Tên gọi và ký hiệu tiêu chuẩn · Web view8Kết luận và khuyến nghị23 Tên gọi và ký hiệu tiêu chuẩn Tên tiêu chuẩn: “Công nghệ thông tin – Các

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

--------------

THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC VIỄN THÔNG

DỰA TRÊN ISO/IEC 27002

HÀ NỘI, 2014

MỤC LỤC

1 Tên gọi và ký hiệu tiêu chuẩn...............................................................................................................2

2 Đặt vấn đề............................................................................................................................................2

2.1 Tình hình an toàn thông tin viễn thông trong nước và quốc tế....................................................2

2.1.1 Quốc tế.................................................................................................................................2

2.1.2 Trong nước...........................................................................................................................3

2.2 Các định hướng về an toàn thông tin trong lĩnh vực Viễn thông..................................................3

2.3 Sự cần thiết xây dựng tiêu chuẩn an toàn thông tin cho Viễn thông............................................4

3 Căn cứ xây dựng TCVN ISO/IEC 27011..................................................................................................5

3.1 Tài liệu cơ sở để xây dựng TCVN ISO/IEC 27011...........................................................................5

3.2 Giới thiệu về ISO/IEC 27011..........................................................................................................6

3.2.1 Phát hành.............................................................................................................................6

3.2.2 Đối tượng..............................................................................................................................7

3.2.3 Phạm vi áp dụng...................................................................................................................7

3.2.4 Quan hệ với họ ISO/IEC 27000 và ISO/IEC 27002.................................................................7

4 Phương pháp xây dựng tiêu chuẩn.....................................................................................................14

5 Nội dung chính của dự thảo tiêu chuẩn..............................................................................................14

6 Khả năng áp dụng tiêu chuẩn.............................................................................................................16

7 Bảng đối chiếu nội dung dự thảo tiêu chuẩn với tài liệu gốc ISO/IEC 27011:2008.............................17

8 Kết luận và khuyến nghị.....................................................................................................................23

1

1 Tên gọi và ký hiệu tiêu chuẩn

Tên tiêu chuẩn: “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa trên TCVN ISO/IEC 27002”

Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

Ký hiệu tiêu chuẩn: TCVN ISO/IEC 27011:201x

2 Đặt vấn đề

2.1 Tình hình an toàn thông tin viễn thông trong nước và quốc tế

2.1.1 Quốc tế

Viễn thôngngày nay đang phải đối mặt với rất nhiều nguy cơ an ninh thông tin như nghe lén, gián điệp, tấn công bằng mã độc để khai thác, sửa đổi thông tin, phá hoại hệ thống thông tin… có thể gây ra nhiều hậu quả khác nhau như làm tiết lộ các thông tin cá nhân, lừa đảo, chiếm đoạt bí mật công nghệ, gián đoạn dịch vụ… ở các mức độ từ nhỏ lẻ ảnh hưởng đến đời sống thường ngày đến nghiêm trọng đối với nền kinh tế đất nước, thậm chí ảnh hưởng tới an ninh quốc gia.

Những diễn biến trong thời gian vừa qua cho thấy sự gia tăng các nguy cơ an ninh đối với các hệ thống thông tin. Nhiều lỗ hổng bảo mật đã bị lợi dụng, nhiều cơ sở dữ liệu của các hãng điện toán lớn trên thế giới đã bị tấn công, đánh cắp gây thiệt hại kinh tế nghiêm trọng, mật độ các cuộc tấn công mạng ở quy mô lớn đã ngày càng gia tăng. Trong lĩnh vực viễn thông nói riêng, cũng đã xuất hiện nhiều sự kiện đáng chú ý như việc một số quốc gia như Mỹ, Úc, Anh…đã có những động thái cấm hoặc tẩy chay đối với các hãng viễn thông Huawei và ZTE của Trung quốc do những quan ngại về mối liên hệ của các công ty này đối với chính phủ và quân đội Trung quốc và việc các thiết bị của họ có thể có cửa hậu cho các cuộc tấn công hoặc gián điệp công nghệ; sự việc Edward Snowden tiết lộ thông tin Mỹ và một số nước đồng minh tiến hành nghe lén các chính trị gia cấp cao Đức và các nước châu Âu cùng một số quốc gia Đông Nam Á trong đó có cả Việt nam… cũng gióng lên tiếng chuông báo động. Quy mô lớn của các mạng viễn thông, sự thâm nhập sâu của viễn thông vào đời sống và công việc của người dùng, sự gia tăng các thiết bị người dùng, số lượng các dịch vụ và ứng dụng lớn, sự phong phú của các giao diện và giao thức, chủng loại và nguồn gốc thiết bị viễn thông khác nhau, yêu cầu thời gian gián

2

đoạn hệ thống ngắn càng khiến cho việc đảm bảo an ninh cho các mạng viễn thông trở nên phức tạp.

2.1.2 Trong nước

Cũng trong dòng chảy chung của thế giới, viễn thông ở nước ta trong thời gian gần đây ngày càng có ảnh hưởng sâu rộng đến mọi mặt đời sống xã hội. Số lượng các thiết bị viễn thông di động trên mỗi cá nhân ngày càng gia tăng. Đặc biệt sự xuất hiện của các điện thoại thông minh smartphone cũng dẫn tới sự bùng nổ số lượng các ứng dụng trên điện thoại di động. Người dùng có xu hướng sử dụng ứng dụng giải trí, sử dụng dữ liệu nhiều hơn thay vì chỉ hình thức thoại hay tin nhắn ngắn truyền thống. Các nhà mạng viễn thông cũng đã có nhiều thay đổi nhằm đáp ứng nhu cầu của khách hàng và cạnh tranh với nhau dưới nhiều hình thức nhằm giữ chân khách hàng và lôi kéo khách hàng mới.

