(Luận văn thạc sĩ) nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.58 MB, 99 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
-----------o0o-----------
NGUYỄN VĂN ANH
NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN
THEO TIÊU CHUẨN ISO 27001
LUẬN VĂN THẠC SĨ
Hà nội 11 – 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
-----------o0o-----------
NGUYỄN VĂN ANH
NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN
THEO TIÊU CHUẨN ISO 27001
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã ngành: 60.48.05
LUẬN VĂN THẠC SĨ
CÁN BỘ HƯỚNG DẪN KHOA HỌC
PGS.TS.TRỊNH NHẬT TIẾN
Hà nội 11 – 2010
MỤC LỤC
MỤC LỤC .................................................................................................... 1
DANH MỤC CÁC BẢNG............................................................................ 4
DANH MỤC CÁC HÌNH VẼ ...................................................................... 5
LỜI NĨI ĐẦU .............................................................................................. 6
Chương 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN ............................ 9
1.1.
KHÁI NIỆM VỀ AN TỒN THƠNG TIN .................................... 9
1.2.
CÁC NGUY CƠ ĐỐI VỚI AN TỒN THƠNG TIN .................. 10
1.2.1.
Những nguy cơ hiện hữu: ...................................................................... 10
1.2.2.
Nguy cơ tương lai ................................................................................. 13
1.3.
NHU CẦU HỆ THỐNG QUẢN LÝ ATTT .................................. 15
Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 . 16
2.1.
GIỚI THIỆU .................................................................................. 16
2.1.1.
Khái quát .............................................................................................. 16
2.1.2.
Phạm vi áp dụng ................................................................................... 16
2.1.3.
Cách tiếp cận theo quy trình .................................................................. 17
2.2.
MỘT SỐ KHÁI NIỆM .................................................................. 19
1/.
Tài sản...................................................................................................... 19
2/.
Tính sẵn sàng ........................................................................................... 19
3/.
Tính bí mật ............................................................................................... 19
4/.
An tồn thơng tin ...................................................................................... 19
5/.
Sự kiện an tồn thơng tin .......................................................................... 19
6/.
Sự cố an tồn thơng tin ............................................................................. 19
7/.
Hệ thống quản lý an tồn thơng tin ........................................................... 19
1
8/.
Tính tồn vẹn ........................................................................................... 20
9/.
Rủi ro tồn đọng ........................................................................................ 20
10/. Sự chấp nhận rủi ro .................................................................................. 20
11/. Phân tích rủi ro ......................................................................................... 20
12/. Đánh giá rủi ro ......................................................................................... 20
13/. Quản lý rủi ro ........................................................................................... 20
14/. Xử lý rủi ro............................................................................................... 20
15/. Thông báo áp dụng ................................................................................... 20
16/. Tổ chức .................................................................................................... 21
THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT ...... 22
2.3
2.3.1.
Thiết lập hệ thống quản lý ATTT .......................................................... 22
2.3.2.
Triển khai và điều hành hệ thống quản lý ATTT ................................... 26
2.3.3.
Giám sát và xem xét hệ thống quản lý ATTT ........................................ 27
2.3.4.
Duy trì và nâng cấp hệ thống quản lý ATTT ......................................... 28
2.3.5.
Các yêu cầu về hệ thống tài liệu ............................................................ 29
2.3.5.1.
Khái quát ........................................................................................ 29
2.3.5.2.
Biện pháp quản lý tài liệu ............................................................... 30
2.3.5.3.
Biện pháp quản lý hồ sơ ................................................................. 30
TRÁCH NHIỆM CỦA BAN QUẢN LÝ ....................................... 31
2.4.
2.4.1.
Cam kết của ban quản lý ....................................................................... 31
2.4.2.
Quản lý nguồn lực ................................................................................. 32
2.4.2.1.
Cấp phát nguồn lực ........................................................................ 32
2.4.2.2.
Đào tạo, nhận thức và năng lực ...................................................... 32
2
2.5.
