Đang tải... (xem toàn văn)
Bài giảng An toàn thông tin: Chương 8 Quản lý, chính sách và pháp luật an toàn thông tin, cung cấp cho người học những kiến thức như: Quản lý an toàn thông tin; bộ chuẩn quản lý an toàn thông tin ISO/IEC 27000; pháp luật và chính sách an toàn thông tin. Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN TỒN THƠNG TIN Chương 8: QUẢN LÝ, CHÍNH SÁCH VÀ PHÁP LUẬT AN TỒN THƠNG TIN Số tín chỉ: Số tiết: 30 tiết (Lý Thuyết) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn QUẢN LÝ AN TỒN THƠNG TIN • Khái qt quản lý ATTT • Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin • Tài sản ATTT gồm: ❑ Phần cứng (máy chủ, thiết bị mạng,…) ❑ Phần mềm (hệ điều hành, phần mềm máy chủ dịch vụ,…) ❑ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh …) QUẢN LÝ AN TỒN THƠNG TIN • Khái qt quản lý ATTT • Quản lý an tồn thơng tin (Information security management) tiến trình (process) nhằm đảm bảo tài sản quan trọng quan, tổ chức, doanh nghiệp bảo vệ đầy đủ với chi phí phù hợp • Quản lý ATTT phải trả lời câu hỏi: ❑ Những tài sản cần bảo vệ? ❑ Những đe dọa có tài sản này? ❑ Những biện pháp thực để ứng phó với đe dọa đó? QUẢN LÝ AN TỒN THƠNG TIN • Q trình quản lý ATTT cần thực liên tục theo chu trình do: • Sự thay đổi nhanh chóng cơng nghệ: ▪ Nhiều công nghệ, kỹ thuật công cụ xuất ▪ Độ phức tạp hệ thống tăng nhanh ▪ Môi trường xuất rủi ro liên tục thay đổi: ▪ Xuất nhiều công cụ cho công, phá hoại ▪ Xuất nhiều mối đe dọa ▪ Trình độ tin tặc nâng lên nhanh chóng QUẢN LÝ AN TỒN THƠNG TIN • Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: QUẢN LÝ AN TỒN THƠNG TIN ❖ Đánh giá rủi ro ATTT (Security risk assessment) • Là phận quan trọng vấn đề quản lý rủi ro • Mỗi tài sản tổ chức cần xem xét, nhận dạng rủi ro có đánh giá mức rủi ro • Là sở để xác định mức rủi ro chấp nhận với loại tài sản; • Trên sở xác định mức rủi ro, đề biện pháp xử lý, kiểm soát rủi ro mức chấp nhận được, với mức chi phí phù hợp QUẢN LÝ AN TỒN THƠNG TIN ❖ Các phương pháp tiếp cận đánh giá rủi ro: • Phương pháp đường sở (Baseline approach) • Phương pháp khơng thức (Informal approach) • Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) • Phương pháp kết hợp (Combined approach) QUẢN LÝ AN TỒN THƠNG TIN ❖ Phương pháp đường sở (Baseline approach) • Mục đích Phương pháp đường sở thực thi kiểm soát an ninh mức dựa trên: ▪ Các tài liệu ▪ Các quy tắc thực hành ▪ Các thực tế tốt ngành áp dụng ▪ Ưu điểm: ▪ Khơng địi hỏi chi phí cho tài nguyên bổ sung ▪ Cùng nhóm biện pháp triển khai nhiều hệ thống ▪ Nhược điểm: ▪ Không xem xét kỹ đến điều kiện nảy sinh rủi ro ▪ Mức cao: gây tốn kém, thấp: gây an toàn Phù hợp với tổ chức với hệ thống CNTT có quy mơ nhỏ, nguồn lực hạn chế QUẢN LÝ AN TỒN THƠNG TIN ❖ Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) ▪ Nhận dạng tài sản ▪ Nhận dạng mối đe dọa lỗ hổng tài sản ▪ Xác định xác suất xuất rủi ro hậu có rủi ro xảy ▪ Lựa chọn biện pháp xử lý rủi ro dựa kết đánh giá rủi ro giai đoạn ▪ Ưu điểm: ▪ Cho phép xem xét chi tiết rủi ro hệ thống CNTT tổ chức, lý giải rõ ràng chi phí cho biện