Bài giảng Quản lý an toàn thông tin: Phần 1 có nội dung trình bày tổng quan về quản lý an toàn thông tin; chính sách và luật pháp an toàn thông tin; các nguyên tắc trong quản lý an toàn thông tin; tổ chức quản lý an toàn thông tin; hệ thống pháp luật an toàn thông tin của Việt Nam và các nước;... Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ***** PHẠM HỒNG DUY BÀI GIẢNG QUẢN LÝ AN TỒN THƠNG TIN HÀ NỘI 2018 Lời nói đầu Sự phát triển mạnh mẽ công nghệ mạng Internet phổ biến rộng rãi ứng dụng máy tính khiến cho việc đảm bảo an tồn thơng tin hoạt động thường xuyên quan, tổ chức cá nhân quan tâm đầu tư nhiều cơng sức tiền Quản lý an tồn thơng tin môn sở quan trọng dành cho sinh viên năm thứ 3, chuyên ngành an tồn thơng tin Mơn học cung cấp kiến thức việc phát triển quản lý biện pháp đảm bảo an tồn thơng tin Mơn học giới thiệu tiêu chuẩn an toàn phổ biến nước quốc tế quy định pháp luật an tồn thơng tin mà giải pháp an toàn khuyến nghị tuân theo cần tn thủ Ngồi ra, mơn học giới thiệu nguyên tắc biện pháp giúp cho việc vận hành hệ thống đảm bảo an toàn trì việc hoạt động liên tục xây dựng kế hoạch ứng phó có cố Bài giảng gồm chương với nội dung sau Chương giới thiệu mục tiêu vấn đề quản lý an tồn thơng tin Với quan tâm ngày tăng vấn đề an toàn, việc xây dựng yêu cầu cách thức đảm bảo an tồn cho nhiệm vụ, cơng việc quan/tổ chức chịu nhiều thách thức Các yêu cầu biện pháp an tồn khơng phải tn thủ ràng buộc mặt luật pháp mà khía cạnh xã hội thể đóng góp quan/tổ chức tới an toàn chung cộng đồng Chương trình bày yêu cầu sách an tồn thơng tin quan hay tổ chức Các sách an tồn mặt thể mục tiêu mà quan hay tổ chức cần đạt được, mặt khác chúng chứng tỏ tuân thủ với quy định pháp luật đóng góp với xã hội đối tác việc đảm bảo an tồn thơng tin Phần chương giới thiệu ràng buộc mặt pháp lý hoạt động lĩnh vực thông tin liên lạc cá nhân tổ chức cần phải tuân thủ lãnh thổ Việt Nam Phần lại chương giới thiệu luật quan trọng liên quan đến vấn đề bảo vệ thông tin môi trường mạng nước Châu Âu, Mỹ số quốc gia khu vực Chương trình bày tiêu chuẩn an tồn thơng tin phổ biến giới Tổ chức tiêu chuẩn quốc tế ISO, Viện Tiêu chuẩn Công nghệ Quốc gia Mỹ NIST ban hành Chương chủ yếu giới thiệu tiêu chuẩn IS0 27000 hệ thống tiêu chuẩn NIST Phần cuối chương giới thiệu tiêu chuẩn an tồn thơng tin Việt Nam công bố Chương giới thiệu khái niệm khung quản lý an tồn thơng tin nhằm cung cấp nhìn tổng thể vấn đề an tồn chương trình an tồn (security program) Chương tập trung trình bày cách thức phân tích đánh giá rủi ro biện pháp kiểm soát với vấn đề an toàn hay lỗ hổng giúp cho người quản lý định phù hợp xác định mức độ rủi ro chấp nhận Cách thức triển khai đặc trưng tiêu chuẩn thực tế cho việc phân tích rủi ro bao gồm OCTAVE, NIST SP 800-30 ISO 27005 giới thiệu chi tiết phần Chương nêu yêu cầu việc vận hành sử dụng hệ thống nhiệm vụ đảm bảo an toàn cần thực Vấn đề quy trình quản lý thay đổi cấu hình hệ thống cách thức kiểm sốt thiết bị liệu trình bày chương Chương chương cuối giảng tập trung vào vấn đề xử lý đối phó với tình cố Chương giới thiệu cách thức xây dựng kế hoạch để khôi phục hệ thống cố đảm bảo khả hoạt động hệ thống tình tài nguyên hạn chế Trong trình biên soạn giảng, dù tác giả có nhiều cố gắng song khơng thể tránh thiếu sót Tác giả mong muốn nhận ý kiến phản hồi góp ý cho thiếu sót cập nhật hồn thiện nội dung giảng Người biên soạn Muc luc CHƯƠNG TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN 1.1 Giới thiệu quản lý an tồn thơng tin 1.2 Chính sách luật pháp an tồn thơng tin 16 1.3 Các nguyên tắc quản lý an tồn thơng tin 17 1.4 Phân loại thông tin hệ thống thông tin 20 1.5 Các biện pháp quản lý an tồn thơng tin 21 1.6 Tổ chức quản lý an tồn thơng tin 22 1.7 Câu hỏi ôn tập 24 CHƯƠNG HỆ THỐNG PHÁP LUẬT AN TỒN THƠNG TIN CỦA VIỆT NAM VÀ CÁC NƯỚC 26 2.1 Các yêu cầu sách, pháp luật 26 2.2 Các luật an tồn thơng tin Việt Nam 29 2.3 Hệ thống pháp luật an tồn thơng tin nước 38 2.4 Câu hỏi ôn tập 47 CHƯƠNG HỆ THỐNG TIÊU CHUẨN AN TỒN THƠNG TIN 49 3.1 Hệ thống tiêu chuẩn an toàn thông tin giới 49 3.2 Hệ thống tiêu chuẩn ISO/IEC 54 3.3 Hệ thống tiêu chuẩn NIST 60 3.4 Hệ thống tiêu chuẩn an tồn thơng tin Việt Nam 61 3.5 Câu hỏi ôn tập 62 CHƯƠNG HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 63 4.1 Bộ khung quản lý an toàn thông tin 63 4.2 Quản lý rủi ro 66 4.3 Nhận dạng, phân tích đánh giá rủi ro 68 4.4 Các chiến lược kiểm soát rủi ro 74 4.5 Các thực tế kiểm soát rủi ro 75 4.6 Câu hỏi ôn tập 85 CHƯƠNG QUẢN LÝ VẬN HÀNH KHAI THÁC AN TOÀN 86 5.1 Nguyên tắc quản lý vận hành an toàn 86 5.2 Quản lý cấu hình 91 5.3 Kiểm soát thiết bị, liệu 94 5.4 Trách nhiệm quản lý vận hành, khai thác 98 5.5 Câu hỏi ôn tập 99 CHƯƠNG DUY TRÌ HOẠT ĐỘNG VÀ KHẮC PHỤC SỰ CỐ 101 6.1 Nguyên tắc trì hoạt động khắc phục cố 101 6.2 Xây dựng kế hoạch trì hoạt động 105 6.3 Chiến lược khôi phục cố 110 6.4 Kiểm thử cập nhật kế hoạch 113 6.5 Câu hỏi ôn tập 117 Dầnh muc cầ c hình vẽ Hình 1-1 Tương quan yêu cầu hệ thống 10 Hình 1-2 Quan hệ chủ thể an tồn thơng tin 11 Hình 3-1 Bộ tiêu chuẩn ISO 27000 57 Hình 3-2 Các tài liệu bổ sung NIST SP 800-37 61 Hình 4-1 Khung kiến trúc an toàn SABSA 65 Hình 4-2 Các bước quản lý rủi ro 67 Hình 5-1 Các giai đoạn quản lý cấu hình 93 Hình 6-1 Các bước quản lý hoạt động liên tục 102 Hình 6-2 Chu trình quản lý hoạt động liên tục 104 Hình 6-3 Quy trình khơi phục cố 104 Hình 6-4 Đánh giá tài nguyên cần thiết 108 Hình 6-5 Vị trí hoạt động dự phịng .112 Dầnh muc cầ c bầng Bảng 2-1 Các văn pháp luật an tồn thơng tin .29 Bảng 4-1 Các tác nhân đe dọa lỗ hổng .70 Bảng 4-2 Các đặc trưng biện pháp kiểm soát 76 Bảng 4-3 Các rủi ro ảnh hưởng 80 Bảng 4-4 Phân tích rủi ro 80 Bảng 4-5 Đánh giá phương pháp .80 Bảng 4-6 Xác định mức độ rủi ro 83 Bảng 4-7 Đánh giá phương pháp .83 Bảng 4-8 Đánh giá phương pháp .85 Bảng 6-1 Các kiểu kế hoạch khôi phục 113 Cầc từ viẽt tầt ACL – Access Control List: Danh sách kiểm sốt truy nhập CIA – Confidentiality-Integrity-Availability: Bí mật, Toàn vẹn Sẵn dùng CII – Critical Information Infrastructure: Hạ tầng thông tin quan trọng CSA – Cyber Security Agency: Cơ quan an ninh mạng SOC – Security Operations Centre : Trung tâm giám sát hoạt động an ninh CPU – Central Processing Unit: Đơn vị xử lý trung tâm DAC – Discretionary Access Control: Kiểm soát truy nhập tùy chọn DEP – Data Execution Prevention: Ngăn chặn thực thi liệu EAL - Evaluation Assurance Levels: Mức độ đánh giá an toàn GUI – Graphic User Interface: Giao diện người dùng đồ họa IDE – Integrated Development Environment: Mơi trường phát triển tích hợp IDS – Intrusion Detection System: Hệ thống phát xâm nhập ISO – International Standard Organisation: Tổ chức tiêu chuẩn quốc tế ITU – International Telecommunication Union: Liên minh viễn thông quốc tế LSM – Linux Security Module: Mô-đun an ninh Linux ISP – Internet Service Provider: Nhà cung cấp dịch vụ Internet MAC – Mandatory Access Control: Kiểm soát truy nhập bắt buộc PC – Personal Computer: máy tính cá nhân RBAC – Role Based Access Control: Kiểm soát truy nhập theo vai trị TPM – Trusted Platform Module: Mơ-đun hạ tầng tin cậy WTO – World Trade Organization: Tổ chức thương mại giới CHƯƠNG TỔNG QUAN VỀ QUẢN LÝ AN TỒN THƠNG TIN Chương giới thiệu mục tiêu vấn đề quản lý an tồn thơng tin Với quan tâm ngày tăng vấn đề an toàn, việc xây dựng yêu cầu cách thức đảm bảo an toàn cho nhiệm vụ, công việc quan/tổ chức chịu nhiều thách thức Các yêu cầu biện pháp an tồn khơng phải tn thủ ràng buộc mặt luật pháp mà khía cạnh xã hội thể đóng góp quan/tổ chức tới an toàn chung cộng đồng 1.1 Giới thiệu quản lý an tồn thơng tin 1.1.1 Vấn đề an tồn thơng tin Trên thực tế quan hay tổ chức có nhiều vấn đề quan trọng cần quan tâm giải với nhiệm vụ công việc thường xuyên việc thực an tồn thơng tin Chẳng hạn như: Cơng ty kinh doanh cần quảng bá bán sản phẩm để tồn phát triển Các quan nhà nước đảm bảo xử lý yêu cầu công dân luật hạn Với phát triển công nghệ, quan/tổ chức phải đối mặt với vấn đề tiêu biểu: Mất trộm thông tin bí mật kinh doanh, khách hàng, lừa đảo Các máy tính bị cài đặt phần mềm độc hại để công quan/tổ chức khác Các máy tính bị gián đoạn hay tê liệt khơng thể cung cấp dịch vụ đáp ứng nhu cầu công ty khách hàng Các hoạt động bảo vệ thông tin thành phần thiết yếu bao gồm hệ thống phần cứng mà sử dụng, lưu trữ, chuyển tiếp thơng tin việc áp dụng sách, chương trình đào tạo cơng nghệ có vai trị tối quan trọng để cơng việc quan/tổ chức diễn cách bình thường Đây trình tiếp diễn liên tục giới hạn nguồn nhân lực tài Như vậy, cần cân nhu cầu đảm bảo an tồn cho tài ngun thơng tin việc thực hoạt động bình thường quan/tổ chức thể hình Hình 1-1 Tương quan yêu cầu hệ thống Các biện pháp bảo đảm an toàn cho hệ thống hỗ trợ chức hệ thống để công việc thực cách đầy đủ biện pháp hạn chế hay ràng buộc việc truy cập đến phương tiện hay tài nguyên cần thiết Đồng thời, biện pháp kiểm soát cần thuận tiện dễ hiểu với người dùng để tránh việc việc chối bỏ hay thiếu sót thực 1.1.2 Các chủ thể an toàn Để xác định cách đắn vấn đề an toàn ảnh hưởng chúng lên thông tin cần bảo vệ, người ta thường sử dụng sơ đồ phân tích đánh giá liên quan chủ thể an tồn thơng tin Hình 1-2 mô tả mối tương quan ba đối tượng quan trọng phân tích đánh giá an tồn tài sản, chủ sở hữu tài sản tác nhân tác động lên tài sản Việc nhận thức thích đáng quan hệ đối tượng cho phép hiểu giá trị tài sản cần bảo vệ, mức độ rủi ro mối đe dọa tính hiệu biện pháp đối phó Các khái niệm mơ tả hình gồm có: Tài sản (Asset) thứ (có giá trị) thuộc sở hữu quan/tổ chức muốn bảo vệ Tài sản thứ cụ thể sở liệu trừu tượng tên tuổi (danh tiếng) Tấn công (Attack) hành động lợi dụng lỗ hổng để xâm hại, ăn trộm, tung ra, làm hỏng hay phát tán, hay sửa đổi trái phép tài sản Biện pháp đối phó (Counter-measure) phương pháp nhằm giảm bớt hậu lỗ hổng Biện pháp đối phó túy lơ-gíc áp dụng sách phần cứng tường lửa Rủi ro (Risk) coi khả kiện không mong muốn xảy thường ám đến tổn thất thường đối phó