Quá trình hình thành các tiêu chuẩn an toàn thông tin
Tuân thủ tiêu chuẩn an toàn thông tin (ATTT) là yếu tố quan trọng đảm bảo cho sự hoạt động ổn định và tin cậy của hạ tầng kỹ thuật, sự an toàn của hệ thống thông tin và dữ liệu của tổ chức, cá nhân. Đối với các nhà thiết kế và sản xuất, tiêu chuẩn sẽ hỗ trợ để họ có thể cung cấp cho thị trường những sản phẩm chất lượng cao và phù hợp với các đối tượng sử dụng.
Tiêu chuẩn hóa trong ATTT với tư cách là một lĩnh vực, được khởi đầu ở Mỹ vào cuối những năm 70 của thế kỷ trước, khi mạng máy tính ở Bộ Quốc phòng (Mỹ) xuất hiện những vấn đề đầu tiên về an toàn, an ninh. Tiêu chuẩn ATTT đầu tiên được thừa nhận ở phạm vi quốc tế và có ảnh hưởng đặc biệt đối với quá trình xây dựng nhiều tiêu chuẩn sau này là “Các tiêu chí đánh giá các hệ thống máy tính tin cậy” (Trusted Computer System Evaluation Criteria - TCSEC), được Bộ Quốc phòng (Mỹ) xây dựng và công bố năm 1983. Tiêu chuẩn này được sử dụng trong đánh giá, phân loại và lựa chọn để xử lý, lưu trữ và phục hồi thông tin nhạy cảm và thông tin mật trong Bộ Quốc phòng (Mỹ). Trong tiêu chuẩn này, lần đầu tiên hàng loạt các khái niệm và nội dung cơ bản về ATTT được đề cập, như: hệ thống an toàn và tin cậy, mức độ đảm bảo, cơ sở tính toán tin cậy, trọng tâm và phạm vi an toàn, chính sách an toàn thông tin, quản lý truy cập....
Sau TCSEC, nhiều tiêu chuẩn ATTT, dựa trên nền tảng của tiêu chuẩn này ra đời. Lĩnh vực tiêu chuẩn hóa về ATTT, do đòi hỏi cấp bách của cuộc cách mạng tin học, đã phát triển hết sức nhanh chóng. Nó đã góp phần thúc đẩy phát triển nhiều lĩnh vực khoa học và công nghệ, kéo theo sự vào cuộc của các cơ quan chính phủ, nhất là tại các nước phương Tây và các tổ chức tiêu chuẩn hóa trên thế giới. Kết quả của hoạt động khẩn trương đó là trong hai thập kỷ 80 và 90 của thế kỷ trước, một số lượng lớn tiêu chuẩn trong lĩnh vực ATTT đã được xây dựng và công bố. Những tiêu chuẩn này được sàng lọc trong thực tiễn, nhiều tiêu chuẩn trong số đó được áp dụng hiệu quả và được nhiều quốc gia, tổ chức chấp nhận, khuyến cáo thành tiêu chuẩn chính thức. Đến nay, hầu hết các khía cạnh của lĩnh vực ATTT đã được tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại như sau:
- Các tiêu chuẩn đánh giá: là các tiêu chuẩn dùng để đánh giá, phân loại các hệ thống thông tin và các phương tiện bảo vệ thông tin.
- Các tiêu chuẩn đặc tả: là các tiêu chuẩn mang đặc tính kỹ thuật, chúng xác lập các phương diện khác nhau trong việc thực thi và sử dụng các phương tiện bảo vệ thông tin.
- Các tiêu chuẩn về quản lý: Các tiêu chuẩn này xác định yêu cầu đối với công tác tổ chức và quản lý ATTT, quản lý rủi ro và hướng dẫn về ATTT.