KIỂM TRA NỘI BỘ HỆ THỐNG ATTT .................................... 33
2.6.
BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT ......................... 34
2.6.1.
Khái quát .............................................................................................. 34
2.6.2.
Đầu vào của việc xem xét...................................................................... 34
2.6.3.
Đầu ra của việc xem xét ........................................................................ 35
2.7.
NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT ................................ 36
2.7.1.
Nâng cấp thường xuyên ........................................................................ 36
2.7.2.
Hành động khắc phục ............................................................................ 36
2.7.3.
Hành động phòng ngừa ......................................................................... 37
Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý ........................... 38
Phụ lục B: Nguyên tắc của OECD và hệ hống ATTT .............................. 81
Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH ..................... 84
3.1.
ĐẶT VẤN ĐỀ ................................................................................. 84
3.2.
XÂY DỰNG CHƢƠNG TRÌNH ................................................... 85
3.2.1.
Giải pháp .............................................................................................. 85
3.2.2.
Xác định các tài sản và người chịu trách nhiệm quản lý ........................ 86
3.2.3.
Đánh giá mức độ quan trọng của tài sản ................................................ 87
3.2.4.
Đánh giá mức độ của các mối đe dọa .................................................... 89
3.2.5.
Đánh giá mức độ của các lổ hổng .......................................................... 89
3.2.6.
Tính mức độ rủi ro và báo cáo đánh giá rủi ro ....................................... 90
3.2.7.
Phòng ngừa rủi ro.................................................................................. 90
3.2.8.
Mức độ rủi ro có thể chấp nhận đuợc .................................................... 91
3.3.
CÁC GIAO DIỆN CHÍNH ............................................................ 93
KẾT LUẬN ................................................................................................. 95
TÀI LIỆU THAM KHẢO.......................................................................... 97
3
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
HTQL
Hệ thông quản lý
ATTT
An tồn thơng tin
ISMS
Information Security Management System
ISO
International Organization for Standardization
PDCA
Plan, Do, Check, Action
TC
Tổ chức
OECD
Organisation for Economic Co-operation and Development
DANH MỤC CÁC BẢNG
Bảng 1.1: Thiệt hại do virus gây ra trên thế giới
Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam
Bảng 1.3: Tỷ lệ nhiễm virus theo các năm
Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực
Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó
Bảng A: Các mục tiêu và biện pháp quản lý
Bảng B: Các nguyên tắc OECD và mơ hình PDCA
Bảng 3.1: Các buớc đánh giá rủi ro
Bảng 3.2: Đánh giá tài sản về mức độ bảo mật
Bảng 3.3: Đánh giá tài sản về mức độ toàn vẹn
Bảng 3.4: Đánh giá tài sản về mức độ sẳn sàng
4
DANH MỤC CÁC HÌNH VẼ
Hình 1.1: CIA – Confidentiality, Intergrity, Availability
Hình 1.2: Tỷ lệ các loai hình tấn cơng
Hình 2.1: Áp dụng mơ hình PDCA cho các quy trình hệ thống quản lý ATTT
Hình 3.1: Thêm mới, chỉnh sửa thơng tin các loại tài sản, điều khiển và tài liệu của
hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document).
Hình 3.2: Đánh giá rủi ro (Risk Assessment).
Hình 3.3: Phịng ngừa rủi ro (Risk Treatment).
Hình 3.4: Mức rủi ro chấp nhận đuợc
Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT.
Hình 3.6: Thêm mới tài liệu cho hệ thống quản lý ATTT (Add ISMS Document).
Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document).
Hình 3.8: Màn hình Screen
5
LỜI NĨI ĐẦU
Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày
càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hồn tồn
vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ
thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các
đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn.
Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ
giúp đắc lực của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và
đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất an
tồn thơng tin gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với
các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng
đến sự phát triển kinh tế, xã hội của đất nước.
Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng
hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an tồn thơng tin,
lý do đó làm cho hệ thống thơng tin rất dễ có khả năng bị các tin tặc tấn cơng. Các
thống kê cho thấy trong thời gian vừa qua đã có khoảng 60% website của bộ, ban
ngành trực thuộc Chính phủ có đi tên miền '.gov.vn' có thể đã bị các hacker nước
ngồi tấn cơng và nắm quyền kiểm sốt, 342 website của Việt Nam bị hacker tấn
công, hơn 40% website chứng khốn Việt Nam có thể bị hacker lợi dụng chiếm
quyền kiểm soát và thay đổi kết quả giao dịch.
Khi nói đến an tồn thơng tin (ATTT), điều đầu tiên người ta thường nghĩ
đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các
cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy khơng hồn tồn
đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số cơng cụ hoặc một
vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn
tổng quát và khoa học hơn.
6
Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ
thống quản lý an ninh thông tin ATTT (Information Security Management System)
theo tiêu chuẩn ISO 27001.
Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ
trong hệ thống thơng tin của mình bằng phương pháp phân tích rủi ro. Trong
phương pháp này, mỗi tài sản thông tin đều được phân tích để chỉ rõ những nguy cơ
có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng,
website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân
viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh.
Q trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên,
chẳng hạn: khơng có giải pháp phịng chống virus máy tính, khơng kiểm sốt mã
nguồn của website, chưa có biện pháp backup dữ liệu, chưa có quy định khơng tiết
lộ thông tin đối với nhân viên.
Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng
nhận thức cho đội ngũ cán bộ nhân viên về ATTT. Xây dựng một mơi trường an
tồn, có khả năng miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người
gây ra. Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế
- xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống
trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường người an tồn”
(Secure People Wall) trong tổ chức. Một mơi trường thơng tin an tồn, trong sạch sẽ
có tác động khơng nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ
rất tốn kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định
thuyết phục với các đối tác, các khách hàng về một mơi trường thơng tin an tồn và
trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành
mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
7
Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa
trên hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn
ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp
xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông
tin xảy ra.
Luận văn này đuợc trình bày theo ba chương:
Chương 1: Trình bày Tổng quan về An tồn Thơng tin, bao gồm khái niệm,
các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một
hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế.
Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của
tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông
tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm
thế nào để kiểm sốt được những rủi ro đó.
Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”,
như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch
ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách
tiếp cận vấn đề xây dựng hệ thống quản lý an tồn thơng tin của chuẩn ISO 27001.
8
Chương 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN
1.1.
KHÁI NIỆM VỀ AN TỒN THƠNG TIN
Hình 1.1: CIA – Confidentiality, Intergrity, Availability
Theo định nghĩa, an tồn thơng tin (Information Security) là nhằm đảm bảo
ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: tính bí mật (Confidentiality),
tính tồn vẹn (Integrity) và tính sẵn sàng (Availability)[1]. (Hình 1.1)
Tính bảo mật: Thơng tin khơng sẵn có hoặc khơng nên để lộ cho cá nhân, tổ
chức, đối tượng chưa được uỷ quyền.
Tính tồn vẹn: Thơng tin đuợc bảo vệ và đuợc giữ gìn trọn vẹn.
Tính sẵn có: Ln sẵn sàng và sẵn có cho đối tượng đã đuợc uỷ quyền.
Các tổ chức, doanh nghiệp muốn đảm bảo an tồn thơng tin thì ln cần phải
duy trì đuợc sự cân bằng của ba yếu tố trên, ngồi ra các thuộc tính khác như tính
xác thực, trách nhiệm giải trình, tính thừa nhận và tính tin cậy cũng có thể liên quan.
9
1.2.
CÁC NGUY CƠ ĐỐI VỚI AN TỒN THƠNG TIN
1.2.1. Những nguy cơ hiện hữu:
Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có
hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính
khoảng 2400 tỷ đồng. Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus
mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó. Đáng chú ý là các virus
lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng
virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware).