việc triển khai: công cụ kiểm tra giám sát; chuyển cho bên thứ ba bảo hiểm; giảm nhẹ tổn thất mát lập kế hoạch đối phó với bất ngờ Rủi ro thặng dư rủi ro lại sau biện pháp thận trọng thực thi Rủi ro chấp nhận rủi ro mà quan/tổ chức chấp nhận sau hoàn tất chương trình quản lý rủi ro 10 khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh sản phẩm mật mã dân không rõ nguồn gốc e Luật an ninh mạng 2018 Bộ luật xây dựng nhằm quy định hoạt động bảo vệ an ninh quốc gia bảo đảm trật tự, an tồn xã hội khơng gian mạng; trách nhiệm quan, tổ chức, cá nhân có liên quan Các hành vi bị nghiêm cấm điều chỉnh bao gồm: Điều Luật quy định hành vi bị nghiêm cấm môi trường mạng tiêu biểu việc sử dụng không gian mạng để lan truyền thông tin trái phép sai thật; thực hành vi công lên hệ thống thông tin quan trọng quốc gia; sử dụng hay sản xuất thiết bị phần cứng mềm gây cản trở hoạt động bình thường hệ thống mạng Các hành vi chống lại lực lượng bảo vệ an ninh mạng xâm phạm đến chủ quyền lợi ích an ninh quốc gia bị nghiêm cấm Khoản Điều 26 Luật yêu cầu doanh nghiệp nước nước cung cấp dịch vụ mạng viễn thông, mạng internet dịch vụ gia tăng không gian mạng Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý liệu thông tin cá nhân phải lưu trữ liệu Việt Nam thời gian theo quy định Chính phủ Riêng doanh nghiệp nước ngồi phải đặt chi nhánh văn phịng đại diện Việt Nam Doanh nghiệp phải cung cấp thông tin người dùng để phục vụ điều tra phải có trách nhiệm xác thực thơng tin người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản người dùng Đặc biệt, phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Cơng an có yêu cầu văn để phục vụ điều tra, xử lý hành vi vi phạm pháp luật an ninh mạng Khi người dùng chia sẻ thông tin bị nghiêm cấm, doanh nghiệp cung cấp dịch vụ mạng viễn thông, mạng internet dịch vụ gia tăng không gian mạng Việt Nam phải ngăn chặn việc chia sẻ thơng tin, xóa bỏ thơng tin vi phạm chậm 24 giờ, kể từ thời điểm có yêu cầu lực lượng bảo vệ an ninh mạng thuộc Bộ Công an quan Bộ Thông tin Truyền thông 2.2.3 Các điều kiện với hoạt động môi trường mạng Phần trình bày điều kiện ràng buộc văn pháp luật với cá nhân tổ chức tham gia hoạt động lĩnh vực CNTT, mạng an tồn thơng tin 34 a Nghị định 160/2004/NĐ-CP Nghị định quy định chi tiết thi hành số điều Pháp lệnh Bưu chính, Viễn thơng viễn thông cụ thể: Điều bảo đảm an tồn mạng viễn thơng an ninh thơng tin Nghị định cho thấy tổ chức, cá nhân phải bảo đảm an tồn mạng viễn thơng an ninh thông tin, thực yêu cầu bảo đảm an ninh thông tin quan Nhà nước có thẩm quyền; Bộ Bưu chính, Viễn thơng phối hợp với số Bộ, ngành liên quan hướng dẫn việc bảo đảm an tồn, an ninh thơng tin hoạt động viễn thông Điều bảo đảm bí mật thơng tin cho thấy tổ chức, cá nhân phải chịu trách nhiệm nội dung thông tin mà đưa vào, lưu trữ truyền mạng viễn thông; Nghiêm cấm việc trộm cắp thông tin, sử dụng trái phép mật khẩu, mật mã thông tin riêng tổ chức cá nhân b Luật giao dịch điện tử 51/2005/QH11 Luật Giao dịch điện tử số 51/2005/QH11 QH thông qua 29/11/2005 xác định điều kiện đảm bảo cho giao dịch Điều 22 41 cụ thể: Điều 22 Điều kiện để bảo đảm an toàn cho chữ ký điện tử Chữ ký điện tử xem bảo đảm an toàn kiểm chứng quy trình kiểm tra an toàn bên giao dịch thỏa thuận đáp ứng điều kiện sau đây: Dữ liệu tạo chữ ký điện tử gắn với người ký bối cảnh liệu sử dụng; Dữ liệu tạo chữ ký điện tử thuộc kiểm soát người ký thời điểm ký; Mọi thay đổi chữ ký điện tử sau thời điểm ký bị phát hiện; Mọi thay đổi nội dung thơng điệp liệu sau thời điểm ký bị phát Chữ ký điện tử tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực xem bảo đảm điều kiện an toàn quy định khoản Điều Điều 41 Bảo đảm an toàn, bảo mật lưu trữ thông tin điện tử quan nhà nước: Định kỳ kiểm tra bảo đảm an tồn hệ thống thơng tin điện tử quan trình giao dịch điện tử Bảo đảm bí mật thơng tin liên quan đến giao dịch điện tử, không sử dụng thông tin vào mục đích khác trái với quy định việc sử dụng thơng tin đó, khơng tiết lộ thơng tin cho bên thứ ba theo quy định pháp luật Bảo đảm tính tồn vẹn thơng điệp liệu giao dịch điện tử tiến hành; bảo đảm an toàn vận hành hệ thống mạng máy tính quan 35 Thành lập sở liệu giao dịch tương ứng, bảo đảm an tồn thơng tin có biện pháp dự phịng nhằm phục hồi thơng tin trường hợp hệ thống thông tin điện tử bị lỗi Bảo đảm an tồn, bảo mật lưu trữ thơng tin theo quy định Luật quy định khác pháp luật có liên quan c Nghị định 97/2008/NĐ-CP Nghị định quy định chi tiết việc quản lý, sử dụng dịch vụ Internet thông tin điện tử Internet Việt Nam Điều quy định sách quản lý phát triển Internet nêu rõ Internet Việt Nam phận quan trọng thuộc sở hạ tầng thông tin quốc gia, bảo vệ theo pháp luật, không xâm phạm Bảo đảm an toàn, an ninh cho hệ thống thiết bị thông tin điện tử Internet trách nhiệm quan nhà nước, tổ chức cá nhân Điều quy định doanh nghiệp cung cấp dịch vụ Internet có trách nhiệm triển khai trang thiết bị phương án kỹ thuật, nghiệp vụ bảo đảm an toàn, an