Khái quát về quản lý ATTT ❖Tài sản (Asset) trong lĩnh vực ATTT là thông tin, thiết bị, hoặc các thành phần khác hỗ trợ các hoạt động có liên quan đến thông tin. ❖Tài sản ATTT có thể gồm: ▪ Phần cứng (máy chủ, các thiết bị mạng,…) ▪ Phần mềm (hệ điều hành, các phần mềm máy chủ dịch vụ,…) ▪ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh,…)
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Chương VIII QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Quản lý an tồn thơng tin Giới thiệu chuẩn quản lý ATTT ISO/IEC 27000 Pháp luật sách ATTT Vấn đề đạo đức ATTT 1.Quản lý an tồn thơng tin Khái quát quản lý ATTT ❖Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin ❖Tài sản ATTT gồm: ▪ Phần cứng (máy chủ, thiết bị mạng,…) ▪ Phần mềm (hệ điều hành, phần mềm máy chủ dịch vụ,…) ▪ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh,…) 1.Quản lý an tồn thơng tin Khái quát quản lý ATTT ❖Quản lý an tồn thơng tin (Information security management) tiến trình (process) nhằm đảm bảo tài sản quan trọng quan, tổ chức, doanh nghiệp bảo vệ đầy đủ với chi phí phù hợp; ❖Quản lý ATTT phải trả lời câu hỏi: ▪ Những tài sản cần bảo vệ? ▪ Những đe dọa có tài sản này? ▪ Những biện pháp thực để ứng phó với đe dọa đó? 1.Quản lý an tồn thơng tin ❖Quá trình quản lý ATTT cần thực liên tục theo chu trình do: ▪ Sự thay đổi nhanh chóng cơng nghệ: • Nhiều cơng nghệ, kỹ thuật cơng cụ xuất • Độ phức tạp hệ thống tăng nhanh ▪ Môi trường xuất rủi ro liên tục thay đổi: • Xuất nhiều cơng cụ cho cơng, phá hoại • Xuất nhiều mối đe dọa • Trình độ tin tặc nâng lên nhanh chóng 1.Quản lý an tồn thơng tin ❖Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: 1.Quản lý an tồn thơng tin ❖Đánh giá rủi ro ATTT (Security risk assessment) ▪ Là phận quan trọng vấn đề quản lý rủi ro; ▪ Mỗi tài sản tổ chức cần xem xét, nhận dạng rủi ro có đánh giá mức rủi ro; ▪ Là sở để xác định mức rủi ro chấp nhận với loại tài sản; ▪ Trên sở xác định mức rủi ro, đề biện pháp xử lý, kiểm soát rủi ro mức chấp nhận được, với mức chi phí phù hợp 1.Quản lý an tồn thơng tin ❖Các phương pháp tiếp cận đánh giá rủi ro: ▪ Phương pháp đường sở (Baseline approach) ▪ Phương pháp không thức (Informal approach) ▪ Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) ▪ Phương pháp kết hợp (Combined approach) Các phương pháp tiếp cận đánh giá rủi ro ▪ Phương pháp đường sở (Baseline approach) Mục đích Phương pháp đường sở thực thi kiểm soát an ninh mức dựa trên: ▪ Các tài liệu bản; ▪ Các quy tắc thực hành; ▪ Các thực tế tốt ngành áp dụng ❖ Ưu điểm: ▪ Khơng địi hỏi chi phí cho tài ngun bổ sung; ▪ Cùng nhóm biện pháp triển khai nhiều hệ thống ❖ Nhược điểm: ▪ Không xem xét kỹ đến điều kiện nảy sinh rủi ro; ▪ Mức cao: gây tốn kém, q thấp: gây an tồn ❖Phù hợp với tổ chức với hệ thống CNTT có quy mô nhỏ, nguồn lực hạn chế Các phương pháp tiếp cận đánh giá rủi ro ▪ Phương pháp không thức (Informal approach) ▪ Thực số dạng phân tích rủi ro hệ thống CNTT tổ chức cách khơng thức; ▪ Sử dụng kiến thức chuyên gia nhân viên bên tổ chức, nhà tư vấn từ bên ngồi; ▪ Khơng thực đánh giá toàn diện rủi ro tất tài sản CNTT tổ chức ❖Ưu điểm: ▪ Có thể thực nhanh với chi phí thấp; ▪ Tìm lỗ hổng xác biện pháp kiểm soát đưa phù hợp ❖Nhược điểm: ▪ Có thể rủi ro khơng xem xét kỹ, nên để lại nguy cao cho tổ chức; ▪ Kết đánh giá dễ phục thuộc vào quan điểm cá nhân ❖ Phù hợp với tổ chức với hệ thống CNTT có quy mơ nhỏ vừa, nguồn lực tương đối hạn chế Bộ chuẩn quản lý ATTT ISO/IEC 27000 Danh sách chuẩn Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖Các sách pháp luật có vai trị quan trọng việc đảm bảo an toàn cho thơng tin, hệ thống mạng: ▪ Trong vai trị nhân viên đảm bảo an tồn cho thơng tin quan trọng việc giảm thiểu rủi ro, đảm bảo an tồn cho thơng tin, hệ thống mạng giảm thiệt hại xảy cố; ▪ Các nhân viên đảm bảo an toàn cho thơng tin phải hiểu rõ khía cạnh pháp lý đạo đức ATTT: • Ln nắm vững mơi trường pháp lý luật quy định luật pháp; • Ln thực cơng việc nằm khuôn khổ cho phép luật pháp ▪ Thực việc giáo dục ý thức luật pháp đạo đức ATTT cho cán quản lý nhân viên tổ chức, đảm bảo sử dụng mục đích cơng nghệ đảm bảo ATTT Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖ Trách nhiệm tổ chức (Organization Liaibility): ▪ Trách nhiệm tổ chức trách nhiệm trước luật pháp tổ chức mở rộng ngồi phạm vi luật hình luật hợp đồng; ▪ Gồm trách nhiệm pháp lý phải hoàn trả đền bù cho hành vi sai trái; ▪ Nếu nhân viên công ty/tổ chức thực hành vi phạm pháp phi đạo đức, gây thiệt hại cho cá nhân, tổ chức khác, cơng ty/tổ chức phải chịu trách nhiệm pháp lý, tài chính; ▪ Ví dụ: Bảo vệ siêu thị giam giữ hành khách hàng gây thương tích: • NV bảo vệ bị bắt tạm giam để điều tra; • Siêu thị phải có trách nhiệm đền bù cho khách hàng Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖ Chính sách (Policy) Luật (Law): ▪ Trong tổ chức, nhân viên ATTT có trách nhiệm trì an tồn thơng qua việc thiết lập sách ATTT; ▪ Chính sách (cịn gọi quy định, nội quy) quy định hành vi chấp nhận nhân viên tổ chức nơi làm việc; ▪ Chính sách "luật" tổ chức có giá trị thực thi nội bộ, gồm tập quy định chế tài xử phạt bắt buộc phải thực hiện; ▪ Các sách/nội quy cần nghiên cứu, soạn thảo kỹ lưỡng; ▪ Chính sách cần đầy đủ, đắn áp dụng công với nhân viên; ▪ Khác biệt sách luật: • Luật ln bắt buộc; • Chính sách: thiếu hiểu biết sách cách bào chữa chấp nhận Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖ Các yêu cầu sách: ▪ Phổ biến (Dissemination): có khả phổ biến rộng rãi, tài liệu giấy điện tử; ▪ Xem xét (Review): Nhân viên xem, hiểu – cần thực nhiều ngôn ngữ, ví dụ tiếng Anh tiếng địa phương; ▪ Có thể hiểu (Comprehension): Chính sách cần rõ ràng dễ hiểu – tổ chức cần có điều tra/khảo sát mức độ hiểu biết/nắm bắt sách nhân viên; ▪ Tuân thủ (Obligation): Cần có biện pháp để nhân viên