TÓM TẮT LUẬN VĂN Mục đích của luận văn giúp các đơn vị hành chính công tại Thành Phố Hồ Chí Minh và thậm chí là các doanh nghiệp trong nước có cái nhìn tổng quan về việc áp dụng công ngh
TỔNG QUAN VỀ ĐỀ TÀI
Hình thành vấn đề
1.1.1 Thế giới - ĐTĐM đại diện cho một trong những thay đổi đáng kể nhất trong nền kỹ thuật thông tin mà nhân loại đang hướng tới, tiếp cận mục tiêu mà các chức năng tính toán được ứng dụng như là một tiện ích có tiềm năng lớn, hứa hẹn việc mở ra những tiến bộ công nghệ mà chúng ta chưa thể tưởng tượng
- Hào hứng và lo lắng là 2 viễn cảnh của khách hàng đối với ĐTĐM, họ hào hứng bởi do cơ hội tiết kiệm được nhiều loại chi phí, cơ hội để giảm bớt gánh nặng trong việc quản lý cơ sơ hạ tầng để thay vào đó là việc tập trung nhiều vào tăng cao năng suất trong việc khai thác triệt để năng lực cốt lỗi của hệ thống Hầu hết khách hàng mong đợi vào tốc độ triển khai ứng dụng để thích ứng với các chiến lược kinh doanh và các nhu cầu ngày càng mở rộng, tuy nhiên, họ cũng tỏ ra lo lắng về những rủi ro mà ĐTĐM mang lại đó là chính vì sự tự động hóa, tốc độ triển khai nhanh dẫn đến thiếu sót những cơ chế bảo mật cũng như sự mất kiểm soát vào hệ thống mà họ có trách nhiệm thực thi Chính vì lẽ đó, nhiều tổ chức đã nghiên cứu và đưa ra những giải pháp để hỗ trợ khách hàng cũng như chính nhà cung cấp dịch vụ ĐTĐM Cloud Security Alliance (CSA), một tổ chức phi lợi nhuận với một nhiệm vụ thúc đẩy việc sử dụng những cơ chế tốt nhất nhằm cung cấp các đảm bảo an toàn trong ĐTĐM, đã nghiên cứu và phát triển bộ “Hướng dẫn bảo mật cho các vấn đề thiếu an toàn trong ĐTĐM”, thành lập vào tháng 04 năm 2009 , cho đến nay bộ tài liệu này đã trở thành bột tài liệu chuẩn công nghệ về các vấn đề an toàn bảo mật trong ĐTĐM và đã được nhiều tổ chức trên thế giới quan tâm sử dụng để quản lý chiến lược ĐTĐM Một trong những nghiên cứu đã chỉ ra các rủi ro sẵn có khi triển khai hệ thống ĐTĐM nhằm cung cấp thông tin cho các nhà đầu tư trong việc tính toán rủi ro khi quyết định các chiến lược Cloud của họ, những rủi ro bao gồm : o Lạm dụng, sử dụng ĐTĐM trong các mục tiêu bất chính o Những giao diện lập trình ứng dụng không an toàn o Rủi ro đến từ bên trong o Lỗ hổng công nghệ bị chia sẽ o Rò rỉ/mất dữ liệu o Các tài khoản, dịch vụ và dữ liệu bị chiếm đoạt o Không quản lý những hồ sơ nặc danh
Trong khuôn khổ Chương trình Chính phủ Điện tử tại Thái Lan, Cơ quan Chính phủ Điện tử (EGA), chủ trì bởi Bộ Thông tin và Truyền thông, thúc đẩy ứng dụng công nghệ thông tin trong các dịch vụ hành chính công EGA triển khai hệ thống mạng thông tin chính phủ, kết nối 1199 cơ quan chính phủ, giúp loại bỏ lãng phí Hệ thống email chính phủ (Mailgo Thai) khuyến khích quan chức sử dụng email an toàn tại Thái Lan, hiện có 360 tên miền với 183.586 tài khoản email Ngoài ra, còn có các dự án đáng chú ý như hệ thống giám sát chính phủ, cổng thông tin điện tử chính phủ và dịch vụ điện toán đám mây của chính phủ, giúp giảm chi phí đầu tư CNTT và tối ưu hóa chia sẻ tài nguyên.
- Như vậy, tại sao lại áp dụng ĐTĐM vào hệ thống CPĐT, EGA nêu rõ : o Thứ nhất là về vấn đề ngân sách dành cho CNTT o Thứ hai là về những yếu kém về trình độ CNTT của người sử dụng o Thứ ba là những khuyết điểm về cơ sở hạ tầng CNTT như hệ thống an ninh thông tin, hệ thống sao lưu dự phòng, hệ thống điều hòa… o Và cuối cùng, một lý do không thể thiếu khi đầu tư vào một lĩnh vực nào đó, đó là sự ủng hộ, tán thành của hệ thống quản lý chính phủ Thái lan
- Ứng dụng ĐTĐM vào hệ thống CPĐT tại Singapore: o Lộ trình phát triển CPĐT của Singapore đã bắt đầu vào những năm 80 với mục tiêu đưa chính phủ vào tầm đẳng cấp thế giới về CNTT
Chương trình Máy tính hoá dịch vụ dân sự có chức năng làm việc tự động và giảm các công việc hành chính giấy tờ, dành thời gian, công việc cho những dự toán nội bộ hiệu quả hơn o Cuối những năm 90 chứng kiến sự hội tụ của CNTT và viễn thông mà đã làm thay đổi các quan niệm về cung cấp dịch vụ Điều này đã mở đường cho sự ra mắt của Kế hoạch hành động CPĐT lần I (2000 - 2003) và kế hoạch hành động CPĐT lần II (2003 - 2006) Mục tiêu chính của kế hoạch đầu tiên là tung ra càng nhiều dịch vụ công trực tuyến càng tốt, trong khi trọng tâm của kế hoạch thứ hai là nâng cao trải nghiệm dịch vụ của khách hàng o Một kế hoạch tổng thể về chính phu điện tử (có tên là iGOV master plan 2006 - 2010) được xây dựng trên nền tảng vững chắc và tập trung vào việc tạo ra một chính phủ công nghệ tích hợp hoạt động liên tục dưới lớp vỏ của chính phủ thuần túy nhằm phục vụ tốt hơn cho người dân o Hiện nay, CNTT đã trở thành một phần thiết yếu cho hành chính công và cung cấp dịch vụ tại Singapore Là kết quả của những nỗ lực CPĐT, Singapore đã liên tục được công nhận là tiên phong trong nghiên cứu chuẩn quốc tế lớn Nỗ lực sáng tạo trong việc sử dụng CNTT cũng đã thu hút được nhiều giải thưởng trong nước và trên toàn thế giới Quan trọng hơn, người dân và các doanh nghiệp của Singapore đã chấp nhận CPĐT Trong năm 2010, gần như 9 trong số 10 người dân và các doanh nghiệp bày tỏ sự hài lòng với chất lượng tổng thể của dịch vụ CPĐT
- Một trong 4 chương trình hành động cho chính phủ, xây dựng hệ thống CPĐT trên nền tảng ĐTĐM, ở đây gọi là đám mây chính phủ ( Government Cloud , viết tắt là G-Cloud) Nội dung chương trình có thể kể đến: o Về mục tiêu : mục tiêu của G-Cloud nhằm cung cấp môi trường CNTT chia sẽ an toàn, nó cho phép các tổ chức chính phủ có thể mua sắm, yêu cầu tài nguyên CNTT theo yêu cầu và phải được đáp ứng o Về nội dung: chính phủ Singapore hiểu rằng, mỗi một mô hình ĐTĐM cung cấp mức độ lợi ích và các cam kết cho riêng mô hình đó, chính như vậy, việc xây dựng một chiến lược ĐTĐM phù hợp cho chính phủ bằng cách xem xét các nhu cầu trong từng trường hợp để áp dụng một cách tiếp cận đa mô hình ĐTĐM bao gồm: tận dụng khả năng thương mại trên mô hình ĐTĐM công cộng để hưởng những lợi ích từ nguồn tài nguyên chí phí thấp, triển khai hệ thống ĐTĐM riêng cho toàn bộ hệ thống chính phủ nhằm đảm bảo tính an toàn trong hệ thống mà ĐTĐM công cộng không thể có được
Hình 1.1: Hệ thống CPĐT của Singapore
[Nguồn : http://www.egov.gov.sg/about-egov-introduction] o Chương trình triển khai chi tiết hệ thống CPĐT trên nền tảng ĐTĐM đảm bảo G-Cloud sẽ cung cấp các nguồn tài nguyên ĐTĐM hiệu quả, khả năng mở rộng và linh hoạt và sẽ được thiết kế để đáp ứng mức độ khác nhau của các yêu cầu bảo mật và quản trị, bao gồm 3 mức High Assurance Zone, Medium Assurance Zone, Basic Assurance Zone với 3 mức độ đảm bảo khác nhau về cung cấp dịch vụ an toàn Mục tiêu xa hơn là làm sao tổng hợp được tất cả các nhu cầu của toàn chính phủ nhằm tối thiểu hóa chi phí đầu tư, lúc đó chính phủ sẽ xác định và cung cấp ứng dụng theo mô hình phần mềm như dịch vụ (Sofware as a service - SaaS) như các phần mềm mà nhiều, rất nhiều tổ chức chính phủ sử dụng như ứng dụng phân tích kinh doanh, ứng dụng quản lý khách hàng, quản lý nội dung web, được triển khai trên G- Cloud
- Dự kiến mô hình này triển khai vào tháng 2 năm 2013
1.1.2 Trong nước - Năm 2012 được coi là năm của ĐTĐM khi nhiều doanh nghiệp đã và đang đưa ra các chiến lược cụ thể sử dụng nền tảng ĐTĐM, tuy nhiên các doanh nghiệp vẫn dè dặt trong việc lựa chọn đầu tư công nghệ đám mây khi vấn đề bảo mật vẫn chưa được các hãng đưa ra một cách triệt để Trong khi đó các dịch vụ trực tuyến đang dần trở thành một xu hướng của cả hai khối chính phủ và doanh nghiệp, chính phủ cũng đang tích cực đẩy mạnh đầu tư vào những dự án công trực tuyến như hộ chiếu, thuế…Trong bối cảnh đó, làm thế nào để hiện đại hóa hạ tầng công nghệ của tổ chức, đáp ứng được các nhu cầu cung cấp dịch vụ, tăng lợi thế cạnh tranh, vừa đảm bảo an toàn thông tin, bảo vệ các thông tin bảo mật của doanh nghiệp đang là một bài toán hóc búa dành cho doanh nghiệp cũng như của các cơ quan chính phủ
Như vậy công nghệ ĐTĐM được chính phủ cân nhắc áp dụng triển khai nhưng vấn đề bảo vệ dữ liệu vẫn là bài toán tối quan trọng mà chính phủ cân nhắc khi áp dụng
Hội thảo - Triển lãm Quốc gia ĐTĐM và An ninh bảo mật 2012 diễn ra từ ngày 21-23/03/2012 tại Hà Nội với chủ đề "An ninh bảo mật và Hiện đại hóa xã hội: Tạo dựng niềm tin, thúc đẩy sử dụng các dịch vụ xã hội hiện đại" Chuyên đề chính ĐTĐM World 2012, bên cạnh chuyên đề triển khai CPĐT và vấn đề bảo mật, đã đưa ra giải pháp ứng dụng ĐTĐM hiệu quả cho cả hai khối Chính phủ và doanh nghiệp, góp phần vào mục tiêu xây dựng chính phủ điện tử và thúc đẩy sự phát triển kinh tế - xã hội.
- Cho đến thời điểm hiện nay, các nghiên cứu về bảo mật dữ liệu, bảo mật về hệ thống đã xuất hiện khá nhiều nhưng bảo mật hệ thống ĐTĐM vẫn là rào cản lớn nhất quyết định liệu ĐTĐM có là công nghệ máy tính mới là ứng dụng tương lai của doanh nghiệp Trung tâm an ninh mạng BKIS cũng đã bắt tay vào nghiên cứu hệ thống ĐTĐM với lợi ích đã nhìn thấy được như tăng tập mẫu nhận diện virus từ 4 triệu lên 6,4 triệu, công nghệ ĐTĐM sẽ tiếp tục được nghiên cứu và ứng dụng trong những sản phẩm tiếp theo của đơn vị này Ông Vũ Ngọc Sơn - Giám đốc bộ phận nghiên cứu, Công ty Bkis cho biết: "Lợi ích của công nghệ ĐTĐM mang lại rất lớn Về phía nhà cung cấp dịch vụ chúng tôi có thể mở rộng hệ thống, cập nhật mẫu virus Về phía người sử dụng, khi BKAV triển khai công nghệ ĐTĐM vào người sử dụng sẽ được sử dụng dịch vụ cập nhật liên tục"
1.1.3 Lý do chọn đề tài - Có rất nhiều câu hỏi, ví dụ như, liệu các dịch vụ công nghệ thông tin được cung cấp từ các năng lực của ĐTĐM có thể được đặt tại cơ sở của doanh nghiệp (trong nội bộ) hoặc ở một nơi nào khác bên ngoài không? và các biện pháp an ninh nào đang bảo vệ các dịch vụ công nghệ thông tin trên nền tảng ĐTĐM – liệu đó sẽ là các tường lửa, thiết bị dò quét và phòng chống tấn công (IDS/IPS) truyền thống được sử dụng ở vành đai mạng doanh nghiệp hay ở bên ngoài vành đai đó Việc đảm bảo an toàn thông tin và các tài nguyên lưu trữ trên hệ thống máy tính hiện nay là một trong những ưu tiên hàng đầu, song song đó, việc xây dựng những hệ thống tính toán hoặc những ứng dụng có độ an toàn tuyệt đối gần như là không thể bởi sự phát sinh quá nhiều những lỗ hổng bảo mật, mục tiêu lợi ích kinh tế mà tin tặc đặt ra…Bởi thế, việc lựa chọn áp dụng một hệ thống ĐTĐM hiện nay có thể đã là lựa chọn của doanh nghiệp với lợi ích về khả năng tính toán cao và tối ưu dịch vụ nhưng cũng với cân nhắc về giải pháp bảo mật đi kèm
- Hơn nữa, Thủ tướng Chính phủ đã phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 Theo đó, đến năm 2020, các ứng dụng về CPĐT và thương mại điện tử đều được đảm bảo ATANTT ở mức cao nhất Quy hoạch đặt ra 4 mục tiêu tổng quát đến năm 2020, hệ thống thông tin trọng yếu quốc gia được đảm bảo ATANTT bởi các hệ thống bảo mật chuyên dùng có độ tin cậy cao
- Tháng 3/2009 Ủy Ban Nhân Dân TPHCM quyết định giao cho QTSC thực hiện dự án ứng dụng Công nghệ ĐTĐM để xây dựng hạ tầng trung tâm dữ liệu cung cấp dịch vụ cho chương trình ứng dụng CNTT CPĐT – Cổng thông tin điện tử của TP.HCM
Phạm vi và câu hỏi nghiên cứu
1.2.1 Phạm vi nghiên cứu - Phạm vi nghiên cứu của luận văn tập trung nghiên cứu những vấn đề sau: o Hệ thống CPĐT bao gồm nhiều hệ thống hành chính công được “điện tử” hóa bằng cách triển khai các trên ứng dụng và hạ tầng CNTT, có thể kể ra một số thành phần như sau: hệ thống trang web lưu trữ các thông tin của các đơn vị Sở, Ban, Ngành, Quận, Huyện tại TPHCM; hệ thống Cán bộ công chức; hệ thống MCĐT, hệ thống Bản đồ; Hệ thống thư điện tử… Phạm vi nghiên cứu của luận văn này đề cập đến hệ thống MCĐT, định nghĩa chức năng, mô hình hoạt động của hệ thống và triển khai hệ thống MCĐT trên nền tảng ĐTĐM Sử dụng mô hình ĐTĐM đang triển khai tại QTSC vào triển khai chức năng đã chọn o Nghiên cứu 3 bộ tiêu chuẩn ISO 27001, ISO 27002, ISO 27005 về mặt lý thuyết Sử dụng kết quả nghiên cứu bộ tiêu chuẩn ISO 27005 nhằm đánh giá rủi ro về an toàn dữ liệu khi triển khai hệ thống MCĐT trên nền ĐTĐM o Sử dụng kết quả nghiên cứu bộ tiêu chuẩn ISO 27002 đưa ra biện pháp đề xuất nhằm giảm thiểu rủi ro về an toàn dữ liệu của hệ thống MCĐT
- Hệ thống CPĐT là gì ? o Phạm vi của hệ thống CPĐT được định nghĩa trong luận văn này như thế nào? o Hệ thống CPĐT bao gồm những chức năng gì ? phục vụ cho mục đích gì ? o Hiện trạng hệ thống CPĐT hiện nay ở Việt Nam ra sao ? đang triển khai trên các mô hình hiện tại nào ? o Chức năng nào của hệ thống chính phủ được lựa chọn áp dụng trong luận văn này ?