Trên khía cạnh an toàn thông tin, viễn thông phải đối mặt với nhiều vấn đề. Việc quản lý không chặt chẽ dẫn tới việc trôi nổi SIM rác trong một thời gian dài gây ra nhiều hệ lụy. Vấn nạn tin nhắn rác gây khó chịu cho người sử dụng thường xuyên hoành hành; các vụ việc lừa đảo bằng tin nhắn hay cuộc gọi liên tục xảy ra, nghiêm trọng có những vụ giả danh cơ quan nhà nước như ngân hàng hay công an để lừa đảo chiếm đoạt số lượng tài sản lớn, trong đó cầm đầu thường là những đối tượng từ nước ngoài đưa thiết bị công nghệ cao vào Việt nam, phối hợp với các đối tượng xấu trong nước để lừa đảo. Một điều đáng tiếc là phản ứng của các tổ chức viễn thông là không quyết liệt để bảo vệ quyền lợi của khách hàng, và trong một số trường hợp còn bị dư luận cho là dung dưỡng với các đối tượng bên ngoài để ăn chia theo số lượng tin nhắn. Gia tăng nguy cơ xuất hiện cửa hậu ở cả thiết bị hệ thống lẫn thiết bị đầu cuối.

2.2 Các định hướng về an toàn thông tin trong lĩnh vực Viễn thông

Ở khía cạnh quản lý nhà nước, đã có nhiều văn bản luật, chỉ thị định hướng về an toàn thông tin nói chung và an toàn thông tin trong mạng viễn thông nói riêng.

- Ngày 23/02/2007, Bộ Bưu chính Viễn thông (nay là Bộ Thông tin và Truyền thông) đã có Chỉ thị số 03/2007/CT-BBCVT về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet yêu cầu các cơ quan, tổ chức, doanh nghiệp viễn thông, Internet tham gia hoạt động trên mạng Internet phải xây dựng quy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thông tin;

- Tháng 12/2009, Quốc hội ban hành Luật viễn thông, cung cấp cơ sở pháp lý cho các hoạt động viễn thông, trong đó có các điều luật quy định về an toàn thông tin

3

như bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin, bảo đảm bí mật thông tin;

- Ngày 13/1/2010, Thủ tướng Chính phủ ban hành quyết định số 63/QĐ-TTgphê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020.

- Ngày 10/6/2011, Thủ tướng Chính phủ ban hành chỉ thị số 897/CT-TTg, về tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số;

- Ngày 10/5/2013, Thủ tướng Chính phủ ban hành quyết định số 26/2013/QĐ-TTg, quy định về thiết lập và hoạt động của mạng viễn thông dùng riêng phục vụ các cơ quan Đảng và Nhà nước;

- Ngày 16/9/2013, Ban Bí thư Trung ương Đảng đã ban hành chỉ thị số 28-CT/TW, về tăng cường công tác bảo đảm an toàn thông tin mạng;

- Ngày 17/6/2014, Thủ tướng Chính phủ ban hành chỉ thị số 15/CT-TTg về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới.

Hệ thống các văn bản đó cho thấy tính bức thiết của vấn đề đảm bảo an toàn thông tin trong tình hình mới và sự quan tâm của Đảng và Nhà nước đối với vấn đề này. Các văn bản đã định hướng những công việc cần thực hiện trong đó có việc đẩy nhanh xây dựng và ban hành các chính sách và hệ thống tiêu chuẩn, quy trình an toàn thông tin làm căn cứ cho các cơ quan nhà nước và các doanh nghiệp xây dựng quy chế an toàn thông tin của mình.

2.3 Sự cần thiết xây dựng tiêu chuẩn an toàn thông tin cho Viễn thông

Thời gian qua, Bộ TT&TT đã tổ chức xây dựng và đề nghị ban hành nhiều dự thảo tiêu chuẩn quốc gia nhằm quản lý an toàn thông tin trong đó có các TCVN trên cơ sở họ ISO/IEC 27000 về hệ thống quản lý an toàn thông tin. Các TCVN này là cơ sở tốt để thực hành an toàn thông tin trong các hệ thống thống mạng máy tính và Internet. Tuy vậy, ngoài những đặc điểm chung của các hệ thống thông tin, viễn thông còn có những đặc thù riêng và do đó cần có các hướng dẫn thực hiện an toàn thông tin riêng để đảm bảo hiệu quả tốt nhất. Song hiện tại chưa có một TCVN dành riêng để hướng dẫn việc thực hành an toàn thông tin trong các tổ chức viễn thông.

Tình hình đó đặt ra đòi hỏi cấp bách xây dựng một tiêu chuẩn quốc gia hướng dẫn thực hiện quản lý an toàn thông tin trong các tổ chức viễn thông cho phép thực hiện an toàn thông tin bên trong nội bộ các tổ chức viễn thông một cách hệ thống, cũng như phối hợp thống nhất giữa các tổ chức viễn thông với nhau và với các cơ quan chức năng, các tổ chức bên ngoài một cách thông suốt, hiệu quả.

