ chức, nhân sở để tổ chức, doanh nghiệp hoàn thiện lực tổ chức, tài nhân đơn vị Các yêu cầu nêu Tiêu chuẩn sở yêu cầu việc cung cấp dịch vụ, kiểm tra, đánh giá an tồn thơng tin mạng Khuyến khích tổ chức, doanh nghiệp bổ sung thêm yêu cầu cấp độ cao nhằm nâng cao chất lượng dịch vụ Các yêu cầu nêu nội dung Tiêu chuẩn cho việc đánh giá dịch vụ kiểm tra, đánh giá An tồn thơng tin mạng, phần Phụ lục mẫu biểu hướng dẫn cho trình đánh giá hợp chuẩn theo tiêu chuẩn sở TCCS 02: 2020/VNISA TIÊU CHUẨN CƠ SỞ TCCS 02: 2020/VNISA Tiêu chuẩn dịch vụ kiểm tra, đánh giá an tồn thơng tin mạng Specification Service of Information Security Assessment Phạm vi, đối tượng áp dụng Phạm vi áp dụng Tiêu chuẩn áp dụng trình chuẩn bị, thực kết thúc cơng việc liên quan đến dịch vụ Kiểm tra, đánh giá An tồn thơng tin mạng; áp dụng để đánh giá dịch vụ phù hợp với Tiêu chuẩn Đối tượng áp dụng Các tổ chức, công ty hội viên VNISA, có cung cấp dịch vụ Kiểm tra, đánh giá An tồn thơng tin mạng ứng dụng hệ thống công nghệ thông tin Tiêu chuẩn sử dụng quan, tổ chức có nhu cầu thuê dịch vụ Kiểm tra, đánh giá an tồn thơng tin mạng nhằm đánh giá, lựa chọn đơn vị cung cấp dịch vụ TCCS 02: 2020/VNISA Thuật ngữ định nghĩa Trong tiêu chuẩn sử dụng thuật ngữ định nghĩa sau 2.1 An tồn thơng tin mạng Là bảo vệ thông tin, hệ thống thông tin mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thơng tin 2.2 Mạng Là mơi trường thơng tin cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông qua mạng viễn thông mạng máy tính 2.3 Xâm phạm an tồn thơng tin mạng Là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin 2.4 Sự cố an tồn thơng tin mạng Là việc thơng tin, hệ thống thơng tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật tính khả dụng 2.5 Rủi ro an tồn thơng tin mạng Là nhân tố chủ quan khách quan có khả ảnh hưởng tới trạng thái an tồn thơng tin mạng 2.6 Đánh giá rủi ro an tồn thơng tin mạng Là việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa thông tin, hệ thống thơng tin 2.7 Quản lý rủi ro an tồn thơng tin mạng Là việc đưa biện pháp nhằm giảm thiểu rủi ro an tồn thơng tin mạng 2.8 Dịch vụ kiểm tra, đánh giá an tồn thơng tin mạng Là dịch vụ rà quét, kiểm tra, phân tích cấu hình, trạng, liệu nhật ký hệ thống thông tin; phát lỗ hổng, điểm yếu; đưa đánh giá rủi ro an tồn thơng tin 2.9 Đơn vị cung cấp dịch vụ kiểm tra đánh giá an tồn thơng tin mạng Là doanh nghiệp, tổ chức cung cấp dịch vụ liên quan tới kiểm tra, đánh giá an tồn thơng tin mạng 2.10 Chun gia kiểm tra đánh giá an tồn thơng tin mạng Là chuyên gia kiểm tra, đánh giá dịch vụ an toàn thông tin mạng phần dịch vụ liên quan tới kiểm tra, đánh giá an tồn thơng tin mạng TCCS 02: 2020/VNISA Các thuật ngữ viết tắt TT Từ viết tắt Tiếng Anh Tiếng Việt ATTT An tồn thơng tin CNTT Cơng nghệ thơng tin TCCS Tiêu chuẩn sở APTP Advanced Penetration Testing Program Chương trình kiểm thử xâm nhập nâng cao CEH Certified Ethical Hacker Chứng hacker mũ trắng EC-council International Council of Electronic Commerce Consultants Tổ chức cung cấp chương trình chứng bảo mật quốc tế ECSA EC-Council Certified Security Analyst Chứng chuyên gia phân tích ATTT GIAC Global Information Assurance Certification Chứng bảo đảm thơng tin tồn cầu GSEC Certification GIAC Security Essentials certification Chứng bảo mật GIAC CREST Core Research for Evolutional Science and Technology Tổ chức nghiên cứu phát triển khoa học công nghệ phát triển CCNIA CREST Certified Network Intrusion Analyst Chuyên gia phân tích mạng CREST chứng nhận CVE Common Vulnerabilities Exposures Các lỗ hổng thường gặp GPEN GIAC Penetration Certification Chứng nhận kiểm thử xâm Tester nhập GXPN GIAC Exploit Researcher and Advanced Penetration Tester Chứng nghiên cứu lỗ hổng kiểm thử xâm nhập NDA Non-Disclosure Agreement Cam kết không tiết lộ thông tin OSCP Offensive Security Certified Professional Chứng chuyên gia công OWASP Open Web Application Security Project Dự án bảo mật ứng dụng web mở 18 LPT Licensed Penetration Tester Chứng kiểm thử xâm nhập 19 Pentest Penetration Testing Kiểm thử xâm nhập 20 SLA Service-level Agreement Cam kết chất lượng dịch vụ CompTIA The Computing Technology Industry Association Hiệp hội cơng nghiệp cơng nghệ máy tính Sec+ Certification CompTIA Security+ Certification Chứng Security+ CompTIA 10 11 12 13 14 15 16 17 21 22 TCCS 02: 2020/VNISA Các yêu cầu Bao gồm nhóm yêu cầu sau: 4.1 Yêu cầu việc thực dịch vụ, kiểm tra, đánh giá ATTT mạng: sở dể tổ chức cung cấp dịch vụ xây dựng quy trình, nội dung bước thực nhiệm vụ kiểm tra, đánh giá 4.2 Yêu cầu tổ chức cung cấp dịch vụ kiểm tra, đánh giá ATTT mạng: sở để tổ chức, doanh nghiệp hoàn thiện lực tổ chức, tài đơn vị 4.3 Yêu cầu nhân lực thực dịch vụ kiểm tra, đánh giá ATTT mạng: sở để tổ chức, doanh nghiệp hoàn thiện lực nhân đơn vị 4.4 Kết bàn giao: Là để thanh toán hợp đồng dịch vụ bên TCCS 02: 2020/VNISA Phương pháp đánh giá đo lường chuẩn 5.1 Phương pháp kiểm tra hoạt động thực tiễn chức năng, hệ thống, giải pháp - Nguyên tắc đánh giá: Dựa việc kiểm tra, đo lường kết hoạt động chức hệ thống, giải pháp có đạt mức phù hợp với yêu cầu, tiêu, tiêu chuẩn cơng bố - Mục đích áp dụng để đánh giá: Tính phù hợp, tính xác chức theo tiêu chí đề - Phương thức thực hiện: Chạy thử thực tế, tình huống, kiểm tra chức năng, tổng hợp kết đánh giá 5.2 Phương pháp lấy ý kiến chuyên gia - Nguyên tắc đánh giá: Dựa ý kiến nhận xét chuyên gia hàng đầu Hội đồng chuyên gia