ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
-----------o0o-----------
NGUYỄN VĂN ANH
NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
THEO TIÊU CHUẨN ISO 27001
LUẬN VĂN THẠC SĨ
Hà nội 11 – 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
-----------o0o-----------
NGUYỄN VĂN ANH
NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
THEO TIÊU CHUẨN ISO 27001
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã ngành: 60.48.05
LUẬN VĂN THẠC SĨ
CÁN BỘ HƯỚNG DẪN KHOA HỌC
PGS.TS.TRỊNH NHẬT TIẾN
Hà nội 11 – 2010
MỤC LỤC
MỤC LỤC .................................................................................................... 1
DANH MỤC CÁC BẢNG............................................................................ 4
DANH MỤC CÁC HÌNH VẼ ...................................................................... 5
LỜI NÓI ĐẦU .............................................................................................. 6
Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN ............................ 9
1.1.
KHÁI NIỆM VỀ AN TOÀN THÔNG TIN .................................... 9
1.2.
CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN .................. 10
1.2.1.
Những nguy cơ hiện hữu: ...................................................................... 10
1.2.2.
Nguy cơ tương lai ................................................................................. 13
1.3.
NHU CẦU HỆ THỐNG QUẢN LÝ ATTT .................................. 15
Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 . 16
2.1.
GIỚI THIỆU .................................................................................. 16
2.1.1.
Khái quát .............................................................................................. 16
2.1.2.
Phạm vi áp dụng ................................................................................... 16
2.1.3.
Cách tiếp cận theo quy trình .................................................................. 17
2.2.
MỘT SỐ KHÁI NIỆM .................................................................. 19
1/.
Tài sản...................................................................................................... 19
2/.
Tính sẵn sàng ........................................................................................... 19
3/.
Tính bí mật ............................................................................................... 19
4/.
An toàn thông tin ...................................................................................... 19
5/.
Sự kiện an toàn thông tin .......................................................................... 19
6/.
Sự cố an toàn thông tin ............................................................................. 19
7/.
Hệ thống quản lý an toàn thông tin ........................................................... 19
1
8/.
Tính toàn vẹn ........................................................................................... 20
9/.
Rủi ro tồn đọng ........................................................................................ 20
10/. Sự chấp nhận rủi ro .................................................................................. 20
11/. Phân tích rủi ro ......................................................................................... 20
12/. Đánh giá rủi ro ......................................................................................... 20
13/. Quản lý rủi ro ........................................................................................... 20
14/. Xử lý rủi ro............................................................................................... 20
15/. Thông báo áp dụng ................................................................................... 20
16/. Tổ chức .................................................................................................... 21
THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT ...... 22
2.3
2.3.1.
Thiết lập hệ thống quản lý ATTT .......................................................... 22
2.3.2.
Triển khai và điều hành hệ thống quản lý ATTT ................................... 26
2.3.3.
Giám sát và xem xét hệ thống quản lý ATTT ........................................ 27
2.3.4.
Duy trì và nâng cấp hệ thống quản lý ATTT ......................................... 28
2.3.5.
Các yêu cầu về hệ thống tài liệu ............................................................ 29
2.3.5.1.
Khái quát ........................................................................................ 29
2.3.5.2.
Biện pháp quản lý tài liệu ............................................................... 30
2.3.5.3.
Biện pháp quản lý hồ sơ ................................................................. 30
TRÁCH NHIỆM CỦA BAN QUẢN LÝ ....................................... 31
2.4.
2.4.1.
Cam kết của ban quản lý ....................................................................... 31
2.4.2.
Quản lý nguồn lực ................................................................................. 32
2.4.2.1.
Cấp phát nguồn lực ........................................................................ 32
2.4.2.2.
Đào tạo, nhận thức và năng lực ...................................................... 32
2
2.5.
KIỂM TRA NỘI BỘ HỆ THỐNG ATTT .................................... 33
2.6.
BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT ......................... 34
2.6.1.
Khái quát .............................................................................................. 34
2.6.2.
Đầu vào của việc xem xét...................................................................... 34
2.6.3.
Đầu ra của việc xem xét ........................................................................ 35
2.7.
NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT ................................ 36
2.7.1.
Nâng cấp thường xuyên ........................................................................ 36
2.7.2.
Hành động khắc phục ............................................................................ 36
2.7.3.
