Nghiên cứu mô hình đánh giá rủi ro an toàn thông tin và ứng dụng trong cơ quan nhà nước

62 Trang 3 DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT, ĐỊNH NGHĨA Viết tắt Viết đầy đủ bằng tiếng Anh Định nghĩa Spam Stupid Pointless Annoying Messages Là một thuật ngữ chỉ việc gửi hàng loạt t

Vấn đề an toàn thông tin hiện nay

Vấn đề an toàn thông tin ngày nay được xem là một trong những quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên, kỹ thuật, khoa học xã hội và kinh tế Cùng với sự phát triển mạnh mẽ của công nghệ như hiện nay, việc thu thập, xử lý thông tin khá dễ dàng và nhanh chóng Song song với sự phát triển này, cùng với cách quản lý nhân lực, tài sản nói chung và tài sản thông tin nói riêng của mỗi tổ chức, là sự phát triển của các loại hình đánh cắp thông tin, xâm nhập hệ thống thông tin trái phép, bao gồm cả bên trong nội bộ và bên ngoài cơ quan, tổ chức

Có thể nói cả thế giới ngày nay đang phải đối mặt với các vấn đề đánh cắp, rò rỉ thông tin hoặc vi phạm bản quyền riêng tư Chúng không còn là vấn đề của riêng ai, mà là vấn đề của tất cả chúng ta Tôi quan tâm đến sự nguy hiểm, tầm ảnh hưởng của những vấn đề đó đối với mỗi tổ chức Tôi muốn nhấn mạnh tầm quan trọng của việc đánh giá thực trạng vấn đề an toàn thông tin của mỗi tổ chức hiện nay Từ đó, chúng ta có những giải pháp để giải quyết, nhằm mục đích bảo vệ cơ quan, tổ chức của chúng ta trước khi thảm họa có thể xảy ra

1.1 Tình hình an toàn thông tin ở Việt Nam

Tình trạng vi phạm an toàn thông tin tại Việt Nam ngày một nghiêm trọng Việt Nam đang là nước bị tin tặc lộng hành khá phổ biến tuy lĩnh vực Internet của Việt Nam chưa được xem là phát triển cao trong khu vực Có rất nhiều các Website quan trọng liên quan đến tài chính, chứng khoán mặc dù đã được các tổ chức về an toàn cảnh báo nhiều lần nhưng tình trạng an toàn vẫn không được cải thiện Năm 2016 Vietnam Airline đã bị hacker tấn công và chiếm quyền kiểm soát trong nhiều giờ mới khắc phục được Thực tế đó phản ánh sự lơ là trong công tác an toàn thông tin, gián tiếp gây thiệt hại lớn về kinh tế: hệ thống máy tính bị đánh cắp, dữ liệu bị đánh cắp, gây thiệt hại cho cơ quan, tổ chức và khách hàng Tình trạng mua bán trên mạng bằng thẻ tín dụng đánh cắp, thẻ tín dụng giả đã không còn là chuyện hiếm từ vài năm trở lại đây

Tình hình an toàn mạng thông tin Việt Nam hiện nay còn rất nhiều thách thức, đặc biệt là nguồn nhân lực có trình độ còn thiếu trầm trọng, và sự đầu tư cho lĩnh vực này mới chỉ nhỏ giọt, ít được sự quan tâm và chưa đúng tầm Về môi trường pháp lý, sự chưa hoàn thiện và thiếu đồng bộ dẫn tới tình trạng không có chế tài đủ mạnh để răn đe các Hacker có hành vi phát tán Virus trên diện rộng và tấn công vào những hệ thống máy tính cơ quan, tổ chức để trục lợi Trong khi đó, khả năng công nghệ bị đánh giá là thiếu và yếu Hạ tầng mạng không đủ mạnh sẽ không thể đương đầu với những thách thức và đe dọa an toàn có mức độ tinh vi và chuyên nghiệp ngày càng cao Bên cạnh đó, mức đầu tư cho công nghệ thông tin tại Việt Nam vẫn còn ở mức thấp Do mức đầu tư hạn hẹp nên rất ít cơ quan, tổ chức có một bộ phận IT riêng, chủ yếu những công việc này chỉ giao cho cán bộ kiêm nhiệm Từ đó dẫn tới tình trạng an ninh, an toàn thông tin lỏng lẻo, có nhiều kẽ hở để kẻ xấu lợi dụng, trong khi các vụ tấn công hiện nay được tổ chức bài bản hơn, quy mô hơn, kín đáo hơn và mức độ

9 thiệt hại cũng lớn hơn

1.2 Tình hình an toàn thông tin trên thế giới

Cùng với sự phát triển nhanh chóng của mạng thông tin các phương thức tấn công mạng ngày càng trở nên tinh vi và nguy hiểm Hiện nay một số điểm mới trong các mối đe dọa càng trở nên khó tưởng tượng: các sự kiện và tấn công có mưu kế, có tổ chức với phương pháp thông minh, khó lường

Một số các thay đổi đáng kể là có liên quan đến mạng máy tính ma botnets và các mối đe dọa đối với bản tin và thiết bị di động Xét trên phạm vi chung thì gần đây spam và các mạng máy tính ma giảm đi đáng kể do chúng hoạt động offline, tuy nhiên các khảo sát cho thấy phần nhiều chúng đang chuẩn bị tiếp tục phát triển theo các cách khác Các hoạt động tội phạm hiện nay tiếp tục tập trung vào các bối cảnh công nghệ và an toàn thông tin Đầu năm 2011, phần mềm độc hại xuất hiện nhiều nhất trong lịch sử Các phần mềm chống vius giả tăng lên và Trojan đánh cắp mật khẩu vẫn thể hiện mức độ hoạt động ổn định Đồng thời, phần mềm độc hại Autorun và Koobface, đang được phổ biến toàn cầu, và nằm trong Top 5 trong xu hướng các đe dọa Những năm 2015, 2016 và 2017 đã xuất hiện phần mềm độc hại, tấn công vào hệ thống mạng nội bộ, chúng mã hóa tất cả dữ liệu đánh cắp được dẫn đến hậu quả vô cùng nghiêm trọng

Các con số thống kê hàng ngày cho thấy 49% các tấn công là các phần mềm độc hại Các số liệu cho thấy xu hướng của các đối tượng viết phần mềm độc hại, lừa đảo, mạng tội phạm, đang tiếp tục sử dụng các sự kiện hàng ngày, tin, thể thao, và các sự kiện lễ hội như mồi nhử cho các kế hoạch của chúng Xu hướng tấn công triển khai từ phía khách hàng tiếp tục giảm và trang đầu cho các tấn công dùng SQL thay đổi liên tục Các xu hướng mới gần đây là sự tăng nhanh các website lừa đảo và các website phần mềm mã độc nói chung