Công nghệ thông tin được phát triển và ứng dụng trước hết ở các quốc gia công nghiệp tiên tiến như Mỹ, Canada, Nhật Bản và các nước phương Tây. Do đó, vai trò quyết định trong quá trình hình thành hệ thống tiêu chuẩn ATTT thuộc về các tổ chức tiêu chuẩn hóa tại các quốc gia này, nổi bật là NIST, ANSI (Mỹ), BSI (Anh). Ở đây có vai trò đặc biệt của tổ chức tiêu chuẩn hóa quốc tế ISO, một tổ chức liên kết các nước thành viên và hoạt động với mục tiêu “quốc tế hóa” các tiêu chuẩn trên phạm vi toàn cầu. Ngoài các cơ quan chính phủ và các tổ chức tiêu chuẩn hóa uy tín nêu trên, một số tổ chức khác như Cộng đồng Internet (Internet Community)... đã có đóng góp không nhỏ vào sự hình thành hệ thống tiêu chuẩn về ATTT, đặc biệt là trong việc xây dựng các tiêu chuẩn kỹ thuật.
Hệ thống tiêu chuẩn về ATTT hiện tại trên thế giới bao gồm Tiêu chuẩn quốc tế (do các tổ chức quốc tế ISO và IEC tổ chức xây dựng và công bố), các Tiêu chuẩn quốc gia (do Chính phủ các nước công bố) và các Tiêu chuẩn của các tổ chức chuyên ngành (tương ứng ở nước ta gọi là tiêu chuẩn cơ sở). Tại các quốc gia phụ thuộc vào công nghệ của phương Tây, tiêu chuẩn quốc gia và tiêu chuẩn chuyên ngành phần lớn được xây dựng theo hướng sao chép toàn bộ hoặc căn bản dựa trên tiêu chuẩn ở các nước phát triển, như là tiêu chuẩn của NIST, ANSI, BS và đặc biệt của ISO. Các nước thuộc hệ thống Xã hội chủ nghĩa trước đây thường sử dụng hệ thống tiêu chuẩn riêng chủ yếu dựa trên hệ thống tiêu chuẩn của Liên Xô. Song những năm gần đây, trong xu thế toàn cầu hóa, các nước này đang từng bước hòa nhập vào hệ thống tiêu chuẩn quốc tế.
Dưới đây sẽ giới thiệu đến hệ thống tiêu chuẩn trong lĩnh vực ATTT trên thế giới nhưng do số lượng tiêu chuẩn là rất lớn, nên sẽ chỉ phân tích những nét khái quát và tập trung vào các tiêu chuẩn được sử dụng rộng rãi nhất.
Các tiêu chuẩn quản lý an toàn thông tin
Một trong những tiêu chuẩn về quản lý an toàn thông tin ra đời sớm nhất (1986) là Thư viện hạ tầng Công nghệ thông tin (Information Technologies Infrastructure Library - ITIL) do Trung tâm máy tính và Viễn thông của chính phủ Anh xây dựng. Sự ra đời của tiêu chuẩn này có động lực từ những ý kiến phê phán cho rằng chất lượng các dịch vụ công nghệ thông tin khi đó chưa đáp ứng yêu cầu. Trong công bố lần đầu vào năm 1986, ITIL bao gồm một số tài liệu, mỗi cuốn đề cập đến một loại dịch vụ công nghệ thông tin. Đến nay ITIL đã có thêm 3 phiên bản (v.2 năm 2000, v.3 năm 2007 và v.4 năm 2011). Mỗi phiên bản mới đều được bổ sung và hoàn thiện nhằm mở rộng thêm phạm vi và tăng cường khả năng đáp ứng yêu cầu người dùng.
