Tải bản đầy đủ (.pdf) (99 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.58 MB, 99 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
o0o



NGUYỄN VĂN ANH



NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
THEO TIÊU CHUẨN ISO 27001






LUẬN VĂN THẠC SĨ






Hà nội 11 – 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
o0o




NGUYỄN VĂN ANH



NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
THEO TIÊU CHUẨN ISO 27001



Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã ngành: 60.48.05

LUẬN VĂN THẠC SĨ

CÁN BỘ HƯỚNG DẪN KHOA HỌC
PGS.TS.TRỊNH NHẬT TIẾN


Hà nội 11 – 2010
1

MỤC LỤC

MỤC LỤC 1
DANH MỤC CÁC BẢNG 4
DANH MỤC CÁC HÌNH VẼ 5
LỜI NÓI ĐẦU 6
Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 9

1.1. KHÁI NIỆM VỀ AN TOÀN THÔNG TIN 9
1.2. CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN 10
1.2.1. Những nguy cơ hiện hữu: 10
1.2.2. Nguy cơ tương lai 13
1.3. NHU CẦU HỆ THỐNG QUẢN LÝ ATTT 15
Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 . 16
2.1. GIỚI THIỆU 16
2.1.1. Khái quát 16
2.1.2. Phạm vi áp dụng 16
2.1.3. Cách tiếp cận theo quy trình 17
2.2. MỘT SỐ KHÁI NIỆM 19
1/. Tài sản 19
2/. Tính sẵn sàng 19
3/. Tính bí mật 19
4/. An toàn thông tin 19
5/. Sự kiện an toàn thông tin 19
6/. Sự cố an toàn thông tin 19
7/. Hệ thống quản lý an toàn thông tin 19
2

8/. Tính toàn vẹn 20
9/. Rủi ro tồn đọng 20
10/. Sự chấp nhận rủi ro 20
11/. Phân tích rủi ro 20
12/. Đánh giá rủi ro 20
13/. Quản lý rủi ro 20
14/. Xử lý rủi ro 20
15/. Thông báo áp dụng 20
16/. Tổ chức 21
2.3 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT 22

2.3.1. Thiết lập hệ thống quản lý ATTT 22
2.3.2. Triển khai và điều hành hệ thống quản lý ATTT 26
2.3.3. Giám sát và xem xét hệ thống quản lý ATTT 27
2.3.4. Duy trì và nâng cấp hệ thống quản lý ATTT 28
2.3.5. Các yêu cầu về hệ thống tài liệu 29
2.3.5.1. Khái quát 29
2.3.5.2. Biện pháp quản lý tài liệu 30
2.3.5.3. Biện pháp quản lý hồ sơ 30
2.4. TRÁCH NHIỆM CỦA BAN QUẢN LÝ 31
2.4.1. Cam kết của ban quản lý 31
2.4.2. Quản lý nguồn lực 32
2.4.2.1. Cấp phát nguồn lực 32
2.4.2.2. Đào tạo, nhận thức và năng lực 32



3

2.5. KIỂM TRA NỘI BỘ HỆ THỐNG ATTT 33
2.6. BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT 34
2.6.1. Khái quát 34
2.6.2. Đầu vào của việc xem xét 34
2.6.3. Đầu ra của việc xem xét 35
2.7. NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT 36
2.7.1. Nâng cấp thường xuyên 36
2.7.2. Hành động khắc phục 36
2.7.3. Hành động phòng ngừa 37
Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý 38
Phụ lục B: Nguyên tắc của OECD và hệ hống ATTT 81
Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH 84

