PHỤ LỤC SỐ 05

YÊU CẦU VỀ KIẾN THỨC, KỸ NĂNG CHUYÊN SÂU CỦA CHUẨN KỸ NĂNG AN TOÀN THÔNG TIN


(Ban hành theo Thông tư số 11/2015/TT-BTTTT ngày 5/5/2015 của Bộ trưởng Bộ Thông tin và Truyền thông)

Mã tham chiếu

Nội dung/ Yêu cầu cần đạt

Yêu cầu cần đạt theo hạng

Kiến thức

Kỹ năng

4

3

2

1

SCSS 1

Mô đun: Xây dựng chính sách về an toàn thông tin

 

 

x

x

SCSS 1.1

Đánh giá tài nguyên dữ liệu và thông tin

- Kỹ thuật, quy trình và việc triển khai thu thập thông tin.

- Các quy định và văn bản quy phạm pháp luật liên quan.

- Tài nguyên thông tin của tổ chức.

- Các hệ thống thông tin và cấu trúc mạng của tổ chức.

- Các kỹ thuật đo lường và đánh giá tài nguyên thông tin.

- Cách thức lập tài liệu.

- Thiết lập các mục tiêu và phạm vi khảo sát.

- Nắm bắt thông tin chi tiết về tài nguyên thông tin của tổ chức.

- Phân tích luồng tài nguyên thông tin nội bộ.

- Phân loại tài nguyên thông tin một cách hợp lý.

- Trình bày với các nhà quản lý, giám đốc an toàn thông tin và những người lập kế hoạch.

- Trao đổi và thống nhất về tài nguyên thông tin cần đánh giá.

SCSS 1.2

Nhận biết các mối đe dọa

- Kỹ thuật, quy trình và việc triển khai thu thập thông tin.

- Sự cố liên quan đến tài nguyên thông tin.

- Đánh giá rủi ro.

- Công nghệ, vận hành các hệ thống nói chung và mạng.

- Kiến trúc mạng và hệ thống, phần cứng và phần mềm

- Các kỹ thuật tấn công mạng

- Thiết lập các mục tiêu và phạm vi khảo sát.

- Nắm bắt thông tin về sự cố của các hệ thống thông tin nói chung.

- Thu thập thông tin liên tục.

- Nhận biết các mối đe dọa.

SCSS 1.3

Xác định rủi ro

- Các dạng rủi ro và nguyên nhân, trong đó có yếu tố nhân sự.

- Các tài nguyên thông tin.

- Hệ thống và cấu trúc mạng của tổ chức.

- Kiến trúc mạng và hệ thống, phần cứng và phần mềm

- Nắm bắt thông tin chi tiết về rủi ro đối với tài nguyên thông tin của tổ chức và nguyên nhân.

- Phân loại các tài nguyên thông tin và rủi ro một cách hợp lý.

SCSS 1.4

Phân loại các biện pháp và đánh giá tình trạng

- Các biện pháp chống rủi ro.

- Hệ thống và kiến trúc mạng, phần cứng và phần mềm.

- Kỹ thuật, quy trình và việc triển khai thu thập thông tin.

- Nắm bắt thông tin chi tiết về rủi ro đối với tài nguyên thông tin của tổ chức và nguyên nhân

- Phân loại các rủi ro và biện pháp chống rủi ro một cách hợp lý.

- Thiết lập mục tiêu và phạm vi đánh giá.

- Phân tích kết quả đánh giá.

SCSS 1.5

Đánh giá rủi ro

- Thông tin dữ liệu trước đây về xác suất xảy ra rủi ro.

- Tổng quan về xác suất và thống kê xảy ra rủi ro.

- Tính toán chi phí của các biện pháp an toàn thông tin.

- Tính toán và đánh giá thiệt hại do tổn thất tài nguyên thông tin (mất giá trị tài sản, chi phí điều tra nguyên nhân và phục hồi và chi phí khác).

- Nắm bắt thông tin về sự cố của các hệ thống thông tin nói chung.

- Thu thập thông tin liên tục.

SCSS 1.6

Xây dựng chính sách an toàn thông tin

- Chính sách quản lý an toàn thông tin.

