Bài viết Xây dựng chính sách an toàn thông tin cho các cơ quan thông tin thư viện với ISO 17799 - 27001 trình bày những vấn đề cơ bản về an toàn thông tin, chính sách an toàn thông tin, sự cần thiết của việc xây dựng chính sách an toàn thông tin, các tiêu chuẩn an toàn thông tin-cơ sở để xây dựng chính sách an toàn thông tin cho các cơ quan thông tin-thư viện.
NGHIÊN CỨU - TRAO ĐỔI Xây dựng sách an tồn thơng tin cho quan thơng tin-thư viện với ISO 17799 - 27001 ThS Nguyễn Văn Hiệp Khoa TT-TV, Trường Đại học KHXH&NV, ĐHQG Tp Hồ Chí Minh Tóm tắt: Chính sách an tồn bảo mật thơng tin cốt lõi, trung tâm để bắt đầu xây dựng giải pháp an tồn thơng tin cho hệ thống thơng tin nói chung quan thơng tin-thư viện nói riêng Bài viết trình bày vấn đề an tồn thơng tin, sách an tồn thơng tin, cần thiết việc xây dựng sách an tồn thơng tin, tiêu chuẩn an tồn thơng tin-cơ sở để xây dựng sách an tồn thơng tin cho quan thơng tin-thư viện Từ khóa: Chính sách an tồn thơng tin; an tồn thơng tin; thơng tin-thư viện Developing information security policies for information-library agencies with ISO 17799 - 27001 Abstract: The information security policy is the core factor, which is the center to be able to start building information security solutions for an information system in general and information agencies - libraries in particular The paper presents the basic issues related to information security, information security policy, the necessity of building information security policy, as well as the information security standards - the foundation for building information security policies at information agencies - libraries Keywords: Information security policies; information security; information library Đặt vấn đề Sự phát triển vũ bão công nghệ thông tin truyền thông ngày tác động sâu sắc đến kinh tế, trị đời sống xã hội Ngày nhiều tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần hoàn toàn vào hệ thống mạng máy tính, máy tính sở liệu Nói cách khác, hệ thống thông tin sở liệu gặp cố hoạt động đơn vị bị ảnh hưởng nghiêm trọng, chí bị tê liệt hoàn toàn Chưa vấn đề an tồn bảo mật thơng tin lại nhận nhiều quan tâm An tồn thơng tin xếp ngang hàng với vấn đề thiết thực sống như: An toàn thực phẩm, An toàn y tế, An toàn lao động, Nó khơng mối quan tâm cơng ty, tổ chức liên quan trực tiếp tới tiền tệ như: ngân hàng, tổ chức thương mại, tín dụng,… mà mối quan tâm chung tất quan, tổ chức, doanh nghiệp hoạt động có sử dụng máy tính, mạng máy tính internet, có quan thơng tin-thư viện (TT-TV), đặc biệt thư viện điện tử, thư viện số 18 THÔNG TIN VÀ TƯ LIỆU - 3/2022 Hãy tưởng tượng điều xảy sở liệu nội sinh mà thư viện xây dựng với hàng triệu tài liệu, hệ thống mục lục trực tuyến với hàng chục ngàn biểu ghi tự nhiên biến mất? Các thông tin bạn đọc thư viện tự nhiên “không cánh mà bay”, hay website, hệ thống phần mềm quản trị thư viện, thông tin/dữ kiện khác thư viện tạo khơng cịn tồn hay vận hành không mong đợi? Chắc hẳn không mong muốn rủi ro xảy Tuy nhiên, để xây dựng hệ thống đảm bảo an tồn, bảo mật thơng tin tồn diện, hiệu công việc dễ dàng, đặc biệt quan TT-TV, nơi vấn đề an tồn bảo mật thơng tin cịn khái niệm mẻ, nơi cán thư viện nhiều hạn chế công nghệ, nơi mà vấn đề an tồn bảo mật thơng tin thường mặc định dành cho phận IT,… loay hoay mớ câu hỏi, an tồn thơng tin phải thực từ đâu, làm trước, làm sau, chịu trách nhiệm thực cơng việc này, an tồn thơng tin cần