1.3 Đánh giá rủi ro ATTT hiện nay

Trong tình hình an toàn thông tin hiện nay, vấn đề quản lý đánh giá rủi ro ATTT ngày càng trở nên quan trọng và được coi là một yếu tố quyết định đến sự phát triển của các cơ quan, tổ chức Vấn đề đánh giá rủi ro đã và đang được nghiên cứu triển khai rất mạnh Các nước như Nga, Đức, Đan Mạch, Úc… đã đưa ra những sản phẩm thương mại như Callio Toolkit 17799 của cơ quan Callio Technologies, COBRA Risk Consultant của C&A Systems Security, Digital Security Office của Digital Security (Nga) Việc một số nước như Nga hàng năm đều tổ chức các khóa học và hội thảo về vấn đề phân tích và đánh giá rủi ro với sự tham gia của các chuyên gia về ANTT từ nhiều nước, đã cho thấy tầm quan trọng của vấn đề này Các sản phẩm này có một đặc điểm chung là đều dựa trên ISO 27001 song mỗi nước có cách áp dụng khác nhau phụ thuộc vào trình độ tổ chức, nhận thức và khả năng quản lý của nhà quản trị và cơ cấu tổ chức của hệ thống thông tin Chính vì lý do này việc áp dụng các sản phẩm trên nhiều khi không đáp ứng được điều kiện thực tế ở mỗi nước Ở Việt Nam, vấn đề đánh giá rủi ro hệ thống thông tin chủ yếu dựa vào cảm tính của các chuyên gia Một số sản phẩm của nước ngoài bắt đầu được sử dụng ở Việt Nam Tuy vậy việc sử dụng chúng còn mang tính chắp vá, thiếu

10 đồng bộ và chưa hiệu quả Nguyên nhân chính là giá thành các sản phẩm này rất đắt tiền Hơn nữa nhiều mô hình, phương pháp đánh giá rủi ro không phù hợp với mô hình quản lý của Việt Nam nên rất hạn chế áp dụng trong điều kiện thực tế

1.4 Một vài thuật ngữ và định nghĩa

- Asset (tài sản) Tài sản là toàn bộ những gì thuộc về tổ chức và nằm trong một môi trường cần được bảo vệ

- Asset valuation (Giá trị tài sản) Là giá trị tính bằng tiền cho một tài sản nào đó dựa trên chi phí thực và các chi phí khác Nó có thể bao gồm chi phí phát triển, bảo trì, quản trị, quảng cáo, hỗ trợ, sửa chữa và thay thế Nó cũng có thể bao gồm các giá trị khó xác định như độ tin tưởng của công chúng, sự hỗ trợ, mức độ hỗ trợ trong tăng trưởng năng suất, mức độ sở hữu tri thức, và lợi ích của việc sở hữu tài sản

- Threats (Mối đe dọa) Tất cả những sự cố tiềm tàng mà có thể gây ra những hậu quả không mong muốn cho tổ chức hay cho một tài sản cụ thể nào đó đều được gọi là Đe dọa Nó có thể là những hành động chủ động hoặc thụ động mà gây ra hư hại, phá hủy, thay đổi, mất mát, hoặc làm lộ thông tin, tài sản hoặc ngăn chặn truy cập đến tài sản Những Đe dọa có thể lớn hoặc nhỏ từ đó gây ra hậu quả tương ứng, có thể cố ý hay vô ý, có thể xuất phát từ con người, kỹ thuật, hay thậm chí là thiên nhiên

- Vulnerability (Lỗ hổng) Một lỗ hổng có thể là một sai lầm, rò rỉ, thiếu sót, lỗi, hạn chế, yếu điểm, nhạy cảm của một hạ tầng Công nghệ thông tin hay các đối tượng khác của tổ chức Nếu một lỗ hổng được khai thác thì có thể xảy ra hư hỏng hay mất mát đối với tài sản

- Exposure (Phơi nhiễm) Khái niệm này khá mới mẻ trong lĩnh vực công nghệ thông tin Nó được sử dụng nhiều trong Y học Trong Y học, khi các bác sĩ tiếp xúc với bệnh nhân, họ có nguy cơ bị lây nhiễm các bệnh từ bệnh nhân Người ta gọi đó là bị Phơi nhiễm Trong CNTT, Phơi nhiễm có nghĩa là hệ thống của chúng ta tiếp xúc với môi trường có nguy cơ bị tấn công như Internet Phơi nhiễm không phải là một Đe dọa thực sự đang xảy ra, nó chỉ có nghĩa là nếu có một lỗ hổng từ đó có thể khai thác được thì sẽ có khả năng một Đe dọa trở thành hiện thực

- Risk (rủi ro) Rủi ro là khả năng một Đe dọa xảy ra (khai thác một lỗ hổng) để gây ra nguy hiểm hoặc mất mát tài sản Nó được xác định bằng các đơn vị như xác suất, khả năng hay cơ hội Khả năng Đe dọa xảy ra càng nhiều thì Rủi ro được xác định càng lớn Khi viết dưới dạng công thức, Rủi ro được tính toán bằng Đe dọa x Lỗ hổng (Risk = Threat x vulnerability) Vì vậy, để giảm rủi ro, có thể giảm các Đe dọa hoặc giảm các lỗ hổng Toàn bộ mục tiêu của công việc bảo mật là ngăn chặn các rủi ro trở thành hiện thực

- Safeguards (Bảo vệ) Sự bảo vệ, hay còn gọi là sự đối phó là toàn bộ những việc gì mà loại bỏ các lỗ hổng bảo mật hay ngăn chặn các Đe dọa Ví dụ về một sự bảo vệ như cài đặt bản vá lỗi phần mềm, thay đổi cấu hình, thay đổi cấu trúc hệ thống, quy trình, cải tiến chính sách bảo mật,… Một cách khác, sự bảo vệ là tất cả các hành động hay sản phẩm mà giúp giảm thiểu rủi ro bằng các loại bỏ hay hạn chế các đe dọa và lỗ hổng bảo mật trong tổ chức

Đánh giá rủi ro

Có nhiều cách để phân loại rủi ro khác nhau Tùy từng mô hình cơ quan cụ thể lại có những rủi ro khác nhau, có những rủi ro xâm nhập từ bên ngoài cơ quan, cũng như phát sinh bên trong cơ quan Tuy nhiên, có 06 cách phân loại rủi ro chính dựa theo phương pháp truyền thống là rủi ro thảm họa, rủi ro chiến lược, rủi ro hoạt động, rủi ro tài chính, rủi ro danh tiếng và rủi ro luật pháp

Các thảm họa thiên nhiên, thảm họa do con người hoặc có sự tác động gián tiếp của con người (hỏa hoạn, chiến tranh, khủng bố)… làm ảnh hưởng đến hệ thống thông tin

Chiến lược và quản trị chiến lược quyết định sự sống còn, hưng thịnh hay suy vong của 1 tổ chức mà quản trị chiến lược cũng đồng nghĩa với quản trị rủi ro chiến lược (tầm nhìn, sứ mệnh, mục tiêu, các chính sách và biện pháp hành động)

Có 7 rủi ro chiến lược:

- Rủi ro dự án (dự án thất bại)

- Rủi ro từ khách hàng (khách hàng bỏ đi)

- Rủi ro từ chuyển đổi (sự thay đổi lớn về công nghệ hoặc hướng đi)

- Rủi ro từ đối thủ cạnh tranh duy nhất (xuất hiện đối thủ không thể đánh bại)

- Rủi ro thương hiệu (thương hiệu bị mất sức mạnh)

- Rủi ro ngành (ngành kinh doanh trở thành vùng phi lợi nhuận)

- Rủi ro đình trệ (cơ quan không tăng trưởng, thậm chí bị suy giảm)

Rủi ro hoạt động phát sinh từ khả năng thất thoát tiềm tàng do sự thiếu hoàn chỉnh và độ tin cậy của hệ thống Các Cơ quan có thể bị tấn công từ bên ngoài cũng như từ bên trong đối với hệ thống và các sản phẩm điện tử của mình Rủi ro hoạt động cũng có thể phát sinh từ việc nhầm lẫn của khách hàng, từ hệ thống được thiết kế hoặc lắp đặt không chính xác Rất nhiều tác động của các rủi ro này ảnh hưởng tới hoạt động của Cơ quan

