CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC AN TỒN THƠNG TIN THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THƠNG TIN – CÁC KỸ THUẬT AN TỒN – CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP Hà Nội – 2021 MỤC LỤC Tên goi va ky hiêu tiêu chuân Đặt vấn đề 2.1 Tinh hinh tiêu chuân hoa vê quan ly an toan thông tin (B ộ tiêu chu ân ISO/IEC 27xxx) .3 2.1.1 Tình hình chuẩn hóa an tồn thơng tin giới .3 2.1.2 Tình hình chuẩn hóa an tồn thơng tin Việt Nam 14 2.2 Tình hình chn hóa liên quan đến hệ thống phát ngăn chặn xâm nhập .21 2.2 Vai tro ISO/IEC 27039 họ tiêu chuân ISO/IEC 27xxx 25 Lý xây dựng tiêu chuẩn 27 3.1 Mục tiêu 27 3.2 Ly 28 Nhu cầu thực tế khả áp dụng 29 4.1 Nhu câu thưc tế 29 4.2 Pham vi va kha ap dụng 30 Sở xây dựng tiêu chuẩn .31 5.1 Lưa chọn tiêu chuân tham chiếu 31 5.2 Phương phap xây dưng tiêu chuân 32 Nội dung dự thảo tiêu chuẩn 32 6.1 Giới thiệu ISO/IEC 27039:2015 32 6.2 Cấu trúc va nội dung dư thao tiêu chuân 33 6.3 Bang đối chiếu tiêu chuân viện dẫn 34 Kết luận 36 Tên gọi ký hiệu tiêu chuẩn Tên tiêu chuẩn quốc gia: “Công nghệ thông tin - Các kỹ thuật an toàn – Chọn lựa, triển khai vận hành hệ thống phát ngăn chặn xâm nhập” Kí hiệu: TCVN XXXX:2021 Mục tiêu việc xây dựng tiêu chuẩn: Tiêu chuẩn cung cấp hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát hiện ngăn chặn xâm nhập Tiêu chuẩn áp dụng cho tổ chức thuê tính phát hiện xâm nhập Thông tin mức độ thoả thuận dịch vụ th ngồi tìm tiêu chuẩn ISO/IEC 20000 quản lý dịch vụ cơng nghệ thơng tin Hồn thiện Bộ tiêu chuẩn quốc gia an tồn thơng tin 27xxx Đặt vấn đề 2.1 Tình hình tiêu chuẩn hóa về quản lý an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27xxx) 2.1.1 Tình hình chuẩn hóa an tồn thơng tin giới Có thể nói rằng, ISO 27xxx phần hệ thống quản lý chung tổ chức, thực hiện dựa nguyên tắc tiếp cận rủi ro hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, trì cải tiến đảm bảo an tồn thơng tin tổ chức Cho tới nay, việc áp dụng hệ thống quản lý an tồn thơng tin phù hợp với ISO 27xxx triển khai rộng khắp hầu hết quốc gia giới đặc biệt lĩnh vực tài chính ngân hàng Tại Việt Nam, số ngân hàng triển khai áp dụng hệ thống bước đầu có kết định Xét lịch hình thành tiêu chuẩn, ISO 27xxx có nguồn gốc từ Anh quốc Bắt đầu vào năm 1992, Phòng Thương mại Công nghiệp Anh (UK Department Trade and Industrial) ban hành qui phạm thực hành hệ thống an toàn thông tin dựa hệ thống đảm bảo an tồn thơng tin nội cơng ty dầu khí Tài liệu sau Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995 Năm 2000, tiêu chuẩn Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận ban hành với mã hiệu ISO/IEC 17799:2000 - tiền thân tiêu chuẩn ISO 27xxx ngày Mục đích nhằm thiết lập trì hệ thống quản lý thông tin, sử dụng phương pháp tiếp cận theo trình Thực hiện theo nguyên tắc Tổ chức Phát triển Hợp tác Kinh tế (OECD).Tiêu chuẩn ISO/IEC 27xxx phần hệ thống quản lý chung tổ chức, doanh nghiệp xây dựng độc lập kết hợp với hệ thống quản lý khác ISO 9000, ISO 14000 Lợi ích việc áp dụng: - Chứng tỏ cam kết đảm bảo an tồn thơng tin mức độ - Đảm bảo tính sẵn sàng tin cậy phần cứng sở liệu - Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng - Giảm giá thành chi phí bảo hiểm - Nâng cao nhận thức trách nhiệm nhân viên an ninh thông tin Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn: a) Xác định yêu cầu cho ISMS cho yêu cầu chứng nhận hệ thống vậy; b) Cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết và/hoặc chuyển đổi cho toàn trình yêu cầu Kế hoạch – Thực hiện – Kiểm tra – Hành động (PDCA); c) Chỉ hướng dẫn cụ thể phận cho ISMS; d) Đưa tính phù hợp đánh giá cho ISMS Tổng quan tiêu chuẩn trọng họ 27xxx đưa Hình Hình – Tổng quan tiêu chuẩn họ 27xxx Theo số thống kê chưa đầy đủ đến năm 2010 số lượng tổ chức áp dụng ISMS chứng nhận tồn giới 2063 đứng đầu Nhật Bản với số chứng cấp 1190 sau Anh 219, Đài loan 