Bộ giáo trình kiến thức công nghệ thông tin truyền thông cho lãnh đạo quan nhà nước HỌC PHẦN AN TOÀN, AN NINH THÔNG TIN VÀ MẠNG LƯỚI Korea Information Security Agency APCICT Trung tâm đào tạo phát triển công nghệ thông tin truyền thông Châu Á - Thái Bình Dương Bộ giáo trình kiến thức CNTT&TT cho lãnh đạo quan nhà nước Học phần 6: An toàn, an ninh thông tin mạng lưới Giáo trình phát hành theo Giấy phép Creative Commons 3.0 Để xem giấy phép này, xin truy cập website: http://creativecommons org/licenses/by/3.0/ Các quan điểm, hình vẽ đánh giá nêu ấn phẩm thuộc trách nhiệm tác giả, không thiết phải coi quan điểm hay xác nhận Liên Hợp Quốc Những chức vụ sử dụng trình bày liệu ấn không hàm ý thể quan điểm Ban Thư ký Liên Hiệp Quốc có liên quan đến tư cách pháp lý quốc gia, vùng lãnh thổ, thành phố khu vực, hay quyền nước sở tại, có liên quan đến việc phân định biên giới hay ranh giới quốc gia Việc đề cập tên công ty sản phẩm thương mại không bao hàm xác nhận Liên Hợp quốc Trung tâm đào tạo công nghệ thông tin truyền thông Châu Á Thái Bình Dương Trung (UN-APCICT) Bonbudong, Tầng Công viên công nghệ Songdo 7-50 Songdo-dong, Yeonsu-gu, Thành phố Incheon, Hàn Quốc Điện thoại: +82 32 245 1700-02 Fax: +82 32 245 7712 E-mail: info@unapcict.org http://www.unapcict.org Thiết kế trình bày: Scandinavian Publishing Co., Ltd Xuất tại: Hàn Quốc LỜI GIỚI THIỆU Thế kỷ 21 đánh dấu tác động lẫn người toàn cầu Thế giới mở hội cho hàng triệu người nhờ công nghệ mới, thông tin kiến thức thiết yếu mở rộng cải thiện cách đáng kể sống người giúp giảm cảnh nghèo nàn Điều trở thành thực có liên kết với việc chia sẻ giá trị, cam kết thống phát triển tổng thể phù hợp Trong năm gần đây, Châu Á Thái Bình Dương biết đến khu vực động lĩnh vực công nghệ thông tin truyền thông (ICT) Theo báo cáo Liên minh Viễn thông Thế giới, khu vực có tỷ thuê bao điện thoại, có 1,4 tỷ thuê bao di động Tinh đến năm 2008, riêng Ấn Độ Trung Quốc chiếm ¼ số lượng thuê bao di động toàn giới Khu vực Châu Á Thái Bình Dương cho chiếm 40% số lượng người sử dụng internet giới đồng thời thị trường băng rộng lớn nhất, với chiếm 39% thị trường toàn cầu Cùng với tốc độ phát triển nhanh công nghệ, nhiều vấn đề nhắc đến khoảng cách số biến Nhưng điều đáng tiếc, khoảng cách số hữu, chí năm sau Hội nghị thượng đỉnh giới Xã hội thông tin (WSIS) diễn Geneva vào năm 2003, bất chấp phát triển ấn tượng công nghệ cam kết nước lớn khu vực Kết truy nhập truyền thông xa lạ với nhiều người, đặc biệt người nghèo Hơn 25 quốc gia khu vực gồm nước phát triển, có gần 10 người sử dụng internet 100 dân, phần lớn tập trung thành phố lớn Trong vài nước phát triển khu vực tỉ lệ cao với 80 người sử dụng internet 100 dân Sự chênh lệch mức độ phổ cập băng rộng nước phát triển phát triển giữ khoảng cách lớn Để giảm dần khoảng cách số nhận diện tiềm ICT cho phát triển kinh tế xã hội khu vực, nhà lập pháp nước phát triển cần xây dựng sách ưu tiên khung điều chỉnh, định nguồn quỹ, tạo điều kiện cho xúc tiến đầu tư vào lĩnh vực công nghiệp ICT nâng cao kỹ ICT cho công dân nước họ Trong Kế