3.1. ĐẶT VẤN ĐỀ 84
3.2. XÂY DỰNG CHƢƠNG TRÌNH 85
3.2.1. Giải pháp 85
3.2.2. Xác định các tài sản và người chịu trách nhiệm quản lý 86
3.2.3. Đánh giá mức độ quan trọng của tài sản 87
3.2.4. Đánh giá mức độ của các mối đe dọa 89
3.2.5. Đánh giá mức độ của các lổ hổng 89
3.2.6. Tính mức độ rủi ro và báo cáo đánh giá rủi ro 90
3.2.7. Phòng ngừa rủi ro 90
3.2.8. Mức độ rủi ro có thể chấp nhận đuợc 91
3.3. CÁC GIAO DIỆN CHÍNH 93
KẾT LUẬN 95
TÀI LIỆU THAM KHẢO 97
4

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
HTQL Hệ thông quản lý
ATTT An toàn thông tin
ISMS Information Security Management System
ISO International Organization for Standardization
PDCA Plan, Do, Check, Action
TC Tổ chức
OECD Organisation for Economic Co-operation and Development

DANH MỤC CÁC BẢNG
Bảng 1.1: Thiệt hại do virus gây ra trên thế giới
Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam
Bảng 1.3: Tỷ lệ nhiễm virus theo các năm
Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực
Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó

Bảng A: Các mục tiêu và biện pháp quản lý
Bảng B: Các nguyên tắc OECD và mô hình PDCA
Bảng 3.1: Các buớc đánh giá rủi ro
Bảng 3.2: Đánh giá tài sản về mức độ bảo mật
Bảng 3.3: Đánh giá tài sản về mức độ toàn vẹn
Bảng 3.4: Đánh giá tài sản về mức độ sẳn sàng








5

DANH MỤC CÁC HÌNH VẼ
Hình 1.1: CIA – Confidentiality, Intergrity, Availability
Hình 1.2: Tỷ lệ các loai hình tấn công
Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT
Hình 3.1: Thêm mới, chỉnh sửa thông tin các loại tài sản, điều khiển và tài liệu của
hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document).
Hình 3.2: Đánh giá rủi ro (Risk Assessment).
Hình 3.3: Phòng ngừa rủi ro (Risk Treatment).
Hình 3.4: Mức rủi ro chấp nhận đuợc
Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT.
Hình 3.6: Thêm mới tài liệu cho hệ thống quản lý ATTT (Add ISMS Document).
Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document).
Hình 3.8: Màn hình Screen

















6

LỜI NÓI ĐẦU

Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày
càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn
vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ
thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các
đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn.

Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ
giúp đắc lực của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và
đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất an
toàn thông tin gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với
các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng

đến sự phát triển kinh tế, xã hội của đất nước.

Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng
hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin,
lý do đó làm cho hệ thống thông tin rất dễ có khả năng bị các tin tặc tấn công. Các
thống kê cho thấy trong thời gian vừa qua đã có khoảng 60% website của bộ, ban
ngành trực thuộc Chính phủ có đuôi tên miền '.gov.vn' có thể đã bị các hacker nước
ngoài tấn công và nắm quyền kiểm soát, 342 website của Việt Nam bị hacker tấn
công, hơn 40% website chứng khoán Việt Nam có thể bị hacker lợi dụng chiếm
quyền kiểm soát và thay đổi kết quả giao dịch.

Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ
đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các
cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn
đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một
vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn
tổng quát và khoa học hơn.
7

Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ
thống quản lý an ninh thông tin ATTT (Information Security Management System)
theo tiêu chuẩn ISO 27001.

Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ
trong hệ thống thông tin của mình bằng phương pháp phân tích rủi ro. Trong
phương pháp này, mỗi tài sản thông tin đều được phân tích để chỉ rõ những nguy cơ
có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng,
website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân
viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh.


Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên,
chẳng hạn: không có giải pháp phòng chống virus máy tính, không kiểm soát mã
nguồn của website, chưa có biện pháp backup dữ liệu, chưa có quy định không tiết
lộ thông tin đối với nhân viên.

Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng
nhận thức cho đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an
toàn, có khả năng miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người
gây ra. Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế
- xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống
trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường người an toàn”
(Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch sẽ
có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ
rất tốn kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định
thuyết phục với các đối tác, các khách hàng về một môi trường thông tin an toàn và
trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành
mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.