chuyên ngành sở kinh nghiệm phân tích tài liệu hồ sơ biên vận hành hệ thống - Mục đích áp dụng: Có thể áp dụng để đánh giá tiêu chí phi chức như: Tính bảo mật, kiến trúc cơng nghệ, khả bảo trì, khả tương tác, khả phân tích, khả thay đổi được, khả cài đặt phần mềm, khả chịu lỗi, khả phục hồi, khả tương thích, chất lượng mã nguồn - Phương thức thực hiện: Tổng hợp ý kiến chuyên gia nhận xét đánh giá tài liệu giải pháp, công nghệ áp dụng, hồ sơ hệ thống kết vận hành thử nghiệm thực tiễn 5.3 Các phương pháp khác - Tùy theo tình hình thực tế, xem xét áp dụng bổ sung không giới hạn phương pháp khác phù hợp với đối tượng mục tiêu đánh giá - Các phương pháp bổ sung phải mô tả đầy đủ báo cáo mục tiêu chí đánh giá liên quan 5.4 Phụ lục: Các biểu mẫu kiểm tra, đánh giá TCC CS 02: 2020/VNISA Yê cầu cụ thể đối vớ ới việc thự ực dịch vụ, kiể ểm tra, đá nh giá AT TTT 6.1 Q Quy trình thực n dịch vụ k kiểm tra, đánh đ giá ATTT A 6.1.1 Các bướ ớc thực n Mơ tả quy trình 6.1.2 TT Tên bư ước thực h Bắt đầu ng trình cun cấp dịch vụ(B1) Yêu Y cầu c (M M-Bắt bu uộc/ O Tùy ch họn) M Mô ô tả Ghi ch hú Các hhợp đồng bao gồm m không giớ ới hạn: Hợp p ch vụ đồng cuung cấp dịc k Có hợp đồng ký bên, Thhoả thuận cam c kết bảo o kếtt với khách hàng mật thôông tin (ND DA), phụ lụcc phạm vi dự án (scope of o work) Thu thập p thông tin n mục tiêu u (B2) Dò quétt tự động atic (Automa Discove ery) 10 M hảo sát hiệ ện trạng hệ h Kh thố ống, đối tượng cầ ần đá ánh giá từ nguồ ồn kh hác Các thhông tin mục tiêu u cần đáánh giá nh hư: hệ điều u hành, phiên phần mềm m, g, bảo mậtt, loại thhiết bị mạng ụng… nghiệpp vụ ứng dụ O dụng cá ác công cụ c Sử ph hần mềm để ể tự động dò d qu uét lỗ hổng phầ ần mề ềm, hệ điều hành (nế ếu g Các thhông tin lỗi, lỗ hổng bảo m mật lư ưu lại xử lý, đáánh giá mứ ức độ ảnh h ệ hưởngg nguy hại tới hệ TCCS 02: 2020/VNISA Kết bàn giao Tổ chức thực dịch vụ phải tuân thủ cung cấp cho Khách hàng trước, sau thực dịch vụ: - Tài liệu “Cam kết bảo mật thông tin – NDA” ký Tổ chức Khách hàng - Tài liệu “Giải pháp phương pháp luận dịch vụ kiểm tra, đánh giá an tồn thơng tin mạng” - Tài liệu “Báo cáo kết đánh giá-kiểm định Khuyến nghị” cung cấp cho Khách hàng” 18 TCCS 02: 2020/VNISA Phụ lục A: Mẫu kiểm tra Quy trình thực (Quy định) Mẫu kiểm tra quy trình thực dịch vụ kiểm tra, đánh giá ATTT mạng TT TCKT Loại yêu cầu (M-Bắt buộc/ O-Tùy chọn) Bài đo kết Các tiêu Kết mong muốn Có hợp đồng ký kết với khách hàng Các hợp đồng bao gồm: Ký kết dịch vụ bên, hợp đồng bảo mật thông tin (NDA), phụ lục phạm vi dự án (scope of work) Thực tế Có Khơn g Kết luận Bắt đầu dịch vụ Kiểm tra thông tin hợp đồng M - Trong trường hợp khách hàng yêu cầu Demo chứng minh lực demo đánh giá thử nghiệm