có yếu tố nào,… nhằm trả lời câu hỏi nêu Bài viết mong muốn góp phần cung cấp nhìn an tồn bảo mật thơng tin, NGHIÊN CỨU - TRAO ĐỔI sách an tồn bảo mật thông tin- thành phần quan trọng tiến trình xây dựng hệ thống đảm bảo an tồn thơng tin, tiêu chuẩn an tồn thơng tin thường sử dụng xây dựng sách an tồn thơng tin (ATTT) An tồn bảo mật thơng tin gì? Theo Nghị định số 64/2007/NĐ-CP ngày 10 tháng 04 năm 2007 Ứng dụng công nghệ thông tin hoạt động quan nhà nước: “An tồn thơng tin: bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Việc bảo vệ thông tin, tài sản người hệ thống thông tin nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy An tồn thơng tin bao hàm nội dung bảo vệ bảo mật thơng tin, an tồn liệu, an tồn máy tính an tồn mạng” [Nghị định 64/2007/NĐ-CP] Theo ISO 17799, “An toàn bảo mật thông tin khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích công dân, tổ chức quốc gia Thơng qua sách ATTT, lãnh đạo thể ý chí lực việc quản lý hệ thống thông tin ATTT xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin mà tổ chức sở hữu tài nguyên thông tin đối tác, khách hàng mơi trường thơng tin tồn cầu” [ISO 17799] Tựu chung lại, an tồn bảo mật thơng tin trì tính bí mật, tính tồn vẹn tính sẵn sàng thơng tin, đó: - Tính bí mật: Thơng tin phép khai thác đối tượng (người, chương trình máy tính,…) phép - Tính tồn vẹn: Đảm bảo tính tồn vẹn thông tin, tức thông tin phép xóa sửa đối tượng cấp phép phải đảm bảo thơng tin cịn xác lưu trữ truyền - Tính sẵn sàng: Đảm bảo độ sẵn sàng thông tin, tức thơng tin truy xuất người phép vào họ muốn Cũng vậy, an tồn bảo mật thơng tin hoạt động thư viện “là việc đảm bảo phần cứng, dịch vụ, chương trình thơng tin trạng thái sẵn sàng cho người sử dụng” [Banerjee, K, 2003] Nói cách khác, đảm bảo ATTT thư viện việc bảo vệ thông tin hệ thống thông tin khỏi truy cập, chỉnh sửa sử dụng thông tin trái phép Việc đảm bảo ATTT thư viện gồm yêu cầu: tính bí mật, tính tồn vẹn tính sẵn sàng - Bí mật: Chỉ người dùng cấp quyền phép truy cập vào sở liệu, nguồn tài liệu điện tử tài nguyên khác thư viện Thư viện không phép tiết lộ thông tin người sử dụng như: thông tin cá nhân, thơng tin lịch sử mượn-trả,…) - Tồn vẹn: Đảm bảo xác, khơng thay đổi thơng tin gốc (ví dụ thơng tin thư mục sở liệu, thông tin đăng tải website thư viện,…) - Sẵn sàng: Các nguồn tin thư viện trạng thái sẵn sàng cho người sử dụng truy cập vào thời gian (ví dụ: hệ thống Opac, website thư viện, sở liệu điện tử,…) Sự cần thiết việc xây dựng sách an tồn thơng tin quan thơng tin - thư viện Theo tài liệu ATTT, để đảm bảo an tồn cho hệ thống, cần phải có yếu tố: người, quy trình, giải pháp, tiêu chuẩn quốc tế Hiện nay, thư viện quan tâm tới vấn đề an toàn bảo mật thông tin, chứng việc số thư viện trang bị cho hệ thống tường lửa (firewall), hệ thống phát xâm nhập IDS (Intrusion Detection Systems), hệ thống phòng chống xâm nhập IPS (Intrusion prevention system), hệ thống phòng chống virus (Antivirus),… Tuy nhiên, tất giải pháp công nghệ Một câu hỏi đặt hệ thống trang bị giải pháp bảo mật mức độ THÔNG TIN VÀ TƯ LIỆU - 3/2022 19 NGHIÊN CỨU - TRAO ĐỔI an toàn đến đâu, giải pháp tốt chưa, đầy đủ chưa, tổ chức thực giải pháp tốt hay chưa, người thực giải pháp nào, họ ý thức vấn đề ATTT gán trách nhiệm phải đảm bảo an tồn hệ thống thơng tin hay chưa? Thơng thường, giải pháp lúc xây dựng xong tốt sau thời gian hoạt động bộc lộ nhiều điểm yếu mà nguyên nhân yếu