Giới thiệu một số tiêu chuẩn an toàn thông tin quốc tế (phần 2)
2. Tiêu chuẩn của Hungary.
Một số nội dung quy định về tiêu chuẩn tại Bản dự luật số T/10327 của Hungary về an toàn thông tin điện tử cho các cơ quan nhà nước và địa phương như sau:
- Điểm f, Khoản (1), Mục 11, quy định về trách nhiệm bắt buộc của Lãnh đạo cơ quan trong việc bảo vệ hệ thống thông tin điện tử là:
“f) Quyết định các tiêu chuẩn liên quan đến những người có nhiệm vụ, trách nhiệm bảo vệ các hệ thống thông tin điện tử của cơ quan và những người có thẩm quyền cần thiết cho việc này, những người sử dụng, cũng như đưa ra nội quy an ninh thông tin.
Tại mục 24, Chương V về Các công việc (biện pháp) kết thúc quy định, Chính phủ được nhận ủy nhiệm thực hiện các công việc liên quan đến tiêu chuẩn như sau:
a) Các tiêu chuẩn chi tiết về nhiệm vụ của chính quyền, các tiêu chuẩn thủ tục chi tiết về việc thực hiện kiểm tra của chính quyền,
b) Mức tiền do chính quyền phạt, tiêu chuẩn thủ tục chi tiết cho việc quyết định hình phạt và trả tiền phạt,
c) Các tiêu chuẩn, phạm vi công việc và trình tự thủ tục ủy nhiệm người giám sát an ninh thông tin,
d) Các tiêu chuẩn, phạm vi chức năng và quyền lực liên quan đến việc thành lập và đưa vào hoạt động của Hội đồng, Diễn đàn và các tiểu ban làm việc cơ quan an ninh mạng theo mục 21.
3. Tiêu chuẩn của Trung Quốc
Từ năm 1966, Trung Quốc đã ban hành các tiêu chuẩn quốc gia (bắt buộc áp dụng) đối với an toàn thông tin và ban hành bổ sung các tiêu chuẩn bắt buộc áp dụng theo từng thời kỳ.
Các tiêu chuẩn quốc gia về an toàn thông tin bao gồm:
1. GB 15851-1995 – Công nghệ thông tin – Kỹ thuật an toàn – Hệ thống chữ ký số khôi phục tin nhắn.
2. GB/T 17900-1999: Các yêu cầu kỹ thuật an toàn cho máy chủ proxy.
3. GB/T 17901.1-1999: Công nghệ thông tin – kỹ thuật an toàn – quản lý chủ yếu – Phần 1: Mô hình.
4. GB/T 17902.1-1999: Công nghệ thông tin – Kỹ thuật an toàn – Chữ ký số với các phần bổ sung – Phần 1: Tổng quan.
5. GB 17859-1999: Tiêu chuẩn phân loại cho bảo vệ an toàn hệ thống thông tin máy tính.
6. GB/T 18238.1-2000: Công nghệ thông tin – Kỹ thuật an toàn – Hàm băm – Phần 1: Tổng quan.
7. GB/T 18238.2-2002: Công nghệ thông tin – Kỹ thuật an toàn – Hàm băm – Phần 2: Hàm băm sử dụng mã khóa n- bit.
8. GB/T 18238.3-2002: Công nghệ thông tin – Kỹ thuật an toàn – Hàm băm – Phần 3: Hàm băm chuyên dụng.
9. GB/T 19713-2005: Công nghệ thông tin – Kỹ thuật an toàn – Hạ tầng Khóa công khai – Giao thức chứng nhận trực tuyến.
10. GB/T 19714-2005: Công nghệ thông tin – Kỹ thuật an toàn – Hạ tầng khóa công khai Internet
11. GB/T 19771-2005: Công nghệ thông tin – Kỹ thuật an toàn – Hạ tầng khóa công khai - Tiêu chuẩn tương thích tối thiểu cho các bộ phận của Hạ tầng khóa công khai PKI;
12. GB/T 17902.2-2005: Công nghệ thông tin – Kỹ thuật an toàn – Chữ ký số với các phụ lục – Phần 2: Cơ chế dựa trên định danh.
13. GB/T 17902.3-2005: Công nghệ thông tin – Kỹ thuật an toàn – Chữ ký số với các phụ lục – Phần 2: Cơ chế dựa trên chứng nhận.
14. GP/T 15843.5-2005: Công nghệ thông tin – Kỹ thuật an toàn – Xác thực đối tượng – Phần 5: Cơ chế sử dụng kỹ thuật Zero Knowledge.
15. GB/T 16264.8-2005: Công nghệ thông tin – Liên kết các hệ thống mở - Thư mục: Mô hình chứng thực thuộc tính và khóa công khai.
16. GB/Z 19717-2005: Trao đổi tin nhắn bảo mật dựa trên phần mở rộn thư điện tử trên Internet đa mục đích.
17. GB/T 20008-2005: Kỹ thuật an toàn thông tin – Tiêu chuẩn xác định an toàn các hệ điều hành.
18. GB/T 20010-2005: Kỹ thuật an toàn thông tin – Tiêu chuẩn xác định an toàn hệ thống quản trị cơ sở dữ liệu.
19. GB/T 20010-2005: Kỹ thuật an toàn thông tin – Tiêu chuẩn xác định các tường lửa lọc gói.
20. GB/T 20011-2005: Kỹ thuật an toàn thông tin – Tiêu chuẩn xác định an toàn các bộ định tuyến.
21. GB/T 19715.1-2005: Công nghệ thông tin – Hướng dẫn quản lý an toàn công nghệ thông tin – Phần 1: Khái niệm và các mô hình về an toàn thông tin.
