Chủ Nhật, 16/06/2024, 00:39
27.8 C
Ho Chi Minh City

An toàn thông tin – Không chỉ là vấn đề kỹ thuật

Kinh tế Sài Gòn Online

Kinh tế Sài Gòn Online

An toàn thông tin – Không chỉ là vấn đề kỹ thuật

Sơ đồ 1

(TBVTSG) – Gần đây, an toàn thông tin trở thành một vấn đề được quan tâm, nhiều tổ chức và doanh nghiệp đã trở thành nạn nhân của việc thất thoát, mất mát dữ liệu hoặc rò rỉ thông tin.

Người viết bài này từng giật mình khi thấy một bản sơ đồ bố trí máy móc của một doanh nghiệp viễn thông lớn, thuộc một kế hoạch ứng cứu khi thiên tai xảy ra, trong một tờ giấy gói bánh mì, mặc dù chỉ là bản sao.

Chuyện không mới

An toàn thông tin không chỉ đơn giản liên quan đến vấn đề về máy móc, kỹ thuật và hệ thống thông tin như nhiều người lầm tưởng. Trên thực tế, sự rò rỉ và mất mát thông tin có thể xảy ra ở bất cứ đâu, thậm chí nghiêm trọng ở cả những tổ chức hay doanh nghiệp không có ứng dụng công nghệ thông tin, hay đơn giản với vài máy tính dùng như các công cụ đánh máy, in ấn và lưu trữ văn bản.

Rò rỉ và mất mát thông tin là vấn đề không mới. Nó chỉ trở nên nghiêm trọng và thường xuyên hơn khi công nghệ thông tin với các dữ liệu số được sử dụng rộng khắp trong nhiều hoạt động của các tổ chức và xã hội.

Các nguồn gây rò rỉ hay mất thông tin

Thường rất đa dạng, xảy ra trong nhiều tình huống khác nhau, đôi khi hoàn toàn “thô sơ” và không liên quan đến công nghệ hiện đại.

– Giấy tờ, hồ sơ in ấn rơi vãi, nhân viên mang về nhà, bản nháp/bản sao trong rác thải văn phòng.

– Thông tin bí mật kinh doanh bị nhân viên chia sẻ trong các blog, e-mail cá nhân, chat.

– Mất thông tin do hệ thống bảo mật kém, hacker, virus, sâu máy tính, người dùng cố ý lấy cắp.

– Thiết bị chứa dữ liệu bị hỏng phần cứng, mất cắp, rơi rớt.

– Dữ liệu bị sử dụng sai hoặc vô tình bị sửa, xóa, ghi chồng lên.

– Dữ liệu bị tải hoặc chia sẻ lên mạng, do vô tình hoặc cố ý.

– Nhân viên đã nghỉ việc, nhà cung cấp, khách hàng, hoặc đối tác thân thiết tiết lộ thông tin.

– Hình ảnh, âm thanh thu được qua các thiết bị cá nhân như điện thoại di động, máy tính xách tay…

Hiểu thế nào về an toàn thông tin?

Có nhiều định nghĩa về an toàn thông tin. Về cơ bản, đối với mọi tổ chức, việc có thông tin chính xác và kịp thời có tác động rất quan trọng đến hoạt động, khả năng phát triển và thu lợi của tổ chức đó.

An toàn thông tin giúp kiểm soát và bảo vệ thông tin khỏi bị rò rỉ, mất mát, sai lệch do vô tình hoặc cố ý. An toàn thông tin phải bảo đảm ba thuộc tính quan trọng: 1. Tính cẩn mật: tránh cho thông tin không rò rỉ trái phép, cho đối thủ hay công chúng. 2. Tính toàn vẹn: tránh cho thông tin không bị thay đổi trái phép, thông tin phải chính xác và đầy đủ. 3. Tính sẵn sàng: bảo đảm thông tin luôn sẵn sàng khi cần.

Việc xây dựng một hệ thống an toàn thông tin không chỉ đơn thuần có ý nghĩa về mặt vật chất và kỹ thuật, về cơ bản nó mang đến nhiều lợi ích, ảnh hưởng trực tiếp đến hoạt động kinh doanh của một tổ chức:

– Tài sản thông tin được quản lý chặt chẽ và có hệ thống.

