AN TOÀN THÔNG TIN (INFORMATION SECURITY) A N T O À N T H Ô N G TI N Người trình bày: Đàm Lê Anh Hiệp hội An toàn thông tin Việt nam - VNISA  Thông tin là gì?  An toàn thông tin là gì?  Rủi ro là gì?  Hướng dẫn về các tiêu chuẩn cho Công nghệ thông tin  Các trách nhiệm của người sử dụng CÁC NỘI DUN G CHÍ NH 2 ‘Thông tin là một Tài sản như các Tài sản quan trọng khác trong công việc – Có giá trị với tổ chức và cần được thường xuyên bảo vệ một cách phù hợp’ ‘Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected’ BS ISO 27002:2005 Th ôn g ti n 3 Vòng đời của Thôn g tin Thông tin có các trạng thái…  Khởi tạo  Lưu trữ  Tiêu hủy  Xử lý  Truyền phát  Sử dụng, khai thác (Mục đích riêng–mục đích chung)  Bị hỏng  Mất  Đánh cắp 4 CÁC DẠNG GHI NHẬN THÔNG TIN TYPES  In ra giấy  Lưu giữ dưới dạng bản ghi điện tử  Truyền phát dưới dạng điện tử  Xem dưới dạng băng video  Hiển thị, đăng tải trênWeb  Truyền miệng ‘Bất kỳ định dạng nào của thông tin được lưu giữ và chia sẻ cần luôn được bảo vệ thích đáng’ …Whatever form the information takes, or means by which it is shared or stored, it should always be appropriately protected’ (BS ISO 27002:2005) 5 AN TOÀ N THÔ NG TIN An toàn thông tin là gì?  An toàn thông tin: các đối tượng Tài sản thông tin tránh khỏi mọi sự nguy hiểm  An toàn thông tin được thực hiện dựa trên một loạt kế hoạch hành động  An toàn thông tin được thực hiện đồng thới trên một loạt kế hoạch hành động hoặc phối hợp với các kế hoạch khác  An toàn thông tin được coi như cần thiết để bảo vệ các tiến trình chính cũng như hệ thống có chứa các tiến trình đó  An toàn thông tin không chỉ là cái gì đó phải mua mà là việc bạn phải làm. 6  An toàn thông tin là việc phối hợp thống nhất của các công cụ, các hệ thống, các giải pháp, phần mềm, cảnh báo và dò quét các lỗ hổng bảo mật An toàn thông tin là gì?  ATTT là tất cả các yếu tố trên và không được coi chỉ có thiết bị và công cụ  Giám sát 24X7X365  Bao hàm cả yếu tố con người, quy trình, Công nghệ, Chính sách, Thủ tục (People, Processes, Technology, policies, procedures,) A N T O À N T H Ô N G TI N 5/28/14 7 Mohan Kamat Cá c th àn h ph ần Con người Quy trình CÔNG NGHỆ C á n b ộ c ô n g n h â n v i ê n , n g ư ờ i l a o đ ộ n g Q u y t r ì n h l à m v i ệ c C ô n g n g h ệ đ ư ợ c t ổ c h ứ c s ử d ụ n g Co n ng ườ i Con người – Chúng ta là ai? Con người khai thác sử dụng hoặc có liên quan đến thông tin bao gồm: • Sở hữu hoặc đồng sở hữu thông tin • Quản trị thông tin • Người lao động, cán bộ công nhân viên • Đối tác • Các nhà cung cấp dịch vụ • Nhà thầu • Khách hàng • Lãnh đạo các cấp 5/28/14 9 Mohan Kamat Quy trình – Chúng ta làm gì? • Quy trình được hiểu như các công việc thực tế, các tiến trình công việc. Quy trình bao gồm các bước làm việc lặp đi lặp lại nhằm hoàn thành các công việc cụ thể. Các nghiệp vụ ứng dụng Công nghệ thông tin thường chứa đựng rất nhiều quy trình • Quản trị dịch vụ • Quản trị lỗi • Quản trị thay đổi • Thực hiện hoàn thiện yêu cầu • Quản trị Tài sản • Quản trị nhận dạng xác thực • Quản trị hợp đồng dịch vụ • Quản trị mua sắm Q uy trì nh 10 [...]... truyền thông và vận hành – Nhằm đảm bảo sự vận hành các phương tiện xử lý thông tin đúng đắn và an toàn • Quản lý truy cập – Quản lý truy cập thông tin và các quá trình cơ sở xử lý thông tin • Tiếp nhận, phát triển và duy trì các hệ thống thông tin – Bảo đảm An toàn thông tin là phần không thể thiếu trong các hệ thống thông tin • Quản trị các sự cố ATTT - Nhằm đảm bảo các sự kiện An toàn thông tin và... an toàn vật lý và môi trường Quản lý truy cập Quản lý truyền thông và vận hành 33 Các Vùn g biện pháp quản lý • Chính sách An toàn thông tin – Định hướng quản lý và hỗ trợ đảm bảo An toàn thông tin • Tổ chức nội bộ – Nhằm quản lý An toàn thông tin bên trong tổ chức • Quản lý tài sản – Nhằm hoàn thành và duy trì các biện