 |
Bộ TT&TT mời chuyên gia "góp sức" hoàn thiện Tiêu chuẩn đảm bảo ATTT
Chiều ngày 8/12/2016, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng đã chủ trì hội thảo tham vấn ý kiến chuyên môn của các chuyên gia an toàn thông tin (ATTT) với việc xây dựng dự thảo Tiêu chuẩn quốc gia “Yêu cầu cơ bản về an toàn HTTT theo cấp độ”. Hội thảo có sự tham dự của một số chuyên gia ATTT đến từ Hiệp hội ATTT Việt Nam (VNISA); các công ty MISOFT, Bkav, CMC InfoSec, FPT IS, VNCS; Trung tâm Chứng nhận Phù hợp (QUACERT) cùng đại diện lãnh đạo các đơn vị chức năng của Bộ TT&TT.
Đại diện Cục ATTT cho biết, sau khi Luật ATTT mạng được Quốc hội thông qua ngày 19/11/2015 và có hiệu lực từ 1/7/2016, Chính phủ đã ban hành Nghị định 85 về đảm bảo an toàn HTTT theo cấp độ. Điều 19 Nghị định 85 quy định, việc đảm bảo an toàn HTTT phải đảm bảo các yêu cầu an toàn cơ bản theo tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. Nghị định cũng giao nhiệm vụ cho Bộ TT&TT xây dựng dự thảo tiêu chuẩn và ban hành quy chuẩn kỹ thuật về ATTT.
Thứ trưởng Nguyễn Thành Hưng nhấn mạnh, một yêu cầu quan trọng của việc hướng dẫn Luật ATTT mạng và Nghị định 85 là cần phải đưa ra các khuyến nghị về những yêu cầu kỹ thuật để áp dụng cho các cấp độ an toàn của HTTT như thế nào cho phù hợp.
“Tinh thần của Bộ TT&TT là học tập kinh nghiệm quốc tế, nhưng cũng làm thế nào để phù hợp với tình hình trong nước hiện nay. Nếu chúng ta áp dụng tất cả các khuyến nghị quốc tế như tiêu chuẩn ISO 27000 có lẽ về mặt thực tiễn cũng không phù hợp. Vì vậy cần xem xét, chắt lọc các nội dung của quốc tế, kết hợp với điều kiện thực tiễn Việt Nam để đưa ra những khuyến nghị sao cho các cơ quan, tổ chức, doanh nghiệp có HTTT có thể dễ dàng áp dụng”, Thứ trưởng nói.
Dự thảo Tiêu chuẩn “Yêu cầu cơ bản về an toàn HTTT theo cấp độ” được Cục ATTT chủ trì xây dựng trên cơ sở tham khảo các tiêu chuẩn quốc tế, tiêu chuẩn của các nước phát triển về CNTT và các tiêu chuẩn quốc gia đã ban hành. Các tiêu chuẩn tham chiếu được lựa chọn các nội dung cho phù hợp với cơ cấu tổ chức, công tác quản lý nhà nước về ATTT cũng như điều kiện thực tế tại Việt Nam hiện nay; phù hợp với đối tượng và phạm vi áp dụng quy định tại Nghị định 85.
Với tinh thần trên, dự thảo Tiêu chuẩn đã được xây dựng trên cơ sở tham chiếu tiêu chuẩn SP800-53 của Mỹ để xây dựng các yêu cầu về kỹ thuật và tiêu chuẩn ISO/IEC 27001:2013 để xây dựng các yêu cầu về quản lý. Các nội dung được lựa chọn để xây dựng tiêu chuẩn tập trung vào nội dung bảo vệ HTTT trên môi trường mạng và đảm bảo các yêu cầu này là cơ bản, có tính khả thi và phù hợp với đối tượng áp dụng. Những nội dung khác như: an toàn vật lý, bảo vệ thông tin cá nhân… nằm trong các tiêu chuẩn tham chiếu sẽ được nghiên cứu xây dựng thành các tiêu chuẩn độc lập.