pháp kiểm soát rủi đề xuất ▪ Cung cấp thông tin tốt cho việc tiếp tục quản lý vấn đề an ninh hệ thống CNTT chúng nâng cấp, sửa đổi ▪ Nhược điểm: ▪ Chi phí lớn thời gian, nguồn lực yêu cầu kiến thức chuyên gia trình độ cao ▪ Có thể dẫn đến chậm trễ việc đưa biện pháp xử lý, kiểm soát rủi ro phù hợp ❖ Phù hợp tổ chức có hệ thống CNTT quy mô lớn, tổ chức cung cấp tảng hạ tầng truyền thông cho quốc gia; QUẢN LÝ AN TỒN THƠNG TIN ❖ Phương pháp kết hợp (Combined approach) ▪ Cung cấp mức bảo vệ hợp lý nhanh tốt ▪ Kiểm tra điều chỉnh biện pháp bảo vệ hệ thống theo thời gian ▪ Ưu điểm: ▪ Bắt đầu việc đánh giá rủi ro mức cao dễ nhận ủng hộ cấp quản lý, thuận lợi cho việc lập kế hoạch quản lý ATTT ▪ Giúp sớm triển khai biện pháp xử lý kiểm sốt rủi ro từ giai đoạn đầu ▪ Có thể giúp giảm chi phí với đa số tổ chức ▪ Nhược điểm: ▪ Nếu đánh giá mức cao giai đoạn đầu khơng xác dẫn đến áp dụng biện pháp kiểm sốt khơng phù hợp, hệ thống gặp rủi ro thời gian chờ đánh giá chi tiết ❖ Phù hợp tổ chức với hệ thống CNTT quy mô vừa lớn BỘ CHUẨN QUẢN LÝ ATTT ISO/IEC 27000 ❖ ISO/IEC 27001:2005: Plan-Do-Check-Act => Check • Thực thi thủ tục giám sát • Thực thi việc đánh giá thường xun tính hiệu ISMS; • Thực việc kiểm tốn (audit) nội với ISMS; • Thực thi việc đánh giá thường xuyên với ISMS phận quản lý • Ghi lại hành động kiện ảnh hưởng đến ISMS BỘ CHUẨN QUẢN LÝ ATTT ISO/IEC 27000 ❖ ISO/IEC 27001:2005: Plan-Do-Check-Act => Act • Thực cải tiến nhận dạng • Thực hành động sửa chữa ngăn chặn • Áp dụng học • Thảo luận kết với bên quan tâm • Đảm bảo cải tiến đạt mục tiêu BỘ CHUẨN QUẢN LÝ ATTT ISO/IEC 27000 ❖ Danh sách chuẩn PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Giới thiệu pháp luật sách ATTT • Các sách pháp luật có vai trị quan trọng việc đảm bảo an tồn cho thơng tin, hệ thống mạng: ▪ Trong vai trị nhân viên đảm bảo an tồn cho thơng tin quan trọng việc giảm thiểu rủi ro, đảm bảo an tồn cho thơng tin, hệ thống mạng giảm thiệt hại xảy cố ▪ Các nhân viên đảm bảo an tồn cho thơng tin phải hiểu rõ khía cạnh pháp lý đạo đức ATTT o Luôn nắm vững môi trường pháp lý luật quy định luật pháp o Luôn thực công việc nằm khuôn khổ cho phép luật pháp ▪ Thực việc giáo dục ý thức luật pháp đạo đức ATTT cho cán quản lý nhân viên tổ chức, đảm bảo sử dụng mục đích cơng nghệ đảm bảo ATTT PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Giới thiệu pháp luật sách ATTT • Trách nhiệm tổ chức (Organization Liaibility): ▪ Trách nhiệm tổ chức trách nhiệm trước luật pháp tổ chức mở rộng ngồi phạm vi luật hình luật hợp đồng ▪ Gồm trách nhiệm pháp lý phải hoàn trả đền bù cho hành vi sai trái ▪ Nếu nhân viên công ty/tổ chức thực hành vi phạm pháp phi đạo đức, gây thiệt hại cho cá nhân, tổ chức khác, cơng ty/tổ chức phải chịu trách nhiệm pháp lý, tài ▪ Ví dụ: Bảo vệ siêu thị giam giữ hành khách hàng gây thương tích o NV bảo vệ bị bắt tạm giam để điều tra o Siêu thị phải có trách nhiệm đền bù cho khách hàng PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Giới thiệu pháp luật sách ATTT • Chính sách (Policy) Luật (Law): ▪ Trong tổ chức, nhân