pháp bảo vệ thích hợp đối với tài sản thông tin của tổ chức • Đảm bảo An toàn thông. .. Tài sản thông tin khi cần thiết 14 Vi phạm An toàn thông tin sẽ dẫn đến các hậu quả… • Mất uy tín, thương hiệu • Thiệt hại tài chính • Mất mát sở hữu trí tuệ • Vi pham pháp luật (Luật An toàn thông tin) • Mất thông tin cá nhân • Tăng chi phí do gián đoạn kinh doanh MẤT UY TÍN 5/28/14 Mohan Kamat 15 A n to àn th ôn g ti n • An toàn thông tin là vấn đề tổ chức hơn là vấn đề của Công nghệ thông tin • Hơn... Improve Managed Information Security CHECK Monitor & Review ISMS Mohan Kamat 31 P D CA Các Vùn g biện pháp quản lý Chính sách An toàn thông tin Quản lý sự tuân thủ Quản lý sự liên tục của hoạt động nghiệp vụ Tổ chức nội bộ ảo B To àn ật m vẹ n Quản lý tài sản THÔNG TIN Đảm bảo An toàn thông tin từ nguồn nhân lực Quản lý sự cố An toàn thông tin Sẵn sàng Tiếp nhận, phát triển duy trì các hệ thống thông tin. .. việc An toàn thông tin có ý nghĩa sống còn với các tổ chức 5/28/14 Mohan Kamat 13 A n to àn th ôn g ti – n ISO 27002:2005 mô tả An toàn thông tin như sự đảm bảo các thuộc tính sau của thông tin: Tính mật - Đảm bảo chỉ thông tin không Confidentiality cung cấp cho những người những người phép – – Tính toàn vẹn - Integrity Tính Sẵn sàng - Availability 5/28/14 CIA Mohan Kamat không được Đảm bảo thông tin. .. thực tế đảm bảo An toàn thông tin 1995 • BS 7799 được ban hành và là chuẩn An toàn thông tin của Vương quốc Anh 1999 • BS 7799 - 1:1999 ban hành lần 2 2000 BS 7799 - 1 Được ISO chấp nhận là chuẩn quốc tê ISO 17799 • BS 7799-2:2002 Được phát hành • 5/28/14 Mohan Kamat 27 Giới thiệu về ISO 2700 1 Lịch sử • ISO 27001:2005 Information technology — Security techniques — Information security management systems... gồm không chỉ An toàn trong Công nghệ thông tin mà toàn bộ vấn đề về thông tin Bao gồm Con người, Quy trình, Công nghệ Covers People, Process and Technology PPT Hơn 7400 tổ chức trên toàn có chứng nhận Bao gồm 11 vùng, 39 nhóm biện pháp quản lý, 133 biện pháp quản lý Mohan Kamat 30 PDCA PROCE SS Quy trình PDCA ISMS PROCESS Interested Parties Interested Parties Management Responsibility PLAN Establish... thiết bị an toàn sinh trắc( vân tay, mống mắt, …) Hệ thống kiểm soát môi trường (Điều hòa nhiệt độ, độ ẩm, quạt gió, báo cháy) Điện lưới và nguồn điện dự phòng Các thiết bị • • • 5/28/14 Máy tính để bàn Máy tính xách tay, thiết bị di động, máy tính bảng Máy quay KTS, máy in, máy quét ảnh, máy sao chụp tài liệu Mohan Kamat 12 A n to àn th ôn g ti n An toàn thông tin 1 2 3 4 5 Bảo vệ thông tin trước... Nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng đã ký kết và tránh sự vi phạm các yêu cầu về đảm bảo An toàn thông tin To avoid breaches of any criminal and civil law, statutory, regulatory or contractual obligations and of any security requirements 5/28/14 Mohan Kamat 36 ... chức • Đảm bảo An toàn thông tin từ nguồn nhân lực – Đảm bảo nhân viên, người của nhà thầu và bên thứ ban hiểu rõ trách nhiệm của mình và phù hợp với vai trò giảm thiểu với các rủi ro do đánh cắp, gian lận lạm dụng chức năng, quyền hạn • Đảm bảo an toàn vật lý và môi trường – Nhằm ngăn chặn sự truy cập vật lý, làm hư hại và cản trở thông tin và tài sản của tổ chức 5/28/14 Mohan Kamat 34 Các Vùn g biện . protected’ (BS ISO 27002:2005) 5 AN TOÀ N THÔ NG TIN An toàn thông tin là gì?  An toàn thông tin: các đối tượng Tài sản thông tin tránh khỏi mọi sự nguy hiểm  An toàn thông tin được thực hiện dựa. AN TOÀN THÔNG TIN (INFORMATION SECURITY) A N T O À N T H Ô N G TI N Người trình bày: Đàm Lê Anh Hiệp hội An toàn thông tin Việt nam - VNISA  Thông tin là gì?  An toàn thông tin là. ti n An toàn thông tin có ý nghĩa sống còn với các tổ chức An toàn thông tin 5/28/14 13 Mohan Kamat ISO 27002:2005 mô tả An toàn thông tin như sự đảm bảo các thuộc tính sau của thông tin: – Tính