BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH
SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI
KHOA AN TOÀN THÔNG TIN
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01
Hà Nội, 2016
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH
SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI
KHOA AN TOÀN THÔNG TIN
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01
Hà Nội, 2016
LỜI CẢM ƠN
Sau hơn 3 tháng nỗ lực tìm hiểu, nghiên cứu và thực hiện đồ án tốt
nghiệp về nội dung: “Nghiên cứu vấn đề về phát triển chính sách cho tổ
chức và áp dụng đối với Khoa an toàn thông tin” đã cơ bản hoàn thành.
Mục tiêu của đề tài là tập trung tìm hiểu về bộ tiêu chuẩn iso trong lĩnh vực
quản lý an toàn thông tin, về quy trình thiết lập tiêu chuẩn, các bước triển
khai ISMS, đồng thời đề xuất được những chính sách áp dụng đối với Khoa
an toàn thông tin.
Trong thời gian làm đồ án tốt nghiệp, em đã nhận được nhiều sự quan
tâm, giúp đỡ từ phía nhà trường, thầy cô, gia đình và bạn bè. Chính điều
này đã mang lại cho em sự động viên rất lớn để em hoàn thành tốt đồ án
của mình.
Trước tiên em xin gửi lời cảm ơn chân thành đến cô Nguyễn Thị Thu
Thủy giảng viên Khoa an toàn thông tin người đã tận tình hướng dẫn, chỉ
bảo em trong suốt quá trình làm đồ án.
Em cũng xin chân thành cảm ơn các thầy cô giáo trong trường Học viện
Kỹ Thuật Mật Mã nói chung, các thầy cô trong Khoa an toàn thông tin nói
riêng đã tạo điều kiện, môi trường học tập và truyền đạt cho em những kiến
thức, kinh nghiệm quý báu trong suốt thời gian qua.
Cuối cùng, em xin chân thành cảm ơn gia đình và bạn bè, đã luôn tạo
điều kiện, quan tâm, giúp đỡ, động viên em trong suốt quá trình học tập và
hoàn thành đồ án tốt nghiệp.
MỤC LỤC
3
4
DANH MỤC TỪ VIẾT TẮT
Các cụm từ viết tắt
Cụm từ cụ thể
ATTT
CNTT
VNISA
BSI (British Standards Institution)
ISO (International Organization for
Standardization)
IEC (International Electrotechnical
Commission)
PDCA
ISMS – Information Security
Management System
An toàn thông tin
Công nghệ thông tin
Hiệp hội an toàn thông tin Việt Nam
Viện Tiêu Chuẩn Anh Quốc
Tổ chức tiêu chuẩn quốc tế
Hội đồng kỹ thuật quốc tế
Plan-Do-Check-Act
Hệ thống quản lý An toàn thông tin
5
DANH MỤC HÌNH VẼ
6
LỜI NÓI ĐẦU
Cùng với sự bùng nổ vô cùng lớn của nền kinh tế hiện đại, kéo theo là
một xã hội phát triển toàn diện. Việc công nghệ thông tin phát triển mạnh mẽ
không chỉ trong các tổ chức, doanh nghiệp mà còn trong mọi mặt của đời
sống xã hội. Điều đó đã và đang thay đổi cuộc sống con người về mọi mặt
khác nhau, giúp cải thiện, nâng cao trình độ, thúc đẩy phát triển toàn diện.
Tuy nhiên, bên cạnh những mặt tích cực đó nó cũng tiềm ẩn nhiều nguy cơ rủi
ro làm tê liệt hoạt động của hệ thống. Khi hệ thống công nghệ thông tin hoặc
cơ sở dữ liệu gặp sự cố thì hoạt động của các đơn vị này sẽ bị ảnh hưởng
nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn. Chính vì thế cần chú
trọng đến vấn đề đảm bảo an toàn thông tin nhằm tránh hiểm họa mất mát
thông tin không lường trước được đồng thời tạo thêm sự tin tưởng của khách
hàng và các đối tác.
Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin là
một trong những nhiệm vụ trọng tâm trong việc ứng dụng công nghệ thông tin
trong các cơ quan nhà nước, Nghị định số 64/2007/NĐ-CP ngày 10/04/2007
của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan
nhà nước đã quy định cơ quan nhà nước phải xây dựng nội quy bảo đảm an
toàn thông tin. có cán bộ phụ trách đảm bảo an toàn thông tin. áp dụng, hướng
dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống
thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn
thông tin.
Trên thực tế hầu hết các cơ quan, tổ chức, doanh nghiệp đều nhận thức
rõ sự cần thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông
tin, tuy nhiên việc triển khai lại rất hạn chế và gặp nhiều vướng mắc do hệ
thống tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin hiện không đầy đủ
trong việc lựa chọn tiêu chuẩn áp dụng. Vì vậy đề tài được chọn khi thực hiện
đồ án tốt nghiệp này là “Nghiên cứu vấn đề về phát triển chính sách cho tổ
chức và áp dụng đối với Khoa an toàn thông tin”.
Nội dung của đồ án được chia thành 3 chương như sau:
Chương 1: Tổng quan về chính sách an toàn thông tin
Chương này trình bày một cách tổng quan về chính sách an toàn thông
tin, bao gồm khái niệm, đánh giá tình hình an toàn thông tin trên thế giới cũng
7
như ở Việt Nam hiện nay và nêu rõ được tầm quan trọng của chính sách an
toàn thông tin.
Chương 2: Giới thiệu về bộ tiêu chuẩn ISO trong lĩnh vực quản lý an
toàn thông tin
Chương này giới thiệu sơ bộ về bộ tiêu chuẩn ISO/IEC 27000, trong đó
tiêu biểu là tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002. Nội dung chủ yếu
là tập trung trả lời các câu hỏi: Tiêu chuẩn ISO/IEC là gì? Việc ứng dụng và
nội dung của tiêu chuẩn ra sao? Cũng như trình bày về các bước triển khai
tiêu chuẩn như thế nào?
