6.2.1.4. Tình hình triển khai ISMS ở Việt Nam
Việc triển khai các hệ thống bảo mật thông tin hiện nay đã và đang có nhiều thay đổi so với trước đây. Theo thống kê của VNISA thì các tổ chức, doanh nghiệp Việt Nam đang ngày càng chú trọng đến vấn đề an toàn và bảo mật thông tin cho các hệ thống thông tin của tổ chức, vì vậy, việc triển khai các hệ thống đảm bảo an toàn và bảo mật thông tin hiện nay đều được các tổ chức, doanh nghiệp chú trọng.
Tại mỗi tổ chức, doanh nghiệp, việc xây dựng, triển khai, áp dụng ISMS có những giải pháp khác nhau, phụ thuộc vào quy mô, đặc trưng của tổ chức cũng như yêu cầu của tổ chức đó. Tuy nhiên, khi triển khai Hệ thống quản lý an toàn thông tin theo ISO 27001, mỗi tổ chức cần phải thực hiện các bước cơ bản sau để đạt được chứng nhận:
Bước 1: Khảo sát hiện trạng của tổ chức nhằm nắm bắt được thực trạng quản lý ATTT tại tổ chức đó cũng như yêu cầu, mong muốn của Lãnh đạo cho việc quản lý ATTT.
Bước 2: Lập kế hoạch xây dựng ISMS, trên cơ sở kết quả khảo sát hiện trạng của tổ chức sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp với thực tế của tổ chức.
Bước 3: Xây dựng hệ thống tài liệu và triển khai áp dụng. Xây dựng các chính sách, quy định, quy trình về ATTT và ban hành các văn bản này, sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra trong văn bản ban hành.
Bước 4: Thực hiện đánh giá nội bộ trong tổ chức. Đánh giá nội bộ giúp phát hiện các điểm không phù hợp với yêu cầu của tiêu chuẩn, chính sách, quy định, từ đó, các tổ chức đưa ra kế hoạch khắc phục các điểm không phù hợp này, đồng thời, giai đoạn này cũng chuẩn bị cho việc đánh giá độc lập của một tổ chức đánh giá cấp chứng nhận chuyên nghiệp.
Bước 5: Đánh giá chứng nhận. Tổ chức đánh giá độc lập sẽ thực hiện đánh giá hệ thống ISO 27001 của đơn vị và kết luận đơn vị này có đáp ứng
đầy đủ các yêu cầu bắt buộc của tiêu chuẩn đưa ra hay không và sẽ tiến hành cấp Chứng nhận Hệ thống quản lý ATTT nếu đơn vị này đáp ứng đủ điều kiện.
Theo yêu cầu của các tổ chức công nhận quốc tế, các đơn vị đã đạt chứng nhận Hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế ISO27001:2005 cần chuyển đổi sang phiên bản tiêu chuẩn mới ISO 27001:2013 vì các chứng chỉ cũ hết hiệu lực từ ngày 01/10/2015. Nội dung thực hiện chuyển đổi bao gồm: Thứ nhất, điều chỉnh và cập nhật hệ thống ISMS tại tổ chức từ phiên bản ISO 27001:2005 sang ISO 27001:2013; Hoàn thành công việc đánh giá tái chứng nhận và chuyển đổi phiên bản ISO 27001:2013 năm đầu bởi tổ chức chứng nhận độc lập được công nhận; Cuối cùng thực hiện đánh giá duy trì hiệu lực chứng nhận định kỳ hàng năm (02 năm tiếp theo sau khi đạt được chứng nhận).
Sau khi thực hiện xong bước 5, tổ chức có thể mời các đơn vị độc lập để đánh giá và cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT đã xây dựng.
Nhận thức được tầm quan trọng trong việc áp dụng ISO 27001, đặc biệt là đối với các nước đang phát triển - nơi trình độ ứng dụng CNTT chưa cao, phải thường xuyên đối mặt với nhiều nguy cơ bị thất thoát thông tin, các doanh nghiệp Việt Nam cũng đã có những công ty tham gia thực hiện Hệ thống quản lý bảo mật thông tin ISO 27001.
Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) đã trở thành đơn vị đầu tiên có được chứng nhận ISO 27001. Đến tháng 7/2013 ở Việt Nam có 5 đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam...) đã đạt chứng nhận ISO 27001 và hơn 10 đơn vị (HPT Soft, VietUnion, Quantic...) đang trong quá trình triển khai ứng dụng tiêu chuẩn này. Đến hết năm 2012, Việt Nam đã có 249 chứng chỉ ISO 27001, cũng qua số liệu này, có thể thấy số đơn vị đạt chứng nhận ISO 27001 tại Việt Nam khá khiêm tốn so với Nhật Bản (53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaixia (759 chứng nhận). Một trong những nguyên nhân của tình trạng này là chi phí
để đạt chứng nhận ISO 27001 khá cao, bao gồm các chi phí về tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro. So sánh với các nước trong khu vực Đông Nam Á đã áp dụng tiêu chuẩn ISO 22000, tổng số chứng chỉ đã được cấp Việt Nam đứng thứ 5, sau Malaysia, Thái Lan, Philipin, Singapo. Như vậy, tại khu vực Đông Nam Á, Inđônêxia chính là quốc gia đi đầu trong việc áp dụng ISO 27001.
Các đơn vị đã được cấp chứng chỉ an toàn thông tin theo tiêu chuẩn ISO 27001:2013 tại Việt Nam cho tới thời điểm này:
Công ty Hệ thống Thông tin FPT (FPT IS) là một trong những đơn vị đầu tiên tại Việt Nam đạt chứng chỉ ISO 27001 và cũng là đơn vị tư vấn, triển khai Hệ thống ISMS cho nhiều doanh nghiệp, tổ chức. FPT IS đề xuất các tổ chức xây dựng ISMS theo các bước dưới đây để đáp ứng các yêu cầu của tiêu chuẩn ISO 27001: 2013.
Ngày 02/7/2015 - Trung tâm Internet Việt Nam (VNNIC) nhận Chứng nhận Hệ thống quản lý an toàn bảo mật thông tin theo tiêu chuẩn ISO/IEC 27001:2013 trong hoạt động quản lý vận hành trung tâm dữ liệu IDC và hệ thống DNS quốc gia “.vn” do Tổ chức D.A.S ban hành.
Ngày 7/7/2015, TPBank nhận Chứng nhận Hệ thống quản lý An toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013 từ TUVRheiland.
Ngày 20/11/2015, Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) nhận Chứng chỉ Hệ thống quản lý An toàn thông tin (ISMS) theo tiêu chuẩn ISO/IEC-27001:2013 từ đơn vị kiểm toán độc lập TÜV NORD.
Năm 2013, Tập đoàn Bảo Việt đạt được chứng nhận Hệ thống Quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2005. Năm 2015, tập đoàn Bảo Việt đã chuyển đổi thành công lên phiên bản Hệ thống Quản lý an toàn thông tin ISO/IEC 27001:2013.
Tháng 07/2015, công ty CP Tin học Lạc Việt được Tổ chức chứng nhận quốc tế TÜV Rheinland cấp chứng chỉ ISO/IEC 27001: 2013 về hệ
thống quản lý an toàn thông tin (ATTT) của công ty theo tiêu chuẩn quốc tế.
Vietcombank là ngân hàng đầu tiên của ngành đón nhận chứng chỉ ISO/IEC 27001:2013 do Tổ chức Chứng nhận TÜV Rheinland của CHLB Đức ban hành.
Tháng 01/2016, EVNICT được nhận Giấy chứng nhận Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013.
Tháng 07/2014, SeABank đạt tiêu chuẩn ISO/IEC 27001:2013 về Quản lý an toàn bảo mật thông tin do TÜV RHEINLAND Cộng hòa Liên bang Đức chứng nhận.
Ngày 19/11/2015, Gimasys nhận chứng chỉ an toàn bảo mật thông tin theo tiêu chuẩn ISO/IEC 27001:2013.