8

Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa
trên hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn
ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp
xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông
tin xảy ra.

Luận văn này đuợc trình bày theo ba chương:

Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm,

các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một
hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế.

Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của
tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông
tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm
thế nào để kiểm soát được những rủi ro đó.

Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”,
như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch
ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách
tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001.








9

Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.1. KHÁI NIỆM VỀ AN TOÀN THÔNG TIN


Hình 1.1: CIA – Confidentiality, Intergrity, Availability

Theo định nghĩa, an toàn thông tin (Information Security) là nhằm đảm bảo
ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: tính bí mật (Confidentiality),

tính toàn vẹn (Integrity) và tính sẵn sàng (Availability)[1]. (Hình 1.1)
Tính bảo mật: Thông tin không sẵn có hoặc không nên để lộ cho cá nhân, tổ
chức, đối tượng chưa được uỷ quyền.
Tính toàn vẹn: Thông tin đuợc bảo vệ và đuợc giữ gìn trọn vẹn.
Tính sẵn có: Luôn sẵn sàng và sẵn có cho đối tượng đã đuợc uỷ quyền.
Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin thì luôn cần phải
duy trì đuợc sự cân bằng của ba yếu tố trên, ngoài ra các thuộc tính khác như tính
xác thực, trách nhiệm giải trình, tính thừa nhận và tính tin cậy cũng có thể liên quan.






10

1.2. CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN
1.2.1. Những nguy cơ hiện hữu:
Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có
hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính
khoảng 2400 tỷ đồng. Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus
mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó. Đáng chú ý là các virus
lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng
virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware).
Bảng 1.1: Thiệt hại do virus gây ra trên thế giới
T
T
ê
ê
n