tố người Hạ tầng công nghệ thông tin xây dựng tốt, hệ thống bảo mật xây dựng tốt sau đưa vào sử dụng, chất lượng phụ thuộc vào thân đối tượng sử dụng Họ có tn thủ theo giải pháp hay khơng, trách nhiệm họ nào, ý thức sao? Chúng ta biết bảo mật kèm với việc mang lại không thuận tiện cho người dùng dễ dàng làm cho họ từ bỏ biện pháp bảo mật Tuy nhiên, thư viện, ATTT phải đưa lên hàng đầu tất nhân viên phải tuân thủ điều Có thể thấy rằng, quan TT-TV chủ yếu thực khâu giải pháp Các yếu tố khác người, qui trình, tiêu chuẩn quốc tế chưa trọng Các yếu tố chưa tốt chưa gắn kết, chưa giám sát thiếu yếu tố quan trọng, sách an tồn bảo mật thơng tin Chính sách an tồn bảo mật thơng tin (Infomaton security policy): thị hướng dẫn an tồn thơng tin Hay Chính sách an tồn thơng tin tập hợp luật, quy tắc thủ tục nhằm điều chỉnh cách tổ chức quản lý, bảo vệ phân phối tài nguyên cách hợp lý, để đạt mục tiêu an tồn thơng tin cụ thể Các luật, quy tắc thủ tục phải gắn với trách nhiệm cá nhân, xác định cụ thể điều kiện mà cá nhân phép thực thi quyền hạn Hay sách an tồn bảo mật thơng tin tài liệu hướng dẫn an tồn thơng tin tổ chức Tài liệu đề cập đến hỗ trợ cấp quản lý, cam kết định hướng việc đạt mục tiêu an toàn thơng tin Chính sách an tồn bảo mật thơng tin văn mang tính khái niệm, khơng cụ thể phương thức thi hành, bao gồm tiêu chí an tồn thơng tin tổ chức 20 THÔNG TIN VÀ TƯ LIỆU - 3/2022 Theo “Sách da cam” (1983), Chính sách an tồn bảo mật thơng tin tập hợp điều luật, qui định giải pháp thực tế để giám sát điều khiển, bảo vệ việc phân phối thông tin nhạy cảm hệ thống Tóm lại, sách ATTT thể quy định chung cấp lãnh đạo việc bảo vệ hệ thống thông tin, bao gồm đầy đủ yếu tố: thông tin (Information), hạ tầng thông tin (phần cứng, phần mềm, mạng hệ thống khác,…) các ứng dụng (CSDL, Web, ứng dụng nghiệp vụ,…) Chính sách ATTT cốt lõi, trung tâm để bắt đầu xây dựng giải pháp ATTT Từ sách ATTT, việc đưa giải pháp an ninh tồn diện cịn gắn với ý thức, trách nhiệm nhân viên thư viện ATTT Từ lâu, hậu việc khơng xây dựng sách ATTT mà có giải pháp an ninh khiến cho giải pháp trở nên khơng tồn diện hiệu Hiện tại, quan TT-TV đưa giải pháp cơng nghệ mà chưa xây dựng với sách ATTT, hay nói cách khác xây dựng theo mơ hình "bottom-up" Tức xây dựng hạ tầng thông tin, giải pháp bảo mật trước sau xây dựng sách ATTT chí chưa xây dựng Chính vậy, giải pháp cơng nghệ xây dựng khơng tồn diện, thiếu đâu vá đấy, khơng mang tính tổng thể đồng bộ, chi phí cao Ví dụ: Đề xuất xây dựng hệ thống bảo mật mạng với firewall, IPS sau hệ thống máy tính bị virus, lại đề xuất giải pháp diệt virus Khi thấy hệ thống không kiểm soát việc truy cập mạng, lại đề xuất giải pháp kiểm soát truy cập mạng NAC, Điều thể thiếu toàn diện, đồng bộ, chiến lược Theo khuyến cáo tổ chức giới, để xây dựng hệ thống an tồn nên xây dựng theo mơ hình "top-down" tức phải xây dựng sách ATTT trước Tổ chức thực thi theo sách ATTT bao gồm người, quy trình, giải pháp công nghệ, vật lý Phương pháp đạt tính tồn diện, đồng lâu dài Và tài liệu chuẩn ATTT ISO 17799, ISO 27001 hay COBIT, nhiệm vụ xây dựng sách bảo mật đặt lên lộ trình xây dựng hệ thống ATTT NGHIÊN CỨU - TRAO ĐỔI Các tiêu chuẩn an tồn thơng tin (ISO/IEC 17799 ISO 27001)- sở để xây dựng sách an tồn thơng tin cho quan thơng tin - thư viện Tuân thủ tiêu chuẩn ATTT yếu tố quan trọng đảm bảo cho hoạt động ổn định tin cậy hạ tầng kỹ thuật, an tồn hệ thống thơng tin liệu quan TT-TV