6.2.1.5. Tình hình áp dụng ISO-27001 trên thế giới
Báo cáo thống kê mới nhất do Tổ chức Tiêu chuẩn quốc tế - ISO (The ISO Survey of Certifications) công bố cho thấy số lượng tổ chức, doanh nghiệp áp dụng hệ thống quản lý: ISO 9001, ISO 14001, ISO/TS 16949, ISO 13485, ISO/IEC 27001 và ISO 22000 tăng thêm hàng năm trên toàn thế giới. Bảng 6.1 dưới đây đưa ra cái nhìn tổng quan nhất về tốc độ tăng trưởng việc áp dụng ISO/IEC 27001 trong các năm từ 2007 - 2015.
Qua bảng 6.1 có thể thấy rõ ràng rằng ISO/IEC 27001 là một trong các tiêu chuẩn có sự tăng trưởng áp dụng mạnh mẽ nhất trong các tiêu chuẩn hệ thống quản lý trên toàn thế giới. ISO/IEC 27001 là hệ thống quản lý an toàn thông tin, áp dụng với mọi tổ chức, doanh nghiệp có nhu cầu đảm bảo an toàn cho các tài sản thông tin để ngăn ngừa thiệt hạt khi tài sản về thông tin bị hư hại, mất mát hay bị xâm nhập trái phép.
Ba quốc gia có tổng số chứng chỉ ISO/IEC 27001 được cấp nhiều nhất là Nhật Bản, Ấn Độ và Vương quốc Anh.
Bảng 6.1. Ứng dụng ISO - 27001 trên thế giới
2007 | 2008 | 2009 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | |
Tổng cộng | 33% | 20% | 40% | 21% | 12% | 13% | 10% | 6% | 20% |
Châu Phi | 67% | 60% | 194% | -2% | - 13% | 60% | 55% | -20% | 63% |
Trung / Nam Mỹ | 111% | 89% | 39% | 17% | 28% | 35% | 34% | 0% | 27% |
Bắc Mỹ | 42% | 89% | 52% | 2% | 32% | 27% | 29% | 14% | 78% |
Châu Âu | 35% | 52% | 64% | 35% | 13% | 21% | 25% | 9% | 21% |
Đông Á và Thái Bình Dương | 32% | 5% | 27% | 19% | 10% | 8% | -3% | 3% | 15% |
Trung và Nam Á | 36% | 62% | 55% | 2% | 13% | 11% | 20% | 12% | 14% |
Trung Đông | 92% | 80% | 61% | 6% | 28% | 19% | 36% | 13% | 19% |
Có thể bạn quan tâm!
- Nền Tảng Của Công Nghệ Blockchain Và An Toàn Thông Tin
- Bảo Vệ Hệ Thống Thông Tin Theo Nhiều Mức
- Các Kiến Trúc An Toàn Cho Hệ Thống Thông Tin
- Các Bước Để Áp Dụng Khung An Ninh Mạng Của Nist Vào Thực Tế
- Bảo Mật Đối Với Các Cơ Chế Phân Quyền Người Dùng
- Giao Thức Wep (Wired Equivalent Privacy)
Xem toàn bộ 194 trang tài liệu này.
6.2.2. Khung bảo mật của NIST (NIST Security Framework)
6.2.2.1. Giới thiệu về NIST
Năm 1901, do một dự luật của Nghị sĩ James H. Southard (đại diện Bang Ohio) đề xuất, Cục Tiêu chuẩn Quốc gia (National Bureau of Standards) của Mỹ được thành lập với nhiệm vụ cung cấp các đo lường tiêu chuẩn và hoạt động như một phòng thí nghiệm vật lý quốc gia. Cục Tiêu chuẩn được hình thành với vai trò là một cơ quan đo lường, được chỉ đạo thành lập các bộ phận nhằm phát triển các tiêu chuẩn thương mại về vật liệu và sản phẩm. Trong thế chiến thứ Nhất, Cục Tiêu chuẩn đã nghiên cứu nhiều vấn đề phục vụ sản xuất cho chiến tranh. Trong chiến tranh thế giới thứ Hai, các nghiên cứu và phát triển trong lĩnh vực quân sự được thực hiện. Năm 1948, với sự tài trợ của Không quân Mỹ, Cục Tiêu chuẩn bắt đầu thiết kế và xây dựng máy tính SEAC (Máy tính tự động phía Đông tiêu chuẩn - Standards Eastern Automatic Computer). Máy tính đã đi vào hoạt động từ tháng 5/1950. Cùng thời điểm, SWAC (Máy tính tự động phía Tây tiêu chuẩn - Standards Western Automatic Computer) cũng được xây dựng tại văn phòng Los Angeles của Cục Tiêu chuẩn và được sử dụng để nghiên cứu.
