Tìm hiểu về bộ tiêu chuẩn về đánh giá attt năm 2024

ISO/IEC 27033 cung cấp hướng dẫn chi tiết về việc triển khai các biện pháp kiểm soát an ninh mạng được giới thiệu trong ISO/IEC 27002. Tiêu chuẩn này áp dụng cho việc bảo mật các thiết bị được nối mạng và quản lý bảo mật của chúng, các ứng dụng/dịch vụ mạng và người dùng mạng, ngoài bảo mật thông tin được truyền qua các liên kết truyền thông. Nó nhằm vào các kiến trúc sư, nhà thiết kế, nhà quản lý và cán bộ an ninh mạng.

ISO/IEC 27033-1:2015 Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 1: Tổng quan và khái niệm (ấn bản thứ hai) Tóm tắt: phần 1 “cung cấp cái nhìn tổng quan về an ninh mạng và các định nghĩa liên quan. Nó định nghĩa và mô tả các khái niệm liên quan và cung cấp hướng dẫn quản lý về an ninh mạng. (An ninh mạng áp dụng cho bảo mật của thiết bị, bảo mật của các hoạt động quản lý liên quan đến thiết bị, ứng dụng/dịch vụ và người dùng cuối, ngoài bảo mật của thông tin được truyền qua các liên kết truyền thông.)” Sửa đổi và thay thế ISO/IEC 18028 phần 1. Cung cấp lộ trình và tổng quan về các khái niệm và nguyên tắc làm cơ sở cho các phần còn lại của ISO/IEC 27033. Mục tiêu: “để xác định và mô tả các khái niệm liên quan và cung cấp hướng dẫn quản lý về an ninh mạng. Điều này bao gồm việc cung cấp tổng quan về an ninh mạng và các định nghĩa liên quan cũng như hướng dẫn về cách xác định và phân tích rủi ro an ninh mạng, sau đó xác định các yêu cầu an ninh mạng. Tiêu chuẩn này cũng giới thiệu cách để đạt được các kiến trúc bảo mật kỹ thuật chất lượng tốt và các khía cạnh rủi ro, thiết kế và kiểm soát liên quan đến các kịch bản mạng điển hình và các lĩnh vực 'công nghệ' mạng (được đề cập chi tiết trong các phần tiếp theo của tiêu chuẩn ISO/IEC 27033). Trên thực tế, nó cũng cung cấp tổng quan về bộ tiêu chuẩn ISO/IEC 27033 và 'lộ trình' cho tất cả các phần khác”.

Cung cấp bảng thuật ngữ về các thuật ngữ bảo mật thông tin dành riêng cho mạng. Cung cấp hướng dẫn về quy trình có cấu trúc để xác định và phân tích rủi ro an ninh mạng, từ đó xác định các yêu cầu kiểm soát an ninh mạng, bao gồm cả những yêu cầu bắt buộc bởi các chính sách bảo mật thông tin liên quan. Cung cấp tổng quan về các biện pháp kiểm soát hỗ trợ kiến trúc an ninh kỹ thuật mạng và các biện pháp kiểm soát kỹ thuật liên quan, cũng như các biện pháp kiểm soát phi kỹ thuật cộng với các biện pháp kiểm soát kỹ thuật khác không chỉ liên quan đến an ninh mạng (do đó liên kết với ISO/IEC 27001, ISO/IEC 27002 và ISO /IEC 27005 cộng với các tiêu chuẩn ISO27k khác khi chúng được phát hành). Giải thích các phương pháp thực hành tốt đối với kiến trúc bảo mật kỹ thuật mạng và các khía cạnh rủi ro, thiết kế và kiểm soát liên quan đến các kịch bản mạng và lĩnh vực công nghệ mạng điển hình (được mở rộng trong các phần tiếp theo của ISO/IEC 27033 - xem bên dưới). Giải quyết ngắn gọn các vấn đề liên quan đến việc triển khai và vận hành các biện pháp kiểm soát an ninh mạng cũng như việc giám sát và đánh giá liên tục việc triển khai chúng. Mở rộng các hướng dẫn quản lý bảo mật được cung cấp trong ISO/IEC TR 13335 và ISO/IEC 27002, v.v. bằng cách nêu chi tiết các hoạt động và cơ chế cụ thể cần thiết để triển khai các biện pháp kiểm soát an ninh mạng trong nhiều môi trường mạng hơn, cung cấp cầu nối giữa các vấn đề quản lý bảo mật thông tin chung và các chi tiết cụ thể của việc triển khai các biện pháp kiểm soát an ninh mạng phần lớn là kỹ thuật (ví dụ: tường lửa, IDS/IPS, kiểm soát tính toàn vẹn của thông báo, v.v.). Đề cập đến các yêu cầu như tính không từ chối và độ tin cậy bên cạnh bộ ba CIA cổ điển (tính bảo mật, tính toàn vẹn và tính sẵn sàng). Bằng cách nào đó quản lý để cung cấp một tổng quan kỹ thuật hợp lý về an ninh mạng mà hầu như không có bất kỳ tham chiếu nào đến ngăn xếp mạng OSI! Tình trạng: phần 1 được xuất bản lần đầu vào năm 2009 và được sửa đổi thành ấn bản thứ hai vào năm 2015. Nó đã được xác nhận không thay đổi vào năm 2021.