4

Việc áp đảm bảo an toàn thông tin sẽ giúp các tổ chức viễn thông đảm bảo được an ninh dịch vụ đối với khách hàng, tạo được sự thoải mái và tin tưởng đối với khách hàng trong sử dụng dịch vụ, củng cố uy tín, hình ảnh của tổ chức từ đó có thể mang lại các thuận lợi đối với việc kinh doanh. Đảm bảo an toàn thông tin cũng giúp các thiết bị, cũng như toàn hệ thống hoạt động tin cậy, ổn định, giảm bớt các tổn thất do phải ngưng dịch vụ hoặc vận hành hiệu suất thấp do ảnh hưởng của các sự cố an toàn. An toàn thông tin giúp tổ chức tránh được những rắc rối và chi phí pháp lý khi không đảm bảo được an toàn dịch vụ và cũng giúp ngăn chặn các thế lực xấu lợi dụng mạng viễn thông để chống phá nhà nước gây các hệ quả kinh tế, xã hội nghiêm trọng.

3 Căn cứ xây dựng TCVN ISO/IEC 27011

3.1 Tài liệu cơ sở để xây dựng TCVN ISO/IEC 27011

TCVN ISO/IEC 27011 “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa trên ISO/IEC 27002” được xây dựng dựa trên tài liệu ISO/IEC 27011:2008“Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002” do ISO/IEC phối hợp cùng ITU phát hành năm 2008.

Tài liệu này là hoàn toàn phù hợp để xây dựng tiêu chuẩn Việt Nam cho an toàn thông tin cho các tổ chức viễn thông dựa trên các điểm chính sau đây:

- An toàn thông tin viễn thông nói riêng và an toàn các hệ thống thông tin nói chung mang tính toàn cầu. Viễn thông Việt Nam cũng đứng trước những nguy cơ mà viễn thông toàn cầu đang phải đối mặt. Các hệ thống viễn thông Việt Nam cũng có liên kết với các hệ thống viễn thông của các quốc gia khác. Bởi thế, việc lựa chọn một chuẩn quốc tế được chấp nhận rộng rãi trên thế giới (xem Bảng 1) để xây dựng tiêu chuẩn quốc gia về an toàn thông tin cho viễn thông Việt nam là hoàn toàn phù hợp.

- ISO/IEC 27011 được phát triển dành riêng cho lĩnh vực quản lý an toàn thông tin cho các tổ chức viễn thông.

- ISO/IEC 27011 được phối hợp xây dựng giữa ISO/IEC và Liên minh Viễn thông Quốc tế ITU mà Việt nam là một thành viên.

- Tại nước ta, nhiều tiêu chuẩn trong họ 27000 đã được sử dụng để xây dựng nên các tiêu chuẩn quốc gia như TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011, TCVN 10295:2014 (từ ISO/IEC 27005) và nhiều tiêu chuẩn khác đang được xây dựng. Việc xây

5

dựng tiêu chuẩn quốc gia về an toàn thông tin trong lĩnh vực viễn thông dựa trên ISO/IEC 27011 sẽ đảm bảo sự thống nhất, chặt chẽ trong hệ thống các TCVN về quản lý an toàn thông tin.

Các phần tiếp sau đây sẽ trình bày các thông tin chi tiết hơn về ISO/IEC 27011.

3.2 Giới thiệu về ISO/IEC 27011

3.2.1 Phát hành

ISO/IEC 27011 được soạn thảo bởi Ủy ban Kỹ thuật Liên hợp ISO/IEC JTC 1, Công nghệ thông tin, Tiểu ban SC 27, Các kỹ thuật an ninh, an toàn IT phối hợp cùng với ITU-T. Văn bản được ISO/IEC phát hành là ISO/IEC 27011:2008. Văn bản này cũng được ITU phát hành dưới tên ITU-T Rec. X.1051 (02/2008). Các phát hành của ISO/IEC và ITU là giống hệt nhau.

Bảng 1 Một số tiêu chuẩn quốc gia tương đương ISO/IEC 27011

Quốc gia Tiêu chuẩn tương đương

Brazil NBR ISO/IEC 27011:2009

Canada CSA-ISO/IEC 27011:2011

Denmark DS ISO/IEC 27011:2009

Korea KS X ISO/IEC 27011:2011

Netherlands NEN ISO/IEC 27011:2009

Russia ГОСТ/Р ИСО МЭК 27011-2012

South Africa SANS 27011 Ed. 1 (2009)

United Kingdom BS ISO/IEC 27011:2008

3.2.2 Đối tượng

Tiêu chuẩn này cung cấp cho các tổ chức viễn thông, và những người có trách nhiệm đảm bảo an toàn thông tin; cùng với các nhà cung cấp thiết bị an ninh, kiểm toán, các nhà cung cấp thiết bị đầu cuối viễn thông một bộ tổng quát các mục tiêu kiểm soát an toàn thông tin

6

dựa trên ISO/EC 27002, các biện pháp đặc thù cho viễn thông, cùng với các hướng dẫn quản lý an toàn thông tin cho phép lựa chọn và thực hiện những biện pháp như vậy.

3.2.3 Phạm vi áp dụng

Tiêu chuẩn này thiết lập các hướng dẫn và nguyên tắc chung cho công tác quản lý an toàn thông tin trong các tổ chức viễn thông.

Việc tuân thủ tiêu chuẩn này sẽ giúp các tổ chức viễn thông thỏa mãn các đòi hỏi cơ bản về tính bí mật, tính toàn vẹn, sẵn sàng và các đặc tính an ninh khác trong quản lý an toàn thông tin.

3.2.4 Quan hệ với họ ISO/IEC 27000 và ISO/IEC 27002a) Tổng quan về họ ISO/IEC 27000

Họ tiêu chuẩn ISO/IEC 27000 là họ các tiêu chuẩn về hệ thống quản lý an toàn thông tin được phối hợp phát hành bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật điện Quốc tế (IEC). Họ tiêu chuẩn này đã được chấp nhận rộng rãi tại nhiều quốc gia trên thế giới và hiện tại đã và đang được sử dụng làm cơ sở để xây dựng nhiều bộ tiêu chuẩn quốc gia của Việt Nam trong lĩnh vực an toàn thông tin.Hiện nay, đã gần 40 tiêu chuẩn thuộc họ này đã được soạn thảo, trong đó nhiều tiêu chuẩn đã được ban hành.