- Cách thức lập tài liệu.

- Phương pháp xây dựng chính sách an toàn thông tin.

- Xây dựng chính sách cho quy trình từ đánh giá tài nguyên thông tin đến đánh giá rủi ro.

- Mô tả chính sách an toàn thông tin theo ngôn ngữ nghiệp vụ.

- Thuyết trình với các nhà quản lý, giám đốc điều an toàn thông tin và những người lập kế hoạch.

SCSS 2

Mô đun: Xây dựng tiêu chí an toàn thông tin

 

 

x

x

SCSS 2.1

Xây dựng quy chế an toàn thông tin cho các hoạt động nghiệp vụ

- Chính sách an toàn thông tin.

- Các chuẩn về an toàn thông tin.

- Luật và các văn bản quy phạm pháp luật liên quan.

- Hợp đồng lao động.

- Các quy định nghề nghiệp.

- Quy chế bảo mật trong trao đổi thông tin.

- Bảo vệ sự riêng tư.

- Quản lý khủng hoảng.

- Hiểu biết về rò rỉ thông tin mật

- Thủ tục quản lý thông tin mật.

- Các sự cố an toàn thông tin.

- Các dịch vụ đào tạo bên ngoài liên quan đến an toàn thông tin.

- Thông cáo báo chí.

- Tình hình xây dựng và cập nhật chuẩn.

- Các thủ tục quản lý và thay đổi tài liệu.

- Xây dựng các tiêu chí về an toàn thông tin.

- Thuyết trình với các nhà quản lý, giám đốc an toàn thông tin và những người lập kế hoạch.

- Thống nhất trong tổ chức về các tiêu chí đã được xây dựng.

- Thu thập các sự cố về an toàn thông tin một cách liên tục.

- Áp đặt tiêu chí một cách linh hoạt.

 

SCSS 2.2

Xây dựng quy chế an toàn thông tin cho các hệ thống thông tin

- Chính sách an toàn thông tin.

- Các chuẩn về an toàn thông tin.

- Các dịch vụ, xu hướng, tội phạm và sự cố trên Internet.

- Công nghệ kết nối Internet và các công cụ an toàn thông tin.

- Topo mạng.

- Tường lửa.

- Cài đặt và vận hành máy chủ và máy chủ truy cập từ xa.

- Hệ thống các bản quyền phần mềm liên quan đến các ứng dụng.

- Rò rỉ thông tin bí mật.

- Công nghệ mã hóa, chữ ký số và xác thực điện tử.

- Mạng, phần cứng và phần mềm.

- Virus máy tính và phần mềm chống virus.

- Quản lý khủng hoảng.

- Phát hiện sự cố.

- Kiểm tra an toàn thông tin.

- Các quy định nghề nghiệp.

- Vận hành và quản lý hệ thống.

- Các quy trình phát triển hệ thống.

- Các hợp đồng thuê khoán ngoài.

- Thông cáo báo chí.

- Xây dựng các tiêu chí về an toàn thông tin.

- Thuyết trình với các nhà quản lý, giám đốc an toàn thông tin và những người lập kế hoạch.

- Thống nhất trong tổ chức về các tiêu chí đã được xây dựng.

- Thu thập liên tục thông tin về các xu thế và dịch vụ trên Internet.

- Thu thập liên tục thông tin về các sự cố an toàn thông tin.

- Phân tích các biện pháp từ những trường hợp sự cố.

 

SCSS 3

Mô đun: Thiết kế hệ thống an toàn thông tin

 

x

x

x

SCSS 3.1

Kiểm soát xác thực và quyền truy cập

- Công nghệ mật khẩu.

- Công nghệ xác thực.

- Cơ chế kỹ thuật sinh trắc học.

- Công nghệ chữ ký số.

- Các hệ điều hành.

- Mạng, phần cứng, phần mềm và cơ sở dữ liệu.

- Tổng quan về mã hóa.

- Các thuật toán băm.

- Xây dựng các yêu cầu hệ thống liên quan đến xác thực và quyền truy cập trên cơ sở các tiêu chí về an toàn thông tin.

- Xây dựng các hệ thống cung cấp xác thực và quyền truy cập, duy trì mối quan hệ phù hợp giữa chúng.