hoạch Hành động WSIS có rõ, “… người có hội tiếp cận kỹ kiến thức cần thiết để hiểu, thực hành đạt lợi ích từ Xã hội Thông tin Kinh tế Tri thức.” Trong phần cuối kế hoạch kêu gọi hợp tác quốc tế khu vực lĩnh vực có tiềm năng, đặc biệt nhấn mạnh vào việc tạo tập số lượng lớn chuyên gia ICT Để hỗ trợ tốt cho lời kêu gọi từ Kế hoạch hành động WSIS, APCICT xây dựng chương trình giảng dạy đầy đủ ICT – Học thuật ICT cần thiết cho nhà lãnh đạo trực thuộc quan nhà nước Chương trình bao gồm phần có liên kết chặt chẽ với nhau, với mục tiêu truyền đạt kiến thức kinh nghiệm cần thiết giúp nhà lập pháp xây dựng thi hành sáng kiến ICT hiệu APCICT học viện Ủy ban Kinh tế Xã hội Liên hợp quốc Châu Á Thái Bình Dương APCICT xúc tiến chương trình phát triển kinh tế xã hội phù hợp toàn diện Châu Á Thái Bình Dương thông qua việc phân tích, chuẩn hóa, khai thác tiềm năng, hợp tác khu vực chia sẻ kiến thức Trong trình hợp tác với quan Liên hợp quốc khác, tổ chức quốc tế, quốc gia tổ chức liên quan, ESCAP, đại diện APCICT, giao nhiệm vụ hỗ trợ việc sử dụng, cải tiến dịch thuật giảng cho quốc gia khác nhau, phù hợp với trình độ trung cao cấp nhân viên quan nhà nước, với mục đích đưa kỹ kiến thức thu thập làm gia tăng lợi ích từ ICT thiết lập hành động cụ thể để đạt mục tiêu phát triển Noeleen Heyzer TL Tổng Thư ký Liên hợp quốc Và Giám đốc điều hành ESCAP LỜI TỰA Chặng đường phát triển giáo trình kiến thức công nghệ thông tin truyền thông (CNTT&TT) cho lãnh đạo quan nhà nước thực kinh nghiệm mang tính trí tuệ cao Bộ giáo trình không phục vụ cho việc xây dựng kỹ CNTT&TT, mà mở đường cho phương thức xây dựng chương trình giảng dạy - thông qua hợp tác thành viên tự chủ quy trình Bộ giáo trình chương trình mang tính chiến lược APCICT, phát triển sở kết khảo sát đánh giá nhu cầu cách toàn diện tiến hành 20 nước khu vực tham khảo ý kiến nhân viên thuộc quan nhà nước, thành viên quan phát triển quốc tế, viện hàn lâm sở giáo dục; nghiên cứu phân tích kỹ lưỡng điểm mạnh điểm yếu giáo trình đào tạo; thông tin phản hồi từ người tham gia xây dựng chuỗi giảng APCICT – tổ chức buổi hội thảo khu vực quốc gia liên quan đến nội dung giảng phương pháp đào tạo khoa học; trao đổi góp ý thẳng thắn chuyên gia hàng đầu lĩnh vực ICT phục vụ phát triển Các hội thảo giáo trình diễn khu vực thu lợi ích vô giá từ hoạt động trao đổi kinh nghiệm kiến thức người tham dự đến từ quốc gia khác Đó quy trình để tác giả xây dựng nội dung Việc xây dựng học phần giáo trình đánh dấu khởi đầu quan trọng việc nâng cao hợp tác xây dựng mối liên hệ nhằm phát triển kỹ thiết lập sách phát triển CNTT&TT khắp khu vực APCICT cam kết cung cấp hỗ trợ kỹ thuật việc giới thiệu giáo trình quốc gia mục tiêu hướng tới việc đảm bảo giáo trình phổ biến tới tất nhà lập pháp APCICT xúc tiến cách chặt chẽ với số viện đào tạo khu vực quốc tế, tổ chức có mối quan hệ mật thiết với quan nhà nước cấp trung ương địa phương để cải tiến, dịch thuật truyền đạt nội dung Giáo trình tới quốc gia có nhu cầu APCICT tiếp tục mở rộng đối tượng tham gia nghiên cứu giáo trình kế hoạch phát triển