viên ATTT có trách nhiệm trì an tồn thơng qua việc thiết lập sách ATTT; ▪ Chính sách (cịn gọi quy định, nội quy) quy định hành vi chấp nhận nhân viên tổ chức nơi làm việc; ▪ Chính sách "luật" tổ chức có giá trị thực thi nội bộ, gồm tập quy định chế tài xử phạt bắt buộc phải thực hiện; ▪ Các sách/nội quy cần nghiên cứu, soạn thảo kỹ lưỡng; ▪ Chính sách cần đầy đủ, đắn áp dụng công với nhân viên; ▪ Khác biệt sách luật: o Luật ln bắt buộc o Chính sách: thiếu hiểu biết sách cách bào chữa chấp nhận PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Giới thiệu pháp luật sách ATTT • Các u cầu sách ▪ Phổ biến (Dissemination): có khả phổ biến rộng rãi, tài liệu giấy điện tử ▪ Xem xét (Review): Nhân viên xem, hiểu – cần thực nhiều ngơn ngữ, ví dụ tiếng Anh tiếng địa phương ▪ Có thể hiểu (Comprehension): Chính sách cần rõ ràng dễ hiểu – tổ chức cần có điều tra/khảo sát mức độ hiểu biết/nắm bắt sách nhân viên ▪ Tuân thủ (Obligation): Cần có biện pháp để nhân viên cam kết thực – thông qua ký văn cam kết tick vào ô xác nhận tuân thủ ▪ Áp dụng đồng đều, bình đẳng (Uniform enforcement): Chính sách cần thực đồng đều, bình đẳng, quán, khơng có ưu tiên với nhân viên nào, kể người quản lý PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Luật quốc tế ATTT • ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ Các luật ATTT Mỹ Các luật tội phạm máy tính Các luật riêng tư Luật xuất chống gián điệp Luật quyền Luật tự thông tin Các luật ATTT tổ chức luật quốc tế: Hội đồng châu Âu chống tội phạm mạng Hiệp ước bảo vệ quyền sở hữu trí tuệ PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Luật Việt Nam ATTT • Luật An ninh mạng Việt Nam Quốc hội thơng qua vào tháng năm 2018 có hiệu lực từ 1/1/2019: ▪ Quy định đầy đủ biện pháp phòng ngừa, đấu tranh, xử lý nhằm loại bỏ nguy đe dọa, phát xử lý hành vi vi phạm pháp luật không gian mạng ▪ Một số văn khác có liên quan đến ATTT ▪ Luật CNTT số 67/2006/QH11 Quốc hội, ngày 12/07/2006 ▪ Nghị định số 90/2008/NÐ-CP Chính Phủ "Về chống thư rác", ngày 13/08/2008 ▪ Quyết định số 59/2008/QÐ-BTTTT Bộ Thông tin Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số", ngày 31/12/2008 ▪ Quyết định 63/QÐ-TTg Thủ tướng CP "Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020", ngày 13/01/2010 ▪ Chỉ thị số 897/CT-TTg Thủ tướng CP "V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số", 10/06/2011 PHÁP LUẬT VÀ CHÍNH SÁCH ATTT ❖ Luật Việt Nam ATTT • Một số văn khác có liên quan đến ATTT ▪ Thơng tư số 23/2011/TT-BTTTT Bộ TT&TT "Quy định việc quản lý, vận hành, sử dụng bảo đảm an tồn thơng tin Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước", ngày 11/08/2011 ▪ Nghị định số 77/2012/NĐ-CP Chính Phủ "Sửa đổi, bổ sung số điều Nghị định số 90/2008/NĐ-CP ngày 13 tháng năm 2008 Chính phủ chống thư rác", ngày 05/10/2012 ▪ Nghị định 72/2013/NĐ-CP Chính Phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; quy định việc chia sẻ thông tin trang mạng xã hội ▪ Dự thảo Luật An ninh mạng được đưa lấy ý kiến Quốc hội chuyên gia năm 2017 Dự kiến thông qua năm 2018 VẤN ĐỀ ĐẠO ĐỨC ATTT ❖ Nhiều