Bảng 1.1: Thiệt hại do virus gây ra trên thế giới
Tên
Năm
Thiệt hại
Sâu Morris
1988
Làm tê liệt 10% máy tính trên mạng Internet
Vi rút Melisa
5/1999
100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USD
Vi rút Explorer
6/1999
Thiệt hại 1,1 tỷ USD
Vi rút Love Bug
5/2000
Thiệt hại 8,75 tỷ USD
Vi rút Sircam
7/2001
2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD
Sâu Code Red
7/2001
359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD
Sâu Nimda
9/2001
160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD
Klez
2002
Thiệt hại 175 triệu USD
BugBear
2002
Thiệt hại 500 triệu USD
Badtrans
2002
90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD
Blaster
2003
Thiệt hại 700 triệu USD
Nachi
2003
Thiệt hại 500 triệu USD
SoBig.F
2003
Thiệt hại 2,5 tỷ USD
Sâu MyDoom
1/2004
100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD
Nguy cơ mất ATTT tại Việt Nam tập trung vào hệ thống ngân hàng, bán lẻ
và các cơng ty chứng khốn. Ngân hàng VietinBank cho biết mỗi ngày hệ thống của
họ phát hiện khoảng 13.000 virus, 40.000 malware, grayware và khoảng 67.000
spam. Ngành Tài chính Việt Nam có hơn 7 vạn người dùng cuối và đang theo đuổi
xu hướng liên kết chia sẻ thơng tin, mở rộng dịch vụ tài chính cơng trực tuyến…
song đến nay vẫn chưa có một hệ thống quản lý ATTT hoàn chỉnh.
10
Đáng lo hơn là tình trạng mất an tồn của các trang web ở Việt Nam, theo
một báo cáo khác từ Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết số lượng
website bị tấn công tại Việt Nam đã gia tăng từ 461 website năm 2008 lên 1.037
website năm 2009, trong đó có khơng ít cuộc tấn cơng nhằm vào hệ thống website
của các cơ quan Bộ và Chính phủ, với hầu hết các website (hơn 60% website) của
các cơ quan doanh nghiệp đều bị hackers tấn công. khoảng trên 80% trang web của
các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm sốt hệ thống.
Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngồi hàng rào cơ
quan móc dây, lấy trộm mật khẩu. Kết quả khảo sát của Bkis về các cơng ty chứng
khốn cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an tồn,
khi có tới một nửa trong số 32 trang web chứng khốn có lỗ hổng nghiêm trọng có
thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt. Sau gần 1
năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được
cải thiện nhưng vẫn cịn tới 40% trang web còn lỗ hổng nguy hiểm.
Tin tặc Việt Nam trình độ, thủ thuật ngày càng tinh vi hơn, chính vì thế mà
tính chất các tấn cơng trở nên nguy hiểm hơn, đã xảy ra tình trạng một loạt website
bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên
miền, bị chiếm quyền sử dụng. Thêm vào đo là số virus mới xuất hiện cũng gia tăng
từ 33.137 loại lên 47.638 loại. Trong các hướng của lây lan virus và các mã độc thì
đã xuất hiện dạng lây lan sang các cả thiết bị di động. Trên sách báo cơng khai cũng
đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện
lây lan virus. Sự xuất hiện virus theo các năm càng ngày càng gia tăng cả về số
lượng và mức độ thiệt hại. Thống kê đã cho biêt có tới hàng vạn máy tính bị nhiễm
virus và con số thiệt hại lên tới nhiều tỷ đồng. Đây là một cuộc đấu tranh khơng có
hồi kết, bởi vì kẻ xấu ln lợi dụng những khơng gian mạng để làm việc rửa tiền, ăn
cắp tài khoản hay thực hiện những mục đích cạnh tranh khơng lành mạnh.
