Giới thiệu một số tiêu chuẩn an toàn thông tin quốc tế (phần 1)
Các tiêu chuẩn ISO về an toàn thông tin
1.1. ISO/IEC 27002:2005 (Bộ luật thực thi về quản lý an toàn thông tin)
Đây là tiêu chuẩn quốc tế được đưa ra bởi Viện Tiêu chuẩn Anh quốc (BSI), là một bộ quy định thực thi về quản lý an toàn thông tin và được coi như là hướng dẫn cơ bản chung, có thể phát triển thành các tiêu chuẩn an toàn thông tin và quản lý hiệu quả hoạt động của tổ chức.
Tiêu chuẩn này bao gồm các hướng dẫn và các khuyến nghị về các trường hợp triển khai cho 10 lĩnh vực về an toàn thông tin bao gồm: Chính sách an toàn; Tổ chức thực hiện an toàn thông tin; Quản lý đánh giá; An toàn nguồn nhân lực; An toàn môi trường và vật lý; quản lý vận hành và giao tiếp; điều kiện truy nhập; duy trì, phát triển và thu thập thông tin; quản lý các vụ việc về an toàn thông tin; quản lý tính liên tục trong hoạt động sản xuất, kinh doanh; và tính tương thích.
Trong số 10 vấn đề về an toàn này, có tổng số 39 mục tiêu và hàng trăm biện pháp điều hành an toàn thông tin tốt nhất được khuyến nghị cho các tổ chức để thỏa mãn các mục tiêu kiểm soát và bảo vệ quyền sở hữu thông tin, chống lại các nguy cơ xâm phạm đến tính bảo mật, tính toàn vẹn và sẵn sàng của thông tin.
1.2. ISO/IEC 27001:2005 (Các yêu cầu – Hệ thống quản lý an toàn thông tin)
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 xuất phát từ nội dung của tiêu chuẩn BSI (BS7799 phần 2:2002). Nó chỉ ra các yêu cầu để thiết lập, thực thi, vận hành, giám sát, rà soát, duy trì và cải thiện Hệ thống quản lý an toàn thông tin (ISMS) trong một tổ chức. Nó được thiết kế để đảm bảo cho việc chọn lựa và điều hành phù hợp và đầy đủ nhằm bảo vệ tài sản thông tin của tổ chức. Tiêu chuẩn này thường được áp dụng đối với tất cả các tổ chức, bao gồm các doanh nghiệp, cơ quan nhà nước,...
Tiêu chuẩn này giới thiệu một mô hình tuần hoàn là “Lập kế hoạch – Thực hiện –Kiểm tra – Thi hành” (“Plan-Do-Check-Act” - PDCA) có mục đích thiết lập, thực thi, giám sát và cải thiện hiệu quả Hệ thống quản lý an toàn thông tin. Chu trình PDCA có 4 pha:
- Pha Lập kế hoạch (Plan phase): Thiết lập hệ thống ISMS;
- Pha thực hiện (“Do” phase): Thực thi và vận hành hệ thống;
- Pha kiểm tra (“Check” phase): Giám sát và rà soát hệ thống ISMS;
- Pha thi hành (“Act” phase): Duy trì và cải thiện hệ thống ISMS;
Thông thường, ISO/IEC 27001:2005 được thực hiện cùng với ISO/IEC 27002:2005. ISO/IEC 27001 định nghĩa các yêu cầu cho hệ thống ISMS và sử dụng ISO/IEC 27002 để đưa ra các hoạt động kiểm soát an toàn thông tin phù hợp nhất bên trong Hệ thống ISMS.
ISO/IEC 27002 là một bộ quy tắc thực thi cung cấp các hoạt động kiểm soát mà tổ chức có thể ban hành để khuyến cáo các nguy cơ về an toàn thông tin. Các hoạt động kiểm soát này là không bắt buộc. Vì vậy mà không có việc chứng nhận cho ISO/IEC 27002, nhưng một tổ chức có thể được chứng nhận phù hợp với tiêu chuẩn ISO/IEC 27001 nếu quy trình quản lý tuân thủ tiêu chuẩn hệ thống ISMS. Danh sách các cơ quan chứng nhận chính thức có thể chứng nhận một tổ chức tuân thủ tiêu chuẩn ISMS trên wesite về dịch vụ chỉ định của UK.
1.3. ISO/IEC 15408 (Tiêu chuẩn đánh giá cho an toàn công nghệ thông tin)
Tiêu chuẩn quốc tế ISO/IEC 15408 được coi là Tiêu chuẩn chung “Common Criteria - CC”. Tiêu chuẩn này bao gồm 03 phần: ISO/IEC 15408-1:2005 (giới thiệu và mô hình chung), ISO/IEC 15408-2:2005 (các yêu cầu tính năng an toàn) và ISO/IEC 15408-3:2005 (các yêu cầu bảo đảm an toàn). Tiêu chuẩn này giúp tính toán, phê chuẩn và xác nhận việc bảo đảm an toàn cho một sản phẩm công nghệ phù hợp với một số các thông số như là các yêu cầu tính năng an toàn được chỉ ra trong tiêu chuẩn.
Phần cứng và phần mềm được đánh giá phù hợp với các yêu cầu tiêu chuẩn chung (CC) tại các phòng thí nghiệm đo kiểm được chỉ định để chứng nhận Mức độ bảo đảm ước lượng EAL cho các sản phẩm và hệ thống thông tin. Có 7 loại EAL: EAL1 – đo tính năng, EAL2 – đo cấu trúc, EAL3- Đo kiểm theo phương pháp, EAL4 - thiết kế, đo và đánh giá theo phương pháp, EAL5- thiết kế và thử nghiệm bán chính thức, EAL6- thiết kế, thử nghiệm và xác nhận, EAL7- thiết kế, đo, xác nhận chính thức.
Danh sách các cơ quan chỉ định và các sản phẩm đã được đánh giá trên Website tiêu chuẩn chung. Danh sách các sản phẩm được đánh giá tại Mỹ có trên website của Hệ thống đánh giá và xác nhận cho an toàn công nghệ thông tin (CCEVS).
1.4. Tiêu chuẩn ISO/IEC 13335 (Quản lý an toàn công nghệ thông tin)
Tiêu chuẩn ISO/IEC 13335 ban đầu là một Báo cáo kỹ thuật (TR) trước khi trở thành một tiêu chuẩn ISO/IEC đầy đủ. Tiêu chuẩn này bao gồm tập hợp các hướng dẫn về các biện pháp kỹ thuật kiểm soát an toàn:
a) ISO/IEC 13335-1:2004: Dẫn chứng những khái niệm và mô hình cho quản lý an toàn công nghệ thông tin và truyền thông;
b) ISO/IEC TR 13335-3:1998 dẫn chứng những kỹ thuật cho an toàn thông tin.
c) ISO/IEC TR 13335-4:2000 bao gồm các lựa chọn cho hoạt động bảo vệ (kiểm soát kỹ thuật an toàn), phần này đang được xem xét lại và có thể được thay thế bởi ISO/IEC 27005.
d) ISO/IEC TR 13335-5:2001 gồm việc hướng dẫn quản lý về an toàn mạng. Phần này đang được xem xét lại và có thể được hợp nhất vào tiêu chuẩn ISO/IEC 18028-1 và ISO/IEC 27005.
(còn tiếp)