Cơ quan có chủ động sắp xếp đủ nguồn tài chính cho các dự án của mình không? Việc sử dụng nguồn tài chính có được theo dõi và giám sát chặt chẽ không? Một số loại rủi ro lien quan đến tài chính như là :

- Rủi ro tín dụng: là rủi ro phát sinh khi đối tác không thanh toán một khoản nợ với đầy đủ giá trị, cho dù là điều này xảy ra vào thời điểm nợ đến hạn hoặc bất kỳ thời điểm nào sau đó

- Rủi ro thanh khoản: là rủi ro phát sinh khi Cơ quan không còn khả năng thực hiện các nghĩa vụ của mình khi đến hạn, mặc dù cuối cùng Cơ quan cũng có thể thực hiện các nghĩa vụ đó

- Rủi ro lãi suất: được hiểu là trạng thái rủi ro tài chính phát sinh do biến động lãi suất trên thị trường đảo ngược xu hướng dự kiến

- Rủi ro thị trường: là rủi ro thiệt hại của các trạng thái nội bảng và ngoại bảng phát sinh từ những biến động giá cả thị trường, kể cả biến động tỷ giá hối đoái

Rủi ro có thể phát sinh từ các vi phạm hay sự không tuân thủ các luật, các quy chế, các quy định hoặc các thông lệ, hoặc khi các quyền lợi cũng như nghĩa vụ hợp pháp của các bên trong một giao dịch đã được thiết lập Hệ thống có thể là phương tiện đối với những kẻ lừa đảo nếu như hệ thống không có quy định rõ ràng, cụ thể trong các giao dịch của mình trên mạng internet Các Cơ quan tham gia vào hoạt động trên mạng có thể gặp phải những rủi ro luật pháp liên quan đến việc tiết lộ thông tin khách hàng và việc bảo mật cá nhân Các cơ quan chọn

13 phương thức tăng cường các dịch vụ cho khách hàng bằng cách nối mạng Internet của ḿnh với các mạng khác cũng có thể đối mặt với rủi ro luật pháp Một kẻ xâm nhập trái phép có thể sử dụng mạng được kết nối này để lừa gạt một khách hàng của Cơ quan, và Cơ quan khi đó có thể là đối tượng khiếu kiện của khách hàng này

Rủi ro danh tiếng là rủi ro phát sinh những quan điểm tiêu cực của người sử dụng về Cơ quan dẫn đến tình trạng thiệt hại về tài chính hoặc mất khách hàng Rủi ro danh tiếng có thể kéo theo những hành động gây nên tình trạng kéo dài quan niệm không tốt trong dân chúng về hoạt động chung của Cơ quan, và như vậy khả năng thiết lập và duy trì mối quan hệ khách hàng sẽ trở nên khó khăn

Các sai lầm, vi phạm, yếu tố lừa đảo do một bên thứ ba gây ra có thể khiến một Cơ quan rơi vào trạng thái rủi ro danh tiếng Rủi ro danh tiếng cũng có thể phát sinh từ những vụ tấn công một cách cố ý đối với Cơ quan Một kẻ

“tin tặc” thâm nhập trái phép vào trang Web của một Cơ quan có thể sửa đổi trang này một cách cố ý nhằm tuyên truyền những thông tin không chính xác về

Cơ quan và sản phẩm của Cơ quan

Rủi ro hệ thống thông tin:

Theo bộ tiêu chuẩn đánh giá rủi ro Risk It của ISACA [10], rủi ro hệ thống thông tin được đánh giá quan trọng như các loại rủi ro trên Các rủi ro lĩnh vực công nghệ thông tin cần được quản lý, đánh giá trong các Cơ quan nhằm hạn chế những tác động tiêu cực ảnh hưởng đến hoạt động sản xuất kinh doanh

Rủi ro về mặt an toàn bảo mật:

Tầm quan trọng của đánh giá rủi ro ATTT

3.1 Nhận diện nhiệm vụ chiến lược Đánh giá rủi ro là một quá trình diễn ra thường xuyên bao gồm các tiến trình phân tích, lập kế hoạch, thực hiện, kiểm soát và giám sát các chính sách bảo mật đang được triển khai Ngược lại, đánh giá rủi ro được thực hiện tại các thời điểm thời gian nào đó (ví dụ như đánh giá mỗi năm một lần, đánh giá theo yêu cầu, vv…) và tiếp tục cho đến khi thực hiện tiếp cho lần đánh giá tiếp theo Đánh giá rủi ro cung cấp một cái nhìn tạm thời về các vấn đề rủi ro trong toàn bộ quá trình đánh giá rủi ro cảu tổ chức Mối quan hệ này được thể hiện thông qua hình 4

Hình 1.4 Mối quan hệ trong quá trình đánh giá Đánh giá rủi ro được coi là một trong những nhiệm vụ quan trọng và tiên quyết, giúp nhận diện, xác định danh mục rủi ro của cơ quan, bao gồm rủi ro có thể kiểm soát được cũng như rủi ro không kiểm soát được, sắp xếp các rủi ro theo mức độ ưu tiên và quyết định các biện pháp đối phó với rủi ro Các cơ quan hoạt động trong các lĩnh vực khác nhau và trong các thời kỳ từng kỳ khác nhau sẽ có danh mục rủi ro khác nhau

Hiện nay, có rất nhiều quy trình đánh giá rủi ro ra đời, chúng được sử dụng để quản lý và đánh giá nhiều loại rủi ro khác nhau như rủi ro tài chính, rủi ro hoạt động sản xuất, rủi ro trong các lĩnh vực y tế, bảo hiểm…Tuy nhiên trong nền kinh tế toàn cầu hóa, Công nghệ thông tin, mạng xã hội, môi trường internet ngày càng phổ biến rộng rãi, thì không ai có thể đoán trước được những nguy hại có thể xảy ra Hệ thống thông tin của Cơ quan có thể bị tê liệt, hay ngừng hoạt động bất kỳ lúc nào, thậm chí khi không triển khai các biện pháp đánh giá rủi ro ATTT kịp thời, có thể ảnh hưởng đến các quy trình đánh giá rủi ro khác

Vấn đề an toàn thông tin trên thế giới cũng như tại Viêt Nam đang diễn biến ngày càng phức tạp, đòi hỏi các Tổ chức Cơ quan phải xây dựng cho mình một quy trình Đánh giá rủi ro ATTT, trong đó đánh giá rủi ro ATTT phải được đặt lên hàng đầu Nhận biết được các nguy cơ rủi ro, các mỗi đe doạ, lỗ hổng công nghệ thông tin không phải chuyện dễ dàng, không phải Cơ quan nào cũng hiểu biết và nắm rõ được tài sản Cơ quan mình đang sở hữu Việc đánh giá rủi ro sẽ giúp cho Cơ quan tránh được những rủi ro tiềm ẩn, lường trước và phải chấp nhận những rủi ro nào mà không ảnh hưởng đến hoạt động của Cơ quan