Hành động phòng ngừa ......................................................................... 37
Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý ........................... 38
Phụ lục B: Nguyên tắc của OECD và hệ hống ATTT .............................. 81
Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH ..................... 84
3.1.
ĐẶT VẤN ĐỀ ................................................................................. 84
3.2.
XÂY DỰNG CHƢƠNG TRÌNH ................................................... 85
3.2.1.
Giải pháp .............................................................................................. 85
3.2.2.
Xác định các tài sản và người chịu trách nhiệm quản lý ........................ 86
3.2.3.
Đánh giá mức độ quan trọng của tài sản ................................................ 87
3.2.4.
Đánh giá mức độ của các mối đe dọa .................................................... 89
3.2.5.
Đánh giá mức độ của các lổ hổng .......................................................... 89
3.2.6.
Tính mức độ rủi ro và báo cáo đánh giá rủi ro ....................................... 90
3.2.7.
Phòng ngừa rủi ro.................................................................................. 90
3.2.8.
Mức độ rủi ro có thể chấp nhận đuợc .................................................... 91
3.3.
CÁC GIAO DIỆN CHÍNH ............................................................ 93
KẾT LUẬN ................................................................................................. 95
TÀI LIỆU THAM KHẢO.......................................................................... 97
3
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
HTQL
Hệ thông quản lý
ATTT
An toàn thông tin
ISMS
Information Security Management System
ISO
International Organization for Standardization
PDCA
Plan, Do, Check, Action
TC
Tổ chức
OECD
Organisation for Economic Co-operation and Development
DANH MỤC CÁC BẢNG
Bảng 1.1: Thiệt hại do virus gây ra trên thế giới
Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam
Bảng 1.3: Tỷ lệ nhiễm virus theo các năm
Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực
Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó
Bảng A: Các mục tiêu và biện pháp quản lý
Bảng B: Các nguyên tắc OECD và mô hình PDCA
Bảng 3.1: Các buớc đánh giá rủi ro
Bảng 3.2: Đánh giá tài sản về mức độ bảo mật
Bảng 3.3: Đánh giá tài sản về mức độ toàn vẹn
Bảng 3.4: Đánh giá tài sản về mức độ sẳn sàng
4
DANH MỤC CÁC HÌNH VẼ
Hình 1.1: CIA – Confidentiality, Intergrity, Availability
Hình 1.2: Tỷ lệ các loai hình tấn công
Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT
Hình 3.1: Thêm mới, chỉnh sửa thông tin các loại tài sản, điều khiển và tài liệu của
hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document).
Hình 3.2: Đánh giá rủi ro (Risk Assessment).
Hình 3.3: Phòng ngừa rủi ro (Risk Treatment).
Hình 3.4: Mức rủi ro chấp nhận đuợc
Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT.
Hình 3.6: Thêm mới tài liệu cho hệ thống quản lý ATTT (Add ISMS Document).
Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document).
Hình 3.8: Màn hình Screen
5
LỜI NÓI ĐẦU
Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày
càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn
vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ
thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các
đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn.
Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ
giúp đắc lực của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và
đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất an
toàn thông tin gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với
các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng
đến sự phát triển kinh tế, xã hội của đất nước.
Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng
hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin,
lý do đó làm cho hệ thống thông tin rất dễ có khả năng bị các tin tặc tấn công. Các
thống kê cho thấy trong thời gian vừa qua đã có khoảng 60% website của bộ, ban
ngành trực thuộc Chính phủ có đuôi tên miền '.gov.vn' có thể đã bị các hacker nước
ngoài tấn công và nắm quyền kiểm soát, 342 website của Việt Nam bị hacker tấn
công, hơn 40% website chứng khoán Việt Nam có thể bị hacker lợi dụng chiếm
quyền kiểm soát và thay đổi kết quả giao dịch.
Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ
đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các
cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn
đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một
vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn
tổng quát và khoa học hơn.
6
Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ
thống quản lý an ninh thông tin ATTT (Information Security Management System)
theo tiêu chuẩn ISO 27001.
Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ
trong hệ thống thông tin của mình bằng phương pháp phân tích rủi ro. Trong
phương pháp này, mỗi tài sản thông tin đều được phân tích để chỉ rõ những nguy cơ
có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng,
website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân
viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh.
Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên,
chẳng hạn: không có giải pháp phòng chống virus máy tính, không kiểm soát mã
nguồn của website, chưa có biện pháp backup dữ liệu, chưa có quy định không tiết
lộ thông tin đối với nhân viên.
Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng
nhận thức cho đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an
toàn, có khả năng miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người
gây ra. Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế
- xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống
trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường người an toàn”
(Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch sẽ
có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ
rất tốn kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định
thuyết phục với các đối tác, các khách hàng về một môi trường thông tin an toàn và
trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành
mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
7
Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa
trên hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn
ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp
xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông
tin xảy ra.
Luận văn này đuợc trình bày theo ba chương:
Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm,
các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một
hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế.
Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của
tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông
tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm
thế nào để kiểm soát được những rủi ro đó.
Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”,
như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch
ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách
tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001.
8
Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.1.
KHÁI NIỆM VỀ AN TOÀN THÔNG TIN
Hình 1.1: CIA – Confidentiality, Intergrity, Availability
Theo định nghĩa, an toàn thông tin (Information Security) là nhằm đảm bảo
ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: tính bí mật (Confidentiality),
tính toàn vẹn (Integrity) và tính sẵn sàng (Availability)[1]. (Hình 1.1)
Tính bảo mật: Thông tin không sẵn có hoặc không nên để lộ cho cá nhân, tổ
chức, đối tượng chưa được uỷ quyền.
Tính toàn vẹn: Thông tin đuợc bảo vệ và đuợc giữ gìn trọn vẹn.
Tính sẵn có: Luôn sẵn sàng và sẵn có cho đối tượng đã đuợc uỷ quyền.
Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin thì luôn cần phải
duy trì đuợc sự cân bằng của ba yếu tố trên, ngoài ra các thuộc tính khác như tính
xác thực, trách nhiệm giải trình, tính thừa nhận và tính tin cậy cũng có thể liên quan.
9
1.2.
CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN
1.2.1. Những nguy cơ hiện hữu:
Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có
hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính
khoảng 2400 tỷ đồng. Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus
mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó. Đáng chú ý là các virus
lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng
virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware).
Bảng 1.1: Thiệt hại do virus gây ra trên thế giới
Tên
Năm
Thiệt hại
Sâu Morris
1988
Làm tê liệt 10% máy tính trên mạng Internet
Vi rút Melisa
5/1999
100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USD
Vi rút Explorer
6/1999
Thiệt hại 1,1 tỷ USD
Vi rút Love Bug
5/2000
Thiệt hại 8,75 tỷ USD
Vi rút Sircam
7/2001
2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD
Sâu Code Red
7/2001
359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD
Sâu Nimda
9/2001
160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD
Klez
2002
Thiệt hại 175 triệu USD
BugBear
2002
Thiệt hại 500 triệu USD
Badtrans
2002
90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD
Blaster
2003
Thiệt hại 700 triệu USD
Nachi
2003
Thiệt hại 500 triệu USD
SoBig.F
2003
Thiệt hại 2,5 tỷ USD
Sâu MyDoom
1/2004
100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD
Nguy cơ mất ATTT tại Việt Nam tập trung vào hệ thống ngân hàng, bán lẻ
và các công ty chứng khoán. Ngân hàng VietinBank cho biết mỗi ngày hệ thống của
họ phát hiện khoảng 13.000 virus, 40.000 malware, grayware và khoảng 67.000
spam. Ngành Tài chính Việt Nam có hơn 7 vạn người dùng cuối và đang theo đuổi
xu hướng liên kết chia sẻ thông tin, mở rộng dịch vụ tài chính công trực tuyến…
song đến nay vẫn chưa có một hệ thống quản lý ATTT hoàn chỉnh.
10
Đáng lo hơn là tình trạng mất an toàn của các trang web ở Việt Nam, theo
một báo cáo khác từ Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết số lượng
website bị tấn công tại Việt Nam đã gia tăng từ 461 website năm 2008 lên 1.037
website năm 2009, trong đó có không ít cuộc tấn công nhằm vào hệ thống website
của các cơ quan Bộ và Chính phủ, với hầu hết các website (hơn 60% website) của
các cơ quan doanh nghiệp đều bị hackers tấn công. khoảng trên 80% trang web của
các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm soát hệ thống.
Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngoài hàng rào cơ
quan móc dây, lấy trộm mật khẩu. Kết quả khảo sát của Bkis về các công ty chứng
khoán cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an toàn,
khi có tới một nửa trong số 32 trang web chứng khoán có lỗ hổng nghiêm trọng có
thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt. Sau gần 1
năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được
cải thiện nhưng vẫn còn tới 40% trang web còn lỗ hổng nguy hiểm.
