1. Pháp luật về an toàn thông tin
2. Bộ tiêu chuẩn ISO/IEC 2700x
3. Các bộ tiêu chuẩn khác
Với việc kết nối máy tính vào mạng, con người có thể
mở rộng phạm vi hoạt động của mình thì điều đó cũng
có nghĩa là những tác hại có thể được nhân lên qua
mạng. Vì thế trong một xã hội "nối mạng", mọi cá nhân
phải nhận thức được trách nhiệm với cộng đồng.
Pháp luật về ATTT là các quy định, nghị định, chính sách
nhằm đưa ra các yêu cầu và luật về đảm bảo ATTT
30 trang |
Chia sẻ: hongha80 | Lượt xem: 1014 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu An toàn bảo mật mạng - Chương 6: Chuẩn an toàn thông tin, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Chuẩn an toàn thông tin 1
AN TOÀN BẢO MẬT MẠNG
(Network Security)
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC
PHẨM TP.HCM
Giảng viên: Ths. Trần Đắc Tốt – Khoa CNTT
Email: tottd@cntp.edu.vn
Website: www.oktot.com
Facebook: https://www.facebook.com/oktotcom/
Chuẩn an toàn thông tin 2
NỘI DUNG MÔN HỌC
Chương 1: Tổng quan an toàn và bảo mật thông tin mạng
máy tính.
Chương 2: Tấn công mạng máy tính.
Chương 3: Công nghệ Firewall.
Chương 4: Hệ thống phát hiện và phòng chống xâm nhập
(IDS&IPS).
Chương 5: An ninh mạng WLAN (IEEE 802.11).
Chương 6: Chuẩn an toàn thông tin.
Chuẩn an toàn thông tin 3
Các nội dung trình bày
1. Pháp luật về an toàn thông tin
2. Bộ tiêu chuẩn ISO/IEC 2700x
3. Các bộ tiêu chuẩn khác
Chuẩn an toàn thông tin 4
1. Pháp luật về an toàn thông tin
Với việc kết nối máy tính vào mạng, con người có thể
mở rộng phạm vi hoạt động của mình thì điều đó cũng
có nghĩa là những tác hại có thể được nhân lên qua
mạng. Vì thế trong một xã hội "nối mạng", mọi cá nhân
phải nhận thức được trách nhiệm với cộng đồng.
Pháp luật về ATTT là các quy định, nghị định, chính sách
nhằm đưa ra các yêu cầu và luật về đảm bảo ATTT.
Chuẩn an toàn thông tin 5
1.1. Tin tặc, tội phạm kỹ thuật
Tin tặc (Hacker): Là một người hay nhóm
người sử dụng sự hiểu biết của mình về cấu
trúc máy tính, hệ điều hành, mạng, các ứng
dụng trong cơ sở HTTT ... để tìm lỗi, lỗ hỗng,
điểm yếu an toàn của nó và tìm cách xâm
nhập, thay đổi hay chỉnh sửa HTTT với mục
đích tốt xấu khác nhau.
Chuẩn an toàn thông tin 6
Tin tặc, tội phạm kỹ thuật (tiếp)
Có hai loại Hacker:
Hacker mũ trắng là những người mà hành động
tấn công, xâm nhập và thay đổi, chỉnh sửa hệ
thống phần cứng, phần mềm với mục đích tìm
ra các lỗi, lỗ hổng, điểm yếu bảo mật và đưa ra
giải pháp ngăn chặn và bảo vệ hệ thống chẳng
hạn như những nhà phân tích An ninh mạng.
Chuẩn an toàn thông tin 7
Tin tặc, tội phạm kỹ thuật (tiếp)
Hacker mũ đen là những người mà hành
động tấn công, xâm nhập, thay đổi, chỉnh
sửa hệ thống phần cứng, phần mềm với
mục đích phá hoại, hoặc vi phạm pháp
luật.