giáo trình Hơn nữa, APCICT xúc tiến nhiều kênh để đảm bảo nội dung Giáo trình đến nhiều người học khu vực Ngoài phương thức học trực tiếp thông qua tổ chức lớp học khu vực quốc gia, APCICT tổ chức lớp học ảo (AVA), phòng học trực tuyến cho phép học viên tham gia giảng chỗ làm việc họ AVA đảm bảo tất phần giảng tài liệu kèm trình chiếu tập tình dễ dàng truy nhập trực tuyến tải xuống, sử dụng lại, cải tiến địa hóa, bao gồm nhiều tính khác giảng ảo, công cụ quản lý học tập, công cụ phát triển nội dung chứng Việc xuất giới thiệu học phần giáo trình thông qua buổi hội thảo khu vực, tiểu khu vực, quốc gia có tận tâm cống hiến, tham gia tích cực nhiều cá nhân tổ chức Tôi muốn nhân hội để bày tỏ lòng cảm ơn nỗ lực kết đạt nhóm cộng tác đối tác từ Bộ, ngành, học viện, tổ chức khu vực quốc gia tham gia hội thảo giáo trình Họ không cung cấp thông tin đầu vào có giá trị, phục vụ nội dung giảng, mà quan trọng hơn, họ trở thành người ủng hộ việc truyền đạt giáo trình đất nước mình, tạo kết thỏa thuận thức APCICT số viện đối tác quốc gia khu vực để cải tiến phát hành giảng giáo trình thức cho đất nước họ Tôi muốn gửi lời cảm ơn đặc biệt cho nỗ lực cống hiến nhiều cá nhân bật, người tạo nên thành cho giảng Họ Shahid Akhtar Cố Vấn Dự án Giáo trình; Patricia Arinto, Biên tập; Christine, Quản lý xuất bản; toàn tác giả giáo trình; nhóm APCICT Chúng hy vọng giáo trình giúp quốc gia thu hẹp hạn chế nguồn nhân lực CNTT&TT, xóa bỏ rào cản nhận thức CNTT&TT, xúc tiến ứng dụng CNTT&TT việc thúc đẩy phát triển kinh tế xã hội đạt mục tiêu phát triển thiên nhiên kỷ Hyeun – Suk Rhee Giám đốc UN-APCICT VỀ CHUỖI HỌC PHẦN Trong kỷ nguyên thông tin ngày nay, việc truy cập thông tin cách dễ dàng làm thay đổi cách sống, làm việc giải trí Nền kinh tế số - gọi kinh tế tri thức, kinh tế mạng hay kinh tế mới, mô tả chuyển tiếp từ sản xuất hàng hóa sang tạo lập ý tưởng Công nghệ thông tin truyền thông đóng vai trò quan trọng toàn diện mặt kinh tế xã hội Như kết quả, phủ khắp giới quan tâm nhiều tới CNTT&TT phát triển quốc gia Đối với nước, phát triển CNTT&TT không phát triển công nghiệp CNTT&TT lĩnh vực kinh tế mà bao gồm việc ứng dụng CNTT&TT hoạt động kinh tế, xã hội trị Tuy nhiên, khó khăn mà phủ nước phải đối mặt việc thi hành sách CNTT&TT, nhà lập pháp thường không nắm rõ mặt công nghệ sử dụng cho phát triển quốc gia Cho đến điều chỉnh điều họ không hiểu, nhiều nhà lập pháp né tránh tạo lập sách CNTT&TT Nhưng quan tâm tới công nghệ mà không tạo lập sách sai lầm nhà công nghệ thường có kiến thức thi hành công nghệ họ phát triển sử dụng Bộ giáo trình kiến thức công nghệ thông tin truyền thông (CNTT&TT) cho lãnh đạo quan nhà nước Trung tâm Đào tạo Phát triển Công nghệ thông tin Truyền thông Liên hợp quốc Châu Á Thái Bình Dương (UN-APCICT) xây dựng nhằm phục vụ cho: Các nhà hoạch định sách CNTT&TT mức độ quốc gia địa phương; Quan chức phủ chịu trách nhiệm phát triển thi hành ứng dụng CNTT&TT; Những nhà quản lý lĩnh vực công tìm kiếm chức danh quản lý dự án CNTT&TT Bộ giáo trình hướng đến vấn đề liên quan tới CNTT&TT phục vụ phát triển khía cạnh sách công nghệ Mục đích cốt yếu giáo trình CNTT&TT không tập trung vào kỹ thuật mà truyền đạt hiểu biết điều công nghệ số có khả hướng tới, tác động tới việc hoạch định sách Các chủ đề giảng thiết kế dựa phân tích nhu cầu khảo sát chương trình đào tạo khắp giới Học phần cấu tạo theo cách mà người học tự học cách độc lập giảng cho khóa học Học phần vừa mang tính chất riêng lẻ liên kết với chủ đề tình thảo luận phần khác chuỗi Mục tiêu tạo thống tất phầncác phần Mỗi phần bắt đầu với việc trình bày chủ đề kết mà người đọc thu Nội dung phần chia thành mục bao gồm tập tình để giúp hiểu sâu nội dung Bài tập thực cá nhân nhóm học viên Biểu đồ bảng biểu cung cấp để minh họa nội dung buổi thảo luận Tài liệu tham khảo liệt kê người đọc tự tìm hiểu sâu giảng Việc sử dụng CNTT&TT phục vụ phát triển đa dạng, vài tình thí dụ giảng xuất mâu thuẫn Đây điều đáng tiếc Đó kích thích thách thức trình rèn luyện triển vọng tất nước bắt đầu khai tiềm CNTT&TT công cụ phát triển Hỗ trợ chuỗi học phần có phương thức học trực tuyến – Học viện ảo ACICT (AVA – http://www.unapcict.org/academy) – với phòng học ảo chiếu trình bày người dạy dạng video Power Point học phần Ngoài ra, APCICT phát triển kênh cho phát triển CNTT&TT (eCo Hub – http://www.unapcict.org/ecohub), địa trực tuyến dành cho học viên phát triển CNTT&TT nhà lập pháp nâng cao kinh nghiệm học tập E-Co Hub cho phép truy cập kiến thức chủ đề khác phát triển CNTT&TT cung cấp giao diện chia sẻ kiến thức kinh nghiệm, hợp tác việc nâng cao CNTT&TT phục vụ phát triển HỌC PHẦN Trong thời đại thông tin, tin tức tài sản bảo vệ nhà hoạch định sách cần nắm bảo mật thông tin làm để chống lại xâm phạm rỏ rỉ thông tin Phần giới thiệu tổng quan nhu cầu bảo mật thông tin, xu hướng vấn đề bảo mật thông tin, trình xây dựng chiến lược bảo mật thông tin Mục tiêu học phần Học phần nhằm đạt mục tiêu: Làm sáng tỏ khái niệm an toàn, an ninh thông tin khái niệm liên quan; Mô tả thách thức bảo mật thông tin làm để xác định chúng; Thảo luận nhu cầu thiết lập thực sách an ninh thông tin, thay đổi phát triển sách an ninh thông tin; Giới thiệu tổng quan tiêu chuẩn bảo đảm an toàn, an ninh thông tin sử dụng số quốc gia tổ chức an ninh thông tin quốc tế Kết thu Sau nghiên cứu xong học phần này, người đọc có thể: Định nghĩa an toàn, an ninh thông tin khái niệm liên quan; Nhận định thách thức an ninh thông tin; Đánh giá sách an ninh thông tin có theo tiêu chuẩn quốc tế bảo đảm an toàn, an ninh thông tin; Xây dựng đưa khuyến nghị sách an ninh thông tin thích hợp MỤC LỤC LỜI GIỚI THIỆU LỜI TỰA VỀ CHUỖI HỌC PHẦN HỌC PHẦN NHU CẦU VỀ AN NINH THÔNG TIN 17 1.1 Các khái niệm An ninh thông tin 17 1.2 Các tiêu chuẩn cho hoạt động an ninh thông tin 23 CÁC ĐỊNH HƯỚNG VÀ XU HƯỚNG AN NINH THÔNG TIN 26 2.1 Các kiểu công an ninh thông tin 26 2.2 Xu hướng mối hiểm họa an ninh thông tin 31 2.3 Cải thiện an ninh, bảo mật 37 CÁC HOẠT ĐỘNG AN NINH THÔNG TIN 44 3.1 Các hoạt động an ninh thông tin quốc gia 44 3.2 Các hoạt động an ninh thông tin quốc tế 56 PHƯƠNG PHÁP AN NINH THÔNG TIN 65 4.1 Phương pháp an