Tin tặc Việt Nam trình độ, thủ thuật ngày càng tinh vi hơn, chính vì thế mà
tính chất các tấn công trở nên nguy hiểm hơn, đã xảy ra tình trạng một loạt website
bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên
miền, bị chiếm quyền sử dụng. Thêm vào đo là số virus mới xuất hiện cũng gia tăng
từ 33.137 loại lên 47.638 loại. Trong các hướng của lây lan virus và các mã độc thì
đã xuất hiện dạng lây lan sang các cả thiết bị di động. Trên sách báo công khai cũng
đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện
lây lan virus. Sự xuất hiện virus theo các năm càng ngày càng gia tăng cả về số
lượng và mức độ thiệt hại. Thống kê đã cho biêt có tới hàng vạn máy tính bị nhiễm
virus và con số thiệt hại lên tới nhiều tỷ đồng. Đây là một cuộc đấu tranh không có
hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn
cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh.
11
Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam
Virus máy tính năm 2007 (tại Việt Nam )
Số lƣợng
Số lượt máy tính bị nhiễm virus
33.646.000 lượt máy tính
Số virus mới xuất hiện trong năm
6.752 virus mới
Số virus xuất hiện trung bình trong 1 ngày
18,49 virus mới / ngày
Virus lây lan nhiều nhất trong năm: W32.Winib.Worm Lây nhiễm 511.000 máy tính
Bảng 1.3: Tỷ lệ nhiễm virus theo các năm
Năm
Số virus mới xuất hiện
Tỷ lệ máy tính bị nhiễm virus (%)
2005
232
94%
2006
880
93%
2007
6.752
96%
Hình 1.2: Tỷ lệ các loai hình tấn công
12
1.2.2. Nguy cơ tƣơng lai
- Nguy cơ tia chớp
- DDOS
Toàn cầu
- Tấn công hạ tầng trọng yếu
- Nguy cơ rộng
Lĩnh vực
- Nguy cơ Warhol
Khu vực
- Tấn công tín dụng quốc gia
- Tấn công hạ tầng
Tổ chức
riêng lẻ
- Vi rút, Sâu
Máy tính
riêng lẻ
- DOS
- Tấn công tín dụng
1990s
2000
2002
2004
Thời gian
Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực
Giây
Phút
Giờ
Ngày
Tuần,
tháng
Loại III
Đối phó nhân công: bất khả thi
Tự động đối phó: hy vọng
Khóa tiên tiến: có thể
Nguy cơ tia chớp
Nguy cơ Warhol
Loại II
Đối phó nhân công: khó/bất khả thi
Tự động đối phó: có thể
Nguy cơ
diện rông
Loại I
Đối phó nhân công: có thể
Sâu E-mail
Vi rút File
Vi rút Macro
Đầu 1990s Giữa 1990s
Cuối 1990s
2000
2003
Thời gian
Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó
13
Nguy cơ về an toàn thông tin trong hạ tầng viễn thông: Như chúng ta đã biết
ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa
trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng
bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thông lại được chia
thành một số loại mạng như sau:
Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ
tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu
của thương mại điện tử và Chính phủ điện tử. Đồng thời các phương tiện truyền
thông như Internet đều dựa trên cơ sở mạng này.
Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di
động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành
nạn nhân của bọn tội phạm mạng.
Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng
điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao
đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không,
các hệ thống khảo sát thăm dò...
Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng
thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin,
các cơ quan tổ chức để đạt được các lợi ích của chúng.
Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này
tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở
và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng.
Nguy cơ về an toàn thông tin trong hạ tầng cơ sở kinh tế: Các tổ chức tài
chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán... đều sử dụng
máy tính để duy trì các tài khoản và các giao dịch tài chính. Các nhà máy công
nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật
tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe, Thị trường
mua bán công khai và không công khai, Các doanh nghiệp tư nhân, Các trung tâm
kinh doanh lớn.
14
1.3.
NHU CẦU HỆ THỐNG QUẢN LÝ ATTT
Một nghiên cứu cho thấy khi doanh nghiệp chuyển sang thương mại điện tử,
nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ
và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%.
