Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (218.36 KB, 4 trang )
Nghiên cứu hệ thống quản lý an toàn thông tin
theo tiêu chuẩn ISO 27001
Nguyễn Văn Anh
Trường Đại học Công nghệ
Luận văn ThS. Chuyên ngành: Công nghệ thông tin; Mã số: 60 48 05
Người hướng dẫn: PGS.TS. Trịnh Nhật Tiến
Năm bảo vệ: 2010
Abstract: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ, rủi ro
của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT đáp ứng
tiêu chuẩn quốc tế.Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO
27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài
sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó.
Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức tiếp cận để
thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk
Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin
của chuẩn ISO 27001.
Keywords: An toàn thông tin; Quản lý thông tin; Công nghệ thông tin
Content:
LỜI NÓI ĐẦU
Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các
tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy
tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ
liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có
thể bị tê liệt hoàn toàn.
Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ giúp đắc lực
của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và đang phải đối mặt với những
khó khăn và thách thức lớn do các nguy cơ gây mất an toàn thông tin gây ra đặc biệt liên quan
tới những đơn vị làm việc trực tiếp đối với các đối tác nước ngoài, cơ quan chính phủ trọng yếu
làm ảnh hưởng nghiêm trọng đến sự phát triển kinh tế, xã hội của đất nước.
Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng hệ thống
mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin, lý do đó làm cho hệ
thống thông tin rất dễ có khả năng bị các tin tặc tấn công. Các thống kê cho thấy trong thời gian
vừa qua đã có khoảng 60% website của bộ, ban ngành trực thuộc Chính phủ có đuôi tên miền
'.gov.vn' có thể đã bị các hacker nước ngoài tấn công và nắm quyền kiểm soát, 342 website của
Việt Nam bị hacker tấn công, hơn 40% website chứng khoán Việt Nam có thể bị hacker lợi dụng
chiếm quyền kiểm soát và thay đổi kết quả giao dịch.
Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây
dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công và xâm
nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn
thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho
một hệ thống cần có một cái nhìn tổng quát và khoa học hơn.
Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ thống quản
lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO
27001.
Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ trong hệ
thống thông tin của mình bằng phương pháp phân tích rủi ro. Trong phương pháp này, mỗi tài
sản thông tin đều được phân tích để chỉ rõ những nguy cơ có thể tác động đến, ví dụ: máy tính bị
nhiễm virus gây mất dữ liệu quan trọng, website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ
thống server bị sự cố, nhân viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh.
Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên, chẳng hạn:
không có giải pháp phòng chống virus máy tính, không kiểm soát mã nguồn của website, chưa
có biện pháp backup dữ liệu, chưa có quy định không tiết lộ thông tin đối với nhân viên.
Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho
đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an toàn, có khả năng miễn dịch
trước các rủi ro, giảm thiểu các nguy cơ do con người gây ra. Tiêu chuẩn ISO 27001 đề ra những
nguyên tắc chung trong quá trình thiết kế - xây dựng hệ thống thông tin một cách khoa học, giúp
cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường
người an toàn” (Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch
sẽ có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ rất tốn
kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định thuyết phục với các
đối tác, các khách hàng về một môi trường thông tin an toàn và trong sạch. Tạo điều kiện thuận
lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế
cạnh tranh của tổ chức.
Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa trên hướng
dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn ISO 27001 để giúp các
doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp xử lý phù hợp để phòng tránh và giảm
thiểu các tác động khi rủi ro an ninh thông tin xảy ra.
Luận văn này đuợc trình bày theo ba chương:
Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ,
rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT
đáp ứng tiêu chuẩn quốc tế.
Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO
27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài
sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó.
Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức
tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and
Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn
thông tin của chuẩn ISO 27001
TÀI LIỆU THAM KHẢO
Tiêu chuẩn kỹ thuật
[1] ISO/IEC 1799:2000, Information technology – Code of Practice.
[2] BS 7799-2:2002, Information Security Management Specification with Guidance for User.
[3] ISO/IEC TR 13335-1:2004, Information technology - Security techniques Management of
information and communications technology security.
Part 1: Concepts and models for information and communications technology security
management.
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT
Security.
Part 3: Techniques for the management of IT security.
ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT
Security.
Part 4: Selection of safeguards.
[4] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing.
[5] ISO/IEC 1799:2005 Information technology - Security techniques.
[6] OECD, Guidelines for the Security of Information Systems and Networks - Towards a
Culture of Security. Paris: OECD, July 2002. www.oecd.org.