Dự thảo Tiêu chuẩn có nội dung chính gồm các yêu cầu kỹ thuật và yêu cầu quản lý. Cụ thể, yêu cầu kỹ thuật gồm 139 tiêu chí chụ thể được chia theo 4 nhóm: Bảo đảm an toàn hạ tầng mạng; Bảo đảm an toàn máy chủ; Bảo đảm an toàn ứng dụng; An toàn dữ liệu. Yêu cầu quản lý có tổng cộng 150 tiêu chí được chia làm 5 nhóm gồm: Chính sách ATTT; Tổ chức đảm bảo ATTT; Bảo đảm nguồn nhân lực; Quản lý thiết kế, xây dựng HTTT; Quản lý vận hành hệ thống.
Tháng 6/2017: Ban hành Tiêu chuẩn đảm bảo ATTT cho hệ thống thông tin
Tại hội thảo, các chuyên gia đã cơ bản ủng hộ với cách tiếp cận của Tổ công tác trong việc xây dựng dự thảo Tiêu chuẩn “Yêu cầu cơ bản về an toàn HTTT theo cấp độ”. Ông Vũ Bảo Thạch, GĐ Kỹ thuật của MISOFT bày tỏ sự đồng thuận với phương pháp ghép cả ISO và tiêu chuẩn NIST (Viện Tiêu chuẩn và Công nghệ Mỹ - PV) đã được Tổ công tác chọn để xây dựng dự thảo Tiêu chuẩn.
 |
Vị chuyên gia tư vấn độc lập này đánh giá: “Tiêu chuẩn ISO ổn nhưng vẫn là các tiêu chuẩn quản lý ATTT, còn tiêu chuẩn NIST của Mỹ rất hợp lý trong việc chúng ta cần những hành động cụ thể để đảm bảo ATTT. Tôi hoàn toàn ủng hộ phương pháp ghép các tiêu chuẩn tương đương với NIST”.
Ông Thạch cũng lưu ý, các HTTT được phân loại theo 5 cấp độ với mức độ quan trọng tăng dần và càng lên cấp độ cao hơn thì càng cần phải có nhiều biện pháp đảm bảo ATTT hơn, các biện pháp cũng cần mạnh hơn. Theo ông Thạch, nếu kế thừa tinh thần của tiêu chuẩn ISO 27000, cần phải làm rõ hơn vấn đề đánh giá rủi ro của HTTT, trước khi ghép hệ thống đó vào cấp độ 1 hay là 5. “Tôi cho rằng cần có một sự liên thông giữa đánh giá rủi ro với việc áp dụng các biện pháp kỹ thuật để đảm bảo ATTT cho các HTTT”, ông Thạch đề xuất.
Ngoài ra, chuyên gia này cũng khuyến nghị Tổ công tác tham khảo tiêu chuẩn ST800-82 hướng dẫn ATTT cho hệ thống điều khiển tự động hóa. Theo ông Thạch, tiêu chuẩn này được Mỹ áp dụng cho các nhà máy điện hạt nhân và các nhà máy lọc dầu… và có mức độ bảo đảm ATTT cao hơn hẳn so với tiêu chuẩn đảm bảo ATTT cho hệ thống CNTT như SP800-53.
Thống nhất với ý kiến của ông Thạch, Phó Chủ tịch Bkav Ngô Tuấn Anh và đại diện QUACERT đều khẳng định không thể bỏ qua khâu đánh giá rủi ro của các HTTT: “Điều quan trọng là đánh giá rủi ro và cần tiếp cận trên cơ sở đánh giá rủi ro trước, từ đó đưa ra các bước tiếp theo cần phải triển khai”, đại diện QUACERT nói.
Ở góc độ của VNISA, ông Nguyễn Chí Thành chỉ rõ 2 khó khăn lớn của công tác đảm bảo ATTT tại Việt Nam là tiền không nhiều và lực lượng không có. Theo ông Thành, thực tế hiện nay lực lượng của các Sở, ban, ngành rất yếu, thậm chí nhiều cơ quan chưa có cán bộ chuyên trách về CNTT, ATTT. Do đó, nếu đưa ra nhiều tiêu chí, các Sở, ban, ngành sẽ không có người thực hiện. “VNISA kiến nghị Tiêu chuẩn nên đưa ra các mức tối thiểu và tối đa đối với yêu cầu đảm bảo ATTT cho các HTTT theo cấp độ để tạo điều kiện cho các cơ quan, tổ chức, doanh nghiệp có thể áp dụng theo thực tế của đơn vị mình”, ông Thành nêu.
