QUẢN LÝ RỦI RO DOANH NGHIỆP THEO BỘ TIÊU CHUẨN ISO/IEC 27000 ThS Nguyễn Thị Xuân Tổ NCPT An toàn thơng tin Tóm tắt: Trong bối cảnh cơng nghệ thơng tin phát triển vũ bão, hầu hết tổ chức, doanh nghiệp hoạt động lệ thuộc gần hoàn tồn vào mạng máy tính sở liệu Vấn đề đặt rủi ro tổ chức, doanh nghiệp quản lý Một biện pháp quản lý rủi ro hiệu tuân thủ hướng dẫn quản lý rủi ro tiêu chuẩn quốc tế ISO/IEC 27000 Trong tiêu chuẩn trên, có tiêu chuẩn đề cập tới vấn đề quản lý rủi ro: Tiêu chuẩn ISO/IEC 27001 rõ yêu cầu hoạt động thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì nâng cấp ISMS để đảm bảo an tồn thơng tin trước rủi ro xảy với tổ chức Còn ISO/IEC 27005 hướng dẫn quản lý rủi ro an ninh thông tin thiết kế nhằm hỗ trợ triển khai an tồn thơng tin cách thỏa đáng dựa phương thức tiếp cận quản lý rủi ro Từ năm 2005 đến nay, tiêu chuẩn ISO/IEC 27000 liên tục cập nhật Hiện có 16 tiêu chuẩn tiêu chuẩn ban hành, số khác xây dựng: GIỚI THIỆU Có thể nói ISO 27000 phần hệ thống quản lý chung tổ chức, thực dựa nguyên tắc tiếp cận rủi ro hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, trì cải tiến đảm bảo an tồn thơng tin tổ chức - ISO/IEC 27000:2012 - Information security management systems - Overview and vocabulary: tiêu chuẩn nguyên tắc từ vựng Bộ tiêu chuẩn ISO/IEC 27000 đời đánh dấu bước phát triển lĩnh vực quản lý bảo mật hệ thống thông tin Nó áp dụng cho tổ chức với quy mơ loại hình khác Việc áp dụng mơ hình hệ thống quản lý an ninh thơng tin (ISMS), đánh giá rủi ro an tồn thơng tin tổ chức, sau triển khai biện pháp quản lý an tồn thơng tin giúp cho tổ chức kiến trúc mơ hình quản lý hệ thống tiên tiến với giải pháp an ninh tổng thể, chi phí hợp lý hiệu - ISO/IEC 27001:2013 - Information security management systems Requirements: tiêu chuẩn yêu cầu hệ thống quản lý thông tin - ISO/IEC 27002:2013 - Code of practice for information security management: tiêu chuẩn mã thực hành hệ thống quản lý an ninh thông tin - ISO/IEC 27003:2010 - Information security management system implementation guidance: tiêu chuẩn hướng dẫn áp dụng hệ thống quản lý an ninh thông tin SƠ LƯỢC VỀ BỘ TIÊU CHUẨN ISO/IEC 27000 Tiền thân BS 7799 - chuẩn an ninh thông tin Viện Tiêu chuẩn Anh quốc (British Standard Institude) phát hành lần đầu năm 1995 - ISO/IEC 27004:2009 - Information security management - Measurement: tiêu chuẩn đo lường hệ thống quản lý an ninh thông tin Tháng 10/2000, tổ chức Tiêu chuẩn hóa quốc tế (ISO) tiếp nhận BS 7799, chỉnh sửa xuất tên gọi ISO/IEC 17799:2000; 17799 chỉnh sửa bổ sung năm 2005, sau đổi tên thành ISO/IEC 27000 - ISO/IEC 27005:2011 - Information security risk management: tiêu chuẩn 269 quản lý rủi ro hệ thống quản lý an ninh thông tin concepts: công nghệ thông tin - kỹ thuật an ninh - an ninh ứng dụng - Tổng quan khái niệm - ISO/IEC 27006:2011 - Requirements for bodies providing audit and certification of information security management systems: dành cho tổ chức đánh giá chứng nhận ISMS - ISO/IEC 27035:2011 - Information security incident management: quản lý cố an ninh thông tin - ISO/IEC 27007:2011 Information technology - Security techniques Guidelines for information security management systems auditing: tiêu chuẩn hướng dẫn kiểm tốn hệ thống quản lý an ninh thơng tin - … - ISO 27799:2008 - Information security management in health using ISO/IEC 27002: quản lý an ninh thông tin lĩnh vực y tế sử dụng 27002 - IEC TR 27008:2011 - Guidelines for auditors on information security management systems controls: hướng dẫn cho kiểm toán viên biện pháp điều khiển hệ thống quản lý an ninh thông tin QUẢN LÝ RỦI RO NGHIỆP TUÂN THEO ISO/IEC 27000 DOANH CHUẨN Trong tiêu chuẩn trên, tiêu chuẩn ISO/IEC 27001 yêu cầu bắt buộc tổ chức xây dựng, vận hành trì ISMS Các tiêu chuẩn khác coi hướng dẫn chi tiết cho tiêu chuẩn ISO/IEC 27001 - ISO/IEC 27010:2012 - Information security management for