TINH HiNH AN NINH THONG TIN Ứ VIET NAM VA SU TIEP CAN IS0/IE0 27001 - HE THONG QUAN LY AN NINH THONG TIN (ISMS) ảo vệ thông tin liệu vấn để quan trọng Có nhiều giải đảm tín đề xúc ` — Tại Việt Nam, theo số liệu thống kê doanh thương mại điện tử; hệ thống phục đầu Việt Nam nghiên cứu triển khai giải pháp an ninh mạng, riêng năm 2007 số máy tính bị nhiễm vius quy trình thực tốt chi phí có hiệu hệ thống quản lý an ninh thông tin; nhấn mạnh việc đảm bảo chất lượng chứng tỏ hệ thống quản lý an ninh thơng tin thích hợp trình độ cao; 33.646.000 máy; số dòng virus xuất 6.752; số website bị hacker (tin tặc) nước cơng 118 bị tin tặc nước ngồi công 224 (tổng cộng- 342 websites); số website BKIS phát có lỗ hổng 140 Con số có xu hướng ngày tăng, chẳng hạn như: riêng tháng 6/2008 có 2.675 dịng virus mới; 5.462.000 máy tính bị nhiễm virus; 59 website bị cơng; 30 website có lỗ hổng (chủ yếu quan viễn thông, ngân tháng 7/2008 hàng, chứng khốn); có 3.060 dịng virus đến 5.183.000 máy tính bị nhiễm virus; 75 website bị cơng (đa phân quan nhà nước) Những nguyên nhân chủ yếu làm cho mạng bị xâm nhập là: 1) Nhận thức an ninh thông tin chưa tốt đội ngũ cán (từ quản lý đến thừa hành); 2) Thiếu đầu tư cho an ninh thông tin; 3) Hệ thống không thiết kế tốt cách tổng thể; 4) Thiếu sách biện pháp quản lý an ninh thơng tin Những hình thức mà tin tặc thường sử dụng để xâm nhập mạng là: mất/lộ mật khẩu; lừa đảo trực tuyến; công từ chối dịch vụ; thư rác; mã độc; lỗ hổng hệ thống 22 áp an thông Trung tâm An ninh mạng BKIS (Bach Khoa Internetwork Security Center), trung tâm hàng việc bảo đặc biệt với phát triển công nghệ, ngày có nhiều cách kết nối, nhiều phương thức trao đổi từ xa sử dụng công nghệ di động không dây Yêu cầu quản lý tuân thủ nguyên tắc, công nghệ, giải pháp chuẩn mạng ngày phải chặt chẽ Có thể nói chưa mức độ rủi ro liên quan đến an ninh thông tin mạng lại trở thành vấn để mang, mạng thơng tin thời đại Internet, pháp ninh dụng ISO/IEC 27001 - Hệ thống Quản lý an ninh (ISMS - Information Security Management System) giải pháp tổng thể, trọng nhiêu quốc gia đặc biệt Những lợi ích áp dụng ISO/IEC 27001: - Tiêu chuẩn giới cơng nhận có lực quan lý; tiêu chí cho kinh hồi nhanh sau thảm hoa; chuẩn so sánh ngành/lĩnh vực; - Xây dựng chế an ninh thông tin; - Bằng chứng việc quan tâm đến khách hàng/người dùng; tăng cường đáp ứng yêu cầu cá nhân tuân thủ luật bảo vệ bí mật đời tư; trọng yếu tố lòng tin tin cậy bên doanh nghiệp/tổ chức; đáp ứng yêu cầu tương lai khách hàng, bên đối tác, tức đáp ứng yêu cầu an ninh khách hàng/người dùng; thu hút khách hàng mới; - Duy trì ấn tượng tốt doanh nghiệp/tổ chức; trì tính cạnh tranh 10 bước áp dụng ISO/IEC 27001: Xác định phạm vi Hệ thống Quản lý an ninh thông tin (SMS); Xác định sách an ninh thơng tin; Phân loại tài sản thông tin; TO; Xác định phương pháp luận đánh giá rủi Tiến hành đánh giá rủi ro; Xác định việc chấp nhận rủi ro dựa nguồn lực tổ chức; THÔNG TIN vò TƯ LIỆU - 4/2008 cứu - Trao đỗi Xác định việc chấp nhận rủi ro điểm tồn tại; § Thực quản lý điểm kiểm sốt lựa chọn; Hồn chỉnh kế hoạch trì phát triển; 10 Chuẩn bị tuyên bố tính khả dụng 10 yếu tố để áp dụng thành cơng: Có sách an ninh thơng tin, mục tiêu hoạt