ISO/IEC 27033-2:2012 Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 2: Hướng dẫn thiết kế và triển khai an ninh mạng (ấn bản đầu tiên)

Tóm tắt: phần 2 “đưa ra hướng dẫn cho các tổ chức lập kế hoạch, thiết kế, triển khai và lập tài liệu về an ninh mạng.” Sửa đổi và thay thế ISO/IEC 18028 phần 2. Phạm vi: lập kế hoạch, thiết kế, triển khai và lập tài liệu về an ninh mạng. Mục tiêu: “xác định cách các tổ chức nên đạt được các kiến trúc, thiết kế và triển khai bảo mật kỹ thuật mạng chất lượng để đảm bảo an ninh mạng phù hợp với môi trường kinh doanh của họ, sử dụng cách tiếp cận nhất quán để lập kế hoạch, thiết kế và triển khai bảo mật mạng, khi được hỗ trợ bởi việc sử dụng của các mô hình/khuôn khổ. (Trong bối cảnh này, một mô hình/khuôn khổ được sử dụng để phác thảo một đại diện hoặc mô tả cho thấy cấu trúc và hoạt động cấp cao của một loại kiến trúc/thiết kế bảo mật kỹ thuật)”. Định nghĩa kiến trúc bảo mật mạng để cung cấp bảo mật mạng đầu cuối. Kiến trúc có thể được áp dụng cho các loại mạng khác nhau trong đó bảo mật đầu cuối là mối quan tâm và độc lập với công nghệ cơ bản của mạng. Đóng vai trò là nền tảng cho các đề xuất chi tiết về bảo mật mạng đầu cuối. Bao gồm các vấn đề về rủi ro, thiết kế, kỹ thuật và kiểm soát. Tham khảo các phần khác của ISO/IEC 27033 để biết hướng dẫn cụ thể hơn. Tình trạng: phần 2 được xuất bản lần đầu vào năm 2012 và được xác nhận không thay đổi vào năm 2018.

ISO/IEC 27033-3:2010 Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 3: Kịch bản mạng tham chiếu - mối đe dọa, kỹ thuật thiết kế và vấn đề kiểm soát (ấn bản đầu tiên) Tóm tắt: phần 3 “mô tả các mối đe dọa, kỹ thuật thiết kế và các vấn đề kiểm soát liên quan đến các kịch bản mạng tham chiếu. Đối với mỗi kịch bản, nó cung cấp hướng dẫn chi tiết về các mối đe dọa bảo mật và các kỹ thuật thiết kế bảo mật cũng như các biện pháp kiểm soát cần thiết để giảm thiểu các rủi ro liên quan. Khi có liên quan, nó bao gồm các tham chiếu đến [phần 4 đến phần 6] để tránh trùng lặp nội dung của các tài liệu đó. Thông tin trong [phần 3] được sử dụng khi xem xét các tùy chọn thiết kế/kiến trúc bảo mật kỹ thuật cũng như khi lựa chọn và ghi lại kiến trúc/thiết kế bảo mật kỹ thuật ưa thích và các biện pháp kiểm soát bảo mật liên quan, theo [phần 2]. Thông tin cụ thể được chọn (cùng với thông tin được chọn từ [phần 4 đến 6] sẽ phụ thuộc vào đặc điểm của môi trường mạng đang được xem xét, tức là (các) kịch bản mạng cụ thể và (các) chủ đề 'công nghệ' có liên quan.” Mục tiêu: “xác định các rủi ro cụ thể, kỹ thuật thiết kế và các vấn đề kiểm soát liên quan đến các kịch bản mạng điển hình” [Nguồn: ISO/IEC 27033-1]. Thảo luận cụ thể về các mối đe dọa hơn là tất cả các yếu tố rủi ro. Tham khảo các phần khác của ISO/IEC 27033 để biết hướng dẫn cụ thể hơn. Tình trạng: phần 3 đã được xuất bản vào năm 2010 và được xác nhận không thay đổi vào năm 2018.