n
N
N
ă
ă
m
m
T
T
h
h
i
i


t
t


h
h


i
i
S
S
â
â
u

u


M
M
o
o
r
r
r
r
i
i
s
s


1
1
9
9
8
8
8
8


L
L
à

à
m
m


t
t
ê
ê


l
l
i
i


t
t


1
1
0
0
%
%


m

m
á
á
y
y


t
t
í
í
n
n
h
h


t
t
r
r
ê
ê
n
n


m
m



n
n
g
g


I
I
n
n
t
t
e
e
r
r
n
n
e
e
t
t
V
V
i
i


r

r
ú
ú
t
t


M
M
e
e
l
l
i
i
s
s
a
a


5
5
/
/
1
1
9
9
9

9
9
9


1
1
0
0
0
0
.
.
0
0
0
0
0
0


m
m
á
á
y
y


t

t
í
í
n
n
h
h


b
b






n
n
h
h


h
h
ư
ư


n

n
g
g
/
/
1
1


t
t
u
u


n
n


T
T
h
h
i
i


t
t



h
h


i
i


1
1
,
,
5
5


t
t




U
U
S
S
D
D
V

V
i
i


r
r
ú
ú
t
t


E
E
x
x
p
p
l
l
o
o
r
r
e
e
r
r
6

6
/
/
1
1
9
9
9
9
9
9


T
T
h
h
i
i


t
t


h
h


i

i


1
1
,
,
1
1


t
t




U
U
S
S
D
D
V
V
i
i


r

r
ú
ú
t
t


L
L
o
o
v
v
e
e


B
B
u
u
g
g
5
5
/
/
2
2
0

0
0
0
0
0


T
T
h
h
i
i


t
t


h
h


i
i


8
8
,

,
7
7
5
5


t
t




U
U
S
S
D
D
V
V
i
i


r
r
ú
ú
t

t


S
S
i
i
r
r
c
c
a
a
m
m
7
7
/
/
2
2
0
0
0
0
1
1


2

2
,
,
3
3


t
t
r
r
i
i


u
u


m
m
á
á
y
y


t
t
í

í
n
n
h
h


b
b




n
n
h
h
i
i


m
m
,
,


t
t
h

h
i
i


t
t


h
h


i
i


1
1
,
,
2
2
5
5


t
t





U
U
S
S
D
D
S
S
â
â
u
u


C
C
o
o
d
d
e
e


R
R
e

e
d
d
7
7
/
/
2
2
0
0
0
0
1
1
3
3
5
5
9
9
.
.
0
0
0
0
0
0



m
m
á
á
y
y


t
t
í
í
n
n
h
h


b
b




n
n
h
h
i

i


m
m
/
/
1
1
4
4


g
g
i
i


,
,


T
T
h
h
i
i



t
t


h
h


i
i


2
2
,
,
7
7
5
5


t
t




U

U
S
S
D
D
S
S
â
â
u
u


N
N
i
i
m
m
d
d
a
a
9
9
/
/
2
2
0

0
0
0
1
1
1
1
6
6
0
0
.
.
0
0
0
0
0
0


m
m
á
á
y
y


t

t
í
í
n
n
h
h


b
b




n
n
h
h
i
i


m
m
,
,


T

T
h
h
i
i


t
t


h
h


i
i


1
1
,
,
5
5


t
t





U
U
S
S
D
D
K
K
l
l
e
e
z
z
2
2
0
0
0
0
2
2
T
T
h
h
i

i


t
t


h
h


i
i


1
1
7
7
5
5


t
t
r
r
i
i



u
u


U
U
S
S
D
D
B
B
u
u
g
g
B
B
e
e
a
a
r
r
2
2
0
0
0

0
2
2
T
T
h
h
i
i


t
t


h
h


i
i


5
5
0
0
0
0



t
t
r
r
i
i


u
u


U
U
S
S
D
D
B
B
a
a
d
d
t
t
r
r
a

a
n
n
s
s
2
2
0
0
0
0
2
2
9
9
0
0
%
%


m
m
á
á
y
y


t

t
í
í
n
n
h
h


b
b




n
n
h
h
i
i


m
m
/
/
1
1
0

0


p
p
h
h
ú
ú
t
t
T
T
h
h
i
i


t
t


h
h


i
i



1
1
,
,
5
5


t
t




U
U
S
S
D
D
B
B
l
l
a
a
s
s
t

t
e
e
r
r
2
2
0
0
0
0
3
3
T
T
h
h
i
i


t
t


h
h


i

i


7
7
0
0
0
0


t
t
r
r
i
i


u
u


U
U
S
S
D
D
N

N
a
a
c
c
h
h
i
i
2
2
0
0
0
0
3
3
T
T
h
h
i
i


t
t


h

h


i
i


5
5
0
0
0
0


t
t
r
r
i
i


u
u


U
U
S

S
D
D
S
S
o
o
B
B
i
i
g
g
.
.
F
F
2
2
0
0
0
0
3
3
T
T
h
h
i

i


t
t


h
h


i
i


2
2
,
,
5
5


t
t




U

U
S
S
D
D
S
S
â
â
u
u


M
M
y
y
D
D
o
o
o
o
m
m
1
1
/
/
2

2
0
0
0
0
4
4
1
1
0
0
0
0
.
.
0
0
0
0
0
0


m
m
á
á
y
y



t
t
í
í
n
n
h
h


b
b




n
n
h
h
i
i


m
m
/
/
1

1


g
g
i
i


,
,


T
T
h
h
i
i


t
t


h
h


i

i


h
h
ơ
ơ
n
n


4
4


t
t




U
U
S
S
D
D

Nguy cơ mất ATTT tại Việt Nam tập trung vào hệ thống ngân hàng, bán lẻ
và các công ty chứng khoán. Ngân hàng VietinBank cho biết mỗi ngày hệ thống của

họ phát hiện khoảng 13.000 virus, 40.000 malware, grayware và khoảng 67.000
spam. Ngành Tài chính Việt Nam có hơn 7 vạn người dùng cuối và đang theo đuổi
xu hướng liên kết chia sẻ thông tin, mở rộng dịch vụ tài chính công trực tuyến…
song đến nay vẫn chưa có một hệ thống quản lý ATTT hoàn chỉnh.
11