Nhìn chung, ITIL bị cho là không áp dụng được với các đối tượng “phi kinh doanh” và có nhiều hạn chế trong việc đáp ứng khách hàng. Do đó, năm 1995, Viện Tiêu chuẩn Anh đã triển khai xây dựng và công bố tiêu chuẩn BS 15000. Tuy nhiên, BS 15000 là tiêu chuẩn không chỉ dành riêng cho lĩnh vực an toàn. Mặt khác, nội dung an toàn thuộc ITIL không đủ đáp ứng các yêu cầu của người dùng, nên theo đơn đặt hàng của chính phủ Anh, năm 1995, Viện Tiêu chuẩn Anh (BSI) cho công bố tiêu chuẩn BS 7799: Các quy tắc thực hành quản lý an toàn thông tin (Code of practice for information security management), ngày nay được ký hiệu là BS 7799- 1. Đây thực sự là tài liệu hướng dẫn thực hành quản lý ATTT, nó mô tả 10 lĩnh vực với 127 cơ chế kiểm soát hệ thống ATTT. Phần 2 của tiêu chuẩn là BS7799- 2: Các hệ thống quản lý ATTT- Hướng dẫn sử dụng. (Information security management systems –Specification with guidance for use) được công bố năm 1998, phần này xác định mô hình tổng quát xây dựng hệ thống quản lý ATTT (ISMS) và các yêu cầu bắt buộc mà ISMS phải thỏa mãn. Với sự ra đời của BS 7799- 2, lĩnh vực chứng nhận sự phù hợp và cùng với nó, hệ thống cấp chứng nhận bắt đầu phát triển mạnh. Năm 2006, phần 3 của BS 7799 là BS7799- 3 được công bố dành cho lĩnh vực quản lý rủi ro ATTT.
BS 7799 có thể coi là “khởi nguồn” của các tiêu chuẩn quản lý ATTT. Trong tiêu chuẩn này, lần đầu tiên đề cập đến các khái niệm như: chính sách an toàn, các nguyên tắc chung tổ chức bảo vệ thông tin, phân loại và quản lý tài nguyên an toàn nhân sự, an toàn vật lý, các nguyên lý quản trị hệ thống và mạng, quản lý truy cập.... Năm 1999, Ủy ban kỹ thuật của ISO xem xét hai phần đầu của BS 7799 và một năm sau đó BS7799- 1 được ISO ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799: 2000. Năm 2005, BS 7799 - 2 và BS 7799 - 3 được ban hành thành các tiêu chuẩn quốc tế ISO/IEC 27001 và ISO/IEC 27005.
Từ năm 1998 đến năm 2004, tổ chức ISO đã công bố thêm bộ tiêu chuẩn ISO/IEC 1335 - X bao gồm bốn tiêu chuẩn ISO/IEC 1335 - 1:1998, ISO/IEC 1335- 3, ISO/IEC 1335-4:2000, ISO/IEC 1335 - 5. Trong đó ISO/IEC1335 - 1 đưa ra các quan điểm, mô hình quản lý ATTT và công nghệ truyền thông, ISO/IEC 1335 - 4 dành cho lĩnh vực quản lý an toàn mạng.
Tương tự như các bộ tiêu chuẩn quản lý trong các lĩnh vực khác (như ISO/IEC 900X trong lĩnh vực quản lý chất lượng, ISO/IEC 2000X trong lĩnh vực quản lý dịch vụ công nghệ thông tin), bắt đầu từ năm 2005, tổ chức ISO và IEC đã tiến hành triển khai kế hoạch xây dựng bộ tiêu chuẩn ISO/IEC 2700X trong lĩnh vực quản lý ATTT và khởi đầu bởi 2700 - 1 và ISO/IEC 13335 - X. Cho đến nay, ISO/IEC 2700X đã có hơn 30 tiêu chuẩn và một số đang trong quá trình dự thảo. Các tiêu chuẩn này bao quát hầu hết các vấn đề của lĩnh vực ATTT như: khái quát (các quan điểm, khái niệm và mô hình), các yêu cầu (đối với hệ thống ISMS, đối với các cơ quan kiểm toán, cấp chứng nhận), các phương pháp đảm bảo an toàn, các phương pháp đo lường, các quy tắc thực hành quản lý, hướng dẫn áp dụng ISMS, quản lý an toàn trong các lĩnh vực tài chính (ISO 27015), giáo dục, sức khỏe (ISO/IEC 27099), an toàn mạng (ISO/IEC 27033 gồm 8 tiêu chuẩn từ ISO 270033 - 1 đến ISO/IEC 27033 - 8) và nhiều vấn đề khác.
