BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP HỒ CHÍ MINH KHOA CƠNG NGHỆ THƠNG TIN    BÀI TẬP KẾT THÚC MƠN LUẬT AN TỒN THƠNG TIN GIẢNG VIÊN HƯỚNG DẪN: TRẦN THỊ BÍCH VÂN SINH VIÊN THỰC HIỆN : LÝ GIA NGHI – 2033190098 (NHĨM TRƯỞNG) NGUYỄN NGỌC BẢO TRÂN – 2033190131 TRẦN HỒNG TAM – 2033190118 TP HỒ CHÍ MINH, Ngày 23 Tháng 12 Năm 2021 LỜI CẢM ƠN Lời chúng em xin gửi lời cảm ơn chân thành đến quý thầy, cô giáo khoa Công nghệ Thông Tin trường Đại học Cơng nghiệp thực phẩm Tp Hồ Chí Minh truyền đạt kiến thức kinh nghiệm quý báu cho chúng em suốt trình học tập rèn luyện Đặc biệt chúng em xin gởi lời cảm ơn đến Trần Thị Bích Vân, người trực tiếp hướng dẫn tận tình giúp đỡ chúng em suốt thời gian học mơn “Luật An Tồn Thông Tin” thời gian chúng em thực thực tập kết thúc môn học Mặc dù cố gắng q trình làm khơng thể tránh khỏi sai sót Chúng em mong nhận góp ý, nhận xét q thầy bạn nội dung hình thức trình bày để báo cáo hồn thiện Chúng em xin chân thành cảm ơn thầy cô bạn ! TP Hồ Chí Minh, ngày 23 tháng 12, năm 2021 SINH VIÊN THỰC HIỆN (Kí ghi rõ họ tên) Lý Gia Nghi Trần Hoàng Tam Nguyễn Ngọc Bảo Trân TÀI LIỆU THAM KHẢO https://www.vnisa.org.vn/gioi-thieu-tieu-chuan-ve-linh-vuc-an-toan-thong-tiniso-iec-27002/ https://congan.kontum.gov.vn/huong-dan-pl/tuyen-truyen-pho-bien-giao-duc-phap-luat/ynghia-tac-dung-cua-viec-ban-hanh-luat-an-ninh-mang.html https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018351416.aspx https://www.itgovernanceusa.com/iso27002 MỤC LỤC LỜI CẢM ƠN NHẬN XÉT CỦA GIÁO VIÊN .2 LỜI CAM ĐOAN TÀI LIỆU THAM KHẢO I TÌM HIỂU ISO/IEC 27002 Nguồn gốc, sở hình thành tiêu chuẩn iso/iec 27002 .7 1.1 Chính sách bảo mật thông tin 1.2 Tổ chức an tồn thơng tin 1.3 An ninh nguồn nhân lực 1.4 Quản lý tài sản 10 1.5 Kiểm soát truy cập 10 1.6 Mật mã học 11 1.7 An ninh vật lý môi trường .11 1.8 Bảo mật hoạt động .11 1.9 Bảo mật thông tin liên lạc 12 1.10 Mua lại, phát triển bảo trì hệ thống .12 1.11 Mối quan hệ với nhà cung cấp 13 1.12 Quản lý cố an tồn thơng tin .13 1.13 Các khía cạnh an tồn thơng tin quản lý tính liên tục doanh nghiệp 13 1.14 Tuân thủ 13 Sự khác biệt phiên năm 2005 2013 ISO / IEC 27002 gì? 14 Tiêu chuẩn iso/iec Việt Nam 14 II TÌM HIỂU LUẬT AN NINH MẠNG .19 SƠ LƯỢC NỘI DUNG LUẬT AN NINH MẠNG 20 Chương I: Những Quy Định Chung 20 Chương II: Bảo Vệ An Ninh Mạng Đối Với Hệ Thống Thông Tin Quan Trọng Về An Ninh Quốc Gia 23 Chương III Phòng Ngừa, Xử Lý Hành Vi Xâm Phạm An Ninh Mạng 24 Chương IV Hoạt Động Bảo Vệ An Ninh Mạng 25 Chương V Bảo Đảm Hoạt Động Bảo Vệ An Ninh Mạng 27 Chương VI Trách Nhiệm Của Cơ Quan, Tổ Chức, Cá Nhân 30 Chương VII Điều Khoản Thi Hành .31 VAI TRÒ VÀ Ý NGHĨA 32 III VIẾT VỀ ĐIỀU TÂM ĐẮC NHẤT CỦA LUẬT .33 Giới thiệu 33 Bàn Luận 34 I TÌM HIỂU ISO/IEC 27002 Nguồn gốc, sở hình thành tiêu chuẩn iso/iec 27002 ISO/IEC 27002 quy tắc thực hành quản lý An tồn thơng tin (ATTT) Tiêu