Bảng 2 Các tiêu chuẩn quốc tế trong bộ ISO/IEC 27000 đã ban hành

STT Tiêu chuẩn ISO/IEC

Nội dung

1 ISO/IEC 27000

Hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng

(Information security management systems — Overview and

vocabulary)

2 ISO/IEC 2700 1 Hệ thống quản lý an toàn thông tin – Các yêu cầu

(Information security management systems — Requirements)

3 ISO/IEC 2700 2 Quy tắc thực hành quản lý an toàn thông tin

(Code of practice for information security management)

4 ISO/IEC 2700 3

Hướng dẫn triển khai hệ thống quản lý an toàn thông tin

(Information security management system implementation

guidance)

7

http://en.wikipedia.org/wiki/ISO/IEC_27000





Nội dung

5 ISO/IEC 2700 4 Quản lý an toàn thông tin – Đo lường

(Information security management — Measurement)

6 ISO/IEC 2700 5 Quản lý rủi ro an toàn thông tin

(Information security risk management)

7 ISO/IEC 2700 6

Các yêu cầu đối với cơ quan cung cấp kiểm toán và chứng

thực hệ thống quản lý an toàn thông tin

(Requirements for bodies providing audit and certification of

information security management systems)

8 ISO/IEC 2700 7

Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin

(Guidelines for information security management systems

auditing)

9 ISO/IEC TR 27008

Hướng dẫn các biện pháp kiểm soát hệ thống an ninh thông

tin cho kiểm toán viên

(Guidelines for auditors on information security management

systems controls)

10 ISO/IEC 270 10

Quản lý an toàn thông tin cho truyền thông liên ngành, liên

tổ chức (Information security management for inter-sector

and inter-organisational communications)

11 ISO/IEC 27011

Hướng dẫn quản lý an toàn thông tin cho các tổ chức

viễn thông dựa trên ISO/IEC 27002

(Information security management guidelines for

telecommunications organizations based on ISO/IEC 27002)

12 ISO/IEC 27013

Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và

ISO/IEC 20000-1

(Guidance on the integrated implementation of ISO/IEC

27001 and ISO/IEC 20000-1)

8

http://en.wikipedia.org/w/index.php?title=ISO/IEC_27011&action=edit&redlink=1







Nội dung

13 ISO/IEC 27014Quản trị an ninh thông tin

(Governance of information security)

14 ISO/IEC TR 27015

Hướng dẫn quản lý an toàn thông tin cho các dịch vụ tài chính

(Information security management guidelines for financial

services)

15 ISO/IEC TR 27016

Quản lý an toàn thông tin – Khía cạnh kinh tế

(Information security management -- Organizational

economics)

16 ISO/IEC 27018

Quy tắc thực hành nhằm bảo vệ thông tin cá nhân trên đám

mây công cộng(Code of practice for protection of personally

identifiable information (PII) in public clouds acting as PII

processors)

17 ISO/IEC TR 27019

Hướng dẫn quản lý an toàn thông tin cho các hệ thống điều

khiển quá trình trong ngành điện dựa trên ISO/IEC 27002

(Information security management guidelines based on

ISO/IEC 27002 for process control systems specific to the

energy utility industry)

18 ISO/IEC 27031

Hướng dẫn sẵn sàng công nghệ thông tin và truyền thông cho

tính liên tục nghiệp vụ

(Guidelines for information and communications technology

readiness for business continuity)

19 ISO/IEC 27032Hướng dẫn về an toàn không gian mạng

(Guidelines for cybersecurity)

9


Nội dung

20 ISO/IEC 27033An toàn mạng

(Network security)

21 ISO/IEC 27034An toàn ứng dụng

(Application security)

22 ISO/IEC 27035Quản lý sự cố an toàn thông tin

(Information security incident management)

23 ISO/IEC 27036An toàn thông tin trong quan hệ với các nhà cung cấp

(Information security for supplier relationships)

24 ISO/IEC 27037

Hướng dẫn việc xác định, thu thập và bảo quản chứng cứ số

(Guidelines for identification, collection, acquisition and

preservation of digital evidence)

25 ISO/IEC 27038Kiểm duyệt tài liệu số

(Specification for digital redaction)

26 ISO/IEC 27799

Quản lý an toàn thông tin trong ngành y tế sử dụng ISO/IEC

27002

(Information security management in health using ISO/IEC

27002)

Nhiều tiêu chuẩn quốc gia Việt Nam TCVN về an toàn thông tin đã và sẽ được xây dựng

dựa trên bộ ISO/IEC 27000.