website/ứng dụng để chứng minh lực, yêu cầu: O  Cơng văn xác nhận có ký đóng dấu khách hàng yêu cầu đánh giá thử nghiệm Thực pentest kiểm thử xâm nhập thành công phạm vi nhỏ hệ thống khách hàng  Hai bên thống thời gian thực sau tiến hành đánh giá Demo Thực dịch vụ 19 TCCS 02: 2020/VNISA Lên kế hoạch chuẩn bị M - Thống kế hoạch thời gian thực với khách hàng dựa phạm vi hợp đồng - Biên khảo sát xác nhận mục tiêu cần đánh giá (nếu có) - Đề xuất phương pháp kỹ thuật thực (proposal), công cụ sử dụng q trình thực hiện, thơng báo tới khách hàng việc rà sốt có Sơ đồ mục tiêu, hệ điều hành ứng dụng/dịch vụ, port tương ứng,… thể gây ảnh hưởng tới dịch vụ hệ thống Kiểm tra dò quét tự động (Automatic Discovery) O - Sử dụng công cụ thương mại miễn phí, tự thiết kế - Cung cấp giấy phép cơng cụ số trường hợp yêu cầu khách hàng - Đảm bảo công cụ không gây tổn hại cho hệ thống mục tiêu - Phải kiểm tra lại tình trạng thay đổi ứng dụng sử dụng phương pháp kiểm tra tự động - Phạm vi dò quét tự động thường bao gồm:  Dò quét mạng (Network Discovery)  Dò quét máy chủ/máy trạm (Host Discovery)  Thẩm tra dịch Interrogation) 20 vụ (Service Phải đảm bảo kết review lại kỹ thuật viên TCCS 02: 2020/VNISA Phân tích thơng tin rủi ro (Manual Test) M - Thực kiểm tra đủ theo mục tiêu tiêu chuẩn mà bên thực áp dụng (Ví dụ: OWASP Testing Guide) - Thực kiểm tra đánh giá thêm tùy thuộc vào ứng dụng cụ thể đánh giá phiên xác thực, đăng nhập; đánh giá phân quyền; tương tác với hệ thống back-end… Các lỗi tìm phải xác nhận qua kỹ thuật viên Các lỗi phải chia sẻ với toàn team kỹ thuật - Thông báo cho khách hàng trường hợp nghi ngờ lỗi kiểm tra gây nguy hiểm cho hệ thống mục tiêu Kiểm thử xâm nhập O - Bước phải thực cần xác minh mức độ rủi ro thực tế lỗ hổng tiềm theo yêu cầu khách hàng - Đối với hệ thống có yêu cầu tính tồn vẹn cao, việc thực cần xem xét cẩn thận trước tiến hành Viết báo cáo tổng thể gửi khách hàng Đánh giá lại hỗ trợ sửa lỗi M O Thực kiểm thử xâm nhập một/một vài lỗ hổng nghiêm trọng tìm thấy trước đó, xác định mức độ phạm vi ảnh hưởng cao Báo cáo tổng thể phải chuẩn hóa cho loại mục tiêu/dịch vụ Báo cáo tổng thể phải cung cấp tổng số lỗi, mức điểm lỗi, chi tiết chứng minh, khai thác, chứng xác nhận, tài liệu tham khảo khuyến nghị sửa chữa Báo cáo kỹ thuật đơn giản Báo cáo thể tình trạng sửa lỗi hay chưa Bằng chứng xác thực kèm (Hạng mục 21 TCCS 02: 2020/VNISA cần thực khoảng thời gian cho phép) Viết báo cáo kỹ thuật xác nhận sửa lỗi O Báo cáo kỹ thuật đơn giản xác nhận tình trạng tồn lỗi sửa xong Báo cáo gửi khách hàng phải có chứng chứng minh kèm Đóng dự án M Văn xác nhận hoàn thành dự án (Email / File đính kèm) Xác nhận từ đội ngũ kỹ thuật Hồn tất cơng việc theo hợp đồng M