ninh thông tin theo hướng dẫn quan nhà nước có thẩm quyền; Điều quy định chủ mạng Internet dùng riêng có trách nhiệm thực quy định cấp phép, kết nối, tiêu chuẩn, chất lượng, giá cước, an tồn, an ninh thơng tin, tài nguyên Internet Điều quy định đại lý Internet có trách nhiệm tuân thủ quy định đảm bảo an tồn, an ninh thơng tin; Điều 10 quy định doanh nghiệp cung cấp hạ tầng mạng có trách nhiệm phối hợp với quan quản lý nhà nước, doanh nghiệp cung cấp dịch vụ Internet cơng tác bảo đảm an tồn, an ninh thông tin điều tra, ngăn chặn hành vi vi phạm pháp luật hoạt động Internet d Nghị định 90/2008/ NĐ-CP Nghị định đời ngày 13/08/2008 (hiện điều chỉnh bổ sung với Nghị định 77/2012/NĐ-CP) Nghị định quy định chống thư rác; quyền nghĩa vụ quan, tổ chức, cá nhân có liên quan Phân loại Spam theo nghị định bao gồm: Email, tin nhắn di động với mục đích lừa đảo, quấy rối, phát tán vi rút máy tính mã độc Email tin nhắn quảng cáo vi phạm quy tắc gửi tin nhắn email quảng cáo e Luật an tồn thơng tin mạng Bộ luật đề yêu cầu bảo vệ thơng tin mạng tổ chức sở hữu thơng tin phân loại thơng tin để có biện pháp bảo vệ phù hợp: Phân loại thông tin theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp Xây dựng quy định, thủ tục để xử lý thông tin phân loại chưa phân loại, 36 Xác định nội dung phương pháp ghi truy nhập phép vào thông tin phân loại Thơng tin thuộc phạm vi bí mật nhà nước phân loại bảo vệ theo quy định pháp luật bảo vệ bí mật nhà nước Đối với việc quản lý gửi thông tin, luật yêu cầu: Không giả mạo nguồn gốc gửi thông tin; Thông tin thương mại cần đồng ý hay yêu cầu người nhận Doanh nghiệp cung cấp dịch vụ Đảm bảo việc lưu trữ thông tin bảo vệ thông tin cá nhân tổ chức Áp dụng biện pháp ngăn chặn có hành vi gửi thông tin vi phạm pháp luật Có phương thức để người nhận từ chối nhận thơng tin Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền tin, lưu trữ thơng tin phải có hệ thống lọc phần mềm độc hại trình gửi, nhận, lưu trữ thơng tin hệ thống Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phát hiện, ngăn chặn phát tán thông tin, phần mềm độc hại, thư rác xử lý theo yêu cầu quan nhà nước có thẩm quyền Bộ luật đề cấp độ với việc bảo vệ hệ thống thơng tin gồm có Cấp độ 1: Khi bị phá hoại làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân không làm tổn hại tới lợi ích cơng cộng, trật tự an tồn xã hội, quốc phòng, an ninh quốc gia; Cấp độ 2: Khi bị phá hoại làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân làm tổn hại tới lợi ích cơng cộng không làm tổn hại tới trật tự an tồn xã hội, quốc phịng, an ninh quốc gia; Cấp độ 3: Khi bị phá hoại làm tổn hại nghiêm trọng tới sản xuất, trật tự xã hội lợi ích cơng cộng tạo thành tổn hại tới quốc phòng, an ninh quốc gia; Cấp độ 4: Khi bị phá hoại làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng trật tự an toàn xã hội tạo thành tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia; Cấp độ 5: Khi bị phá hoại tạo thành tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia 2.2.4 Các trọng tâm quản lý nhà nước AN TỒN THƠNG TIN Các hệ thống mạng ứng dụng sử dụng mạng ngày phát triển phổ cập rộng rãi hoạt động thường ngày người Bên cạnh nhanh chóng 37 thuận tiện hệ thống ứng dụng mang lại, vấn đề an tồn thơng tin ngày trở nên quan trọng phức tạp Để ứng phó đáp ứng tốt thay đổi tiến lĩnh vực này, nhà nước xác định trọng tâm cho việc quản lý phát triển hệ thống mạng ứng dụng sau: Tiếp tục hoàn thiện sở pháp lý Ban hành văn quy phạm pháp luật cần thiết nhằm trấn áp hoạt động phá hoại thông tin Tăng cường phổ biến khuyến nghị doanh nghiệp, quan nhà nước, cộng đồng xã hội triển khai hệ thống phòng thủ, bảo vệ phù hợp theo tiêu chuẩn, hướng dẫn ban hành Khuyến nghị quan tổ chức, ISP triển khai rà sốt thường xun hệ thống thơng tin, vá lỗ hổng an ninh, cài đặt lại cấu hình an tồn; tăng cường kiểm sốt truy nhập hệ thống; đánh giá rủi ro Nhà nước phối hợp với doanh nghiệp cung cấp dịch vụ viễn thông tổ chức kênh tuyên truyền trực tiếp qua thư điện tử, tin nhắn tới người dân nguy an tồn, an ninh thơng tin Tăng cường tổ chức, phối hợp đơn vị tư vấn, chun gia an tồn, an ninh thơng tin sẵn sàng ứng phó với cố liên quan tới an tồn, an ninh thơng tin Thành lập trung tâm ứng cứu cố máy tính địa phương, đơn vị đầu mối địa phương việc đảm bảo an toàn, an ninh thông tin địa phương Khuyến nghị quan tổ chức xây dựng sách an tồn thơng tin, quy trình đảm bảo an tồn thơng tin; nâng cao nhận thức an tồn, an ninh thông tin cho lãnh đạo cán Phát triển nhân lực, mạng lưới chuyên gia có chứng cần thiết an tồn thơng tin Xây dựng hệ thống theo dõi, giám sát, cảnh báo sớm; Hệ thống ghi dấu vết, chứng điện tử Tăng cường công tác tra, kiểm tra; đảm bảo thực thi pháp luật 2.3 Hệ thống pháp luật an tồn thơng tin nước 2.3.1 Luật tổ chức quốc tế Hiệp định Ủy ban Châu Âu tội phạm mạng (Council of Europe Convention on CyberCrime) xây dựng vào 2001 Tổ chức hướng tới việc giám sát chức an toàn liên quan tới hoạt động Internet luật