11
Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam
Virus máy tính năm 2007 (tại Việt Nam )
Số lƣợng
Số lượt máy tính bị nhiễm virus
33.646.000 lượt máy tính
Số virus mới xuất hiện trong năm
6.752 virus mới
Số virus xuất hiện trung bình trong 1 ngày
18,49 virus mới / ngày
Virus lây lan nhiều nhất trong năm: W32.Winib.Worm Lây nhiễm 511.000 máy tính
Bảng 1.3: Tỷ lệ nhiễm virus theo các năm
Năm
Số virus mới xuất hiện
Tỷ lệ máy tính bị nhiễm virus (%)
2005
232
94%
2006
880
93%
2007
6.752
96%
Hình 1.2: Tỷ lệ các loai hình tấn cơng
12
1.2.2. Nguy cơ tƣơng lai
- Nguy cơ tia chớp
- DDOS
Toàn cầu
- Tấn công hạ tầng trọng yếu
- Nguy cơ rộng
Lĩnh vực
- Nguy cơ Warhol
Khu vực
- Tấn cơng tín dụng quốc gia
- Tấn công hạ tầng
Tổ chức
riêng lẻ
- Vi rút, Sâu
Máy tính
riêng lẻ
- DOS
- Tấn cơng tín dụng
1990s
2000
2002
2004
Thời gian
Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực
Giây
Phút
Giờ
Ngày
Tuần,
tháng
Loại III
Đối phó nhân cơng: bất khả thi
Tự động đối phó: hy vọng
Khóa tiên tiến: có thể
Nguy cơ tia chớp
Nguy cơ Warhol
Loại II
Đối phó nhân cơng: khó/bất khả thi
Tự động đối phó: có thể
Nguy cơ
diện rơng
Loại I
Đối phó nhân cơng: có thể
Sâu E-mail
Vi rút File
Vi rút Macro
Đầu 1990s Giữa 1990s
Cuối 1990s
2000
2003
Thời gian
Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó
13
Nguy cơ về an tồn thơng tin trong hạ tầng viễn thông: Như chúng ta đã biết
ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thơng đều dựa
trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng
bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thơng lại được chia
thành một số loại mạng như sau:
Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ
tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu
của thương mại điện tử và Chính phủ điện tử. Đồng thời các phương tiện truyền
thông như Internet đều dựa trên cơ sở mạng này.
Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di
động, do trong môi trường hồn tồn máy tính hóa, nên họ cũng dễ dàng trở thành
nạn nhân của bọn tội phạm mạng.
Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng
điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao
đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không,
các hệ thống khảo sát thăm dị...
Mạng Internet: đây là mơi trường lý tưởng để cho các loại tội phạm mạng
thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin,
các cơ quan tổ chức để đạt được các lợi ích của chúng.
Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này
tách biệt với các hệ thống thơng tin khác, nhưng nó dựa trên mạng viễn thơng cơ sở
và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng.
Nguy cơ về an tồn thơng tin trong hạ tầng cơ sở kinh tế: Các tổ chức tài
chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán... đều sử dụng
máy tính để duy trì các tài khoản và các giao dịch tài chính. Các nhà máy cơng
nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật
tư thiết bị mà con người khơng thể tiếp cận vì lý do bảo vệ sức khỏe, Thị trường
mua bán công khai và không công khai, Các doanh nghiệp tư nhân, Các trung tâm
kinh doanh lớn.
14
1.3.
NHU CẦU HỆ THỐNG QUẢN LÝ ATTT
Một nghiên cứu cho thấy khi doanh nghiệp chuyển sang thương mại điện tử,
nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ
và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%.
Nhu cầu về an tồn thơng tin càng ngày càng trở nên nóng hơn do ứng dụng
CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa
theo kịp. Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn tăng tốc. Ví dụ,
ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng
80% hoạt động vụ của ngành đã diễn ra trên mơi trường mạng. Ngành bắt đầu hình
thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an tồn. Các lĩnh vực như chứng
khốn, ngân hàng, thuế và hải quan và đặc biệt là thương mại điện tử đã chuyển dần
hoạt động lên môi trường mạng. Việc hội nhập WTO cũng thúc đẩy các tổ chức và
doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh.
Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ
thống quản lý an ninh thông tin ATTT (Information Security Management System)
chuẩn hóa là vơ cùng cần thiết, ISO 270001 là một chuẩn quốc tế đáp ứng nhu cầu
này. Nó cung cấp một khuôn khổ, bộ quy tắc cho việc khởi đầu, thiết lập, quản lý và
duy trì an ninh thơng tin trong tổ chức để thiết lập một nền tảng vững chắc cho
chính sách an tồn thơng tin, bảo về các tài sản của tổ chức, doanh nghiệp một cách
thích hợp. Xây dựng đuợc một hình ảnh tích cực và là một bằng chứng thấy đuợc
cho các bên quan tâm từ đó tạo ra lợi thế cạnh tranh và đem lại thành cơng, lợi
nhuận trong q trình hoạt động của các tổ chức và doanh nghiệp.
15
Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001
2.1.
GIỚI THIỆU
2.1.1. Khái quát
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 “Công nghệ thông tin – Các
phương pháp bảo mật – Hệ thống quản lý an tồn thơng tin – Các u cầu”
(“Information Technology
–
Security techniques
–
Information security
management system – Requirements”) được ban hành vào tháng 10/2005 và được
xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799-2:2002 do Viện Tiêu chuẩn
Anh ban hành năm 2002[2].
Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mơ hình cho việc thiết
lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an
tồn thơng tin - Information Security Management System (ATTT). Việc chấp nhận
một hệ thống quản lý ATTT sẽ là một quyết định chiến lược của tổ chức. Thiết kế
và triển khai hệ thống quản lý an tồn thơng tin của một tổ chức phụ thuộc vào các
nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình
đang được sử dụng và quy mơ, cấu trúc của tổ chức. Các điều này và các hệ thống
hỗ trợ cần luôn được cập nhật và thay đổi. Việc đầu tư và triển khai một hệ thống
quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức. Tiêu chuẩn
này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng
như các bộ phận liên quan bên ngoài tổ chức.
2.1.2. Phạm vi áp dụng
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức
khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận
v.v…). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai,
điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để
đảm bảo an tồn thơng tin trước những tất cả các rủi ro có thể xảy ra với tổ chức.
Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn
đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức.
16
2.1.3. Cách tiếp cận theo quy trình
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản
lý ATTT của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một
cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp
nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thơng
thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo.
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết
tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp
cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an tồn thơng tin được trình bày trong
tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng
của :
1/. Việc hiểu các yêu cầu an tồn thơng tin của tổ chức và các sự cần thiết phải thiết
lập chính sách và mục tiêu cho an tồn thơng tin.
2/. Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin
của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức.
3/. Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT.
4/. Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
5/. Tiêu chuẩn này thơng qua mơ hình “Lập kế hoạch – Thực hiện – Kiểm tra và
Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý
ATTT. Hình 2.1 dưới đây mơ tả cách hệ thống quản lý ATTT lấy đầu vào là các
yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành
các quy trình xử lý cần thiết sẽ đáp ứng an tồn thơng tin theo như các yêu cầu
và kỳ vọng đã đặt ra. Hình 2.1 cũng chỉ ra các liên hệ giữa các quy trình được
biểu diễn trong các phần 2.3, 2.4, 2.5, 2.6 và 2.7.
