Sau các vấn đề đã xảy ra do mất an toàn thông tin trong thời gian vừa qua, các cơ quan đơn vị phần nào đã coi trọng hơn công tác bảo vệ, phòng ngừa và ngăn chặn các sự cố an toàn thông tin có thể xảy ra. Tuy nhiên trên thực tế việc thiết lập các biện pháp bảo vệ hệ thống thông tin một cách hiệu quả là rất khó đối với hầu hết các cơ quan cũng như doanh nghiệp. Qua tham khảo các nước đã có kinh nghiệm và thành công trong việc bảo đảm an toàn thông tin thì việc nhà nước xây dựng và ban hành các tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật, hướng dẫn đảm bảo an toàn thông tin đóng vai trò rất quan trọng. Đặc biệt đối với các cơ quan nhà nước, nhiều nước đã ban hành các hướng dẫn dưới cả hai hình thức bắt buộc và khuyến khích áp dụng.
Trang 1Chương 0 – Giới thiệu chung
Chương I – Quản lý an toàn thông tin
Chương II – Tổng quan TCVN 7562:2005 và ISO/IEC 17799:2005
Chương III – Phân tích đánh giá khả năng áp dụng và chọn lựa biện pháp phù hợp, cần thiết phải tuân thủ trong việc quản lý an toàn của các hệ thống thông tin ở Việt Nam Chương IV - Một số cơ quan đã tham khảo ý kiến
Phụ lục 1 – Bảng phân tích đánh giá khả năng áp dụng và chọn lựa qui tắc phù hợp, cần thiết phải tuân thủ
Phụ lục 2 - Bảng lựa chọn quy tắc quản lý an toàn thông tin
Trang 2Danh mục từ viết tắt
ATTT: An toàn thông tin
QLATTT: Quản lý an toàn thông tin
BASE: Basic Analysis and Security Engine
HIDS: Host Intrusion Detection System
IDS: Intrusion Detection System
NIDS: Network Intrusion Detection System
OSSIM: Open Source Security Information Management
PADS: Passive Asset Detection System
Trang 3Chương 0 Giới thiệu chung
Sau các vấn đề đã xảy ra do mất an toàn thông tin trong thời gian vừa qua, các cơ quan đơn vị phần nào đã coi trọng hơn công tác bảo vệ, phòng ngừa và ngăn chặn các sự cố an toàn thông tin có thể xảy ra Tuy nhiên trên thực tế việc thiết lập các biện pháp bảo vệ hệ thống thông tin một cách hiệu quả là rất khó đối với hầu hết các cơ quan cũng như doanh nghiệp Qua tham khảo các nước đã
có kinh nghiệm và thành công trong việc bảo đảm an toàn thông tin thì việc nhà nước xây dựng và ban hành các tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật, hướng dẫn đảm bảo an toàn thông tin đóng vai trò rất quan trọng Đặc biệt đối với các
cơ quan nhà nước, nhiều nước đã ban hành các hướng dẫn dưới cả hai hình thức bắt buộc và khuyến khích áp dụng
Tại Việt nam vào năm 2005, tổng cục tiêu chuẩn đo lường chất lượng đã ban hành TCVN 7562:2005 với tên gọi “Mã thực hành quản lý an ninh thông tin” Nội dung tiêu chuẩn đã đưa ra các quy tắc thực hành đảm bảo an toàn thông tin chấp thuận nguyên bản tiêu chuẩn ISO 17799:2000 Tuy nhiên việc áp dụng hoàn toàn tiêu chuẩn TCVN 7562:2005 là rất khó với điều kiện Việt Nam hiện nay, do đó Trung tâm VNCERT có được Bộ BCVT có đặt ra đề tài nghiên cứu TCVN 7562:2005 để chọn lọc ra các quy tắc quản lý an toàn thông tin cần thiết nhất bắt buộc áp dụng Tuy nhiên sau quá trình nghiên cứu kỹ TCVN 7562:2005 cũng như tình hình áp dụng tiêu chuẩn ATTT trên thế giới, nhóm nghiên cứu thấy tồn tại các vấn đề sau:
- Tiêu chuẩn ISO 17799:2000 chính là tài liệu gốc của TCVN 7562:2005 nay đã không còn phù hợp với tình hình thực tế do đó đã được tổ chức ISO/IEC biên soạn lại và ban hành phiên bản thay thế là ISO 17799:2005 Cấu trúc của ISO 17799:2005 và TCVN 7562 cũng như ISO 17799:2000
có những thay đổi lớn được trình bày chi tiết trong phần phục lục của báo cáo này Về cơ bản ISO 17799:2000 không đáp ứng được các yêu cầu thực
Trang 4tế do sự phát triển nhanh của các dịch vụ thương mại điện tử, xác thực người sử dụng và bảo mật trước các kỹ thuật tấn công mới của tin tặc.