công nghệ Đồng thời, tổ chức cải thiện tính hiệu việc điều tra quốc tế vi phạm 38 Tổ chức thương mại quốc tế WTO (World Trade Organisation) đề xuất thỏa thuận khía cạnh thương mại quyền sở hữu trí tuệ bao gồm cách thức: Các nguyên tắc hệ thống thương mại thỏa thuận sở hữu trí tuệ phải áp dụng Bảo vệ quyền sở hữu trí tuệ Thực thi cách thích đáng quyền quốc gia sở Dàn xếp tranh chấp Thoả thuận chuyển đổi đặc biệt thời gian hệ thống đưa Tổ chức giới sở hữu trí tuệ (WIPO) đề xuất luật quyền số thiên niên kỷ (DMCA) với đóng góp Mỹ bao gồm điều khoản: Nghiêm cấm việc xâm phạm việc bảo vệ biện pháp thực thi người có quyền để kiểm sốt việc truy nhập vào nội dung bảo vệ Nghiêm cấm việc sản xuất thiết bị xâm phạm chế bảo vệ biện pháp truy nhập vào nội dung bảo vệ Cấm việc buôn lậu thiết bị xâm phạm việc bảo vệ biện pháp kiểm soát việc truy nhập nội dung; Nghiêm cấm việc sửa đổi thơng tin đính kèm hay nhúng vào tư liệu quyền Loại bỏ nhà cung cấp dịch vụ Internet khỏi dạng định giúp cho việc vi phạm quyền Ngoài tổ chức quốc tế kể trên, hợp tác liên kết khu vực có nỗ lực đưa thỏa thuận ghi nhớ chung an toàn thơng tin gồm có: Nghị Hội nghị cấp cao 10 nước APEC Lốt Ca-bốt, Mê-hi-cô năm 2002 thơng qua tun bố chung an tồn thơng tin, có nêu vấn đề xây dựng luật văn pháp luật, công ước quốc tế an tồn thơng tin Nghị Hội nghị Cấp cao ASEM (2004 Hà Nội) thơng qua sáng kiến hợp tác, có sáng kiến tăng cường an tồn mạng khu vực ASEM Các cam kết Liên minh Viễn thông Quốc tế (ITU), Tổ chức Viễn thơng Châu Á Thái Bình Dương (APECTel) Nghị Hội nghị quan chức cấp cao viễn thông (TELSOM) Hội nghị Bộ trưởng Viễn thông (TELMIN) tổ chức hàng năm có khuyến nghị cho nước lĩnh vực an tồn thơng tin 2.3.2 Luật pháp an tồn thơng tin Mỹ Phần giới thiệu đạo luật quan trọng Mỹ lĩnh vực an tồn thơng tin 39 a Luật gian lận lạm dụng máy tính năm 1986 Đạo luật CFA (Computer Fraud and Abuse Act ) tảng nhiều luật liên bang liên quan đến máy tính Điều 18 Hiến pháp Hoa kỳ, mục 1030, đưa vào từ năm 1984, từ bổ sung số lần: Sửa đổi 10/1996: Đạo luật bảo vệ Hệ thống thơng tin Quốc gia, tăng mức hình phạt, bổ sung loại hình tội phạm Sửa đổi năm 2001: theo Đạo luật Yêu nước (Patriot Act): Tăng cường hợp luật Mỹ thông qua việc cung cấp thiết chế thích hợp để bổ sung cho Đạo luật ngăn chặn chống khủng bố 2001 Bổ sung công nghệ cao, bổ sung phạm vi thực thi pháp luật Đạo luật nghiêm cấm xâm nhập, làm hỏng truy nhập trái phép tới máy tính bảo vệ Khái niệm “máy tính bảo vệ” phân loại sau: Loại A: quan tài Chính phủ Mỹ Loại B: thương mại, thông tin liên lạc, dân dụng, ngoại thương, kể máy tính để ngồi nước Mỹ Đạo luật CFA cấm hành vi: Truy nhập trái phép tới máy tính chứa liệu quốc phịng, quan hệ quốc tế liệu hạn chế Chính phủ liên bang Truy nhập trái phép tới máy tính chứa thơng tin định tài ngân hàng Truy nhập trái phép, sử dụng, xuyên tạc (thay đổi), thay đổi cấu trúc, làm lộ máy tính thơng tin máy tính làm việc nhân danh lợi ích Chính phủ Mỹ Sự truy nhập khơng có cho phép “máy tính bảo hộ”, mà tồ án định máy tính kết nối với Internet Các gian lận máy tính Lan truyền mã gây hại hệ thống máy tính mạng Bn bán mật máy tính b Đạo luật bảo vệ liên lạc điện tử (Electronic Communications Act): Đạo luật nghiêm cấm can thiệp bất hợp pháp, tiết lộ liên lạc điện tử truyền tải lưu mạng truyền thông bao gồm: Chống nghe trộm liên lạc truyền thông Bảo vệ liên lạc điện tử truyền tải ký hiệu, tín hiệu, chữ viết, hình ảnh, âm thanh, liệu, tri thức truyền toàn phần hệ thống vô tuyến, hữu tuyến, điện tử, điện quang hay quang học, có tác động tới thương mại toàn liên bang ngoại thương” Bảo vệ chống can thiệp truyền tải 40 Các hình phạt quyền bảo hộ chống hành vi làm tổn hại, bồi thường chi phí liên quan Thủ tục truy nhập hợp pháp quan thực thi pháp luật Quyền truy nhập theo lệnh Toà án vào liên lạc ghi Yêu cầu ISP cài đặt thiết bị cần thiết cho phép nghe theo lệnh Toà án Cho phép ISP đọc nội dung liên lạc nhằm trì dịch vụ tự bảo vệ.Ví dụ, nhà cung cấp dịch vụ ghi liệu để phát loại trừ virus c Đạo luật An tồn máy tính (1987 – Computer Security Act): đưa quy định tối thiểu để bảo vệ hệ thống máy tính biện pháp an ninh: Phát triển tiêu chuẩn, hướng dẫn, phương pháp kỹ thuật liên quan cho hệ thống máy tính Phát triển tiêu chuẩn, hướng dẫn quản lý, kỹ thuật cho việc bảo mật hiệu bảo mật thông tin nhạy cảm hệ thống máy tính liên bang Xây dựng hướng dẫn khai thác, vận hành, nâng cao nhận thức Xây dựng thủ tục kiểm chứng, đánh giá bảo mật Các hệ thống an ninh quốc gia xác định : Bất kỳ hệ thống thông tin (kể hệ thống viễn thông) sử dụng vận hành quan Nhà nước tổ chức quan Nhà nước ủy quyền, mà chức năng, hoạt động hay sử dụng hệ thống kéo theo có chứa đựng hoạt động tình báo, hoạt động mật mà liên quan đến an ninh quốc gia; Việc quản lý huy lực lượng vũ trang, thiết bị hay thành phần tích hợp hệ thống vũ khí, hệ thống hành kinh doanh đáp ứng trực tiếp nhiệm vụ quân hay tình báo Các hệ thống thông tin bảo vệ liên tục theo quy định Pháp