17
Các bộ
phận liên
quan
Các bộ
phận liên
quan
P
Thiết lập hệ
thống ISMS
D
Triển khai và
điều hành hệ
thống ISMS
Các u
cầu và kỳ
vọng về an
tồn thơng
tin
Duy trì và
nâng cấp hệ
thống ISMS
A
Giám sát và
đánh giá hệ
thống ISMS
Kết quả
quản lý an
tồn thơng
tin
C
Hình 2.1: Áp dụng mơ hình PDCA cho các quy trình hệ thống quản lý ATTT
P (Lập kế hoạch) - Thiết
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục
lập ATTT
liên quan đến việc quản lý các rủi ro và nâng cao an tồn
thơng tin nhằm đem lại các kết quả phù hợp với các chính
sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển
Cài đặt và vận hành các chính sách, biện pháp quản lý,
khai và điều hành ATTT
quy trình và thủ tục của hệ thống quản lý ATTT.
C (Kiểm tra) - Giám sát
Xác định hiệu quả việc thực hiện quy trình dựa trên chính
và xem xét ATTT
sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh
nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của
ban quản lý.
A (Hành động) - Duy trì
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các
và nâng cấp ATTT
kết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT,
xem xét của ban quản lý hoặc các thơng tin liên quan khác
nhằm liên tục hồn thiện hệ thống quản lý ATTT.
18
2.2.
MỘT SỐ KHÁI NIỆM
Tiêu chuẩn ISO 27001 sử dụng các thuật ngữ và định nghĩa sau:
1/. Tài sản
Là bất cứ gì có giá trị đối với tổ chức.
2/. Tính sẵn sàng
Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo
yêu cầu.
3/. Tính bí mật
Tính chất đảm bảo thơng tin khơng sẵn sàng và công khai đối với các cá
nhân, thực thể và các tiến trình khơng được phép.
4/. An tồn thơng tin
Sự duy trì tính bí mật, tính tồn vẹn và tính sẵn sàng của thơng tin, ngồi ra
có thể bao hàm tính chất xác thực, kiểm soát, chống chối bỏ và tin cậy.
5/. Sự kiện an tồn thơng tin
Sự kiện xác định xảy ra trong một hệ thống, một dịch vụ hay một trạng thái
mạng chỉ ra sự vi phạm chính sách an tồn thơng tin, sự thất bại của hệ thống bảo vệ
hoặc một tình huống bất ngờ liên quan đến an tồn.
6/. Sự cố an tồn thơng tin
Một hoặc một chuỗi các sự kiện an tồn thơng tin khơng mong muốn có khả
năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an tồn thơng tin.
7/. Hệ thống quản lý an tồn thơng tin
Hệ thống quản lý an tồn thơng tin là một phần của hệ thống quản lý tổng
thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp ATTT.
19
8/. Tính tồn vẹn
Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản.
9/. Rủi ro tồn đọng
Các rủi ro cịn lại sau q trình xử lý rủi ro.
10/.
Sự chấp nhận rủi ro
Quyết định chấp nhận sự tồn tại một rủi ro.
11/.
Phân tích rủi ro
Sử dụng thơng tin một cách có hệ thống nhằm xác định các nguồn gốc và
đánh giá rủi ro.
12/.
Đánh giá rủi ro
Quá trình so sánh rủi ro đã được dự đốn với chỉ tiêu rủi ro đã có nhằm xác
định mức độ nghiêm trọng của rủi ro.
13/.
Quản lý rủi ro
Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các
rủi ro có thể xảy ra.
14/.
Xử lý rủi ro
Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro.
15/.
Thông báo áp dụng
Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản
lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức.
Các mục tiêu quản lý và biện pháp quản lý được xây dựng dựa trên các kết
quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế
tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức
để đảm bảo an tồn thơng tin.
20
16/.
Tổ chức
Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá
nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng
nhau hành động vì mục tiêu chung. Các TC trong xã hội lồi người được hình
thành, đào thải, phát triển khơng ngừng theo tiến trình phát triển của xã hội với
nhiều hình thức tập hợp, quy mơ, nội dung và cách thức hoạt động khác nhau.
Các TC trong xã hội hiện đại rất phong phú, đa dạng, được hình thành trong
tất cả các lĩnh vực của đời sống xã hội, ở từng ngành, từng địa phương, từng cơ sở,
có quy mơ cả nước, một số TC có yêu cầu và điều kiện thì tham gia hệ thống TC
tương ứng trong khu vực và thế giới.