Hồn tất công việc theo cam kết hợp đồng Có biên nghiệm thu ký hợp đồng ký kết Kết thúc dịch vụ 10 11 22 TCCS 02: 2020/VNISA Phụ lục B: Mẫu kiểm tra lực tổ chức (Quy định) Mẫu kiểm tra lực tổ chức cung cấp dịch vụ kiểm tra, đánh giá ATTT mạng Yêu cầu Loại yêu cầu (M-Bắt buộc/ O-Tùy chọn) Bài đo kết Các tiêu Kết mong muốn M Có đăng ký kinh doanh ngành nghề M Có lực tài lành mạnh Cung cấp giấy đăng ký kinh doanh hợp lệ Tại thời điểm đánh giá, tổ chức đánh giá cần cung cấp tài liệu chứng minh - Tổ chức khơng q trình giải thể; khơng bị kết luận lâm vào tình trạng phá sản nợ khơng có khả chi trả theo quy định pháp luật - Báo cáo tài kiểm toán tổ chức năm gần có tài sản lưu động trừ nợ ngắn hạn lớn - Số thuế thu nhập doanh nghiệp 02 năm gần nộp quan thuế lớn M Có giấy phép “Cung cấp dịch vụ kiểm tra, đánh giá an tồn thơng tin mạng” Bộ Thông tin & Truyền thông cấp Thực tế Có Khơn g Kết luận u cầu pháp lý Yêu cầu tính hợp pháp tổ chức Yêu cầu giấy phép thực dịch vụ ATTT mạng quan có thẩm quyền Giấy phép cịn hiệu lực thời gian thực dịch vụ 23 TCCS 02: 2020/VNISA Yêu cầu lực, kinh nghiệm tổ chức Yêu cầu tiêu chuẩn tổ chức thực dịch vụ thông thường Yêu cầu nâng cao Tổ chức thực dịch vụ chất lượng cao 24 M Số năm kinh nghiệm thực dịch vụ tối thiểu 03 năm Cung cấp tài liệu chứng minh M Số lượng hợp đồng dịch vụ thực 01 hợp đồng Cung cấp tài liệu chứng minh M Nhân thực dịch vụ tối thiểu: 02 chuyên gia 02 chuyên gia bao gồm 01 chuyên gia loại 01 chuyên gia loại 2; có hợp đồng lao động tối thiểu 01 năm với chuyên gia M Số năm kinh ngiệm thực dịch vụ tối thiều 03 năm liên tục Cung cấp tài liệu chứng minh M Số lượng hợp đồng dịch vụ thực 05 hợp đồng 03 năm gần Cung cấp 05 hợp đồng 03 năm gần M Đảm bảo quy mô hợp đồng M Nhân thực dịch vụ tối thiểu 03 chun gia Có 01 hợp đồng giá trị dịch vụ Pentest lớn 500.000.000 VND (năm trăm triệu đồng) 03 chuyên gia, bao gồm 01 chuyên gia loại 1, 02 chuyên gia loại 2; có hợp đồng lao động tối thiểu 01 năm với chuyên gia TCCS 02: 2020/VNISA Phụ lục C: Mẫu kiểm tra lực nhân (Quy định) Mẫu kiểm tra lực nhân thực dịch vụ kiểm tra, đánh giá ATTT mạng Yêu cầu Loại yêu cầu (M-Bắt buộc/ O-Tùy chọn) Bài đo kết Các tiêu Kết mong muốn Thực tế Có Khơng Kết luận u cầu với Trưởng nhóm dịch vụ Pentest ( Chuyên gia loại 1) u cầu chứng M Có chứng liên quan đến Pentest CEH, Sec+, ECSA, LPT, GSEC, GPEN, GXPN, OSCP, CREST tương đương M Đã trực tiếp lãnh đạo dự án Pentest M Đã trực tiếp tham gia thực dự án Pentest Yêu cầu kinh nghiệm Pentest Cung cấp chứng hợp lệ Chứng minh việc có tên hợp đồng với chức danh trưởng dự án khách hàng xác nhận văn Chứng minh việc có tên hợp đồng với chức danh trưởng dự án khách hàng xác nhận văn Có chứng nhận qua khóa đào