luật Chính Phủ xếp loại thiết yếu quan hay đối ngoại Các hệ thống hành kinh doanh thơng thường (kể hệ thống tài chính, hậu cần, trả lương hay quản lý nhân sự) không thuộc hệ thống an ninh Quốc gia Các nội dung đạo luật quy định Quyền chức người đứng đầu quan Nhà nước Trách nhiệm quan Chính Phủ Đánh giá hàng năm Trung Tâm ứng cứu cố an toàn thông tin Hệ thống an ninh quốc gia Ủy quyền: Thực quy định cho năm 41 d Luật quản lý an tồn thơng tin Liên Bang – FISMA 2002 (Federal Information Security Management Act): Đạo luật nhằm bảo vệ thông tin hệ thống thông tin môi trường thông tin khỏi hành vi truy cập, sử dụng, khai thác, làm hỏng, phá hủy hay sửa đổi cách trái phép nhằm đảm bảo: Tính tồn vẹn, có nghĩa bảo vệ chống việc sửa đổi hay phá hỏng thông tin bao gồm khả chống chối bỏ xác thực thông tin Tính bí mật, có nghĩa giữ quyền truy cập khai thác thông tin, bao gồm việc bảo vệ thông tin cá nhân thông tin đối tượng Tính sẵn dùng, có nghĩa đảm bảo khả truy cập sử dụng thông tin kịp thời tin cậy e Luật an tồn khơng gian mạng (Cybersecuirty Act) Ngày 18 tháng 12 năm 2015, Tổng thống Obama ký thành luật Đạo luật an ninh mạng năm 2015 Đạo luật thiết lập chế chia sẻ thông tin an ninh mạng tổ chức phủ khu vực tư nhân Đạo luật cung cấp yêu cầu an toàn trách nhiệm thực thể tư nhân chia sẻ thông tin an ninh mạng theo thủ tục định cho phép thực thể khác nhau, bao gồm bên ngồi phủ liên bang giám sát hệ thống thông tin định vận hành biện pháp phịng thủ cho mục đích an ninh mạng Đạo luật bao gồm điều khoản thiết kế để tăng cường bảo vệ an ninh mạng quan liên bang, đánh giá lực lượng an ninh khơng gian mạng phủ liên bang thực loạt biện pháp nhằm cải thiện chuẩn bị an ninh mạng hệ thống thông tin mạng quan trọng Bộ luật gồm nội dung quan trọng: Chương I thiết lập chế tập trung để chia sẻ thông tin an ninh mạng Nội dung quan tâm lớn hầu hết tổ chức khu vực tư nhân Chương II hướng dẫn Bộ an ninh nội địa thực biện pháp thiết kế để tăng cường an ninh mạng phủ liên bang quan liên bang, tạo thuận lợi cho việc thực nội dung Chương I Chương III tập trung đánh giá an ninh không gian mạng lực lượng liên bang Chương IV quy định biện pháp khác nhằm xác định giải mối đe dọa hệ thống mạng thông tin quan trọng 2.3.3 Luật pháp an tồn thơng tin Châu Âu Những tiêu chuẩn an ninh mạng nhận quan tâm đặc biệt kỷ nguyên bùng nổ ứng dụng Internet Cộng đồng EU mong muốn đưa quy định phù hợp cho doanh nghiệp hoạt động đặc biệt Liên minh châu Âu Ba phận tạo nên 42 luật an ninh mạng EU bao gồm ENISA, thị an ninh mạng an ninh thông tin (NIS) tiêu chuẩn bảo vệ liệu chung EU (EU GDPR) a ENISA Đây quan an ninh mạng an ninh thông tin Liên minh châu Âu EU ban đầu thành lập theo Quy định (EC) số 460/2004 Nghị viện Châu Âu Hội đồng Liên minh châu Âu vào năm 2004 với mục đích nâng cao an ninh mạng an ninh thông tin, thị an ninh mạng an ninh thông tin (NIS) nhận thức cho tất hoạt động liên mạng bên EU ENISA thời hoạt động theo Quy định (EU) số 526/2013 để thay quy định ban đầu vào năm 2013 ENISA tích cực hợp tác với tất nước thành viên Liên minh châu Âu Trọng tâm hoạt động họ tập trung vào ba yếu tố sau: Khuyến nghị nước thành viên trình hành động vi phạm an ninh mạng Xây dựng sách hỗ trợ vấn đề thực cho tất thành viên EU Hỗ trợ trực tiếp - ENISA trực tiếp làm việc với đội nhóm hoạt động bên EU ENISA phát hành tài liệu khác bao quát tất vấn đề quan trọng liên quan đến an ninh mạng Sáng kiến trước ENISA bao gồm: Chiến lược đám mây EU, tiêu chuẩn mở công nghệ truyền thông thông tin, Chiến lược an ninh mạng EU nhóm điều phối an ninh mạng ENISA hợp tác với tổ chức tiêu chuẩn quốc tế thời ISO ITU b Chỉ thị An ninh mạng An ninh thông tin (NIS) Vào ngày tháng năm 2016, Nghị viện châu Âu đưa Chỉ thị an ninh mạng hệ thống thông tin (chỉ thị NIS) thành sách Chỉ thị có hiệu lực vào tháng năm 2016 tất quốc gia thành viên Liên minh châu Âu có 21 tháng để tích hợp luật lệ thị vào luật quốc gia riêng họ Mục đích Chỉ thị NIS tạo mức độ an ninh mạng tổng thể cao EU Chỉ thị có ảnh hưởng đáng kể đến nhà cung cấp dịch vụ kỹ thuật số, công nghệ xử lý tín hiệu số DSP nhà khai thác dịch vụ thiết yếu OES Các nhà khai thác dịch vụ thiết yếu bao gồm tổ chức mà hoạt động họ bị ảnh hưởng nghiêm trọng trường hợp có lỗ hổng an ninh mạng miễn họ tham gia vào hoạt động xã hội kinh tế quan trọng Cả DSP OES chịu trách nhiệm việc báo cáo cố an ninh cho đội phản ứng nhanh với cố an ninh máy tính CSIRT Trong DSP chịu quy định ngặt nghèo nhà khai thác dịch vụ thiết yếu, DSP không thành lập EU hoạt động EU phải đối mặt với quy định Ngay DSP OES thuê việc trì hệ thống thơng tin họ cho bên thứ ba, Chỉ thị NIS bắt họ phải chịu trách nhiệm cho cố an ninh 43 Các quốc gia thành viên EU yêu cầu phải đưa chiến lược hoạt động với thị NIS bao gồm đội CSIRT nói bên cạnh quan có thẩm quyền quốc gia (NCA) quan điều phối (SPOC) Những nguồn lực trao trách nhiệm xử lý vi phạm an ninh mạng để giảm thiểu tác động Bên cạnh đó, tất quốc gia thành viên EU khuyến