- Nội dung tiêu chuẩn TCVN 7562:2005 có nhiều điểm dịch không được chính xác nên gây khó hiểu cho người thực hiện
- Các hệ thống thông tin tại Việt Nam rất đa dạng, việc đáp ứng được nhu cầu cho tất cả các loại hệ thống thông tin tại Việt Nam là rất khó khăn Do
đó đề tài tập trung chính vào đối tượng là các cơ quan nhà nước
Trên cơ sở này nhóm đề tài đã thu thập, biên dịch nghiên cứu tiêu chuẩn ISO 17799:2005 và sử dụng đây như là tài liệu gốc để xây dựng quy chuẩn kỹ thuật “quy tắc quản lý an toàn thông tin” chứ không sử dụng TCVN 7562:2005 như trong đề cuơng đã nêu
Để đảm khả năng áp dụng thành công và linh hoạt cho từng đối tượng, kết quả đề tài đưa ra hai sản phẩm:
+ Bản dự thảo quy chuẩn kỹ thuật “Quy tắc quản lý an toàn thông tin”
để áp dụng trong các cơ quan nhà nước Nội dung quy chuẩn bao gồm các quy tắc cần thiết nhất mà các CQNN đều phải tuân thủ để đảm bảo hệ thống thông tin đạt được mức an toàn tối thiểu
+ Bản dự thảo các biện pháp quản lý an toàn thông tin khuyến khích
áp dụng trong các cơ quan nhà nước Nội dung bản dự thảo đưa ra thêm một số quy tắc quản lý an toàn thông tin so với bản quy chuẩn kỹ thuật, để các cơ quan nhà nước cũng như các tổ chức có thể xem xét áp dụng trong điều kiện có thể để có thể nâng cao mức độ an toàn cho hệ thống thông tin
Trang 5Chương I Quản lý an toàn thông tin
I Nhiệm vụ của quản lý ATTT (QLATTT)
Nhiệm vụ của quản lý ATTT là quản lý được các đặc tính bí mật, toàn vẹn
và sẵn sàng của các hệ thống thông tin phục vụ các hoạt động của một tổ chức
Hình 1 – Tam giác an toàn thông tin
1.1 Đặc tính bí mật – C (Confidentiality)
Đặc tính bí mật đảm bảo thông tin chỉ cung cấp cho những người có thẩm quyền Như vậy confidentiality là biện pháp ngăn ngừa các hành vi cố ý hay vô
ý xem thông tin không được cấp phép
Ví dụ: một ngân hàng thì rất cần giữ bí mật thông tin cá nhân, số tiền trong tài khoản, lịch sử giao dịch,… của khách hàng Do yêu cầu hiện đại hoá các hoạt động nên ngân hàng đã xây dựng một website ngân hàng trực tuyến nhằm cho phép khách hàng có thể đăng ký tài khoản và thực hiện các giao dịch thông qua website này Website do đội ngũ cán bộ CNTT của ngân hàng thiết kế và phát triển Tuy nhiên do một số giới hạn về kiến thức và quy trình phát triển an toàn ứng dụng nên website này mắc lỗi trong quản lý phiên làm việc (session
Trang 6management), điều này dẫn đến việc bất kỳ người dùng nào của hệ thống cũng
có thể đăng nhập và truy vấn tài khoản của các tài khoản khác, kể cả các tài khoản không đăng ký sử dụng website để giao dịch
Hình 2 – Website ngân hàng trực tuyến
Trong Hình 3 thì user A sau khi đăng nhập thì hoàn toàn có khả năng truy vấn các tài khoản của các user B,…,X
Hình 3 – Minh hoạ lỗi quản lý phiên làm việc làm mất tính bí mật thông tin
Tin tặc đã lợi dụng lỗi này để truy vấn thông tin của tất cả tài khoản thuộc
Trang 7ngân hàng này.