– Nắm bắt và kiểm soát các rủi ro có thể xảy ra.

– Bảo mật thông tin trong nội bộ tổ chức, cũng như giữa tổ chức với bên ngoài.

– Thể hiện sự cam kết của tổ chức với đối tác và khách hàng bằng hành động cụ thể.

– Bảo đảm khả năng hoạt động của hệ thống khi có sự cố khẩn cấp xảy ra.

Xây dựng hệ thống bảo đảm an toàn thông tin như thế nào?

Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải pháp thuần túy kỹ thuật. Một hệ thống thông tin an toàn đúng nghĩa phải gắn kết và tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó con người đóng vai trò quan trọng.

Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin. Tuy nhiên, thông thường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn ISO 27001 và ISO/IEC 17799 thường được nhắc đến nhiều nhất, bởi tính hệ thống, tính thông dụng và tính quốc tế của chúng.

Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo cả hai như là một cặp không thể tách rời. Khi áp dụng, tiêu chuẩn ISO 27001 mang tính bắt buộc, quy định các yêu cầu của một hệ thống an toàn thông tin, trong khi chuẩn ISO/IEC 17799 cung cấp các kinh nghiệm để có thể thiết kế một hệ thống cụ thể, mang tính tham khảo và không bắt buộc.

Về cơ bản, một hệ thống an toàn thông tin phải được xây dựng tích hợp chặt chẽ vào hệ thống vận hành của một tổ chức, có cấu trúc chặt chẽ, gồm nhiều tác vụ liên thông và hỗ trợ lẫn nhau. Một hệ thống theo chuẩn ISO/IEC 17799 nhất thiết phải bao gồm các nhóm yêu cầu và tác vụ được trình bày ở sơ đồ 1 của bài này.

Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an toàn thông tin nên căn cứ vào nhu cầu và đặc điểm của từng tổ chức. Một hệ thống an toàn có hiệu quả ở tổ chức này, hoàn toàn không chắc là phù hợp với tổ chức khác, thậm chí có hoạt động cùng lĩnh vực.

Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây dựng các phương pháp bảo đảm an toàn thông tin mang tính hệ thống, tránh thiếu sót, thừa hưởng các kinh nghiệm đã đúc kết, chúng không thể thay thế cho vai trò quyết định của bản thân doanh nghiệp.

Sơ đồ 2

Thông thường, quá trình thiết lập, vận hành và chứng nhận hệ thống an toàn thông tin theo tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình bày ở bảng 2, trong đó chi tiết các bước sẽ rất khác nhau, tùy theo từng tổ chức.

Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian giữa các bước trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống an toàn thông tin. Các bước và khung thời gian chỉ có tính minh họa, thực tế chúng khác biệt và phụ thuộc vào mục tiêu, cách thức và kế hoạch của từng tổ chức.

Nhóm tác vụ

Mô tả và ý nghĩa

Chính sách

Các chính sách ở các cấp độ khác nhau (công ty, phòng, ban) về an toàn thông, các quy trình, quy định, hướng dẫn thực hiện, báo cáo, xử lý sự cố, kỷ luật…

Tổ chức và thực hiện

Quy định trách nhiệm của các bộ phận và cách thức thực hiện các công việc về an toàn thông tin của tổ chức.

Kiểm soát tài sản

Phân loại tài sản và rủi ro có thể xảy ra để định nghĩa các yêu cầu về an toàn thông tin một cách phù hợp.

Kiểm soát việc truy cập

Kiểm soát việc truy xuất hoặc truy cập đến các tài sản hoặc đối tượng chứa thông tin, hoặc có khả năng gây rỏ rỉ thông tin.

An toàn về con người

Chú trọng bảo đảm an toàn thông tin về mặt con người, huấn luyện và quy định vai trò, nghĩa vụ của từng người trong tổ chức về an toàn thông tin.