ISO/IEC 27033-4:2014 Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 4: Bảo mật liên lạc giữa các mạng bằng cổng bảo mật (ấn bản đầu tiên) Tóm tắt: phần 4 “đưa ra hướng dẫn bảo mật thông tin liên lạc giữa các mạng sử dụng cổng bảo mật (tường lửa, tường lửa ứng dụng, Hệ thống chống xâm nhập, v.v.) theo chính sách bảo mật thông tin được lập thành văn bản của cổng bảo mật, bao gồm: xác định và phân tích các mối đe dọa an ninh mạng liên quan đến cổng bảo mật; xác định các yêu cầu an ninh mạng cho các cổng bảo mật dựa trên phân tích mối đe dọa; sử dụng các kỹ thuật thiết kế và triển khai để giải quyết các mối đe dọa và các khía cạnh kiểm soát liên quan đến các kịch bản mạng điển hình; Và giải quyết các vấn đề liên quan đến việc triển khai, vận hành, giám sát và xem xét các biện pháp kiểm soát cổng an ninh mạng.”

Sửa đổi ISO/IEC 18028 phần 3 và có thể là ISO/IEC 18028 phần 4. Cung cấp tổng quan về các cổng bảo mật thông qua mô tả về các kiến trúc khác nhau. Hướng dẫn về bảo mật thông tin liên lạc giữa các mạng thông qua cổng, tường lửa, tường lửa ứng dụng, Hệ thống chống xâm nhập [sic], v.v. theo chính sách, bao gồm xác định và phân tích các mối đe dọa an ninh mạng, xác định các yêu cầu kiểm soát bảo mật và thiết kế, triển khai, vận hành, giám sát và xem xét các điều khiển. Phác thảo cách cổng bảo mật phân tích và kiểm soát lưu lượng mạng thông qua: Lọc gói tin; Kiểm tra gói trạng thái; Proxy ứng dụng (tường lửa ứng dụng); Dịch địa chỉ mạng NAT; Phân tích và lọc nội dung. Hướng dẫn lựa chọn và cấu hình cổng bảo mật, chọn loại kiến trúc phù hợp cho cổng bảo mật đáp ứng tốt nhất các yêu cầu bảo mật của tổ chức. Đề cập đến các loại tường lửa khác nhau làm ví dụ về cổng bảo mật. [Tường lửa là một thuật ngữ nghệ thuật thông thường không có trong ISO/IEC 27000, ISO/IEC 27002 và cũng không được định nghĩa rõ ràng trong tiêu chuẩn này]. Tình trạng: phần 4 được xuất bản lần đầu vào năm 2014 và được xác nhận không thay đổi vào năm 2019.

ISO/IEC 27033-5:2013 Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 5: Bảo mật liên lạc qua các mạng bằng Mạng riêng ảo (VPN) (ấn bản đầu tiên) Tóm tắt: phần 5 “đưa ra các hướng dẫn về lựa chọn, triển khai và giám sát các biện pháp kiểm soát kỹ thuật cần thiết để cung cấp bảo mật mạng bằng cách sử dụng kết nối Mạng riêng ảo (VPN) để kết nối các mạng và kết nối người dùng từ xa với mạng.” ISO/IEC 18028 sửa đổi phần 5. Mục tiêu: cung cấp “các hướng dẫn lựa chọn, triển khai và giám sát các biện pháp kiểm soát kỹ thuật cần thiết để cung cấp bảo mật mạng bằng cách sử dụng các kết nối Mạng riêng ảo (VPN) để kết nối các mạng và kết nối người dùng từ xa với các mạng”. Mở rộng hướng dẫn quản lý bảo mật CNTT của ISO/IEC TR 13335 bằng cách nêu chi tiết các hoạt động và cơ chế cụ thể cần thiết để triển khai các biện pháp kiểm soát và bảo vệ an ninh mạng trong nhiều môi trường mạng hơn, cung cấp cầu nối giữa các vấn đề quản lý bảo mật CNTT chung và triển khai kỹ thuật bảo mật mạng. Cung cấp hướng dẫn để đảm bảo truy cập từ xa qua mạng công cộng. Đưa ra đánh giá cấp cao, không đầy đủ về các mối đe dọa đối với VPN (nghĩa là nó đề cập đến các mối đe dọa xâm nhập và từ chối dịch vụ nhưng không đề cập đến việc giám sát/đánh chặn trái phép, phân tích lưu lượng, hỏng dữ liệu, chèn lưu lượng không có thật, các cuộc tấn công khác nhau vào điểm cuối VPN, phần mềm độc hại, giả mạo/đánh cắp danh tính, các mối đe dọa nội bộ, v.v., mặc dù những điều này được đề cập hoặc ít nhất là gợi ý sau này theo yêu cầu bảo mật). Giới thiệu các loại truy cập từ xa khác nhau bao gồm các giao thức, vấn đề xác thực và hỗ trợ khi thiết lập truy cập từ xa một cách an toàn. Nhằm giúp các quản trị viên mạng và kỹ thuật viên dự định sử dụng loại kết nối này hoặc những người đã sử dụng nó và cần lời khuyên về cách thiết lập và vận hành nó một cách an toàn. Tình trạng: phần 5 được xuất bản lần đầu vào năm 2013 và được xác nhận không thay đổi vào năm 2019.

