Tài liệu Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -----------o0o----------- NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001 LUẬN VĂN THẠC SĨ Hà nội 11 – 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -----------o0o----------- NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001 Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã ngành: 60.48.05 LUẬN VĂN THẠC SĨ CÁN BỘ HƯỚNG DẪN KHOA HỌC PGS.TS.TRỊNH NHẬT TIẾN Hà nội 11 – 2010 MỤC LỤC MỤC LỤC .................................................................................................... 1 DANH MỤC CÁC BẢNG............................................................................ 4 DANH MỤC CÁC HÌNH VẼ ...................................................................... 5 LỜI NÓI ĐẦU .............................................................................................. 6 Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN ............................ 9 1.1. KHÁI NIỆM VỀ AN TOÀN THÔNG TIN .................................... 9 1.2. CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN .................. 10 1.2.1. Những nguy cơ hiện hữu: ...................................................................... 10 1.2.2. Nguy cơ tương lai ................................................................................. 13 1.3. NHU CẦU HỆ THỐNG QUẢN LÝ ATTT .................................. 15 Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 . 16 2.1. GIỚI THIỆU .................................................................................. 16 2.1.1. Khái quát .............................................................................................. 16 2.1.2. Phạm vi áp dụng ................................................................................... 16 2.1.3. Cách tiếp cận theo quy trình .................................................................. 17 2.2. MỘT SỐ KHÁI NIỆM .................................................................. 19 1/. Tài sản...................................................................................................... 19 2/. Tính sẵn sàng ........................................................................................... 19 3/. Tính bí mật ............................................................................................... 19 4/. An toàn thông tin ...................................................................................... 19 5/. Sự kiện an toàn thông tin .......................................................................... 19 6/. Sự cố an toàn thông tin ............................................................................. 19 7/. Hệ thống quản lý an toàn thông tin ........................................................... 19 1 8/. Tính toàn vẹn ........................................................................................... 20 9/. Rủi ro tồn đọng ........................................................................................ 20 10/. Sự chấp nhận rủi ro .................................................................................. 20 11/. Phân tích rủi ro ......................................................................................... 20 12/. Đánh giá rủi ro ......................................................................................... 20 13/. Quản lý rủi ro ........................................................................................... 20 14/. Xử lý rủi ro............................................................................................... 20 15/. Thông báo áp dụng ................................................................................... 20 16/. Tổ chức .................................................................................................... 21 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT ...... 22 2.3 2.3.1. Thiết lập hệ thống quản lý ATTT .......................................................... 22 2.3.2. Triển khai và điều hành hệ thống quản lý ATTT ................................... 26 2.3.3. Giám sát và xem xét hệ thống quản lý ATTT ........................................ 27 2.3.4. Duy trì và nâng cấp hệ thống quản lý ATTT ......................................... 28 2.3.5. Các yêu cầu về hệ thống tài liệu ............................................................ 29 2.3.5.1. Khái quát ........................................................................................ 29 2.3.5.2. Biện pháp quản lý tài liệu ............................................................... 30 2.3.5.3. Biện pháp quản lý hồ sơ ................................................................. 30 TRÁCH NHIỆM CỦA BAN QUẢN LÝ ....................................... 31 2.4. 2.4.1. Cam kết của ban quản lý ....................................................................... 31 2.4.2. Quản lý nguồn lực ................................................................................. 32 2.4.2.1. Cấp phát nguồn lực ........................................................................ 32 2.4.2.2. Đào tạo, nhận thức và năng lực ...................................................... 32 2 2.5. KIỂM TRA NỘI BỘ HỆ THỐNG ATTT .................................... 33 2.6. BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT ......................... 34 2.6.1. Khái quát .............................................................................................. 34 2.6.2. Đầu vào của việc xem xét...................................................................... 34 2.6.3. Đầu ra của việc xem xét ........................................................................ 