Do nhiệm vụ thay đổi, vào năm 1988, Cục Tiêu chuẩn đã trở thành Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). NIST có trụ sở chính tại thành phố Gaithersburg, bang Maryland và điều hành một cơ sở tại thành phố Boulder, bang Colorado.
Hiện nay, NIST có các phòng thí nghiệm:
- Công nghệ truyền thông (Communications Technology Laboratory);
- Kỹ nghệ (Engineering Laboratory);
- Công nghệ thông tin (Information Technology Laboratory);
- Đo lường vật liệu (Material Measurement Laboratory);
- Đo lường vật lý (Physical Measurement Laboratory).
NIST có 07 ủy ban thường trực để hỗ trợ ngành công nghiệp Mỹ, các Viện nghiên cứu và các phòng thí nghiệm khác của chính phủ Mỹ. Ngoài ra, NIST còn điều hành 02 cơ sở thí nghiệm đặc biệt: Trung tâm Nghiên cứu Neutron (NIST Center for Neutron Research) và Trung tâm Khoa học và Công nghệ Giới hạn Nano (Center for Nanoscale Science and Technology).
6.2.2.2. Một số tiêu chuẩn về bảo mật và an toàn thông tin của NIST
NIST sử dụng một số dạng tài liệu để công bố, phổ biến các tiêu chuẩn và hướng dẫn mật mã. Cụ thể, NIST thường sử dụng ba loại ấn phẩm: các tiêu chuẩn xử lý thông tin liên bang (Federal Information Processing Standards - FIPS), các ấn phẩm đặc biệt (NIST Special Publications - NIST SP) và các báo cáo nội bộ/liên ngành (NIST Internal/Interagency Reports). Các tiêu chuẩn và hướng dẫn mật mã bản dự thảo và bản cuối được NIST công bố trên trang web của Trung tâm Tài nguyên An toàn Máy tính (Computer Security Resource Center) với địa chỉ http://www.csrc.nist.gov và cung cấp miễn phí cho công chúng.
Các tiêu chuẩn xử lý thông tin liên bang (FIPS):
Theo quy chế liên bang, các ấn phẩm FIPS được phát hành bởi NIST sau khi được Bộ trưởng Bộ Thương mại phê duyệt và đây là yêu cầu bắt buộc đối với các hệ thống an ninh liên bang phi quốc gia. Chúng được sử
dụng để NIST phát hành các tiêu chuẩn đối với các mật mã nguyên thủy cơ bản như các mã khối, các thuật toán chữ ký số và các hàm băm. Dưới đây là một số tiêu chuẩn tiêu biểu:
- FIPS PUB 197 mô tả thuật toán mã khối AES;
- FIPS PUB 186-4 mô tả các tiêu chuẩn về chữ ký số (Digital Signature Standard - DSS), bao gồm lược đồ chữ ký số: DSA, RSA, ECDSA. Ngoài ra, trong FIPS 186-4 cũng đưa ra các tiêu chuẩn an toàn và thuật toán sinh các bộ tham số cho các lược đồ chữ ký số nêu trên;
- FIPS PUB 180-4 mô tả tiêu chuẩn về hàm băm bao gồm các hàm băm: SHA-1, SHA-256, SHA-224, SHA-384 và SHA-512;
- FIP PUB 198-1 mô tả tiêu chuẩn mã xác thực thông báo hàm băm có khóa.