ISO /IEC 27033-6:2016 Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 6: Bảo mật truy cập mạng IP không dây (ấn bản đầu tiên) Tóm tắt: phần 6 “mô tả các mối đe dọa, yêu cầu bảo mật, kiểm soát bảo mật và kỹ thuật thiết kế liên quan đến mạng không dây. Nó cung cấp các hướng dẫn cho việc lựa chọn, triển khai và giám sát các biện pháp kiểm soát kỹ thuật cần thiết để cung cấp thông tin liên lạc an toàn bằng cách sử dụng mạng không dây. Thông tin trong [phần 6] nhằm mục đích sử dụng khi xem xét hoặc lựa chọn các tùy chọn thiết kế/kiến trúc bảo mật kỹ thuật liên quan đến việc sử dụng mạng không dây theo [phần 2].” Mục tiêu: “xác định các rủi ro cụ thể, kỹ thuật thiết kế và các vấn đề kiểm soát để bảo mật mạng không dây IP. [Phần 6] có liên quan đến tất cả nhân viên tham gia lập kế hoạch chi tiết, thiết kế và triển khai bảo mật cho mạng không dây (ví dụ: kiến trúc sư và nhà thiết kế mạng, quản lý mạng và nhân viên an ninh mạng)”. Đây là tiêu chuẩn bảo mật mạng không dây chung cung cấp lời khuyên cơ bản cho WiFi, Bluetooth, 3G và các mạng không dây khác. Tiêu chuẩn sử dụng thuật ngữ "mạng đường dây", thường được gọi là mạng có dây. Tiêu chuẩn liên tục đề cập đến “mạng truy cập”, một thuật ngữ gây tò mò không được định nghĩa (ngoài Mạng truy cập vô tuyến). Nó dường như có nghĩa là “mạng lưới” nhưng không có định nghĩa, chúng tôi không thể chắc chắn. Tiêu chuẩn chỉ ra rằng mã hóa là một biện pháp kiểm soát toàn vẹn, trong khi thông thường các giao thức và kiểm soát mã hóa khác cung cấp các chức năng toàn vẹn, trong khi mã hóa cung cấp tính bảo mật. Tương tự như Phần 7, phần này liệt kê một số “mối đe dọa”, trên thực tế, là các phương thức tấn công hoặc tình huống sự cố. Tôi cảm thấy danh sách này sẽ hữu ích hơn nếu tiêu chuẩn đề cập đến từng vấn đề một cách có hệ thống, giải thích cách thức kiểm soát nhất định giảm thiểu chúng. Tình trạng: phần 6 được xuất bản lần đầu vào năm 2016 và được xác nhận không thay đổi vào năm 2021.

ISO/IEC 27033-7 Công nghệ thông tin - An ninh mạng - Phần 7: Nguyên tắc bảo mật ảo hóa mạng [DRAFT] Tóm tắt: Tiêu chuẩn này ban đầu là ISO/IEC 5188 trước khi được áp dụng vào họ ISO27k. Cập nhật trạng thái Tháng 4 Phần 7 đang ở giai đoạn Dự thảo Tiêu chuẩn Quốc tế và sẽ được xuất bản vào năm 2024. Tiêu chuẩn dự thảo phác thảo một số “mối đe dọa bảo mật” hoặc “vấn đề bảo mật” - không phải rủi ro thông tin như vậy, giống như các ví dụ chung về các loại sự cố như “Các cuộc tấn công nội bộ: quản trị viên giả mạo hình ảnh hoặc thay đổi cấu hình bảo mật”... Dự thảo sử dụng sai mục đích một số thuật ngữ liên quan đến rủi ro - có lẽ chỉ là vấn đề ngôn ngữ nhưng tôi nghi ngờ rằng các tác giả có thể không nắm bắt đầy đủ các khái niệm cơ bản. Có vẻ như tiêu chuẩn đã công bố sẽ không giải thích các biện pháp kiểm soát bảo mật thông tin nào giải quyết “các mối đe dọa/vấn đề bảo mật”, cũng như rủi ro thông tin nào mà các biện pháp kiểm soát bảo mật thông tin được đề xuất nhằm giảm thiểu: không có tham chiếu chéo giữa hai bên, do đó, không rõ ràng cách người dùng xác định, chọn hoặc ưu tiên bất kỳ điều khiển nào phù hợp nhất cho tình huống của họ. Quá nhiều cho “hướng dẫn thực hiện”!