Chuẩn an toàn thông tin 8
1.2. Một số tội phạm tin học liên quan đến
lạm dụng Internet
Mạo danh, xâm nhập máy tính trái phép để
đánh cắp và huỷ hoại thông tin.
Lừa đảo qua mạng (Phishing): Là loại lừa đảo
hấp dẫn nhất với tin tặc và trở thành hiểm hoạ
đe doạ thương mại điện tử, làm giảm lòng tin
vào các giao dịch điện tử.
Chuẩn an toàn thông tin 9
Một số tội phạm tin học liên quan đến lạm
dụng Internet (tiếp)
Spamming (thư rác) và việc vi phạm tính riêng tư của
người khác: Email là hệ thống giúp marketting rất tốt với
khả năng quảng bá nhanh chóng và rộng rãi. Tuy nhiên
có những người lạm dụng hệ thống email để quấy rối,
đe dọa, xúc phạm đến người khác.
Nhiều nước đang xem xét những đạo luật liên quan đến
spamming có được phép hay không. Ở Việt nam, nạn
spamming đang bùng nổ rất mạnh mẽ.
Chuẩn an toàn thông tin 10
Một số tội phạm tin học liên quan đến lạm
dụng Internet (tiếp)
Tấn công từ chối dịch vụ.
Phát tán hoặc gieo rắc các tài liệu phản văn hoá, vi
phạm an ninh quốc gia: Internet là môi trường công
cộng, ai cũng có thể sử dụng. Một số người lợi dụng khả
năng của Internet để phổ biến các tài liệu phản văn hoá
như kích động bạo lực, phổ biến văn hoá đồi truỵ, kích
động bạo loạn, kích động các xu hướng dân tộc hay tôn
giáp cực đoan, hướng dẫn các phương pháp khủng bố.
Chuẩn an toàn thông tin 11
1.3. Vấn đề sở hữu trí tuệ và bản quyền
Luật bản quyền được quy định trong Bộ luật dân sự của
nước Cộng hoà Xã hội chủ nghĩa Việt Nam.
Về cơ bản, quyền tác giả (quyền tinh thần) được cấp cho
những người trực tiếp sáng tạo ra phần mềm; quyền sở
hữu (quyền thương mại) được cấp cho người đầu tư;
quyền sử dụng (licence) do chủ sở hữu cấp phép cho
người sử dụng.
Chuẩn an toàn thông tin 12
Vấn đề sở hữu trí tuệ và bản quyền (tiếp)
Về mặt luật, phần mềm hiện đang được đối xử như một
tác phẩm viết và còn rất nhiều điều bất cập. Chắc chắn
luật sở hữu trí tuệ phải được tiếp tục hoàn thiện, nhất là
đối với phần mềm.
Tình trạng dùng phần mềm sao chép không có bản
quyền rất phổ biến không chỉ riêng ở các nước đang
phát triển. Ngay ở Mỹ cũng có đến 1/3 số phần mềm
được dùng không có bản quyền.
Chuẩn an toàn thông tin 13
Vấn đề sở hữu trí tuệ và bản quyền (tiếp)
Theo thống kê của các tổ chức có trách nhiệm tình trạng
dùng phần mềm không có bản quyền đã gây thiệt hại
cho những người làm phần mềm nhiều tỷ đô la môĩ
năm.
Các nhà sản xuất phần mềm đã tìm các phương pháp
chống sao chép nhưng "không lại" được với dân tin tặc.
Cho đến nay, chưa một phần mềm nào của Việt Nam
chống được nạn bẻ khoá.
Chuẩn an toàn thông tin 14
1.4. Luật tội phạm tin học ở Việt Nam
Bất cứ một nước phát triển nào cũng phải có quy định
dưới dạng các văn bản pháp luật để chống lại các tội
phạm tin học.