- Hệ thống MCĐT là gì ? o Mô hình hoạt động của hệ thống MCĐT như thế nào ? o Tầm quan trọng của việc bảo vệ dữ liệu MCĐT ? o Mối quan hệ giữa các đơn vị hành chính công khi áp dụng hệ thống
MCĐT ? o Hệ thống MCĐT triển khai tại TPHCM hiện nay đang gặp phải những rủi ro gì ? o Các mối đe dọa của hệ thống MCĐT ? - Mô hình ĐTĐM có áp dụng được cho hệ thống CPĐT hay không ? o ĐTĐM là gì ? Mô hình triển khai như thế nào ? Những tiện ích và hạn chế của ĐTĐM ? o Tại sao lại chọn ĐTĐM để triển khai hệ thống CPĐT mà không phải là các mô hình truyền thống khác ? Có đem lại hiệu quả không ? o Những ích lợi sau khi triển khai CPĐT trên nền Điện toán đám mấy là gì ? ngược lại, có những rủi ro gì ? o Các chính sách hiện tại (chính sách quản lý và truy xuất dữ liệu, chính sách bảo mật thông tin, quy trình quản lý công…) của hệ thống CPĐT có thể áp dụng được trên ĐTĐM không ?
1.2.3 Thời gian thực hiện Từ ngày 02/07/2012 đến ngày 31/12/2012
Mục tiêu của đề tài
- Bằng cách nghiên cứu lý thuyết nghiên cứu các mối đe dọa đối với hệ thống ĐTĐM, các mối đe dọa khi sử dụng sản phẩm hệ thống ĐTĐM này cho hệ thống MCĐT, cùng với tầm quan trọng của dữ liệu MCĐT, độ nhạy cảm và những yếu tố thiếu bảo mật trong hệ thống, những yếu tố nào dễ bị tấn công, dễ bị chiếm quyền điều khiển hoặc trục lợi, qua đó xác định được hiện trạng ATANTT của hệ thống MCĐT được triển khai trên nền tảng ĐTĐM
Trong hệ thống giám sát dữ liệu từ xa (ĐTĐM), có nhiều loại dữ liệu khác nhau, mỗi loại có mức độ bảo vệ và sự cần thiết bảo mật riêng Việc xác định các loại dữ liệu này là điều cần thiết để xác định các biện pháp bảo vệ thích hợp và đảm bảo tính toàn vẹn và bảo mật của dữ liệu.
- Sử dụng kết quả nghiên cứu bộ tiêu chuẩn ISO 27005 nhằm đánh giá mức độ rủi ro của hệ thống MCĐT và đưa ra các biện pháp giảm thiểu rủi ro dựa trên bộ tiêu chuẩn ISO 27002.
Ý nghĩa và đóng góp của đề tài
- Nghiên cứu này giúp các đơn vị chính phủ có cái nhìn tổng quát hơn về việc xây dựng hệ thống CPĐT trên nền ĐTĐM hay trên hệ thống CNTT truyền thống
- Nghiên cứu này ngoài ứng dụng trực tiếp trong hệ thống CPĐT còn có thể áp dụng rộng rãi cho bất kỳ doanh nghiệp nào trong việc lựa chọn mô hình CNTT để áp dụng vào hoạt động điều hành, sản xuất của doanh nghiệp mình tùy thuộc vào nhu cầu và các điều kiện đặc trưng vốn có của doanh nghiệp
- Nghiên cứu này giúp doanh nghiệp hiểu được tầm quan trọng của việc áp dụng công nghệ vào hoạt động sản xuất điều hành phải cân nhắc đi đôi với việc bảo vệ an toàn dữ liệu, an ninh thông tin Và việc triển khai bộ quy trình hệ thống quản lý an toàn anh ninh thông tin dựa trên bộ tiêu chuẩn ISO 27001 là sự cân nhắc tiên quyết trong việc bảo vệ an toàn an ninh dữ liệu hệ thống một cách hiệu quả
1.4.2 Đóng góp của đề tài
- ĐTĐM là một hướng tiếp cận mới trong tiến trình CNTT hóa đất nước, có rất nhiều công trình nghiên cứu về ĐTĐM trong và ngoài nước với nhiều mô hình, kiểu mẩu và cách xây dựng khác nhau Đối với khu vực chính phủ, những ứng dụng điển hình tại chính phủ các quốc gia, các cách thức triển khai ĐTĐM một cách nhanh chóng để có thể tận dụng được những lợi ích mà nó mang lại trong việc quản lý các nguồn lực một cách hiệu quả, tiết
Một trong những đóng góp quan trọng của luận án là đưa ra hướng tiếp cận mới cho việc sử dụng hệ thống điện toán đám mây (ĐTĐM), ứng dụng ĐTĐM vào hoạt động điều hành và sản xuất của doanh nghiệp Đặc biệt, luận án còn đề xuất triển khai hệ thống chính phủ hành chính công trên hệ thống ĐTĐM Đóng góp này mở ra kỷ nguyên công nghệ thông tin (CNTT) kết nối nhân dân Việt Nam với các đơn vị chính phủ hỗ trợ, giúp quản lý đất nước hiệu quả hơn, giảm thiểu công việc thủ công, rối ren và quy trình phức tạp trong thủ tục hành chính nhà nước.
- Song song đó, luận văn này còn nghiên cứu bộ tiêu chuẩn ISO 27001 về hệ thống quản lý an ninh thông tin do Tổ chức tiêu chuẩn hoá quốc tế phát triển và ban hành vào tháng 10 năm 2005 Tiêu chuẩn cung cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến hệ thống ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức như: các tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận.
Phương pháp nghiên cứu
1.5.1 Phương pháp nghiên cứu áp dụng Phương pháp chính được sử dụng trong luận văn này là phương pháp phân tích, dựa vào các tài nguyên thu thập được bao gồm các tài liệu từ các nguồn đáng tin cậy, đã được chuẩn hóa và sử dụng rộng rãi trên thế giới Tôi sử dụng chúng để phân tích các yếu tố và các khía cạnh trong một phạm vi cụ thể là hệ thống MCĐT Từ các phân tích đó, tôi chỉ ra được các mục tiêu của bài toán cần giải quyết: o Giải quyết bài toán đánh giá rủi ro của hệ thống MCĐT o Từ kết quả đánh giá rủi ro, đề xuất phương pháp xử lý rủi ro
Ngoài ra, phương pháp nghiên cứu tại bàn và thu thập thông tin cũng được sử dụng trong luận văn
1.5.2 Tài nguyên sử dụng - Nguồn dữ liệu sơ cấp được thu thập thông qua phỏng vấn với những nhân viên của các đơn vị Sở - Ban – Ngành, phương pháp phỏng vấn trực tiếp bằng các câu hỏi mở
- Ngoài ra, luận văn thạc sĩ này tôi cũng sử dụng nguồn dữ liệu thứ cấp được thu thập thông qua: o Tài liệu thiết kế, xây dựng và vận hành hệ thống ĐTĐM được triển khai tại QTSC và các tài liệu về cơ sở hạ tầng CNTT khác tại QTSC o Tài liệu xây dựng triển khai hệ thống MCĐT o Ba bộ tài liệu ISO 27001, ISO 27002 và ISO 27003 cung cấp bởi Công Ty DAS Certification Các hướng dẫn, các quy định, quy trình, chính sách mẫu được tham khảo từ bộ tài liệu Hướng dẫn ban hành các chính sách ISMS của công ty DAS Certification
- Và một số tài liệu thứ cấp khác như các bài báo khoa học, sách và tài liệu từ mạng Internet cũng được sử dụng trong luận văn này.
Kết cấu của luận văn
Luận văn bao gồm 5 chương:
Chương 1: Giới thiệu tổng quan về nghiên cứu; lý do hình thành đề tài, phạm vi nghiên cứu, mục tiêu nghiên cứu cũng như ý nghĩa và đóng góp của nghiên cứu
Chương 2: Trình bày cơ sở lý thuyết, tìm hiểu về hệ thống CPĐT đặt biệt là hệ thống MCĐT là phạm vi nghiên cứu xuyên suốt luận văn này, nghiên cứu về tiêu chuẩn ISO 27001, ISO 27002 và ISO 27005 và cách thức áp dụng các tiêu chuẩn này
Chương 3: Giới thiệu hệ thống MCĐT và tình hình ATANTT của hệ thống
Chương 4: Sử dụng bộ tiêu chuẩn ISO 27005 để đánh giá rủi ro an toàn an ninh của hệ thống MCĐT đã và đang xây dựng tại TPHCM Từ kết quả đánh giá, đề hình ATANTT thực tế của hệ thống MCĐT, sử dụng các kết quả nghiên cứu lý thuyết trên vào bài toán thực tế này
Chương 5: Bao gồm kết luận, những bài học kinh nghiệm rút ra từ nghiên cứu luận văn và các đề xuất hướng nghiên cứu kế tiếp trong tương lai
CƠ SỞ LÝ THUYẾT
Bộ tiêu chuẩn về an toàn thông tin ISO 27XXX
- Ngày nay, hầu hết mọi hoạt động của các tổ chức/đơn vị đều bị phụ thuộc vào máy tính, hạ tầng mạng và cơ sở dữ liệu Cùng với sự phát triển mạnh mẽ của CNTT, tội phạm mạng cũng trở nên ngày càng tinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng Ngoài ra, các tổ chức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiều nguồn khác nhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đề mất an toàn thông tin và mất an toàn mạng ngày càng trở nên cấp thiết Việc áp dụng các tiêu chuẩn, các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổ chức/đơn vị quan tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc Một trong những nguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin chưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thống các tiêu chuẩn để áp dụng rộng rãi
ISO 27xxx là một thành phần của hệ thống quản lý chung, áp dụng nguyên tắc tiếp cận rủi ro trong hoạt động để thiết lập, thực hiện, theo dõi, xem xét, duy trì và cải tiến các biện pháp đảm bảo an toàn thông tin cho tổ chức.
- Cho tới nay, việc áp dụng ISMS phù hợp với ISO 27 xxx đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng Tại Việt Nam, một số ngân hàng cũng đang triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định
Tiêu chuẩn ISO 27xxx bắt nguồn từ Anh Quốc với tiền thân là qui phạm thực hành về hệ thống an toàn thông tin nội bộ các công ty dầu khí năm 1992 Đến năm 1995, Viện Tiêu chuẩn Anh chính thức ban hành thành tiêu chuẩn quốc gia BS 7799-1 Năm 2000, Tổ chức Tiêu chuẩn Quốc tế chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000, đặt nền móng cho sự ra đời của bộ tiêu chuẩn ISO 27xxx hiện nay.