Chương 3: Xây dựng chính sách quản lý an toàn thông tin cho Khoa
an toàn thông tin
Nội dung của chương chủ yếu dựa trên nền tảng của các chương trước
để áp dụng những cơ sở lý thuyết đó vào việc chuẩn hóa công tác đảm bảo an
toàn thông tin. Trong chương này trước hết sẽ thực hiện khảo sát hiện trạng
triển khai An toàn thông tin tại trung tâm thực hành của Khoa an toàn thông
tin và đánh giá những hiểm họa, nguy cơ có thể xảy đến đối với hệ thống
mạng của Khoa an toàn thông tin. Từ đó, có thể lựa chọn được các biện pháp
kiểm soát và đề xuất các chính sách đảm bảo an toàn thông tin cho Khoa.
Trong quá trình thực hiện đồ án, các mục tiêu về cơ bản đều đã đạt
được. Tuy nhiên, do thời gian thực hiện đồ án có hạn cũng như kiến thức và
kinh nghiệm thực tiễn còn nhiều hạn chế nên chắc chắn vẫn còn nhiều thiếu
sót, em rất mong được sự đánh giá, góp ý của thầy cô và các bạn học viên để
đồ án này được hoàn thiện hơn.
Em xin chân thành cảm ơn!
8
CHƯƠNG 1: TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN
Với tình trạng mất an toàn thông tin như hiện nay thì việc xây dựng
một chính sách an toàn thông tin cho tổ chức, đơn vị… là rất quan trọng và
cần thiết. Tuy nhiên để có được một chính sách an toàn thông tin hiệu quả thì
trước hết phải trả lời được các câu hỏi: An toàn thông tin và chính sách an
toàn thông tin là gì ? Tình hình an ninh thông tin hiện nay có xu hướng như
thế nào ? Cũng như nắm bắt được tầm quan trọng của chính sách an toàn
thông tin. Ở chương này sẽ lần lượt làm rõ các vấn đề để từ đó áp dụng triển
khai chính sách vào thực tế được tốt hơn.
1.1. Khái niệm về an toàn thông tin
Thông tin là tài sản rất quan trọng của mọi tổ chức, cá nhân. Thông tin
có thể tồn tại dưới nhiều hình dạng khác nhau như: có thể in ra giấy, lưu trữ
thành file, chuyển qua email hoặc các phương tiện điện tử khác, chiếu thành
film, hoặc được nói ra trong các cuộc họp… Trong môi trường cạnh tranh
ngày nay, thông tin ngày càng bị đe dọa bởi nhiều nguồn khác nhau như nội
bộ, bên ngoài, tình cờ hoặc có chủ ý… với sự phát triển và ứng dụng công
nghệ ngày nay trong liên lạc, lưu trữ, chuyển đổi thông tin chúng ta lại phải
nhận nhiều hơn về số lượng cũng như chủng loại các mối nguy khác nhau
ngoài các mối nguy truyền thống.
An toàn thông tin nghĩa là thông tin được bảo vệ an toàn, được giữ
nguyên giá trị của nó, các hệ thống và những dịch vụ có khả năng tránh và
ngăn chặn, chống lại những tai hoạ, lỗi và sự tác động không mong đợi, cũng
như có thể phục hồi từ những sự cố đó. An toàn thông tin bao gồm nhiều yếu
tố, nhưng nó là một mắt xích liên kết giữa hai yếu tố chính: yếu tố công nghệ
và yếu tố con người.
• Yếu tố công nghệ: Bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành
và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email
từ máy trạm.
• Yếu tố con người: Là những người sử dụng máy tính, những người
làm việc với thông tin và sử dụng máy tính trong công việc của mình.
Hai yếu tố trên được liên kết lại thông qua các chính sách về an toàn
thông tin.
9
Như vậy, khái niệm an toàn thông tin bao hàm đảm bảo an toàn cho cả
phần cứng và phần mềm. An toàn phần cứng là bảo đảm hoạt động cho cơ sở
hạ tầng thông tin. An toàn phần mềm gồm các hoạt động quản lý, kỹ thuật
nhằm bảo vệ hệ thống thông tin, đảm bảo cho các hệ thống thực hiện đúng
chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy. An
toàn thông tin phải đảm bảo ba yếu tố: tính bí mật, toàn vẹn và sẵn sàng của
các hệ thống thông tin phục vụ các hoạt động của một tổ chức. Ba yếu tố được
mô tả ở Hình 1.1:
Hình 1.1: Tam giác an toàn thông tin - CIA.
Tính bí mật - C (Confidentiality)
Tính bí mật là tâm điểm chính của mọi giải pháp an toàn cho một sản
phẩm/hệ thống công nghệ thông tin. Một giải pháp an toàn là tập hợp các quy
tắc xác định quyền được truy cập đến với thông tin đang tìm kiếm, đối với
một số lượng người sử dụng thông tin nhất định và một số lượng thông tin là
tài sản nhất định. Trong trường hợp kiểm soát truy cập cục bộ, nhóm người
truy cập sẽ được kiểm soát xem là họ đã truy cập những số liệu nào. Tính bí
mật là sự đảm bảo rằng các chức năng kiểm soát truy cập có hiệu lực.
Tính bí mật đảm bảo thông tin chỉ cung cấp cho những người có thẩm
quyền. Như vậy đảm bảo tính bí mật là biện pháp ngăn ngừa các hành vi cố ý
hay vô ý xem thông tin không được cấp phép.
10
Tính toàn vẹn - I (Integrity)
Tính toàn vẹn thông tin là thông tin không bị thay đổi, mất mát trong
khi lưu trữ hay truyền tải. Nói cách khác tính toàn vẹn là tính không bị hiệu
chỉnh của thông tin.
Để đảm bảo tính toàn vẹn của thông tin là một loạt các biện pháp đồng
bộ nhằm hỗ trợ và đảm bảo tính thời sự kịp thời và đầy đủ trọn vẹn, cũng như
sự bảo mật hợp lý cho thông tin. Đôi khi các điểm yếu rất dễ lợi dụng nhưng
lại có thể gây ra các hậu quả rất lớn cho sự toàn vẹn thông tin của một tổ chức
nếu không có các biện pháp bảo vệ đúng đắn.
Tính sẵn sàng - A (Availability)
Tính sẵn sàng là đảm bảo cho người dùng hợp lệ có thể truy xuất vào
hệ thống đúng như thiết kế.