3.2 Sự cần thiết nghiên cứu về mô hình và phương pháp đánh giá rủi ro

Hiện nay trên thế giới có nhiều phương pháp đánh giá rủi ro, đặc biệt là đánh giá rủi ro an toàn thông tin Đó có thể là các mô hình đánh giá rủi ro, cũng có thể là các tài liệu hướng dẫn, các bộ tiêu chuẩn được các tổ chức nghiên cứu soạn ra nhằm mục đích đánh giá rủi ro ATTT của Cơ quan

Do có quá nhiều mô hình đánh giá rủi ro ATTT cũng như các tiêu chuẩn đánh giá rủi ro, nên việc các tổ chức, Cơ quan lựa chọn mô hình đánh giá phù hợp với nhu cầu cụ thể của chính họ trở thành vấn đề thực sự khó khăn Những

19 mô hình hay tiêu chuẩn chung có thể cung cấp một cái nhìn toàn diện nhưng lại không liệt kê, hoặc liệt kê không đầy đủ tất cả các loại rủi ro mà một số tổ chức phải đối mặt trong bối cảnh hiện tại Điều đó dẫn đến việc họ không biết lựa chọn và đi theo một mô hình đánh giá rủi ro nào tốt nhất có thể áp dụng cho chính mình

Có nhiều phương pháp, mô hình đánh giá rủi ro có thể áp dụng cho hầu hết các loại rủi ro Tuy nhiên cũng có những phương pháp, chỉ đánh giá rủi ro chỉ đánh giá trong một lĩnh vực cụ thể Một số mô hình, phương pháp đánh giá rủi ro trước đây không thể theo kịp với tốc độ bùng phát của các loại rủi ro ATTT ngày càng mới và nguy hiểm

Việc nghiên cứu các mô hình đánh giá rủi ro ATTT thực sự trở nên quan trọng và cần thiết Đây là một công việc phức tạp, xử lý nhiều vấn đề liên quan đến việc phân tích nhiều công nghệ, con người, quy trình và cách chúng tương thích với nhau Lựa chọn mô hình, phương pháp đánh giá rủi ro có thể giúp cho các tổ chức, Cơ quan tự đưa ra những so sánh nhận định khác nhau, từ đó lựa chọn được mô hình phù hợp nhất với Cơ quan của mình.

Kết Luận Chương

Trong thời đại phát triển công nghệ thông tin hiện nay, một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là đầy đủ Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Do nhu cầu và tốc độ phát triển của ngành CNTT, nên hầu hết các hệ thống thông tin hiện nay đều là các hệ thống được kết nối với nhau Do đó, hệ thống khó bảo vệ và tiềm ẩn nhiều nguy cơ rủi ro, những điểm yếu an toàn thông tin dễ bị tấn công bởi các hoạt động xâm phạm

Các Cơ quan không thể loại bỏ hay giảm thiểu được tất cả các loại rủi ro một cách hoàn toàn đơn giản chỉ vì vấn đề tài chính hay những hạn chế thực tế mà họ gặp phải Thay vào đó, Cơ quan phải biết chấp nhận một mức độ rủi ro tồn đọng Đánh giá rủi ro là một tiến trình trong đánh giá rủi ro Đánh giá rủi ro tập trung vào nhận biết các mối đe dọa, phân loại tài sản, đánh giá các lỗ hổng an toàn thông tin, cung cấp những thông tin quan trọng để Cơ quan có thể lường trước rủi ro và giám sát triển khai công việc đạt hiệu quả

Mặc dù đánh giá rủi ro là bước rất quan trọng trong quản lý đánh giá rủi ro, nhưng có rất nhiều các tổ chức đã bỏ qua bước này, ảnh hưởng đến vấn đề ATTT của tổ chức Trong Chương tiếp theo, Luận văn sẽ tập trung nghiên cứu tìm hiểu mô hình đánh giá rủi ro ATTT theo bộ tiêu chuẩn ISO/IEC 27xxx và tìm hiểu một số mô hình đánh giá rủi ro khác dựa trên các tiêu chuẩn đánh giá đã được thế giới công nhận.

Giới thiệu chung

Với mỗi cơ quan, tổ chức khác nhau cũng có những nhu cầu về đánh giá rủi ro thông tin khác nhau Việc áp dụng các tiêu chuẩn đảm bảo an toàn thông

20 tin cho các cơ quan, tổ chức và cơ quan là biện pháp rất cần thiết để bảo vệ các tài sản thông tin của mình đồng thời chắc chắn sẽ tạo thêm sự tin tưởng của khách hàng và các đối tác Ở Việt Nam, xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin là một trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong các cơ quan nhà nước, nghị định số 64/2007/NĐ-CP do Chính phủ ban hành ngày 10/4/2007 đã quy định rõ cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin

Trên thực tế các hầu hết các cơ quan/tổ chức/cơ quan đều nhận thức được rất rõ sự cần thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông tin, tuy nhiên việc áp dụng trong thực tiễn còn rất hạn chế và gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuật quốc gia về ATTT hiện không đầy đủ; lúng túng trong lựa chọn các tiêu chuẩn áp dụng Do đó năm 2007, Bộ Bưu chính Viễn thông ban hành chỉ thị số 03/2007/CT-BBCVT khuyến cáo các cơ quan, tổ chức và cơ quan tham gia hoạt động Internet ba tiêu chuẩn cần thiết nhất cần nghiên cứu áp dụng trong công tác đảm bảo an toàn thông tin là: TCVN 7562; ISO 17799 và ISO 27001

Tiêu chuẩn ISO/IEC 27001 là một tiêu chuẩn trong bộ tiêu chuẩn Quốc tế ISO/IEC 27000 Bộ tiêu chuẩn được coi như là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức Trong Chương 2 này, Luận văn sẽ tập trung nghiên cứu 2 vấn đề chính sau :

Vấn đề thứ nhất, nghiên cứu an toàn thông tin, quản lý đánh giá rủi ro và đánh giá rủi ro ATTT đề cập trong bộ tiêu chuẩn ISO/IEC 27XXX

Vấn đề thứ hai, nghiên cứu các mô hình đánh giá rủi ro ATTT khác để so sánh và đề xuất áp dụng cho các cơ quan nhà nước

Phần tiếp theo sẽ tìm hiểu một số phương pháp đánh giá rủi ro ATTT hiện có trên thế giới Cụ thể 03 phương pháp đánh giá rủi ro ATTT hiện đang được áp dụng phổ biến là ISO/IEC 27005, NIST 800 – 30 và OCTAVE, trong đó mô hình và phương pháp đánh giá theo bộ tiêu chuẩn ISO/IEC 27XXX là quan trọng và phổ biến nhất Nội dung tiếp theo của chương trình bày tổng quan về 03 phương pháp và quy trình đánh giá rủi ro tương ứng Trên cơ sở đó tiến hành so sánh các phương pháp đánh giá, đưa ra được những ưu, nhược điểm của từng phương pháp khi triển khai áp dụng thực tế.

