HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Giảng viên: PGS.TS Hoàng Xuân Dậu E-mail: dauhx@ptit.edu.vn Khoa: An toàn thơng tin BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT NỘI DUNG CHƯƠNG Quản lý an tồn thơng tin Giới thiệu chuẩn quản lý ATTT ISO/IEC 27000 Pháp luật sách ATTT Vấn đề đạo đức ATTT Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT 6.1 Quản lý an tồn thơng tin Khái qt quản lý ATTT Đánh giá rủi ro ATTT Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT ❖ Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin ❖ Tài sản ATTT gồm: ▪ Phần cứng (máy chủ, thiết bị mạng,…) ▪ Phần mềm (hệ điều hành, phần mềm máy chủ dịch vụ,…) ▪ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh,…) Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT ❖ Quản lý an tồn thơng tin (Information security management) tiến trình (process) nhằm đảm bảo tài sản quan trọng quan, tổ chức, doanh nghiệp bảo vệ đầy đủ với chi phí phù hợp; ❖ Quản lý ATTT phải trả lời câu hỏi: ▪ Những tài sản cần bảo vệ? ▪ Những đe dọa có tài sản này? ▪ Những biện pháp thực để ứng phó với đe dọa đó? Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT ❖ Quản lý ATTT gồm khâu: ▪ ▪ ▪ ▪ Xác định rõ mục đích đảm bảo ATTT; Xây dựng hồ sơ tổng hợp rủi ro; Đánh giá rủi ro với tài sản ATTT cần bảo vệ; Xác định triển khai biện pháp quản lý, kỹ thuật kiểm soát, giảm rủi ro mức chấp nhận Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT ❖ Quá trình quản lý ATTT cần thực liên tục theo chu trình do: ▪ Sự thay đổi nhanh chóng cơng nghệ: • Nhiều công nghệ, kỹ thuật công cụ xuất • Độ phức tạp hệ thống tăng nhanh ▪ Môi trường xuất rủi ro liên tục thay đổi: • Xuất nhiều công cụ cho công, phá hoại • Xuất nhiều mối đe dọa • Trình độ tin tặc nâng lên nhanh chóng Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT ❖ Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Đánh giá rủi ro ATTT ❖ Đánh giá rủi ro ATTT (Security risk assessment) ▪ Là phận quan trọng vấn đề quản lý rủi ro; ▪ Mỗi tài sản tổ chức cần xem xét, nhận dạng rủi ro có đánh giá mức rủi ro; ▪ Là sở để xác định mức rủi ro chấp nhận với loại tài sản; ▪ Trên sở xác định mức rủi ro, đề biện pháp xử lý, kiểm soát rủi ro mức chấp nhận được, với mức chi phí phù hợp Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Đánh giá rủi ro ATTT ❖ Các phương pháp tiếp cận đánh giá rủi ro: ▪ ▪ ▪ ▪ Phương pháp đường sở (Baseline approach) Phương pháp khơng thức (Informal approach) Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) Phương pháp kết hợp (Combined approach) Trang 10 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật quốc tế ATTT – Luật Mỹ ❖ Các luật tội phạm máy tính: ▪ Computer Fraud and Abuse Act of 1986 (CFA Act) – quy định tội phạm lừa đảo lạm dụng máy tính; ▪ Computer Security Act, 1987: đề nguyên tắc đảm bảo an tồn cho hệ thống máy tính;s ▪ National Information Infrastructure Protection Act of 1996 sửa đổi CFA Act, tăng khung hình phạt số tội phạm máy tính đến 20 năm tù; ▪ USA PATRIOT Act, 2001: cho phép quan quyền số quyền nhằm phòng chống khủng bố hiệu hơn; ▪ USA PATRIOT Improve-ment and Reauthorization Act: Mở rộng USA PATRIOT Act, 2001, cấp cho quan quyền nhiều quyền hạn cho nhiệm vụ phòng chống khủng bố Trang 39 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật quốc tế ATTT – Luật Mỹ ❖ Các luật riêng tư: bảo vệ quyền riêng tư người dùng, bảo vệ thông tin cá nhân người dùng: ▪ Federal Privacy Act, 1974: luật Liên bang Mỹ bảo vệ quyền riêng tư người dùng; ▪ Electronic Communications Privacy Act , 1986: luật bảo vệ quyền riêng tư giao tiếp điện tử; ▪ Health Insurance Portability and Accountability Act, 1996 (HIPAA): bảo vệ tính bí mật an tồn liệu y tế người bệnh; • Tổ chức/cá nhân vi