Tính sẵn sàng của thông tin cũng là một đặc điểm rất quan trọng. Đó là
khía cạnh sống còn của thông tin, đảm bảo cho thông tin đến đúng địa chỉ
(người được phép sử dụng) khi có nhu cầu, hoặc được yêu cầu.
Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy của thông tin, cũng như
đảm nhiệm chức năng là thước đo xác định phạm vi tới hạn của an toàn một
hệ thống thông tin.
1.2. Tình hình an ninh thông tin hiện nay
1.2.1. Tình hình an ninh thông tin trên thế giới
Tình hình an ninh thông tin hiện nay đang phải đối mặt với rất nhiều
nguy cơ mất an toàn như nghe lén, gián điệp, tấn công bằng mã độc để khai
thác, sửa đổi thông tin, phá hoại hệ thống thông tin… có thể gây ra nhiều hậu
quả khác nhau như làm tiết lộ các thông tin cá nhân, lừa đảo, chiếm đoạt bí
mật công nghệ, gián đoạn dịch vụ… ở các mức độ từ nhỏ lẻ ảnh hưởng đến
đời sống thường ngày đến nghiêm trọng đối với nền kinh tế đất nước, thậm
chí ảnh hưởng tới an ninh quốc gia.
Những diễn biến trong thời gian vừa qua cho thấy sự gia tăng các nguy
cơ an ninh đối với các hệ thống thông tin. Nhiều lỗ hổng bảo mật đã bị lợi
dụng, mật độ các cuộc tấn công mạng ở quy mô lớn đã ngày càng gia tăng.
11
Nghiêm trọng là các lỗ hổng bảo mật về ATTT gây ảnh hưởng nghiêm trọng
đến cộng đồng CNTT:
• Lỗ hổng bảo mật “Heartbleed” hay còn gọi là “Trái tim rỉ máu” là một
lỗ hổng bảo mật cực kỳ nghiêm trọng, gây ảnh hưởng đến hai phần ba
thiết bị Internet toàn cầu. Nó là một lỗ hổng nằm trong phần mềm mã
nguồn mở Open SSL, một thư viện phần mềm của Google, Facebook,
Yahoo, Amazon và rất nhiều trang web lớn nhất thế giới khác sử dụng
để đảm bảo việc truyền tải thông tin cá nhân của người dùng. “Trái
tim rỉ máu” cho phép tin tặc tiếp cận vào quá trình trao đổi dữ liệu với
bộ nhớ máy tính cá nhân được xử lý bởi OpenSSL, cho phép chúng
lấy ra hàng loạt thông tin mà không gặp phải bất cứ sự cản trở nào.
Những thông tin được rút ra là ngẫu nhiên, đôi khi là những thông tin
vô dụng như lịch sinh nhật, lịch họp…
• Lỗ hổng bảo mật Ghost: Trong glibc cho phép tin tặc có thể thực thi
các lệnh từ xa nhằm chiếm quyền điều khiển máy chủ Linux. Lỗ hổng
này liên quan đến lỗi tràn bộ đệm heap-based và ảnh hưởng đến tất cả
hệ thống Linux, có mặt trong các mã glibc từ năm 2000. Ứng dụng
PHP và Wordpress là hai ứng dụng bị ảnh hưởng diện rộng bởi lỗ
hổng này.
• Lỗ hổng bảo mật Shellshock xuất hiện vào tháng 9 cũng rất nguy
hiểm. Lỗ hổng này nằm trong phần mềm lõi Bash được sử dụng phổ
biến trên các hệ thống Unix. Shellshock tạo cơ hội cho những kẻ tấn
công thực thi các lệnh ở xa trên hệ thống dễ bị tổn thương.
• Lỗ hổng Poodle là một lỗ hổng ẩn trong giao thức SSL 3.0, kẻ tấn
công có thể bị lợi dụng để ăn cắp cookie của người dung một cách dễ
dàng, và bằng lợi thế này sau đó có thể tiến hành thêm nhiều cuộc tấn
công có chủ đích.
• Lỗ hổng Logjam đe doạ người dùng Internet. Lỗ hổng này là mối đe
dọa cho hàng ngàn website sử dụng giao thức HTTPS, các máy chủ
email và nhiều dịch vụ khác đang được sử dụng rộng rãi trên Internet,
cho phép những kẻ tấn công có thể đọc và chỉnh sửa thông tin cá
nhân. Lỗ hổng Logjam cho phép tin tặc thực hiện một cuộc tấn công
“người đứng giữa” (MitM) để can thiệp vào các kết nối đã được mã
hóa giữa người dùng với một dịch vụ web hay email sử dụng khóa
512 bit.
12
• Lỗ hổng từ “Hacking team”: Trong quá trình phân tích dữ liệu bị rò rỉ
của Hacking Team, các nhà nghiên cứu đã phát hiện ra các lỗ hổng
liên quan đến phần mềm Adobe Flash Player, hệ điều hành Windows,
Internet Explorer.... Trong đó, các lỗ hổng zero-day của Adobe Flash
Player được cho là nghiêm trọng nhất: Lỗ hổng CVE-2015-5119 có
thể cho phép tin tặc thực thi mã độc, gây “crash” máy và thực hiện
kiểm soát toàn bộ hệ thống bị ảnh hưởng. Lỗ hổng CVE-2015-5122
có thể khiến máy tính bị “crash” và cho phép kẻ tấn công chiếm quyền
điều khiển của hệ thống.... Đặc biệt, các lỗ hổng này đều có đoạn mã
khai thác POC thành công gây ảnh hưởng lớn tới cộng đồng mạng.
• Phương thức tấn công “Man-In-The-Cloud” (MITC): Dropbox,
Google Driver có thể bị tấn công không cần mật khẩu. Lỗ hổng bảo
mật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây
mà không cần mật khẩu của người dùng. Nó khai thác lỗ hổng trong
quá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của các
hãng Google, Box, Microsoft hay Dropbox. Các cuộc tấn công MITC
không dựa vào lỗ hổng trên các ứng dụng đồng bộ, hay lỗ hổng an
toàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế. Sau
đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiều
cách khác nhau. Từ đó, tin tặc hoàn toàn có thể giả mạo người dùng
hợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độc
hại.
Rất nhiều các lỗ hổng bảo mật nghiêm trọng đã được phát hiện, hình
thức tấn công luôn thay đổi, để lại hậu quả vô cùng nghiêm trọng cho các
quốc gia.
Năm 2015 là năm mà tình hình an ninh thông tin trên thế giới diễn ra
rất phức tạp, một số phần mềm độc hại và các cuộc tấn công mạng diễn ra với
các hình thức tấn công khác nhau, chúng luôn thay đổi và có rất nhiều cuộc
tấn công đã thành công trong thời gian gần đây.
• Mã độc RIG Exploit Kit 3.0 đã lây nhiễm nhanh với tốc độ trung bình
27 nghìn máy tính mỗi ngày, con số lây nhiễm lên tới 1,3 triệu máy
tính trên toàn cầu kể từ ngày 3/8/2015. Trong đó, có 450 nghìn máy bị
lây nhiễm tại Brazil, hơn 45 nghìn tại Mỹ, 10 nghìn tại Anh, 4 nghìn
tại Canada và tại Việt Nam là trên 302 nghìn máy bị lây nhiễm. Tỉ lệ
13
•
•
•
•
•
•
•
lây nhiễm cao liên quan đến lỗ hổng Adobe Flash Player, kể cả lỗ
hổng trong vụ rò rỉ “Hacking Team”.
Phần mềm độc hại Superfish VisualDiscovery thu thập thông tin từ
các truy cập trên máy tính bị cài đặt Superfish (ngay cả khi các luồng
dữ liệu được mã hoá bằng HTTPS). Phần mềm này chèn thông tin
quảng cáo vào lưu lượng web của người dùng, thực hiện giả mạo
SSL… mà không hiển thị bất kỳ cảnh báo nào về việc lưu lượng web
đã bị giả mạo từ trình duyệt.
Nhóm tin tặc APT17 của Trung Quốc lợi dụng trang Technet của
Microsoft: Công ty bảo mật FireEye đã phát hiện ra nhóm tin tặc
APT17 của Trung Quốc sử dụng máy chủ điều khiển C&C dưới một
danh nghĩa liên quan đến tài nguyên trực tuyến TechNet của
Microsoft. Nhóm tin tặc này đã tạo ra tài khoản giả mạo trên diễn đàn
của Microsoft và gắn thông tin mã hóa C&C sử dụng bởi một biến thể
Trojan BlackCoffee truy cập từ xa. Các nhà nghiên cứu của RSA giải
thích rằng mã độc được đính kèm vào một kết nối đã được mã hóa dẫn
đến một trang web về hồ sơ tài khoản TechNet.
Trong tháng 9/2015, tin tặc liên tục tấn công vào các trang mạng và hệ
thống máy tính đánh cắp nhiều thông tin, dữ liệu quan trọng.
Ngày 01/09 theo báo cáo của IBM, một Trojan ngân hàng mới có tên
là “Shifu” tấn công khoảng 14 ngân hàng Nhật Bản, đánh cắp mật
khẩu, thu thập thông tin ủy quyền người dùng, đánh cắp chứng chỉ
riêng tư, đánh cắp token xác thực, trích xuất dữ liệu từ thẻ thông minh
của người dùng.
Ngày 10/9, nhóm tin tặc Turla APT ở Nga bị phát hiện đã chặn tín
hiệu, tấn công các vệ tinh thương mại, thu thập dữ liệu nhạy cảm từ
các tổ chức chính phủ, quân sự, ngoại giao, nghiên cứu, giáo dục ở
hơn 45 quốc gia, bao gồm cả Trung Quốc.
Ngày 17/9, các nhà nghiên cứu của F-secure đã phát hiện tổ chức tự
xưng “Dukes” hoạt động ít nhất từ năm 2008 và được cho là có sự hậu
thuẫn của Chính phủ Nga, đã thực hiện các cuộc tấn công rộng khắp
trên mạng nhắm vào các chính phủ phương Tây và các tổ chức liên
quan như các bộ và cơ quan Chính phủ, cố vấn chính trị, các nhà thầu
phụ của Chính phủ.
Ngày 19/10/2015, mẫu phần mềm quảng cáo độc hại eFast Browser
đã bị phát hiện. Phần mềm adware này có thể cài đặt và tự động thay
14
thế trình duyệt Google Chrome để theo dõi, đánh cắp thông tin người
dùng. EFast Browser được xây dựng trên nền tảng mã nguồn mở
Chromium nên có giao diện giống như trình duyệt Google Chrome,
người dùng khó có thể phân biệt bằng mắt thường. Khi truy cập
Internet, người dùng nên gỡ bỏ những phần mềm đáng ngờ và cân
nhắc khi nhấp chuột vào các kết nối.
Có thể thấy, các cuộc tấn công mạng với quy mô và mức độ lớn, Xu
hướng tấn công lừa đảo kết hợp sử dụng các loại mã độc hại gia tăng, có mức
độ nguy hiểm cao, ảnh hưởng đến nhiều tổ chức và cá nhân. Nhưng bên cạnh
đó cũng diễn ra một số sự kiện đáng chú ý như sau:
• Hội nghị thường niên “RusCrypto” đã được tổ chức từ ngày 17 đến
20/3/2015 tại Moscow, Nga. Hội nghị là diễn đàn giúp các chuyên gia
trong lĩnh vực mật mã và ATTT trao đổi các hướng nghiên cứu và
giới thiệu các công nghệ mới.
• Hội nghị bảo mật Blackhat Asian 2015 đã diễn ra từ ngày 24 đến
27/3/2015, tại Singapore. BlackHat Briefings là một chuỗi hội nghị về
ATTT có tính chuyên môn cao được tổ chức tại nhiều quốc gia trên
thế giới (Singapore, Mỹ, Hà Lan…), với sự tham gia của các chuyên
gia và một số lãnh đạo tập đoàn về ATTT lớn trên thế giới.