Ở Việt Nam, nhận thức được tính nghiêm trọng của các
tội phạm tin học, Quốc hội Cộng hoà Xã hội Chủ nghĩa
Việt Nam đã ban hành một số điều luật chống tội phạm
tin học trong bộ luật hình sự (13/1/2000).
Chuẩn an toàn thông tin 15
Luật tội phạm tin học ở Việt Nam (tiếp)
Điều 224. Tội tạo ra và lan truyền, phát tán
các chương trình virus tin học
Điều 225. Tội vi phạm các quy định về vận
hành, khai thác và sử dụng mạng máy tính
điện tử
Điều 226. Tội sử dụng trái phép thông tin
trên mạng và trong máy tính
Chuẩn an toàn thông tin 16
Luật tội phạm tin học ở Việt Nam (tiếp)
Nghị định 55/2001/NĐ-CP
Ngày 23/8/2001 Chính phủ ban hành
nghị định 55/2001/NĐ-CP quy định
một số mức xử phạt các vi phạm khi
sử dụng Internet.
Chuẩn an toàn thông tin 17
2. Bộ tiêu chuẩn ISO/IEC 2700x
Tiêu chuẩn về quản lý an toàn thông tin có bộ
ISO/IEC 2700x cung cấp các hướng dẫn và các vấn
đề liên quan trong hệ thống quản lý an toàn thông
tin:
ISO/IEC 27000:2009 -Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu
ISO/IEC 27002:2005 -Quy tắc thực hành quản lý an toàn thông tin
ISO/IEC 27003:2010 -Hướng dẫn thực thi hệ thống quản lý an toàn thông tin
ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường
ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin
.
Chuẩn an toàn thông tin 18
2. Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm
bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các
biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn.
Bộ tiêu chuẩn này gồm có 3 phần:
ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí
đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình
chung
ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí
đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng
an toàn
ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí
đánh giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo
an toàn
Chuẩn an toàn thông tin 19
2. Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ
thông tin - Các kỹ thuật an toàn- Phương pháp ước
lượng an toàn công nghệ thông tin. Tiêu chuẩn này
được sử dụng cùng với các tiêu chí đánh giá an toàn
trong bộ ISO/IEC 15408
Chuẩn an toàn thông tin 20
2. Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ
thông tin - Các kỹ thuật an toàn-Đánh giá an toàn
các hệ thống hoạt động. Tiêu chuẩn này cung cấp
các hướng dẫn và tiêu chí cho việc ước lượng an toàn
các hệ thống hoạt động. Tiêu chuẩn này mở rộng
hơn của ISO/IEC 15408, nó đề cập các khía cạnh
quan trọng trong các hệ thống hoạt động mà trong
tiêu chuẩn ISO/IEC 15408 không được đề cập.
Chuẩn an toàn thông tin 21
2. Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái
niệm và tiêu chí cho việc so sánh và phân tích các phương
pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn
này gồm 2 phần:
ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an
toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần
1: Giới thiệu và khái niệm
ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an
toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần
2: Các phân tích
Chuẩn an toàn thông tin 22
3. Các Bộ tiêu chuẩn khác
Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái
niệm và tiêu chí cho việc so sánh và phân tích các phương
pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn
này gồm 2 phần:
ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an
toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần
1: Giới thiệu và khái niệm
ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an
toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần
2: Các phân tích
Chuẩn an toàn thông tin 23
4. Một số tiêu chuẩn đã được ban hành (VN)
TCVN 7326-1:2003 Thiết bị công nghệ thông tin. An toàn. Phần 1: Yêu cầu
chung (IEC 60950-1:2001)
TCVN 7563-8:2005 Công nghệ thông tin. Từ vựng. Phần 8: An toàn
(ISO/IEC 02382-8:1998)
TCVN 7562:2005 Công nghệ thông tin. Mã thực hành quản lý an toàn
thông tin (ISO/IEC 17799:2000)
TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số
TCVN 7816:2007 Công nghệ thông tin. Kỹ thuật mật mã thuật toán mã dữ
liệu AES
TCVN 7818-2:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời
gian. Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002)
Chuẩn an toàn thông tin 24
4. Một số tiêu chuẩn đã được ban hành (VN)
TCVN 7817-3:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá.
Phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770-
3:1999)
TCVN 7817-1:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá.
Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996)
TCVN 7818-1:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời
gian. Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002)
TCVN 7563-14:2009 Công nghệ thông tin. Từ vựng. Phần 14: Độ tin cậy,
khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)
Chuẩn an toàn thông tin 25
4. Một số tiêu chuẩn đã được ban hành (VN)
TCVN 8051-1:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng
công nghệ thông tin. Phần 1: Quản lý an toàn mạng (ISO/IEC 18028-
1:2008)
TCVN ISO/IEC 27001:2009 Công nghệ thông tin. Hệ thống quản lý an toàn
thông tin. Các yêu cầu (ISO/IEC 27001:2005)
TCVN 8051-2:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng
công nghệ thông tin. Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028-
2:2006)
TCVN 7818-3:2010 Công nghệ thông tin. Kỹ thuật an toàn. Dịch vụ tem
thời gian. Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009)
Chuẩn an toàn thông tin 26
4. Một số tiêu chuẩn đã được ban hành (VN)
TCVN 7817-4:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá.
Phần 4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006)
TCVN 7817-2:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá.
Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008)
TCVN ISO/IEC 27002:2011 Công nghệ thông tin- Các kỹ thuật an toàn-
Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005)
TCVN 8709-1:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu
chí đánh giá an toàn công nghệ thông tin- Phần 1: Giới thiệu và mô hình
tổng quát (ISO/IEC 15408-1:2009)
TCVN 8709-2:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu
chí đánh giá an toàn công nghệ thông tin- Phần 2: Các thành phần chức
năng an toàn (ISO/IEC 15408-2:2008)
Chuẩn an toàn thông tin 27
4. Một số tiêu chuẩn đã được ban hành (VN)
TCVN 8709-3:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu
chí đánh giá an toàn công nghệ thông tin- Phần 3: Các thành phần đảm
bảo an toàn (ISO/IEC 15408-3:2008)
TCVN 9801-1:2013 Công nghệ thông tin. Kỹ thuật an toànan toàn mạng.
Phần 1: tổng quan và khái niệm
TCVN 9965:2013 Công nghệ thông tin. Kỹ thuật an toàn. Hướng dẫn tích
hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1
TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn
mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)
TCVN 10295:2016 Công nghệ thông tin- Các kỹ thuật an toàn- Quản lý rủi
ro an toàn thông tin (ISO/IEC 27005:2011)
Chuẩn an toàn thông tin 28
4. Một số dự thảo tiêu chuẩn chưa được ban hành
Dự thảo TCVN (ISO/IEC 27033-2:2012)
Công nghệ Thông tin - Kỹ thuật an toàn - An toàn
mạng - Phần 3: Các kịch bản kết nối mạng tham
chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm
soát (ISO/IEC 27033-3:2010)
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý
an toàn thông tin - Đo lường (ISO/IEC 27004:2009)
Chuẩn an toàn thông tin 29
4. Một số dự thảo tiêu chuẩn chưa được ban hành
Công nghệ thông tin - Các ký thuật an toàn - Hướng dẫn triển
khai hệ thống quản lý an toàn thông tin (ISO/IEC
27003:2010)
Công nghệ thông tin - Các ký thuật an toàn - Quản lý an toàn
thông tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC
27010:2012)
Dự thảo TCVN (ISO/IEC 27000:2009)
Dự thảo TCVN (ISO/IEC 27035:2011
Chuẩn an toàn thông tin 30
Câu hỏi ?
Ý kiến ?
Đề xuất ?
Các file đính kèm theo tài liệu này:
- lession_06_v1_0_0_4689.pdf