Nghiên cứu xây dựng tiêu chuẩn “Công nghệ thông tin - Các kỹ thuật an toàn - Ứng dụng đặc trưng của ngành theo tiêu chuẩn ISO/IEC 27001 - Các yêu cầu”

An toàn thông tin ngày càng trở nên nóng, cấp bách trên toàn thế giới. Trong thời gian gần đây nhiều sự cố về khồng gian mạng, các cuộc tấn công có chủ đích ngày càng nhiều nhằm vào các hệ thống công nghệ thông tin trong các lĩnh vực ngân hàng, tài chính, thương mại, cơ quan Chính phủ…

Tại Việt Nam thời gian qua có nhiều cuộc tấn công trên diện rộng với quy mô lớn có chủ đích đã xảy ra, điển hình trong năm 2018 thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam là 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017 (và hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu trong năm 2018). Chỉ riêng trong năm số lượng lỗ hổng an ninh trong các phần mềm, ứng dụng được công bố tăng đột biến với hơn 15.700 lỗ hổng, gấp khoảng 2,5 lần những năm trước đó. Như vậy có thể thấy rằng mặc dù nhận thức về an toàn thông tin của nước ta đã và đang phát triển tuy nhiên chưa kịp so với những phương thức cũng như hậu quả của các cuộc tấn công mạng đã xảy ra.

Qua thực tiễn triển khai tại Việt Nam và kinh nghiệm của một số công ty tư vấn về bộ tiêu chuẩn ISO/IEC 27xxx cho thấy đây là bộ tiêu chuẩn có tính chất toàn diện, bao quát hầu hết các khía cạnh, đồng thời bộ tiêu chuẩn này cũng được tổ chức ISO/IEC định kỳ cập nhật, bổ sung, hoàn chỉnh theo kịp với các vấn đề phát triển công nghệ, mạng lưới. Tuy nhiên việc áp dụng bộ tiêu chuẩn này trên thực tế gặp nhiều khó khăn, đặc biệt là chưa có quy định, hướng dẫn cho lĩnh vực cụ thể về việc lựa chọn các biện pháp quản lý; các tiêu chuẩn hướng dẫn về biện pháp bảo vệ cũng còn mang tính phương pháp luận và chưa cụ thể. Do vậy việc nghiên cứu xây dựng tiêu chuẩn xác định các yêu cầu chung cho việc áp dụng ISO/IEC 27001 cho lĩnh vực cụ thể là rất quan trọng và cần thiết để từ đó có hướng dẫn chung về việc xây dựng các chuẩn trong các lĩnh vực cụ thể như lĩnh vực tài chính ngân hàng, truyền thông, đám mây, định danh thông tin cá nhân, y tế…

Nhóm tác giả đề tài Nghiên cứu xây dựng tiêu chuẩn “Công nghệ thông tin - Các kỹ thuật an toàn - Ứng dụng đặc trưng của ngành theo tiêu chuẩn ISO/IEC 27001 - Các yêu cầu” do Cơ quan chủ trì Cục An toàn thông tin cùng phối hợp với Chủ nhiệm đề tài Tiến sĩ Nguyễn Khắc Lịch thực hiện với mục tiêu: Tiêu chuẩn này xác định các yêu cầu đối với việc sử dụng ISO/IEC 27001:2013 trong các lĩnh vực cụ thể (ngành, miền ứng dụng hoặc khu vực thị trường). Tiêu chuẩn này hướng dẫn cách thức bổ sung, hiệu chỉnh cho các yêu cầu trong ISO/IEC 27001:2013 và cách thức thêm vào các các biện pháp kiểm soát hoặc tập các biện pháp kiểm soát bổ sung ngoài Phụ lục A của ISO/IEC 27001: 2013. Và hoàn thiện Bộ tiêu chuẩn quốc gia (27xxx) về an toàn thông tin.

Tiêu chuẩn này xác định các yêu cầu đối với việc sử dụng ISO/IEC 27001:2013 trong các lĩnh vực cụ thể; Hướng dẫn cách thức bổ sung, hiệu chỉnh cho các yêu cầu trong ISO/IEC 27001:2013 và cách thức thêm vào các các biện pháp kiểm soát hoặc tập các biện pháp kiểm soát bổ sung ngoài Phụ lục A của ISO/IEC 27001: 2013.

Đây là tiêu chuẩn yêu cầu chung và theo đó đã có các chuẩn hướng dẫn cho các lĩnh vực cụ thể như: ISO/IEC 27010 (cho liên ngành, liên tổ chức), ISO/IEC 27011(cho các tổ chức viễn thông dựa trên ISO/IEC 27002), ISO/IEC 27017 (cho các dịch vụ đám mây dựa trên ISO/IEC 27002), ISO/IEC 27018 (bảo vệ thông tin định danh cá nhân (PII) trên đám mây), ISO/IEC 27019 (trong công nghiệp năng lượng áp dụng 27002) và ISO/IEC 27799 (trong y tế áp dụng ISO/IEC 27002).

Như vậy ngoài các yêu cầu chung để quản lý hệ thống an toàn thông tin có trong ISO 27001 và các hướng dẫn có trong 27002 thì các ngành/lĩnh vực đều có những đặc thù riêng cần có để đưa ra được các yêu cầu, các hướng dẫn cho đúng ngành/lĩnh vực đó.

Qua việc khảo sát các chuẩn liên quan tới an toàn thông tin trên thế giới và cũng như tại Việt Nam có thể thấy rằng tình hình tiêu chuẩn hóa các ISO/IEC thành TCVN hiện nay vẫn đang tiếp tục được hoàn thiện cùng với xu hướng chung của các tổ chức quốc tế. Từ đó cũng thấy được việc ban hành các tiêu chuẩn quốc gia là thực sự cần thiết nhằm hỗ trợ các cơ quan, tổ chức trong lĩnh việc an toàn thông tin có được những tài liệu chuẩn tham chiếu, có thể áp dụng cho riêng mình. Bên cạnh đó giúp hoàn thiện bộ tiêu chuẩn về an toàn thông tin 27xxx.

Như vậy qua các sở cứ, phương pháp xây dựng tiêu chuẩn và đưa ra được các nội dung chính của dự thảo trên nguyên tắc chấp thuận nguyên vẹn tiêu chuẩn gốc ISO/IEC 27009:2016 và tuân thủ các định dạng của việc xây dựng tiêu chuẩn quốc gia nhóm đã giới thiệu sơ bộ dàn ý của dự thảo TCVN 27009. Qua đó cũng đánh giá được sự phù hợp khi áp dụng tiêu chuẩn này tại Việt Nam và có đưa ra biện pháp quản lý tương tự cho tiêu chuẩn này.

Có thể tìm đọc báo cáo kết quả nghiên cứu (mã số 16958/2019) tại Cục Thông tin KHCNQG.

Đ.T.V (NASATI)