ninh thông tin 65 4.2 Một số ví dụ phương pháp an ninh thông tin 74 BẢO VỆ BÍ MẬT RIÊNG TƯ 80 5.1 Khái niệm bí mật riêng tư 80 5.2 Các xu hướng sách bí mật riêng tư 81 5.3 Đánh giá tác động bí mật riêng tư (Privacy Impact Assessment - PIA) 89 SỰ THÀNH LẬP VÀ HOẠT ĐỘNG CỦA CSIRT 93 6.1 Phát triển vận hành CSIRT 93 6.2 Các quan CSIRT quốc tế 108 6.3 Các quan CSIRT quốc gia 110 10 Luật Trách Lợi Bảo hiểm Y tế năm 1996 Các tổ chức y tế nhà cung cấp dịch vụ y tế Dữ liệu điện tử thông tin y tế cá nhân Trách nhiệm hình sự, phạt tiền Luật GrammLeach-Bliley năm 1999 Các tổ chức tài Thông tin bí mật riêng tư khách hàng Trách nhiệm hình sự, phạt tiền Luật SarbanesOxley năm 2002 Liệt kê công ty Thị trường chứng khoán Mỹ Kiểm soát nội Trách nhiệm hình công khai sự, phạt tiền ghi tài Luật Thông tin vi phạm an ninh sở liệu California năm 2003 Các quan hành doanh nghiệp tư nhân California Thông tin bí mật riêng tư mã hóa Phạt tiền thông báo tới người bị hại Phân bổ nguồn ngân sách cho việc thực sách thông tin Việc thực sách đòi hỏi có nguồn ngân sách Bảng 17 cho biết ngân sách dành cho an ninh thông tin Nhật Bản Mỹ vài năm gần Bảng 17 Ngân sách bảo vệ thông tin Nhật Mỹ Nhật Bản 2004 2005 Tổng ngân sách hàng năm JPY 848,967,000,000,000 JPY 855,195,000,000,000 Ngân sách dành cho an ninh thông tin JPY 267,000,000,000 JPY 288,000,000,000 Tỉ lệ tổng ngân sách 0.03% 0.03% Mỹ 2006 2007 Tổng ngân sách hàng năm USD 2,709,000,000,000 USD 2,770,000,000,000 Ngân sách dành cho an ninh thông tin USD 5,512,000,000 USD 5,759,000,000 Tỉ lệ tổng ngân sách 0.203% 0.208% 128 Bài tập Nếu đất nước bạn có sách an ninh thông tin, phác họa phát triển theo khía cạnh trình xây dựng sách an ninh thông tin mô tả Nghĩa mô tả về: Định hướng sách Tổ chức an ninh thông tin Khuôn khổ sách Các pháp luật hỗ trợ cho sách an ninh thông tin Phân bổ ngân sách cho an ninh thông tin Nếu đất nước bạn chưa có sách an ninh thông tin nào, số triển vọng số khía cạnh hướng tới việc xây dựng sách Sử dụng câu hỏi sau gợi ý: Điều định hướng cho sách an ninh thông tin đất nước bạn? Cái đưa việc thiết lập tổ chức? Những tổ chức liên quan đến việc phát triển thực thi sách an ninh thông tin đất nước bạn? Những vấn đề cụ thể khuôn khổ sách gì? Những luật pháp cần ban hành và/hoặc bị bãi bỏ để hỗ trợ cho sách thông tin? Những cân nhắc tài đưa vào kê? Trong trường hợp ngân sách rút ra? Những người tham gia khóa học đến từ quốc gia thực tập 7.3 Thực hiện/thực thi sách Việc thực thi suôn sẻ sách an ninh thông tin đòi hỏi cộng tác phủ, tư nhân tổ chức quốc tế Hình 23 cho thấy lĩnh vực 129 cụ thể việc thực thi sách thông tin, nơi mà công tác yếu tố định Hình 23 Các lĩnh vực công tác việc thực thi sách an ninh thông tin Bảo vệ sở hạ tầng ICT Phát triển sách Cộng tác quốc tế Thực thi sách an ninh thông tin Bảo vệ bí mật riêng tư Đối phó cố Ngăn ngừa rủi ro Phát triển sách an ninh thông tin Bảng 18 cho biết phủ, khu vực tư nhân, tổ chức quốc tế đóng góp vào việc phát triển sách an ninh thông tin quốc gia Bảng 18 Ví dụ cộng tác việc phát triển sách an ninh thông tin Khu