- Tiêu chuẩn ISO/IEC 27xxx là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9000, ISO 14000,
- Hiện nay, đã có 16 tiêu chuẩn trong bộ tiêu chuẩn này đã được ban hành, và một số khác hiện đang được xây dựng, cụ thể:
2.1.1 Tiêu chuẩn ISO/IEC 27000 ISO/IEC 27000 - ISMS – Tổng quan và thuật ngữ o ISO/IEC 27000 quy định các vấn đề về từ vựng và thuật ngữ o Phiên bản hiện tại: ISO/IEC 27000:2009 o Nội dung tiêu chuẩn này đưa ra:
Tổng quan về bộ các tiêu chuẩn ISMS
Mô tả ngắn gọn về quy trình Lập kế hoạch-Thực hiện-Kiểm tra-Hành động (PDCA)
Các thuật ngữ và định nghĩa
2.1.2 Tiêu chuẩn ISO/IEC 27001 ISO/IEC 27001 — ISMS — Các yêu cầu o Phiên bản hiện tại: ISO/IEC 27001:2005 o Mục tiêu: Tiêu chuẩn này đưa ra một mô hình cho việc thiết lập, triển phê chuẩn triển khai một hệ thống ISMS sẽ là một quyết định chiến lược của tổ chức Thiết kế và triển khai ISMS của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức o Nội dung: Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình: thiết lập; triển khai và vận hành; giám sát và soát xét; duy trì và cải tiến một hệ thống ISMS để bảo vệ hệ thống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro có thể xảy ra Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản lý đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận o Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau Nội dung tiêu chuẩn bao gồm các phần chính:
Trách nhiệm của Ban quản lý
Kiểm toán nội bộ hệ thống ISMS
Soát xét của ban quản lý đối với hệ thống ISMS
Cải tiến hệ thống ISMS o Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:2004, đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác nhau
2.1.3 Tiêu chuẩn ISO/IEC 27002 ISO/IEC 27002 — Quy tắc thực hành quản lý an toàn thông tin o Phiên bản hiện tại: ISO/IEC 27002:2005 o Mục tiêu: Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai, duy trì và cải tiến công tác quản lý an toàn thông tin trong một tổ chức Mục tiêu của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung đã được chấp nhận trong quản lý an toàn thông tin o Nội dung: Nội dung của ISO/IEC 27002:2005 bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 11 nhóm Dựa trên việc phân tích các ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên bản mới này có khá nhiều thay đổi so với phiên bản năm 2000 Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây,… o Tiêu chuẩn này gồm 11 điều về kiểm soát an toàn thông tin với tất cả 39 danh mục an toàn chính và một điều giới thiệu về đánh giá và xử lý rủi ro Mỗi điều gồm một số danh mục an toàn chính:
Chính sách an toàn thông tin
Tổ chức đảm bảo an toàn thông tin
An toàn nguồn nhân lực
Đảm bảo an toàn vật lý và môi trường
Quản lý truyền thông và vận hành
Tiếp nhận, phát triển và duy trì các hệ thống thông tin
Quản lý các sự cố an toàn thông tin
Quản lý sự liên tục của hoạt động nghiệp vụ
2.1.4 Tiêu chuẩn ISO/IEC 27003 ISO/IEC 27003 - ISMS – Hướng dẫn triển khai o Tiêu chuẩn này được công bố vào tháng 1/2010 o Mục tiêu: Cung cấp hướng dẫn thực hành phát triển một kế hoạch triển khai ISMS (ISMS) trong một tổ chức theo ISO/IEC 27001:2005
Triển khai thực tế một ISMS nhìn chung được thực hiện như một dự án o Nội dung:
Cấu trúc của tiêu chuẩn
Khởi động dự án ISMS
Xác định phạm vi, các giới hạn và chính sách ISMS
Phân tích các yêu cầu an toàn thông tin
Đánh giá rủi ro và lập kế hoạch xử lý rủi ro
2.1.5 Tiêu chuẩn ISO/IEC 27004 ISO/IEC 27004 - ISMS – Đo lường o Tiêu chuẩn này được công bố vào tháng 7/12/2009 o Mục tiêu: Mục tiêu của ISO/IEC 27004 là giúp các tổ chức đo đạc, báo cáo và cải thiện có hệ thống hiệu quả của các hệ thống ISMS của họ o Nội dung: Tiêu chuẩn này gồm các phần chính:
Tổng quan về đo kiểm an toàn thông tin
Các trách nhiệm của ban quản lý
Phát triển các biện pháp đo lường và việc đo lường
Phân tích dữ liệu và báo cáo các kết quả
Đánh giá và cải tiến chương trình đo lường an toàn thông tin
2.1.6 Tiêu chuẩn ISO/IEC 27005 ISO/IEC 27005 – CNTT – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin o Tiêu chuẩn này được ban hành tháng 6/2008 và có phiên bản thay thế ban hành tháng 6/2011 o Mục tiêu của ISO/IEC 27005 là cung cấp các định hướng cho quản lý rủi ro an toàn thông tin ISO/IEC 27005 được thiết kế nhằm hỗ trợ triển khai an toàn thông tin một cách thỏa đáng dựa trên phương thức tiếp cận quản lý rủi ro Tiêu chuẩn này không chỉ rõ, được khuyến nghị hoặc thậm chí không đưa ra bất kỳ một phương pháp phân tích rủi ro cụ thể, mặc dù nội dung tiêu chuẩn đã đưa ra một quy trình có hệ thống và nghiêm ngặt từ việc phân tích rủi ro đến việc thiết lập kế hoạch xử lý rủi ro o Nội dung:
Tổng quan về quy trình quản lý rủi ro
Trao đổi và tư vấn rủi ro
Giám sát và soát xét rủi ro
2.1.7 Tiêu chuẩn ISO/IEC 27006 ISO/IEC 27006 - ISMS – Các yêu cầu đối với các cơ quan kiểm tra và cấp chứng nhận các ISMS o Mục tiêu: ISO/IEC 27006 đưa ra các yêu cầu chính thức đối với các tổ chức chứng nhận các tổ chức khác tuân thủ ISO/IEC 27001 Tiêu chuẩn này giúp đảm bảo rằng các chứng chỉ ISO/IEC 27001 đã được chứng nhận bởi các tổ chức được chỉ định là đủ tin cậy o Nội dung: Tiêu chuẩn này gồm các nội dung chính sau:
Các yêu cầu về cấu trúc
Các yêu cầu về nguồn lực
Các yêu cầu về thông tin
Các yêu cầu về quy trình
Các yêu cầu về hệ thống quản lý đối với các cơ quan chứng nhận
2.1.8 Tiêu chuẩn ISO/IEC 27007 ISO/IEC 27007:2011- ISMS – Các kỹ thuật an toàn – Hướng dẫn đánh giá ISMS o Mục tiêu: Tiêu chuẩn này đưa ra hướng dẫn cho các tổ chức cấp chứng nhận, các đánh giá viên quốc tế, các đánh giá viên bên ngoài/bên thứ ba và các đánh giá viên khác về ISMS theo ISO/IEC 27001 o Nội dung: Tiêu chuẩn này bao hàm các khía cạnh đặc trưng ISMS về đánh giá tuân thủ:
Quản lý chương trình đánh giá ISMS (xác định nội dung, thời gian, cách đánh giá; phân bổ trách nhiệm phù hợp cho các đánh giá viên; quản lý rủi ro đánh giá; quản lý hồ sơ đánh giá; cải tiến quy trình đánh giá liên tục)
ISMS và các quy tắc thực hành quản lý an toàn thông tin (ISO 27001, ISO 27002) 23 1 Giới thiệu bộ tiêu chuẩn ISO 27001
2.2.1 Giới thiệu bộ tiêu chuẩn ISO 27001
ISO 27001 là tiêu chuẩn về Hệ thống quản lý an toàn thông tin (ISMS-Information Security Management System) do Tổ chức tiêu chuẩn hóa quốc tế ISO phát triển và ban hành Tiêu chuẩn này đề ra các yêu cầu trong việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát và phát triển Hệ thống quản lý an ninh thông tin một cách toàn diện, khoa học Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức
2.2.2 Phạm vi áp dụng ISO 27001 - Tiêu chuẩn này áp dụng rộng rãi cho nhiều loại hình tổ chức (ví dụ: các tổ chức thương mại, cơ quan nhà nước, tổ chức phi lợi nhuận) Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến một ISMS (ISMS) để đảm bảo an toàn thông tin trước những rủi ro có thể xảy ra với các hoạt động của tổ chức Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của tổ chức
- Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng…
2.2.3 Các yêu cầu của ISMS ISO 27001 - Thiết lập và quản lý hệ thống ISMS: Xác định phạm vi và các giới hạn của hệ thống ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ, xây dựng và hoạch định chính sách ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ, xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức, xác định rủi ro, phân tích và ước lượng rủi ro, và các biện pháp quản lý rủi ro…
- Triển khai và điều hành hệ thống ISMS: Lập và triển khai kế hoạch xử lý rủi ro nhằm đáp ứng các mục tiêu quản lý, đánh giá hiệu lực của các biện pháp quản lý, quản lý hoạt động, tài nguyên của hệ thống…
Giám sát hệ thống ISMS liên quan đến việc phát hiện sớm lỗi, lỗ hổng và sự cố an toàn thông tin Qua đó, các biện pháp ngăn chặn kịp thời có thể được triển khai Quá trình giám sát bao gồm việc thường xuyên đánh giá hiệu quả của hệ thống ISMS, cũng như hiệu lực của các biện pháp kiểm soát được thực hiện Việc xác minh xem các yêu cầu về an toàn thông tin có được đáp ứng hay không thông qua các đánh giá rủi ro cũng là một phần của quá trình giám sát Bên cạnh đó, cập nhật, lập và ghi chép tài liệu về các hành động và sự kiện có khả năng ảnh hưởng đến hiệu suất của hệ thống ISMS là rất quan trọng.
- Duy trì và cải tiến hệ thống ISMS: Thường xuyên triển khai các cải tiến, thông báo với các bên liên quan về các hành động và cải tiến của hệ thống ISMS và phải đảm bảo được việc cải tiến đạt được mục tiêu đề ra
2.2.4 Trách nhiệm của lãnh đạo đối với việc thực hiện an toàn thông tin ISO
Trong việc xây dựng và triển khai ISMS, vai trò của lãnh đạo tổ chức là vô cùng quan trọng Họ phải thể hiện cam kết mạnh mẽ trong việc thiết lập, thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến ISMS Bên cạnh đó, lãnh đạo phải đảm bảo cung cấp đầy đủ các nguồn lực cần thiết và lựa chọn những cá nhân có năng lực để đảm nhiệm các vai trò liên quan trong hệ thống ISMS Sự cam kết này đóng vai trò nền tảng cho sự thành công và duy trì hiệu quả của ISMS trong tổ chức.
2.2.5 Kiểm toán nội bộ hệ thống ISMS
Tổ chức phải thực hiện kiểm toán nội bộ hệ thống ISMS theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS bao gồm:
- Tuân thủ các yêu cầu của tiêu chuẩn này và các quy định pháp lý liên quan
- Tuân thủ các các yêu cầu đảm bảo an toàn thông tin đã xác định
- Được triển khai và duy trì hiệu quả
- Hoạt động diễn ra đúng như mong muốn
2.2.6 Soát xét hệ thống ISMS định kỳ
Tổ chức phải soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn đảm bảo tính phù hợp, đầy đủ và hiệu quả
Việc soát xét này bao gồm đánh giá khả năng có thể cải tiến và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm các chính sách an toàn thông tin và mục tiêu an toàn thông tin Kết quả của việc soát xét phải được lập thành tài liệu rõ ràng và các hồ sơ phải được lưu giữ
2.2.7 Cải tiến hệ thống ISMS - Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc sử dụng chính sách an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả kiểm toán, kết quả phân tích các sự kiện đã giám sát, các hành động phòng ngừa và khắc phục cũng như các kết quả soát xét của ban quản lý
- Tổ chức phải thực hiện hành động loại bỏ các nguyên nhân của các vi phạm đối với yêu cầu của hệ thống ISMS
Để ngăn chặn vi phạm yêu cầu của hệ thống ISMS, tổ chức cần xác định các hành động loại trừ các nguyên nhân gây ra vi phạm tiềm ẩn Các hành động phòng ngừa này cần được thực hiện theo mức độ tác động của các vi phạm có thể xảy ra.
2.2.8 Các mục tiêu và biện pháp kiểm soát ISO 27001 Về cơ bản, các mục tiêu và biện pháp kiểm soát được trình bày trong bộ tiêu chuẩn ISO 27001 và các quy tắc thực hành quản lý an toàn thông tin trình bày trong bộ tiêu chuẩn ISO 27002 có nội dung tương ứng nhau Bộ tiêu chuẩn ISO 27001 định ra các mục tiêu cần kiểm soát nhằm đảm bảo ATANTT nhưng chỉ dừng ở mức độ chỉ ra được mục tiêu và biện pháp kiểm soát là gì Để có thể thực hiện được các biện pháp kiểm soát đó, bộ tiêu chuẩn ISO 27002 đưa ra các hướng dẫn chi tiết để thực hiện các biện pháp kiểm soát đó Các biện pháp kiểm soát chính :
- Chính sách bảo mật, an ninh và an toàn thông tin: bao gồm các kiểm soát về tài liệu, chính sách nhằm cung cấp định hướng cho quản lý và phục vụ hỗ trợ theo yêu cầu kinh doanh, theo yêu cầu pháp luật, và theo các qui định do tổ chức ban hành
Kỹ thuật an toàn và quản lý rủi ro an toàn thông tin, giới thiệu bộ tiêu chuẩn
2.3.1 Khái niệm về quản lý rủi ro - Một khái niệm khá phổ biến: “ Quản lý rủi ro là một quá trình nhằm xác định các lỗ hổng và các mối đe dọa đến các nguồn tài nguyên thông tin được sử dụng bởi tổ chức trong mục việc đạt được mục tiêu kinh doanh, và quyết định các biện pháp đối phó, nếu có, nhằm làm giảm thiểu rủi ro ở mức có thể chấp nhận được, dựa trên giá trị nguồn tài nguyên thông tin trong tổ chức”
- Có 2 vấn đề cần phải làm rõ ở khái niệm trên là, thứ nhất, quá trình quản lý rủi ro là một quá trình lặp đi lặp lại liên tục một cách không có hồi kết do môi trường kinh doanh không cố định mà luôn luôn thay đổi và những mối đe dọa cũng như lỗ hổng được khai thác hàng ngày Thứ hai, việc lựa chọn phương pháp đối phó được sử dụng để quản lý rủi ro phải được cân đối với chi phí, hiệu quả và đặt biệt là giá trị của thông tin mà chúng ta cần phải bảo vệ
- Một khái niệm khác của tổ chức National Information Assurance Training and Education Center: o Một quá trình tổng thể của việc chỉ ra, điều khiển, làm giảm nhẹ các tác động của những sự kiện không chắc chắn o Là yếu tố của khoa học quản lý liên quan đến việc xác định, đo lường, kiểm soát, và giảm thiểu các sự kiện không chắc chắn Một chương trình quản lý rủi ro hiệu quả bao gồm bốn giai đoạn là đánh giá rủi ro, quản lý quyết định, điều khiển thực thi và đánh giá tính
2.3.2 Các phương pháp quản lý rủi ro an toàn thông tin Hiện nay, với sự phát triển mạnh của khoa học CNTT, sự đầu tư phát triển về nền tảng CNTT cũng như chuyển đổi dần các cơ cấu hoạt động thủ công chuyển sang tự động hóa mà thông tin là một yếu tố có tầm quan trọng hàng đầu trong mọi ngành, mọi lĩnh vực Đi cùng với sự phát triển vượt bật của CNTT là các rủi ro về ATANTT mà các tổ chức cũng như các lĩnh vực phải quan tâm và tìm mọi biện pháp nhằm giảm thiểu các rủi ro này, hiện nay trên thế giới đã xuất hiện khá nhiều tổ chức cùng với những nghiên cứu nhằm cung cấp những cách thức hay phương phương quản lý các rủi ro này, tiêu biểu trong số này là những tổ chức cung cấp phương pháp quản lý rủi ro an toàn thông tin phổ biến nhất hiện nay, có thể kể đến như sau:
- OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation o Sử dụng cách tiếp cận ba giai đoạn, OCTAVE xét các vấn đề tổ chức và công nghệ để ráp nối một bức tranh toàn diện về nhu cầu bảo mật thông tin của doanh nghiệp Các giai đoạn của OCTAVE bao gồm:
Xây dựng các tập hồ sơ mối đe dọa bao gồm việc đánh giá tổ chức để xác định tài sản thông tin quan trọng, mối đe dọa đối với tài sản, yêu cầu bảo mật của tài sản, biện pháp hiện tại của tổ chức để bảo vệ tài sản và điểm yếu trong chính sách và thực hành của tổ chức.