phạm bị phạt đến 250.000 USD 10 năm tù; ▪ Financial Services Modernization Act or Gramm-Leach-Bliley Act, 1999: điều chỉnh hoạt động liên quan đến ATTT ngân hàng, bảo hiểm hãng an ninh Trang 40 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật quốc tế ATTT – Luật Mỹ ❖ Luật xuất chống gián điệp: hạn chế việc xuất công nghệ hệ thống xử lý thơng tin phịng chống gián điệp kinh tế; ▪ Economic Espionage Act, 1996: phịng chống việc thực giao dịch có liên quan đến bí mật kinh tế cơng nghệ; ▪ Security and Freedom through Encryption Act, 1999: quy định vấn đề có liên quan đến sử dụng mã hóa đảm bảo an tồn tự thơng tin Trang 41 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật quốc tế ATTT – Luật Mỹ ❖ U.S Copyright Law: Luật quyền Mỹ ▪ Điều chỉnh vấn đề có liên quan đến xuất bản, quyền tác giả tài liệu, phần mềm, bao gồm tài liệu số ❖ Luật tự thông tin (Freedom of Information Act, 1966 (FOIA)): ▪ Các cá nhận truy nhập thông tin không gây tổn hại đến an ninh quốc gia Trang 42 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật quốc tế ATTT – Luật Quốc tế ❖ Các luật ATTT tổ chức luật quốc tế: ▪ Hội đồng châu Âu chống tội phạm mạng (Council of Europe Convention on Cybercrime): Hiệp ước chống tội phạm mạng Hội đồng châu Âu phê chuẩn vào năm 2001; ▪ Hiệp ước bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS)): Tổ chức Thương mại giới WTO chủ trì đàm phán giai đoạn 1986–1994; ▪ Digital Millennium Copyright Act (DMCA): luật quyền số Thiên niên kỷ Trang 43 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật Việt Nam ATTT ❖ Luật ATTT mạng Việt Nam Quốc hội thơng qua vào tháng 11.2015 (86/2015/QH13) có hiệu lực từ 1/7/2016: Đây sở pháp lý quan trọng cho hoạt động có liên quan đến ATTT ❖ Luật ATTT mạng gồm chương với 54 điều: • • • • • • • • Chương I: NHỮNG QUY ĐỊNH CHUNG Chương II: BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG Chương III: MẬT MÃ DÂN SỰ Chương IV: TIÊU CHUẨN, QUY CHUẨN KỸ THUẬT ATTT MẠNG Chương V: KINH DOANH TRONG LĨNH VỰC ATTT MẠNG Chương VI: PHÁT TRIỂN NGUỒN NHÂN LỰC ATTT MẠNG Chương VII: QUẢN LÝ NHÀ NƯỚC VỀ ATTT MẠNG Chương VIII: ĐIỀU KHOẢN THI HÀNH Trang 44 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật Việt Nam ATTT ❖ Luật An ninh mạng Việt Nam Quốc hội thơng qua vào tháng năm 2018 có hiệu lực từ 1/1/2019: ▪ Quy định đầy đủ biện pháp phòng ngừa, đấu tranh, xử lý nhằm loại bỏ nguy đe dọa, phát xử lý hành vi vi phạm pháp luật không gian mạng Trang 45 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật Việt Nam ATTT ❖ Một số văn khác có liên quan đến ATTT: ▪ Luật CNTT số 67/2006/QH11 Quốc hội, ngày 12/07/2006 ▪ Nghị định số 90/2008/NÐ-CP Chính Phủ "Về chống thư rác", ngày 13/08/2008 ▪ Quyết định số 59/2008/QÐ-BTTTT Bộ Thông tin Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số", ngày 31/12/2008 ▪ Quyết định 63/QÐ-TTg Thủ tướng CP "Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020", ngày 13/01/2010 ▪ Chỉ thị số 897/CT-TTg Thủ tướng CP "V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số", 10/06/2011 Trang 46 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật Việt Nam ATTT ❖ Một số văn khác có liên quan đến ATTT: ▪ Thông tư số 23/2011/TT-BTTTT Bộ TT&TT "Quy định việc quản lý, vận hành, sử dụng bảo đảm an tồn thơng tin Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước", ngày 11/08/2011 ▪ Nghị định số 77/2012/NĐ-CP Chính Phủ "Sửa đổi, bổ sung số điều Nghị định số 90/2008/NĐ-CP ngày 13 tháng năm 2008 Chính phủ chống thư rác", ngày 05/10/2012 ▪ Nghị định 72/2013/NĐ-CP Chính Phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; quy định việc chia sẻ thông tin trang mạng xã hội ▪ Dự thảo Luật An ninh mạng được đưa lấy ý kiến Quốc hội chuyên gia năm 2017 Dự kiến thông qua