• Hội thảo Hack in the box security và Hack Miami diễn ra vào tháng
5/2015 đã thu hút các đối tượng tham dự là các nhà nghiên cứu về giải
pháp bảo mật, kiểm thử xâm nhập... Nội dung Hội thảo đề cập tới vấn
đề về an toàn thông tin, khai thác các lỗ hổng, nghiên cứu mã độc…
và chia sẻ các cơ hội làm việc trong lĩnh vực An toàn thông tin.
1.2.2. Tình hình an ninh thông tin tại Việt Nam
Cũng trong dòng chảy chung của thế giới, an toàn thông tin ở nước ta
trong thời gian gần đây ngày càng có ảnh hưởng sâu rộng đến mọi mặt đời
sống xã hội.
Ở nước ta, công nghệ thông tin cũng như Internet đang phát triển với
mức độ chóng mặt. Số lượng các thiết bị viễn thông di động trên mỗi cá nhân
ngày càng gia tăng. Đặc biệt sự xuất hiện của các điện thoại thông minh
smartphone cũng dẫn tới sự bùng nổ số lượng các ứng dụng trên điện thoại di
động. Tuy nhiên đi liền với sự phát triển, những tiện lợi mà công nghệ thông
tin và Internet mang lại thì còn tồn tại rất nhiều vấn đề, đó là các vụ tấn công
15
mạng ngày một gia tăng. Hơn nữa môi trường Việt Nam hiện có nhiều yếu tố
gây mất an toàn như thiếu sự giám sát giữa các tổ chức quản lý Internet, thiếu
nhân lực về an toàn thông tin, người dùng chưa đề cao cảnh giác…Những
điều này dẫn tới sự bùng nổ của các hành vi như lấy cắp tài khoản, viết và
phát tán virus máy tính, tấn công website… mang lại nhiều nguy cơ tiềm tàng
cho an ninh mạng. Cụ thể như sau:
• Nghiên cứu mới nhất của Công ty An ninh mạng Bkav Security- thành
viên của Tập đoàn công nghệ Bkav cho thấy nửa đầu năm 2015, trung
bình mỗi tháng xuất hiện hơn 1.000 trang giả mạo Facebook nhằm lấy
cắp thông tin tài khoản, lừa tiền người dùng. Và 13,9 triệu tin nhắn rác
được phát tán mỗi ngày, 30% website ngân hàng tồn tại lỗ hổng…
• Ngoài ra, hình thức lừa nạp thẻ điện thoại "ông chú Viettel" cũng có
thêm biến tướng mới. Bằng việc tạo các website giả mạo trang nạp thẻ
để tăng lòng tin từ phía người dùng, kẻ xấu đã "móc túi" nhiều nạn
nhân với số tiền lên tới vài triệu đồng. Trung bình mỗi tháng có 200
website giả mạo nạp thẻ như vậy được kẻ xấu dựng lên.
• Ngày 23/02/2015, trang Web tìm kiếm số 1 thế giới Google, cụ thể là
Google Việt Nam xuất hiện thông báo đã bị tấn công bởi nhóm hacker
Lizard Squad.edu.vn.
• Ngày 14/5/2015, Phòng Cảnh sát Phòng chống tội phạm sử dụng công
nghệ cao (PC50) Công an Hà Nội đã tạm giữ ba đối tượng về hành vi
sử dụng mạng máy tính, mạng viễn thông, mạng Internet và các thiết
bị số để lấy cắp thông tin tài khoản thẻ tín dụng của khách hàng.
• Ngày 11/10/2015, tin tặc đã tấn công làm thay đổi giao diện và được
cho là xóa toàn bộ dữ liệu trong bộ nhớ tạm thời của website Sở Giáo
dục và Đào tạo Đà Nẵng.
• Trong 6 tháng đầu năm đã có 23.605 dòng virus máy tính mới xuất
hiện tại Việt Nam. Các virus này đã lây nhiễm trên 30.936.000 lượt
máy tính. Virus lây nhiều nhất nửa đầu năm 2015 là W32.Sality.PE,
đã lây nhiễm trên 2.676.000 lượt máy tính.
• Cũng trong 2 quý đầu năm, 2.790 website của các cơ quan, doanh
nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 34 site .gov.vn
và 122 site.edu.vn
Bên cạnh các cuộc tấn công, các phần mềm độc hại, năm 2015 tình
hình ATTT tại Việt Nam cũng diễn ra một số sự kiện tiêu biểu như sau :
16
• Hội thảo – Triển lãm Quốc gia về An ninh Bảo mật 2015 (Security
World 2015) diễn ra ngày 25/3/2015 tại Hà Nội với chủ đề “Tăng
cường Bảo mật & An toàn thông tin trong Môi trường rủi ro hiện
nay”.
• VNISA triển khai áp dụng Bộ quy tắc đạo đức nghề nghiệp ATTT từ
đầu năm 2015, đã có 11 đơn vị, doanh nghiệp đã ký cam kết tuân thủ
Bộ quy tắc đạo đức nghề nghiệp ATTT.
• Hội thảo Tetcon 2015 đã diễn ra ngày 06/01/2015, tại TP. Hồ Chí
Minh, với sự tham gia của nhiều chuyên gia bảo mật trong và ngoài
nước, mở đầu cho chuỗi sự kiện ATTT tại Việt Nam năm 2015.
• Ngày 17/4/2015 Việt Nam tham dự Hội nghị toàn cầu về không gian
mạng.
• Ngày 20/5/2015 Việt Nam tham gia diễn tập an ninh mạng ASEAN –
Nhật Bản.
• Hội thảo về “Giám sát An toàn thông tin trên mạng CNTT của các cơ
quan nhà nước” đã diễn ra ngày 22/4/2015, tại Hà Nội, do Ban Cơ yếu
Chính phủ tổ chức…
Có thể thấy tình hình an ninh trong nước đang có dấu hiệu đi lên chứ
không hề giảm. Hơn nữa khi mà an toàn mạng tại các cơ quan doanh nghiệp
vẫn chưa được quan tâm đúng mức sẽ tạo môi trường thuận lợi cho tin tặc tấn
công. Mặc dù các doanh nghiệp đang dần nhận ra tầm quan trọng của việc
đảm bảo an toàn thông tin, tuy nhiên họ gặp nhiều vấn đề khó khăn khi đặt ra
vấn đề về quy mô và các loại hình chính sách an toàn thông tin. Đối với một
doanh nghiệp lớn hay một tổ chức, tự phát triển một tài liệu về chính sách an
toàn thông tin để phù hợp với mọi người dùng trong một môi trường và có thể
giải quyết mọi vấn đề an toàn thông tin cần thiết dường như là bất khả thi.