69 Các lĩnh vực áp dụng ISMS chiếm tỉ lệ khác Ví dụ lĩnh vực viễn thông áp dụng nhiều với 27% tổng số lượng chứng cấp ra, lĩnh vực tài chính ngân hàng chiếm 20%, lĩnh vực công nghệ thơng tin chiếm 15%, Các tiêu chuẩn an tồn thông tin thuộc họ 27xxx công bố dự thảo.Theo cập nhật năm 2020, Bộ tiêu chuẩn ISO/IEC 27xxx hệ thống quản lý an tồn thơng tin có 84 tiêu chuẩn, ¾ số tiêu chuẩn ban hành số khác hiện xây dựng Cụ thể bảng 01 đây: Hình : Các tiêu chuẩn hệ thống quản lý an tồn thơng tin theo https://www.iso27001security.com/ STT Ký hiệu tiêu chuẩn ISO/IEC Tên tiêu chuẩn Information technology — Security techniques — ISO/IEC 27000:2018 Information security management systems — Overview and vocabulary Information technology — Security techniques — ISO/IEC 27001:2013 Information security management systems — Requirements ISO/IEC 27002:2013 Information technology — Security techniques — ISO/IEC 27003:2017 Information security management systems — Guidance Information technology — Security techniques — ISO/IEC 27004:2016 Information security management — Monitoring, measurement, analysis and evaluation ISO/IEC 27005:2018 Information technology — Security techniques — Requirements for bodies providing audit and ISO/IEC 27006:2015 certification of information security management systems Information security, cybersecurity and privacy ISO/IEC 27007:2020 protection — Guidelines for information security management systems auditing ISO/IEC TR 27008:2019 Information technology — Security techniques — Code of practice for information security controls Information technology — Security techniques — Information security risk management Information technology — Security techniques — Guidelines for the assessment of information security controls 10 Information security, cybersecurity and privacy ISO/IEC 27009:2020 protection — Sector-specific application of ISO/IEC 27001 — Requirements 11 Information technology — Security techniques — ISO/IEC 27010:2015 Information security management for inter-sector and inter-organizational communications 12 Information technology — Security techniques — Code of practice for Information security controls ISO/IEC 27011:2016 based on ISO/IEC 27002 for telecommunications organizations 13 Information technology — Security techniques — ISO/IEC 27013:2015 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 14 ISO/IEC 27014:2013 15 ISO/IEC TR 27015:2012 Information technology — Security techniques — Information security management guidelines for financial services 16 ISO/IEC TR 27016:2014 Information technology — Security techniques — Information security management — Organizational economics Information technology — Security techniques — Governance of information security 17 Information technology — Security techniques — ISO/IEC 27017:2015 Code of practice for information security controls based on ISO/IEC 27002 for cloud services 18 Information technology — Security techniques — Code of practice for protection of personally ISO/IEC 27018:2019 identifiable information (PII) in public clouds acting as PII processors 19 Information technology — Security techniques — ISO/IEC 27019:2017 Information security controls for the energy utility industry 20 Information technology — Security techniques — ISO/IEC 27021:2017 Competence requirements for information security management systems professionals 21 ISO/IEC DTS 27022.2 (dự thảo) Information technology — Guidance on information security management system processes 22 ISO/IEC TR 27023:2015 Information technology — Security techniques — Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002 23 ISO/IEC 27030 (dự thảo) Information technology — Security techniques — Guidelines for security and privacy in Internet of Things (IoT) 24 Information technology — Security techniques — ISO/IEC 27031:2011 Guidelines for information