- Tích hợp các công nghệ về an toàn thông tin, bao gồm các công nghệ xác thực, mã hóa và chữ ký số vào một hệ thống duy nhất trên quan điểm thống nhất.

- Đề xuất một hệ thống kiểm soát xác thực và quyền truy cập trên cơ sở kết hợp các công nghệ sinh trắc học, chữ ký số, và các công nghệ khác.

SCSS 3.2

Kiểm soát an toàn thông tin mức vật lý

- Nghe lén thông tin từ cáp viễn thông

- Topo mạng.

- Phần cứng mạng và phần mềm.

- Các sản phẩm an toàn thông tin.

- Xây dựng các yêu cầu về hệ thống liên quan đến an toàn thông tin của các thiết bị dựa trên các tiêu chí về an toàn thông tin.

- Áp dụng biện pháp an toàn thông tin mức vật lý phù hợp với sự đánh giá về tài sản thông tin sau khi phân tích rủi ro.

- Tích hợp hệ thống theo hướng các tài nguyên thông tin quan trọng được tách riêng mức vật lý.

- Thảo luận và thuyết phục các tổ chức thành viên thực hiện an toàn thông tin mức vật lý.

SCSS 3.3

Kiểm soát an toàn thông tin mức logic

- Kiến trúc mạng.

- Topo mạng

- Các nguyên tắc lọc dữ liệu.

- Kiến thức cơ bản về TCP/IP.

- Định tuyến.

- Thiết kế mạng.

- Xây dựng các yêu cầu về hệ thống liên quan đến an toàn thông tin mức logic dựa trên các tiêu chí về an toàn thông tin.

- Áp dụng công nghệ an toàn thông tin để thiết kế hệ thống.

- Đọc hiểu bản thiết kế mạng.

- Xây dựng các yêu cầu về thiết kế mạng từ các yêu cầu thiết kế hệ thống an toàn thông tin.

SCSS 3.4

Đảm bảo độ tin cậy của dữ liệu trên mạng

- Tường lửa.

- Kiến trúc mạng.

- Các dịch vụ mạng.

- Công nghệ định tuyến.

- Giao thức TCP.

- Tấn công trên mạng.

-Thiết bị phòng chống truy cập trái phép.

- Cơ sở dữ liệu.

- Xây dựng các yêu cầu về hệ thống liên quan đến sự thống nhất dữ liệu dựa trên tiêu chí an toàn thông tin.

- Áp dụng công nghệ an toàn thông tin để thiết kế hệ thống.

- Kiểm soát lưu lượng phù hợp với mức độ quan trọng của hệ thống trên cơ sở phân tích rủi ro.

- Thu thập thông tin về các dịch vụ mạng được cung cấp bởi Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các nhà cung cấp để đưa vào hệ thống.

SCSS 3.5

Bảo vệ an toàn dữ liệu

 

- Công nghệ mã hóa

- Sự vận hành của các hệ thống mật mã (crypto system).

- Phương thức quản lý các khóa mã

- Xây dựng các yêu cầu hệ thống liên quan đến duy trì tính bí mật của dữ liệu dựa trên các tiêu chí an toàn thông tin.

- Áp dụng công nghệ an toàn thông tin vào việc thiết kế hệ thống.

- Xác định các dữ liệu cần phải mã hóa.

- Xây dựng hệ thống quản lý khóa mã.

SCSS 3.6

Xây dựng các thủ tục vận hành hệ thống an toàn thông tin

- Quản lý tài liệu.

- Các phương tiện lưu trữ.

- Các công cụ sao lưu.

- Rò rỉ thông tin mật.

- Kiểm tra an toàn thông tin.

- Bảo vệ sự riêng tư.

- Cách thức hợp tác trong điều tra các sự cố an toàn thông tin.

- Xây dựng các yêu cầu về hệ thống liên quan đến sao lưu dựa trên các tiêu chí an toàn thông tin.

- Xây dựng các thủ tục sao lưu đầy đủ.

- Xác định phạm vi của dữ liệu để phát hiện các sự cố về an toàn thông tin.