Các TCVN đã được xây dựng:

- TCVN ISO/IEC 27001:2009 - Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu

- TCVN ISO/IEC 27002:2011 - Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành Quản lý an toàn thông tin

10

- TCVN 10295:2014 - Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin (ISO/IEC 27005:2011)

- TCVN 9965:2013Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 (ISO/IEC 27013:2012)

- TCVN 9801-1:2013 - Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng – Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)

Một số dự thảo TCVN đang được soạn thảo, chưa ban hành:

- Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng (ISO/IEC 27000:2009)

- Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (ISO/IEC 27003:2010)

- Công nghệ thông tin - Các kỹ thuật an toàn - Quản lýan toàn thông tin - Đo lường (ISO/IEC 27004:2009)

- Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC 27010:2012)

- Công nghệ Thông tin - Kỹ thuật an toàn - Hướng dẫn thiết kế và triển khai an toàn mạng (ISO/IEC 27033-2:2012)

- Công nghệ Thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát (ISO/IEC 27033-3:2010)

- Công nghệ thông tin - Kỹ thuật an toàn -Quản lý sự cố an toàn thông tin (ISO/IEC 27035:2011).

b) Quan hệ của ISO/IEC 27011 với họ ISO/IEC 27000

Quan hệ của ISO/IEC 27011 với họ ISO/IEC 27000 được trình bày trong hình 1. Họ ISO/IEC 27000 được chia vào 4 mức cơ bản:

Mức 1: Thuật ngữ (terminology) gồm có ISO/IEC 27000 đưa ra các định nghĩa, thuật ngữ và các vấn đề cơ sở làm nền tảng cho cả họ 27000.

Mức 2: Các yêu cầu chung (general requirements) gồm có ISO/IEC 27001 nêu ra các yêu cầu cho các hệ thống thông tin và ISO/IEC 27006 nêu các yêu cầu cho các tổ chức cấp chứng nhận.

11

Mức 3: Các hướng dẫn chung (general guidelines) gồm có ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27007 hướng dẫn các quy tắc chung về quản lý, đánh giá rủi ro, thực hiện an toàn thông tin…

Mức 4: Các hướng dẫn đặc thù (sector-specific guidelines) gồm có ISO/IEC 27011, ISO/IEC 27799 và một số ISO/IEC khác.

Có thể thấy ISO/IEC thuộc mức hướng dẫn đặc thù và có quan hệ trực tiếp với ISO/IEC 27002.

Hình 1 ISO/IEC 27011 trong họ ISO/IEC 27000 (nguồn ISO 27001)

c) Quan hệ của ISO/IEC 27011với ISO/IEC 27002

ISO/IEC 27011 có quan hệ chặt chẽ với ISO/IEC 27002 và là một trường hợp riêng, đặc thù của ISO/IEC 27002, hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông. ISO/IEC 27011 được xây dựng trên cơ sở của ISO/IEC 27002 và được trình bày trong định dạng tương tự với ISO/IEC 27002. Trong những trường hợp khi mục tiêu và các biện pháp được định ra trong ISO/IEC 27002 có thể áp dụng vào ISO/IEC 27002 mà không cần có thông tin gì thêm thì chỉ nêu các phần tham khảo tương ứng trong ISO/IEC 27002.

12

Các biện pháp kiểm soát và hướng dẫn thực hiện đặc thù cho viễn thông được trình bày trong phụ lục A, các hướng dẫn thực hiện bổ sung được trình bày trong phụ lục B.

Trong những trường hợp khi các biện pháp quản lý cần có thêm hướng dẫn bổ sung đặc thù cho viễn thông, các mục tiêu và các biện pháp kiểm soát được định ra trong ISO/IEC 27002 sẽ được giữ nguyên không sửa đổi, bổ sung thêm những hướng dẫn đặc thù dành cho viễn thông liên quan đến biện pháp đó.

Thông tin và các hướng dẫn đặc thù trong lĩnh vực viễn thông bao gồm các mục sau đây:

- Tổ chức đảm bảo an toàn thông tin (mục 6)

- Quản lý tài sản (mục 7)

- Đảm bảo an toàn thông tin từ nguồn nhân lực (mục 8)

- Đảm bảo an toàn vật lý và môi trường (mục 9)

- Quản lý truyền thông và vận hành (mục 10)

- Kiểm soát truy nhập (mục 11)

- Tiếp nhận, phát triển và duy trì các hệ thống thông tin (mục 12)

- Quản lý các sự cố an toàn thông tin (mục 13)

- Quản lý tính liên tục hoạt động nghiệp vụ (mục 14)

ISO/IEC 27011:2008 tham chiếu tới ISO/IEC 27002:2005. Hiện nay ISO/IEC đã xuất bản phiên bản ISO/IEC 27002:2013, tuy nhiên, để đảm bảo tính thống nhất trong hệ thống TCVN, TCVN ISO/IEC 27011 vẫn sử dụng tài liệu tham chiếu trong văn bản gốc là ISO/IEC 27002:2005 và TCVN được xây dựng từ tài liệu này là TCVN ISO/IEC 27002:2011.

4 Phương pháp xây dựng tiêu chuẩn

- Tiêu chuẩn được xây dựng theo phương pháp chấp thuận nguyên vẹn nội dung kỹ thuật tiêu chuẩn quốc tế. Tài liệu cơ sở để xây dựng tiêu chuẩn này là ISO/IEC 27011:2008 (ITU-T X.1051).

- Do tài liệu viện dẫn ISO/IEC 27002 của ISO/IEC 27011:2008 đã được sử dụng làm tài liệu cơ sở để xây dựng tiêu chuẩn TCVN tương đương (TCVN ISO/IEC 27002:2011) nên dự thảo tiêu chuẩn viện dẫn trực tiếp đến TCVN tương đương này.

13

5 Nội dung chính của dự thảo tiêu chuẩn

Tiêu chuẩn được xây dựng với các nội dung như sau:

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Định nghĩa và danh mục từ viết tắt

4 Tổng quan

Điều 4 nêu tổng quan cấu trúc tài liệu cũng như tổng quan về các hệ thống quản lý an toàn thông tin trong viễn thông.

5 Chính sách an toàn thông tin

Các nội dung về chính sách an toàn thông tin sẽ được tham chiếu tới TCVN ISO/IEC 27002.