and communication technology readiness for business continuity 25 ISO/IEC 27032:2012 26 ISO/IEC 270331:2015 Information technology — Security techniques — Network security — Part 1: Overview and concepts 27 ISO/IEC 270332:2012 Information technology — Security techniques — Network security — Part 2: Guidelines for the design and implementation of network security ISO/IEC 270333:2010 Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues ISO/IEC 270334:2014 Information technology — Security techniques — Network security — Part 4: Securing communications between networks using security gateways ISO/IEC 270335:2013 Information technology — Security techniques — Network security — Part 5: Securing 28 29 30 Information technology — Security techniques — Guidelines for cybersecurity communications across networks using Virtual Private Networks (VPNs) 31 ISO/IEC 270336:2016 Information technology — Security techniques — Network security — Part 6: Securing wireless IP network access 32 ISO/IEC 270341:2011 Information technology — Security techniques — Application security — Part 1: Overview and concepts 33 ISO/IEC 270342:2015 Information technology — Security techniques — Application security — Part 2: Organization normative framework 34 ISO/IEC 270343:2018 Information technology — Application security — Part 3: Application security management process 35 ISO/IEC FDIS 27034-4 (dự thảo) Information technology — Security techniques — Application security — Part 4: Validation and verification 36 ISO/IEC 270345:2017 Information technology — Application security — Part 5: Protocols and application security controls data structure 37 Information technology — Security techniques ISO/IEC TS 27034-5- Application security — Part 5-1: Protocols and 1:2018 application security controls data structure, XML schemas 38 ISO/IEC 270346:2016 Information technology — Security techniques — Application security — Part 6: Case studies 39 ISO/IEC 270347:2018 Information technology — Application security — Part 7: Assurance prediction framework 40 ISO/IEC 270351:2016 Information technology — Security techniques — Information security incident management — Part 1: Principles of incident management 41 42 43 ISO/IEC 270352:2016 ISO/IEC 270353:2020 Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations ISO/IEC WD 27035- Information technology — Information security incident management — Part 4: Coordination (Dự thảo) 44 ISO/IEC 270361:2014 Information technology — Security techniques — Information security for supplier relationships — Part 1: Overview and concepts 45 ISO/IEC 270362:2014 Information technology — Security techniques — Information security for supplier relationships — Part 2: Requirements 46 ISO/IEC 270363:2013 Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security 47 ISO/IEC 27036– 4:2016 Information technology — Security techniques — Information security for supplier relationships — Part 4: Guidelines for security of cloud services 48 Information technology — Security techniques — ISO/IEC 27037:2012 Guidelines for identification, collection, acquisition and preservation of digital evidence 49 ISO/IEC 27038:2014 50 Information technology — Security techniques — ISO/IEC 27039:2015 Selection, deployment and operations of intrusion detection and prevention systems (IDPS) Information technology — Security techniques — Specification for digital redaction 10 and prevention systems (IDPS) Như thấy hầu giới xây dựng tiêu chuẩn cho hệ thống phát hiện ngăn chặn xâm nhập chấp nhận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27039:2015 Riêng Trung Quốc, tiêu chuẩn họ dựa tiêu chuẩn ISO/IEC 27039:2015, nhiên số nội dung tiêu chuẩn tham chiếu trực tiếp đến tiêu chuẩn riêng ban hành Trung Quốc Tiêu chuẩn ISO/IEC 27039 cung cấp hướng dẫn cho việc chọn lựa, triển khai vận hành IDPS Trước