vực Chính phủ Đóng góp vào việc phát triển sách Chiến lược quốc gia tổ chức hoạch định: đảm bảo phù hợp sách thông tin kế hoạch quốc gia 130 Tổ chức công nghệ thông tin truyền thông: đảm bảo điều phối việc xây dựng tiêu chuẩn công nghệ an ninh thông tin quốc gia Tổ chức phân tích xu hướng an ninh thông tin: phản ánh xu hướng an ninh nước quốc tế đồng thời phân tích sách Tổ chức phân tích sách: kiểm tra phù hợp sách an ninh thông tin luật pháp Tổ chức thông tin quốc gia: cộng tác việc thiết lập định hướng xây dựng chiến lược Các quan điều tra: công tác việc xử lý cố an ninh Các công ty tư vấn an ninh thông tin: sử dụng đơn vị chuyên nghiệp việc hoạch định sách an ninh thông tin Tư nhân Phòng thí nghiệm công nghệ an ninh thông tin tư nhân: xây dựng tiêu chuẩn công nghệ liên quan đến an ninh thông tin Phòng an ninh thông tin trường đại học và/hoặc trường cao học: đưa ý kiến chuyên môn việc xây dựng sách Các tổ chức quốc tế Đảm bảo tuân thủ tiêu chuẩn sách quốc tế Điều phối đối phó với cố mối đe dọa quốc tế Quản lý bảo vệ sở hạ tầng thông tin, truyền thông Sử dụng hiệu (thu thập, lưu ký, v.v…) thông tin đòi hỏi việc bảo vệ quản trị thích hợp sở hạ tầng IT Một sách an ninh thông tin tốt vô nghĩa thiếu sở hạ tầng IT lành mạnh Quản lý bảo vệ hiệu sở hạ tầng thông tin truyền thông yêu cầu hợp tác nhà quản lý lĩnh vực mạng lưới, hệ thống IT Một điều mang lại lợi ích hợp tác tổ chức công tư nhân (Bảng 19) Bảng 19 Ví dụ hợp tác việc quản lý bảo vệ sở hạ tầng thông tin, truyền thông Khu vực Chính phủ Đóng góp vào việc quản lý bảo vệ Cơ sở hạ tầng thông tin truyền thông Mạng lưới thông tin truyền thông có liên quan đến tổ chức: xác định thành phần kết cấu mức độ an ninh mạng lưới thông tin 131 truyền thông quốc gia Phòng thí nghiệm công nghệ thông tin truyền thông: đưa tiêu chuẩn chung chấp nhận công nghệ sử dụng Các nhà cung cấp ISP: hợp tác thành phần mạng lưới thông tin truyền thông quốc gia Tư nhân Các tổ chức quốc tế Phòng thí nghiệm công nghệ thông tin truyền thông: cung cấp dịch vụ phát triển kỹ thuật đồng thời hợp tác việc vận hành công nghệ an ninh sơ hạ tầng thông tin truyền thông ổn định Hợp tác với tổ chức tiêu chuẩn công nghệ quốc tế cho thông tin truyền thông, cho việc bảo mật công nghệ thông tin Ngăn ngừa đối phó với cố, mối đe dọa Đối phó cách hiệu mối đe dọa vi phạm an ninh thông tin đòi hỏi hợp tác tổ chức thông tin quốc gia, quan điều tra tổ chức pháp lý, tổ chức đạo kiểm soát cố an ninh đánh giá thiệt hại Nó cần hợp tác với tổ chức phân tích khả bị công mặt kỹ thuật đưa biện pháp đối phó mặt kỹ thuật Bảng 20 Ví dụ hợp tác việc đối phó cố an ninh thông tin Khu vực Sự đóng góp Tổ chức đối phó cố an ninh: đưa phân tích tình huống, đối phó cố thâm nhập trái phép, công nghệ để đối phó với vi phạm cố Tổ chức thông tin quốc gia: phân tích kiểm tra cố vi phạm liên quan đến an ninh thông tin Các tổ chức Chính phủ Các quan điều tra: hợp tác với tổ chức có liên quan việc tóm bắt truy tố kẻ phạm tội Tổ chức cung cấp đánh giá an ninh: kiểm tra an toàn tính tin cậy mạng lưới thông tin sản phẩm an ninh