Chỉ ra các lỗ hổng cơ sở hạ tầng: Đây là sự đánh giá về cơ sở hạ tầng thông tin, thành phần quan trọng của cơ sở hạ tầng CNTT là kiểm tra điểm yếu (lỗ hổng công nghệ) mà có thể tạo ra các hành động không đươc phép
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) là phương pháp tiếp cận phân tích và quản lý rủi ro an ninh thông tin, giúp các tổ chức đánh giá các mối đe dọa, xác định tài sản quan trọng và đánh giá lỗ hổng OCTAVE tập trung vào các mối đe dọa thực tế và khả năng xảy ra, cho phép các tổ chức tập trung vào những rủi ro quan trọng nhất và đưa ra những quyết định bảo mật hiệu quả.
Tự định hướng: Một nhóm nhỏ các nhân viên của tổ chức quản lý quá trình và phân tích tất cả các thông tin Do đó, nhân viên của tổ chức đang tích cực tham gia vào quá trình ra quyết định
Khi thuê bên ngoài đánh giá rủi ro, các tổ chức dễ phụ thuộc vào khuyến cáo của chuyên gia mà không tự đánh giá Do đó, nhân viên không nắm được quá trình đưa ra quyết định và không nhận thức được các rủi ro tiềm ẩn hoặc các khả năng khác Việc chuyển giao trách nhiệm cho chuyên gia bên ngoài khiến tổ chức không cải thiện được quá trình xử lý rủi ro, vì nhân viên không có sự hiểu biết về quá trình đánh giá và đưa ra quyết định.
Đội ngũ phân tích: OCTAVE yêu cầu một nhóm phân tích để thực hiện việc đánh giá và phân tích thông tin Nhóm nghiên cứu phân tích là một đội liên ngành gồm đại diện của cả hai lĩnh vực công nghệ liên quan đến nhiệm vụ và thông tin của tổ chức Thông thường, nhóm nghiên cứu phân tích sẽ có khoảng 3-5 người, tùy thuộc vào kích thước của các tổ chức tổng thể và phạm vi đánh giá
Các tiếp cận dựa trên hội thảo: OCTAVE sử dụng một phương pháp tiếp cận hội thảo dựa trên thu thập thông tin và ra quyết định, trong hội thảo, nhóm phân tích sẽ khơi gợi ra cho người xem nhiều kiến thức Và do người tham gia các hội thảo đến từ nhiều cấp độ tổ chức, họ sẽ đưa ra nhiều ý kiến đóng góp cũng như thắc mắc Kết quả là việc xác định các tài sản thông tin quan trọng, các mối đe dọa đến tài sản, các yêu cầu bảo mật của các tài sản, điều mà tổ chức hiện đang làm để bảo vệ
Danh mục các thông tin: các danh mục thông tin bao gồm thứ nhất là tập hợp những chiến lược và các bài kiểm tra về an toàn điều hành, thứ hai là các hồ sơ về các mối đe dọa và cuối cùng là các danh mục về các lỗ hổng ứng dụng công nghệ
Nhóm nghiên cứu sử dụng các công cụ phần mềm để thực hiện kiểm tra cơ sở hạ tầng CNTT theo danh mục, nhằm tìm kiếm các điểm yếu trên các thiết bị, thành phần hoặc hệ thống công nghệ của tổ chức.
- NIST (National Institute of Standards and Technology) Bộ tài liệu được xây dựng bởi NIST có tên NIST Special Publication 800-30 có nội dung về các hướng dẫn quản lý rủi ro cho hệ thống kỹ thuật thông tin, được xuất bản vào năm 2002 với một số nội dung cơ bản sau: o Đánh giá rủi ro: bao gồm các bước chỉ ra các mối quan hệ trong hệ thống, chỉ ra các mối đe dọa, chỉ ra các lỗ hổng, phân tích các phương pháp điều khiển rủi ro, định nghĩa các khả năng và tác động của rủi ro, những khuyến nghị về điều khiển rủi ro o Giảm nhẹ rủi ro: bao gồm các tùy chọn, các phương pháp làm giảm nhẹ rủi ro, các chiến lược làm giảm nhẹ rủi ro, khuyến nghị thực thi những điều khiển nhằm làm giảm nhẹ rủi ro, phân tích ảnh hưởng của chi phí khi thực hiện các hành động giảm nhẹ rủi ro, phân tích các rủi ro còn lại o Một số hướng dẫn đánh giá, phân tích và giảm nhẹ rủi ro
Hiện trạng an toàn, an ninh thông tin tại Việt Nam
- Trong những nằm gần đây, tình hình an toàn an ninh mạng tuy đã có nhiều bước tiến đáng kể trong xây dựng và tăng cường các hoạt động đảm bảo an toàn thông tin số, nhưng với sự gia tăng quá nhanh của các hoạt động tấn công trên mạng và các vụ xâm nhập hệ thống CNTT nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản, cạnh tranh không lành mạnh và một số vụ mất an toàn thông tin số khác đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi hơn về công nghệ cho nên vẫn chưa có sự tương ứng giữa an toàn và mất an toàn thông tin
- Năm 2011, Việt Nam đã có hơn 300 website của các cơ quan, doanh nghiệp, cá nhân bị tấn công, trong đó có nhiều trang là của cơ quan nhà nước với tên miền gov.vn Và vào tháng 10/2011, có hơn 150 website có tên miền vn, com, net bị đánh sập và đã được đăng tải trên các phương tiện thông tin đại chúng Các chuyên gia về an ninh thông tin nhận định, năm 2011 các cuộc tấn công vào mạng thông tin Việt Nam ngày càng mang động cơ chính trị và kinh tế rõ ràng Các tổ chức tội phạm hoặc tổ chức cực đoan sử dụng công nghệ cao, đặc biệt là Internet như một công cụ và môi trường để tấn công vào các tổ chức, cơ quan, thậm chí chính phủ và quốc gia nhằm làm tổn thất về kinh tế, chính trị, xã hội ngày cao Với sự bùng nổ trong công nghệ viễn thông tiên tiến, thiết bị di động trở thành mắt xích qua trọng trong an toàn thông tin, bị các đối tượng tin tặc lợi dụng tấn công vì tài nguyên cũng như công cụ phòng thủ yếu, điều này khiến việc lưu trữ thông tin cá nhân, bí mật kinh doanh, định vị địa lý bị tin tặc lợi dụng khai thác
- Năm 2012, theo khảo sát mới nhất của Microsoft, trong năm 2012 có 2.500 toàn thông tin 2012 do Chi hội an toàn thông tin phía Nam (VNISA) tổ chức ở TPHCM ngày 16/11, nhiều chuyên gia an ninh mạng đều có chung một đánh giá tình hình an toàn thông tin trên thế giới và cả Việt Nam năm qua không có quá nhiều các sự kiện nổi cộm, nhưng các cuộc tấn công xâm nhập, các hành vi vụ lợi thông qua sử dụng công nghệ cao và mạng Internet vẫn xảy ra phổ biến Và vào tháng 5/2012, VNISA đánh giá ngẫu nhiên 100 website tên miền gov.vn cho thấy 78% số website có thể bị tấn công toàn diện
- Việt Nam, với sự đầu tư cho an toàn thông tin chưa nhiều, sẽ có nguy cơ chịu không ít rủi ro Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, Chính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công Theo ông Trịnh Ngọc Minh – Phó Chủ tịch Chi hội an toàn thông tin phía Nam, để đảm bảo an toàn thông tin, không thể đợi đến khi sự việc xảy ra rồi mới tìm hướng xử lý mà phải chuẩn bị hệ thống hết sức bài bản
Năm 2012, nhằm tăng cường an toàn thông tin số, Thủ tướng Chính phủ ban hành Chỉ thị 897 Theo đó, Bộ Thông tin và Truyền thông đã triển khai hệ thống giám sát an toàn thông tin, hoàn thiện chính sách và pháp luật về lĩnh vực này Bên cạnh đó, Bộ cũng tiến hành xây dựng Luật An toàn thông tin số để trình Quốc hội khóa XIII ban hành.
- Bộ Thông Tin Truyền Thông ban hành và chủ trì triển khai thực hiện cơ chế điều phối và phối hợp giữa các đơn vị nhằm đảm bảo an toàn thông tin trên mạng Internet Xây dựng và tổ chức diễn tập các phương án hợp tác ứng cứu sự cố mạng máy tính Đồng thời, chỉ đạo các cơ quan báo chí, phát thanh, truyền hình đẩy mạnh tuyên truyền, nâng cao nhận thức an toàn thông tin số, quảng bá các hoạt động, sự kiện về an toàn thông tin số trong nước và quốc tế, tăng cường công tác thanh tra, kiểm tra và xử lý các tổ chức, cá nhân vi phạm quy định về đảm bảo an toàn thông tin, kịp thời đề xuất các chính sách và biện pháp quản lý nhà nước phù hợp nhằm đảm bảo an toàn thông tin số
Xu hướng an ninh thông tin năm 2013 theo dự báo của Websense Security Labs bao gồm: tấn công nền tảng web đa dạng; đe dọa từ hệ thống thông tin di động, thiết bị di động; cửa hàng trực tuyến, kho ứng dụng chứa nhiều mã độc; nhận thức an toàn bảo mật được nâng cao; tấn công do chính phủ tài trợ gia tăng; tội phạm mạng tấn công môi trường ảo hóa; nguy cơ mới nhắm vào hệ thống thư điện tử.
HỆ THỐNG MỘT CỬA ĐIỆN TỬ VÀ HIỆN TRẠNG AN TOÀN AN NINH CỦA HỆ THỐNG MCĐT
Giới thiệu hệ thống CPĐT
3.1.1 Sự ra đời của CPĐT - Trước kia, hầu hết chính phủ các nước phải giải quyết các vấn đề kinh tế xã hội theo cách cũ, tức là hoàn toàn không có sự tham gia của CNTT và viễn thông Như đã thấy ở hầu hết các nước, cơ cấu bộ máy nhà nước bao gồm
Bộ Khoa học và công nghệ… Trung bình mỗi chính phủ có khoảng 50 tới 70 bộ hay cơ quan khác nhau ở trung ương Mỗi bộ như vậy đều có các cơ quan chức năng riêng Việc phát hiện một cơ quan làm không đúng chức năng, nhiệm vụ của mình có thể là khó khăn Tệ hơn, ngay cả các vấn đề đơn giản như cấp giấy phép kinh doanh cho một doanh nghiệp, bán một căn nhà hoặc đăng ký khai sinh cho trẻ sơ sinh thì một số lớn các cơ quan khác nhau đòi hỏi một số biểu mẫu khác nhau Điều này là quá thừa và không cần thiết
Hơn nữa, thủ tục giải quyết vấn đề về quản lý thường quá rườm rà, gây khó khăn cho người dân khi có nhu cầu
- Để giải quyết tình trạng trên, Chính phủ các nước trên thế giới đã tìm ra giải pháp áp dụng Internet và các thành tựu khác của khoa học công nghệ để cải thiện hoạt động của bộ máy nhà nước bằng cách đưa nền tảng hạ tầng thiết bị và các ứng dụng CNTT vào các hoạt động quản lý hành chánh và giải quyết các thủ tục hành chánh
- Một số lý do o Tiết kiệm chi phí o Hiện nay, Việt Nam đã gia nhập nền kinh tế thế giới và cạnh tranh là một vấn đề tất yếu sẽ xảy ra trong công cuộc hiện đại hóa đất nước, nếu không có sự thay đổi thì bản thân thể chế hành chính sẽ bị thoái hóa tỉ lệ nghịch với sự phát triển của nền CNTT quốc gia o CPĐT cũng giúp cho nhà nước hoạt động hiệu quả vì lợi ích của người dân, thể hiện ở mọi khía cạnh như thông tin cho người dân; các thủ tục và giao tiếp giữa người dân và chính quyền dễ dàng hơn, thông tin cập nhật nhanh hơn và đầy đủ hơn o Công khai và minh bạch hoá hoạt động của cơ quan, đồng thời phối hợp rành mạch, thông suốt giữa các cơ quan với nhau vì lợi ích của người dân
3.1.2 Khái niệm về CPĐT - Khái niệm o Một khái niệm về CPĐT khá phổ biến “Sử dụng các công cụ Internet như World Wide Web để chuyển cho người dân các thông tin và dịch vụ của Chính phủ”
[Theo United Nation, 2006; AOEMA, 2005] o Tại Việt Nam, CPĐT là tên gọi của một chính phủ mà mọi hoạt động của nhà nước được "điện tử hóa", "mạng hóa" Tuy nhiên, CPĐT không đơn thuần là máy tính, mạng Internet; mà là sự đổi mới toàn diện các quan hệ (đặc biệt là quan hệ giữa chính quyền và công dân), các nguồn lực, các quy trình, phương thức hoạt động và bản thân nội dung các hoạt động của chính quyền trung ương và địa phương, và ngay cả các quan niệm về các hoạt động đó o CPĐT là ứng dụng CNTT và truyền thông để các cơ quan của Chính quyền từ trung ương và địa phương đổi mới, làm việc có hiệu lực, hiệu quả và minh bạch hơn; cung cấp thông tin, dịch vụ tốt hơn cho người dân, doanh nghiệp và các tổ chức; và tạo điều kiện thuận lợi hơn cho người dân thực hiện quyền dân chủ và tham gia quản lý Nhà nước
- Lộ trình thực hiện CPĐT tại TPHCM TPHCM có kế hoạch và lộ trình xây dựng CPĐT Kế hoạch này được chia làm ba giai đoạn phát triển Các giai đoạn đó là chuẩn bị nội dung số, chia sẻ hạ tầng- chuẩn hóa thông tin nội dung của chương trình CPĐT, và CPĐT như là một dịch vụ Kế hoạch xây dựng này được thông báo trong bài báo cáo Xây dựng trung tâm dữ liệu TPHCM trong công viên phần mềm Quang Trung tại “Hội nghị CPĐT năm 2009” tổ chức vào tháng 7 năm 2009 o Giai đoạn chuẩn bị nội dung của chương trình bắt đầu vào năm 1999 và kết thúc năm 2009 Trong giai đoạn này có hơn 66 đơn vị CPĐT đã được thiết lập tại 22 quận huyện và 34 sở ban ngành của TPHCM
Tại mỗi đơn vị CPĐT đều xây dựng riêng cho mình hệ thống thông
Tùy thuộc vào cơ sở hạ tầng IT và trình độ của đội ngũ nhân viên IT mà các đơn vị CPĐT có sự khác biệt về cách thức tổ chức , lưu trữ và xử lý dữ liệu Người dân gặp rất nhiều khó khăn khi tương tác với hệ thống CPĐT rời rạc này Để có thể nâng cao chất lượng phục vụ và thõa mãn các yêu cầu ngày càng mở rộng với hệ thống CPĐT của TPHCM, tất cả các hệ thống thông tin tại các đơn vị CPĐT phải được hội tụ, gom nhập về tại một trung tâm dữ liệu tập trung o Giai đoạn thứ hai là giai đoạn chia sẻ hạ tầng dung chung-chuẩn hóa thông tin dữ liệu, được bắt đầu thực hiện vào năm 2009, khi công viên phần mềm Quang Trung được lựa chọn là nơi đặt trung tâm dữ liệu của TPHCM o Giai đoạn thứ ba là cung cấp dịch vụ CPĐT như là một dịch vụ Hệ thống CPĐT lúc này thực chất là các phần mềm có tổ chức thực hiện theo mô hình phần mềm như là dịch vụ SaaS
Hình 3.1: Lộ trình triển khai CPĐT tại TPHCM
3.1.3 Sự khác nhau giữa CPĐT và chính phủ truyền thống - Mặc dù có rất nhiều khái niệm khác nhau về CPĐT nhưng chúng ta có thể rút ra một số đặc điểm chung về CPĐT như sau: o CPĐT là Chính phủ sử dụng CNTT và viễn thông để tự động hoá và triển khai các thủ tục hành chính o CPĐT cho phép các công dân có thể truy cập các thủ tục hành chính thông qua các phương tiện điện tử như Internet, điện thoại di động, truyền hình tương tác
Chính phủ phản ứng nhanh (CPĐT) là phương thức hoạt động của Chính phủ suốt ngày đêm, quanh năm nhằm cung cấp dịch vụ công cho người dân mọi lúc, mọi nơi Điều này cho phép người dân tiếp cận các dịch vụ hành chính công một cách thuận tiện và kịp thời, bất kể vị trí địa lý hay thời gian.