Hiện nay, giới hình thành hệ thống tiêu chuẩn ATTT tương đối đầy đủ, bao quát hầu hết khía cạnh lĩnh vực ATTT đáp ứng đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình) Hệ thống tiêu chuẩn phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả tiêu chuẩn quản lý Có nhiều quan điểm cách thức để thiết lập sách ATTT Tuy nhiên, thông thường người ta dựa vào tiêu chuẩn quản lý ATTT, số hai tiêu chuẩn ISO 27001 ISO/IEC 17799 thường nhắc đến sử dụng nhiều nhất, tính hệ thống, tính thơng dụng tính quốc tế chúng Khi xây dựng hệ thống ATTT, người ta thường tham khảo hai cặp tách rời Khi áp dụng, tiêu chuẩn ISO 27001 đưa yêu cầu cho việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát phát triển hệ thống an ninh thơng tin cách tồn diện khoa học, ISO 27001 xây dựng hịa hợp, tương thích với hệ thống quản lý khác như: ISO 9001:2000 ISO 14001:2004, Trong đó, ISO/IEC 17799 cung cấp kinh nghiệm để thiết kế hệ thống cụ thể, mang tính tham khảo, với điều chỉnh thực để phù hợp với nhu cầu tổ chức áp dụng sở để xem xét đánh giá cấp chứng tổ chức bên thứ ba 3.1 ISO/IEC 17799 ISO/IEC 17799 Tổ chức Tiêu chuẩn hóa quốc tế (ISO) Ủy ban Kỹ thuật điện quốc tế (IEC) soạn thảo ISO 17799 tài liệu thức phản ánh toàn vấn đề liên quan tới ATTT ISO/IEC 17799 cung cấp cho chuyên gia ATTT tranh tổng thể, xác logic bước cần thiết để xây dựng hệ thống thơng tin an tồn, hệ thống chất lượng ATTT ISO 17799 đề cập đến tồn sách ATTT từ tổ chức, người, môi trường làm việc đến giải pháp cụ thể để thiết lập hệ thống ATTT Hệ thống tiêu chuẩn ISO 17799 tác động tới 10 lĩnh vực gồm 127 giải pháp ISO 17799 chia thành phần chính: Những vấn đề ISO 17799 Chính sách ATTT tài liệu ATTT Các giải pháp, phương tiện thành phần ATTT ISO 17799 khơng có tập hợp kiểm sốt đạt an tồn bảo mật hồn thiện Do đó, ISO khuyến khích can thiệp thêm từ lãnh đạo để theo dõi, đánh giá cải tiến hiệu lực kiểm sốt an tồn bảo mật hỗ trợ cho mục tiêu ATTT tổ chức Nội dung tiêu chuẩn ISO 17799: Chuẩn ISO 17799 thiết lập hướng dẫn nguyên tắc chung nhằm thi hành, trì tăng cường quản lý ATTT tổ chức Hiện nay, cập nhật tiêu chuẩn ISO 17799-2005 bao gồm 11 phần sau: Chính sách an ninh chung (Security Policy) Tổ chức ATTT (Organizing Information Security) Quản lý cố ATTT (Information Security Incident Management) Xác định, phân cấp quản lý tài nguyên (Asset Management) An ninh nhân (Human Resources Security) An ninh vật lý môi trường (Physical and Environmental Security) Quản trị CNTT mạng (Communication and Operations Management) Quản lý truy cập (Access Control) Phát triển trì hệ thống (Informations System Acquisition, Development and Maintenance) THƠNG TIN VÀ TƯ LIỆU - 3/2022 21 NGHIÊN CỨU - TRAO ĐỔI 10 Quản lý tính liên tục kinh doanh (Business Continuity Management) 11 Yếu tố tuân thủ luật pháp (Compliance) 3.2 ISO 27001 Sự đời Tiêu chuẩn ISO/IEC 27001:2005 Hệ thống quản lý ATTT (Information security management system -ISMS) đánh dấu bước phát triển lĩnh vực bảo mật thông tin giới Áp dụng ISMS giúp cho quan TT - TV kiến trúc mơ hình quản lý hệ thống tiên tiến với giải pháp ATTT tổng thể hiệu quả, chi phí hợp lý nhằm bảo vệ hoạt động Từ năm 2005 đến nay, tiêu chuẩn ISO/IEC 27000 liên tục hồn thiện để cung cấp cơng cụ quản lý mang tính quốc tế, đảm bảo cho trình thiết lập, vận hành, giám sát, xem xét, trì cải tiến hệ thống quản lý ATTT Bộ tiêu chuẩn ISO/IEC 27000 gồm tiêu chuẩn sau: - ISO/IEC 27000 : 2009 