thông tin Tổ chức giáo dục an ninh thông tin: phân tích nguyên nhân cố an ninh thông tin đồng thời rèn luyện học viên để ngăn chặn tái diễn rủi ro Các nhóm Tư Tổ chức đối phó cố tư nhân: đưa đối phó hỗ trợ mặt 132 nhân kỹ thuật Các quan điều tra tư nhân: hợp tác với quan điều tra quốc gia Các tổ chức quốc tế Trong trường hợp cố mối đe dọa phạm vi quốc tê, báo cáo hợp tác với Interpol, CERT/CC Ngăn ngừa cố an ninh thông tin Việc ngăn ngừa cố vi phạm an ninh thông tin bao gồm công tác giám sát, giáo dục quản lý thay đổi CSIRT quốc gia đơn vị giám sát chủ đạo Một khu vực quan trọng có sách thông tin liệu giám sát thực tế tương xứng Do vậy, cần thiết phải thảo luận phạm vi việc giám sát sách thông tin Hơn nữa, điều quan trọng giáo dục nhân viên khu vực tư nhân phủ, khu vực công cộng nói chung sách an ninh thông tin Nó cần thiết để thay đổi quan điểm thông tin hành vi tác động tới an ninh thông tin Giáo dục an ninh thông tin quản lý thay đổi rõ US SP 800-16 (Những Yêu cầu Đào tạo An ninh Công nghệ Thông tin - Information Technology Security Training Requirements) Bảng 21 Ví dụ hợp tác việc ngăn ngừa cố vi phạm đến anh ninh thông tin Khu vực Sự điều phối Cơ quan giám sát: không ngừng giám sát mạng lưới dò tìm nâng cao mối đe dọa an ninh Các tổ chức Chính phủ Cơ quan thu thập: chia sẻ thông tin với tổ chức quốc tế quan an ninh Đơn vị đào tạo: thực đào tạo mô địch kỳ nhằm phát triển khả lực đối phó cách nhanh chóng với cố vi phạm tới an ninh thông tin Các tổ chức tư nhân Các nhà cung cấp ISP, công ty xử lý virus kiểm soát an ninh: cung cấp thực trạng lưu lượng, thông tin loại hình công mô tả sâu/virus Các tổ chức quốc tế Cung cấp thông tin loại hình công, mô tả sâu/virus vấn đề tương tự 133 An toàn bí mật riêng tư Sự hợp tác cần thiết để xây dựng biện pháp bảo vệ bí mật riêng tư Internet, ngăn chặn cố thông tin địa điểm cá nhân, bảo vệ báo cáo thông tin sinh vật học cá nhân trước xâm phạm bí mật riêng tư Bảng 22 Ví dụ hợp tác bảo vệ bí mật riêng tư Khu vực Sự điều phối Tổ chức phân tích hệ thống: đạo hoạt động liên quan đến thông tin địa điểm cá nhân, phân tích xu hướng bên bên việc bảo vệ thông tin cá nhân Các quan Chính phủ Tổ chức hoạch định: cải thiện hệ thống/luật pháp, biện pháp kỹ thuật/quản trị quản lý tiêu chuẩn Hỗ trợ kỹ thuật: phối hợp xác nhận người sử dụng mạng cho doanh nghiệp Các tổ chức dịch vụ: điều phối hỗ trợ cho việc xử lí cố thư rác vi phạm bí mật riêng tư Các tổ chức tư nhân Các tổ chức quốc tế Tổ chức an ninh thông tin tư nhân: đăng ký yêu cầu thiết lập hiệp hội hợp tác an ninh thông tin cá nhân Cố vấn an ninh thông tin cá nhân Hợp tác nhằm áp dụng tiêu chuẩn an ninh thông tin cá nhân phạm vi quốc tế Điều phối quốc tế An ninh thông tin đạt nỗ lực quốc gia đơn lẻ vi phạm an ninh thông tin có xu hướng diễn phạm vi toàn cầu Do đó, vấn đề điều phối quốc tế việc bảo vệ an ninh thông tin, khu vực phủ khu vực tư nhân, cần thể chế hóa Đối với khu vực tư nhân, tổ chức quốc tế có liên quan đến việc thúc đẩy bảo vệ an ninh thông tin CERT/CC Các phủ, ENISA (đối với EU) ITU hướng tới mục đích