chuẩn có nguồn gốc xuất phát từ tài liệu có tên “PD 0003 A Code of Practice for Information Security Management” Viện Tiêu chuẩn Anh Quốc xuất Đến năm 1995, Viện Tiêu chuẩn Anh Quốc thông qua tài liệu ban hành thành tiêu chuẩn BS 7799-1 Tiêu chuẩn phát triển thành Tiêu chuẩn Quốc tế mã hiệu ISO/IEC 17799:2000 phát triển thành tiêu chuẩn ISO/IEC 17799:2005 vào tháng 6/2005 Đến tháng 11/2005, tiêu chuẩn sửa đổi thành ISO/IEC 27002:2005 “Công nghệ thông tin (CNTT) – Các kỹ thuật an ninh – Quy tắc thực hành quản lý ATTT” Nội dung ISO/IEC 17799:2005 phát triển thành tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp cho an ninh thơng tin nhóm thành 39 phân loại, thuộc 11 điều khoản Đến tháng 9/2013, tiêu chuẩn ISO/IEC 27002 cập nhật lên phiên ISO/IEC 27002:2013 Phiên cập nhật có nhiều thay đổi so với phiên năm 2005 để đáp ứng phát triển bùng nổ ngành CNTT sau gần thập kỷ Tiêu chuẩn ISO/IEC 27002:2013 giữ lại số phần nội dung đề mục biện pháp kiểm soát theo phiên ISO/IEC 27002:2005, thay đổi bổ sung biện pháp kiểm soát cập nhật lại biện pháp kiểm soát cho phù hợp Nội dung tiêu chuẩn ISO/IEC 27002:2013 bao gồm 114 biện pháp kiểm sốt nhóm lại 35 phân loại, thuộc 14 điều khoản (nhóm mục tiêu) sau: Chính sách ATTT; Tổ chức đảm bảo ATTT; Đảm bảo ATTT từ nguồn lực; Quản lý tài sản; Quản lý truy cập; Mật mã hóa; Đảm bảo an tồn vật lý mơi trường; An tồn vận hành; An tồn truyền thơng; Tiếp nhận, phát triển trì hệ thống thơng tin; Quan hệ với nhà cung cấp; Quản lý cố ATTT; Các khía cạnh ATTT quản lý liên tục hoạt động nghiệp vụ; Sự tuân thủ 1.1 Chính sách bảo mật thơng tin Hướng quản lý an tồn thông tin Ban quản lý nên xác định sách để làm rõ định hướng hỗ trợ họ bảo mật thông tin Ở cấp cao nhất, cần có “chính sách bảo mật thơng tin” tổng thể quy định phần 5.2 ISO / IEC 27001 1.2 Tổ chức an tồn thơng tin  Tổ chức nội bộ: Tổ chức nên đặt vai trò trách nhiệm an tồn thơng tin phân bổ chúng cho cá nhân Khi có liên quan, nhiệm vụ nên tách biệt vai trò cá nhân để tránh xung đột lợi ích ngăn chặn hoạt động không phù hợp Cần liên hệ với quan bên ngồi có liên quan (như CERT nhóm lợi ích đặc biệt) vấn đề an tồn thơng tin Bảo mật thơng tin phải phần thiếu việc quản lý tất loại dự án  Thiết bị di động thiết bị từ xa: Cần có sách kiểm soát bảo mật thiết bị di động (chẳng hạn máy tính xách tay, máy tính bảng, thiết bị ICT đeo được, điện thoại thông minh, thiết bị USB Đồ chơi dành cho trẻ em trai khác) làm việc từ xa (chẳng hạn điện thoại, làm việc nhà, chiến binh đường điều khiển từ xa / nơi làm việc ảo) [Tôi điều kết thúc phần 6, đây.] 1.3 An ninh nguồn nhân lực  Trước làm việc: Cần tính đến trách nhiệm bảo mật thơng tin tuyển dụng nhân viên cố định, nhà thầu nhân viên tạm thời (ví dụ: thơng qua mơ tả công việc đầy đủ, sàng lọc trước tuyển dụng) đưa vào hợp đồng (ví dụ: điều khoản điều kiện tuyển dụng thỏa thuận ký khác xác định vai trò bảo mật trách nhiệm, nghĩa vụ tuân thủ, v.v.)  