khích chia sẻ thơng tin an ninh mạng Những yêu cầu bảo mật thị NIS bao gồm biện pháp kỹ thuật quản lý rủi ro hành vi vi phạm an ninh mạng cách phịng ngừa Bên cạnh đó, DSP OES phải cung cấp thông tin cho phép đánh giá chuyên sâu hệ thống thơng tin sách bảo mật họ Như đề cập trên, tất cố quan trọng phải thông báo cho đội CSIRT Mức độ nghiêm trọng cố an ninh mạng xác định số lượng người sử dụng bị ảnh hưởng công mạng khoảng thời gian xảy cố phạm vi địa lý vụ việc c Tiêu chuẩn bảo vệ liệu chung EU (EU GDPR) Quy định chung bảo vệ liệu EU, GDPR, đời vào ngày 14 tháng năm 2016, nhiên ngày thực thi 25 tháng năm 2018 Các quy định chung nhằm mang lại tiêu chuẩn thống để bảo vệ liệu tất nước thành viên EU Sự thay đổi mà quy định mang lại bao gồm việc xác định lại biên giới địa lý Quy định không áp dụng cho tổ chức hoạt động EU mà áp dụng cho tổ chức xử lý liệu cư dân EU Bất kể nơi liệu xử lý, liệu công dân EU xử lý, tổ chức phải tuân theo quy định Tiền phạt trở nên nặng lên tới 20 triệu euro hay 4% doanh thu hàng năm Ngoài ra, tương tự quy định trước đây, tất hành vi vi phạm liệu ảnh hưởng tới quyền tự cá nhân cư trú EU phải cơng bố vịng 72 Ban bảo vệ liệu EU (EDP) phải chịu trách nhiệm tất giám sát theo quy định GDPR Sự đồng thuận đóng vai trò quan trọng quy định GDPR Các công ty nắm giữ liệu liên quan đến công dân EU thời phải cung cấp cho công dân quyền từ chối chia sẻ liệu dễ dàng việc người dân đồng ý chia sẻ chúng Ngồi ra, người dân hạn chế việc xử lý liệu lưu trữ họ; họ chọn lựa phép công ty lưu trữ liệu họ không xử lý điều tạo khác biệt rõ ràng Khác với quy định trước đây, GDPR hạn chế việc chuyển giao liệu cơng dân bên ngồi EU cho bên thứ ba mà khơng có đồng ý trước cơng dân Quy định dự thảo ePrivacy dự kiến áp dụng từ ngày 25 tháng năm 2018 2.3.4 Luật pháp an tồn thơng tin nước khu vực Môi trường pháp lý an ninh không gian mạng khu vực tập trung nhiều vào luật bảo vệ liệu Tuy nhiên, quy định an ninh mạng rõ ràng không bảo vệ liệu Hơn thế, 44 quy định an ninh mạng dựa mối quan ngại lớn vấn đề an ninh quốc gia thực thi pháp luật, tính tồn vẹn sở hạ tầng, mạng hệ thống quan trọng, bảo vệ quyền sở hữu trí tuệ thơng tin bí mật, ngồi vấn đề sách khác Trong hầu hết khu vực pháp lý phát triển khu vực, mối quan tâm rộng giải với mức độ khác sở phần lĩnh vực luật hình sự, luật chống khủng bố, luật viễn thơng, luật sở hữu trí tuệ quản lý rủi ro công nghệ yêu cầu áp dụng cho ngành quy định Quy định an ninh không gian mạng, lĩnh vực riêng biệt, không đơn giản việc chọn gộp luật đa dạng lại với Quy định tìm cách thiết lập tiêu chuẩn lĩnh vực nhận dạng mối đe dọa, đánh giá rủi ro biện pháp giảm thiểu, phản ứng cố tạo điều kiện chia sẻ thơng tin Nó tìm cách tạo sở cho việc quản lý chủ động thích nghi rủi ro mạng a Khung bảo mật APEC Khu vực châu Á có số quốc gia hướng tới quy định bảo vệ liệu dựa nguyên tắc toàn diện, đáng ý Nhật Bản, Hồng Kông Ma Cao, thông qua luật năm 1988, 1995 2005 Thỏa thuận năm 2005 Hiệp định Kinh tế Châu Á-Thái Bình Dương (APEC) Khung Quyền riêng tư tạo động lực thức cho kinh tế thành viên khác để thông qua luật bảo vệ liệu tồn diện Trong khn khổ Khung Quyền riêng tư APEC, quốc gia Malaysia, Philippines, Singapore, Hàn Quốc Đài Loan tham gia vào nhóm quốc gia có luật bảo vệ liệu toàn diện Trung Quốc chuyển sang bảo vệ liệu theo cách cứng rắn nhiều Indonesia đưa số quy định liệu, đáng ý luật địa hóa liệu có hiệu lực vào năm 2017 Khung quyền riêng tư APEC quy định nguyên tắc thu thập, xử lý chuyển giao liệu cá nhân tương tự cách tiếp cận nguyên tắc tổ chức hợp tác phát triển kinh tế bảo vệ quyền riêng tư luồng liệu cá nhân, nguyên tắc tuân thủ luật bảo vệ liệu quốc gia Châu Âu Quy định bảo vệ liệu chung Yêu cầu cốt lõi liệu cá nhân thu thập cách công với đồng ý tự nguyện, thông báo đối tượng liệu Một thu thập liệu xử lý an tồn theo mục đích mà thu thập Khung quyền riêng tư APEC không quy định nhiệm vụ thông báo cho nhà quản lý đối tượng liệu bị ảnh hưởng vi phạm bảo mật liệu Nhưng số kinh tế thành viên APEC vượt ngồi u cầu thức Khung Quyền riêng tư ban hành yêu cầu vi phạm liệu bắt buộc Ấn Độ, Philippines, Hàn Quốc Đài Loan theo hướng Các nghĩa vụ thông báo vi phạm cụ thể theo ngành thấy Nhật Bản Trung Quốc Các nghĩa vụ thông báo vi phạm liệu tự nguyện (nhưng khuyến khích) áp dụng Hồng Kơng Singapore Xu hướng rõ ràng hướng tới yêu cầu thông báo ràng buộc, lưu ý Quy định bảo vệ liệu chung 45 châu Âu thực bước thông báo bắt buộc 72 vi phạm liệu hầu hết tiểu bang Hoa Kỳ có luật thơng báo vi phạm b Sáng kiến bảo vệ mạng Hồng Kông Vào năm 2016 Hồng Kông ngân hàng Hồng Kơng cơng bố Sáng kiến bảo vệ an tồn mạng CFI (Cybersecurity Fortification Initiative) với ba trụ cột Khung đánh giá khả phục hồi mạng dự kiến công cụ tự đánh giá cho tổ chức để đánh giá tính dễ bị tổn thương rủi ro mạng Mục tiêu hỗ trợ tinh chỉnh đánh giá tổ chức sẵn sàng phát ứng phó với mối đe dọa mạng Cốt lõi sáng kiến trình tự đánh giá đánh giá bổ sung “thử nghiệm mô công