Các nguyên nhân dẫn đến sự cố mất an toàn về bí mật thông tin trên là:
1 Ngân hàng tự phát triển phần mềm không tuân thủ các yêu cầu về an toàn trong ứng dụng ngân hàng trực tuyến cụ thể là bỏ qua các biện pháp kiểm soát phiên làm việc;
2 Không giám sát đầy đủ quá trình hoạt động của hệ thống để có thể phát hiện dấu hiệu bất thường của việc usert A truy vấn tài khoản của các usert khác;
Để bảo vệ đặc tính bí mật cho dịch vụ ngân hàng trực tuyến trên cần thực hiện nhiều giải pháp và kèm theo là các chi phí liên quan:
1 Cần tuân thủ đầy đủ các yêu cầu về an toàn trong các quá trình phát triển, triển khai và vận hành hệ thống Chi phí: mất thêm thời gian cho giai đoạn phát triển ứng dụng, nhân sự cần được đào tạo về kỷ năng phát triển an toàn ứng dụng,…
2 Giám sát thường xuyên và rà soát hệ thống định kỳ Chi phí: chi phí xây dựng vào bảo trì các hệ thống giám sát, chi phí giám sát, nhân sự, …
Đôi khi các điểm yếu rất dễ lợi dụng nhưng lại có thể gây ra các hậu quả rất lớn cho sự toàn vẹn thông tin của một tổ chức nếu không có các biện pháp bảo
vệ đúng đắn
Các nguyên nhân dẫn đến sự cố mất an toàn về toàn vẹn thông tin trên là:
1 Website có điểm yếu, được thông báo nhưng không khắc phục kịp thời;
Trang 82 Thiếu cán bộ chuyên trách đủ năng lực, xử lý sự cố không đúng quy trình.
Hình 4 – Giao diện trang chủ của website Bộ GDĐT khi bị hacker tấn công
Trong thực tế các lỗi bảo mật rất dễ khai thác, các hacker có thể dựa trên các hướng dẫn có sẵn để tấn công vào các hệ thống mắc lỗi Ví dụ: có rất nhiều website có phần đăng nhập dành cho người dùng và người quản trị hệ thống, phần đăng nhập thường bao gồm trường username (hay ID) và trường password Khi người dùng cung cấp đúng cặp username/password có trong cơ sở dữ liệu của hệ thống thì họ sẽ được phép truy cập trang nội bộ của hệ thống, nếu sai họ
sẽ được dẫn đến trang thông báo lỗi
Về mặt logic khi người dùng nhập giá trị name=‘admin’ và pass=‘wrong’ (một password không chính xác), hệ thống sẽ kiểm tra theo câu lệnh:
SELECT * FROM users WHERE (name=‘admin’ AND pass=‘wrong’)
Câu lệnh này sẽ kiểm tra hai giá trị người dùng nhập vào bằng biểu thức
Trang 9logic (name= ‘admin’ AND pass=‘wrong’), nếu biểu thức này có giá trị là TRUE người dùng sẽ được phép đăng nhập (do trong cơ sở dữ liệu users có username admin và passord tương ứng là wrong), nếu biểu thức này có giá trị là FALSE người dùng sẽ được báo lỗi đăng nhập Trong trường hợp này người dùng sẽ nhận được thông báo lỗi.