tạo pentester VNISA O Yêu cầu khác M Tuân thủ quy tắc đạo đức nghề nghiệp ATTT VNISA Yêu cầu với Chuyên gia Pentest ( Chuyên gia loại 2) 25 TCCS 02: 2020/VNISA Yêu cầu Yêu cầu chứng Yêu cầu kinh nghiệm Pentest Loại yêu cầu (M-Bắt buộc/ O-Tùy chọn) Bài đo kết Các tiêu M Có chứng liên quan đến Pentest CEH, Sec+, ECSA, LPT, GSEC, GPEN, GXPN, OSCP, CREST tương đương Cung cấp chứng hợp lệ M Có 02 năm kinh nghiệm lĩnh vực Pentest Minh chứng danh sách hợp đồng thực M Đã trực tiếp tham gia thực 01 dự án Pentest Chứng minh việc có tên hợp đồng với chức danh chuyên gia đánh giá Pentest khách hàng xác nhận văn O Có chứng nhận qua khóa đào tạo pentester VNISA M Tuân thủ quy tắc đạo đức nghề nghiệp ATTT VNISA Yêu cầu khác Yêu cầu chất lượng thực dịch vụ Yêu cầu thông tin 26 Kết mong muốn M Tổ chức thực dịch vụ phải đảm bảo bí mật thơng tin liên quan đến dịch vụ như: thông tin hệ thống, thông tin kết đánh giá M Trung thực đưa kết đánh giá khuyến nghị khắc phục Thực tế Có Khơng Kết luận TCCS 02: 2020/VNISA Yêu cầu Yêu cầu tài liệu cung cấp cho khách hàng trước, sau thực dịch vụ Loại yêu cầu (M-Bắt buộc/ O-Tùy chọn) Bài đo kết Các tiêu Kết mong muốn M Tài liệu “Cam kết bảo mật thông tin – NDA”được ký tổ chức khách hàng M Tích hợp chung 02 tài liệu vào Tài liệu “Phương pháp tiếp cận tài liệu “Báo cáo kết đánh giáPhương pháp thực dịch vụ” kiểm định Khuyến nghị” cung cấp cho khách hàng Thực tế Có Không Kết luận 27 TCCS 02: 2020/VNISA Phụ lục D: Mẫu báo cáo tổng kết kết đánh giá (Quy định) Mẫu Báo cáo Tổng kết kết đánh giá dịch vụ kiểm tra, đánh giá ATTT mạng linh động thực theo đơn vị, nhiên phải đảm bảo bao gồm đầy đủ nội dung sau: Mẫu báo cáo tổng kết kết đánh giá dịch vụ kiểm tra, đánh giá ATTT mạng Thông tin chung Mục tiêu Phạm vi thực đánh giá Dịch vụ kiểm tra, đánh giá an tồn thơng tin mạng thực hệ thống [ ] [ ] theo mô tả đây: STT Hệ thống cần đánh giá [ ] Mô tả [ ] Thời gian, địa điểm thực đánh giá - Thời gian thực đánh giá: [dd/mm/yyyy] – [dd/mm/yyyy] - Địa điểm thực đánh giá: - Trụ sở [ ]: [ ] Các công việc thực Xếp loại điểm yếu Các điểm yếu sau phân tích đánh giá phân loại tùy thuộc vào mức độ nguy hiểm điểm yếu tác động điểm yếu tới hệ thống, cụ thể: 28 TCCS 02: 2020/VNISA STT Xếp loại Mô tả Điểm yếu xếp loại mức Nghiêm trọng: điểm yếu nguy hiểm, dễ dàng bị khai thác, mức độ ảnh hưởng lớn, gần tới hệ thống, liệu tài nguyên công ty, tổ chức Điểm yếu xếp loại mức Cao: điểm yếu nguy hiểm, bị khai thác, mức độ ảnh hưởng lớn, gần tới hệ thống, liệu tài nguyên công ty, tổ chức Điểm yếu xếp loại Trung bình: điểm yếu bảo mật chưa ảnh hưởng tới hệ thống, liệu tài nguyên công ty, tổ chức nhiên cần khắc phục thời gian sớm Điểm yếu xếp loại Thấp: điểm yếu lộ thông