Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 Nguyễn Văn Anh Trường Đại học Công nghệ Luận văn ThS. Chuyên ngành: Công nghệ thông tin; Mã số: 60 48 05 Người hướng dẫn: PGS.TS. Trịnh Nhật Tiến Năm bảo vệ: 2010 Abstract: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế.Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó. Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001. Keywords: An toàn thông tin; Quản lý thông tin; Công nghệ thông tin Content: LỜI NÓI ĐẦU Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu. Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn. Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ giúp đắc lực của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất an toàn thông tin gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng đến sự phát triển kinh tế, xã hội của đất nước. Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin, lý do đó làm cho hệ thống thông tin rất dễ có khả năng bị các tin tặc tấn công. Các thống kê cho thấy trong thời gian vừa qua đã có khoảng 60% website của bộ, ban ngành trực thuộc Chính phủ có đuôi tên miền '.gov.vn' có thể đã bị các hacker nước ngoài tấn công và nắm quyền kiểm soát, 342 website của Việt Nam bị hacker tấn công, hơn 40% website chứng khoán Việt Nam có thể bị hacker lợi dụng chiếm quyền kiểm soát và thay đổi kết quả giao dịch. Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn. Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001. Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ trong hệ thống thông tin của mình bằng phương pháp phân tích rủi ro. Trong phương pháp này, mỗi tài sản thông tin đều được phân tích để chỉ rõ những nguy cơ có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng, website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh. Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên, chẳng hạn: không có giải pháp phòng chống virus máy tính, không kiểm soát mã nguồn của website, chưa có biện pháp backup dữ liệu, chưa có quy định không tiết lộ thông tin đối với nhân viên. Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an toàn, có khả năng miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người gây ra. Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế - xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch hơn. Xây dựng một “bức tường người an toàn” (Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ rất tốn kém. Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định thuyết phục với các đối tác, các khách hàng về một môi trường thông tin an toàn và trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa trên hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông tin xảy ra. Luận văn này đuợc trình bày theo ba chương: Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế. Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó. Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001 TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật [1] ISO/IEC 1799:2000, Information technology – Code of Practice. [2] BS 7799-2:2002, Information Security Management Specification with Guidance for User. [3] ISO/IEC TR 13335-1:2004, Information technology - Security techniques Management of information and communications technology security. Part 1: Concepts and models for information and communications technology security management. ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security. Part 3: Techniques for the management of IT security. ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT Security. Part 4: Selection of safeguards. [4] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing. [5] ISO/IEC 1799:2005 Information technology - Security techniques. [6] OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org. . Assessment and Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001. Keywords: An toàn thông tin; Quản lý thông tin; Công nghệ thông. Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 Nguyễn Văn Anh Trường Đại học Công nghệ Luận văn ThS. Chuyên ngành: Công nghệ thông tin; Mã số: 60. Assessment and Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001 TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật [1] ISO/ IEC 1799:2000,