Hình 5 – Logic xử lý đăng nhập của các hệ thống
Lợi dụng logic này hacker có thể đơn giản nhập cặp giá trị:
name=‘’ or ‘a’= ‘a’ và pass==‘’ or ‘a’= ‘a’
Khi đó biểu thức logic kiểm tra quá trình đăng nhập sẽ là:
(name=‘’ or ‘a’= ‘a’ AND pass=‘’ or ‘a’= ‘a’)
Ta có thể viết lại biểu thức này thành biểu thức tương đương như sau:
(((name=‘’) or (‘a’= ‘a ’) ) AND ((pass=‘’) or (‘a’= ‘a ’)) )
Đây là mệnh đề AND của hai mệnh đề con giống nhau ((pass=‘’) or (‘a’=
‘a’)) Có thể dẽ dàng nhận thấy giá trị của mệnh đề con này luôn là TRUE do
(‘a’= ‘a’) là một mệnh đề TRUE
Như vậy toàn bộ biểu thức logic sẽ cho giá trị là TRUE và điều này có
Trang 10nghĩa là hacker được phép đăng nhập vào hệ thống Bất cứ hacker nào cũng có thể copy cụm giá trị ’ or ‘a’= ‘a để thử đăng nhập vào các hệ thống khi không hề biết username và password hợp lệ Đây là một trong các kỹ thuật vượt hệ thống kiểm soát đăng nhập (authentication bypass).
Hình 6 – Hacker đăng nhập hệ thống không cần username và password
Sau khi đăng nhập hệ thống hacker có thể dễ dàng dùng một chức năng tải file lên hệ thống (upload) đưa một file mã độc vào hệ thống (Hình 7) Mã độc này có đầy đủ chức năng để hacker nắm quyền điều khiển toàn bộ hệ thống (Hình 8)
Nguyên nhân chính dẫn đến lỗi bảo mật trên là do các lập trình viên khi lập trình phát triển hệ thống đã bỏ qua một bước quan trọng, đó là kiểm tra dữ liệu đầu vào Tất cả dữ liệu do người dùng nhập vào trước khi xử lý phải được kiểm tra tính hợp lệ Trong ví dụ trên nếu hệ thống có bước kiểm tra dữ liệu người dùng nhập vào không được phép chứa các ký tự đặc biệt như ‘ hay ’ hay khoảng trắng thì hacker đã không thể đăng nhập vào hệ thống Các lập trình viên có thể thực hiện việc kiểm tra rất dễ dàng bằng cách thêm vài dòng lệnh trước khi thực
Trang 11hiện kiểm tra về logic quá trình đăng nhập.
Hình 7 – Hacker lợi dụng chức năng upload của hệ thống
Hình 8 – Mã độc hacker dùng để điều khiển hệ thống
1.3 Đặc tính sẵn sàng – A (Availability)
Trang 12Availability đảm bảo các người dùng hợp lệ có thể truy xuất vào hệ thống đúng như thiết kế
Hình 9 – Minh hoạ tính sẵn sàng của hệ thống cung cấp nước cứu hoả
Ví dụ: hệ thống phòng thử tên lửa đạn đạo NMD của Mỹ (Hình 10) là một
hệ thống cần tính sẵn sàng rất cao Phần lõi của hệ thống NMD là một hệ thống thông tin tiếp nhận các thông tin theo dõi tên lửa trên không phận của Mỹ từ các rada hay các vệ tinh theo dõi, ngay khi phát hiện tên lửa xâm nhập không phận
hệ thống thông tin sẽ tính toán và điều khiển tên lửa đánh chặn Do đặc thù ảnh hưởng đến an ninh quốc gia nên hệ thống thông tin của hệ thống NMD phải có
độ sẵn sàng rất cao để luôn ứng phó với các tình huống khẩn cấp nhất
Một ví dụ khác là hệ thống thông tin cung cấp dịch vụ hành chính công phục vụ hàng triệu người dân cho các công việc như cấp giấy khai sinh, đăng ký kinh doanh,… Nếu hệ thống này ngưng hoạt động trong vài ngày thì sẽ ảnh hưởng rất lớn đến chất lượng của các dịch vụ công và hoạt động thường ngày của người dân và doanh nghiệp
Trang 13Hình 10 – Sơ đồ minh hoạ hoạt động hệ thống phòng thử tên lửa đạn đạo
