Loading data. Please wait
Thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống thông tin có tin cậy hay không, các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào? Việc đánh giá ATTT chính là để giúp đánh giá, cung cấp bằng chứng để giúp cá nhân, đơn vị sử dụng hệ thống một cách hiệu quả và an toàn.
Tổ chức tiêu chuẩn quốc tế ISO đã ban hành bộ tiêu chuẩn ISO/IEC 15408 nhằm đưa ra các tiêu chí chung cho việc đánh giá ATTT cho các sản phẩm và hệ thống. Song song với việc ban hành bộ tiêu chuẩn ISO/IEC 15408, tổ chức ISO cũng đã ban hành tiêu chuẩn ISO/IEC 18045 về hệ thống các phương pháp đánh giá ATTT nhằm hỗ trợ việc triển khai ISO/IEC 15408.
ISO/IEC 15408 sử dụng khái niệm "Đích đánh giá" (Target of Evaluation - TOE). TOE chính là một sản phẩm CNTT cần được đánh giá. Tuy nhiên, thuật ngữ này phải được hiểu tương đối linh hoạt và không gắn với các ranh giới sản phẩm CNTT như cách hiểu thông thường. TOE được định nghĩa như là một tập hợp các phần mềm, phần sụn (firmware) và/hoặc phần cứng đi kèm. TOE có thể là một sản phẩm CNTT, một bộ phận của sản phẩm CNTT, một tập hợp các sản phẩm CNTT.
Bộ tiêu chuẩn ISO/IEC 15408 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá cho an toàn CNTT" gồm 3 phần:
ISO/IEC 15408-1: Giới thiệu và mô hình tổng quan, giới thiệu ISO/IEC 15408, các khái niệm chung, các nguyên tắc đánh giá an toàn và mô hình tổng quan đánh giá.
ISO/IEC 15408-2: Các thành phần chức năng an toàn, thiết lập một tập các thành phần chức năng như là các mẫu chuẩn để làm cơ sở các yêu cầu chức năng cho các TOE.
ISO/IEC 15408-3: Các thành phần đảm bảo an toàn, thiết lập một tập các thành phần đảm bảo như là các mẫu chuẩn để làm cơ sở cho các yêu cầu đảm bảo cho các TOE.
Bộ tiêu chuẩn về an toàn mạng: ISO/IEC 27033
Mục tiêu của ISO/IEC 27033 là cung cấp hướng dẫn chi tiết trên các khía cạnh của an toàn về quản lý, vận hành và sử dụng mạng, hệ thống thông tin và các kết nối giữa chúng. Tiêu chuẩn này gồm 6 phần và có mối quan hệ với nhau.
Cụ thể nội dung của 6 phần trong bộ tiêu chuẩn ISO/IEC 27033:
- ISO/IEC 27033-1: Tổng quan và khái niệm, xác định và mô tả các khái niệm liên quan, cung cấp hướng dẫn quản lý cho an toàn mạng và các khía cạnh rủi ro, thiết kế và kiểm soát liên quan đến các kịch bản mạng điển hình.
- ISO/IEC 27033-2: Hướng dẫn thiết kế và triển khai an toàn mạng, xác định tổ chức phải đạt được các kiến trúc, thiết kế và triển khai an toàn kỹ thuật mạng chất lượng tốt như thế nào.
- ISO/IEC 27033-3: Rủi ro, kỹ thuật thiết kế và các vấn đề kiểm soát cho các kịch bản mạng khác nhau.
- ISO/IEC 27033-4: An toàn truyền thông giữa các mạng sử dụng thiết bị cổng an toàn, xác định các rủi ro cụ thể, các kỹ thuật thiết kế và các vấn đề kiểm soát cho ATTT truyền giữa các mạng sử dụng cổng an toàn.
- ISO/IEC 27033-5: An toàn truyền thông giữa các mạng sử dụng mạng riêng ảo, xác định các rủi ro cụ thể, các kỹ thuật thiết kế và các vấn đề kiểm soát cho an toàn kết nối được thiết lập sử dụng mạng riêng ảo (VPN).
- ISO/IEC 27033-6: An toàn truy nhập mạng IP không dây, xác định các rủi ro cụ thể, các kỹ thuật thiết kế và các vấn đề kiểm soát cho an toàn các mạng không dây.
