Quá trình hình thành các Tiêu chuẩn An Toàn Thông Tin

0
SHARES
128
VIEWS

Trên thế giới hiện nay đặc biệt là các quốc gia phát triển có hình thành một loạt các hệ thống tiêu chuẩn An toàn thông tin khá đầy đủ và hiệu quả. Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.

Việc doanh nghiệp tuân thủ các tiêu chuẩn về an toàn thông tin chính là một trong những yếu tố đảm bảo cho sự hoạt động ổn định và đáng tin cậy của hạ tầng kỹ thuật cùng sự an toàn hệ thống thông tin và dữ liệu của tổ chức cũng như cá nhân.

Tuân thủ tiêu chuẩn an toàn thông tin (ATTT) là yếu  tố quan trọng đảm bảo cho sự hoạt động ổn định và tin cậy của hạ tầng kỹ thuật, sự an toàn của hệ thống thông tin và dữ liệu của tổ chức, cá nhân. Đối với các nhà thiết kế và sản xuất, các bộ tiêu chuẩn được coi như một công cụ đắc lực giúp tổ chức đó cung cấp cho thị trường những sản phẩm chất lượng cao và phù hợp với các đối tượng sử dụng.

Theo tìm hiểu thì hệ thống Tiêu chuẩn hóa trong ATTT được khởi xướng tại Mỹ vào đầu những thập niên 70 của thế kỷ trước. Vào thời điểm đó hệ thống mạng máy tính của Mỹ được đánh giá là hiện đại nhất thế giới. Lúc này đã xuất hiện các vấn đề về an toàn, an ninh. Tiêu chuẩn ATTT đầu tiên được thừa nhận ở phạm vi quốc tế và có ảnh hưởng đặc biệt đối với quá trình xây dựng nhiều tiêu chuẩn sau này là “Các tiêu chí đánh giá các hệ thống máy tính tin cậy” (Trusted Computer System Evaluation Criteria – TCSEC), được Bộ Quốc phòng (Mỹ) xây dựng và công bố năm 1983.

Hệ thống tiêu chuẩn này có thể được sử dụng trong việc đánh giá cũng như phân loại và chọn lựa nhằm xử lý và phục hồi những thông tin mật của Bộ Quốc Phòng thời đó. Những khái niệm đầu tiên đã được đưa ra trong bộ tiêu chuẩn này.như: hệ thống an toàn và tin cậy, mức độ đảm bảo, cơ sở tính toán tin cậy, trọng tâm và phạm vi an toàn, chính sách an toàn thông tin, quản lý truy cập….

Cuộc cách mạng tin học, đã phát triển hết sức nhanh chóng kéo theo nhiều tiêu chuẩn ATTT cũng phải ra đời theo. Từ Sau TCSEC, nhiều tiêu chuẩn ATTT, dựa trên nền tảng của tiêu chuẩn này ra đời.

Trong hai thập kỷ 80 và 90 của thế kỷ trước, một số lượng lớn tiêu chuẩn trong lĩnh vực ATTT đã được xây dựng và công bố. Những tiêu chuẩn này được sàng lọc trong thực tiễn, nhiều tiêu chuẩn trong số đó được áp dụng hiệu quả và được nhiều quốc gia, tổ chức chấp nhận, khuyến cáo thành tiêu chuẩn chính thức. Đến nay, hầu hết các khía cạnh của lĩnh vực ATTT đã được tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại như sau:

–  Các tiêu chuẩn đánh giá: là các tiêu chuẩn dùng để đánh giá, phân loại các hệ thống thông tin và các phương tiện bảo vệ thông tin.

– Các tiêu chuẩn đặc tả: là các tiêu chuẩn mang đặc tính kỹ thuật, chúng xác lập các phương diện khác nhau trong việc thực thi và sử dụng các phương tiện bảo vệ thông tin.

–  Các tiêu chuẩn về quản lý: Các tiêu chuẩn này xác định yêu cầu đối với công tác tổ chức và quản lý ATTT, quản lý rủi ro và hướng dẫn về ATTT.

Các tiêu chuẩn quản lý an toàn thông tin

Một trong những tiêu chuẩn về quản lý an toàn thông tin ra đời sớm nhất (1986) là Thư viện hạ tầng Công nghệ thông tin (Information Technologies Infrastructure Library – ITIL) do Trung tâm máy tính và Viễn thông của chính phủ Anh xây dựng. Sự ra đời của tiêu chuẩn này có động lực từ những ý kiến phê phán cho rằng chất lượng các dịch vụ công nghệ thông tin khi đó chưa đáp ứng yêu cầu. Trong công bố lần đầu vào năm 1986, ITIL bao gồm một số tài liệu, mỗi cuốn đề cập đến một loại dịch vụ công nghệ thông tin. Đến nay ITIL đã có thêm 3 phiên bản (v.2 năm 2000, v.3 năm 2007 và v.4 năm 2011). Mỗi phiên bản mới đều được bổ sung và hoàn thiện nhằm mở rộng thêm phạm vi và tăng cường khả năng đáp ứng yêu cầu người dùng.