Trong trình làm việc: Các nhà quản lý cần đảm bảo nhân viên nhà thầu nhận thức có động tuân thủ nghĩa vụ bảo mật thơng tin họ Một quy trình kỷ luật thức cần thiết để xử lý cố an tồn thơng tin cho người lao động gây  Chấm dứt thay đổi công việc: Các khía cạnh bảo mật người rời khỏi tổ chức thay đổi đáng kể vai trò tổ chức, cần quản lý, chẳng hạn trả lại thông tin công ty thiết bị mà họ sở hữu, cập nhật quyền truy cập họ nhắc nhở họ nghĩa vụ liên tục họ quyền riêng tư sở hữu trí tuệ pháp luật, điều khoản hợp đồng, vv cộng với mong đợi đạo đức 1.4 Quản lý tài sản  Trách nhiệm tài sản: Tất tài sản thông tin cần kiểm kê chủ sở hữu phải xác định để chịu trách nhiệm tính bảo mật chúng Các sách 'sử dụng chấp nhận' cần xác định tài sản phải trả lại người rời khỏi tổ chức  Phân loại thông tin: Thông tin cần chủ sở hữu phân loại gắn nhãn theo biện pháp bảo vệ an ninh cần thiết xử lý thích hợp  Xử lý phương tiện: Phương tiện lưu trữ thông tin phải quản lý, kiểm soát, di chuyển xử lý theo cách mà nội dung thông tin không bị xâm phạm 1.5 Kiểm soát truy cập  Các yêu cầu nghiệp vụ kiểm soát truy cập: Các yêu cầu tổ chức để kiểm soát quyền truy cập vào tài sản thông tin phải lập thành văn rõ ràng sách thủ tục kiểm sốt truy cập Truy cập mạng kết nối nên bị hạn chế  Quản lý quyền truy cập người dùng: Việc phân bổ quyền truy cập cho người dùng nên kiểm soát từ việc đăng ký người dùng ban đầu xóa bỏ quyền truy cập khơng cịn u cầu, bao gồm hạn chế đặc biệt quyền truy cập đặc quyền quản lý mật (hiện gọi "thông tin xác thực bí mật") cộng với đánh giá thường xuyên cập nhật quyền truy cập  Trách nhiệm người dùng: Người dùng nên thực nhận thức trách nhiệm họ việc trì kiểm sốt truy cập hiệu Ví dụ: Chọn mật mạnh giữ bí mật  Kiểm sốt truy cập hệ thống ứng dụng: Việc truy cập thơng tin cần hạn chế theo sách kiểm sốt truy cập, ví dụ thơng qua đăng nhập an tồn, quản 10 lý mật khẩu, kiểm sốt tiện ích đặc quyền quyền truy cập hạn chế vào mã nguồn chương trình 1.6 Mật mã học  Kiểm sốt mật mã: Cần có sách việc sử dụng mã hóa, với xác thực mật mã kiểm sốt tính tồn vẹn chữ ký số mã xác thực tin nhắn quản lý khóa mật mã 1.7 An ninh vật lý môi trường  Các khu vực an toàn: Các chu vi rào cản vật lý xác định, với biện pháp kiểm sốt nhập cảnh quy trình làm việc, phải bảo vệ sở, văn phòng, phòng, khu vực giao hàng / chất hàng, v.v trước truy cập trái phép Nên tìm lời khuyên chuyên gia liên quan đến việc bảo vệ khỏi hỏa hoạn, lũ lụt, động đất, bom, v.v  Thiết bị: “Thiết bị” (chủ yếu thiết bị ICT) với tiện ích hỗ trợ (chẳng hạn nguồn điện điều hòa khơng khí) hệ thống cáp nên bảo đảm trì Thiết bị thơng tin khơng mang địa điểm trừ phép, phải bảo vệ đầy đủ địa điểm Thông tin phải hủy trước xử lý tái sử dụng phương tiện lưu trữ Thiết bị khơng có người giám sát phải bảo đảm phải có bàn làm việc rõ ràng sách hình rõ ràng 1.8 Bảo mật hoạt động  Các thủ tục trách nhiệm hoạt động: Các trách nhiệm thủ tục vận hành CNTT phải lập thành văn Các thay đổi sở hệ thống CNTT cần kiểm soát Năng lực hiệu suất cần quản lý Hệ thống phát triển, kiểm tra vận hành nên tách biệt  Bảo vệ khỏi phần mềm độc hại: Kiểm soát phần mềm độc hại bắt buộc, bao gồm nhận thức người dùng 11 Chương II: Bảo Vệ An Ninh Mạng Đối Với Hệ Thống Thông Tin Quan Trọng Về An Ninh Quốc Gia Điều 10 Hệ thống thông tin quan trọng an ninh quốc gia Ví dụ: Hệ thống thơng tin qn sự, an ninh, ngoại giao, yếu; Hệ thống thông tin lưu trữ, xử lý thơng tin thuộc bí mật nhà nước; … Điều 11 Thẩm định an ninh mạng hệ thống thông tin quan trọng an ninh quốc gia Ví dụ: Thẩm định an ninh mạng hoạt động xem xét, đánh giá nội dung an ninh mạng để làm sở cho việc định xây dựng nâng cấp hệ thống thông tin Điều 12 Đánh giá điều kiện an ninh mạng hệ thống thông tin quan trọng an ninh quốc gia Ví dụ: Hệ thống thơng tin quan trọng an ninh quốc gia đưa vào vận hành, sử dụng sau chứng nhận đủ điều kiện an ninh mạng Điều 13 Kiểm tra an ninh mạng hệ thống thông tin quan trọng an ninh quốc gia Điều 14 Giám sát an ninh mạng hệ thống thông tin quan trọng an ninh quốc gia Ví dụ: Giám sát an ninh mạng hoạt động thu thập, phân tích tình hình nhằm xác định nguy đe dọa an ninh mạng, cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý Điều 15 Ứng phó, khắc phục cố an ninh mạng hệ thống thông tin quan trọng an ninh quốc gia 23 Ví dụ: Cơ quan, tổ chức, cá nhân có trách nhiệm tham gia ứng phó, khắc phục cố an ninh mạng xảy hệ thống thông tin quan trọng an ninh quốc gia có yêu cầu lực lượng chủ trì điều phối Chương III Phịng Ngừa, Xử Lý Hành Vi Xâm Phạm An Ninh Mạng Điều 16 Phịng ngừa, xử lý thơng tin khơng gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hịa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế Ví dụ:  Tuyên truyền xuyên tạc, phỉ báng quyền nhân dân;  Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận dân tộc, tôn giáo nhân dân nước;  Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc  … Điều 17 Phòng, chống gián điệp mạng; bảo vệ thơng tin thuộc bí mật nhà nước, bí mật cơng tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình đời sống riêng tư khơng gian mạng Ví dụ: Cố ý nghe, ghi âm, ghi hình trái phép đàm thoại, … Điều 18 Phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật an ninh quốc gia, trật tự, an tồn xã hội Ví dụ: Lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm phịng, chống hành vi sử dụng khơng gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật an ninh quốc gia, trật tự, an tồn xã hội Điều 19 Phịng, chống cơng mạng 24 Ví dụ: Xâm nhập, tạo khai thác điểm yếu, lỗ hổng bảo mật dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính; … Điều 20 Phịng, chống khủng bố mạng Ví dụ: Chủ quản hệ thống thơng tin thường xun rà