Có loại TC được liên kết chặt chẽ, hoạt động lâu dài (đảng chính trị, cơ quan
nhà nước, tổ chức Liên hợp quốc, tổ chức ASEAN, vv.). Có loại TC chỉ có hình
thức liên kết và nội quy hoạt động đơn giản, linh hoạt (hội quần chúng ở các địa
phương và cơ sở như hội làm vườn, hội đồng hương, đồng khoa, vv.).
Phân loại các TC trong xã hội hiện đại thường là: TC chính trị (đảng chính
trị, chính quyền nhà nước), TC chính trị - xã hội (cơng đồn, đồn thanh niên, hội
phụ nữ, hội nông dân, hội cựu chiến binh, vv.), TC chính trị - xã hội - nghề nghiệp
(hội nhà văn, hội nhà báo, vv.), TC xã hội (hội của những người cùng nghề nghiệp,
sở thích, hoạt động nhân đạo, từ thiện, vv.), TC tôn giáo (các giáo hội Thiên Chúa
giáo, Tin Lành, Phật giáo, Hoà Hảo, Cao Đài, Hồi giáo, vv.), TC kinh tế (công ty,
ngân hàng, hợp tác xã, vv.), TC văn hố, thể thao (đồn kịch, đồn chèo, đội bóng,
vv.), TC vũ trang.
Nhà nước tiến hành việc quản lí về TC và hoạt động của các TC trong xã hội
bằng Hiến pháp và pháp luật. Các TC trong xã hội thường có điều lệ, nội quy hoạt
động, quy định trách nhiệm, quyền hạn của các thành viên và mối quan hệ giữa các
thành viên trong TC ấy.
21
2.3
THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT
Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng
cấp một hệ thống quản lý an tồn thơng tin (ATTT) đã được tài liệu hóa trong bối
cảnh toàn bộ hoạt động của tổ chức và những rủi ro đang phải đối mặt.
2.3.1. Thiết lập hệ thống quản lý ATTT
Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện như sau :
2.3.1.1.
Phạm vi và giới hạn của hệ thống quản lý ATTT
Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt:
đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao
gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng.
2.3.1.2.
Chính sách triển khai hệ thống quản lý ATTT
Vạch rõ chính sách triển khai hệ thống quản lý ATTT theo các mặt: đặc thù
công việc, sự tổ chức, địa điểm, các tài sản và cơng nghệ mà trong đó:
1/. Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và ngun tắc
cho việc đảm bảo an tồn thơng tin.
2/. Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt
buộc về bảo mật.
3/. Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các
nghĩa vụ về an tồn an ninh có trong hợp đồng.
4/. Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT như một phần trong
chiến lược quản lý rủi ro của tổ chức.
5/. Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra (xem 2.3.1.3).
6/. Được ban quản lý phê duyệt.
Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống
quản lý ATTT được xem xét như là một danh mục đầy đủ các chính sách an tồn
thơng tin. Các chính sách này có thể được mơ tả trong cùng một tài liệu.
22
2.3.1.3.
Phương pháp tiếp cận đánh giá rủi ro
Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức
1/. Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT,
và các quy định, pháp lý, an tồn bảo mật thơng tin đã xác định.
2/. Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có
thể chấp nhận được (xem 2.4.1.6).
Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi
ro đưa ra các kết quả có thể so sánh và tái tạo được.
Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. Ví dụ về các hệ phương
pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC TR 13335-3 “Information
technology- Guidelines for the management of IT Security – Techniques for the
management of IT Security”[3].
2.3.1.4.
Xác định các rủi ro
1/. Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tượng quản
lý các tài sản này.
2/. Xác định các mối đe doạ có thể xảy ra đối với tài sản.
3/. Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên.
4/. Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo
đảm: bí mật, tồn vẹn và sẵn sàng.
23