22. GB/T 19715.2-2005: Công nghệ thông tin- Hướng dẫn quản lý an toàn thông tin – Phần 2: Quản lý và lập kế hoạch về an toàn thông tin.
23. GB/T 20269-2006: Công nghệ an toàn thông tin – Yêu cầu quản lý an toàn hệ thống thông tin.
Chứng nhận sản phẩm an toàn thông tin ở Trung Quốc
CC-IS là các yêu cầu chứng nhận cần tuân thủ bắt buộc đối với các sản phẩm an toàn thông tin cho thị trường mua sắm cho cơ quan chính phủ của Trung Quốc. Các sản phẩm an toàn thông tin không thuộc lĩnh vực mua sắm cho cơ quan chính phủ thì áp dụng tự nguyện. Cơ quan chỉ định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực hiện chứng nhận CC-IS bao gồm 08 mục sản phẩm và được mở rộng thành 13 loại sản phẩm cụ thể.
- Trong 13 loại sản phẩm nói trên, 06 sản phẩm phải có chứng nhận mật mã – chứng nhận đo/kiểm/giải mã, được thực hiện bởi Văn phòng cơ quan quản lý mật mã thương mại quốc gia (OSCCA).
- Các sản phẩm đủ điều kiện lưu thông và sử dụng tại Trung Quốc phải đáp ứng yêu cầu phù hợp với các tiêu chuẩn và các quy định thực thi của Trung Quốc. Các tiêu chuẩn định nghĩa các yêu cầu kỹ thuật cho các sản phẩm thông tin và các tiêu chuẩn quốc gia được ban hành bởi Cơ quan tiêu chuẩn hóa Trung Quốc (SAC).
- Thủ tục chứng nhận sự phù hợp tiêu chuẩn CC-IS bao gồm 6 bước: Nộp hồ sơ; Đo/kiểm/ phân loại được thực hiện bởi phòng thí nghiệm chỉ định; Kiểm tra nơi sản xuất, đánh giá; Dán tem hợp chuẩn, tiếp tục kiểm tra việc sản xuất sản phẩm.
- Trung Quốc ban hành danh mục các tổ chức được chỉ định thực hiện chứng nhận sản phẩm an toàn thông tin.
4. Tiêu chuẩn của Mỹ
Tiêu chuẩn về Phân loại bảo đảm an toàn thông tin và hệ thống thông tin Liên bang do Viện Tiêu chuẩn và công nghệ quốc gia (the National Institute of Standards and Technology - NIST) ban hành tháng 02/2004. Bộ tiêu chuẩn này được ban hành và thực thi trên cơ sở Điều khoản 5131 của Bộ Luật cải cách quản lý công nghệ thông tin năm 1996 (Public Law 104-106) và Bộ luật Quản lý an toàn thông tin Liên bang năm 2002 (Public Law 107-347).
Nhiệm vụ của NIST liên quan đến công tác tiêu chuẩn như sau:
- Xây dựng các tiêu chuẩn được áp dụng bởi chính quyền liên bang về phân loại hệ thống thông tin và thông tin được thu thập hoặc duy trì bởi cơ quan thuộc chính quyền liên bang hoặc cơ quan thay mặt chính quyền liên bang, dựa trên mục tiêu cung cấp các mức độ an toàn thông tin với các mức nguy cơ tấn công.
- Nhiệm vụ trên được FIPS 199 quy định về phát triển các tiêu chuẩn để phân loại thông tin và hệ thống thông tin. Tiêu chuẩn phân loại an toàn thông tin và hệ thống thông tin cung cấp mô hình và kiến thức chung để diễn đạt về an toàn áp dụng cho chính quyền liên bang nhằm tăng cường: (i) Quản lý và dự đoán hiệu quả các chương trình an toàn thông tin bao gồm điều phối các hoạt động đẩy mạnh về an toàn thông tin thông qua cộng đồng dân cư, cơ quan an ninh quốc gia, ứng cứu khẩn cấp, cơ quan an ninh địa phương và cơ quan thực thi Luật; (ii) Thường xuyên báo cáo cho Cơ quan quản lý và ngân sách (OMB) và Quốc hội về hiệu quả và sự đầy đủ của các chính sách, thủ tục và thực thi về an toàn thông tin.
- Phân loại an toàn áp dụng cho thông tin và hệ thống thông tin. Phân loại an toàn áp dụng cho hệ thống thông tin dựa vào khả năng tác động vào hệ thống tổ chức cần xác định các sự kiện xuất hiện gây nguy hại cho thông tin và hệ thống thông tin của tổ chức trong việc thực hiện nhiệm vụ được phân công, bảo vệ tài sản, thực hiện trách nhiệm pháp lý, duy trì chức năng hoạt động thường ngày và bảo vệ thành viên của tổ chức. Phân loại an toàn được thực hiện cùng với thông tin về các nguy cơ và các lỗ hổng trong việc đánh giá các nguy cơ cho một tổ chức.