6.2.2.3. Các ấn phẩm đặc biệt (SP)
NIST SP ghi lại các nghiên cứu, hướng dẫn và các nỗ lực tiếp cận về an toàn thông tin và an toàn máy tính. Các hướng dẫn mật mã trong sê-ri NIST SP 800 được xây dựng dựa trên các thành phần mật mã cốt lõi được chỉ ra trong FIPS và các ấn phẩm khác do các tổ chức phát triển tiêu chuẩn (Standards Development Organization - SDO) và NIST công bố. Ngoài ra, còn chỉ định thêm các thuật toán, lược đồ, cơ chế hoạt động của các thuật toán mật mã, cũng như các hướng dẫn sử dụng đối với chúng. Ví dụ, các ấn phẩm SP mật mã trong sê-ri NIST SP 800 xác định các bộ tạo bit ngẫu nhiên, các cơ chế hoạt động của mã khối, các lược đồ thiết lập khóa, các hàm dẫn xuất khóa. Các thuật toán và lược đồ sử dụng mã khối, hàm băm và nguyên thủy toán học trong các ấn phẩm FIPS như các khối xây dựng nền tảng. NIST cũng đưa ra các hướng dẫn về lựa chọn và sử dụng các thuật toán mật mã thông qua sê-ri NIST SP 800. Dưới đây là một số tiêu chuẩn tiêu biểu:
- NIST SP 800-185 mô tả các hàm dẫn xuất SHA-3: cSHAKE, KMAC, TupieHash, ParallelHash;
- NIST SP 800-184 hướng dẫn khôi phục sự kiện an toàn mạng;
- NIST SP 800-163 mô tả việc kiểm định, đánh giá an toàn ứng dụng di động;
- NIST SP 800-145 mô tả các khái niệm điện toán đám mây;
- NIST SP 800-133 đưa ra các khuyến cáo về sinh khóa mật mã;
- NIST SP 800-132 đưa ra các khuyến cáo về dẫn xuất khóa dựa trên mật khẩu;
- NIST SP 800-131 mô tả về các thuật toán và độ dài khóa mật mã;
- NIST SP 800-130 mô tả khung hình chung cho việc thiết kế các hệ thống quản lý khóa mật mã;
- NIST SP 800-95 hướng dẫn các dịch vụ web an toàn.
Các ấn phẩm NIST SP khác có thể tham khảo tại địa chỉ https://csrc.nist.gov/publications.
Các báo cáo nội bộ/liên ngành (NISTIR).
NISTIR mô tả các nghiên cứu kỹ thuật tập trung vào các đối tượng đặc biệt. NIST không xác định các thuật toán mật mã trong các ấn phẩm NISTIR. Thay vào đó, NIST sử dụng các ấn phẩm NISTIR để phổ biến thông tin về các nỗ lực chuẩn hóa mật mã. Bộ phận An toàn Máy tính (Computer Security Division - CSD) đã sử dụng NISTIR để phát hành báo cáo của hội thảo, tài liệu thảo luận về các thách thức mới trong mật mã và báo cáo các cuộc thi về thuật toán mật mã. Các báo cáo NISTIR có thể xem tại địa chỉ https://csrc.nist.gov/publications/nistir.
Tất cả các ấn phẩm của NIST gồm các tiêu chuẩn hướng dẫn mật mã và ban đầu được đưa ra dưới dạng dự thảo để nhận ý kiến công chúng, mặc dù các ấn phẩm khác nhau có quy trình khác nhau. Vì FIPS đưa ra các quy định và các thuật toán mang tính bắt buộc trong nhiều công nghệ an ninh, an toàn quan trọng, nên yêu cầu có quy trình phát triển chính thức nhất. FIPS được phát triển bởi NIST và được phê chuẩn, ban hành bởi Bộ trưởng Bộ Thương mại. Các thông báo chính thức cho bản dự thảo cũng như bản cuối của FIPS được công bố trong Công báo Liên bang (Federal Register).