- Từ những đặc điểm trên ta thấy rằng CPĐT có nhiều điểm khác so với Chính phủ truyền thống Với Chính phủ truyền thống, quá trình quản lý hành chính trong nội bộ các cơ quan nhà nước diễn ra thủ công, tốn nhiều công sức, thời gian và tiền bạc Dân chúng không thể liên lạc với Chính phủ ngoài giờ hành chính, không thể ở bất cứ nơi nào ngoài trụ sở của các cơ quan nhà nước Người dân không thể đăng ký lấy giấy phép kinh doanh, làm khai sinh cho con mình hay đóng thuế trước bạ 24/24 giờ, 7/7 ngày và ở bất cứ đâu
CPĐT có thể khắc phục được những hạn chế này của Chính phủ truyền thống
Một sự khác biệt chủ yếu giữa Chính phủ điện tử (CPĐT) và Chính phủ truyền thống nằm ở tốc độ xử lý giữa các thủ tục hành chính được tự động hóa với thủ công Tự động hóa thủ tục hành chính của CPĐT cho phép xử lý nhanh gọn, đơn giản hơn Thông tin cung cấp cho người dân đầy đủ, chính xác và dễ tiếp cận hơn, giúp họ tiết kiệm chi phí thu thập thông tin.
Các hình thức cung cấp dịch vụ trong Chính phủ điện tử (CPĐT) bao gồm: G2G, kết nối các cơ quan chính phủ; G2B, hỗ trợ doanh nghiệp truy cập thông tin và quy định kinh doanh; G2C, cung cấp thông tin và dịch vụ trực tuyến cho công dân, giúp họ tiếp cận thông tin và dịch vụ nhanh chóng, tiện lợi; G2E, cho phép tương tác trực tuyến giữa các đơn vị chính phủ và nhân viên của họ.
Giới thiệu hệ thống Một cửa điện tử tại TPHCM
3.2.1 Giới thiệu hệ thống MCĐT - Ngày 22 tháng 06 năm 2007 thủ tướng Chính phủ đã ban hành quyết định số
93/2007/QĐ-TT về việc ban hành quy chế thực hiện cơ chế một cửa tại cơ quan hành chính nhà nước ở địa phương Cải cách hành chính theo hướng đơn giản hóa thủ tục hành chính gắn với việc thực hiện cơ chế một cửa được triển khai trong giai đoạn 1 là từ năm 2001 đến năm 2005 và tiếp tục thực hiện ở giai đoạn 2 là từ năm 2006 đến năm 2010 và đã thu được những bước đầu tích cực Theo quy chế thực hiện cơ chế một cửa tại cơ quan hành chính nhà nước ở địa phương của thủ tướng Chính phủ thì cơ chế một cửa là cơ nước ngoài thuộc trách nhiệm, thẩm quyền của một cơ quan hành chính nhà nước, từ hướng dẫn, tiếp nhận giấy tờ, hồ sơ, giải quyết đến trả kết quả được thực hiện duy nhất tại một đầu mối là bộ phận tiếp nhận và trả kết quả của cơ quan hành chính nhà nước
- TPHCM là đơn vị đầu tiên trong cả nước xây dựng MCĐT Từ ngày 15 tháng 12 năm 2008, hệ thống MCĐT chính thức được đưa vào hệ thống CPĐT Qua hệ thống này mọi người dân biết được tình trạng giải quyết hồ sơ của toàn thành phố, của từng quận huyện, sở ngành tham gia
- MCĐT cung cấp thông tin một cách tự động và trực tuyến về tình trạng giải quyết hồ sơ cấp phép Người dân có thể dùng phương tiện liên lạc thông dụng nhất hiện nay là điện thoại để được trả lời tự động về tình trạng hồ sơ bằng thoại, tin nhắn qua MCĐT MCĐT là công cụ hữu hiệu để người dân và lãnh đạo giám sát các dịch vụ công Đến nay đã có 19 quận, huyện tham gia hệ thống MCĐT Ngoài việc truy cập website và sử dụng điện thoại qua hệ thống MCĐT người dân có thể tra cứu thông tin trực tiếp tại các quận huyện, sở ngành qua các hệ thống mã vạch hoặc thiết bị chạm-biết với màn hình cảm ứng
- Như vậy người dân được cung cấp thông tin ở mọi nơi, 24/7 và không phụ thuộc vào tinh thần làm việc hay thái độ của cán bộ nhà nước
3.2.2 Chức năng hoạt động - Đối tượng sử dụng o Công dân, tổ chức, doanh nghiệp: cung cấp thông tin hướng dẫn về hồ sơ, thủ tục, quy trình, biểu mẩu, của các dịch vụ công thông qua mạng internet; tra cứu trạng thái hồ sơ qua mạng internet; tư vấn về hồ sơ, thủ tục, của dịch vụ công theo hình thức tiếp nhận câu hỏi và trả lời câu hỏi của công dân, tổ chức thông qua mạng internet o Cán bộ công chức: tiếp nhận và trả kết quả có thể tạo lập hồ sơ, in các phiếu nhận hồ sơ, phiếu thu, phiếu hẹn, phiếu trả kết quả; các cán bộ thụ lý hồ sơ có thể thực hiện tác nghiệp trên mạng theo quy trình thụ lý đối với từng dịch vụ công; luân chuyển và giải quyết hồ sơ trong đơn vị, tra cứu hồ sơ, in sổ theo dõi, báo cáo định kỳ; lãnh đạo các phòng chức năng có thể theo dõi trạng thái giải quyết các hồ sơ thủ tục hành chính và chỉ đạo việc giải quyết hồ sơ
- Các dịch vụ công được cung cấp qua mô hình MCĐT o Các thủ tục tư pháp o Các thủ tục hộ tịch o Thủ tục tài chính kế hoạch o Lao động o Thương binh xã hội o Quản lý đô thị o Đăng ký quyền sử dụng đất o … - Một số chức năng o Tiếp nhận hồ sơ, bao gồm cập nhật thông tin của công dân, tổ chức, doanh nghiệp đến nộp hồ sơ tại trung tâm giao dịch một cửa; tiếp nhận, duyệt hồ sơ gửi qua mạng internet của công dân trên trang web đăng ký dịch vụ công trực tuyến; in phiếu giao xử lý và chuyển hồ sơ cho các phòng ban, bộ phận chức năng giải quyết hồ sơ o Giải quyết hồ sơ, bao gồm nhắc việc tình hình xử lý hồ sơ qua các công đoạn; kiểm duyệt và cập nhật các thủ tục mà người dân nộp cho bộ phận tiếp nhận và trả kết quả; luân chuyển hồ sơ đến các bộ phận chức năng khác để thụ lý hồ sơ; phối hợp, xin ý kiến của các cán bộ, bộ phận chức năng khác; phê duyệt và ký hồ sơ; chuyển xử lý lại hồ sơ trong trường hợp cán bộ, bộ phận chức năng được chuyển không đảm bảo thời gian giải quyết hồ sơ,… o Trả kết quả, công đoạn bao gồm duyệt lại thông tin hồ sơ, tình trạng xử lý trước khi trả lại kết quả cho công dân, tổ chức, doanh nghiệp; in phiếu trả kết quả và thực hiện trả kết quả cho người dân o Khai thác thông tin, chức năng bao gồm tra cứu thông tin hồ sơ, thống kê kết quả xử lý hồ sơ theo địa bàn, loại hình dịch vụ, kết quả xử lý định kỳ hoặc theo thời gian bất kỳ; tra cứu tình trạng giải quyết hồ sơ thông qua điện thoại o Quản trị hệ thống, bao gồm quản trị người dùng, phân quyền thực hiện các chức năng của hệ thống; cập nhật danh mục hệ thống như chức vụ, dịch vụ, thủ tục, hướng dẫn thủ tục; định nghĩa quy trình giải quyết dịch vụ công; định nghĩa cơ sở dữ liệu chuyên ngành riêng cho mỗi lĩnh vực, phòng ban
3.2.3 Mô hình hệ thống MCĐT tại TPHCM
Hình 3.3: Mô hình hệ thống MCĐT tại TPHCM
3.2.4 Một số thành công và hạn chế - Quy trình giải quyết các thủ tục hành chính công trở nên đơn giản, gọn nhẹ giúp cán bộ chuyên môn giảm bớt áp lực làm việc, tạo sự thoải mái cho công dân đến giải quyết công việc Kết quả là 20% đến 30% lượng công việc thủ công được giảm xuống, hỗ trợ cán bộ trong quá trình thụ lý hồ sơ, cung cấp thông tin chính xác, kịp thời
Với sự phát triển của công nghệ thông tin (CNTT), người dân có thể giám sát, theo dõi và thực hiện các giao dịch với cơ quan nhà nước thông qua các phương tiện như website, điện thoại, tin nhắn Điều này giúp họ tiết kiệm thời gian và công sức Ngược lại, các cơ quan quản lý được cung cấp đầy đủ thông tin, phục vụ hiệu quả công tác điều hành và quản lý Đồng thời, họ có thể theo dõi sát sao từng bước công việc để chỉ đạo kịp thời, mang lại sự thuận tiện tối đa cho người dân.
- Thông tin về các thủ tục hành chính được công bố công khai, minh bạch giúp công dân trong việc tra cứu thông tin, tra cứu kết quả thụ lý hồ sơ, nhận thông tin tư vấn và chính vì thế, các công việc giải quyết hồ sơ của cơ quan nhà nước cũng được giám sát triệt để hơn
- Tạo lập được kho dữ liệu thông tin về quá trình giải quyết các hồ sơ thủ tục hành chính giúp lãnh đạo theo dõi tiến trình giải quyết hồ sơ một cách dễ dàng và có hệ thống để kịp thời đưa ra các biện pháp quản lý, chỉ đạo, điều hành Từng bước nâng cao trình độ quản lý, kỹ năng vận dụng CNTT vào giải quyết thủ tục hành chính công của cán bộ lãnh đạo
Ngoài một số thành công, vẫn còn một số mặt hạn chế:
- Chưa triệt để trong cơ chế “điện tử”, một số tiêu cực vẫn xuất hiện như việc lợi dụng thông tin thụ lý hồ sơ của cán bộ công chức, các tổ chức hoặc doanh nghiệp lợi dụng thông tin đó, đến gặp riêng để đề nghị sửa đổi những quyết định có lợi cho mình
- Chưa chi tiết trong báo cáo kết quả thụ lý và giải quyết hồ sơ của từng cán bộ, thời gian thực hiện và năng suất thực hiện
- Kiến thức và kỹ năng về CNTT của các bộ công chức nhà nước vẫn chưa được trang bị kỹ càng nên việc áp dụng CNTT vào sử dụng vẫn còn gặp khá nhiều khó khăn
- Các giải pháp MCĐT của các đơn vị hành chính công vẫn còn nhỏ lẻ, cơ sở cả 3 cấp, cấp trên không nắm được tình hình và chất lượng giải quyết của cấp dưới mà vẫn phải thông qua các báo cáo bằng văn bản rườm rà.