Để bảo vệ đặc tính sẵn sàng cần thực hiện nhiều giải pháp và kèm theo là các chi phí liên quan:
1 Đầu tư chuẩn bị cho tất cả các trường hợp xảy ra có thể làm ảnh hưởng đến độ sẵn sàng của hệ thống như: mất điện, thiết bị hỏng hóc, tấn công từ chối dịch vụ (DDOS),…
2 Xây dựng quy trình và đào tạo nhân sự vận hành, …
Trang 14II Tổng quan về quản lý an toàn thông tin (QLATTT):
Để bảo vệ mỗi đặc tính nhà quản lý cần triển khai các biện pháp quản lý ATTT
2.2 Biện pháp quản lý ATTT
Biện pháp quản lý ATTT là các biện pháp về quản lý, vận hành hay kỹ thuật nhằm quản lý các rủi ro ATTT có thể ảnh hưởng đến các đặc tính bí mật, toàn vẹn và sẵn sàng của một tổ chức
Có rất nhiều biện pháp quản lý ATTT cần thiết cho một tổ chức như:
- Khắc phục các điểm yếu trên hệ thống
sự cần thiết
Tập lý tưởng là một tập có thể thay đổi theo thời gian Các mối nguy mới xuất hiện theo thời gian sẽ làm phát sinh các biện pháp QLATTT mới cần bổ
Trang 15Hình 11 – Tập lý tưởng và Tập thực tế Tập thực tế
Mỗi tổ chức tuỳ theo từng giai đoạn sẽ cần thực hiện một số biện pháp QLATTT thật sự cần thiết cho tổ chức để quản lý các rủi ro an toàn thông tin – tập hợp các biện pháp này gọi là tập thực tế
Khi có sự thay đổi ở tổ chức như xuất hiện dịch vụ mới, nhân sự thay đổi hay hạ tầng mạng thay đổi,… sẽ làm thay đổi số lượng và mức độ rủi ro cho hệ thống Do đó tập thực tế thay đổi theo các thay đổi trên hệ thống của tổ chức
2.4 Nhiệm vụ của QLATTT
Dựa trên tập lý tưởng mà tổ chức đã chọn theo một mô hình quản lý an toàn thông tin và tập thực tế có được do quá trình đánh giá rủi ro an toàn thông tin tổ chức sẽ thực hiện các hoạt động quản lý an toàn thông tin, các hoạt động này bao gồm các bước sau:
1 Khảo sát hiện trạng và nhu cầu của tổ chức để xác định đúng và đủ tập thực tế
2 Lên kế hoạch triển khai các biện pháp QLATTT đã xác định được trong tập thực tế
Trang 163 Triển khai các biện pháp QLATTT trong tập thực tế.
4 Rà soát và đánh giá quá trình triển khai các biện pháp QLATTT
5 Giám sát sự thay đối và cập nhật tập thực tế
2.5 Mô hình QLATTT
Thông thường các tổ chức chọn và thực hiện các biện pháp quản lý an toàn thông tin do một mô hình QLATTT có sẵn Có rất nhiều mô hình QLATTT trên thế giới nhưng nhìn chung các mô hình này bao gồm các nội dung sau:
1 Xác định tập lý tưởng phù hợp thực tế và cập nhật thường xuyên theo định kỳ
2 Hướng dẫn tổ chức lựa chọn hình thành tập thực tế rõ ràng và đầy đủ
3 Hướng dẫn lên kế hoạch thực hiện các biện pháp quản lý an toàn thông tin trong tập thực tế
4 Hướng dẫn chi tiết cho quá trình thực hiện các biện pháp quản lý an toàn thông tin trong tập thực tế
5 Cung cấp phương pháp rà soát đánh giá quá trình thực hiện các bước trên hiệu quả và khoa học
6 Cung cấp quy trình quản lý thay đổi trên hệ thống thông tin và cập nhật các thay đổi này
Hình 12 – Mô hình quản lý rủi ro an toàn thông tin
Trang 17Tập lý tưởng trong mô hình quản lý rủi ro an toàn thông tin thường được đúc kết từ kinh nghiệm thực tế và ý kiến các chuyên gia Tập này được cập nhật hàng năm.