chọn lựa IDPS tổ chức cần phải đánh giá rủi ro an tồn thơng tin, phân biệt có kiến thức hệ thống phát hiện ngăn chặn xâm nhập cho máy chủ hệ thống phát hiện ngăn chặn xâm nhập mạng Khi chọn lựa tổ chức cần xem xét yếu tố môi trường hệ thống, chính sách an toàn áp dụng cho IDPS, xác thực tính IDPS tính năng, chiến lược cảnh báo, chi phí đặc biệt tính cập nhật dấu hiệu cơng Trong q trình triển khai tổ chức cần phải ý đến chiến lược triển khai, vị trí đặt IDPS đặc biệt việc đảm bảo an tồn cho IDPS Trong q trình vận hành tổ chức cần ý tới việc tùy chỉnh luật cấu hình IDPS, cập nhật vá lỗ hổng cho IDPS, xử lý cảnh báo IDPS, tùy chọn phản ứngvà xem xét môi trường pháp lý liên quan tới liệu IDPS Tiêu chuẩn ISO/IEC 27039 cung cấp hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát hiện ngăn chặn xâm nhập Tiêu chuẩn áp dụng cho tổ chức thuê ngồi tính phát hiện xâm nhập Thơng tin mức độ thoả thuận dịch vụ th ngồi tìm tiêu chuẩn ISO/IEC 2000 quản lý dịch vụ cơng nghệ thơng tin Ngồi tiêu chuẩn thiết kế giúp: a) Tổ chức đáp ứng yêu cầu ISO/IEC 27001: Tổ chức cần phải thực hiện thủ thục kiểm soát khác để phát hiện phản ứng với cố an toàn; 23 Tổ chức cần phải thực hiện thủ tục theo dõi, soát xét, kiểm soát khác để xác định nỗ lực, hành vi vi phạm chính sách an toàn cố b) Tổ chức thực hiện biện pháp kiểm soát để đáp ứng mục tiêu ISO/IEC 27002: Để phát hiện hành động xử lý thông tin trái phép; Hệ thống phải theo dõi, kiện an tồn thơng tin phải ghi lại Nhật ký hoạt động nhật ký lỗi phải sử dụng để đảm bảo xác định vấn đề hệ thống thông tin; Tổ chức phải tuân thủ yêu cầu pháp lý có liên quan áp dụng cho hành động giám sát ghi nhật ký Giám sát hệ thống phải thực hiện để kiểm tra hiệu biện pháp kiểm soát để xác nhận mơ hình chính sách truy cập phù hợp Tổ chức nên biết việc triển khai IDPS giải pháp để giải vấn đề an tồn thơng tin đáp ứng yêu cầu Tiêu chuẩn không nhằm mục đích làm tiêu chí cho đánh giá chứng nhận hệ thống quản lý an tồn thơng tin (ISMS), chứng nhận sản phẩm dịch vụ IDPS 2.2 Vai trò ISO/IEC 27039 họ tiêu chuẩn ISO/IEC 27xxx Về tiêu chuẩn ISO/IEC 27xxx chia thành nhóm sau hình đây: 24 Hình Vai trị ISO/IEC 27039 họ tiêu chuẩn 27xxx Nhóm 1: Tiêu chuẩn tổng quan từ vựng: ISO/IEC 27000 Nhóm 2: Các tiêu chuẩn yêu cầu: ISO/IEC 27001; ISO/IEC 27006; ISO/IEC 27009 Nhóm 3: Các tiêu chuẩn đưa hướng dẫn hỗ trợ hệ thống quản lý an tồn thơng tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008, ISO/IEC 27013, ISO/IEC 27014, ISO/IEC 27016 ISO/IEC 27021 Nhóm 4: Các tiêu chuẩn đưa hướng dẫn cho lĩnh vực cụ thể: ISO/IEC 27009 ISO/IEC 27010; ISO/IEC 27011; ISO/IEC 27017; ISO/IEC 27018, ISO/IEC 27019, ISO/IEC 27099 Nhóm 5: Các tiêu chuẩn hướng dẫn kiểm soát cụ thể: ISO/IEC 2703x, 2704x 2705x 25 Như dựa vào hình cách phân nhóm tiêu chuẩn thuộc Bộ ISO/IEC 27000 ta thấy tiêu chuẩn ISO/IEC 27039 dự thảo tiêu chuẩn dùng đưa yêu cầu hướng dẫn hướng dẫn cho tổ chức việc lựa chọn, triển khai vận hành hệ thống phát hiện ngăn chặn xâm nhập Tiêu chuẩn ISO/IEC 27039 thiết kế giúp tổ chức đáp ứng yêu cầu TCVN ISO/IEC 27001 bao gồm: (1) Tổ chức cần phải thực hiện thủ thục kiểm soát khác để phát hiện phản ứng với cố an toàn; (2)Tổ chức cần phải thực hiện thủ tục theo dõi, soát xét, kiểm soát khác để xác định nỗ lực, hành vi vi phạm chính sách an toàn cố Đồng thời tiêu chuẩn ISO/IEC 27039 giúp tổ chức thực hiện biện pháp kiểm soát để đáp ứng mục tiêu TCVN ISO/IEC 27002 bao gồm: (1)Phát hiện hành động xử lý thông tin trái phép; (2) Hệ thống phải theo dõi, kiện an toàn thông tin phải ghi lại Nhật ký hoạt động nhật ký lỗi phải sử dụng để đảm bảo xác định vấn đề hệ thống thông tin (3) Tổ chức phải tuân thủ yêu cầu pháp lý có liên quan áp dụng cho hành động giám sát ghi nhật ký Lý xây dựng tiêu chuẩn 3.1 Mục tiêu Các tổ chức nên nhận biết thời gian, cách thức công xâm nhập vào hệ thống mạng, ứng dụng họ mà