mạng” với kịch thử nghiệm mô dựa tri thức đe dọa mạng thời gian thực Chương trình phát triển chuyên nghiệp nhằm tăng số lượng trình độ chuyên môn chuyên gia bảo mật mạng Hồng Kông Hồng Kông đề xuất hợp tác với Viện Nghiên cứu Khoa học Công nghệ Ứng dụng Hồng Kông Viện Ngân hàng Hồng Kông để phát triển chương trình Nền tảng chia sẻ thơng tin mạng phù hợp với sáng kiến an ninh mạng Hoa Kỳ, EU nơi khác Chương trình an ninh mạng Hồng Kơng tìm cách cải thiện chia sẻ thông tin ngành mối đe dọa mạng phương tiện xác định tốt chứa mối đe dọa xuất Nền tảng dự định phát triển với Hiệp hội ngân hàng Hồng Kơng hỗ trợ thu thập, phân tích chia sẻ báo cáo đe dọa mạng chi tiết c “An ninh kiểm sốt ” Trung Quốc Cách tiếp cận Trung Quốc quy định an ninh mạng thu hút quan tâm quốc tế năm qua Việc thông qua Luật an ninh quốc gia vào mùa hè năm 2015 với việc công bố dự thảo Luật an ninh mạng quốc gia Với việc thông qua Luật chống khủng bố vào tháng năm 2016, dự thảo thứ hai Luật an ninh mạng vào năm 2016 cho thấy xu hướng rõ ràng khái niệm Cơng nghệ “an tồn kiểm sốt” (secure and controllable) hướng tới việc tiếp cận phê duyệt công nghệ nhà nước thông qua chứng nhận thị trường (liên quan đến việc tiết lộ mã nguồn), biện pháp địa phương hóa liệu hạn ngạch cụ thể cho việc sử dụng cơng nghệ “an tồn kiểm soát” Hướng quy định an ninh mạng Trung Quốc khác biệt đặt thách thức đặc biệt cho doanh nghiệp đa quốc gia, mở rộng điều tra xung quanh công nghệ chiến lược lưu trữ liệu, bảo mật thông tin liên lạc vấn đề luật địa phương nguy sở hữu bí mật nhà nước 46 d Luật an ninh mạng Singapore Luật an ninh mạng thông qua vào ngày tháng năm 2018 nhận đồng ý Tổng thống vào ngày tháng năm 2018 để trở thành Đạo luật an tồn khơng gian mạng Đạo luật thiết lập khuôn khổ pháp lý cho việc giám sát trì an ninh mạng quốc gia Singapore Bốn mục tiêu sau Tăng cường bảo vệ sở hạ tầng thông tin quan trọng (CII) chống lại công mạng CII hệ thống máy tính trực tiếp tham gia vào việc cung cấp dịch vụ thiết yếu Các cơng mạng vào CII ảnh hưởng đến kinh tế xã hội Đạo luật cung cấp khuôn khổ cho việc định CII cung cấp cho chủ sở hữu CII cách rõ ràng nghĩa vụ để chủ động bảo vệ CII khỏi công mạng Điều xây dựng khả khôi phục CII, bảo vệ kinh tế Singapore cách sống người dân Các ngành CII gồm có lượng, nước, ngân hàng tài chính, y tế, giao thơng vận tải (bao gồm đất đai, hàng hải hàng không), thông tin liên lạc, truyền thông, dịch vụ bảo vệ cấp cứu, phủ Ủy quyền cho quan an ninh mạng, CSA, ngăn chặn ứng phó với mối đe dọa cố an ninh mạng Đạo luật trao quyền cho ủy viên an ninh không gian mạng điều tra mối đe dọa an ninh mạng cố để xác định tác động chúng ngăn chặn cố nguy hiểm cố khơng an tồn nảy sinh Các quyền hạn hiệu chỉnh theo mức độ nghiêm trọng mối đe dọa an ninh mạng cố biện pháp cần thiết để ứng phó Điều đảm bảo với người dân Singapore phủ đáp ứng hiệu mối đe dọa an ninh mạng giữ an toàn cho Singapore Luật thiết lập khuôn khổ để chia sẻ thông tin an ninh mạng Đạo luật tạo điều kiện chia sẻ thông tin điều quan trọng thơng tin kịp thời giúp phủ chủ sở hữu hệ thống máy tính xác định lỗ hổng ngăn chặn cố mạng hiệu Đạo luật cung cấp khuôn khổ cho CSA để yêu cầu thông tin, để bảo vệ chia sẻ thơng tin Thiết lập khung cấp phép thuận tiện cho nhà cung cấp dịch vụ bảo mật mạng CSA sử dụng phương pháp tiếp cận đơn giản để cấp phép cho hai loại nhà cung cấp dịch vụ nay, cụ thể kiểm tra thâm nhập quản lý trung tâm hoạt động an ninh (SOC) Hai dịch vụ ưu tiên nhà cung cấp dịch vụ có quyền truy cập vào thông tin nhạy cảm từ khách hàng họ Các công ty tương đối phổ biến thị trường Singapore có tác động đáng kể đến thực tiễn an ninh tổng thể Khung cấp phép tìm cách cân nhu cầu bảo mật phát triển hệ sinh thái an ninh mạng động 2.4 Câu hỏi ôn tập Trình bày u cầu với sách an tồn thơng tin Giải trình mối liên quan sách pháp luật lên yêu cầu an tồn thơng tin 47 Giải thích cần thiết tiêu chuẩn an tồn thơng tin Tương quan tiêu chuẩn an tồn thơng tin sách an tồn thơng tin Trình bày hành vi sử dụng máy tính hệ thống mạng bị điều chỉnh Luật hình Việt Nam? Cho ví dụ minh hoạ Nêu hành vi bị nghiêm cấm Luật giao dịch điện tử Việt Nam? Trình bày điều kiện để đảm bảo an toàn cho chữ ký điện tử Luật giao dịch điện tử Việt Nam? Trình bày hành vi bị nghiêm cấm Luật an toàn thơng tin mạng Luật an ninh mạng? Cho ví dụ minh hoạ Diễn giải điều kiện hoạt động với quan/tổ chức theo quy định pháp luật Việt Nam quốc tế? 48 ... VỀ QUẢN LÝ AN TỒN THƠNG TIN 1. 1 Giới thiệu quản lý an tồn thơng tin 1. 2 Chính sách luật pháp an tồn thông tin 16 1. 3 Các nguyên tắc quản lý an tồn thơng tin 17 1. 4... QUẢN LÝ VẬN HÀNH KHAI THÁC AN TOÀN 86 5 .1 Nguyên tắc quản lý vận hành an toàn 86 5.2 Quản lý cấu hình 91 5.3 Kiểm soát thiết bị, liệu 94 5.4 Trách nhiệm quản. .. đồng 1. 1 Giới thiệu quản lý an tồn thơng tin 1. 1 .1 Vấn đề an tồn thơng tin Trên thực tế quan hay tổ chức có nhiều vấn đề quan trọng cần quan tâm giải với nhiệm vụ công việc thường xun việc thực an