Sự phát triển rất nhanh của công nghệ mạng (đặc biệt là Internet) mang lại các cơ hội kinh doanh quan trọng, tuy nhiên kèm theo đó là các rủi ro ATTT mới cần quản lý. Với các tổ chức dựa chủ yếu vào sử dụng thông tin và các mạng thích hợp để thực hiện nghiệp vụ của họ, việc mất tính bảo mật, tính toàn vẹn, tính sẵn sàng của thông tin và dịch vụ có thể gây ra các tác động bất lợi đáng kể tới hoạt động kinh doanh. Do đó, việc triển khai và duy trì an toàn mạng đầy đủ là tối quan trọng cho sự thành công của bất cứ hoạt động kinh doanh nào của tổ chức.
Bộ tiêu chuẩn về quản lý sự cố ATTT: ISO/IEC 27035
Khái niệm "Quản lý sự cố ATTT" được sử dụng trong tiêu chuẩn không chỉ là quản lý sự cố ATTT mà còn bao hàm quản lý các điểm yếu ATTT. Nếu tổ chức triển khai hệ thống ISMS thì việc quản lý tốt các sự cố ATTT sẽ góp phần không nhỏ để có một ISMS hiệu quả và hiệu lực. ISO/IEC 27035 có vai trò là một tiêu chuẩn hướng dẫn với cách tiếp cận có cấu trúc và kế hoạch để quản lý sự cố ATTT. Do vậy, việc áp dụng tiêu chuẩn sẽ rất hữu ích cho các tổ chức mong muốn quản lý sự cố ATTT hiệu quả.
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố ATTT đưa ra một phương pháp tiếp cận có cấu trúc và có kế hoạch để:
Phát hiện, báo cáo và đánh giá các sự cố ATTT.
Ứng phó và quản lý các sự cố ATTT.
Phát hiện, đánh giá và quản lý các điểm yếu ATTT.
Liên tục cải tiến việc quản lý sự cố và ATTT sau khi thực hiện quản lý các sự cố và điểm yếu ATTT.
ATTT cho các tổ chức quy mô lớn và trung bình, nhưng vẫn có thể sử dụng cho các tổ chức có quy mô nhỏ hơn.
Áp dụng tại Việt Nam
Tại Việt Nam, một số tiêu chuẩn quốc gia (TCVN) về ATTT đã được xây dựng, công bố trên cơ sở chấp nhận nguyên vẹn các tiêu chuẩn ISO/IEC.
Bộ tiêu chuẩn về hệ thông quản lý an toàn thông tin ISMS:
Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu (TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005).
Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành Quản lý an toàn thông tin (TCVN ISO/IEC 27002:2011).
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin (TCVN 10295:2014 ISO/IEC 27005:2011)
Bộ tiêu chuẩn về đánh giá ATTT
Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát (TCVN 8709-1:2011 ISO/IEC 15408-1:2009).
Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn (TCVN 8709-2:2011 ISO/IEC 15408-2:2008).
Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn (TCVN 8709-3:2011 ISO/IEC 15408-3:2008).
Bộ tiêu chuẩn về an toàn mạng: TCVN 9801-1:2013 ( ISO/IEC 27033-1:2009) Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng
Hy vọng, với hệ thống tiêu chuẩn quốc gia về ATTT đầy đủ, các cơ quan, tổ chức trong nước sẽ được trang bị các hướng dẫn kỹ thuật, nâng cao nhận thức và chủ động áp dụng các biện pháp kỹ thuật thích hợp để đối phó với các tấn công mạng, hạn chế tối đa ảnh hưởng của sự cố an toàn thông tin, cũng như khắc phục nhanh chóng các thiệt hại ATTT nếu phải đối mặt.
Đô thị thông minh là một thuật ngữ biểu thị sự tích hợp hiệu quả của hệ thống vật lý, kỹ thuật số và con người trong môi...
Bối cảnh lĩnh vực Internet trong tương lai bao gồm sự đa dạng lớn về chủ đề công nghệ liên quan đến việc triển khai đô...
Ngày 29/12/2017, Bộ Khoa học và Công nghệ ban hành các Quyết định về việc công bố và hủy bỏ các Tiêu chuẩn Quốc gia
Quản lý an toàn thông tin mang lại sự tự tin cho các SMEs trong việc đáp ứng các kỳ vọng – từ những cơ hội hợp pháp đến...
Bộ Khoa học và Công nghệ ban hành các Quyết định về việc hủy bỏ và công bố các Tiêu chuẩn Quốc gia
Trách nhiệm của một số bộ, ngành, cơ quan ngang bộ về an toàn thông tin và an ninh thông tin, việc quản lý tiêu chuẩn,...
Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật trong hoạt động của mạng và cơ sở hạ tầng thông tin, ngăn ngừa khả...