phải biết lỗ hổng khai thác biện pháp cần triển khai trước thay đổi rủi ro để ngăn chặn công xâm nhập tương tự tương lai Tổ chức nên xác định ngăn chặn công xâm nhập mạng Điều đòi hỏi việc phân tích lưu lượng mạng vết đánh giá mạng host để tìm dấu hiệu mẫu công nhằm ý đồ độc hại đáng ngờ Vào năm 1990, nhiều tổ chức bắt đầu sử dụng hệ thống phát hiện ngăn chặn xâm nhập (IDPS) để thực hiện yêu cầu Việc sử dụng IDPS tiếp tục mở rộng với số lượng lớn sản phẩm gồm sản phẩm miễn phí sản phẩm thương mại để đáp ứng nhu cầu ngày tăng tổ chức 26 Để tổ chức thu lợi ích tối đa từ hệ thống phát hiện ngăn chặn xâm nhập quy trình chọn lựa, triển khai vận hành IDPS cần nhân viên có chun mơn, có kinh nghiệm lên kế hoạch thực hiện cẩn thận Trong trường hợp, quy trình thực hiện cẩn thận sản phẩm IDPS giúp tổ chức thu thập thơng tin xâm nhập dùng thiết bị an toàn sở hạ tầng Công nghệ thông tin truyền thông (ICT) Tiêu chuẩn cung cấp hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát hiện ngăn chặn xâm nhập Tiêu chuẩn áp dụng cho tổ chức thuê ngồi tính phát hiện xâm nhập Thơng tin mức độ thoả thuận dịch vụ th ngồi tìm tiêu chuẩn ISO/IEC 20000 quản lý dịch vụ cơng nghệ thơng tin Ngồi tiêu chuẩn thiết kế giúp: a) Tổ chức đáp ứng yêu cầu TCVN ISO/IEC 27001: Tổ chức cần phải thực hiện thủ thục kiểm sốt khác để phát hiện phản ứng với cố an toàn; Tổ chức cần phải thực hiện thủ tục theo dõi, soát xét, kiểm soát khác để xác định nỗ lực, hành vi vi phạm chính sách an toàn cố b) Tổ chức thực hiện biện pháp kiểm soát để đáp ứng mục tiêu TCVN ISO/IEC 27002: Để phát hiện hành động xử lý thông tin trái phép; Hệ thống phải theo dõi, kiện an tồn thơng tin phải ghi lại Nhật ký hoạt động nhật ký lỗi phải sử dụng để đảm bảo xác định vấn đề hệ thống thông tin; Tổ chức phải tuân thủ yêu cầu pháp lý có liên quan áp dụng cho hành động giám sát ghi nhật ký 27 Giám sát hệ thống phải thực hiện để kiểm tra hiệu biện pháp kiểm sốt để xác nhận mơ hình chính sách truy cập phù hợp Tổ chức nên biết việc triển khai IDPS giải pháp để giải vấn đề an tồn thơng tin đáp ứng yêu cầu Tiêu chuẩn không nhằm mục đích làm tiêu chí cho đánh giá chứng nhận hệ thống quản lý an tồn thơng tin (ISMS), chứng nhận sản phẩm dịch vụ IDPS 3.2 Lý Trong năm gần cơng nghệ thơng tin ngày đóng vai trị to lớn hoạt động lĩnh vực, đời sống kinh tế xã hội, song song với việc an tồn thơng tin nhiều quan, tổ chức Các quan tổ chức bắt đầu đầu tư cho hệ thống đảm bảo an tồn thơng tường lửa, hệ thống phát hiện ngăn chặn xâm nhập để sớm nhận biết thời gian, cách thức xâm nhập vào hệ thống mạng, ứng dụng họ cách thức khai thác lỗ hổng để triển khai biện pháp kịp thời trước thay đổi rủi ro để ngăn chặn lại xâm nhập tương tự tương lai Ngày có nhiều sản phẩm cơng nghệ IDPS bao gồm phần cứng phần mềm Việc đầu tư vận hành hệ thống phát hiện ngăn chặn xâm nhập mà khơng có tài liệu hướng dẫn, quy chuẩn dẫn đến nhiều rủi ro làm cho IDPS hoạt động không hiệu quả: - Chọn lựa sản phẩm không phù hợp với nhu cầu tổ chức: hiện có nhiều sản phẩm IDPS bao gồm sản phẩm phần cứng phần mềm, sản phẩm thương mại với phần cứng đắt tiền tới phần mềm miễn phí triển khai mức chi phí thấp Việc lựa chọn sản phẩm không phù hợp dẫn đến tốn mà khơng hiệu - Việc triển khai vận hành IDPS đòi hỏi nhân viên phải có kiến thức kinh nghiệm hệ thống mạng Việc triển khai vị trí không phù hợp không làm khả IDPS mà làm ảnh hưởng tới hoạt động hệ thống mạng, gây ảnh hưởng tới hoạt động nghiệp vụ tổ chức 28 - Tình hình an tồn thơng tin giới Việt Nam ngày gia tăng, lỗ hổng, điểm yếu cơng ngày nhiều, hệ thống IDPS khơng thường xun cập nhật khơng thể phát hiện kịp thời điểm yếu cơng Vì để tổ chức thu lợi ích tối đa từ hệ thống phát hiện ngăn chặn xâm nhập IDPS cần có tài liệu, tiêu chuẩn hướng dẫn, giúp cho tổ chức việc xây dựng quy trình chọn lựa, triển khai vận hành IDPS Trên giới có nhiều nước xây dựng