An toàn về vật chất và môi trường

Các khía cạnh an toàn thông tin liên quan đến môi trường vật chất, chẳng hạn chống cháy nổ, khu vực cách ly người lạ, chống nghe lén…

Phát triển và bảo trì hệ thống

An toàn thông tin được tích hợp vào toàn bộ các quá trình phát triển, nâng cấp, sửa chữa, bảo trì toàn bộ các thành phần của hệ thống.

Quản lý các hoạt động và truyền thông

Tích hợp các mức bảo đảm an toàn thông tin vào các quy trình nghiệp vụ. Quy định rõ trách nhiệm trong toàn bộ các hoạt động hằng ngày, trao đổi thông tin giữa nội bộ và giữa nội bộ với bên ngoài.

Kiểm soát sự cố

Bao gồm các phương án bảo đảm các quá trình hoạt động và kinh doanh của tổ chức được tiếp diễn bình thường khi có tình huống (xấu) khẩn cấp xảy ra.

Tuân thủ quy định của pháp luật

Bảo đảm cho hệ thống an toàn thông tin và các quy định của tổ chức phù hợp với luật pháp, không mâu thuẫn với các tiêu chuẩn khác trong tổ chức.

Bảng 1

Các bước chính

Mô tả

1. Phân tích hiện trạng

Phân tích hoạt động của tổ chức so với các yêu cầu của tiêu chuẩn, chỉ định các rủi ro và các biện pháp để khắc phục hoặc hạn chế rủi ro.

2. Huấn luyện

Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhân viên các cấp có đủ kiến thức và kỹ năng để thiết lập và vận hành toàn hệ thống.

3. Thiết lập các chính sách và quy trình

Thiết lập các chính sách, thủ tục, phương pháp và công cụ hỗ trợ nhằm định nghĩa và tích hợp hệ thống an toàn thông tin vào hoạt động của tổ chức.

4. Xem xét và phê chuẩn các quy trình

Các chuyên gia, lãnh đạo xem xét, điều chỉnh và phê duyệt các chính sách, quy trình, phương pháp, công cụ để chính thức áp dụng.

5. Áp dụng quy trình

Chính thức áp dụng các chính sách, quy trình và phương pháp, công cụ đã được phê duyệt, áp dụng thử hoặc áp dụng đại trà.

6. Kiểm soát việc thực thi và xem xét của lãnh đạo

Các chuyên gia kiểm soát nội bộ kiểm soát việc tuân thủ. Các vi phạm và các điểm bất hợp lý được báo cáo với lãnh đạo.

Lãnh đạo xem xét toàn diện hệ thống an toàn thông tin, khảo sát tính hiệu quả của hệ thống, giải quyết khó khăn, chỉ định các điểm cải tiến.

7. Hoạt động sửa lỗi

Sửa các lỗi không tương thích được phát hiện trong quá trình kiểm soát, bảo đảm lỗi đã xảy ra sẽ không tái xuất hiện.

8. Đánh giá thử

Bảo đảm tổ chức đã sẵn sàng cho việc đánh giá chính thức. Nếu lỗi quá nhiều, việc đánh giá chính thức sẽ được lùi một thời gian thích hợp.

9. Cải tiến các quy trình

Điều chỉnh các chính sách, thủ tục, phương pháp và công cụ hỗ trợ cho phù hợp hơn sau khi đánh giá thử, bảo đảm mọi thứ sẵn sàng.

10. Đánh giá và chứng nhận

Đánh giá toàn diện hệ thống theo tiêu chuẩn, chứng nhận tổ chức đạt chuẩn nếu không tồn tại các điểm không tương thích chính yếu.

Bảng 2

NGÔ VĂN TOÀN – Global CyberSoft Việt Nam

Tài liệu tham khảo:

1. ISO/IEC 27001 – First edition, 10/27/2005 – Information technology – Security techniques – Information security management systems – Requirements

2. ISO/IEC 17799: 2005 – Information Technology – Security techniques – Code of practice for information security management

3. Bài giảng ISMS INTERNAL AUDIT – TUVRheinland – 10/2007

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Tin liên quan

Có thể bạn quan tâm

Tin mới