Nhìn chung, ITIL bị cho là không áp dụng được với các đối tượng “phi kinh doanh” và có nhiều hạn chế trong việc đáp ứng khách hàng. Do đó, năm 1995, Viện Tiêu chuẩn Anh  đã triển khai xây dựng và công bố tiêu chuẩn BS 15000. Tuy nhiên, BS 15000 là tiêu chuẩn không chỉ dành riêng cho lĩnh vực an toàn. Mặt khác, nội dung an toàn thuộc ITIL không đủ đáp  ứng các yêu  cầu của người dùng, nên theo đơn đặt hàng của chính phủ Anh, năm 1995, Viện Tiêu chuẩn Anh (BSI) cho công bố tiêu chuẩn BS 7799: Các quy tắc thực hành quản lý an toàn thông tin (Code  of practice for information security management), ngày nay được ký hiệu là BS 7799- 1. Đây thực sự  là tài liệu hướng dẫn thực hành quản lý ATTT, nó mô tả 10 lĩnh vực với 127 cơ chế kiểm soát hệ thống ATTT. Phần 2 của tiêu chuẩn là BS7799- 2: Các hệ thống quản lý ATTT- Hướng dẫn sử dụng. (Information security management systems –Specification with guidance for use) được công bố năm 1998, phần này xác định mô hình tổng quát xây dựng hệ thống quản lý ATTT (ISMS) và các yêu cầu bắt buộc mà ISMS phải thỏa mãn. Với sự ra đời của BS 7799- 2, lĩnh vực chứng nhận sự phù hợp và cùng với nó, hệ thống cấp chứng nhận bắt đầu phát triển mạnh. Năm 2006, phần 3 của BS 7799 là BS7799- 3 được công bố dành cho lĩnh vực quản lý rủi ro ATTT.

BS 7799 có thể coi là “khởi nguồn” của các tiêu chuẩn quản lý ATTT. Trong tiêu chuẩn này, lần đầu tiên đề cập đến các khái niệm như: chính sách an toàn, các nguyên tắc chung tổ chức bảo vệ thông tin, phân loại và quản lý tài nguyên an toàn nhân sự, an toàn vật lý, các nguyên lý quản trị hệ thống và mạng, quản lý truy cập…. Năm 1999, Ủy ban kỹ thuật của ISO xem xét hai phần  đầu của BS 7799 và một năm sau đó BS7799- 1 được ISO ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799: 2000. Năm 2005, BS 7799 – 2 và BS 7799 – 3 được ban hành thành các tiêu chuẩn quốc tế ISO/IEC 27001 và ISO/IEC 27005.

Từ năm 1998 đến năm 2004, tổ chức ISO đã công bố thêm bộ tiêu chuẩn ISO/IEC 1335 – X bao gồm bốn tiêu chuẩn ISO/IEC 1335 – 1:1998, ISO/IEC 1335- 3, ISO/IEC 1335-4:2000, ISO/IEC 1335 – 5. Trong đó ISO/IEC1335 – 1 đưa ra các quan điểm, mô hình quản lý ATTT và công nghệ truyền thông, ISO/IEC 1335 – 4 dành cho lĩnh vực quản lý an toàn mạng.

Tương tự như các bộ tiêu chuẩn quản lý trong các lĩnh vực khác (như ISO/IEC 900X trong lĩnh vực quản lý chất lượng, ISO/IEC 2000X trong lĩnh vực quản lý dịch vụ công nghệ thông tin), bắt đầu từ năm 2005, tổ chức ISO và IEC đã tiến hành triển khai kế hoạch xây dựng bộ tiêu chuẩn  ISO/IEC 2700X trong lĩnh vực quản lý ATTT và khởi đầu bởi 2700 – 1 và ISO/IEC 13335 – X. Cho đến nay, ISO/IEC 2700X đã có hơn 30 tiêu chuẩn và một số đang trong quá trình dự thảo. Các tiêu chuẩn này bao quát hầu hết các vấn đề của lĩnh vực ATTT như: khái quát (các quan điểm, khái niệm và mô hình), các yêu cầu (đối với hệ thống ISMS, đối với các cơ quan kiểm toán, cấp chứng nhận), các phương pháp đảm bảo an toàn, các phương pháp đo lường, các quy tắc  thực hành quản lý, hướng dẫn áp dụng ISMS, quản lý an toàn trong các lĩnh vực tài chính (ISO 27015), giáo dục, sức khỏe (ISO/IEC 27099), an toàn mạng (ISO/IEC 27033 gồm 8 tiêu chuẩn từ ISO 270033 – 1 đến ISO/IEC 27033 – 8) và nhiều vấn đề khác.