tiêu chuẩn cho hệ thống phát hiện ngăn chặn xâm nhập (Anh, Đan Mạch, Hàn Quốc, Brunei…), Việt Nam chưa có tiêu chuẩn hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát hiện ngăn chặn xâm nhập Nhu cầu thực tế khả áp dụng 4.1 Nhu cầu thực tê Hoàn thiện tiêu chuẩn quốc gia an tồn thơng tin nói chung quản lý an tồn thơng tin nói riêng Hiện Việt Nam ban hành nhiều tiêu chuẩn quốc gia an tồn thơng tin (như trình bày phần trên) Việt Nam có nhiều tổ chức sử dụng phiên tiếng Anh trình nghiên cứu, tìm hiểu để xây dựng hệ thống phát hiện ngăn chặn xâm nhập cho Bên cạnh đó, ngày 30 tháng năm 2014, Bộ Thông tin Truyền thơng phê dụt gói thầu “Xây dựng 31 chuẩn an toàn bảo mật 16 chuẩn kỹ thuật âm hình ảnh đồ họa” thuộc dự án “Xây dựng hệ thống chuẩn thông tin số chuẩn trao đổi thông tin” theo khuôn khổ Quyết định số 50/2009/QĐ-TTg Trong dự thảo tiêu chuẩn “Cơng nghệ thơng tin - Các kỹ thuật an tồn – Chọn lựa, triển khai vận hành hệ thống phát hiện xâm nhập” Học viên Công nghệ Bưu chính Viễn thông xây dựng năm 2014 dựa tiêu chuẩn ISO/IEC DIS 27039 chưa ban hành thành TCVN Tuy nhiên, hiện tiêu chuẩn tổ chức ISO thay thể tiêu chuẩn ISO/IEC 27039:2015 29 Do việc xây dựng dự thảo TCVN " Chọn lựa, triển khai vận hành hệ thống phát hiện xâm nhập hệ thống phát hiện ngăn chặn xâm nhập" phù hợp với yêu cầu chung 4.2 Phạm vi và khả áp dụng Tại Việt Nam, Chỉ thị 14 ngày 07/6/2019 tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện số xếp hạng Việt Nam đưa định hướng cho Bộ, ngành, địa phương phải hoàn thành mơ hình bảo đảm an tồn thơng tin lớp theo hướng dẫn Bộ TT&TT trước ngày 30/9/2020 Viêc bảo đảm an tồn, an ninh mạng theo mơ hình lớp thống từ Trung ương đến địa phương đạo quan trọng an toàn, an ninh mạng Việt Nam cho giai đoạn Mơ hình bảo đảm an tồn thơng tin chuyên nghiệp lớp bao gồm: Lực lượng chỗ; Tổ chức doanh nghiệp giám sát, bảo vệ chuyên nghiệp; Tổ chức doanh nghiệp độc lập kiểm tra, đánh giá định kỳ; Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia Trong Chỉ thị 01 định hướng phát triển ngành TT&TT năm 2020, Bộ TT&TT rõ, an toàn, an ninh mạng điều kiện tiên để phát triển Chính phủ điện tử chuyển đổi số, phải trước bước Bộ xác định nhiệm vụ trọng tâm năm thực thi nghiêm túc Chỉ thị 14 Thủ tướng Chính phủ, đảm bảo 100% quan, tổ chức Việt Nam triển khai bảo vệ an tồn, an ninh mạng theo mơ hình lớp; 100% Bộ, ngành, địa phương triển khai giải pháp điều hành, giám sát an toàn, an ninh mạng, phòng chống mã độc tập trung, kết nối chia sẻ thơng tin với Trung tâm Giám sát an tồn không gian mạng quốc gia Trong Nghị phiên họp Chính phủ trực tuyến với địa phương phiên họp thường kỳ tháng 6/2020, Chính phủ đạo Bộ, ngành, địa phương phải hồn thành mơ hình bảo đảm an tồn thơng tin lớp theo hướng dẫn Bộ TT&TT trước ngày 30/9/2020 Chính vậy, việc triển khai mơ hình lớp đáp ứng u cầu hệ thống CNTT trước đưa vào vận hành kiểm tra, đồng thời đảm bảo có đội ngũ chuyên nghiệp để đánh giá thường xuyên hệ thống Cùng với đó, mơ hình 30 bảo vệ chun nghiệp lớp cịn đưa đến liên thơng, kết nối liệu nhằm chung tay đảm bảo an tồn thơng tin cho hệ thống quan, tổ chức nhà nước Do đó, cần có tài liệu, tiêu chuẩn để hướng dẫn, giúp cho quan, tổ chức đề xây dựng quy trình chọn lựa, triển khai vận hành hiệu hệ thống IDPS Bên cạnh đó, tiêu chuẩn ban hành sở cho quan quản lý nhà nước chi tiết hóa việc thực hiện kiểm tra, đánh giá an tồn thơng tin số tiêu chí liên quan đến giám sát an toàn, an ninh mạng theo tiêu chuẩn quốc gia TCVN 11930:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn hệ thống thông tin theo cấp độ Đồng thời, đánh giá hiệu việc đầu tư triển khai mơ hình lớp bộ, ngành, địa phương Sở xây dựng tiêu chuẩn 5.1 Lựa chọn tiêu chuẩn tham chiêu Dự thảo tiêu chuẩn xây dựng dựa tiêu chuẩn quốc tế ISO/IEC 27039:2015 “Information technology - Security techniques - Selection, deployment and operations