Một cách đơn giản hơn để giải quyết vấn đề này là phát triển một bộ tài liệu
về chính sách để có thể bao trùm tất cả lĩnh vực an toàn thông tin, chúng có
thể dùng cho các đối tượng cụ thể, đảm bảo hiệu quả cho tất cả mọi người.
1.3. Khái quát về chính sách an toàn thông tin
1.3.1. Khái niệm chính sách an toàn thông tin
Chính sách an toàn (theo “Sách da cam” năm 1983) là tập hợp các điều
luật, các quy định và các giải pháp thực tế để giám sát sự điều khiển, sự bảo
vệ và việc phân phối các thông tin nhạy cảm trong hệ thống.
17
Chính sách an toàn thông tin (Information security policy) nhằm cung
cấp định hướng quản lý và hỗ trợ đảm bảo an toàn thông tin thỏa mãn với các
yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải
tuân thủ.
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả
năng hỗ trợ các cam kết về an toàn thông tin thông qua việc đưa ra và duy trì
các chính sách về an toàn thông tin đối với một tổ chức.
Hiện nay, hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan,
tổ chức, nó đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũng
chứa rất nhiều điểm yếu. Do máy tính được phát triển với tốc độ rất nhanh để
đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục
với các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho các
phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng
chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng. Thêm vào đó là việc phát
triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm
cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục
tiêu tấn công dễ dàng hơn.
Một chính sách cần có sự cam kết quản lý, hỗ trợ các thủ tục, một
khuôn khổ kỹ thuật phù hợp mà trong đó nó có thể được thực hiện, một mức
độ phù hợp của người có thẩm quyền, một phương tiện mà tuân thủ có thể
được kiểm tra và đồng ý về mặt pháp lý phản ứng trong trường hợp nó bị xâm
phạm.
Chính sách phù hợp là cơ sở để bảo mật thông tin tốt. Vai trò của chúng
là cung cấp các trọng tâm chỉ đạo và hành động như các yếu tố liên kết tất cả
các khía cạnh của thông tin quản lý an ninh.
1.3.2. Tầm quan trọng của chính sách an toàn thông tin
Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu
cầu của các cơ quan, tổ chức thì cần phải bảo vệ hệ thống thông tin, đảm bảo
cho hệ thống đó hoạt động ổn định và tin cậy. An toàn và bảo mật thông tin là
thiết yếu trong mọi cơ quan, tổ chức.
Vấn đề đặt ra là chính sách an ninh cần phải có những mục đích gì ? Có
vai trò như thế nào?… Một chính sách an toàn thông tin cần thực hiện nhiều
mục đích như sau:
• Bảo vệ thông tin và đối tượng sử dụng.
18
• Thiết lập các quy tắc về các hành vi của người dùng, quản trị hệ
thống, quản lý, và nhân viên an ninh.
• Cho phép nhân viên an ninh có thể giám sát, thăm dò, điều tra.
• Xác định và áp dụng biện pháp khắc phục những hậu quả của hành vi
vi phạm quy định.
• Xác định lập trường nhất quán của công ty về an ninh.
• Giúp giảm thiểu rủi ro.
• Giúp kiểm soát việc tuân thủ các quy định.
Chính sách an toàn thông tin là cội nguồn của tất cả các chỉ thị, các
chuẩn, các thủ tục, các hướng dẫn và các tài liệu hỗ trợ khác. Bởi vì với bất
kỳ cơ sở hạ tầng nào thì điều quan trọng là phải thiết lập một nền tảng vững
chắc. Một chính sách thực hiện hai vai trò: Đối nội và đối ngoại.
Phần đối nội chỉ ra cho nhân viên biết cái gì được mong đợi từ họ và
những hành động của họ sẽ được đánh giá như thế nào. Phần đối ngoại chỉ ra
cho thế giới biết doanh nghiệp được điều hành như thế nào, có chính sách hỗ
trợ các hoạt động kinh doanh hay không và cho thấy tổ chức đó có hiểu được
việc bảo vệ tài sản quan trọng là để thực hiện thành công sứ mệnh của mình.
Chính sách thể hiện chương trình bảo đảm an toàn thông tin của chúng
ta được thực hiện như thế nào, mục tiêu, nhiệm vụ của nó, và trách nhiệm của
mỗi người trong tổ chức.
Trong bất kỳ cuộc thảo luận về các yêu cầu bằng văn bản, thuật ngữ
“chính sách” có nhiều hơn một nghĩa. Đối với một số người, chính sách là sự
chỉ đạo của nhà quản lý cấp cao. Tất nhiên là trong một chương trình đang
chạy như thế nào, mục tiêu và đối tượng của nó là gì và ai là người được giao
trách nhiệm. Thuật ngữ “chính sách” có thể tham khảo các quy tắc an toàn cụ
thể đối với một hệ thống cụ thể, như tập luật ACF2, các giấy phép RACF,
hoặc các chính sách hệ thống phát hiện xâm nhập. Ngoài ra, các chính sách
còn có thể tham chiếu đến các vấn đề hoàn toàn khác như các quyết định quản
lý cụ thể mà thiết lập chính sách bảo mật thư điện tử của tổ chức hoặc chính
sách sử dụng Internet.
Việc phát triển chính sách an toàn thông tin không đơn thuần là vấn đề
kỹ thuật hay trách nhiệm kiểm tra, cũng không phải là chỉ đơn thuần một lĩnh
vực nào đó mà nó phải xuyên suốt tất cả các chính sách của tổ chức.
19
Chính sách cung cấp cho toàn bộ tổ chức một sự quản trị rõ ràng, xúc
tích, sự quản lý nội bộ có thể mang lại lợi ích thực sự về tính hiệu quả cũng
như một cách để giảm rủi ro thông tin. Một chính sách an toàn thông tin rõ
ràng có thể:
• Giảm sự nhập nhằng.