Mô hình đánh giá rủi ro theo Bộ tiêu chuẩn ISO/IEC 27XXX

Hình 5 Bộ tiêu chuẩn ISO/IEC 27XXX

Bộ tiêu chuẩn ISO/IEC 27000 (còn gọi là bộ ISO/IEC 27XXX) là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức

Bộ tiêu chuẩn ISO/IEC 27000 ra đời đánh dấu một bước phát triển trong lĩnh vực quản lý bảo mật hệ thống thông tin Nó có thể áp dụng được cho các tổ chức với quy mô và loại hình khác nhau Việc áp dụng mô hình hệ thống quản lý an ninh thông tin (ISMS), đánh giá các rủi ro an toàn thông tin trong tổ chức, sau đó triển khai các biện pháp quản lý an toàn thông tin sẽ giúp cho các tổ chức kiến trúc một mô hình quản lý hệ thống tiên tiến với những giải pháp an ninh tổng thể, chi phí hợp lý và hiệu quả

Bộ tiêu chuẩn ISO/IEC 27000 được xây dựng và phát triển dựa trên nền tảng các tiêu chuẩn BS 7799 - chuẩn về an ninh thông tin do Viện Tiêu chuẩn Anh quốc (British Standard Institude) phát hành lần đầu năm 1995

Tháng 10/2000, tổ chức Tiêu chuẩn hóa quốc tế (ISO) đã tiếp nhận BS

7799, chỉnh sửa và xuất bản dưới tên gọi ISO/IEC 17799:2000; 17799 được chỉnh sửa và bổ sung năm 2005, sau đó đổi tên thành bộ ISO/IEC 27000

Từ năm 2005 đến nay, bộ tiêu chuẩn ISO/IEC 27000 liên tục được cập nhật Hiện nay đã có 16 tiêu chuẩn trong bộ tiêu chuẩn này đã được ban hành, và một số khác hiện đang được xây dựng:

- ISO/IEC 27000:2012 - Information security management systems - Overview and vocabulary: tiêu chuẩn về các nguyên tắc và từ vựng

- ISO/IEC 27001:2013 - Information security management systems - Requirements: tiêu chuẩn về các yêu cầu hệ thống quản lý thông tin

- ISO/IEC 27002:2013 - Code of practice for information security management: tiêu chuẩn về mã thực hành hệ thống quản lý an ninh thông tin

- ISO/IEC 27003:2010 - Information security management system implementation guidance: tiêu chuẩn về hướng dẫn áp dụng hệ thống quản lý an ninh thông tin

- ISO/IEC 27004:2009 - Information security management -

Measurement: tiêu chuẩn về đo lường hệ thống quản lý an ninh thông tin

- ISO/IEC 27005:2011 - Information security risk management: tiêu chuẩn về quản lý rủi ro hệ thống quản lý an ninh thông tin

- ISO/IEC 27006:2011 - Requirements for bodies providing audit and certification of information security management systems: dành cho các tổ chức đánh giá và chứng nhận ISMS

- ISO/IEC 27007:2011 Information technology - Security techniques - Guidelines for information security management systems auditing: tiêu chuẩn về hướng dẫn kiểm toán các hệ thống quản lý an ninh thông tin

- IEC TR 27008:2011 - Guidelines for auditors on information security management systems controls: hướng dẫn cho kiểm toán viên về các biện pháp điều khiển hệ thống quản lý an ninh thông tin

- ISO/IEC 27010:2012 - Information security management for inter-sector and inter-organisational communications: quản lý an ninh thông tin cho ngành truyền thông nội bộ

- ISO/IEC 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002: hướng dẫn quản lý an ninh thông tin cho tổ chức viễn thông dựa trên 27002

- ISO/IEC 27031:2011 Guidelines for information and communications technology readiness for business continuity: hướng dẫn sẵn sàng công nghệ thông tin và truyền thông cho liên tục cơ quan

- ISO/IEC 27033-1:2009 - Network security overview and concepts: tổng quan và khái niệm an ninh mạng

- ISO/IEC 27034-1:2011 - Information technology - Security techniques - Application security - Overview and concepts: công nghệ thông tin - kỹ thuật an ninh - an ninh ứng dụng - Tổng quan và khái niệm

- ISO/IEC 27035:2011 - Information security incident management: quản lý sự cố an ninh thông tin

- ISO 27799:2008 - Information security management in health using ISO/IEC 27002: quản lý an ninh thông tin trong lĩnh vực y tế sử dụng 27002

Hiện nay, Số lượng các tổ chức đã áp dụng ISMS và đã được chứng nhận trên toàn thế giới khoảng 3000 tổ chức, trong đó nhiều nhất là tại Nhật Bản, Anh, Đài loan Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau Ba lĩnh vực được áp dụng nhiều là Viễn thông, Tài chính ngân hàng và Công nghệ thông tin

Tại Việt Nam đã có nhiều tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toàn thông tin, đảm bảo cho sự phát triển bền vững

Trong bộ tiêu chuẩn ISO/IEC 27XXX, có 3 tiêu chuẩn đề cập tới vấn đề quản lý rủi ro: Tiêu chuẩn ISO/IEC 27001 chỉ rõ những yêu cầu đối với hoạt động thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì và nâng cấp một ISMS để đảm bảo an toàn thông tin trước những rủi ro có thể xảy ra với tổ chức Tiêu chuẩn ISO/IEC 27002 đưa ra hướng dẫn và nguyên lý tổng quát cho việc khởi tạo, vận dụng,duy trì và nâng cao quản lý an ninh thông tin trong một tổ

23 chức Mục đích của chuẩn này là cung cấp hướng dẫn tổng quan nhằm đạt được các mục tiêu thường gặp trong việc quản lý an ninh thông tin Còn ISO/IEC

27005 là hướng dẫn quản lý rủi ro an ninh thông tin được thiết kế nhằm hỗ trợ triển khai an toàn thông tin một cách thỏa đáng dựa trên phương thức tiếp cận quản lý rủi ro

Hình 6 Tiến trình đánh giá rủi ro trong ISO/IEC 27005

2.2 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001

2.2.1 Khái niệm trong hệ thống

Theo ISO/IEC 27001 (TCVN ISO/IEC 27001:2009), thông tin là một loại tài sản, giống như những tài sản quan trọng khác, thông tin có giá trị đối với một tổ chức và do đó cần được bảo vệ một cách hợp lý

An toàn thông tin (information Security) là bảo vệ thông tin trước các nguy cơ mất an toàn nhằm đảm bảo ba thuộc tính đó là: tính bảo mật (confidentiability), tính toàn vẹn (integrity) và tính sẵn sàng (availability)

Hình 7 Ba thuộc tính của dữ liệu và dịch vụ

Tính bảo mật: Đảm bảo thông tin không bị phơi bày trước cá nhân, thực

24 thể hoặc các tiến trình không được phép

Tính toàn vẹn: Đảm bảo sự chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin

Tính sẵn sàng: Đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu

2.2.2 Cách tiếp cận theo qui trình

Tiêu chuẩn này chấp nhận việc tiếp cận theo quy trình để thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống ISMS của tổ chức

Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý để chuyển đổi các đầu vào thành đầu ra thì đều được coi là một quy trình Thông thường đầu ra từ quy trình này là đầu vào của quy trình tiếp theo

Các mô hình đánh giá rủi ro ATTT khác

Ngoài mô hình đánh giá rủi ro theo bộ tiêu chuẩn ISO/IEC 27XXX, hiện nay có nhiều mô hình, phương pháp đánh giá rủi ro ATTT khác Những mô hình này có mục tiêu chung là nhằm ước lượng, đánh giá rủi ro của các cơ quan, tổ chức Việc lựa chọn các mô hình đánh giá rủi ro dựa vào các tiêu chí sau :

- Tài liệu tham khảo cấp cao ISO Guide 73

- Các phương pháp không được phân loại như là đánh giá rủi ro hay đánh giá rủi ro