cam kết thực – thông qua ký văn cam kết tick vào ô xác nhận tuân thủ; ▪ Áp dụng đồng đều, bình đẳng (Uniform enforcement): Chính sách cần thực đồng đều, bình đẳng, qn, khơng có ưu tiên với nhân viên nào, kể người quản lý Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖ Các kiểu luật: ▪ Luật dân (Civil Law): luật điều chỉnh quan hệ dân tổ chức cá nhân quốc gia; ▪ Luật hình (Criminal Law): luật điều chỉnh hành vi gây hại cho xã hội nhà nước chủ động thực thi; ▪ Luật công cộng (Public Law): quy định cấu trúc đơn vị hành (quốc hội, phủ đơn vị trực thuộc), quan hệ công dân với công dân, tổ chức quan hệ với phủ nước khác; • VD: Hiến pháp, luật hành ▪ Luật riêng (Private Law): điều chỉnh quan hệ phạm vi hẹp, quan hệ gia đình, thương mại, lao động quan hệ cá nhận với tổ chức Pháp luật sách ATTT Luật quốc tế ATTT ❖Các luật ATTT Mỹ: ▪ ▪ ▪ ▪ ▪ Các luật tội phạm máy tính Các luật riêng tư Luật xuất chống gián điệp Luật quyền Luật tự thông tin ❖Các luật ATTT tổ chức luật quốc tế: ▪ ▪ Hội đồng châu Âu chống tội phạm mạng Hiệp ước bảo vệ quyền sở hữu trí tuệ Pháp luật sách ATTT Luật Việt Nam ATTT ❖ Luật An ninh mạng Việt Nam Quốc hội thông qua vào tháng năm 2018 có hiệu lực từ 1/1/2019: ▪ Quy định đầy đủ biện pháp phòng ngừa, đấu tranh, xử lý nhằm loại bỏ nguy đe dọa, phát xử lý hành vi vi phạm pháp luật không gian mạng ❖Một số văn khác có liên quan đến ATTT: ▪ Luật CNTT số 67/2006/QH11 Quốc hội, ngày 12/07/2006 ▪ Nghị định số 90/2008/NÐ-CP Chính Phủ "Về chống thư rác", ngày 13/08/2008 ▪ Quyết định số 59/2008/QÐ-BTTTT Bộ Thông tin Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số", ngày 31/12/2008 ▪ Quyết định 63/QÐ-TTg Thủ tướng CP "Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020", ngày 13/01/2010 ▪ Chỉ thị số 897/CT-TTg Thủ tướng CP "V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số", 10/06/2011 Pháp luật sách ATTT Luật Việt Nam ATTT ❖Một số văn khác có liên quan đến ATTT: ▪ Thơng tư số 23/2011/TT-BTTTT Bộ TT&TT "Quy định việc quản lý, vận hành, sử dụng bảo đảm an tồn thơng tin Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước", ngày 11/08/2011 ▪ Nghị định số 77/2012/NĐ-CP Chính Phủ "Sửa đổi, bổ sung số điều Nghị định số 90/2008/NĐ-CP ngày 13 tháng năm 2008 Chính phủ chống thư rác", ngày 05/10/2012 ▪ Nghị định 72/2013/NĐ-CP Chính Phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; quy định việc chia sẻ thông tin trang mạng xã hội ▪ Dự thảo Luật An ninh mạng được đưa lấy ý kiến Quốc hội chuyên gia năm 2017 Dự kiến thông qua năm 2018 Vấn đề đạo đức ATTT ❖ Nhiều tổ chức xã hội nghề nghiệp ban hành quy tắc ứng xử (Code of Conduct) bắt buộc nơi làm việc: ▪ Luật sư, bác sỹ vi phạm nghiêm trọng quy tắc ứng xử bị cấm hành nghề ▪ Các vận động viên thể thao vi phạm quy tắc ứng xử bị cấm thi đấu có thời hạn vĩnh viễn ❖ CNTT ATTT khơng có quy tắc ứng xử bắt buộc; ▪ Một số tổ chức nghề nghiệp ACM (Association for