inter-sector and inter-organisational communications: quản lý an ninh thông tin cho ngành truyền thơng nội Xét khía cạnh quản lý rủi ro, tiêu chuẩn ISO/IEC 27001 rõ yêu cầu hoạt động thiết lập; triển khai; điều hành; giám sát; sốt xét; bảo trì nâng cấp ISMS để đảm bảo an tồn thơng tin trước rủi ro xảy với tổ chức Còn ISO/IEC 27005 hướng dẫn quản lý rủi ro an ninh thông tin thiết kế nhằm hỗ trợ triển khai an tồn thơng tin cách thỏa đáng dựa phương thức tiếp cận quản lý rủi ro - ISO/IEC 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002: hướng dẫn quản lý an ninh thông tin cho tổ chức viễn thông dựa 27002 3.1 Quản lý rủi ro ISO/IEC 27001 - ISO/IEC 27031:2011 Guidelines for information and communications technology readiness for business continuity: hướng dẫn sẵn sàng công nghệ thông tin truyền thông cho liên tục doanh nghiệp a) Xác định rủi ro: - Xác định tất tài sản (assets) phạm vi hệ thống ISMS đối tượng quản lý tài sản - Xác định mối đe doạ (threats) tài sản - ISO/IEC 27033-1:2009 - Network security overview and concepts: tổng quan khái niệm an ninh mạng - Xác định điểm yếu (vulnerabilities) bị khai thác mối đe doạ - Xác định tác động (impacts) làm tính chất bí mật, toàn vẹn sẵn sàng tài sản - ISO/IEC 27034-1:2011 - Information technology - Security techniques Application security - Overview and 270 b) Phân tích ước lượng rủi ro: - Đánh giá ảnh hưởng tới hoạt động tổ chức gây cố an tồn thơng tin, ý đến hậu việc tính bí mật, tồn vẹn hay sẵn sàng tài sản - Đánh giá khả thực tế xảy cố an tồn thơng tin bắt nguồn từ mối đe dọa nguy dự đoán Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực - Ước đoán mức độ rủi ro - Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chí chấp nhận rủi ro thiết lập mục 4.2.1.c.2 c) Xác định đánh giá lựa chọn cho việc xử lý rủi ro: Hình Quy trình quản lý rủi ro an ninh thông tin - Áp dụng biện pháp quản lý thích hợp Ngồi có phụ lục A đến G dẫn ví dụ cụ thể cho nội dung đánh giá nêu quy trình - Chấp nhận rủi ro với điều kiện chúng hồn tồn thỏa mãn sách tiêu chí chấp nhận rủi ro tổ chức - Tránh rủi ro KẾT LUẬN Với việc áp dụng chuẩn ISO/IEC 27001 27005 vào quản lý rủi ro an ninh thông tin doanh nghiệp, yêu cầu tổ chức, doanh nghiệp cần tiến hành khảo sát trạng hệ thống, xác định tất tài sản phạm vi ISMS: Liệt kê tất tài sản (mơ hình thiết kế, thành phần chức năng, quy trình nghiệp vụ,…) Sau tiến hành phân tích lượng hóa rủi ro, đánh giá rủi ro lựa chọn phương án xử lý rủi ro tài sản tổ chức: Xác định giá trị, rủi ro xuất (rủi ro sở hữu tài sản, điểm yếu, mối đe đọa, độ tin cậy, tính tồn vẹn, tính sẵn sàng) - Chuyển giao rủi ro phận khác (như bảo hiểm, nhà cung cấp ) 3.2 Quản lý rủi ro ISO/IEC 27005 Tiến trình quản lý rủi ro bao gồm bước sau: - Thiết lập ngữ cảnh - Đánh giá rủi ro an tồn thơng tin - Ước tính/ ước lượng rủi ro - Xử lý rủi ro - Chấp nhận rủi ro - Tài liệu hóa/ truyền thơng tư vấn rủi ro - Giám sát soát xét rủi ro 271 Information security management systems – Requirements TÀI LIỆU THAM KHẢO: ISO/IEC 27000:2009 - Information technology - Security techniques Information security management systems - Overview and vocabulary ISO/IEC 27001:2005 technology Security Thông tin tác giả: ISO/IEC 27005:2011 - Information technology Security techniques Information security risk management Information techniques Nguyễn Thị Xuân Năm sinh: 1979 Lý lịch khoa học: - Tốt nghiệp Đại học Công nghệ thông tin, trường Đại học Công nghệ, Đại học Quốc gia Hà Nội năm 2001 - Tốt nghiệp Cao học Công nghệ thông tin, trường Đại học Công nghệ, Đại học Quốc gia Hà Nội năm 2008 - Hiện công tác tổ Nghiên cứu Phát triển An tồn thơng tin thuộc Viện cơng nghệ Thông tin Truyền thông – CDiT, Học viện Cơng nghệ Bưu Viễn thơng Lĩnh vực nghiên cứu nay: Tiêu chuẩn quản lý an toàn hệ thống thông tin, giải pháp công nghệ bảo mật Email: xuannt@ptit.edu.vn ; xuannt@cdit.com.vn 272