- Xác định phương pháp lưu trữ dữ liệu sao lưu và dữ liệu giám sát an toàn thông tin.

- Xây dựng các thủ tục về an toàn thông tin theo các tiêu chuẩn an toàn thông tin.

- Thống nhất trong tổ chức về các thủ tục và quy trình đã được xây dựng.

SCSS 3.7

Phổ biến cho người sử dụng và lập kế hoạch đào tạo người sử dụng

- Rủi ro đối với tài nguyên thông tin.

- Các quy tắc và xử phạt trong nội bộ.

- Các lĩnh vực mới trong an toàn thông tin nói chung.

- Thuyết phục các nhà quản lý về tầm quan trọng của việc tập huấn thường xuyên về an toàn thông tin cho nhân viên.

- Xây dựng các kế hoạch đào tạo có tính đến sự thuận lợi cho người sử dụng.

SCSS 4

Mô đun: Xây dựng và thử nghiệm hệ thống an toàn thông tin

 

x

x

x

SCSS 4.1

Lựa chọn và giới thiệu các sản phẩm an toàn thông tin

- Cấu hình mạng của tổ chức.

- Chức năng của các sản phẩm an toàn thông tin.

- Tiêu chuẩn về công nghệ thông tin - các kỹ thuật an toàn - các tiêu chí đánh giá an toàn công nghệ thông tin - TCVN 8709-3:2011 ISO/IEC 15408.

- Lựa chọn các sản phẩm an toàn thông tin để xây dựng hệ thống an toàn thông tin.

- Lựa chọn sản phẩm an toàn thông tin với hiệu quả, chi phí thích hợp.

SCSS 4.2

Xây dựng hệ thống an toàn thông tin

- Chức năng của các sản phẩm an toàn thông tin.

- Kiến trúc hệ thống máy tính.

- Kiến trúc hệ thống mạng.

- Phát triển phần mềm.

- Quá trình xử lý ở mức hệ điều hành của máy tính và các hệ thống mạng

- Làm rõ các yêu cầu về chức năng an toàn thông tin.

- Kiểm tra xem hệ thống được xây dựng có đáp ứng các yêu cầu về chức năng an toàn thông tin hay không.

 

SCSS 4.3

Kiểm tra việc thực hiện an toàn thông tin

- Lỗ hổng an toàn thông tin.

- Các khuyến cáo an toàn thông tin.

- Các công cụ kiểm tra chức năng an toàn thông tin hoặc các lỗ hổng an toàn thông tin.

- Hệ thống máy tính và kiến trúc hệ thống mạng.

- Tấn công mạng.

- Quy trình tấn công thử nghiệm

- Việc kiểm tra các hệ thống đang hoạt động và những cổng đang mở

- Các mô hình kiểm thử thâm nhập hệ thống (Penetration Test), các bước của quá trình kiểm thử thâm nhập hệ thống.

- Thu thập thông tin liên tục về an toàn thông tin và các lỗ hổng an toàn thông tin.

- Thực hiện các cuộc tấn công mạng.

- Xây dựng lòng tin trong tổ chức.

SCSS 5

Mô đun: Quản lý vận hành hệ thống an toàn thông tin

x

x

x

x

SCSS 5.1

Thực hiện các thủ tục vận hành an toàn thông tin

- Các thủ tục thực hiện an toàn thông tin.

- Các trường hợp ngoại lệ đối với các thủ tục thực hiện an toàn thông tin.

- Các tiêu chuẩn về hệ thống quản lý an toàn thông tin theo họ tiêu chuẩn ISO/IEC 27000.

- Yêu cầu người sử dụng tuân thủ chặt chẽ và không bỏ sót các thủ tục an toàn thông tin.

- Phát hiện các kỹ thuật vô hiệu hóa thủ tục và kỹ thuật an toàn thông tin.

SCSS 5.2

Giám sát và ghi lại các hoạt động của hệ thống

- Các thủ tục thực thi an toàn thông tin.

- Các công cụ giám sát an toàn thông tin.

- Tìm và dự đoán các cuộc tấn công trên cơ sở nhật ký vận hành.