35 2.7. NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT ................................ 36 2.7.1. Nâng cấp thường xuyên ........................................................................ 36 2.7.2. Hành động khắc phục ............................................................................ 36 2.7.3. Hành động phòng ngừa ......................................................................... 37 Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý ........................... 38 Phụ lục B: Nguyên tắc của OECD và hệ hống ATTT .............................. 81 Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH ..................... 84 3.1. ĐẶT VẤN ĐỀ ................................................................................. 84 3.2. XÂY DỰNG CHƢƠNG TRÌNH ................................................... 85 3.2.1. Giải pháp .............................................................................................. 85 3.2.2. Xác định các tài sản và người chịu trách nhiệm quản lý ........................ 86 3.2.3. Đánh giá mức độ quan trọng của tài sản ................................................ 87 3.2.4. Đánh giá mức độ của các mối đe dọa .................................................... 89 3.2.5. Đánh giá mức độ của các lổ hổng .......................................................... 89 3.2.6. Tính mức độ rủi ro và báo cáo đánh giá rủi ro ....................................... 90 3.2.7. Phòng ngừa rủi ro.................................................................................. 90 3.2.8. Mức độ rủi ro có thể chấp nhận đuợc .................................................... 91 3.3. CÁC GIAO DIỆN CHÍNH ............................................................ 93 KẾT LUẬN ................................................................................................. 95 TÀI LIỆU THAM KHẢO.......................................................................... 97 3 BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT HTQL Hệ thông quản lý ATTT An toàn thông tin ISMS Information Security Management System ISO International Organization for Standardization PDCA Plan, Do, Check, Action TC Tổ chức OECD Organisation for Economic Co-operation and Development DANH MỤC CÁC BẢNG Bảng 1.1: Thiệt hại do virus gây ra trên thế giới Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam Bảng 1.3: Tỷ lệ nhiễm virus theo các năm Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó Bảng A: Các mục tiêu và biện pháp quản lý Bảng B: Các nguyên tắc OECD và mô hình PDCA Bảng 3.1: Các buớc đánh giá rủi ro Bảng 3.2: Đánh giá tài sản về mức độ bảo mật Bảng 3.3: Đánh giá tài sản về mức độ toàn vẹn Bảng 3.4: Đánh giá tài sản về mức độ sẳn sàng 4 DANH MỤC CÁC HÌNH VẼ Hình 1.1: CIA – Confidentiality, Intergrity, Availability Hình 1.2: Tỷ lệ các loai hình tấn công Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT Hình 3.1: Thêm mới, chỉnh sửa thông tin các loại tài sản, điều khiển và tài liệu của hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document). Hình 3.2: Đánh giá rủi ro (Risk Assessment). Hình 3.3: Phòng ngừa rủi ro (Risk Treatment). Hình 3.4: Mức rủi ro chấp nhận đuợc Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT. Hình 3.6: Thêm mới tài liệu cho hệ thống quản lý ATTT (Add ISMS Document). Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document). Hình 3.8: Màn hình Screen 5 LỜI NÓI ĐẦU Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn. Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ giúp đắc lực của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất an toàn thông tin gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng đến sự phát triển kinh tế, xã hội của đất nước. Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin, lý do đó làm cho hệ thống thông tin rất dễ có khả năng bị các tin tặc tấn công. Các thống kê cho thấy trong thời gian vừa qua đã có khoảng 60% website của bộ, ban ngành trực thuộc Chính phủ có đuôi tên miền '.gov.vn' có thể đã bị các hacker nước ngoài tấn công và nắm quyền kiểm soát, 342 website của Việt Nam bị hacker tấn công, hơn 40% website chứng khoán Việt Nam có thể bị hacker lợi dụng chiếm quyền kiểm soát và thay đổi kết quả giao dịch. Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn. 6 Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001. Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ trong hệ thống thông tin của mình bằng phương pháp phân tích rủi ro. Trong phương pháp này, mỗi tài sản thông tin đều được phân tích để chỉ rõ những nguy cơ có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng, website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh. Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên, chẳng hạn: không có giải pháp phòng chống virus máy tính, không kiểm soát mã nguồn của website, chưa có biện pháp backup dữ liệu, chưa có quy định không tiết lộ thông tin đối với nhân viên. Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an toàn, có khả năng miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người gây ra. Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế - xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường người an toàn” (Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ rất tốn kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định thuyết phục với các đối tác, các khách hàng về một môi trường thông tin an toàn và trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. 