Nghiên cứu xây dựng bộ tiêu chuẩn về các kỹ thuật an toàn công nghệ thông tin (Hướng dẫn quản lý điểm yếu an toàn thông tin, bảo đảm an toàn máy chủ và ứng dụng web)
Thách thức trong công tác bảo đảm an toàn thông tin mạng ngày trở nên cấp thiết. Thế giới liên tục đối mặt với hàng loạt các sự cố rò rỉ dữ liệu, phá hủy hệ thống thông tin của các cơ quan, tổ chức và doanh nghiệp dựa bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như AI, Big Data. Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các cuộc tấn công DDoS, Botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới, nguy hiểm hơn, đó chính là những thách thức mới của của công tác bảo đảm an toàn thông tin. Việc liên tục cải tiến các công nghệ bảo mật nhằm bảo vệ hệ thống của cơ quan tổ chức doanh nghiệp luôn quan tâm, song song với đó về công tác quản lý, việc áp dụng hệ thống tiêu chuẩn an toàn thông tin đã được các quốc gia trên thế giới đặc biệt chú trọng.
Tại Việt Nam, Chính phủ đã thúc đẩy hàng loạt các chính sách, xây dựng và ban hành tiêu chuẩn quốc gia về an toàn thông tin nhằm bảo đảm an toàn, bảo mật cho các hệ thống hạ tầng quan trọng. Vì vậy việc xây dựng bộ tiêu chuẩn về các kỹ thuật an toàn công nghệ thông tin (Hướng dẫn quản lý điểm yếu an toàn thông tin, bảo đảm an toàn máy chủ và ứng dụng web) gồm 03 dự thảo TCVN chính như: Công nghệ thông tin- Kỹ thuật an toàn- Hướng dẫn bảo đảm an toàn ứng dụng web; Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an toàn máy chủ; Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý điểm điểm yếu an toàn thông tin là phù hợp với tình hình thực tế.
Xuất phát từ thực tiễn trên, Cơ quan chủ trì Cục An toàn thông tin cùng phối hợp với Chủ nhiệm đề tài TS Nguyễn Khắc Lịch thực hiện “Nghiên cứu xây dựng bộ tiêu chuẩn về các kỹ thuật an toàn công nghệ thông tin (Hướng dẫn quản lý điểm yếu an toàn thông tin, bảo đảm an toàn máy chủ và ứng dụng web)” với mục tiêu: Tiêu chuẩn này nhằm đưa ra các hướng dẫn cụ thể cho bảo đảm an toàn thông tin cho máy chủ, ứng dụng web và hướng dẫn quản lý điểm yếu an toàn thông tin. Hoàn thiện Bộ tiêu chuẩn quốc gia về an toàn thông tin.
Hàng năm, các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về công nghệ thông tin - các kỹ thuật an toàn thông tin. Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 27xxx. Bộ tiêu chuẩn 27xxx là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức.
Hiện nay có 4 nước dẫn đầu về số lượng chứng chỉ ISO/IEC 27001 được cấp (trên 1000 chứng chỉ) là: Nhật, Anh, Ấn độ, Trung Quốc. Tuy nhiên việc áp dụng bộ tiêu chuẩn này trên thực tế gặp nhiều khó khăn, đặc biệt là chưa có quy định cụ thể về việc lựa chọn các biện pháp quản lý; các tiêu chuẩn hướng dẫn về biện pháp bảo vệ cũng còn mang tính phương pháp luận và chưa cụ thể. Một số nước (như Mỹ, Trung Quốc) đã xây dựng các bộ tiêu chuẩn riêng để áp dụng cho quản lý an toàn hệ thống thông tin. Các tiêu chuẩn này có ưu điểm: cụ thể hóa và dễ triển khai, áp dụng.
Tiêu chuẩn về “Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an toàn thông tin cho máy chủ”, tiêu chuẩn về “Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an toàn thông tin cho ứng dụng Web”, tiêu chuẩn về “Quản lý bản vá an toàn thông tin” cũng nằm trong dự kiến các tiêu chuẩn sẽ ban hành trong giai đoạn này.
Như vậy nghiên cứu, xây dựng các tiêu chuẩn Việt Nam về các hướng dẫn kỹ thuật bảo đảm an toàn cho các thành phần cụ thể mô hình hệ thống thông tin (bao gồm bộ tiêu chuẩn về các kỹ thuật an toàn thông tin bảo đảm an toàn thông tin máy chủ, ứng dụng web và quản lý điểm yếu an toàn thông tin) là hết sức cần thiết, đi theo đúng lộ trình dự kiến và cần đẩy nhanh tiến độ ban hành.
Sau thời gian nghiên cứu, đề tài đã thu được những kết quả như sau:
Bộ Tiêu chuẩn này khi được ban hành sẽ giúp các cơ quan, tổ chức và cá nhân áp dụng, tăng cường mức độ an toàn cho các máy chủ, máy chủ web và quản lý bản vá an toàn thông tin vốn là thành phần tối quan trọng trong mọi hệ thống công nghệ thông tin, góp phần tăng cường đảm bảo an toàn thông tin trong nước.
Các dự thảo tiêu chuẩn về bảo đảm an toàn máy chủ, bảo đảm an toàn máy chủ, bảo đảm an toàn máy chủ web, quản lý bản vá an toàn thông tin là các tiêu chuẩn hướng dẫn kỹ thuật cụ thể về bảo đảm an toàn máy chủ và bảo đảm an toàn máy chủ web phù hợp với nhu cầu tiêu chuẩn hóa an toàn thông tin tại Việt Nam trong điều kiện hiện nay.
Có thể tìm đọc báo cáo kết quả nghiên cứu (mã số 18593/2021) tại Cục Thông tin khoa học và công nghệ quốc gia.
https://vista.gov.vn/