of intrusion detection and prevention systems (IDPS)” phiên 2015 tiêu chuẩn Đây tài liệu nhiều quốc gia giới sử dụng làm tài liệu gốc để tham chiếu 5.2 Phương pháp xây dựng tiêu chuẩn Dự thảo tiêu chuẩn xây dựng từ tiêu chuẩn quốc tế ISO/IEC 27039:2015 tổ chức tiêu chuẩn quốc tế ban hành năm 2015, sở rà soát tiêu chuẩn Việt nam quốc tế hệ thống quản lý an tồn thơng tin, tham khảo phương pháp xây dựng tiêu chuẩn/ quy chuẩn, nhóm chủ trì xây dựng dự thảo tiêu chuẩn phương pháp chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27039:2015 (có chỉnh sửa thể thức trình bày theo quy định hiện hành trình bày Tiêu chuẩn quốc gia) 31 Nội dung dự thảo tiêu chuẩn 6.1 Giới thiệu ISO/IEC 27039:2015 Tiêu chuẩn ISO/IEC 27039 cung cấp hướng dẫn cho việc chọn lựa, triển khai vận hành IDPS Trước chọn lựa IDPS tổ chức cần phải đánh giá rủi ro an tồn thơng tin, phân biệt có kiến thức hệ thống phát hiện ngăn chặn xâm nhập cho máy chủ hệ thống phát hiện ngăn chặn xâm nhập mạng Khi chọn lựa tổ chức cần xem xét yếu tố mơi trường hệ thống, chính sách an tồn áp dụng cho IDPS, xác thực tính IDPS tính năng, chiến lược cảnh báo, chi phí đặc biệt tính cập nhật dấu hiệu cơng Trong q trình triển khai tổ chức cần phải ý đến chiến lược triển khai, vị trí đặt IDPS đặc biệt việc đảm bảo an tồn cho IDPS Trong q trình vân hành tổ chức cần ý tới việc tùy chỉnh luật cấu hình IDPS, cập nhật vá lỗ hổng cho IDPS, xử lý cảnh báo IDPS, tùy chọn phản ứngvà xem xét môi trường pháp lý liên quan tới liệu IDPS Tiêu chuẩn áp dụng cho tổ chức cân nhắc việc thuê tính phát hiện xâm nhập Thông tin mức độ thỏa thuận dịch vụ th ngồi đề cập quy trình quản lý dịch vụ công nghệ thông tin (ITSM) tiêu chuẩn ISO/IEC 20000 Ngoài tiêu chuẩn thiết kế giúp: - Tổ chức đáp ứng yêu cầu ISO/IEC 27001: - Tổ chức cần thực hiện thủ thục kiểm soát khác để phát hiện phản ứng với cố an toàn; - Tổ chức phải thực hiện thủ tục theo dõi soát xét kiểm soát khác để định danh các nỗ lực, hành vi vi phạm chính sách an toàn cố - Tổ chức thực hiện biện pháp kiểm soát để đáp ứng mục tiêu ISO/IEC 27002 - Để phát hiện hành động xử lý thông tin trái phép; - Hệ thống phải theo dõi kiện an tồn thơng tin phải ghi 32 lại Nhật ký hoạt động nhật ký lỗi phải sử dụng để đảm bảo vấn đề hệ thống thông tin xác định; - Tổ chức phải tuân thủ yêu cầu pháp lý có liên quan áp dụng tới việc hành động giám sát ghi nhật ký - Giám sát hệ thống phải sử dụng để kiểm tra hiệu biện pháp kiểm soát để xác nhận tính phù hợp mơ hình chính sách truy cập - Việc triển khai IDPS giải pháp để đảm bảo đáp ứng đầy đủ yêu cầu Tiêu chuẩn ISO/IEC 27039 đưa hướng dẫn cho tổ chức việc chọn lựa, triển khai vận hành hệ thống phát hiện ngăn chặn xâm nhập 6.2 Cấu trúc và nội dung dự thảo tiêu chuẩn Tiêu chuẩn bao gồm 07 điều 01 phụ lục (tham khảo) với nội dung cụ thể sau: - Điều đến điều nêu quy định chung tiêu chuẩn - Điều đưa mơ hình tổng quan pha lựa chọn, triển khai, vận hành hệ thống phát hiện ngăn chặn xâm nhập - Điều đưa hướng dẫn giúp tổ chức chọn lựa hệ thống phát hiện ngăn chặn xâm nhập - Điều đưa hướng dẫn giúp tổ chức triển khai hệ thống phát hiện ngăn chặn xâm nhập - Điều đưa hướng dẫn giúp tổ chức vận hành hệ thống phát hiện ngăn chặn xâm nhập - Phụ lục A nêu kiến thức tổng quan hệ thống phát hiện ngăn chặn xâm nhập 6.3 Bảng đối chiêu tiêu chuẩn viện dẫn Dự thảo tiêu chuẩn TCVN XXXX:2021 xây dựng dựa theo phương pháp chấp thuận nguyên vẹn nội dung tiêu chuẩn quốc tế ISO/IEC 33 27039:2015 Bảng đối chiếu dự thảo tiêu chuẩn quốc gia với ISO/IEC 27039:2015 Tiêu chuẩn Việt Nam Tiêu chuẩn viện dẫn Sửa đổi, TCVN ISO/IEC 27039:2015 bổ sung Phạm vi áp dụng Scope Chấp nhận nguyên vẹn Thuật ngữ định nghĩa Terms and definitions Chấp nhận nguyên vẹn Nền tảng Background Chấp nhận nguyên vẹn Tổng quan General Chấp nhận nguyên vẹn Chọn lựa Selection 5.1 Tổng quan 5.1 Introduction Chấp nhận nguyên vẹn 5.2 