Đáng lo hơn là tình trạng mất an toàn của các trang web ở Việt Nam, theo
một báo cáo khác từ Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết số lượng
website bị tấn công tại Việt Nam đã gia tăng từ 461 website năm 2008 lên 1.037
website năm 2009, trong đó có không ít cuộc tấn công nhằm vào hệ thống website
của các cơ quan Bộ và Chính phủ, với hầu hết các website (hơn 60% website) của
các cơ quan doanh nghiệp đều bị hackers tấn công. khoảng trên 80% trang web của
các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm soát hệ thống.
Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngoài hàng rào cơ
quan móc dây, lấy trộm mật khẩu. Kết quả khảo sát của Bkis về các công ty chứng
khoán cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an toàn,
khi có tới một nửa trong số 32 trang web chứng khoán có lỗ hổng nghiêm trọng có
thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt. Sau gần 1
năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được
cải thiện nhưng vẫn còn tới 40% trang web còn lỗ hổng nguy hiểm.
Tin tặc Việt Nam trình độ, thủ thuật ngày càng tinh vi hơn, chính vì thế mà
tính chất các tấn công trở nên nguy hiểm hơn, đã xảy ra tình trạng một loạt website
bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên
miền, bị chiếm quyền sử dụng. Thêm vào đo là số virus mới xuất hiện cũng gia tăng
từ 33.137 loại lên 47.638 loại. Trong các hướng của lây lan virus và các mã độc thì
đã xuất hiện dạng lây lan sang các cả thiết bị di động. Trên sách báo công khai cũng
đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện
lây lan virus. Sự xuất hiện virus theo các năm càng ngày càng gia tăng cả về số
lượng và mức độ thiệt hại. Thống kê đã cho biêt có tới hàng vạn máy tính bị nhiễm
virus và con số thiệt hại lên tới nhiều tỷ đồng. Đây là một cuộc đấu tranh không có

hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn
cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh.




12

Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam
Virus máy tính năm 2007 (tại Việt Nam )
Số lƣợng
Số lượt máy tính bị nhiễm virus
33.646.000 lượt máy tính
Số virus mới xuất hiện trong năm
6.752 virus mới
Số virus xuất hiện trung bình trong 1 ngày
18,49 virus mới / ngày
Virus lây lan nhiều nhất trong năm: W32.Winib.Worm
Lây nhiễm 511.000 máy tính



Bảng 1.3: Tỷ lệ nhiễm virus theo các năm
Năm
Số virus mới xuất hiện
Tỷ lệ máy tính bị nhiễm virus (%)
2005
232
94%
2006

880
93%
2007
6.752
96%



Hình 1.2: Tỷ lệ các loai hình tấn công
13

1.2.2. Nguy cơ tƣơng lai

Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực


Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó

- Nguy cơ rộng
- Nguy cơ Warhol
- Tấn công tín dụng quốc gia
- Tấn công hạ tầng
- Vi rút, Sâu
- DOS
- Tấn công tín dụng
Máy tính
riêng lẻ
Tổ chức
riêng lẻ
Khu vực

Lĩnh vực
Toàn cầu
1990s
2000
2002
2004
Thời gian
- Nguy cơ tia chớp
- DDOS
- Tấn công hạ tầng trọng yếu
Nguy cơ tia chớp

Nguy cơ Warhol

Sâu E-mail

Vi rút Macro

Vi rút File

Loại II
Đối phó nhân công: khó/bất khả thi
Tự động đối phó: có thể

Nguy cơ
diện rông
Loại I
Đối phó nhân công: có thể
Đầu 1990s
Giữa 1990s

Cuối 1990s
2000
2003
Thời gian
Giây
Phút
Giờ
Ngày
Tuần,
tháng
Loại III
Đối phó nhân công: bất khả thi
Tự động đối phó: hy vọng
Khóa tiên tiến: có thể
14