6 Tổ chức đảm bảo an toàn thông tin

Điều 6 trình bày các vấn đề liên quan tới tổ chức đảm bảo an toàn thông tin trong tổ chức như đưa ra cam kết của ban quản lý về việc đảm bảo an toàn thông tin; phối hợp và phân định trách nhiệm của các bên;quy trình cấp phép cho các phương tiện xử lý thông tin; các vấn đề liên quan tới các thỏa thuận bảo mật; việc liên lạc với các cơ quan chức năng; lấy ý kiến các nhóm chuyên gia an toàn bảo mật và tổ chức việc soát xét công tác an toàn.

Điều này cũng trình bày các công tác cần thực hiện để đảm bảo an toàn thông tin khi làm việc với các bên tham gia bên ngoài.

7 Quản lý tài sản

Điều 7 trình bày các biện pháp quản lý tài sản như việc xác định, phân loại các tài sản, người đứng tên sở hữu và có trách nhiệm bảo vệ tài sản; công tác kiểm kê tài sản. Điều 7 cũng hướng dẫn việc phân loại thông tin, với vai trò là một tài sản của tổ chức.

8 Đảm bảo an toàn thông tin từ nguồn nhân lực

14

Điều 8 hướng dẫn việc đảm bảo an toàn thông tin trong sử dụng nhân sự, bao gồm cả quá trình tuyển dụng, sử dụng lao động và cả sau khi kết thúc hợp đồng lao động. Các hướng dẫn trong điều này cũng áp dụng với các nhà thầu và bên thứ ba.

9 Đảm bảo an toàn vật lý và môi trường

Điều 9 hướng dẫn các biện pháp thực hiện an toàn cho cơ sở hạ tầng, trang thiết bị viễn thông chống lại truy nhập bất hợp pháp hoặc ảnh hưởng từ các yếu tố môi trường.

10 Quản lý truyền thông và vận hành

Điều 10 đưa ra các hướng dẫn về đảm bảo an toàn thông tin trong quá trình vận hành bao gồm nhiều mặt như việc xây dựng các quy trình và quy định trách nhiệm vận hành; bảo vệ chống mã độc; sao lưu dữ liệu; giám sát hệ thống…

11 Kiểm soát truy nhập

Điều 11 hướng dẫn công tác kiểm soát truy nhập đến thông tin, các phương tiện xử lý thông tin và các quy trình nghiệp vụ. Trong đó bao gồm các hướng dẫn về thiết lập và soát xét chính sách kiểm soát truy nhập, kiểm soát việc truy nhập mạng, hệ điều hành và các ứng dụng…

12 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

Hướng dẫn việc đảm bảo an toàn trong các quá trình chuyển giao hệ thống từ môi trường thử nghiệm sang vận hành; các quy trình thay đổi, nâng cấp hệ thống…

13 Quản lý các sự cố an toàn thông tin

Điều 13 hướng dẫn việc quản lý các sự cố an toàn thông tin bao gồm các quy trình báo cáo sự kiện an toàn thông tin, trách nhiệm và các thủ tục khi xảy ra sự cố an toàn thông tin cũng như việc rút kinh nghiệm từ những sự cố an toàn thông tin đã xảy ra.

14 Quản lý sự liên tục của hoạt động nghiệp vụ

Điều 14 đưa ra các hướng dẫn nhằm đảm bảo tính liên tục của các hoạt động nghiệp vụ trong trường hợp có sự cố và đảm bảo khôi phục hoạt động bình thường một cách nhanh chóng. Các hoạt động liên quan bao gồm cả công tác đánh giá rủi

15

ro, việc xây dựng các kế hoạch liên tục nghiệp vụ và việc thử nghiệm, đánh giá các kế hoạch đó.

15 Sự tuân thủ

Phụ lục A Bộ qui tắc mở rộng dành cho viễn thông

Phụ lục B Hướng dẫn thực hiện bổ sung

6 Khả năng áp dụng tiêu chuẩn

Các vấn đề an toàn thông tin nói chung và an toàn thông tin viễn thông nói riêng ngày nay mang tính chất toàn cầu. Viễn thông Việt nam cũng đứng trước các nguy cơ an ninh chung của viễn thông thế giới. Bên cạnh đó các tổ chức viễn thông trong nước cũng có liên kết với các tổ chức viễn thông khác trên thế giới, cần thỏa mãn các tiêu chí chung với các tổ chức đó và việc áp dụng một tiêu chuẩn quốc tế được chấp nhận rộng rãi là phù hợp và thuận lợi.

Tiêu chuẩn này cung cấp cho các tổ chức viễn thông, và những người có trách nhiệm đảm bảo an toàn thông tin; cùng với các nhà cung cấp thiết bị an ninh, kiểm toán, các nhà cung cấp thiết bị đầu cuối viễn thông một bộ tổng quát các mục tiêu kiểm soát an toàn thông tin. Tiêu chuẩn này mang tính hướng dẫn và tổ chức thực hiện có thể dựa vào đó để xây dựng các quy chế thực hiện an toàn thông tin phù hợp với tổ chức mình. Các tổ chức viễn thông có thể căn cứ vào kết quả đánh giá rủi ro và các tiêu chí chấp nhận rủi ro của tổ chức, cũng như các phương pháp tiếp cận và các giải pháp hiện có để lựa chọn ra một bộ các biện pháp quản lý phù hợp với tổ chức mình để thực hiện.

Tiêu chuẩn này là một phần trong bộ tiêu chuẩn ISO/IEC 27000 và có tính tương thích cao với các tiêu chuẩn quản lý khác thuộc hệ thống ISO như ISO 9001:2000 và ISO 14001:2004, đảm bảo tính thống nhất và thuận lợi trong áp dụng đối với các doanh nghiệp đã triển khai các tiêu chuẩn này.