Các nguyên tắc từ vựng - ISO/IEC 27001: 2005 Các yêu cầu Hệ thống quản lý ATTT - ISO/IEC 27002: 2005 Mã thực hành Hệ thống quản lý ATTT - ISO/IEC 27003: 2010 Hướng dẫn áp dụng Hệ thống quản lý ATTT - ISO/IEC 27004: 2007 Đo lường Hệ thống quản lý ATTT - ISO/IEC 27005: 2007 Quản lý rủi ro Hệ thống quản lý ATTT - ISO/IEC 27006: 2007 Dành cho tổ chức đánh giá chứng nhận ISMS Trong tiêu chuẩn trên, ISO/IEC 27001:2005 yêu cầu bắt buộc đối với tổ chức xây dựng, vận hành, trì sở để tổ chức tư vấn, đánh giá quản lý chất lượng thực cơng việc chun mơn Các tiêu chuẩn khác ISO/IEC 27000 coi công cụ hỗ trợ phục vụ cho tiêu chuẩn ISO/IEC 27001:20005. Việc áp dụng hệ thống quản lý ATTT giúp quan TT-TV ngăn ngừa, hạn chế tổn thất hoạt động nghề nghiệp mình, như: hư hỏng, mát thông tin, liệu quan trọng 22 THÔNG TIN VÀ TƯ LIỆU - 3/2022 NGHIÊN CỨU - TRAO ĐỔI Trên giới việc xây dựng sách ATTT gần yêu cầu hiển nhiên, tham khảo sách ATTT trường: The London school of economics and Political science (LSE) địa chỉ: https:// info.lse.ac.uk/staff/services/Policies-andprocedures/Assets/Documents/infSecPol pdf Trường Đại học London (University of London) địa chỉ: https:// london.ac.uk/sites/default/files/governance/ ISP-001-information-security-policy.pdf Kết luận Khơng có sách ATTT cố gắng xây dựng giải pháp ATTT khơng có định hướng sở pháp lý để thực hiện, đồng thời giải pháp kỹ thuật cao cấp đắt tiền không hiệu thiếu quy định đối với thành phần nhân lực hệ thống Thêm vào đó, khơng có sách ATTT khơng có phối hợp phận khác có liên quan đến chương trình ATTT. Vì vậy, việc xây dựng sách ATTT quan TT-TV việc làm thực cần thiết Nó vừa tiền đề để xây dựng giải pháp bảo mật toàn diện, hiệu quả, vừa mang tới tính đồng tiết kiệm chi phí cho quan TT-TV TÀI LIỆU THAM KHẢO Banerjee, K (2003) How much security does your library need? Computers in Libraries, 23(5), 12-15 Truy cập ngày 28/01/2022, từ sở liệu ProQuest Chính phủ (2007) Nghị định số 64/2007/NĐ-CP ngày 10 tháng 04 năm 2007 ứng dụng công nghệ thông tin hoạt động quan nhà nước Karin Hone and J.H.P.Eloff (2002) Information security policy, What international information security standards Say? Computers & Security, Volume 21, Issue 5, October 2002, Pages 402-409, https://doi.org/10.1016/S0167-4048(02)00504-7 truy cập ngày 25/01/2022 ISO/IEC 17799:2005: Information technologySecurity techniques-Code of practice for information security management Olson, Ingrid M and Abrams, Marshall D (2003) Information Security Policy, https://www.yumpu.com/ en/document/read/7936824/essay-7-informationsecurity-policy-acsac (Truy cập ngày 20/01/2022) Sách da cam (1983) Department of defense trusted computer system evaluation criteria (1983) (Ngày Tòa soạn nhận bài: 6-12-2021; Ngày phản biện đánh giá: 8-2-2022; Ngày chấp nhận đăng: 15-5-2022) ... CỨU - TRAO ĐỔI Các tiêu chuẩn an tồn thơng tin (ISO/ IEC 17799 ISO 27001 )- sở để xây dựng sách an tồn thơng tin cho quan thơng tin - thư viện Tuân thủ tiêu chuẩn ATTT yếu tố quan trọng đảm bảo cho. .. CỨU - TRAO ĐỔI sách an tồn bảo mật thông tin- thành phần quan trọng tiến trình xây dựng hệ thống đảm bảo an tồn thơng tin, tiêu chuẩn an tồn thơng tin thư? ??ng sử dụng xây dựng sách an tồn thơng tin. .. thái sẵn sàng cho người sử dụng truy cập vào thời gian (ví dụ: hệ thống Opac, website thư viện, sở liệu điện tử,…) Sự cần thiết việc xây dựng sách an tồn thông tin quan thông tin - thư viện Theo