Hiện trên thế giới có nhiều mô hình quản lý rủi ro an toàn thông tin sử dụng tập lý tưởng chuẩn Tập này là tương đối thống nhất giữa các mô hình và bao gồm trên 130 biện pháp quản lý ATTT được chia thành 10 nhóm, mỗi nhóm
đề cập đến một mảng rủi ro ATTT cần quản lý
Hình 13 – Các nhóm biện pháp quản lý an toàn thông tin
Tập thực tế của các mô hình thường gồm ba thành phần:
- Tập nền: là tập các biện pháp quản lý an toàn thông tin mà bất cứ tổ chức nào cũng nên thực hiện VD: biện pháp phòng chống virus
- Tập khảo sát: là tập các biện pháp quản lý an toàn thông tin cần phải thực hiện để đối phó với các rủi ro phát hiện được từ quá trình đánh giá rủi ro an toàn thông tin VD: hệ thống thông tin nằm ở khu vực hay có sấm sét, cần thực hiện các biện pháp chống sét
- Tập đặc thù: là tập các biện pháp quản lý an toàn thông tin đặc thù và gắn liền với từng tổ chức, các biện pháp quản lý an toàn thông tin trong tập đặc thù không nhất thiết phải nằm trong tập lý tưởng VD: để kích hoạt chức năng chuyển tiền xuyên quốc gia thì cần sử dụng ba mật khẩu khác nhau do ba người nắm giữ đề đề phòng bất trắc
Trang 18Hình 14 – Các thành phần của tập thực tế Một số mô hình QLATTT thực tế
• Hướng dẫn lựa chọn-hiện thực-kiểm tra: 27001:2005
Hình 15 - tài liệu mô tả tập lý tưởng của chuẩn ISO 17799
Trang 19Hình 16 – tài liệu mô tả cách thức chọn lựa và thực hiện tập thực tế
Ví dụ: biện pháp quản lý 5.1.1 - Quy định an toàn thông tin có nội dung
hướng dẫn xây dựng quy định an toàn thông tin trong tổ chức, cụ thể là:
Mô tả: Cần có một quy định an toàn thông tin được cấp quản lý ban hành,
phổ biến đến mọi nhân sự của tổ chức và các đối tượng khác có liên quan
Hướng dẫn hiện thực:
Quy định an toàn thông tin phải bao gồm:
a) một định nghĩa của an toàn thông tin, các mục tiêu toàn cục và tầm quan trọng của an toàn thông tin đối với hoạt động của tổ chức;
b) công bố kỳ vọng của cấp quản lý, mức độ ủng hộ các mục tiêu và các nguyên tắc an toàn thông tin trong tổ chức;
c) có hướng dẫn cách thức thiết lập các biện pháp quản lý an toàn thông tin, bao gồm cách thức đánh giá rủi ro và quản lý rủi ro;
d) có các giải thích tổng quan về các quy định, các nguyên tắc, các tiêu chuẩn và các yêu cầu tuân thủ cần thiết cho một tổ chức bao gồm:
1) tuân thủ với luật pháp, các quy định và các yêu cầu trong các hợp đồng;2) các yêu cầu về giáo dục, đào tạo và nâng cao nhận thức an toàn thông tin;
Trang 203) quản lý liên tục hoạt động;
4) hậu quả của việc vi phạm các quy định an toàn thông tin;
e) định nghĩa các trách nhiệm tổng quan và cụ thể liên quan đến quản lý
sự cố an toàn thông tin;
f) các tham khảo đến các tài liệu khác như các quy định và quy trình chi tiết cho một hệ thống nào đó hoặc các quy tắc an toàn dành cho những đối tượng
sử dụng hệ thống
Tài liệu quy định an toàn thông tin cần được phổ biến rộng rãi đến mọi đối tượng của tổ chức
Ví dụ: biện pháp quản lý 12.2.1 - Kiểm tra dữ liệu đầu vào có nội dung
hướng dẫn kiểm tra các dữ liệu đầu vào của ứng dụng, cụ thể là:
o Giá trị nằm ngoài giới hạn (out-of-range);
o Các ký tự không hợp lệ trong trường dữ liệu;