Điện toán đám mây
3.3.1 Lý thuyết về Điện toán đám mây - Khái niệm ĐTĐM o Cho đến thời điểm hiện nay vẫn chưa có một khái niệm, hay nói cụ thể hơn là định nghĩa, về ĐTĐM là gì Mỗi tổ chức, mỗi nhà phát triển và thậm chí là các tổ chức sử dụng có một quan niệm riêng về
“đám mây” mà mình tạo ra hoặc mình đang sử dụng Tạm lấy một khái niệm khá phổ biến về ĐTĐM, “ĐTĐM là một biểu tượng thông dụng hóa được sử dụng để mô tả một loạt các khái niệm về khả năng tính toán trong đó một số lượng lớn các máy tính được kết nối với nhau thông qua hệ thống mạng thời gian thực (có thể gọi là Internet) nhằm phục vụ các mục đích khác nhau trong nhu cầu sử dụng CNTT đáp ứng các yêu cầu công việc của tổ chức, doanh nghiệp
Trong thế giới dịch vụ điện toán đám mây, IaaS cung cấp cơ sở hạ tầng máy chủ và tài nguyên PaaS cung cấp nền tảng, bao gồm hệ điều hành, môi trường thực thi và ứng dụng máy chủ SaaS là dịch vụ gần gũi nhất với người dùng, cho phép họ truy cập ứng dụng thông qua chương trình cài đặt tại máy khách hoặc trình duyệt web Ngoài 3 mô hình dịch vụ cơ bản này, còn có các mô hình mở rộng như NaaS và DRaaS đáp ứng các nhu cầu cụ thể.
- Các mô hình phát triển ĐTĐM o Private Cloud: nhằm xây dựng hệ thống ĐTĐM cho một tổ chức riêng biệt, tách biệt với môi trường bên ngoài nhưng vẫn đáp ứng được đầy đủ các yếu tố ĐTĐM, mô hình này thường được áp dụng bởi các tổ chức có khối lượng hệ thống thông tin lớn và thường xuyên thay đổi hay cập nhật nhưng vẫn đảm bảo được các yếu tố an toàn an ninh dữ liệu o Public Cloud: hệ thống phổ biến hiện nay khi cung cấp dịch vụ cho người sử dụng, được công bố rộng rải thông qua mạng internet và sẵn sàng sử dụng, về cơ bản, không có sự khác biệt nhiều về mặt kiến trúc giữa private cloud và public cloud trừ các yếu tố về an toàn dữ liệu, bởi do dịch vụ này luôn sẵn sàng trong môi trường mạng không được bảo vệ an toàn, luôn bị ảnh hưởng bởi các tác nhân bên ngoài o Hybird Cloud: là sự kết hợp hai loại hình ĐTĐM nói trên Bằng cách sử dụng kiến trúc ĐTĐM “Hybird”, các tổ chức vừa sử dụng được khả năng sẵn sàng cao của hệ thống ĐTĐM, khả năng cấp phát linh hoạt về tài nguyên mà không phụ thuộc vào những rủi ro bảo mật hệ
3.3.2 Giá trị cốt lõi của ĐTĐM trong MCĐT - Bùng nổ dữ liệu, ĐTĐM là giải pháp duy nhất hiện nay đáp ứng được khả năng xử lý dữ liệu với dung lượng lớn Khi mà mô hình cơ sở dữ liệu quan hệ đã đảm bảo tính toàn vẹn của dữ liệu ở mức thấp nhất, thì dịch vụ cơ sở dữ liệu của ĐTĐM có thể sử dụng để đối phó với khả năng đáp ứng bùng nổ dữ liệu xử lý
- Có khả năng xem xét và ghi nhận cho tất cả sự thay đổi nội dung thông tin của toàn hệ thống theo định kỳ ĐTĐM cho phép phân tích các dữ liệu có dung lượng lớn và xác định nhanh chóng dữ liệu không chính xác, không hợp pháp Việc xem xét, ghi nhận thường xuyên hoạt động của hệ thống cho phép xây dựng những cơ chế bảo mật, an toàn, an ninh tăng cường độ tin cậy và độ sẵn sàng của các ứng dụng CPĐT
Công nghệ ảo hóa trong Điện toán đám mây giúp đảm bảo cơ sở hạ tầng CNTT hoạt động liên tục bằng cách sao lưu và phục hồi toàn bộ hạ tầng, bao gồm máy chủ, hệ điều hành, ứng dụng, lưu trữ và thiết bị mạng Kết hợp với tối ưu hóa kết nối mạng diện rộng thành phố, các tệp hạ tầng ảo hóa này có thể được sao chép và phục hồi tại các DRs từ xa, đảm bảo tính sẵn sàng và phục hồi trong trường hợp xảy ra sự cố.
Hiệu quả trong sử dụng tài nguyên và khả năng mở rộng là đặc điểm cốt lõi của công nghệ Đám mây, cho phép các ứng dụng chính phủ dễ dàng mở rộng theo chiều dọc bằng cách bổ sung các đơn vị tính toán, bộ nhớ và hệ thống lưu trữ hoặc theo chiều ngang thông qua kết nối các máy chủ.
Công nghệ ảo hóa hạ tầng cho phép người quản trị hoà.n toàn lựa chọn các cách thức mở rộng theo chiều sâu, mở rộng theo chiều dọc, hoặc kết hợp cà hai phương pháp để đảm bảo hệ thống MCĐT hoàn toàn đáp ứng được nhu cầu sử dụng của người dân ngay cả khi số lượng người sử dụng hệ thống tăng một cách đột biến
- Quản lý tập trung các chính sách trong vận hành hệ thống MCĐT Các chính sách vận hành, sau khi được xem xét khía cạnh bảo mật, an ninh, và an toàn thông tin, được chuẩn hóa và áp dụng lên hệ thống Người quản trị hệ thống hoàn toàn có thể kiểm tra các chính sách vận hành này được vận hành tại những bộ phận nào của hệ thống, những bộ phần nào không vận hành, và có thể xác định chính xác các lí do không vận hành để có được các biện pháp xử lý phù hợp
- Tích hợp hệ thống, tích hợp các ứng dụng cũng được thực hiện dễ dàng trên công nghệ ĐTĐM Do kế thừa từ nguyên lý kiến trúc hướng dịch vụ (SOA), cho nên không chỉ các ứng dụng rời rác thiết kết theo SOA, mà còn các dịch vụ được tích hợp từ các ứng dụng SOA rời rạc đều có thể chuyển lên sử dụng hạ tầng ảo hóa của công nghệ ĐTĐM
- Sử dụng công nghệ ĐTĐM chính là góp phần “xanh hóa” trung tâm dữ liệu khi chỉ sử dụng vừa đủ các tài nguyên CNTT phục vụ hệ thống
- Đó chính là các giá trị mang lại cho hệ thống MCĐT khi sử dụng công nghệ ĐTĐM
3.3.3 Áp dụng ĐTĐM cho hệ thống MCĐT tại QTSC - Ba yếu tố như khả năng cung cấp dịch vụ tức thì, mô hình chi trả chi phí theo nhu cầu sử dụng, và khả năng mở rộng xử lý bùng nổ kết nối- xử lý dữ liệu chính là ba đặc điểm nổi bật của công nghệ ĐTĐM Kiến trúc ĐTĐM kế thửa các nguyên lý hoạt động của mô hình hướng dịch vụ (Services Oriented Architecture-SOA) với 03 lớp trừu tượng là Infrastructure as a service (IaaS), Platform as a service (PaaS), Software as a service (SaaS)
- Infrastructure as a Service (IaaS) o IaaS cung cấp các dịch vụ ảo hóa như máy chủ, thiết bị lưu trữ, thiết bị kết nối mạng trong một trung tâm dữ liệu Kiến trúc ĐTĐM đưa ra hạ tầng đồng nhất cho tất cả các ứng dụng cài đặt và sử dụng o Hệ thống MCĐT yêu cầu có hệ thống hạ tầng CNTT có độ sẵn sàng cao với thời gian gián đoạn dịch vụ thấp nhất Các ứng dụng của hệ thống MCĐT sử dụng không giới hạn các kho tài nguyên CNTT như CPU, lưu trữ, và băng thông kết nối khi hoạt động trên ĐTĐM Các nhà phát triển ứng dụng của hệ thống CPĐT chỉ cần tập trung vào xử lý thông tin, tự đống hóa các qui trình, mà không cần chú ý đến các hạ tầng ở dưới
Nền tảng dịch vụ PaaS (Platform as a Service) cung cấp hạ tầng tiêu chuẩn phục vụ phát triển dịch vụ, bao gồm hệ điều hành, middleware và hệ thống tích hợp Middleware là dịch vụ cho phép triển khai tự động và nhanh chóng các ứng dụng, giúp rút ngắn thời gian phát triển và cải thiện hiệu quả vận hành hệ thống.
Các tiêu chuẩn được giới thiệu như sau: o OS Provisioning- Cung cấp các loại hệ điều hành, các ứng dụng đi kèm với hệ điều hành o Queuing Service- Cung cấp các dịch vụ tự động thực hiện cấu hình cài đặt ứng dụng o Database Services- Cung cấp các dịch vụ cơ sở dữ liệu o Middleware Serivces- Các dịch vụ cho phép các ứng dụng được cài đặt tự động và nhanh chóng o Workflow Services- Các dịch vụ xử lý theo qui trình
Thực trạng ATANTT của hệ thống MCĐT tại TPHCM
- Cơ chế MCĐT đã được đưa vào áp dụng rộng rãi ở nhiều quốc gia trên thế giới, đặt biệt là các nước có trình độ CNTT cao, đội ngũ cán bộ công chức có kiến thức khá vững về CNTT lẫn cơ chế một cửa điện tử để giải quyết các thủ tục hành chính như các quốc gia: Mĩ, Singapore…
Hiện nay, trong bối cảnh cải cách hành chính được đẩy mạnh, việc ứng dụng CNTT vào cải cách thủ tục hành chính đang được chú trọng Một bước tiến nổi bật trong quá trình này chính là việc triển khai ứng dụng Phần mềm một cửa điện tử (MCĐT) Công cụ này đóng vai trò quan trọng trong việc tin học hóa cải cách hành chính, giúp đơn giản hóa và minh bạch hóa các thủ tục hành chính, mang lại nhiều lợi ích cho công dân.
Bên cạnh những thành tựu đã đạt được trong quá trình triển khai hệ thống MCĐT, vẫn còn nhiều vướng mắc tồn tại Một trong những vấn đề được đề cập trong luận văn này nằm ở khía cạnh an toàn thông tin và an ninh mạng (ATANTT).
- Về phương diện cơ sở hạ tầng: o MCĐT là mô hình tổng thể liên kết và truyền đổi thông tin ứng dụng giữa các đơn vị hành chính cùng với sự tham gia của hệ thống MCĐT tập trung, tất cả các thông tin dữ liệu trao đổi này đều truyền dẫn thông qua môi trường mạng WAN của thành phố, do đó, cơ sở hạ tầng mạng được xem là một trong những hạ tầng quan trọng nhất vì là nền tảng để quản lý và tích hợp tất cả các cơ sở hạ tầng trọng yếu khác o Tại Việt Nam, khái niệm cơ sở hạ tầng thông tin trọng yếu chưa được định nghĩa chính thức trong hệ thống văn bản của Việt Nam Tuy nhiên, mạng viễn thông và Internet Việt Nam được khẳng định là cơ sở hạ tầng thông tin quốc gia, theo Nghị định số 25/2011/NĐ-CP quy định chi tiết và hướng dẫn thi hành một số điều của Luật Viễn thông, Nghị định 160/2004/NĐ-CP của Chính phủ quy định chi tiết một số điều của Pháp lệnh Bưu chính Viễn thông… o Trong thời gian qua, tình hình an ninh mạng tại Việt Nam có những diễn biến phức tạp với sự xuất hiện các cuộc tấn công vào hệ thống thông tin, vào các cơ quan tổ chức nhà nước và doanh nghiệp Trong khi đó, tại Việt Nam hiện vẫn chưa có cơ quan chuyên trách hay mạng lưới điều phối riêng về bảo vệ cơ sở hạ tầng thông tin trọng yếu Chức năng, nhiệm vụ này hiện vẫn được lồng ghép trong các cơ quan chuyên trách về đảm bảo an toàn thông tin tại Việt Nam Ngoài ra, chưa có hệ thống văn bản về bảo vệ cơ sở hạ tầng thông tin trọng yếu, chưa có khái niệm thống nhất về cơ sở hạ tầng thông tin trọng yếu,… Thực tế này đòi hỏi phải có ngay những giải pháp đồng bộ nhằm tăng cường bảo vệ và quản lý cơ sở hạ tầng thông tin trọng yếu tại Việt Nam o Trong bối cảnh phát triển nóng của thị trường thông tin truyền thông, cùng vai trò tác động ngày càng sâu rộng của các hệ thống thông tin và mạng đối với việc vận hành hiệu quả các cơ sở hạ tầng quan trọng của quốc gia, cần phải xây dựng những biện pháp, giải pháp đồng bộ nhằm tăng cường quản lý và bảo vệ cơ sở hạ tầng thông tin trọng yếu tại Việt Nam
- Về phương diện kỹ thuật:
Khi áp dụng các yếu tố CNTT vào hệ thống quản lý hành chính đã và sẽ phát sinh các nguy cơ đối với bảo mật và an toàn dữ liệu CNTT, và cụ thể đối với hệ thống MCĐT, một số rủi ro về ATANTT hiện tại có thể kể đến o Nguy cơ về bảo mật : sự rò rỉ thông tin đến từ các lỗ hổng về các ứng dụng hệ điều hành máy chủ, các ứng dụng cung cấp dịch vụ MCĐT, ứng dụng world wide web, ứng dụng cơ sở dữ liệu mà các đơn vị quản lý chưa quan tâm đúng mức trong việc: cập nhật các bản vá lỗi theo khuyến nghị của nhà phát triển sản phẩm; lưu trữ các tài liệu, mật khẩu liên quan đến các ứng dụng hệ thống không hợp lý dẫn đến lộ thông tin mật của hệ thống; chưa quan tâm và giám sát đúng mức đối với các ứng dụng hoạt động trên máy chủ, chưa có quy trình, quy chế về quản lý ứng dụng đặc thù trên máy chủ dẫn đến có quá nhiều các dịch vụ không cần thiết hoạt động song song với ứng dụng chính phủ
Nguy cơ đến từ sự thỏa hiệp, một khi thông tin bị rò rỉ, người tấn công sử dụng các phương thức như tấn công leo thang, tấn công phê chuẩn nhập liệu, tấn công tràn vùng đệm,… nhằm thu thập và lấy cắp thông tin nhạy cảm
Nguy cơ về bảo mật hệ thống mạng, các công cụ ngăn chặn truy cập trái phép như hệ thống tường lửa mạng, tường lửa ứng dụng, hệ thống giám sát ứng dụng và ngăn chặn tấn công như các thiết bị có tên F5 (thiết bị lưu trữ các bản ghi lịch sử) , IPS/IDS (thiết bị giám sát và phòng chống tấn công) đã được triển khai và áp dụng vào hệ thống MCĐT tập trung Bên cạnh đó, các chính sách áp dụng trên các thiết bị hỗ trợ cũng được cân nhắc và phê duyệt bởi lãnh đạo
Các biện pháp dò quét, tái đánh giá hệ thống MCĐT cũng được thực hiện định kỳ nhằm chủ động phát hiện các rủi ro và đề xuất biện pháp phòng tránh o Nguy cơ về an toàn dữ liệu: hiện tại, nếu không có biện pháp bảo vệ an toàn hợp lý cho các ứng dụng và cơ sở dữ liệu, các rủi ro có thể xảy ra:
Các sự cố hư hỏng các thiết bị lưu trữ
Cơ sở hạ tầng hoạt động không ổn định do các yếu tố về môi trường
Hư hỏng thiết bị do sự cố về điện
Mất dữ liệu do lỗi phát sinh trong quá trình điều hành, gây lỗi trong môi trường hệ điều hành thiết bị
Không có biện pháp tăng khả năng sẵn sàng của dữ liệu
Dữ liệu bị sửa đổi một cách bất hợp pháp hoặc bị đánh cắp
Người tấn công dùng các công cụ phi pháp nhằm xâm nhập hệ thống, phá hoại dữ liệu
Không có biện pháp sao lưu dự phòng dữ liệu, hoặc có biện pháp sao lưu mà không có biện pháp lưu trữ hợp lý
- Về yếu tố con người: Mặc dù công nghệ đóng vai trò quan trọng, song các chuyên gia bảo mật nhấn mạnh nó chỉ là công cụ chứ không phải giải pháp bảo mật hiệu quả Thực tế, nhiều nhân viên đã đánh cắp dữ liệu khi nghỉ việc, trong khi phần lớn hiểu được hành vi này là không được phép nhưng chỉ ít doanh nghiệp kiểm tra các văn bản bị đánh cắp.- Nhận thức về bảo mật cũng là vấn đề đáng lo ngại, đặc biệt tại các tổ chức hành chính với kiến thức công nghệ thông tin hạn chế, chưa có quy trình quản lý mật khẩu thống nhất, cũng như lãnh đạo chưa quan tâm đến bảo mật CNTT.- Về xây dựng hệ thống MCĐT: Dù có mối liên hệ tổng thể về mặt tổ chức và quản lý, nhưng việc áp dụng công nghệ vào hệ thống này cũng gặp nhiều vướng mắc trong quản lý và điều hành.