Các tiêu chuẩn quốc tế ISO/IEC hiện được ứng dụng rộng rãi nhất là các tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002. Theo thống kê, hai tiêu chuẩn này cùng với BS7799 và các tiêu chuẩn ITIL, PCIDSS, COBIT tạo thành những tiêu chuẩn khá phổ biến (163 nước áp dụng ISO/IEC 27001 và 27002; 110 nước áp dụng BS7799, 115 nước áp dụng PCIDSS; 50 nước áp dụng ITIL và 160 nước áp dụng COBIT).

Một số tiêu chuẩn An toàn thông tin tiêu biểu

ISO 27001:2013 (Information Security Managament System): Hệ thống quản lý an toàn thông tin. Có nguồn gốc dựa trên BS 7799 – 2. Bộ tiêu chuẩn này xác định các yêu cầu đặt ra đối với việc xây dựng, thực thi, vận hành, giám sát, bảo trì hệ thống quản lý ATTT (ISMS) và được thiết kế nhằm đảm bảo lựa chọn các phương pháp quản lý ATTT thích hợp để bảo vệ tài sản thông tin của tổ chức. Hiện nay đây là bộ tiêu chuẩn được áp dụng rộng rãi nhất trên thế giới.

ISO 27002:2005 (Code of Practice for Information Security Management): Quy tắc Thực hành Quản lý An toàn Thông tin. Bộ tiêu chuẩn này nằm trong nhóm ISO 27000 và được thay thế cho ISO/IEC 17799 và được xây dựng dựa trên BS 7799-1. Tiêu chuẩn này là tài liệu hướng dẫn và khuyến cáo  cho 10 lĩnh vực an toàn: chính sách an toàn, tổ chức an toàn, quản lý tài sản, an toàn nguồn nhân lực, an toàn vật lý và môi trường, quản lý truyền thông và vận hành, quản lý truy cập, tiếp nhận, phát triển và bảo trì hệ thống thông tin, quản lý sự cố ATTT, quản lý liên tục và tuân thủ.

PCIDSS (The Payment Card Industry Data Security Standard): do Hội đồng tiêu chuẩn an toàn công nghiệp thẻ thanh toán (được thành lập bởi các công ty thẻ tín dụng chủ chốt như American Express, Discover Financial Services, JCB và Visa International) công bố PCIDSS được xây dựng nhằm tăng cường an toàn dữ liệu thẻ thanh toán, là tập hợp gồm 12 yêu cầu chủ yếu về đảm bảo an toàn dữ liệu của những người nắm thẻ thanh toán được truyền, lưu trữ và xử lý trong hạ tầng thông tin. Những yêu cầu này được tổ chức thành 6 khu vực: xây dựng và duy trì tính an toàn của mạng (2 yêu cầu), bảo vệ dữ liệu người giữ thẻ (2 yêu cầu),

COBIT (The Control Objectives for Information and related Technology): Các mục tiêu kiểm soát đối với thông tin và công nghệ liên quan. Bộ tiêu chuẩn này được Hiệp hội nghề nghiệp quốc tế (ISACA) xây dựng, là một bộ tài liệu gồm nhiều tiêu chuẩn và các hướng dẫn trong lĩnh vực quản lý CNTT, kiểm toán và ATTT của doanh nghiệp.

COBIT được xây dựng với mục tiêu gắn kết  các yêu cầu quản lý, các vấn đề kỹ thuật, các rủi ro kinh doanh và các vấn đề an toàn, do đó tạo điều kiện tạo sự thống nhất trong nhận thức giữa lãnh đạo doanh nghiệp với bộ phận CNTT, bộ phận vận hành hạ tầng CNTT.

Bạn muốn chuyên gia tư vấn nhanh

Bạn đang tìm hiểu về các giải pháp cải tiến và muốn chuyên gia tư vấn trực tiếp tức thì ? Đừng ngại ngần kết nối với chúng tôi để được hỗ trợ giải pháp nhanh chóng

    BÀI VIẾT LIÊN QUAN

    Bài viết liên quan

    Trả lời

    Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *





    error: Content is protected !!