Nguy cơ về an toàn thông tin trong hạ tầng viễn thông: Như chúng ta đã biết
ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa
trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng
bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thông lại được chia
thành một số loại mạng như sau:
Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ
tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu
của thương mại điện tử và Chính phủ điện tử. Đồng thời các phương tiện truyền
thông như Internet đều dựa trên cơ sở mạng này.
Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di
động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành
nạn nhân của bọn tội phạm mạng.
Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng
điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao

đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không,
các hệ thống khảo sát thăm dò
Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng
thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin,
các cơ quan tổ chức để đạt được các lợi ích của chúng.
Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này
tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở
và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng.
Nguy cơ về an toàn thông tin trong hạ tầng cơ sở kinh tế: Các tổ chức tài
chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán đều sử dụng
máy tính để duy trì các tài khoản và các giao dịch tài chính. Các nhà máy công
nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật
tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe, Thị trường
mua bán công khai và không công khai, Các doanh nghiệp tư nhân, Các trung tâm
kinh doanh lớn.
15

1.3. NHU CẦU HỆ THỐNG QUẢN LÝ ATTT
Một nghiên cứu cho thấy khi doanh nghiệp chuyển sang thương mại điện tử,
nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ
và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%.
Nhu cầu về an toàn thông tin càng ngày càng trở nên nóng hơn do ứng dụng
CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa
theo kịp. Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn tăng tốc. Ví dụ,
ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng
80% hoạt động vụ của ngành đã diễn ra trên môi trường mạng. Ngành bắt đầu hình
thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an toàn. Các lĩnh vực như chứng
khoán, ngân hàng, thuế và hải quan và đặc biệt là thương mại điện tử đã chuyển dần
hoạt động lên môi trường mạng. Việc hội nhập WTO cũng thúc đẩy các tổ chức và
doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh.

Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ
thống quản lý an ninh thông tin ATTT (Information Security Management System)
chuẩn hóa là vô cùng cần thiết, ISO 270001 là một chuẩn quốc tế đáp ứng nhu cầu
này. Nó cung cấp một khuôn khổ, bộ quy tắc cho việc khởi đầu, thiết lập, quản lý và
duy trì an ninh thông tin trong tổ chức để thiết lập một nền tảng vững chắc cho
chính sách an toàn thông tin, bảo về các tài sản của tổ chức, doanh nghiệp một cách
thích hợp. Xây dựng đuợc một hình ảnh tích cực và là một bằng chứng thấy đuợc
cho các bên quan tâm từ đó tạo ra lợi thế cạnh tranh và đem lại thành công, lợi
nhuận trong quá trình hoạt động của các tổ chức và doanh nghiệp.







16

Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001
2.1. GIỚI THIỆU
2.1.1. Khái quát
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 “Công nghệ thông tin – Các
phương pháp bảo mật – Hệ thống quản lý an toàn thông tin – Các yêu cầu”
(“Information Technology – Security techniques – Information security
management system – Requirements”) được ban hành vào tháng 10/2005 và được
xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799-2:2002 do Viện Tiêu chuẩn
Anh ban hành năm 2002[2].
Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết
lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an
toàn thông tin - Information Security Management System (ATTT). Việc chấp nhận

một hệ thống quản lý ATTT sẽ là một quyết định chiến lược của tổ chức. Thiết kế
và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các
nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình
đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống
hỗ trợ cần luôn được cập nhật và thay đổi. Việc đầu tư và triển khai một hệ thống
quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức. Tiêu chuẩn
này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng
như các bộ phận liên quan bên ngoài tổ chức.
2.1.2. Phạm vi áp dụng
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức
khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận
v.v…). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai,
điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để
đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức.
Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn
đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức.
17