Theo đánh giá của nhóm xây dựng tiêu chuẩn, tiêu chuẩn này có khả năng áp dụng tốt vào điều kiện thực tế tại Việt Nam.

7 Bảng đối chiếu nội dung dự thảo tiêu chuẩn với tài liệu gốc ISO/IEC 27011:2008

16

Bảng 3 Đối chiếu TCVN ISO/IEC 27011 với ISO/IEC 27011

Nội dung tiêu chuẩn Tài liệu gốc

ISO/IEC 27011:2008

Sửa đổi, bổ sung

- Những tham chiếu tới các văn bản ISO khác sẽ được sửa thành tham chiếu tới các văn bản TCVN tương ứng, nếu văn bản ISO được tham chiếu đến đã được sử dụng để xây dựng TCVN tương đương.

Giới thiệu Introduction Phần này được trình bày trong thân của tiêu chuẩn thay vì bên ngoài để phù hợp với kết cấu văn bản TCVN.

1 Phạm vi áp dụng 1 Scope Đổi cụm từ “Khuyến nghị/Tiêu chuẩn quốc tế” (Recommendation/ International Standard) thành “Tiêu chuẩn”để phù hợp với văn bản TCVN.

2 Tài liệu viện dân 2 Normative references Sửa đổi để phù hợp với TCVN:

- Bỏ phần tuyên bố quyền của IEC, ISO, ITU đối với tài liệu gốc.

- Thay thế các tài liệu viện dẫn ISO/IEC 27001:2005 và ISO/IEC 27002:2005 tương ứng bằng TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011.

3 Định nghĩa và danh mục từ viết tắt

3 Definitions and abbreviations

3.1 Định nghĩa 3.1 Definitions Chấp thuận nguyên vẹn nội dung, chỉnh sửa format để phù hợp với trình bày của TCVN

17


ISO/IEC 27011:2008


3.3 Danh mục các từ viết tắt

3.2 Abbreviations Chấp thuận nguyên vẹn nội dung, sắp xếp lại theo danh mục các thuật ngữ theo thứ tự bảng chữ cái tiếng Việt.

4 Tổng quan 4 Overview

4.1 Cấu trúc của tài liệu 4.1 Structure of this guideline

Đổi cụm từ “Khuyến nghị/Tiêu chuẩn quốc tế” (Recommendation/ International Standard) thành “Tiêu chuẩn”để phù hợp với văn bản TCVN.

4.2 Các hệ thống quản lý an toàn thông tin trong viễn thông

4.2 Information security management systems in telecommunications business

Điều con “4.2.4.4 Các yếu tố chính dẫn đến thành công”được bổ sung (từ ISO/IEC 27002) thay vì tham chiếu tới TCVN 27002 (không có phần này)

5 Chính sách an toàn thông tin

5 Security policy Chấp thuận nguyên vẹn

6 Tổ chức đảm bảo an toàn thông tin

6 Organization of information security

Chấp thuận nguyên vẹn

6.1 Tổ chức nội bộ 6.1 Internal Organization

6.2 Các bên tham gia bên ngoài

6.2 External parties

7 Quản lý tài sản 7 Asset management

7.1 Trách nhiệm đối với tài sản

7.1 Responsibility for assets

Tại điều con 7.1.1 sửa đổi tham chiếu tới ISO/IEC 27005 thành tớiTCVN 10295:2014, do tài liệu TCVN đã được xây dựng dựa trên ISO/IEC 27005 và hoàn toàn tương đương.