- Một số phương pháp quản lý chung chung, không cụ thể như COBIT, BASEL II

- Một số sản phẩm hay tài liệu liên quan đến đánh giá an ninh hệ thống cũng không được xem xét Đây là danh sách không đầy đủ các mô hình đánh giá rủi ro mà luận văn tìm hiểu trong quá trình nghiên cứu bao gồm: OCTAVE, ISO 27005, NIST SP800-30 Trong đó mô hình theo bộ tiêu chuẩn ISO/IEC 27XXX đã được nghiên cứu phần trước đó Phần này sẽ trình bày một cách tổng quan về các mô hình khác Phần 4 tiến hành so sánh đánh giá 03 mô hình đang được áp dụng rộng rãi hiện nay là ISO 27005, NIST SP800 – 30 và OCTAVE

Hình 10 Mô hình đánh giá rủi ro ATTT OCTAVE

Octave là mô hình đánh giá rủi ro ATTT mà các tổ chức thường sử dụng để tự mình đánh giá Nó được thiết kế sử dụng để mọi người trong Tổ chức có thể quản lý và trực tiếp đánh giá rủi ro cho tổ chức của mình Tổ chức phải tự mình đánh giá và có một cách nhìn tổng quan về vấn đề rủi ro

Octave nhận biết những thông tin liên quan đến tài sản như thông tin và hệ thống là quan trọng đối với tổ chức và việc tập trung phân tích rủi ro dựa trên những tài sản được đánh giá là quan trọng nhất (tập trụng không quá 5 loại tài sản) Octave tập trung đánh giá thông tin trong bối cảnh cách mà thông tin được sử dụng, được lưu trữ, vận chuyển, xử lý và bằng cách nào đó thông tin bị đe dọa bởi các các mối đe dọa, lỗ hổng ATTT

Octave có thể được tiến hành, thực hiện, được hỗ trợ tài liệu hướng dẫn, bảng câu hỏi được đưa vào mô hình đánh giá Tuy nhiên, Octave cũng thích hợp cho cá nhân sử dụng những người muốn thực hiện đánh giá rủi ro mà không cần mở rộng sự tham gia của tổ chức, chuyên gia, đầu vào Octave cũng có những phiên bản phù hợp với nhu cầu khác nhau của tổ chức

Tuy nhiên, Octave không có một công cụ phần mềm hay bảng Excel để tiến hành xử lý đánh giá Nó chỉ cung cấp tài liệu giấy cần thiết cho việc đánh giá rủi ro ATTT Mô hình đánh giá rủi ro OCTAVE gồm 03 giai đoạn :

Giai đoạn 1: Lập hồ sơ mối đe dọa dựa trên tài sản - Đây là một sự đánh giá của tổ chức nhân viên trong tổ chức đóng góp quan điểm của mình về những gì là quan trọng đối với tổ chức (những tài sản thông tin liên quan đến) và những gì đang được thực hiện để bảo vệ những tài sản này Nhóm nghiên cứu

40 phân tích tổng hợp các thông tin và lựa chọn các tài sản quan trọng nhất đối với các tổ chức, sau đó đưa ra các yêu cầu bảo mật ATTT, nhận biết và lập hồ sơ cho các mối đe dọa đó Giai đoạn này gồm 4 bước :

Bước 1 – Nhận biết kiến thức quản lý cấp cao

Bước 2 – Nhận biết kiến thức quản lý khu vực hoạt động

Bước 3 – Nhận biết kiến thức nhân viên

Bước 4 - Tạo hồ sơ mối đe dọa

Giai đoạn 2: Nhận biết các lỗ hổng cơ sở hạ tầng - Đây là giai đoạn đánh giá cơ sở hạ tầng thông tin Nhóm phân tích xác định hệ thống CNTT trọng điểm, các thành phần có liên quan đến tài sản quan trọng Nhóm sẽ tiến hành kiểm tra, phân tích những điểm yếu (lỗ hổng CNTT) dẫn đến những hành động trái phép, ảnh hưởng đến tài sản thông tin.Giai đoạn này gồm 2 bước :

Bước 5 - Xác định các thành phần chính

Bước 6 - Đánh giá các thành phần được lựa chọn

Giai đoạn 3: Xây dựng Chiến lược và Kế hoạch ATTT - Trong phần đánh giá này nhóm phân tích xác định rủi ro đối với tài sản quan trọng của tổ chức và quyết định phải làm gì với chúng Nhóm nghiên cứu, lập ra một chiến lược bảo vệ cho tổ chức và kế hoạch giảm thiểu các rủi ro đối với tài sản quan trọng, dựa trên phân tích những thông tin thu thập được Giai đoạn này gồm 2 bước :

Bước 7 - Tiến hành phân tích rủi ro

Bước 8 - Xây dựng kế hoạch giảm thiểu bảo vệ Đầu tiên OCTAVE xác định tiêu chí đánh giá rủi ro đối với tác động và xác suất, thiết lập một hiểu biết chung về đánh giá rủi ro định tính (cao, trung bình, thấp) Sau đó các giá trị (cao, trung bình, thấp) được gán cho mỗi rủi ro / tác động dựa trên các tiêu chí đánh giá

Phương pháp này sử dụng một giá trị kỳ vọng Matrix (Tổn thất = tác động / hậu quả x Xác suất)

NIST SP 800-30 là một tiêu chuẩn được phát triển bởi Viện Tiêu chuẩn và Công nghệ, được công bố như là một tài liệu đặc biệt xây dựng để đánh giá nguy cơ bảo mật thông tin, đặc biệt là nó liên quan đến hệ thống CNTT

NIST SP 800-30 là tài liệu hướng dẫn tiến dẩn để đảm bảo cơ sở hạ tầng CNTT từ góc độ kỹ thuật thuần túy NIST SP 800-30 là một trong những tiêu chuẩn đánh giá rủi ro đầu tiên, và hầu hết các tiêu chuẩn khác bị ảnh hưởng bởi nó Nó đã được sử dụng rộng rãi để đánh giá nguy cơ Infosec trên toàn cầu, có liên quan đến bất kỳ cơ quan với một thành phần CNTT Mô hình đánh giá gồm chín bước trong ba giai đoạn như sau:

- Giai đoạn 3 Giảm thiểu rủi ro

Hình 11 Mô hình đánh giá rủi ro ATTT theo NIST SP-800-30

NIST SP 800-30 là phương pháp đánh giá rủi ro ATTT triệt để, khi nói đến đăc tính của hệ thống Bắt đầu với phần cứng, hệ thống này được đặc trưng bởi phần mềm và giao diện hệ thống Tiếp theo, các dữ liệu nằm trên hệ thống và những người có quyền truy cập vào nó được ghi nhận Cuối cùng, các đối tượng, giới hạn và chức năng của hệ thống được xác định

Một thành phần khác ở đây chính là việc nhận biết các dữ liệu quan trọng và tính nhạy cảm của nó, giúp trong việc đưa ra quan điểm để nhận biết các mối đe dọa

So sánh ba mô hình đánh giá rủi ro ATTT

Sự khác nhau về tổ chức triển khai

- NIST là hệ thống quản lý chính và cho phép bên thứ 3 thực hiện Đây là mô hình đánh giá rủi ro thích hợp nhất để đánh giá rủi ro công nghệ, kỹ thuật Tài liệu hướng dẫn của nó chủ yếu trình bày về chiến thuật, các vấn đê của tổ chức