động phản ánh mục đích hoạt động/kinh doanh; Xác lập xu hướng khn khổ thực hiện, trì, kiếm sốt cải tiến an ninh thơng tin phù hợp với văn hố tổ chức; Hỗ trợ cụ thể cam kết từ tất cấp quản lý; Thông hiểu yêu cầu an ninh thông tin, poration Vietnam, tức công ty hoạt động lĩnh vực cơng nghệ thơng tin cơng ty có vốn đầu tư nước ngồi Ngồi ra, có cơng ty trinh thực là: HTP Soft, Quantic, VietUnion số đơn vị áp dụng ISO 27001 không lấy chứng nhận Trong số nhiêu lý dẫn đến việc áp dụng ISO hạn chế Việt Nam, có lý chi phi cao, gap tới - lần ISO 9000 Tuy nhiên, tới đây, chắn số lượng đơn vị tiếp cận áp dụng ISO/IEC Nam tăng, vì: 27001 Việt - Yêu cầu thiết vấn đề an ninh thông tin mạng gắn chặt với hoạt động lợi ích kinh doanh quan; Yêu cầu ngày cao vẻ an ninh thông tin đối tác, đánh giá rủi ro quản lý rủi ro; Marketing có hiệu an ninh thông tin tới tất nhà quản lý, nhân viên bên khách hàng/người dùng; Chỉ đạo sách tiêu chuẩn an ninh thông tin tới tất nhà quản lý, nhân trọng khuyến nghị doanh nghiệp/tổ chức thực ISO/IEC 27001; - Vấn dé tăng cường thương hiệu, sức cạnh : tranh doanh nghiệp/tổ chức ngày trở nên mạnh mẽ ISO/IEC 27001 kỳ vọng thu hút quan tâm nhiều doanh nghiệp/tổ chức voi ISO 9000 thập niên 90 mang lại hiệu thiết thực cho đơn vị áp dụng, hoạt động kinh doanh mạng INTERNET Các quan thông tin KH&CN, đặc biệt nhà cung cấp dịch vụ Internet (ISP) va cung cấp nội dung thông tin (ICP), nơi quản trị mạng lớn với Ngân,hàng khác (để họ nhận thức vấn đẻ); viên bên khác; Cấp quỹ/kinh phí cho hoạt động quản ly an ninh thông tin; Cung cấp kiến thức, đào tạo giáo dục thích hợp; Xây dựng quy trình quản lý cố an ninh thơng tin; 10 Xây dựng hệ thống đánh giá sát thực hoạt động Hiện tại, Nhật Bản quốc gia đứng đầu việc áp dụng tiêu chuẩn ISO/IEC 27001 với 2668 quan/tổ chức cấp chứng nhận, tiếp Ấn Độ- 381 Anh- 347 Trung Quốc có 100 va My- 73 la nước bắt đầu áp dụng mạnh mẽ IS0 — Ở Việt Nam, đến có đơn vị tư vấn chứng nhận ISO/IEC 27001, là: BVC - Bureau Veritas Certification, Rheinland Vietnam, TUV NORD va SUD S6 don vị chứng nhận TUV TUV chưa đến 10, là: FCG Vietnam (CSC), FPT IS, CMC Soft Co., Ltd, GHP FarEAST, ISB Cor- THONG TIN va TU’ LIEU - 4/2008 - Các quan phủ Bộ Khoa học Công nghệ (Tổng cục Tiêu chuẩn Đo lường Chất lượng), Bộ Thông tin Truyền thông liệu gồm nhiêu CSDL nhiều nguồn tin điện tử quý giá, cần có bước tiếp cận kịp thời việc đảm bảo an ninh thơng tin nói chung áp dụng ISO/IEC 27001 nói riêng Nguyễn Tiến Đức Tài liệu tham khảo ISO Regional Seminar & Workshop on ISO/EC 27001 - Information Security Management System (ISMS)., Hanoi, Vietnam, 25 August 2008 23 ... đơn vị tiếp cận áp dụng ISO/IEC Nam tăng, vì: 27001 Việt - Yêu cầu thiết vấn đề an ninh thông tin mạng gắn chặt với hoạt động lợi ích kinh doanh quan; Yêu cầu ngày cao vẻ an ninh thông tin đối... giá rủi ro quản lý rủi ro; Marketing có hiệu an ninh thơng tin tới tất nhà quản lý, nhân viên bên khách hàng/người dùng; Chỉ đạo sách tiêu chuẩn an ninh thông tin tới tất nhà quản lý, nhân trọng... chức; Hỗ trợ cụ thể cam kết từ tất cấp quản lý; Thông hiểu yêu cầu an ninh thông tin, poration Vietnam, tức công ty hoạt động lĩnh vực công nghệ thông tin cơng ty có vốn đầu tư nước ngồi Ngồi