• Cung cấp hướng chỉ đạo và cam kết quản lý rõ ràng.
• Thiết lập trách nhiệm và vai trò đã được thỏa thuận.
Chính sách an toàn thông tin có thể đảm bảo giảm thiểu các rủi ro và
bất kỳ sự cố an ninh nào cũng có thể đáp ứng kịp thời. Chính sách an toàn
thông tin xác định thông tin, thông báo trong nội bộ và bên ngoài là một tài
sản, tài sản của tổ chức, và đang được bảo vệ khỏi những truy cập trái phép,
sửa đổi, tiết lộ.
Cùng với tình hình an ninh thông tin đang phức tạp như hiện nay thì
các cơ quan, tổ chức cần có một chính sách bảo mật thống nhất. Có nhiều
cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin. Một trong
các biện pháp phòng ngừa được nhắc đến trong thời gian qua chính là triển
khai áp dụng Hệ thống Quản lý An toàn Thông tin theo các nguyên tắc của bộ
tiêu chuẩn quốc tế ISO/IEC 27000.
20
CHƯƠNG 2: GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH
VỰC QUẢN LÝ AN TOÀN THÔNG TIN
Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn
giản gói gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số
giải pháp thuần túy kỹ thuật. Một hệ thống thông tin an toàn đúng nghĩa phải
gắn kết và tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó con
người đóng vai trò quan trọng. Đứng trước tình hình mất an toàn thông tin
như hiện nay thì biện pháp phòng ngừa rủi ro mất an toàn thông tin là triển
khai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: Information
Security Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tế
ISO/IEC 27000. Có thể nói rằng, ISO/IEC 27000 là một phần của hệ thống
quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các
rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, soát xét, duy
trì và cải tiến đảm bảo an toàn thông tin của tổ chức.
2.1. Giới thiệu chung
Ngày nay, càng có nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động
lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính và cơ sở dữ liệu. Nói
cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố
thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có
thể bị tê liệt hoàn toàn. Chính vì vậy, Hệ thống Quản lý An toàn thông tin
đang được quan tâm và áp dụng phổ biến, rộng rãi.
Hệ thống Quản lý An toàn thông tin (Information Security Management
System - ISMS) là một phần của hệ thống quản lý toàn diện, dựa trên các rủi
ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều
hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin.
Hệ thống Quản lý An toàn thông tin (ISMS) cũng có thể hiểu là một bộ qui
định (như chính sách, qui trình, hướng dẫn, quản lý rủi ro, đánh giá, khắc
phục…) được thực hiện trong một tổ chức có thể là doanh nghiệp hoặc một
trường học cụ thể nào đó để đảm bảo hệ thống thông tin của tổ chức đó được
an toàn và phù hợp với những yêu cầu trong bộ tiêu chuẩn ISO/IEC 27000.
ISO/IEC 27000 có nguồn gốc từ Anh quốc. Bắt đầu vào năm 1992,
Phòng Thương mại và Công nghiệp Anh (UK Department Trade and
Industrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa
trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí.
21
Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành
tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995. Năm 2000, tiêu
chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận
và ban hành với mã hiệu ISO/IEC 17799: 2000 – tiền thân của bộ tiêu chuẩn
ISO/IEC 27000 ngày nay.
ISO (the International Organation for Standardization - Tổ chức tiêu
chuẩn quốc tế) và IEC (the International Electrotechnical Commission - Hội
đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn
cầu. Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triển
chung của các chuẩn quốc tế thông qua các ủy ban được thiết lập bởi các tổ
chức tương ứng nhằm giải quyết các lĩnh vực cụ thể về kỹ thuật. ISO và IEC
phối hợp trong các lĩnh vực liên quan đến lợi ích của nhau. Có thể nói rằng,
ISO/IEC 27000 là một phần của hệ thống quản lý chung trong tổ chức, được
thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập,
áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn
thông tin của tổ chức.
ISO/IEC 27000 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với
mọi lĩnh vực kinh tế trên toàn thế giới. Tiêu chuẩn ISO/IEC 27000 cũng đặt ra
các yêu cầu cho một Hệ thống Quản lý an toàn thông tin (ISMS).
Bộ tiêu chuẩn ISO/IEC 27000 có thể áp dụng được cho mọi loại hình tổ
chức có nhu cầu bảo vệ thông tin. Việc triển khai Hệ thống ISMS theo bộ tiêu
chuẩn ISO/IEC 27000 sẽ giúp tổ chức đạt được các lợi ích sau:
• Giúp nhận biết, đánh giá được các rủi ro, xây dựng các biện pháp và tạo ý
thức và trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ chức.
• Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểu
hiện bảo mật thông tin trên mọi mức độ của tổ chức.
• Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin.
• Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểm
yếu của chúng và cách bảo vệ chúng.
• Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọng
trong bảo vệ thông tin của tổ chức.
• Xác định các thông tin quan trọng, các rủi ro có thể để giảm thiểu các rủi ro
đó, xác định các mức chi phí bảo hiểm tốt nhất cho các rủi ro.
• Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đối
với tổ chức.
22
Cho tới nay, việc áp dụng Hệ thống Quản lý an toàn thông tin (ISMS)
phù hợp với ISO/IEC 27000 đã được triển khai rộng khắp ở hầu hết các quốc
gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng. Theo con số
thống kê chưa đầy đủ thì hiện nay số lượng các tổ chức đã áp dụng ISMS và
đã được chứng nhận trên toàn thế giới là 2063. Trong đó đứng đầu là Nhật
Bản với số chứng chỉ được cấp ra là 1190, sau đó là Anh 219, Đài loan 69…
Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau. Ví
dụ lĩnh vực viễn thông được áp dụng nhiều nhất với 27% tổng số lượng chứng
chỉ cấp ra, Lĩnh vực tài chính ngân hàng chiếm 20%, Lĩnh vực công nghệ
thông tin chiếm 15%…
Hy vọng trong thời gian tới tại Việt Nam sẽ có thêm nhiều hơn nữa các
tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toàn
thông tin, đảm bảo cho sự phát triển bền vững.