- Phát hiện các lỗ hổng an toàn thông tin và các vi phạm an toàn thông tin bằng các công cụ giám sát an toàn thông tin (bao gồm cả khả năng quản lý các giám sát viên).

- Xử lý kịp thời vi phạm an toàn thông tin.

SCSS 5.3

Bảo trì hệ thống

- Các lỗ hổng an toàn thông tin.

- Lựa chọn các thông tin vá lỗi cần thiết cho mạng.

SCSS 5.4

Tập huấn cho người sử dụng

- Sự cố chủ quan và khách quan về an toàn thông tin.

- Các rủi ro đối với tài nguyên thông tin

- Các quy tắc và xử phạt nội bộ.

- Giải thích các sự cố an toàn thông tin một cách dễ hiểu.

- Thuyết phục người sử dụng.

- Thuyết trình.

- Giao tiếp với các nhà quản lý của các bộ phận.

SCSS 5.5

Đào tạo nhân viên an toàn thông tin

- Các dịch vụ an toàn thông tin bên ngoài.

- Các sự cố an toàn thông tin chủ quan và khách quan.

- Các cuộc tấn công mạng.

- Làm cho người học nắm được những thông tin kỹ thuật mới về an toàn thông tin.

- Phân tích nguyên nhân của các sự cố an toàn thông tin chủ quan và khách quan.

- Hướng dẫn học viên áp dụng các kỹ thuật đã học được vào việc quản lý vận hành hệ thống an toàn thông tin.

- Thực hành các kiến thức về tấn công mạng, xử lý sự cố mạng.

SCSS 6

Mô đun: Phân tích an toàn thông tin

x

x

x

x

SCSS 6.1

Phát hiện sự cố

- Các cuộc tấn công mạng.

- Kỹ thuật phát hiện xâm nhập.

- Các bản ghi truy cập hệ thống.

- Hệ thống hoặc các công cụ tự động khác để phát hiện sự xâm nhập bất hợp pháp.

- Các dịch vụ giám sát bên ngoài.

- Giám sát liên tục.

- Phát hiện hoặc dự đoán các cuộc tấn công nghiêm trọng từ những bản ghi thông thường.

- Cảnh báo những người vi phạm an toàn thông tin một cách khéo léo.

SCSS 6.2

Xử lý ban đầu sự cố

- Mô hình tổ chức truyền thông nội bộ và phân trách nhiệm.

- Việc thông báo các sự cố.

- Chính sách an toàn thông tin.

- Kết quả phân tích và tầm quan trọng của tài nguyên thông tin.

- Các hệ thống máy tính và hệ thống mạng.

- Vận hành hệ thống.

- Xử lý ban đầu các sự cố một cách bình tĩnh.

- Xác định ưu tiên xử lý trên cơ sở tầm quan trọng của tài nguyên thông tin.

- Báo cáo chính xác thực trạng sự cố, không lẫn lộn với các suy đoán.

- Thực hiện xử lý thích hợp, liên lạc với VNCERT và những đơn vị khác.

SCSS 6.3

Phân tích sự cố

- Các cuộc tấn công mạng.

- Các hệ thống máy tính và hệ thống mạng.

- Các sự cố về an toàn thông tin chủ quan và khách quan.

- Việc phân tích dữ liệu giám sát an toàn thông tin.

- Quy trình theo dõi nguyên nhân gây ra sự cố.

- Điều tra và phân tích các cuộc tấn công mạng.

- Báo cáo nguyên nhân sự cố, liên lạc với VNCERT và tổ chức khác, và phân tích khách quan về sự cố.

- Lập hồ sơ chi tiết về sự cố.

 

SCSS 6.4

Phục hồi sau sự cố

- Lỗ hổng an toàn thông tin, các khuyến cáo an toàn thông tin và các thông tin vá lỗi.

- Cấu hình hệ thống của tổ chức.

- Các thủ tục sao lưu và phục hồi.

- Đánh giá tính khẩn cấp của sự cố, xác định và triển khai phục hồi trong thời gian ngắn nhất.

- Ghi lại và báo cáo chính xác về thực tế sự việc.

SCSS 6.5

Thực hiện các biện pháp phòng ngừa tái diễn sự cố

- Lỗ hổng an toàn thông tin, các khuyến cáo an toàn thông tin và các thông tin vá lỗi.