7.2 Phân loại thông tin 7.2 Information classification


18


ISO/IEC 27011:2008


8 Đảm bảo an toàn thông tin từ nguồn nhân lực

8 Human resources security


8.1 Trước khi tuyển dụng

8.1 Prior to employment

8.2 Trong thời gian làm việc

8.2 During employment

8.3 Chấm dứt hoặc thay đổi công việc

8.3 Termination or change employment

9 Đảm bảo an toàn vật lý và môi trường

9 Physical and environmental security


9.1 Các khu vực an toàn 9.1 Secure areas

9.2 Đảm bảo an toàn trang thiết bị

9.2 Equipment security

10 Quản lý truyền thông và vận hành

10 Communications and operations management


10.1 Các quy trình và trách nhiệm vận hành

10.1 Operational procedures and responsibilities

10.2 Quản lý chuyển giao dịch vụ của bên thứ ba

10.2 Third party service delivery management

10.3 Lập kế hoạch và chấp nhận hệ thống

10.3 System planning and acceptance

10.4 Bảo vệ chống lại mã độc và mã di động

10.4 Protection against malicious and mobile code

10.5 Sao lưu 10.5 Back-up

10.6 Quản lý an toàn mạng

10.6 Network security management

10.7 Xử lý phương tiện 10.7 Media handling

19


ISO/IEC 27011:2008


10.8 Trao đổi thông tin 10.8 Exchange of information

10.9 Các dịch vụ thương mại điện tử

10.9 Electronic commerce services

10.10 Giám sát 10.10 Monitoring

11 Kiểm soát truy nhập 11 Access control Chấp thuận nguyên vẹn

11.1 Yêu cầu nghiệp vụ đối với kiểm soát truy nhập

11.1 Business requirement for access control

11.2 Quản lý truy nhập người dùng

11.2 User access management

11.3Các trách nhiệm của người dùng

11.3 User responsibilities

11.4 Kiểm soát truy nhập mạng

11.4 Network access control

11.5 Kiểm soát truy nhập hệ điều hành

11.5 Operating system access control

11.6 Kiểm soát truy nhập thông tin và ứng dụng

11.6 Application and information access control

11.7Tính toán di động và làm việc từ xa

11.7 Mobile computing and teleworking

12 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

12 Information systems acquisition, development and maintenance


12.1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

12.1 Security requirements of information systems

12.2 Xử lý đúng trong các ứng dụng

12.2 Correct processing in applications

12.3 Các biện pháp 12.3 Cryptographic

20


ISO/IEC 27011:2008


mật mã controls

12.4 Đảm bảo an toàn cho các tệp tin hệ thống

12.4 Security of system files

12.5 Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển

12.5 Security in development and support processes

12.6 Quản lý các điểm yếu kỹ thuật

12.6 Technical vulnerability management

13 Quản lý các sự cố an toàn thông tin

13 Information security incident management


13.1 Báo cáo các sự kiện an toàn thông tin và các điểm yếu

13.1 Reporting information security events and weaknesses


13.2 Quản lý các sự cố an toàn thông tin và các cải tiến

13.2 Management of information security incidents and improvements


14 Quản lý tính liên tục của hoạt động nghiệp vụ

14 Business continuity management


14.1 Khía cạnh an toàn thông tin của quản lý tính liên tục của hoạt động nghiệp vụ

14.1 Information secrity aspects of business continuity management

15 Sự tuân thủ 15 Compliance Chấp thuận nguyên vẹn

Phụ lục A - Bộ qui tắc mở rộng dành cho viễn thông

Annex A - Telecommunications extended control set


A.9 Đảm bảo an toàn vật lý và môi trường

A.9 Physical and environmental security

A.10 Quản lý truyền thông và vận hành

A.10 Communications and operations

21


ISO/IEC 27011:2008


management

A.11 Kiểm soát truy nhập A.11 Access control

A.15 Sự tuân thủ A.12 Compliance

Phụ lục B - Hướng dân thực hiện bổ sung

Annex B - Additional implementation guidance


B.1 Các biện pháp an ninh mạng đối phó với tấn công mạng

B.1 Network security measures against cyber attacks

B.2 Các biện pháp an ninh mạng đối phó với tắc nghẽn mạng

B.2 Network security measures for network congestion

Thư mục tài liệu tham khảo

Bibliography Bổ sung và cập nhật so với tài liệu gốc:

- Bổ sung ISO/IEC 27011:2008, Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 vào thư mục tài liệu tham khảo.

- Cập nhật từ ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management thànhTCVN 10295:2014, Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin do tiêu chuẩn này đã được sử dụng để

22


ISO/IEC 27011:2008


biên soạn TCVN tương đương.

8 Kết luận và khuyến nghị

- An toàn thông tin trong lĩnh vực viễn thông ở nước ta hiện nay đang đứng trước những thách thức lớn và đòi hỏi các tổ chức viễn thông cần phải thực thi các biện pháp đảm bảo an toàn thông tin một cách hiệu quả. Yêu cầu xây dựng một tiêu chuẩn quốc gia hướng dẫn thực hiện an toàn thông tin trong viễn thông, làm cơ sở để các tổ chức viễn thông xây dựng các quy trình an toàn cho riêng mình mang tính cấp thiết.

- ISO/IEC 27011:2008 Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 là tài liệu cơ sở phù hợp để xây dựng TCVN về an toàn thông tin trong lĩnh vực Viễn thông ở nước ta. Tài liệu này nằm trong họ ISO/IEC 27000 về hướng dẫn quản lý an toàn thông tin và cũng là tài liệu được phối hợp thực hiện giữa ISO/IEC với ITU- Liên minh viễn thông thế giới.

- Vì các nội dung trong tiêu chuẩn này được viện dẫn đến TCVN ISO/IEC 27002:2011 thay vì trực tiếp tới ISO/IEC 27002, khuyến nghị thay đổi tên tiêu chuẩn về một trong hai phương án sau:

o “Công nghệ thông tin – Kỹ thuật an toàn – Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông”

o “Công nghệ thông tin – Kỹ thuật an toàn – Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa trên TCVN ISO/IEC 27002”

- Hiện tại nhiều bộ tiêu chuẩn trong họ 27000 đã và đang được cập nhật trong các phiên bản mới. Tài liệu cơ sở để xây dựng TCVN này cũng đang được các tổ chức ISO/IEC và ITU soát xét và lên kế hoạch cập nhật. Khuyến nghị theo dõi các cập nhật cho tài liệu cơ sở của TCVN này cũng như việc cập nhật phiên bản của TCVN 27002 để có những điều chỉnh kịp thời cho văn bản.

- Hiện tại nhiều tiêu chuẩn trong họ 27000 đang được sử dụng để xây dựng các dự thảo TCVN, trong đó có một số tiêu chuẩn được tham khảo trong tài liệu này. Khuyến nghị theo dõi, cập nhật việc xuất bản các TCVN được xây dựng từ các tiêu

23

chuẩn ISO/IEC 27000 có trong Thư mục tài liệu tham khảo để có các cập nhật tương ứng.

- Nhóm thực hiện xây dựng dự thảo đề xuất hoàn chỉnh và công bố tiêu chuẩn này cho các tổ chức viễn thông ở Việt Nam cũng như các cơ quan có liên quan sử dụng để xây dựng các quy chế an toàn thông tin cho tổ chức mình qua đó đảm bảo an toàn thông tin một cách hiệu quả.

24

Documents

Tên gọi và ký hiệu tiêu chuẩn · Web view8Kết luận và khuyến nghị23 Tên gọi và ký hiệu tiêu chuẩn Tên tiêu chuẩn: “Công nghệ thông tin – Các