Về quản lý ứng dụng CNTT, lãnh đạo các đơn vị cần nâng cao nhận thức về vai trò, chức năng và kỹ năng quản lý CNTT để hiệu quả hơn trong triển khai các ứng dụng Việc thiếu hiểu biết về vai trò và lợi ích của CNTT trong quản lý, cũng như không nắm rõ cơ cấu tổ chức quản lý CNTT và hệ thống pháp luật về lĩnh vực này sẽ ảnh hưởng đến quá trình xây dựng kế hoạch ứng dụng CNTT Ngoài ra, việc nhận thức chưa đầy đủ về tầm quan trọng của bảo mật thông tin cũng là một vấn đề cần được quan tâm Theo các chuyên gia, nguồn nhân lực an ninh thông tin hiện đang thiếu trầm trọng những nhân viên có trình độ cao, trong khi nhiều nhân viên vẫn chưa ý thức được tầm quan trọng của việc bảo mật Các chuyên gia nhấn mạnh rằng, bên cạnh việc đầu tư thiết bị và giải pháp bảo mật, doanh nghiệp cần ban hành những quy định và chính sách về an ninh an toàn thông tin để nâng cao nhận thức và đảm bảo sự tuân thủ của nhân viên.
- Về mặt quản trị và sử dụng:
Về cơ bản hệ thống MCĐT triển khai tại TPHCM không phải là một hệ thống độc lập, thông tin dữ liệu không trao đổi trong hệ thống mạng LAN cục bộ, thay vào đó, dữ liệu được luân chuyển giữa các đơn vị Sở, Ban, Ngành và các đơn vị hành chính quận huyền đến hệ thống một cửa tập trung bằng hệ thống mạng diện rộng tại TPHCM, chính vì vậy, nguy cơ mất ATANTT về phương diện con người là khá cao, cụ thể: o Tại mỗi đơn vị hành chính công đều phải có hệ thống quản lý đặt thù cho riêng đơn vị đó, phải có nhân sự CNTT nhằm giám sát và duy trì hoạt động của hệ thống, có các đơn vị hành chính liên quan sử dụng các ứng dụng trên hệ thống này để cập nhật và thay đổi thông tin tương tác với công dân, phải quản lý được việc đồng bộ dữ liệu giữa đơn vị với hệ thống một cửa tập trung o Tại CVPMQT, đơn vị xây dựng cơ sở hạ tầng hệ thống điện tử một cửa tập trung, cũng phải có nhân sự nhằm giám sát, duy trì và khắc phục sự cố đối với hệ thống điện tử một cửa tập trung này o Trung tâm CNTT và truyền thông Sở TTTT là đơn vị chịu trách nhiệm chính trong việc điều hành và quản lý hệ thống MCĐT tập trung, theo dõi, và hỗ trợ các đơn vị hành chính khi có vấn đề liên quan về CNTT một cách kịp thời nhằm đảm bảo tiến độ cung cấp dịch vụ hành chính cho công dân
Do sự kết nối xuyên suốt giữa các cơ quan hành chính tại TPHCM dẫn tới nguy cơ mất an toàn thông tin (ATANTT) rất cao Đặc biệt, nhận thức yếu kém về bảo mật thông tin trong các cơ quan hành chính quốc gia là yếu tố làm gia tăng rủi ro này.
- Về các tác nhân bên ngoài: o Bên cạnh các tác nhân về kỹ thuật, con người, thêm một yếu tố cũng không thể bỏ qua đối với ATANTT hệ thống MCĐT Đối với một hệ thống có giao tiếp xuyên suốt qua các môi trường vật lý và luận lý, và quản lý bởi nhiều đơn vị khác nhau nên việc kiểm soát các truy cập vật lý trái phép, làm hư hại và cản trở thông tin và tài sản tổ chức là cấp thiết o Hiện nay hệ thống một cửa tập trung đang triển khai tại CVPMQT được quản lý nghiêm ngặt bởi hệ thống bảo vệ chặt chẽ (bởi đơn vị thứ ba) và hệ thống kiểm soát truy cập tự động và nhiều lớp bằng thẻ từ, quét vân tay, camera… nên các truy cập vật lý vào hệ thống được giảm thiểu tối đa Nhưng tại các đơn vị, điều này chưa được quan tâm đúng mức Các khu vực bảo mật cần được bảo vệ bằng các biên pháp kiểm soát truy cập thích hợp nhằm đảm bảo chỉ những người có thẩm quyền mới được phép truy cập Ngoài ra, các biện pháp bảo vệ vật lý chống lại những nguy cơ do cháy nỗ, ngập lụt, động đất, tình trạng náo loạn và các dạng thảm họa khác do thiên nhiên và con người gây ra vẫn chưa được thiết kế và áp dụng Để cụ thể hơn về mô tả tình hình ATANTT của hệ thống MCĐT này Vào đầu năm 2013, QTSC tiến hành đợt đánh giá ATANTT một cách toàn diện trên hệ thống MCĐT, các nội dung thực hiện và các đơn vị đánh giá liên quan được thống kê theo “Bảng thống kê tình hình ATANTT của hệ thống MCĐT” tại PHỤ LỤC B
Các đơn vị tham gia đánh giá bao gồm:
- STTTT: Sở Truyền Thông – Thông Tin, đơn vị chịu trách nhiệm chính trong quản lý hệ thống CPĐT, cụ thể trong luận văn này là hệ thống MCĐT
- CEPT: Trung Tâm Cảnh Báo Sự Cố Máy Tính, Khu Công Nghệ Phần Mềm – Đại Học Quốc Gia TPHCM
- DAS : Direct Assessment Services, tổ chức chứng nhận quốc tế ( DAS Việt Nam được công nhận bởi Tổng cục tiêu chuẩn đo lường chất lượng Việt Nam).
Sử dụng bộ tiêu chuẩn ISO 27005 để đánh giá rủi ro an toàn thông tin trên hệ thống MCĐT
thông tin trên hệ thống MCĐT
Toàn bộ hệ thống MCĐT xây dựng tại TPHCM được đánh giá rủi ro và thống kê kết quả bằng “Bảng thống kê đánh giá rủi ro hệ thống MCĐT”, được trình bày chi tiết tại PHỤ LỤC C (không bao gồm 3 cột cuối cùng) Sau đây là một số phân loại :
- Phân loại tài sản đầu vào: o Phần cứng o Phần mềm o Thông tin : các tập tin, giấy o Con người o Thang điểm phân loại tài sản dựa trên các yếu tố sẵn sàng, tính bảo mật và tính toàn vẹn
Bảo mật thông tin tài sản là cực kỳ quan trọng vì đây là tài sản vô cùng nhạy cảm và có giá trị với tổ chức Nếu để lộ thông tin hoặc sử dụng tài sản trái phép sẽ gây ra những tổn hại nghiêm trọng cho hệ thống MCĐT bao gồm cấu hình hệ thống, sơ đồ hệ thống, thông tin tài khoản đăng nhập hệ thống, hệ thống mạng Từ đó gây ảnh hưởng đáng kể đến hoạt động tài chính, pháp lý, cạnh tranh và thương hiệu của công ty.
Trung Bình Tài sản , thông tin không được tiết lộ cho đơn vị thứ
3 Sự tiết lộ thông tin, sử dụng tài sản trái phép gây ra sự thiệt hại hạn chế với tổ chức (các bộ phận trong tổ chức )
Thấp Thông tin tiết lộ không ảnh hưởng hoạt động của đơn vị Tác động đến người sử dụng
Sự suy giảm tính toàn vẹn của thông tin không thể chấp nhận được Ví dụ điển hình là sự thay đổi nội dung thông tin so với dữ liệu Các phép tính phải đảm bảo độ chính xác và hoàn chỉnh.
Trung Bình Có ảnh hưởng, tác động đáng kể với các hoạt động cung cấp dịch vụ Sự suy giảm tính toàn vẹn của thông tin, tài sản chỉ tác động đến từng bộ phận (các bộ phận trong hệ thống)
Thấp Tác động của sự suy giảm không đáng kể Tác động đến người dùng cuối
Tính sẵn sàng Cao Thời gian đáp ứng dưới 30 phút
Trung Bình Thời gian đáp ứng 48 giờ
Thấp Thời gian đáp ứng 5 ngày
Bảng 4.1: Bảng phân loại tài sản o Thang đo tính sẵn sàng dựa vào số liệu trên các cam kết về:
Các cam kết SLA mà QTSC ký kết với đối tác và khách hàng về thời gian cung cấp, vận hành và duy trì hệ thống
Cam kết của lãnh đạo về khả năng sẵn sàng của hệ thống
Cam kết của nhân sự quản lý trực tiếp về công việc vận hành
- Về phân loại các mối đe dọa đối với hệ thống MCĐT, tôi chia thành các mối đe dọa sau: o Mối đe dọa từ môi trường: các mối đe dọa bởi các tác nhân môi trường bên ngoài o Mối đe dọa từ con người: yếu tố con người là một trong những mối đe dọa hàng đầu trong vấn đề ATANTT bao gồm các yếu tố như sử dụng thiết bị, dịch vụ, ứng dụng không đúng mục đích, sử dụng trái phép, trộm cắp các trang thiết bị xử lý thông tin,… o Mối đe dọa từ các yếu tố kỹ thuật: phát sinh từ các yếu tố như lỗi thiết bị, các sự cố gây hư hỏng thiết bị, các sự cố về phần mềm,… o Mối đe dọa từ thông tin: bao gồm nghe trộm thông tin, rò rỉ thông tin, mất trộm các phương tiện thông tin hoặc tài liệu, dữ liệu các nguồn tin không đáng tin cậy,… o Mối đe dọa từ các yếu tố tổ chức: như việc phân quyền hạn trách nhiệm không đúng, vi phạm các yếu tố về lưu trữ thông tin, thiếu các thủ tục kiểm soát thông tin dẫn đến xử lý các dữ liệu bất hợp pháp,…
- Về lựa chọn phương pháp xử lý rủi ro, tôi giải thích 4 lựa chọn chính: o Từ bỏ: từ bỏ tài sản gây ra rủi ro o Chuyển: chuyển đến bộ phận hoặc đơn vị khác xử lý rủi ro o Giảm: lựa chọn biện pháp xử lý rủi ro nhằm làm giảm tác động của rủi ro o Chấp nhận: chấp nhận rủi ro
Tuy nhiên, đối với hệ thống MCĐT của TPHCM, do đây là hệ thống thông tin phục vụ việc trao đổi dữ liệu quan trọng giữa các cơ quan hành chính nhà nước Do đó, khi rủi ro xảy ra gây mất khả năng sẵn sàng của hệ thống là điều không thể chấp nhận Vì vậy, phương pháp xử lý rủi ro "chấp nhận" không phù hợp trong trường hợp này.