- OCTAVE được các tổ chức, cơ quan triển khai áp dụng tự đánh giá rủi ro an toàn thông tin bên trong tổ chức của mình Chỉ có nguồn lực của tổ chức mới được phép thực hiện quá trình này Đánh giá rủi ro là một quá trình diễn ra thực tế bằng cách tổ chức tự thực hiện các cuộc hội thảo tiến hành phân tích, tổng hợp, phát hiện những rủi ro của tổ chức

- ISO/IEC 27005 bao gồm con người, Quy trình & Công nghệ và thường hướng tới cấp cao hơn, thực tiễn quản lý

• Nhóm đánh giá rủi ro

- NIST đề cập đến vai trò của nhóm đánh giá rủi ro trong quá trình trình triển khai nhưng không nhất thiết phải xây dựng một nhóm đánh giá rủi ro

- OCTAVE đề cập đến việc xây dựng một nhóm phân tích, đánh giá rủi ro gồm đại diện của cả hai bộ phận là kinh doanh và CNTT của tổ chức

- ISO 27.005 đề cập đến việc đúng nhóm người thuộc cả hai bộ phận kỹ thuật và kinh doanh phải tham gia vào việc đánh giá rủi ro

• Thu thập thông tin / Truyền thông

- NIST sử dụng kỹ thuật điển hình để thu thập thông tin như là câu hỏi, phỏng vấn và đánh giá tài liệu

- OCTAVE sử dụng một phương pháp tiếp cận bằng các buổi hội thảo dựa trên cả việc thu thập thông tin và đưa ra quyết định

- ISO/IEC 27005 sử dụng cùng một kỹ thuật được sử dụng trong NIST SP 800-30 bổ sung thêm việc quan sát các quá trình được đề nhắc trong các chính sách tổ chức

Sự khác nhau về kỹ thuật đánh giá rủi ro

- NIST không coi nguồn nhân lực như là một loại tài sản của Tổ chức

- Mô hình OCTAVE tìm cách xác định nguồn nhân lực, coi đó là một tài sản quan trọng liên quan đến vấn đề CNTT

- Mô hình ISO/IEC 27005 đặc biệt coi nguồn nhân lực là rất quan trọng trong việc đánh giá rủi ro ATTT bao gồm nhân viên Tổ chức, nhà thầu và nhân sự của bên thứ ba liên quan

- NIST dựa vào định nghĩa để quyết định sử dụng cho mục đích kiểm thử

- OCTAVE trong bước thứ 5, giai đoạn 2 của mô hình này, Tổ chức tiến hành cuộc hội thảo, mà thành phần tham gia chủ yếu là đội ngũ nòng cốt, sử dụng các bộ công cụ phần mềm đặc biệt cho những lỗ hổng ATTT được xác định trước đó

- ISO/IEC 27005 sử dụng công cụ kiểm định hệ thống và mạng để kiểm tra việc tuân thủ kỹ thuật

- NIST phát triển danh sách các yêu cầu bảo mật cho lĩnh vực quản lý ATTT, điều hành và kỹ thuật

- OCTAVE phụ thuộc vào thông tin của 3 danh mục hồ sơ bao gồm : Danh mục các hoạt động thực tiễn, hồ sơ các mối đe dọa và danh mục các lỗ hổng ATTT Những bộ hồ sơ này sau đó là cơ sở áp dụng cho Tổ chức thực hiện

- ISO/IEC 27005 bao gồm tất cả các biện pháp kiểm soát an ninh thông tin được quy định tại tiêu chuẩn ISO 27002 Và mỗi biện pháp gồm một số loại an ninh chính trên cơ sở đó tổ chức xác định các điều khoản, biện pháp để áp dụng.

Kết luận chương

Có rất nhiều mô hình, phương pháp đánh giá rủi ro ATTT được ra đời và áp dụng cho các Cơ quan hiện nay Trong đó, Bộ tiêu chuẩn ISO/IEC 27xxx được đưa vào sử dụng rộng rãi trên thế giới, nội dung tiêu chuẩn đã được sửa đổi nhiều lần để hoàn thiện và đáp ứng được nhiều loại mô hình tổ chức hơn

Bên cạnh một số mô hình đánh giá rủi ro nổi tiếng hiện nay như Octave hay NIST 800-30 thì Bộ tiêu chuẩn ISO/IEC 27xxx được áp dụng cho các cơ quan và tổ chức bởi nhiều lý do khác nhau như cho phép các cơ quan, tổ chức xác định được đúng mục tiêu, phạm vi và vai trò của hệ thống quản lý an toàn thông tin; Giảm thiểu các rủi ro và có biện pháp chủ động phòng chống các nguy cơ có thể xảy ra; Nâng cao nhận thức an toàn thông tin cho toàn bộ nhân viên trong tổ chức

Trong Chương tiếp theo, Luận văn sẽ áp dụng những kiến thức nghiên cứu được trong Chương 2 vào triển khai mô hình đánh giá rủi ro ATTT cho một cơ quan nhà nước Mô hình áp dụng theo bộ tiêu chuẩn ISO/IEC 27XXX, giúp cho cơ quan nhận biết được những rủi ro, điểm yếu trong hệ thống thông tin để đưa ra những biện pháp phòng tránh và giảm thiểu rủi ro trong hoạt động phát triển của cơ quan.

Hệ thống thông tin của Trung tâm Tin học và Thống kê

Hạ tầng mạng của Trung tâm Tin học và Thống kê gồm các thành phần sau:

- Kết nối Internet: Có ba đường Intermet của hai nhà cung cấp dịch vụ (ISP) khác nhau (1 Viettel, 2 VNPT) Các thiết bị mạng có Routers, LoadBalancing, Firewall, Switch

Trong mạng phân chia làm các vùng cơ bản như:

- Vùng mạng Internet (hay Untrusted Network): Còn gọi là ngoài mạng

- Vùng mạng DMZ Network: Đặt các máy chủ cung cấp dịch vụ trực tiếp ra mạng Internet là web server, mail server, proxy server

- Vùng Server Network (vùng Cơ sở dữ liệu): Đặt các máy chủ không trực tiếp cung cấp dịch vụ trực tiếp ra Internet là hệ thống xử lý hồ sơ và công việc

- Vùng VPN: Cho phép các đơn vị ở xa kết nối với Cơ quan qua hình thức VPN Client-Server

- Vùng mạng LAN: Đã chia VLAN để tách các Vụ, Cục thành một mạng con độc lập và đặt các máy chủ thuộc mạng nội bộ của đơn vị

Tổng số máy trạm trong mạng là: 38 máy trạm và 7 máy chủ

Hình 3.12 Sơ đồ mạng tổng quát của Bộ NN&PTNT do Trung tâm Tin học và Thống kê quản lý 1.3 Tổ chức và các thiết bị bảo đảm an toàn thông tin

Tổ chức mạng và các thiết bị bảo vệ ATTT của Trung tâm Tin học và Thống kê thuộc Bộ Nông nghiệp và Phát triển nông thôn gồm các thành phần sau:

- Đã phân tách được các vùng mạng cơ bản như: Vùng DMZ, vùng Cơ sở dữ liệu, vùng mạng LAN, vùng VPN bằng hệ thống Firewall

- Cisco Router 1800 làm nhiệm vụ NAT IP Private sang IP Public trước khi đi ra ngoài Internet

- Load Balancing đang dùng là F5 của hãng Juniper làm nhiệm vụ chia dung lượng đường truyền