tổ chức xã hội nghề nghiệp ban hành quy tắc ứng xử (Code of Conduct) bắt buộc nơi làm việc: • Luật sư, bác sỹ vi phạm nghiêm trọng quy tắc ứng xử bị cấm hành nghề • Các vận động viên thể thao vi phạm quy tắc ứng xử bị cấm thi đấu có thời hạn vĩnh viễn ❖ CNTT ATTT khơng có quy tắc ứng xử bắt buộc • Một số tổ chức nghề nghiệp ACM (Association for Computing Machinery) ISSA (Information Systems Security Association) hợp tác để đề quy tắc ứng xử ATTT • Tuy nhiên, quy tắc ứng xử ATTT có tính khuyến nghị mà tổ chức khơng có thẩm quyền buộc phải thực • Hiệp hội ATTT Việt Nam công bố Bộ Qui tắc ứng xử ATTT vào đầu năm 2015, đưa số quy tắc khuyến nghị việc không làm cho thành viên nhân viên tổ chức hoạt động lĩnh vực ATTT VẤN ĐỀ ĐẠO ĐỨC ATTT ❖ Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) đề xuất Viện đạo đức máy tính (Mỹ): Khơng sử dụng máy tính để gây hại cho người khác Không can thiệp vào công việc người khác máy tính Khơng trộm cắp files máy tính người khác Khơng sử dụng máy tính để trộm cắp Khơng sử dụng máy tính để tạo chứng giả Khơng chép sử dụng phần mềm khơng có quyền Khơng sử dụng tài ngun máy tính người khác khơng phép khơng có bồi thường thỏa đáng Không chiếm đoạn tài sản trí tuệ người khác Nên suy nghĩ hậu xã hội chương trình xây dựng hệ thống thiết kế 10 Nên sử dụng máy tính cách có trách nhiệm, đảm bảo quan tâm tôn trọng đến đồng bào VẤN ĐỀ ĐẠO ĐỨC ATTT ❖ Sự khác biệt vấn đề đạo đức văn hóa: • Nhận thức vấn đề đạo đức sử dụng tài nguyên quan, tổ chức khác biệt quốc gia có văn hóa khác • Trong nhiều hợp, hành vi phép số cá nhân quốc gia lại vi phạm quy tắc đạo đức quốc gia khác; ▪ VD: Vấn đề vi phạm quyền phần mềm nước tiên tiến Mỹ châu Âu mức tương đối thấp, mức cao nước châu Á châu Phi ▪ Tỷ lệ vi phạm quyền phần mềm Việt Nam khoảng 90% ❖ Vấn đề vi phạm quyền phần mềm: ▪ Vấn đề vi phạm quyền phần mềm mức nghiêm trọng, đặc biệt nước phát triển châu Á châu Phi VẤN ĐỀ ĐẠO ĐỨC ATTT ❖ Vấn đề lạm dụng tài nguyên công ty, tổ chức: • Một số cơng ty/tổ chức chưa có quy định cấm nhân viên sử dụng tài nguyên công ty, tổ chức vào việc riêng Một số có quy định chưa thực thi chặt chẽ chưa có chế tài xử phạt nghiêm minh • Các hành vi lạm dụng thường gặp ▪ In ấn tài liệu riêng ▪ Sử dụng email cá nhân cho việc riêng ▪ Tải tài liệu/files không phép ▪ Cài đặt chạy chương trình/phần mềm khơng phép ▪ Sử dụng máy tính cơng ty làm việc riêng ▪ Sử dụng loại phương tiện làm việc khác điện thoại công ty mức vào việc riêng Cám ơn ! ... nhanh chóng QUẢN LÝ AN TỒN THƠNG TIN • Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: QUẢN LÝ AN TỒN THƠNG TIN ❖ Đánh giá rủi ro ATTT (Security risk assessment) • Là phận quan... liên quan đến ATTT ▪ Luật CNTT số 67/2006/QH11 Quốc hội, ngày 12/07/2006 ▪ Nghị định số 90/20 08/ NÐ-CP Chính Phủ "Về chống thư rác", ngày 13/ 08/ 20 08 ▪ Quyết định số 59/20 08/ QÐ-BTTTT Bộ Thông tin... quản lý an tồn thơng tin (Information Security Management System): ▪ Cung cấp chi tiết cho thực chu kỳ Lập kế hoạch – Thực – Kiểm tra – Hành động (Plan-Do-Check-Act) ▪ ISO 27001 cung cấp thông