2.2. Các tiêu chuẩn của bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình trong việc thiết
lập và vận hành một hệ thống quản lý. Khi sử dụng ISO/IEC 27000 thì các tổ
chức có thể phát triển và thực hiện một khung cho quản lý an toàn các tài sản
thông tin của họ và chuẩn bị cho việc đánh giá độc lập được họ áp dụng để
bảo vệ thông tin. Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một cái nhìn tổng
quan về hệ thống quản lý an toàn thông tin (ISMS), sự hình thành các chuẩn
trong bộ tiêu chuẩn này, các thuật ngữ và định nghĩa có liên quan khác. Bộ
tiêu chuẩn ISO/IEC 27000 bao gồm những chuẩn sau:
Hình 2.2: Cấu trúc bộ tiêu chuẩn ISO/IEC 27000.
23
Bộ tiêu chuẩn ISO/IEC 27000 hiện tại bao gồm những tiêu chuẩn cụ thể
sau:
• ISO/IEC 27000: 2009: Tổng quan, từ vựng và định nghĩa (thuật ngữ)
của hệ thống quản lý an toàn thông tin (ISMS).
• ISO/IEC 27001: 2005: Xác định các yêu cầu đối với hệ thống quản lý
an toàn thông tin (ISMS).
• ISO/IEC 27002: 2005: Xác định các quy tắc thực hành cho quản lý an
toàn thông tin.
• ISO/IEC 27003: Đưa ra các hướng dẫn áp dụng cho hệ thống an toàn
thông tin (ISMS).
• ISO/IEC 27004: Đưa ra các tiêu chuẩn về đo lường và định lượng hệ
thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu quả của việc
áp dụng ISMS.
• ISO/IEC 27005: 2008: Đưa ra tiêu chuẩn về quản lý rủi ro an toàn
thông tin.
• ISO/IEC 27006: 2007: Đưa ra yêu cầu cho các cơ quan kiểm toán và
chứng nhận hệ thống quản lý an toàn thông tin (ISMS).
• ISO/IEC 27007: Đường dẫn cho việc kiểm toán hệ thống an toàn thông
tin (ISMS).
Hiện nay bộ chuẩn này đang được xây dựng, sửa đổi và bổ sung thêm
nhằm phù hợp hơn, đáp ứng được mọi yêu cầu khắt khe của các đơn vị, tổ
chức và doanh nghiệp.
Tại Việt Nam cũng đã ban hành 2 tiêu chuẩn TCVN ISO/IEC 27001 và
TCVN ISO/IEC 27002, trong đó 2 tiêu chuẩn này được xây dựng theo
phương pháp chấp thuận nguyên vẹn về nội dung của các tiêu chuẩn tương
đương của bộ ISO/IEC 27000. Tiêu chuẩn quốc tế ISO/IEC 27001, cung cấp
mô hình chuẩn để thiết lập, triển khai, vận hành, theo dõi, đánh giá, duy trì,
cải tiến hệ thống quản lý an ninh thông tin. Còn tiêu chuẩn ISO/IEC 27002 là
một hệ thống các biện pháp, các khuyến cáo để đảm bảo cho an toàn thông
tin, đảm bảo cho các yêu cầu đặt ra trong ISO/IEC 27001 được thực hiện.
2.3. Tiêu chuẩn ISO/IEC 27001: 2005
2.3.1. Giới thiệu chung
ISO/IEC 27001: 2005 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC
27000 về quản lý an toàn thông tin. Bộ tiêu chuẩn này được phát triển dựa
24
trên bộ tiêu chuẩn BS7799 của Viện tiêu chuẩn Anh quốc (British Standards
Institution BSI). Tháng 12 năm 2000, chuẩn An toàn thông tin quốc tế ISO
bao gồm BS 7799 (đặc tả kỹ thuật cho hệ thống ISMS) và ISO/IEC 17799
(mô tả Qui tắc thực tế cho hệ thống quản lý an toàn thông tin).
Tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiện
nhằm thống nhất với các chuẩn quản lý khác như ISO/IEC 9001: 2000 và ISO
14001: 1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và phát
triển kinh tế (OECD). Tháng 10 năm 2005 ISO phát triển ISO/IEC 17799 và
BS7799 thành ISO/IEC 27001: 2005, tập trung vào công tác đánh giá và
chứng nhận.
ISO/IEC 27001 thay thế cho BS7799-2: 2002, nó định nghĩa hệ thống
quản lý an toàn thông tin (ISMS), hướng đến cung cấp một mô hình cho việc
thiết lập, thi hành, kiểm soát, duy trì và cải tiến ISMS.
ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây
dựng và áp dụng Hệ thống Quản lý an toàn thông tin (Information Security
Management System - ISMS) nhằm đảm bảo tính bí mật (confidentiality),
tính toàn vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin
của các tổ chức/doanh nghiệp.
Tiêu chuẩn về quản lý an toàn thông tin ISO/IEC 27001 (Information
Security Management System) ngày nay trở thành một tiêu chuẩn được quan
tâm hàng đầu hiện nay. Các tổ chức rất quan tâm đến việc áp dụng ISO/IEC
27001 trong việc quản lý để đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàng
cho tài sản thông tin của tổ chức cũng như của nhà đầu tư, khách hàng, nhà
cung cấp… Tài sản thông tin theo khuyến nghị của ISO/IEC 27001 cần được
quản lý bao gồm:
• Thông tin: cơ sở dữ liệu, tài liệu hệ thống, file hướng dẫn sử dụng
• Phần mềm: ứng dụng, công cụ quản lý, công cụ phát triển
• Phần cứng: máy tính, thiết bị mạng, thiết bị lưu trữ
• Dịch vụ: dịch vụ internet, điện
• Con người: nhân viên, đối tác
• Hình ảnh công ty
Tiêu chuẩn này cũng giúp các tổ chức và doanh nghiệp bao quát toàn
bộ hoạt động của mình và chú ý tới các lĩnh vực mà cần được lưu trữ dữ liệu,
kể cả tài liệu đó được lưu ở bất cứ định dạng nào. Giúp đảm bảo tính sẵn sàng
25