- Cách thức xây dựng hệ thống của tổ chức.

- Lựa chọn và thực hiện các biện pháp thích hợp sau khi xem xét nguyên nhân sự cố.

- Ghi lại và báo cáo chính xác về thực tế sự việc.

SCSS 6.6

Đánh giá mức độ an toàn thông tin

- Lỗ hổng an toàn thông tin, các khuyến cáo an toàn thông tin và các thông tin vá lỗi.

- Các nội dung kiểm tra an toàn thông tin.

- Các dịch vụ kiểm tra an toàn thông tin.

- Các cuộc tấn công mạng.

- Bản kế hoạch đánh giá an toàn thông tin.

- Hành động kịp thời để xử lý lỗ hổng an toàn thông tin.

- Thực hiện liên tục các biện pháp an toàn thông tin.

- Xây dựng lòng tin trong tổ chức.

- Sử dụng các công cụ tấn công khác nhau.

SCSS 7

Mô đun: Rà soát các nội dung về an toàn thông tin

 

x

x

x

SCSS 7.1

Thu thập và đánh giá thông tin kỹ thuật

- Các sự cố an toàn thông tin chủ quan và khách quan.

- Công nghệ an toàn thông tin.

- Cấu hình hệ thống và cấu hình mạng của tổ chức.

- Thông tin của nhà cung cấp.

- Thu thập thông tin về công nghệ an toàn thông tin.

- Lựa chọn các thông tin về lỗ hổng và công nghệ an toàn thông tin có liên quan đến hệ thống mạng của tổ chức.

SCSS 7.2

Phân loại và phân tích các vấn đề về vận hành

- Kỹ thuật, quy trình và triển khai thu thập thông tin.

- Cấu hình mạng và hệ thống của tổ chức.

- Vận hành mạng và hệ thống của tổ chức.

- Thiết lập mục tiêu và phạm vi khảo sát.

- Phân tích các vấn đề về chính sách vận hành hệ thống và vận hành mạng cũng như tiêu chí vận hành trên cơ sở kết quả khảo sát.

- Xem xét lại chính sách an toàn thông tin theo các vấn đề đã phân tích.

- Báo cáo cho lãnh đạo về các hoạt động quản lý cần thực hiện tương ứng với các vấn đề đã được phân tích.

SCSS 7.3

Phân loại và phân tích các vấn đề về kỹ thuật

 

- An toàn thông tin.

- Cấu hình hệ thống và cấu hình mạng của tổ chức.

- Phân loại các thông tin về an toàn thông tin.

- Phân tích các vấn đề về chính sách an toàn thông tin và tiêu chí thực hiện trên cơ sở thông tin kỹ thuật được phân loại.

- Xem xét lại các chính sách an toàn thông tin tương ứng với các vấn đề đã được phân tích.

- Báo cáo cho lãnh đạo về các hoạt động quản lý cần thực hiện tương ứng với các vấn đề đã được phân tích.

SCSS 7.4

Phân loại và phân tích những rủi ro mới

 

- Các sự cố an toàn thông tin chủ quan và khách quan.

- Công nghệ an toàn thông tin.

- Cấu hình hệ thống và cấu hình mạng của tổ chức.

- Thu thập và phân loại thông tin về các sự cố an toàn thông tin chủ quan và khách quan.

- Xác định nguyên nhân của các sự cố an toàn thông tin từ các trường hợp thực tế và phân tích các biện pháp đối phó.

- Phân tích các vấn đề về chính sách an toàn thông tin và tiêu chí thực hiện trên cơ sở thông tin kỹ thuật được phân loại.

- Xem xét lại các chính sách an toàn thông tin tương ứng với các vấn đề đã được phân tích.

SCSS 7.5

Cập nhật chính sách an toàn thông tin

- Các quy trình sửa đổi chính sách an toàn thông tin.

- Chính sách an toàn thông tin.

- Phương pháp xây dựng chính sách an toàn thông tin và các tiêu chí an toàn thông tin.

- Định kỳ xem xét lại chính sách an toàn thông tin một cách thận trọng.