Các tiêu chuẩn quốc tế ISO/IEC hiện được ứng dụng rộng rãi nhất là các tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002. Theo thống kê, hai tiêu chuẩn này cùng với BS7799 và các tiêu chuẩn ITIL, PCIDSS, COBIT tạo thành những tiêu chuẩn khá phổ biến (163 nước áp dụng ISO/IEC 27001 và 27002; 110 nước áp dụng BS7799, 115 nước áp dụng PCIDSS; 50 nước áp dụng ITIL và 160 nước áp dụng COBIT).
Mỗi tiêu chuẩn về quản lý ATTT được sử dụng phổ biến nhất hiện nay có vai trò, vị trí và trọng tâm riêng. Nếu các tiêu chuẩn ISO/IEC 27001, ISO/IEC 27002 và BS 7799 đặt trọng tâm vào hệ thống quản lý ATTT (ISMS - Information security magagement system), thì PCIDSS lại chú trọng vào giao dịch thương mại và thẻ thanh toán; ITIL và COBIT dành cho các vấn đề ATTT liên quan đến quản lý dự án và quản trị CNTT. Tuy vậy, người ta đã so sánh BS 7799, ISO 27001, PCIDSS, ITIL và COBIT theo 12 nội dung quản lý chủ chốt, thường được gọi là 12EC (12 essetial control), gồm chính sách an toàn, quản lý truyền thông và vận hành, quản lý truy cập, tổ chức ATTT, tiếp nhận hệ thống thông tin, quản lý tài sản, quản lý sự cố an toàn, quản lý kinh doanh liên tục, an toàn nguồn nhân lực, an toàn vật lý và môi trường). Theo tính khả dụng trên phạm vi toàn cầu, tính linh hoạt và dễ sử dụng với người dùng thì ISO/IEC 27001 chiếm vị trí quán quân. Điều này cũng dễ hiểu, bởi các tiêu chuẩn ISO là kết quả chọn lọc từ các tiêu chuẩn quốc gia và chuyên ngành, được hoàn thiện qua đội ngũ chuyên gia nhiều nước làm việc trong các ban kỹ thuật của tổ chức này.
(còn tiếp)
Một số tiêu chuẩn An toàn thông tin tiêu biểu
ISO 27001: 2005 (Information Security Managament System): Được xây dựng dựa trên BS 7799 - 2. Tiêu chuẩn này xác định các yêu cầu đặt ra đối với việc xây dựng, thực thi, vận hành, giám sát, bảo trì hệ thống quản lý ATTT (ISMS) và được thiết kế nhằm đảm bảo lựa chọn các phương pháp quản lý ATTT thích hợp để bảo vệ tài sản thông tin của tổ chức. ISO/IEC 27001 có thể áp dụng cho mọi loại hình tổ chức từ doanh nghiệp đến các cơ quan nhà nước.
ISO 27002:2005 (Code of Practice for Information Security Management): Thay thế cho ISO/IEC 17799 và được xây dựng dựa trên BS 7799-1. Tiêu chuẩn này là tài liệu hướng dẫn và khuyến cáo cho 10 lĩnh vực an toàn: chính sách an toàn, tổ chức an toàn, quản lý tài sản, an toàn nguồn nhân lực, an toàn vật lý và môi trường, quản lý truyền thông và vận hành, quản lý truy cập, tiếp nhận, phát triển và bảo trì hệ thống thông tin, quản lý sự cố ATTT, quản lý liên tục và tuân thủ. ISO/IEC 29002 còn chỉ ra 39 bài toán quản lý và khuyến cáo nhiều biện pháp thực hành quản lý an toàn.