 |
Từ kinh nghiệm thực tế triển khai các dự án ATTT cho nhiều cơ quan, tổ chức, CEO Công ty CMC InfoSec Triệu Trần Đức cho rằng, trong công tác đảm bảo ATTT, tiền cũng quan trọng nhưng nhận thức vẫn là yếu tố quan trọng nhất. Ông Đức nhấn mạnh: nếu làm tốt vấn đề nhận thức, có những trường hợp chỉ cần sử dụng những giải pháp có chi phí không lớn nhưng vẫn mang lại hiệu quả cao.
Ông Đức cũng lưu ý nhận thức về đảm bảo ATTT của các cơ quan, tổ chức là chủ quản các HTTT cấp độ 4, 5 cần phải cao hơn hẳn so với cấp độ 1, 2, 3. Ngoài ra, vị chuyên gia đến từ CMC InfoSec đề nghị dự thảo Tiêu chuẩn cần quy định việc ghi lại toàn bộ băng thông, nhật ký hệ thống để phục vụ việc theo dõi, giám sát hoạt động, sự kiện ATTT của hệ thống.
Tương tự, PGĐ VNCERT Nguyễn Khắc Lịch cho rằng: “ATTT không phải là cứ đầu tư nhiều tiền là an toàn. Điều này đã được chứng thực với nhiều trường hợp đầu tư nhiều, hệ thống chuyên nghiệp nhưng khi hacker “đánh” cũng tan tành. Về bản chất, có 3 trục lớn đối với vấn đề đảm bảo ATTT: thiết bị kỹ thuật, tổ chức, con người và quy trình. Ba trục này nếu được kết hợp đều nhau sẽ tạo ra sự tối ưu và do đó sẽ không phải tốn quá nhiều tiền cho ATTT”.
Kết luận hội thảo, Thứ trưởng Nguyễn Thành Hưng một lần nữa khẳng định tầm quan trọng của việc xây dựng Tiêu chuẩn “Yêu cầu cơ bản về an toàn HTTT theo cấp độ”: “Đây là việc rất hệ trọng. Chúng ta không thể vội vàng, không vì đảm bảo tiến độ mà làm cho xong. Tiêu chuẩn này khi được ban hành sẽ có tác động đến tất cả các bên và toàn xã hội, vì thế cần phải làm rất cẩn thận, kỹ lưỡng và cầu thị”.
Theo Thứ trưởng, việc xây dựng Tiêu chuẩn này phải được thực hiện theo tinh thần: đưa ra được các khuyến nghị tối thiểu; chủ quản HTTT phải tự chịu trách nhiệm về đảm bảo ATTT; rủi ro về ATTT sẽ vẫn luôn tồn tại cho dù có làm tốt đến mấy; và tiêu chuẩn về yêu cầu đảm bảo ATTT cho HTTT phải liên tục được bổ sung, cập nhật khi có điều kiện.
Thứ trưởng cho biết, thời gian tới Bộ TT&TT sẽ tổ chức tiếp hội thảo tham vấn có sự đối thoại, trao đổi giữa đơn vị, doanh nghiệp có trách nhiệm bảo đảm ATTT với các chủ quản HTTT để có cái nhìn hai chiều và thấu đáo hơn trong công tác xây dựng Tiêu chuẩn đảm bảo an toàn cho các HTTT. “Mỗi đối tượng, mỗi tổ chức có cách tiếp cận, cách nhìn khác nhau. Nhiệm vụ của nhà nước là làm thế nào tìm ra cách hài hòa và chung nhất”, Thứ trưởng chia sẻ.
Được biết, Cục ATTT dự kiến lộ trình từ nay đến tháng 3/2017 sẽ hoàn thiện dự thảo Tiêu chuẩn “Yêu cầu cơ bản về an toàn HTTT theo cấp độ” và mong muốn Tiêu chuẩn sẽ ban hành được vào tháng 6/2017.
.svg){kind=icon}