- Về các đánh giá khả năng và mức độ tác động của rủi ro: o Về khả năng xảy ra: sử dụng phương pháp phân tích định tính để mô tả tần suất mà rủi ro có thể xảy ra (thể hiện trong luận văn này bao gồm 3 loại là Thấp, Trung Bình và Cao) Mô tả theo bảng sau:
Khả năng xảy ra Chú thích
Cao Xảy ra 1 lần / 1 tháng
Trung Bình Xảy ra 1 lần / 6 tháng
Thấp Xảy ra 1 lần / 12 tháng
Bảng 4.2: Bảng phân đánh giá khả năng xảy ra rủi ro o Về mức độ tác động: tương tự, bằng cách sử dụng thang thuộc tính chất lượng Thấp, Trung Bình và Cao để mô tả về mức độ tác động
Cấp độ về tác động
Cao Nghiêm trọng ảnh hưởng thời gian dài (trên 48 giờ) Ảnh hưởng nghiêm trọng dữ liệu và hoạt động cung cấp dữ liệu (cụ thể hoặc là mất dữ liệu vĩnh viễn, hoặc phải bỏ ra chi phí rất cao để khôi phục dữ liệu, hoặc khôi phục dữ liệu trong thời gian dài_trên 48 giờ) Ảnh hưởng về tài chính, luật pháp, cạnh tranh, hoạt động kinh doanh của công ty Tốn nhiều nguồn lực để xử lý (thậm chí phải sử dụng nguồn lực chuyên gia thuê ngoài)
Trung Bình Có ảnh hưởng đến hoạt động của dữ liệu nhưng có thời gian xử lý khắc phục thấp hơn (vào khoảng 48 giờ) Chi phí xử lý hậu quả không cao, tiêu tốn nguồn lực không nhiều (cụ thể là chỉ cần nguồn lực tại QTSC là đủ để xử lý)
Thấp Hậu quả nhỏ, không cần nhiều nguồn lực để xử lý
Bảng 4.3: Bảng đánh giá mức độ tác động của ảnh hưởng o Kết luận mức độ rủi ro: là kết quả chiết xuất từ 2 tiêu chí khả năng xảy ra và mức độ tác động, và quan trọng nhất kết quả này phải được cam kết bởi lãnh đạo.
Đề xuất biện pháp xử lý rủi ro
Như phân tích tại 4.2, mỗi đe dọa bao gồm nguyên nhân và hậu quả tương ứng với từng loại đe dọa Và ứng với mỗi đe dọa tôi đã chỉ ra biện pháp kiểm soát cho từng mối đe dọa đó dựa theo tiêu chuẩn ISO 27001 Từ đó, tôi áp dụng các hướng dẫn trong bộ tiêu chuẩn ISO 27002 tương ứng với các kiểm soát đã xác định để xây dựng bộ quy trình, quy định, chính sách và hướng dẫn để giảm thiểu các rủi ro này Cụ thể ứng với từng mối đe dọa sẽ có đề xuất biện pháp xử lý rủi ro bằng các chính sách, quy trình, quy định, hướng dẫn được mô tả chi tiết tại PHỤ LỤC A:
- Về mối đe dọa không bảo trì, bảo dưỡng định kỳ hệ thống: o Đề xuất áp dụng “Quy trình quản lý và bảo trì thiết bị” o Đề xuất áp dụng “Hướng dẫn trình tự thi công phù hợp chuẩn ISMS_A9A10”
- Không thực hiện sao lưu dữ liệu hệ thống: Đề xuất áp dụng “Hướng dẫn khai báo dịch vụ sao lưu”
- Máy chủ chạy những phần mềm không mong muốn: Đề xuất áp dụng
“Hướng dẫn kiểm tra danh sách phần mềm cho phép”
Các lỗ hổng phổ biến trong phần mềm thường bắt nguồn từ việc máy chủ hoặc ứng dụng không áp dụng các tiêu chuẩn an ninh tối thiểu Để giải quyết vấn đề này, các tổ chức nên áp dụng "Hướng dẫn cập nhật vá lỗi hệ thống" nhằm đảm bảo rằng phần mềm luôn được cập nhật với các bản vá lỗi bảo mật mới nhất.
- Phần mềm cấu hình không đúng: o Đề xuất áp dụng “Quy trình quản lý, nâng cấp và thay đổi hệ thống” o Đề xuất áp dụng “Quy định kiểm soát sự thay đổi” o Đề xuất áp dụng “Chính sách ATANTT”
- Các loại tài khoản có mật khẩu đơn giản: o Đề xuất áp dụng “Chính sách ATANTT” o Đề xuất áp dụng “Quy định quản lý và đặt mật khẩu” o Đề xuất áp dụng “Hướng dẫn sử dụng hệ thống giám sát truy cập”
- Hành động lưu trữ mật khẩu của người dùng, vi phạm việc lưu trữ thông tin: Đề xuất áp dụng “Chính sách ATANTT”
- Không đăng xuất hệ thống khi không còn sử dụng: Đề xuất áp dụng “Chính sách ATANTT”
- Phân quyền sử dụng không đúng: o Đề xuất áp dụng “Chính sách ATANTT” o Đề xuất áp dụng “Hướng dẫn sử dụng hệ thống giám sát truy cập”
- Sử dụng dữ liệu từ các nguồn không đáng tin cậy: Đề xuất áp dụng “Quy định kiểm soát mã độc hại”.
Áp dụng các biện pháp đề xuất vào hiện trạng an toàn an ninh hệ thống MCĐT tại TPHCM và đánh giá kết quả
hệ thống MCĐT tại TPHCM và đánh giá kết quả
4.4.1 Áp dụng biện pháp xử lý và phân tích - Hệ thống MCĐT là hệ thống có mô hình hoạt động khá đặc trưng, về cơ bản, hệ thống này có thể triển khai để hoạt động một cách tập trung, tất cả đầu mối quản lý hồ sơ, công văn hành chính đều quy về hệ thống trung tâm, nhưng do mỗi đơn vị có cấu trúc hoạt động và ứng dụng dịch vụ khác nhau cùng với việc chính phủ đưa CNTT vào quản lý hành chính nhưng cũng chỉ mới đi những bước đầu tiên, vẫn còn sơ khai nhiều thiếu sót nên việc chuẩn hóa toàn bộ ứng dụng của các đơn vị hành chính chưa thực hiện triệt để, một vài đơn vị gặp trở ngại trong công tác chuyển đổi dữ liệu về tập trung trên một hệ thống Chính vì thế, mô hình MCĐT tại TPHCM có nét khác biệt so với các mô hình MCĐT khác trong nước và trên thế giới, và cũng chính do nét đặc trưng này dẫn đến một số hệ lụy trong công tác quản lý và thực thi ATANTT và bảo vệ dữ liệu cho hệ thống Việc tương tác, chuyển đổi dữ liệu trong mô hình khác phức tạp nên đòi hỏi cần có biện pháp quản lý an toàn an ninh chặt chẽ hơn và xuyên suốt giữa các đơn vị chủ quản
- Theo kết quả đánh giá rủi ro dựa trên tiêu chuẩn ISO 27005, luận văn này chia hiện trạng an toàn an ninh dữ liệu của hệ thống một cửa hiện nay thành các công đoạn cần áp dụng biện pháp đề xuất như sau: o Yếu tố môi trường và đề xuất biện pháp
TPHCM là tỉnh thành trong cả nước có điều kiện môi trường tương đối ổn định, không gặp phải các vấn đề nghiêm trọng như thiên tai, động đất, lũ lụt,…là nơi lý tưởng để xây dựng các hệ thống thông tin trọng yếu, đặt biệt là các hệ thống quản lý hành chính quốc gia, nhưng không vì thế mà bỏ qua các yếu tố đánh giá rủi ro về môi trường đảm bảo tính sẵn sàng của hệ thống, luận văn này sẽ đề cập đến vấn đề này trong mục các biện pháp đề xuất mở rộng Yếu tố môi trường chính yếu được đánh giá trong hệ thống thông tin MCĐT là các yếu tố cơ sở hạ tầng, đảm bảo hoạt động cho hệ thống, bao gồm:
Môi trường tác động đến cơ sở hạ tầng mạng, viễn thông có thể kể ra như: yếu tố môi trường ảnh hưởng đến hệ thống truyền dẫn (cáp mạng, quang, hộp tập điểm ngoài trời,…) bao gồm nhiệt độ, độ ẩm, sét, côn trùng, động vật phá hoại…
Môi trường tác động đến hệ thống thiết bị cung cấp dịch vụ hệ thống thông tin như: các thiết bị mạng (thiết bị định tuyến mạng_router, thiết bị truyền dẫn mạng_switch, các thiết bị tường lửa, máy chủ, thiết bị lưu trữ,…) bao gồm nhiệt độ, độ ẩm, sét, phòng chống cháy nổ, hệ thống lưu điện, phát điện
Bảo vệ an toàn vành đai vật lý, sử dụng đường bao an ninh (hàng rào ngăn chặn như các bức tường, cổng vào được kiểm soát bằng thẻ, quầy lễ tân có người trực) để bảo vệ các khu vực chứa thông tin và phương tiện xử lý thông tin để ngăn chặn truy cập vật lý trái phép, ngăn chặn những thiệt hại, những can thiệp đến hệ thống, dịch vụ và thiết bị của hệ thống
Hiện tại QTSC là đơn vị chịu trách nhiệm xây dựng hệ thống thông tin MCĐT, do đó việc đảm bảo các yêu cầu về hạ tầng dữ liệu phải tuần theo chuẩn Trung tâm dữ liệu TIA-942 và phải được giám sát và kiểm tra chặt chẽ và định kỳ Hiện nay QTSC sử dụng dịch vụ bởi đối tác thứ 3 cung cấp các dịch vụ về phòng chống cháy nổ, điều hòa nhiệt độ, độ ẩm, bảo vệ vành đai vật lý,… nhằm đảm bảo các điều kiện vật lý cho các hoạt động cung cấp dịch vụ ổn định tại Trung tâm dữ liệu Song song đó, các hệ thống phòng chống tác nhân gây hại từ môi trường cũng phải được giám sát thường xuyên 24/7,nhằm đảm bảo hoạt động phòng chống là hữu ích, bởi hệ thống cảnh báo là các công cụ chuyên dụng đi kèm với thiết bị hạ tầng và các nhân sự chuyên trách của QTSC, khi có các dấu hiệu cảnh báo về phát sinh lỗi, QTSC yêu cầu trực tiếp đơn vị kiểm tra và khắc phục, sửa chữa
Và cuối cùng, cũng không kém phần quan trọng là diễn tập các tình huống khẩn cấp về sự cố hệ thống để tránh bị động khi có sự cố thực sự xảy ra o Yếu tố về thông tin:
Thông tin là yếu tố cốt lõi của mọi tổ chức, là mục tiêu chính của tin tặc Sự phát triển nhanh chóng của hệ thống máy tính, phiên bản ứng dụng liên tục được cập nhật và hệ thống mạng mở rộng khiến lỗ hổng phần mềm ngày càng nhiều, tạo điều kiện thuận lợi cho các cuộc tấn công trái phép Do đó, chính sách bảo vệ thông tin cần xác định rõ tài nguyên thông tin cần được bảo vệ và mức độ bảo vệ phù hợp.
Theo phân tích hiện trạng của hệ thống MCĐT, thông tin có thể được chia thành các dạng sau:
Dữ liệu hệ thống CPĐT: dữ liệu này bao gồm các ứng dụng cung cấp dịch vụ MCĐT, cơ sở dữ liệu của ứng dụng MCĐT nhằm lưu trữ các thông tin của công chúng vào hệ thống để phục vụ việc quản lý hồ sơ, dữ liệu truyền tải giữa hệ thống một cửa trung tâm và hệ thống một cửa tại đơn vị được đồng bộ với nhau bằng ứng dụng chuyên dùng
Thông tin quản trị hệ thống MCĐT bao gồm: hồ sơ kỹ thuật hệ thống, các chính sách truy cập hệ thống, phân quyền hệ thống, tài khoản mật khẩu quản trị hệ thống
Thông tin trao đổi giữa các đơn vị quản lý trong toàn bộ hệ thống thông qua các phương tiện truyền thông như email, điện thoại, công văn,
Bên cạnh một số biện pháp kỹ thuật trong công tác đảm bảo an toàn thông tin số đang áp dụng tại QTSC, có thể kể đến như sau:
Về đảm bảo tính bảo mật:
Hệ thống an ninh mạng như tường lửa mạng, các chính sách an ninh trên các thiết bị mạng như phân vùng mạng (vlan), danh sách điều khiển truy cập (access control list)
Hệ thống dò quét mã độc và virus máy tính
Hệ thống an ninh ứng dụng như tường lửa ứng dụng(WAF, Deep Security)
Về đảm bảo tính sẵn sàng:
Hệ thống bảo vệ và ngăn chặn tấn công như IPS, IDS
Hệ thống sao lưu và phục hồi dữ liệu
Về đảm bảo tính toàn vẹn:
Hệ thống dò quét mã độc và virus máy tính
Hệ thống an ninh ứng dụng như tường lửa ứng dụng(WAF, Deep Security)
Hệ thống giám sát lịch sử truy cập (access logs) và cảnh báo
Chứng chỉ số, chữ ký điện tử
Cần phải có các biện pháp và chính sách bảo vệ thông tin toàn diện hơn và xuyên suốt toàn bộ hệ thống Chính vì vậy, mọi cơ quan, tổ chức cần phải xây dựng một chính sách bảo mật thống nhất, mọi thành viên đều phải tuân thủ một chính sách chung, và ở luận văn này, tôi áp dụng các chính sách trong quản lý trong bộ tiêu chuẩn ISO 27001, và đối với hệ thống MCĐT, tôi đề xuất áp dụng một số chính sách như sau:
Hướng dẫn khai báo và sử dụng dịch vụ sao lưu phục hồi
Quy định kiểm soát sự thay đổi
Quy định về quản lý và đặt mật khẩu
Quy định về quản lý các phương tiên lưu trữ
Quy trình làm việc với đơn vị thứ 3 o Yếu tố kỹ thuật và đề xuất biện pháp Về yếu tố kỹ thuật, tôi xin thống kê lại dưới dạng bảng như sau:
Các nội dung hiện tai còn vướng mắc của hệ thống MCĐT Đề xuất biện pháp giải quyết
Để đảm bảo an toàn cho dữ liệu, bạn cần áp dụng tính năng mã hóa tích hợp trong các công cụ sao lưu dữ liệu Tránh sử dụng trực tiếp các ổ lưu trữ trên thiết bị mà không có ứng dụng bảo vệ cho phép, đặc biệt là các phương tiện lưu trữ yêu cầu bảo mật nghiêm ngặt.
Không cập nhật các bản vá hệ điều hành và các ứng dụng hoạt động trên hệ điều hành Áp dụng Hướng dẫn các bản vá lỗi phù hợp
Phát sinh một số ứng dụng không cần thiết hoạt động trong hệ thống Áp dụng Hướng dẫn kiểm tra ứng dụng mặc định hệ thống