PCIDSS (The Payment Card Industry Data Security Standard): do Hội đồng tiêu chuẩn an toàn công nghiệp thẻ thanh toán (được thành lập bởi các công ty thẻ tín dụng chủ chốt như American Express, Discover Financial Services, JCB và Visa International) công bố PCIDSS được xây dựng nhằm tăng cường an toàn dữ liệu thẻ thanh toán, là tập hợp gồm 12 yêu cầu chủ yếu về đảm bảo an toàn dữ liệu của những người nắm thẻ thanh toán được truyền, lưu trữ và xử lý trong hạ tầng thông tin. Những yêu cầu này được tổ chức thành 6 khu vực: xây dựng và duy trì tính an toàn của mạng (2 yêu cầu), bảo vệ dữ liệu người giữ thẻ (2 yêu cầu), Hỗ trợ chương trình quản lý tính dễ bị tổn thương (2 yêu cầu), thực thi các biện pháp quản lý truy cập chặt (3 yêu cầu), giám sát thường xuyên và kiểm tra mạng (2 yêu cầu) và duy trì chính sách ATTT (1 yêu cầu). Ví dụ, đối với khu vực thứ hai là bảo vệ dữ liệu người giữ thẻ có hai yêu cầu là: bảo vệ an toàn dữ liệu trong lưu trữ và đảm bảo mã hóa dữ liệu trên đường truyền.
COBIT (The Control Objectives for Information and related Technology): được Hiệp hội nghề nghiệp quốc tế (ISACA) xây dựng, là một bộ tài liệu gồm nhiều tiêu chuẩn và các hướng dẫn trong lĩnh vực quản lý CNTT, kiểm toán và ATTT của doanh nghiệp. Mục tiêu của COBIT là gắn kết các yêu cầu quản lý, các vấn đề kỹ thuật, các rủi ro kinh doanh và các vấn đề an toàn, do đó tạo điều kiện tạo sự thống nhất trong nhận thức giữa lãnh đạo doanh nghiệp với bộ phận CNTT, bộ phận vận hành hạ tầng CNTT.
COBIT công bố lần đầu vào năm 1996. Phiên bản mới nhất (COBIT 5) được công bố vào năm 2012. Trong COBIT mô tả chi tiết các mục tiêu và nguyên tắc quản lý, các đối tượng quản lý, xác định rõ các quá trình ứng dụng CNTT trong doanh nghiệp, các yêu cầu đối với những quá trình đó và đưa ra các khuyến cáo về quản lý ATTT. Ngoài ra, COBIT còn đưa ra một loạt tiêu chí để đánh giá hiệu quả thực thi hệ thống quản lý ATTT, trong đó có các tiêu chí để đánh giá sự phù hợp của hệ thống máy tính với các tiêu chuẩn và các yêu cầu, với các tiêu chí về an toàn (tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin). COBIT đề xuất 5 giai đoạn quản lý công nghệ thông tin bao gồm cả nội dung quản lý ATTT như sau:
(a) Liên kết chiến lược (stragtic alignment) - đảm bảo sự liên kết giữa hoạt động kinh doanh và kế hoạch ứng dụng CNTT; xác định, duy trì và phê chuẩn các đề xuất ứng dụng công nghệ thông tin; liên kết công nghệ thông tin với hoạt động của doanh nghiệp;
(b) Phân phối giá trị (value delivery): thực thi đề xuất ứng dụng CNTT thông qua chu trình kín theo đó tối ưu hóa chi phí và giá trị thực sự của IT;
(c) Quản lý tài nguyên: đầu tư tối ưu và quản lý thích hợp các nguồn tài nguyên chủ yếu bao gồm các ứng dụng, thông tin, hạ tầng và con người;
(d) Quản lý rủi ro;
(e) Các biện pháp thực thi.