năm 2018 Trang 47 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT 6.4 Vấn đề đạo đức ATTT ❖ Nhiều tổ chức xã hội nghề nghiệp ban hành quy tắc ứng xử (Code of Conduct) bắt buộc nơi làm việc: ▪ Luật sư, bác sỹ vi phạm nghiêm trọng quy tắc ứng xử bị cấm hành nghề ▪ Các vận động viên thể thao vi phạm quy tắc ứng xử bị cấm thi đấu có thời hạn vĩnh viễn Trang 48 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT 6.4 Vấn đề đạo đức ATTT ❖ CNTT ATTT khơng có quy tắc ứng xử bắt buộc; ▪ Một số tổ chức nghề nghiệp ACM (Association for Computing Machinery) ISSA (Information Systems Security Association) hợp tác để đề quy tắc ứng xử ATTT; ▪ Tuy nhiên, quy tắc ứng xử ATTT có tính khuyến nghị mà tổ chức khơng có thẩm quyền buộc phải thực hiện; ▪ Hiệp hội ATTT Việt Nam công bố Bộ Qui tắc ứng xử ATTT vào đầu năm 2015, đưa số quy tắc khuyến nghị việc không làm cho thành viên nhân viên tổ chức hoạt động lĩnh vực ATTT Trang 49 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Vấn đề đạo đức ATTT ❖ Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) đề xuất Viện đạo đức máy tính (Mỹ): Khơng sử dụng máy tính để gây hại cho người khác; Không can thiệp vào cơng việc người khác máy tính; Khơng trộm cắp files máy tính người khác; Khơng sử dụng máy tính để trộm cắp; Khơng sử dụng máy tính để tạo chứng giả; Khơng chép sử dụng phần mềm khơng có quyền; Khơng sử dụng tài ngun máy tính người khác khơng phép khơng có bồi thường thỏa đáng; Khơng chiếm đoạn tài sản trí tuệ người khác; Nên suy nghĩ hậu xã hội chương trình xây dựng hệ thống thiết kế; 10 Nên sử dụng máy tính cách có trách nhiệm, đảm bảo quan tâm tôn trọng đến đồng bào Trang 50 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Vấn đề đạo đức ATTT ❖ Sự khác biệt vấn đề đạo đức văn hóa: ▪ Nhận thức vấn đề đạo đức sử dụng tài nguyên quan, tổ chức khác biệt quốc gia có văn hóa khác nhau; ▪ Trong nhiều hợp, hành vi phép số cá nhân quốc gia lại vi phạm quy tắc đạo đức quốc gia khác; ▪ VD: Vấn đề vi phạm quyền phần mềm nước tiên tiến Mỹ châu Âu mức tương đối thấp, mức cao nước châu Á châu Phi • Tỷ lệ vi phạm quyền phần mềm Việt Nam khoảng 90% Trang 51 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Vấn đề đạo đức ATTT ❖ Vấn đề vi phạm quyền phần mềm: ▪ Vấn đề vi phạm quyền phần mềm mức nghiêm trọng, đặc biệt nước phát triển châu Á châu Phi; ▪ Người dùng đa số có hiểu biết vấn đề quyền phần mềm, coi việc sử dụng phần mềm bất hợp pháp bình thường nhiều nước chưa có quy định khơng xử lý nghiêm vi phạm Trang 52 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Vấn đề đạo đức ATTT ❖ Vấn đề lạm dụng tài nguyên công ty, tổ chức: ▪ Một số công ty/tổ chức chưa có quy định cấm nhân viên sử dụng tài nguyên công ty, tổ chức vào việc riêng Một số có quy định chưa thực thi chặt chẽ chưa có chế tài xử phạt nghiêm minh; ▪ Các hành vi lạm dụng thường gặp: • • • • • • In ấn tài liệu riêng; Sử dụng email cá nhân cho việc riêng; Tải tài liệu/files không phép; Cài đặt chạy chương trình/phần mềm khơng phép; Sử dụng máy tính cơng ty làm việc riêng; Sử dụng loại phương tiện làm việc khác điện thoại công ty mức vào việc riêng; Trang 53 ... QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Luật Việt Nam ATTT ❖ Một số văn khác có liên quan đến ATTT: ▪ Luật CNTT số 67 /20 06/ QH11 Quốc hội, ngày 12/07/20 06 ▪ Nghị định số 90/2008/NÐ-CP Chính Phủ "Về... SÁCH & PHÁP LUẬT ATTT Bộ chuẩn ISO/IEC 27000 - ISO/IEC 27001 ❖ ISO/IEC 27001:2005: Plan-Do-Check-Act Trang 24 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT. .. SÁCH & PHÁP LUẬT ATTT Luật Việt Nam ATTT ❖ Luật ATTT mạng Việt Nam Quốc hội thông qua vào tháng 11.2015 ( 86/ 2015/QH13) có hiệu lực từ 1/7/20 16: Đây sở pháp lý quan trọng cho hoạt động có liên quan