2.1.3. Cách tiếp cận theo quy trình
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản
lý ATTT của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một
cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp
nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông
thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo.
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết
tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp
cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong

tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng
của :
1/. Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết
lập chính sách và mục tiêu cho an toàn thông tin.
2/. Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin
của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức.
3/. Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT.
4/. Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
5/. Tiêu chuẩn này thông qua mô hình “Lập kế hoạch – Thực hiện – Kiểm tra và
Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý
ATTT. Hình 2.1 dưới đây mô tả cách hệ thống quản lý ATTT lấy đầu vào là các
yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành
các quy trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo như các yêu cầu
và kỳ vọng đã đặt ra. Hình 2.1 cũng chỉ ra các liên hệ giữa các quy trình được
biểu diễn trong các phần 2.3, 2.4, 2.5, 2.6 và 2.7.
18



Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT
P (Lập kế hoạch) - Thiết
lập ATTT
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục
liên quan đến việc quản lý các rủi ro và nâng cao an toàn
thông tin nhằm đem lại các kết quả phù hợp với các chính
sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển
khai và điều hành ATTT
Cài đặt và vận hành các chính sách, biện pháp quản lý,
quy trình và thủ tục của hệ thống quản lý ATTT.

C (Kiểm tra) - Giám sát
và xem xét ATTT
Xác định hiệu quả việc thực hiện quy trình dựa trên chính
sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh
nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của
ban quản lý.
A (Hành động) - Duy trì
và nâng cấp ATTT
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các
kết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT,
xem xét của ban quản lý hoặc các thông tin liên quan khác
nhằm liên tục hoàn thiện hệ thống quản lý ATTT.
Triển khai và
điều hành hệ
thống ISMS

Giám sát và
đánh giá hệ
thống ISMS

P

D

C

A

Thiết lập hệ
thống ISMS


Duy trì và
nâng cấp hệ
thống ISMS

Các bộ
phận liên
quan













Các yêu
cầu và kỳ
vọng về an
toàn thông
tin



Các bộ

phận liên
quan













Kết quả
quản lý an
toàn thông
tin



19

2.2. MỘT SỐ KHÁI NIỆM
Tiêu chuẩn ISO 27001 sử dụng các thuật ngữ và định nghĩa sau:
1/. Tài sản
Là bất cứ gì có giá trị đối với tổ chức.
2/. Tính sẵn sàng
Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo

yêu cầu.
3/. Tính bí mật
Tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các cá
nhân, thực thể và các tiến trình không được phép.
4/. An toàn thông tin
Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin, ngoài ra
có thể bao hàm tính chất xác thực, kiểm soát, chống chối bỏ và tin cậy.
5/. Sự kiện an toàn thông tin
Sự kiện xác định xảy ra trong một hệ thống, một dịch vụ hay một trạng thái
mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ
hoặc một tình huống bất ngờ liên quan đến an toàn.
6/. Sự cố an toàn thông tin
Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả
năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin.
7/. Hệ thống quản lý an toàn thông tin
Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng
thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp ATTT.

20

8/. Tính toàn vẹn
Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản.
9/. Rủi ro tồn đọng
Các rủi ro còn lại sau quá trình xử lý rủi ro.
10/. Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro.
11/. Phân tích rủi ro
Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc và
đánh giá rủi ro.

12/. Đánh giá rủi ro
Quá trình so sánh rủi ro đã được dự đoán với chỉ tiêu rủi ro đã có nhằm xác
định mức độ nghiêm trọng của rủi ro.
13/. Quản lý rủi ro
Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các
rủi ro có thể xảy ra.
14/. Xử lý rủi ro
Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro.
15/. Thông báo áp dụng
Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản
lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức.
Các mục tiêu quản lý và biện pháp quản lý được xây dựng dựa trên các kết
quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế
tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức
để đảm bảo an toàn thông tin.