o Dữ liệu thiếu hoặc không hoàn chỉnh;
o Vượt quá giới hạn trên hoặc dưới về lượng dữ liệu;
o Dữ liệu không được phép hoặc không nhất quán
• Kiểm tra định kỳ tính hợp lệ và toàn vẹn nội dung các trường và các file dữ liệu;
• Xem xét khả năng các bản tài liệu (hardcopy) nhập liệu bị thay đổi không hợp lệ;
Trang 21• Các quy trình xử lý các lỗi kiểm tra dữ liệu;
• Các quy trình kiểm tra tính hợp lý của dữ liệu đầu vào;
• Xác định trách nhiệm của các cá nhân liên quan đến quá trình xử lý dữ liệu đầu vào;
• Ghi nhận các hành vi liên quan đến quá trình xử lý dữ liệu đầu vào
2.6 Tổng kết
- Nhiệm vụ của quản lý ATTT là quản lý được các đặc tính bí mật, toàn vẹn và sẵn sàng của các hệ thống thông tin của tổ chức
- Năm nhiệm vụ chính của quản lý rủi ro ATTT là:
1 Khảo sát hiện trạng và nhu cầu của tổ chức để xác định đúng và đủ tập thực tế
2 Lên kế hoạch triển khai các biện pháp QLATTT đã xác định được trong tập thực tế
3 Triển khai các biện pháp QLATTT trong tập thực tế
4 Rà soát và đánh giá quá trình triển khai các biện pháp QLATTT
5 Giám sát sự thay đối và cập nhật tập thực tế
- Tuân thủ mô hình QLATTT là cách tốt nhất để QLATTT
Trang 22Chương II Tổng quan TCVN 7562:2005 và
ISO/IEC 17799:2005
2.1 Tiêu chuẩn Việt Nam TCVN 7562 và tiêu chuẩn chuẩn ISO 17799:2000
2.1.1 Giới thiệu chung
Tiêu chuẩn Việt Nam Mã thực hành quản lý an ninh thông tin – TCVN
7562 do Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố dữ liệu
và tài liệu trong thương mại, công nghiệp và hành chính” biên soạn, Tổng cục
Đo lường chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành năm 2005 Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 có tên “Code of practice for information security management”và hoàn toàn tương đương với tiêu chuẩn quốc tế này
2.1.2 Tóm tắt nội dung
Nội dung tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về công tác quản lý an ninh thông tin cho những người có trách nhiệm cài đặt, thực thi hoặc duy trì an ninh trong tổ chức của họ Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các tiêu chuẩn an ninh trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu quả và tạo sự tin cậy trong các giao dịch liên tổ chức Các khuyến nghị rút ra từ tiêu chuẩn này được lựa chọn và sử dụng phù hợp với các luật và quy định liên quan
Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm:
Trang 236 An ninh cá nhân;
7 An ninh môi trường vật lý;
8 Quản lý truyền thông và hoạt động;
9 Kiểm soát truy cập;
Việc xây dựng các chính sách an ninh bao gồm hai nội dung cơ bản:
a Các cơ quan tổ chức cần tự xây dựng tài liệu CSAN phù hợp với hoạt động thực tiễn trong đó bao gồm các nội dung:
Định nghĩa về an ninh thông tin (ANTT), đối tượng, phạm vi, tầm quan trọng
Mục đích quản lý, hỗ trợ các mục tiêu và nguyên tắc về ANTT
Giải thích các chính sách, nguyên tắc, tiêu chuẩn, yêu cầu đặc biệt của
tổ chức quy định
Xác định trách nhiệm cho việc quản lý và báo cáo
Danh mục các tài liệu có thể hỗ trợ
b Các cơ quan tổ chức cần thường xuyên soát xét đánh giá hiệu quả của CSAN đã có
- An ninh tổ chức
a Hạ tầng an ninh thông tin