- Firewall bảo vệ Internet hiện đang dùng SRX650 chạy nền Junos

- Thiết bị ghilog file (Proxy) đang dùng TMG2010 chạy trên nền Winserver

- Các đơn vị đều có Firewall bảo vệ mạng LAN và làm VPN về Trung tâm Tin học và Thống kê

- Các máy trạm và máy chủ cài đặt phần mềm diệt virus tập trung BKAV Trong mạng hiện nay đang chạy một số ứng dụng hệ thống gồm:

- Email, Web: Trang web thông tin nội bộ

- Phần mềm quản lý hồ sơ và công việc

- Phần mềm backup, AD, DNS, Anti-Virus

- Hệ điều hành chủ yếu chạy hệ điều hành Microsoft Windows

- Cơ sở dữ liệu hiện đang sử dụng MS SQL

Mô hình quản lý và phân quyền hiện nay:

- Có 3 nhóm Users: Người quản trị hệ thống, Người quản trị ứng dụng và người dùng

- Việc phân quyền người dùng được chia làm 2 loại: Người dùng thường và Admin

Hệ thống an toàn thông tin trong cơ quan có các đặc trưng sau:

- Đã xây dựng hệ thống chính sách, quy trình, quy định, hướng dẫn, biểu mẫu liên quan tới an toàn thông tin cho các đối tượng liên quan tuân thủ và áp dụng theo ISO/IEC 27XXX

Cơ sở trang thiết bị, vật chất tối thiểu cần thiết cho hệ thống thông tin:

- Hệ thống kiểm soát ra vào cơ quan: Có bảo vệ, cửa có khóa

- Hệ thống giám sát khu vực phòng máy chủ: Có thẻ từ, cửa từ, camera giám sát, thiết bị mạng

- Thiết bị an ninh: Firewall, core switch

- Thiết bị hỗ trợ vận hành: UPS, điều hòa phòng server, hệ thống phòng cháy chữa cháy, đường truyền Internet

- Thiết bị backup cho các dữ liệu quan trọng của Trung tâm

2 Nhu cầu đánh giá rủi ro ATTT

Mặc dù cơ quan đã sử dụng nhiều thiết bị và ứng dụng nhằm hạn chế rủi ro an toàn thông tin, song vẫn còn tiềm ẩn nhiều nguy cơ rủi ro gây ảnh hưởng tới hệ thống:

Các nguy cơ về kết nối và sử dụng Internet

- Kết nối Internet, nơi các nguy cơ mất an toàn rất cao Hiện hệ thống đang sử dụng thiết bị Firewall (Juniper SRX650)

Các nguy cơ tấn công do các Virus, malware và mã độc

Các con đường mà virus máy tính có thể tấn công vào như sau:

- Từ Internet vào hệ thống bên trong mạng khi kết nối vào mạng Internet: Người dùng truy cập các trang Web, sử dụng email có thể gây nguy cơ bị nhiễm virus cao

- Do người dùng sao chép dữ liệu từ đĩa mềm, đĩa CD, hay từ các thiết bị lưu trữ ngoài có nhiễm virus

- Từ chính các máy lây nhiễm trong mạng lây lan sang nhau

Khi người dùng kết nối ra ngoài Internet tiểm ẩn trong các trang web luôn có nguy cơ ảnh hưởng trực tiếp đến hệ thống và tài nguyên mạng Thêm vào đó là tấn công Phishing và Spyware nhằm ăn cắp thông tin nhạy cảm của người dùng

Các tấn công dạng Spam qua email cũng làm cho nghẽn băng thông, chậm tốc độ xử lý email, giảm hiệu xuất làm việc do phải xử lý thư rác

Các hành vi tấn công bao gồm:

- Các hành vi dò quét

- Các tấn công từ chối dịch vụ

- Các hành vi khai thác lỗ hổng bảo mật

- Tấn công kiểu con ngựa thành Troy

- Tấn công vào tầng ứng dụng Để giải quyết các vấn đề này cần phải có giải pháp tổng thể phòng chống các nguy cơ tấn công tại tất cả các điểm có nguy cơ xảy ra rủi ro Ví dụ: Sử dụng các phương pháp mã hóa dữ liệu, mật khẩu khi xác thực, sử dụng Firewall thông minh có khả năng chống tấn công tầng ứng dụng, cập nhật các lỗ hổng cho phần mềm ứng dụng, hệ điều hành, cài đặt phần mềm phòng chống virus, hay thiết bị phát hiện, chống xâm nhập trái phép (IPS/IDS)

Một vấn đề cần thiết đặt ra trong thực tế là xây dựng hệ thống quản lý an toàn thông tin, đặc biệt là xây dựng và áp dụng mô hình đánh giá rủi ro an toàn thông tin theo bộ tiêu chuẩn ISO/IEC 27xxx

3 Các tiêu chí đặt ra trong triển khai mô hình đánh giá rủi ro ATTT

Chính sách an toàn thông tin là bảo vệ thông tin khỏi những đe dọa trên mọi phương diện để đảm bảo sự liền mạch hoạt động của cơ quan, giảm thiểu rủi ro về việc mất mát và thất thoát thông tin của cơ quan Thông tin có giá trị cốt yếu để đảm bảo hoạt động của cơ quan do đó hệ thống thông tin cần được bảo vệ

Hệ thống thông tin phải đảm bảo:

- Sự phù hợp đối với các yêu cầu pháp luật, quy định chung của Nhà nước

- Tính bí mật của thông tin được đảm bảo: thông tin không thể bị tiếp cận bởi những người không có thẩm quyền

- Tính toàn vẹn của thông tin được duy trì: thông tin không thể bị sửa đổi, xóa hoặc bổ sung bởi những người không có thẩm quyền

- Tính sẵn sàng của thông tin được duy trì: thông tin luôn sẵn sàng đáp ứng nhu cầu sử dụng của người có thẩm quyền

- Tính không thể phủ nhận của thông tin được đảm bảo: người khởi tạo thông tin không thể phủ nhận trách nhiệm đối với thông tin do mình tạo ra

- Tính xác thực của thông tin được đảm bảo: xác định được nguồn gốc của thông tin Thông tin được bảo vệ khỏi các sự truy cập không được phép, thiết lập, duy trì và thử nghiệm kế hoạch phòng ngừa thảm họa trong cơ quan

- Đào tạo an toàn thông tin được thực hiện cho tất cả các cán bộ cơ quan

- Vi phạm về an toàn thông tin được thông báo cho cán bộ phụ trách an toàn thông tin và được điều tra nghiêm túc

Ban lãnh đạo cơ quan chịu trách nhiệm xem xét và ra quyết định trong việc duy trì, cải tiến hệ thống quản lý an toàn thông tin (ISMS) Tất cả những sự cố về an toàn thông tin cần được thông báo cho Trưởng phòng nơi xảy ra sự cố và cần được xử lý phù hợp Trưởng các phòng chịu trách nhiệm giới thiệu và duy trì chính sách, hỗ trợ và kiểm soát việc triển khai hệ thống ISMS trong nội bộ phòng mình Trưởng các phòng chịu trách nhiệm triển khai chính sách an toàn tin và đảm bảo nhân viên phòng mình thực hiện đúng theo quy định về an

50 toàn thông tin Nhóm chuyên trách về an toàn thông tin có trách nhiệm đánh giá và đánh giá rủi ro để đảm bảo sự phù hợp của các biện pháp kiểm soát nhằm duy trì và cải tiến hệ thống an toàn tin của cơ quan

Nhu cầu đánh giá rủi ro ATTT