21

16/. Tổ chức
Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá
nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng
nhau hành động vì mục tiêu chung. Các TC trong xã hội loài người được hình
thành, đào thải, phát triển không ngừng theo tiến trình phát triển của xã hội với
nhiều hình thức tập hợp, quy mô, nội dung và cách thức hoạt động khác nhau.
Các TC trong xã hội hiện đại rất phong phú, đa dạng, được hình thành trong
tất cả các lĩnh vực của đời sống xã hội, ở từng ngành, từng địa phương, từng cơ sở,
có quy mô cả nước, một số TC có yêu cầu và điều kiện thì tham gia hệ thống TC
tương ứng trong khu vực và thế giới.
Có loại TC được liên kết chặt chẽ, hoạt động lâu dài (đảng chính trị, cơ quan

nhà nước, tổ chức Liên hợp quốc, tổ chức ASEAN, vv.). Có loại TC chỉ có hình
thức liên kết và nội quy hoạt động đơn giản, linh hoạt (hội quần chúng ở các địa
phương và cơ sở như hội làm vườn, hội đồng hương, đồng khoa, vv.).
Phân loại các TC trong xã hội hiện đại thường là: TC chính trị (đảng chính
trị, chính quyền nhà nước), TC chính trị - xã hội (công đoàn, đoàn thanh niên, hội
phụ nữ, hội nông dân, hội cựu chiến binh, vv.), TC chính trị - xã hội - nghề nghiệp
(hội nhà văn, hội nhà báo, vv.), TC xã hội (hội của những người cùng nghề nghiệp,
sở thích, hoạt động nhân đạo, từ thiện, vv.), TC tôn giáo (các giáo hội Thiên Chúa
giáo, Tin Lành, Phật giáo, Hoà Hảo, Cao Đài, Hồi giáo, vv.), TC kinh tế (công ty,
ngân hàng, hợp tác xã, vv.), TC văn hoá, thể thao (đoàn kịch, đoàn chèo, đội bóng,
vv.), TC vũ trang.
Nhà nước tiến hành việc quản lí về TC và hoạt động của các TC trong xã hội
bằng Hiến pháp và pháp luật. Các TC trong xã hội thường có điều lệ, nội quy hoạt
động, quy định trách nhiệm, quyền hạn của các thành viên và mối quan hệ giữa các
thành viên trong TC ấy.



22

2.3 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT
Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng
cấp một hệ thống quản lý an toàn thông tin (ATTT) đã được tài liệu hóa trong bối
cảnh toàn bộ hoạt động của tổ chức và những rủi ro đang phải đối mặt.
2.3.1. Thiết lập hệ thống quản lý ATTT
Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện như sau :
2.3.1.1. Phạm vi và giới hạn của hệ thống quản lý ATTT
Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt:
đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao
gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng.

2.3.1.2. Chính sách triển khai hệ thống quản lý ATTT
Vạch rõ chính sách triển khai hệ thống quản lý ATTT theo các mặt: đặc thù
công việc, sự tổ chức, địa điểm, các tài sản và công nghệ mà trong đó:
1/. Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc
cho việc đảm bảo an toàn thông tin.
2/. Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt
buộc về bảo mật.
3/. Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các
nghĩa vụ về an toàn an ninh có trong hợp đồng.
4/. Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT như một phần trong
chiến lược quản lý rủi ro của tổ chức.
5/. Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra (xem 2.3.1.3).
6/. Được ban quản lý phê duyệt.
Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống
quản lý ATTT được xem xét như là một danh mục đầy đủ các chính sách an toàn
thông tin. Các chính sách này có thể được mô tả trong cùng một tài liệu.
23

2.3.1.3. Phương pháp tiếp cận đánh giá rủi ro
Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức
1/. Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT,
và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định.
2/. Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có
thể chấp nhận được (xem 2.4.1.6).
Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi
ro đưa ra các kết quả có thể so sánh và tái tạo được.
Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. Ví dụ về các hệ phương
pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC TR 13335-3 “Information
technology- Guidelines for the management of IT Security – Techniques for the
management of IT Security”[3].

2.3.1.4. Xác định các rủi ro
1/. Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tượng quản
lý các tài sản này.
2/. Xác định các mối đe doạ có thể xảy ra đối với tài sản.
3/. Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên.
4/. Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo
đảm: bí mật, toàn vẹn và sẵn sàng.







Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×