Nhu cầu về an toàn thông tin càng ngày càng trở nên nóng hơn do ứng dụng
CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa
theo kịp. Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn tăng tốc. Ví dụ,
ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng
80% hoạt động vụ của ngành đã diễn ra trên môi trường mạng. Ngành bắt đầu hình
thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an toàn. Các lĩnh vực như chứng
khoán, ngân hàng, thuế và hải quan và đặc biệt là thương mại điện tử đã chuyển dần
hoạt động lên môi trường mạng. Việc hội nhập WTO cũng thúc đẩy các tổ chức và
doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh.
Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ
thống quản lý an ninh thông tin ATTT (Information Security Management System)
chuẩn hóa là vô cùng cần thiết, ISO 270001 là một chuẩn quốc tế đáp ứng nhu cầu
này. Nó cung cấp một khuôn khổ, bộ quy tắc cho việc khởi đầu, thiết lập, quản lý và
duy trì an ninh thông tin trong tổ chức để thiết lập một nền tảng vững chắc cho
chính sách an toàn thông tin, bảo về các tài sản của tổ chức, doanh nghiệp một cách
thích hợp. Xây dựng đuợc một hình ảnh tích cực và là một bằng chứng thấy đuợc
cho các bên quan tâm từ đó tạo ra lợi thế cạnh tranh và đem lại thành công, lợi
nhuận trong quá trình hoạt động của các tổ chức và doanh nghiệp.
15
Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001
2.1.
GIỚI THIỆU
2.1.1. Khái quát
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 “Công nghệ thông tin – Các
phương pháp bảo mật – Hệ thống quản lý an toàn thông tin – Các yêu cầu”
(“Information Technology
–
Security techniques
–
Information security
management system – Requirements”) được ban hành vào tháng 10/2005 và được
xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799-2:2002 do Viện Tiêu chuẩn
Anh ban hành năm 2002[2].
Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết
lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an
toàn thông tin - Information Security Management System (ATTT). Việc chấp nhận
một hệ thống quản lý ATTT sẽ là một quyết định chiến lược của tổ chức. Thiết kế
và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các
nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình
đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống
hỗ trợ cần luôn được cập nhật và thay đổi. Việc đầu tư và triển khai một hệ thống
quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức. Tiêu chuẩn
này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng
như các bộ phận liên quan bên ngoài tổ chức.
2.1.2. Phạm vi áp dụng
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức
khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận
v.v…). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai,
điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để
đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức.
Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn
đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức.
16
2.1.3. Cách tiếp cận theo quy trình
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản
lý ATTT của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một
cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp
nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông
thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo.
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết
tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp
cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong
tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng
của :
1/. Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết
lập chính sách và mục tiêu cho an toàn thông tin.
2/. Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin
của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức.
3/. Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT.
4/. Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
5/. Tiêu chuẩn này thông qua mô hình “Lập kế hoạch – Thực hiện – Kiểm tra và
Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý
ATTT. Hình 2.1 dưới đây mô tả cách hệ thống quản lý ATTT lấy đầu vào là các
yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành
các quy trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo như các yêu cầu
và kỳ vọng đã đặt ra. Hình 2.1 cũng chỉ ra các liên hệ giữa các quy trình được
biểu diễn trong các phần 2.3, 2.4, 2.5, 2.6 và 2.7.
17
Các bộ
phận liên
quan
Các bộ
phận liên
quan
P
Thiết lập hệ
thống ISMS
D
Triển khai và
điều hành hệ
thống ISMS
Các yêu
cầu và kỳ
vọng về an
toàn thông
tin
Duy trì và
nâng cấp hệ
thống ISMS
A
Giám sát và
đánh giá hệ
thống ISMS
Kết quả
quản lý an
toàn thông
tin
C
Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT
P (Lập kế hoạch) - Thiết
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục
lập ATTT
liên quan đến việc quản lý các rủi ro và nâng cao an toàn
thông tin nhằm đem lại các kết quả phù hợp với các chính
sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển
Cài đặt và vận hành các chính sách, biện pháp quản lý,
khai và điều hành ATTT
quy trình và thủ tục của hệ thống quản lý ATTT.
C (Kiểm tra) - Giám sát
Xác định hiệu quả việc thực hiện quy trình dựa trên chính
và xem xét ATTT
sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh
nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của
ban quản lý.
A (Hành động) - Duy trì
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các
và nâng cấp ATTT
kết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT,
xem xét của ban quản lý hoặc các thông tin liên quan khác
nhằm liên tục hoàn thiện hệ thống quản lý ATTT.
18
- Xem thêm -