Đánh giá rủi ro an tồn thơng tin 5.2 Information Security Chấp nhận ngun vẹn Risk assessment 5.3 IDPS dựa Host 5.3 Host or Network IDPS dựa mạng Chấp nhận nguyên vẹn 5.4 Các xem xét 5.4 Considerations Chấp nhận nguyên vẹn 5.5 Công cụ bổ sung cho IDPS 5.5 Tools that complement Chấp nhận nguyên vẹn 5.6 Tính mở rộng 5.6 Scalability Chấp nhận nguyên vẹn 5.7 Hỗ trợ kỹ thuật 5.7 Technical support Chấp nhận nguyên vẹn 5.8 Đào tạo 5.8 Training Chấp nhận nguyên vẹn Triển khai Deployment 6.1 Tổng quan 6.1 Overview 6.2 Triển khai chiến lược 6.2 Staged deployment 6.3 Triển khai NIDPS 6.3 NIDPS deployment IDPS 34 Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn Tiêu chuẩn Việt Nam Tiêu chuẩn viện dẫn Sửa đổi, TCVN ISO/IEC 27039:2015 bổ sung 6.4 Triển khai HIDPS 6.4 HIDPS deployment 6.5 Đảm bảo bảo vệ an 6.5 Safeguarding and tồn thơng tin IDPS protecting IDPS Chấp nhận nguyên vẹn Chấp nhận nguyên vẹn information security Vận hành Operations 7.1 Tổng quan 7.1 Overview Chấp nhận nguyên vẹn 7.2 Tùy chỉnh IDPS 7.2 IDPS tuning Chấp nhận nguyên vẹn 7.3 Điểm yếu IDPS 7.3 IDPS aulnerabilities Chấp nhận nguyên vẹn 7.4 Xử lý cảnh báo IDPS 7.4 Handling IDPS alerts Chấp nhận nguyên vẹn 7.5 Tùy chọn phản ứng 7.5 Response options Chấp nhận nguyên vẹn 7.6 Xem xét pháp lý 7.6 Legal Considerations Chấp nhận nguyên vẹn Phụ lục A (Tham khảo) Annex A (Informative) Intrusion Detection and Prevention System (IDPS): Framework and issues to be considered Hệ thống phát hiện ngăn chặn xâm nhập IDPS: Nền tảng vấn đề xem xét A.1 Giới thiệu hệ thống phát hiện xâm nhập A.1 Introduction to intrusion detection Chấp nhận nguyên vẹn A.2 Các kiểu xâm nhập công A.2 Types of intrusions and attacks Chấp nhận nguyên vẹn A Mơ hình chung quy trình phát hiện xâm nhập A.3 Generic model of the Chấp nhận nguyên vẹn intrusion detection process A.4 Các kiểu IDPS A.4 Types of IDPS Chấp nhận nguyên vẹn A.5 Kiến trúc A.5 Architecture Chấp nhận nguyên vẹn 35 Tiêu chuẩn Việt Nam Tiêu chuẩn viện dẫn Sửa đổi, TCVN ISO/IEC 27039:2015 bổ sung A.6 Quản lý IDPS A.6 Management of an Chấp nhận nguyên vẹn IDPS A.7 Vấn đề thực hiện triển khai A.7 Implementation and A.8 Vấn đề phát hiện xâm nhập A.8 Intrusion detection Chấp nhận nguyên vẹn deployment Issues Chấp nhận nguyên vẹn Issues Kết luận Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an tồn cho thơng tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm sốt luồng thơng tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Chính vậy, tổ chức triển khai hệ thống IDPS hệ thống mạng để đảm bảo an toàn cho hoạt động nghiệp vụ, kinh doanh Do việc xây dựng dự thảo tiêu chuẩn công nghệ thông tin, kỹ thuật an toàn hướng dẫn chọn lựa, triển khai vận hành hệ thống IDPS hoạt động cần thiết nhằm tạo hệ thống tiêu chuẩn liên quan đến an tồn thơng tin, áp dụng Việt Nam Ngoài việc xây dựng dự thảo tiêu chuẩn cịn góp phần cho hoạt động nghiên cứu, hướng dẫn cho tổ chức đưa yêu cầu, kế hoạch quy trình để khai thác cách hiệu hệ thống IDPS Trong xu hiện nay, giải pháp độc lập, chuyên biệt xử lý khía cạnh công dần thay giải pháp tổng thể, đa tầng, nhiều lớp, nhằm phát hiện giải triệt để mối nguy hại chưa có tiền lệ Giải pháp Trung tâm Điều hành an an toàn, an ninh mạng (Security Operation Center, viết tắt: SOC) kết hợp nhuần nhuyễn từ yếu tố cốt lõi 36 ngành Cơng nghệ thơng tin nói chung an tồn thơng tin nói riêng gồm: Con người – Cơng nghệ – Quy trình, SOC chính rào chắn cuối cùng, giải thiếu sót cịn lại thiết bị an ninh mạng sau chúng bị vượt qua dễ dàng bọn tội phạm mạng chuyên nghiệp Bên cạnh đó, Việt Nam gần 100% Bộ, ngành, địa phương hoàn thành triển khai mơ hình bảo vệ lớp, quan trọng lớp thứ 2, lớp triển khai trung tâm giám sát điều hành ATTT tập trung SOC Vì vậy, thời gian tới nhóm thực hiện đề tài đề xuất nghiên cứu đề tài việc hướng dẫn triển khai Trung tâm Điều hành an toàn, an ninh mạng 37