tin, không gây nhiều ảnh hưởng tới công ty, tổ chức, chưa cần giải Kết đánh giá: Kết tổng quan Trong trình đánh giá [ ], xác định lỗ hổng sau: Mức Nghiêm trọng - [ ] điểm yếu, bao gồm:  Điểm yếu [ ] Mức Cao - [ ] điểm yếu, bao gồm:  Điểm yếu [ ] Mức Trung bình - [ ] điểm yếu, bao gồm:  [ ] Mức Thấp - [ ] điểm yếu, bao gồm:  […] Kết chi tiết:  Điểm yếu [ ] Mô tả điểm yếu 29 TCCS 02: 2020/VNISA Khuyến nghị khắc phục  Điểm yếu [ ] Mô tả điểm yếu Khuyến nghị khắc phục  Điểm yếu [ ] Mô tả điểm yếu Khuyến nghị khắc phục 30 TCCS 02: 2020/VNISA Phụ lục E: Giải pháp phương pháp luận (Quy định) Giải pháp phương pháp luận dịch vụ kiểm tra, đánh giá ATTT mạng linh động thực theo đơn vị, nhiên phải đảm bảo bao gồm đầy đủ nội dung sau: Giải pháp phương pháp luận dịch vụ kiểm tra, đánh giá ATTT mạng Với dịch vụ kiểm tra, đánh giá ATTT mạng (Pentest) chuyên gia ATTT giữ vai trị hacker cơng vào hệ thống CNTT khách hàng Các kịch công thực có kiểm sốt, phép thực cho phép khách hàng phạm vi khoảng thời gian phù hợp, tránh ảnh hưởng tới hiệu nghiệp vụ hệ thống Dịch vụ Pentest ATTT xây dựng dựa tiêu chuẩn, phương pháp hướng dẫn đánh giá an tồn thơng tin giới cơng nhận Vị trí thực hiện: […] Quy trình thực hiện:[…] Hạng mục đánh giá chi tiết cho hệ thống[…] Danh sách cơng cụ phục vụ q trình đánh giá Quá trình đánh giá sử dụng kết hợp phương pháp thủ công chuyên gia công cụ phụ trợ, danh mục công cụ phụ trợ sau: STT Tên cơng cụ Mơ tả Mục đích […] [ ] […] [ ] 31 TCCS 02: 2020/VNISA Phụ lục F: Tài liệu tham khảo TT 32 Nội dung Tài liệu tham khảo Kiểm tra đánh giá ứng dụng The OWASP Foundation (2014) OWASP Testing Guide version 4.0 Web [online] Tham khảo tại: https://www.owasp.org/images/1/19/OTGv4.pdf [Accessed 20 Oct 2019] Kiểm tra đánh giá ứng dụng The OWASP Foundation (2019) OWASP Mobile Security Testing Guide version 1.1.3 Mobile ứng dụng [online] Tham khảo tại: https://github.com/OWASP/owasp-mstg/releases/download/1.1.3-excel/MSTGWinForms EN.pdf [Accessed 20 Oct 2019] Kiểm tra đánh giá hệ thống NIST SP 800-115 (Sep 2008) Technical Guide to Information Security Testing and Assessment sở liệu [online] Tham khảo tại: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf [Accessed 20 Oct 2019] Kiểm tra đánh giá hệ thống Máy NIST SP 800-115 (Sep 2008) Technical Guide to Information Security Testing and Assessment chủ dịch vụ, thiết bị mạng [online] Tham khảo tại: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf bảo mật [Accessed 20 Oct 2019] Kiểm tra đánh giá hệ thống NIST SP 800-115 (Sep 2008) Technical Guide to Information Security Testing and Assessment mạng không dây [online] Tham khảo tại: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf [Accessed 20 Oct 2019