Computing Machinery) ISSA (Information Systems Security Association) hợp tác để đề quy tắc ứng xử ATTT; ▪ Tuy nhiên, quy tắc ứng xử ATTT có tính khuyến nghị mà tổ chức khơng có thẩm quyền buộc phải thực hiện; ▪ Hiệp hội ATTT Việt Nam công bố Bộ Qui tắc ứng xử ATTT vào đầu năm 2015, đưa số quy tắc khuyến nghị việc không làm cho thành viên nhân viên tổ chức hoạt động lĩnh vực ATTT Vấn đề đạo đức ATTT ❖Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) đề xuất Viện đạo đức máy tính (Mỹ): Khơng sử dụng máy tính để gây hại cho người khác; Không can thiệp vào công việc người khác máy tính; Khơng trộm cắp files máy tính người khác; Khơng sử dụng máy tính để trộm cắp; Khơng sử dụng máy tính để tạo chứng giả; Không chép sử dụng phần mềm quyền; Khơng sử dụng tài ngun máy tính người khác khơng phép khơng có bồi thường thỏa đáng; Khơng chiếm đoạn tài sản trí tuệ người khác; Nên suy nghĩ hậu xã hội chương trình xây dựng hệ thống thiết kế; 10 Nên sử dụng máy tính cách có trách nhiệm, đảm bảo quan tâm tôn trọng đến đồng bào Vấn đề đạo đức ATTT ❖Sự khác biệt vấn đề đạo đức văn hóa: ▪ Nhận thức vấn đề đạo đức sử dụng tài nguyên quan, tổ chức khác biệt quốc gia có văn hóa khác nhau; ▪ Trong nhiều hợp, hành vi phép số cá nhân quốc gia lại vi phạm quy tắc đạo đức quốc gia khác; ▪ VD: Vấn đề vi phạm quyền phần mềm nước tiên tiến Mỹ châu Âu mức tương đối thấp, mức cao nước châu Á châu Phi • Tỷ lệ vi phạm quyền phần mềm Việt Nam khoảng 90% ❖Vấn đề vi phạm quyền phần mềm: ▪ Vấn đề vi phạm quyền phần mềm mức nghiêm trọng, đặc biệt nước phát triển châu Á châu Phi; Vấn đề đạo đức ATTT ❖Vấn đề lạm dụng tài nguyên công ty, tổ chức: ▪ Một số cơng ty/tổ chức chưa có quy định cấm nhân viên sử dụng tài nguyên công ty, tổ chức vào việc riêng Một số có quy định chưa thực thi chặt chẽ chưa có chế tài xử phạt nghiêm minh; ▪ Các hành vi lạm dụng thường gặp: • In ấn tài liệu riêng; • Sử dụng email cá nhân cho việc riêng; • Tải tài liệu/files khơng phép; • Cài đặt chạy chương trình/phần mềm khơng phép; • Sử dụng máy tính cơng ty làm việc riêng; • Sử dụng loại phương tiện làm việc khác điện thoại công ty mức vào việc riêng TÓM TẮT CHƯƠNG Quản lý an tồn thơng tin Giới thiệu chuẩn quản lý ATTT ISO/IEC 27000 Pháp luật sách ATTT Vấn đề đạo đức ATTT 34 Thanks ... VIII QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Quản lý an tồn thơng tin Giới thiệu chuẩn quản lý ATTT ISO/IEC 27000 Pháp luật sách ATTT Vấn đề đạo đức ATTT 1 .Quản lý an tồn thơng tin Khái qt quản lý ATTT. .. với bên quan tâm; Đảm bảo cải tiến đạt mục tiêu 2 Bộ chuẩn quản lý ATTT ISO/IEC 27000 Danh sách chuẩn Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖Các sách pháp luật có vai trị quan trọng... Pháp luật sách ATTT Giới thiệu pháp luật sách ATTT ❖ Chính sách (Policy) Luật (Law): ▪ Trong tổ chức, nhân viên ATTT có trách nhiệm trì an tồn thơng qua việc thiết lập sách ATTT; ▪ Chính sách (cịn