sốt, kiểm tra hệ thống thơng tin thuộc phạm vi quản lý nhằm loại trừ nguy khủng bố mạng Điều 21 Phịng ngừa, xử lý tình nguy hiểm an ninh mạng Điều 22 Đấu tranh bảo vệ an ninh mạng Ví dụ: Đấu tranh bảo vệ an ninh mạng hoạt động có tổ chức lực lượng chuyên trách bảo vệ an ninh mạng thực không gian mạng nhằm bảo vệ an ninh quốc gia bảo đảm trật tự, an toàn xã hội Chương IV Hoạt Động Bảo Vệ An Ninh Mạng Điều 23 Triển khai hoạt động bảo vệ an ninh mạng quan nhà nước, tổ chức trị trung ương địa phương Ví dụ: Người đứng đầu quan, tổ chức có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý, Điều 24 Kiểm tra an ninh mạng hệ thống thông tin quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng an ninh quốc gia Ví dụ:  Kết kiểm tra an ninh mạng bảo mật theo quy định pháp luật  Chính phủ quy định trình tự, thủ tục kiểm tra an ninh mạng quy định Điều  … Điều 25 Bảo vệ an ninh mạng sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế 25 Bảo vệ an ninh mạng sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế phải bảo đảm kết hợp chặt chẽ yêu cầu bảo vệ an ninh mạng với yêu cầu phát triển kinh tế - xã hội; khuyến khích cổng kết nối quốc tế đặt lãnh thổ Việt Nam; khuyến khích tổ chức, cá nhân tham gia đầu tư xây dựng sở hạ tầng không gian mạng quốc gia Cơ quan, tổ chức, cá nhân quản lý, khai thác sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế có trách nhiệm sau đây: a) Bảo vệ an ninh mạng thuộc quyền quản lý; chịu quản lý, tra, kiểm tra thực yêu cầu bảo vệ an ninh mạng quan nhà nước có thẩm quyền; b) Tạo điều kiện, thực biện pháp kỹ thuật, nghiệp vụ cần thiết để quan nhà nước có thẩm quyền thực nhiệm vụ bảo vệ an ninh mạng có đề nghị Điều 26 Bảo đảm an ninh thông tin không gian mạng Điều 27 Nghiên cứu, phát triển an ninh mạng Ví dụ: Cơ quan, tổ chức, cá nhân có liên quan có quyền nghiên cứu, phát triển an ninh mạng Điều 28 Nâng cao lực tự chủ an ninh mạng Nhà nước khuyến khích, tạo điều kiện để quan, tổ chức, cá nhân nâng cao lực tự chủ an ninh mạng nâng cao khả sản xuất, kiểm tra, đánh giá, kiểm định thiết bị số, dịch vụ mạng, ứng dụng mạng Chính phủ thực biện pháp sau để nâng cao lực tự chủ an ninh mạng cho quan, tổ chức, cá nhân: a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ an ninh mạng; 26 ... 34 I TÌM HIỂU ISO/ IEC 27002 Nguồn gốc, sở hình thành tiêu chuẩn iso/ iec 27002 ISO/ IEC 27002 quy tắc thực hành quản lý An tồn thơng tin (ATTT) Tiêu chuẩn có nguồn gốc xuất phát từ tài... Management” Viện Tiêu chuẩn Anh Quốc xuất Đến năm 1995, Viện Tiêu chuẩn Anh Quốc thông qua tài liệu ban hành thành tiêu chuẩn BS 7799-1 Tiêu chuẩn phát triển thành Tiêu chuẩn Quốc tế mã hiệu ISO/ IEC 17799:2000... dung ISO/ IEC 17799:2005 phát triển thành tiêu chuẩn ISO 27002: 2005 bao gồm 134 biện pháp cho an ninh thơng tin nhóm thành 39 phân loại, thuộc 11 điều khoản Đến tháng 9/2013, tiêu chuẩn ISO/ IEC 27002