7 Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa trên hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông tin xảy ra. Luận văn này đuợc trình bày theo ba chương: Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế. Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó. Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001. 8 Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1. KHÁI NIỆM VỀ AN TOÀN THÔNG TIN Hình 1.1: CIA – Confidentiality, Intergrity, Availability Theo định nghĩa, an toàn thông tin (Information Security) là nhằm đảm bảo ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability)[1]. (Hình 1.1) Tính bảo mật: Thông tin không sẵn có hoặc không nên để lộ cho cá nhân, tổ chức, đối tượng chưa được uỷ quyền. Tính toàn vẹn: Thông tin đuợc bảo vệ và đuợc giữ gìn trọn vẹn. Tính sẵn có: Luôn sẵn sàng và sẵn có cho đối tượng đã đuợc uỷ quyền. Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin thì luôn cần phải duy trì đuợc sự cân bằng của ba yếu tố trên, ngoài ra các thuộc tính khác như tính xác thực, trách nhiệm giải trình, tính thừa nhận và tính tin cậy cũng có thể liên quan. 9 1.2. CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN 1.2.1. Những nguy cơ hiện hữu: Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính khoảng 2400 tỷ đồng. Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó. Đáng chú ý là các virus lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware). Bảng 1.1: Thiệt hại do virus gây ra trên thế giới Tên Năm Thiệt hại Sâu Morris 1988 Làm tê liệt 10% máy tính trên mạng Internet Vi rút Melisa 5/1999 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USD Vi rút Explorer 6/1999 Thiệt hại 1,1 tỷ USD Vi rút Love Bug 5/2000 Thiệt hại 8,75 tỷ USD Vi rút Sircam 7/2001 2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD Sâu Code Red 7/2001 359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD Sâu Nimda 9/2001 160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD Klez 2002 Thiệt hại 175 triệu USD BugBear 2002 Thiệt hại 500 triệu USD Badtrans 2002 90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD Blaster 2003 Thiệt hại 700 triệu USD Nachi 2003 Thiệt hại 500 triệu USD SoBig.F 2003 Thiệt hại 2,5 tỷ USD Sâu MyDoom 1/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD Nguy cơ mất ATTT tại Việt Nam tập trung vào hệ thống ngân hàng, bán lẻ và các công ty chứng khoán. Ngân hàng VietinBank cho biết mỗi ngày hệ thống của họ phát hiện khoảng 13.000 virus, 40.000 malware, grayware và khoảng 67.000 spam. Ngành Tài chính Việt Nam có hơn 7 vạn người dùng cuối và đang theo đuổi xu hướng liên kết chia sẻ thông tin, mở rộng dịch vụ tài chính công trực tuyến… song đến nay vẫn chưa có một hệ thống quản lý ATTT hoàn chỉnh. 10 Đáng lo hơn là tình trạng mất an toàn của các trang web ở Việt Nam, theo một báo cáo khác từ Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết số lượng website bị tấn công tại Việt Nam đã gia tăng từ 461 website năm 2008 lên 1.037 website năm 2009, trong đó có không ít cuộc tấn công nhằm vào hệ thống website của các cơ quan Bộ và Chính phủ, với hầu hết các website (hơn 60% website) của các cơ quan doanh nghiệp đều bị hackers tấn công. khoảng trên 80% trang web của các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm soát hệ thống. Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngoài hàng rào cơ quan móc dây, lấy trộm mật khẩu. Kết quả khảo sát của Bkis về các công ty chứng khoán cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an toàn, khi có tới một nửa trong số 32 trang web chứng khoán có lỗ hổng nghiêm trọng có thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt. Sau gần 1 năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được cải thiện nhưng vẫn còn tới 40% trang web còn lỗ hổng nguy hiểm. Tin tặc Việt Nam trình độ, thủ thuật ngày càng tinh vi hơn, chính vì thế mà tính chất các tấn công trở nên nguy hiểm hơn, đã xảy ra tình trạng một loạt website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Thêm vào đo là số virus mới xuất hiện cũng gia tăng từ 33.137 loại lên 47.638 loại. Trong các hướng của lây lan virus và các mã độc thì đã xuất hiện dạng lây lan sang các cả thiết bị di động. Trên sách báo công khai cũng đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện lây lan virus. Sự xuất hiện virus theo các năm càng ngày càng gia tăng cả về số lượng và mức độ thiệt hại. Thống kê đã cho biêt có tới hàng vạn máy tính bị nhiễm virus và con số thiệt hại lên tới nhiều tỷ đồng. Đây là một cuộc đấu tranh không có hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. 11 Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam Virus máy tính năm 2007 (tại Việt Nam ) Số lƣợng Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính Số virus mới xuất hiện trong năm 6.752 virus mới Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày Virus lây lan nhiều nhất trong năm: W32.Winib.Worm Lây nhiễm 511.000 máy tính Bảng 1.3: Tỷ lệ nhiễm virus theo các năm Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%) 2005 232 94% 2006 880 93% 2007 6.752 96% Hình 1.2: Tỷ lệ các loai hình tấn công 12 1.2.2. Nguy cơ tƣơng lai - Nguy cơ tia chớp - DDOS Toàn cầu - Tấn công hạ tầng trọng yếu - Nguy cơ rộng Lĩnh vực - Nguy cơ Warhol Khu vực - Tấn công tín dụng quốc gia - Tấn công hạ tầng Tổ chức riêng lẻ - Vi rút, Sâu Máy tính riêng lẻ - DOS - Tấn công tín dụng 1990s 2000 2002 2004 Thời gian Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực Giây Phút Giờ Ngày Tuần, tháng Loại III Đối phó nhân công: bất khả thi Tự động đối phó: hy vọng Khóa tiên tiến: có thể Nguy cơ tia chớp Nguy cơ Warhol Loại II Đối phó nhân công: khó/bất khả thi Tự động đối phó: có thể Nguy cơ diện rông Loại I Đối phó nhân công: có thể Sâu E-mail Vi rút File Vi rút Macro Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó 13 Nguy cơ về an toàn thông tin trong hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thông lại được chia thành một số loại mạng như sau: Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu của thương mại điện tử và Chính phủ điện tử. Đồng thời các phương tiện truyền thông như Internet đều dựa trên cơ sở mạng này. Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng. Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống khảo sát thăm dò... Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được các lợi ích của chúng. Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng. Nguy cơ về an toàn thông tin trong hạ tầng cơ sở kinh tế: Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán... đều sử dụng máy tính để duy trì các tài khoản và các giao dịch tài chính. Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe, Thị trường mua bán công khai và không công khai, Các doanh nghiệp tư nhân, Các trung tâm kinh doanh lớn. 14 1.3. NHU CẦU HỆ THỐNG QUẢN LÝ ATTT Một nghiên cứu cho thấy khi doanh nghiệp chuyển sang thương mại điện tử, nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%. Nhu cầu về an toàn thông tin càng ngày càng trở nên nóng hơn do ứng dụng CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa theo kịp. Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn tăng tốc. Ví dụ, ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng 80% hoạt động vụ của ngành đã diễn ra trên môi trường mạng. Ngành bắt đầu hình thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an toàn. Các lĩnh vực như chứng khoán, ngân hàng, thuế và hải quan và đặc biệt là thương mại điện tử đã chuyển dần hoạt động lên môi trường mạng. Việc hội nhập WTO cũng thúc đẩy các tổ chức và doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh. Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) chuẩn hóa là vô cùng cần thiết, ISO 270001 là một chuẩn quốc tế đáp ứng nhu cầu này. Nó cung cấp một khuôn khổ, bộ quy tắc cho việc khởi đầu, thiết lập, quản lý và duy trì an ninh thông tin trong tổ chức để thiết lập một nền tảng vững chắc cho chính sách an toàn thông tin, bảo về các tài sản của tổ chức, doanh nghiệp một cách thích hợp. Xây dựng đuợc một hình ảnh tích cực và là một bằng chứng thấy đuợc cho các bên quan tâm từ đó tạo ra lợi thế cạnh tranh và đem lại thành công, lợi nhuận trong quá trình hoạt động của các tổ chức và doanh nghiệp. 15 Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 2.1. GIỚI THIỆU 2.1.1. Khái quát Tiêu chuẩn quốc tế ISO/IEC 27001:2005 “Công nghệ thông tin – Các phương pháp bảo mật – Hệ thống quản lý an toàn thông tin – Các yêu cầu” (“Information Technology – Security techniques – Information security management system – Requirements”) được ban hành vào tháng 10/2005 và được xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799-2:2002 do Viện Tiêu chuẩn Anh ban hành năm 2002[2]. Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin - Information Security Management System (ATTT). Việc chấp nhận một hệ thống quản lý ATTT sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống hỗ trợ cần luôn được cập nhật và thay đổi. Việc đầu tư và triển khai một hệ thống quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức. Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận liên quan bên ngoài tổ chức. 2.1.2. Phạm vi áp dụng Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận v.v…). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức. 16 2.1.3. Cách tiếp cận theo quy trình Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý ATTT của tổ chức. Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo. Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp cận theo quy trình”. Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng của : 1/. Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết lập chính sách và mục tiêu cho an toàn thông tin. 2/. Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức. 3/. Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT. 4/. Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra. 5/. Tiêu chuẩn này thông qua mô hình “Lập kế hoạch – Thực hiện – Kiểm tra và Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý ATTT. Hình 2.1 dưới đây mô tả cách hệ thống quản lý ATTT lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo như các yêu cầu và kỳ vọng đã đặt ra. Hình 2.1 cũng chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các phần 2.3, 2.4, 2.5, 2.6 và 2.7. 17 Các bộ phận liên quan Các bộ phận liên quan P Thiết lập hệ thống ISMS D Triển khai và điều hành hệ thống ISMS Các yêu cầu và kỳ vọng về an toàn thông tin Duy trì và nâng cấp hệ thống ISMS A Giám sát và đánh giá hệ thống ISMS Kết quả quản lý an toàn thông tin C Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT P (Lập kế hoạch) - Thiết Thiết lập các chính sách, mục tiêu, quy trình và thủ tục lập ATTT liên quan đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu chung của tổ chức. D (Thực hiện) - Triển Cài đặt và vận hành các chính sách, biện pháp quản lý, khai và điều hành ATTT quy trình và thủ tục của hệ thống quản lý ATTT. C (Kiểm tra) - Giám sát Xác định hiệu quả việc thực hiện quy trình dựa trên chính và xem xét ATTT sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của ban quản lý. A (Hành động) - Duy trì Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các và nâng cấp ATTT kết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT, xem xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống quản lý ATTT. 18