hợp tác an ninh thông tin quốc gia Tại quốc gia, cần phải có quan phủ có vai trò tạo điều kiện hợp tác thuận lợi cho tổ chức phủ lẫn tư nhân với quan, tổ chức quốc tế 134 Bài tập Xác định quan phủ tổ chức tư nhân đất nước bạn mà cần thiết hợp tác cộng tác việc thực thi sách an ninh thông tin quốc gia Đồng thời xác định tổ chức quốc tế có nhu cầu hợp tác vấn đề Đối với lĩnh vực hợp tác việc thực thi sách thông tin thể hình 23, xác định hoạt động hay hành động cụ thể mà quan hay tổ chức tiến hành Những học viên đến từ quốc gia thực tập 7.4 Xem xét lại đánh giá Chính sách an ninh thông tin Bước cuối việc hoạch định sách an ninh thông tin bổ sung khía cạnh chưa hoàn thiện Việc sửa đổi sách cần thiết sau hiệu sách an ninh thông tin xác định Một phương pháp đánh giá sách nước thực để xác định hiệu sách an ninh thông tin quốc gia Các khía cạnh phương pháp thảo luận Sử dụng tổ chức kiểm tra Có tổ chức có vai trò tiến hành đánh giá xem xét sách Như tổ chức cần tiến hành kiểm tra thường xuyên sách an ninh thông tin quốc gia Ngoài ra, tổ chức cần độc lập với tổ chức hoạch định sách an ninh thông tin tổ chức thực thi Sửa đổi sách an ninh thông tin Các khía cạnh có vấn đề thường nhận diện suốt trình kiểm tra Cần có quy trình sửa đổi sách để xử lý vấn đề Những thay đổi môi trường Điều quan trọng cần phản ứng cách nhanh nhạy trước thay đổi môi trường sách Những thay đổi nảy sinh từ khả bị công mối đe dọa (các công) quốc tế, thay đổi sở hạ tầng IT, thay đổi mức độ thông tin thiết yếu, thay đổi quan trọng khác cần phản ánh sách an ninh thông tin quốc gia 135 Tự kiểm tra Các giai đoạn khác chu kỳ sống sách an ninh thông tin tác động lẫn nào? Bạn bỏ qua giai đoạn nào? Tại có không? Tại hợp tác nhiều khu vực lại quan trọng trình phát triển thực thi sách an ninh thông tin? 136 PHỤ LỤC Tài liệu đọc thêm Butt, Danny, ed 2005 Internet Governance: Asia-Pacific Perspectives Bangkok: UNDPAPDIP http://www.apdip.net/publications/ict4d/igovperspectives.pdf CERT CSIRT FAQ Carnegie Mellon University http://www.cert.org/csirts/csirt_faq.html CERT Security of the Internet Carnegie Mellon University http://www.cert.org/encyc_article/tocencyc.html Dorey, Paul and Simon Perry, ed 2006 The PSG Vision for ENISA Permanent Stakeholders Group http://www.enisa.europa.eu/doc/pdf/news/psgvisionforenisafinaladoptedmay2006 version.pdf ESCAP Module 3: Cyber Crime and Security http://www.unescap.org/icstd/POLICY/ publications/internet- use- for-business-evelopment/module3-sources.asp Europa Strategy for a secure information society (2006 communication) European Commission http://europa.eu/scadplus/leg/en/lvb/l24153a.htm Information and Privacy Office 2001 Privacy Impact Assessment: A User’s Guide Ontario: Management Board Secretariat http://www.accessandprivacy.gov.on.ca/english/pia/pia1.pdf Information Security Policy Council The First National Strategy on Information Security February 2006 http://www.nisc.go.jp/eng/pdf/national_strategy_001_eng.pdf ISO ISO/IEC27001:2005 http://www.iso.org/iso/iso_catalogue/catalogue_tc/ catalogue_detail.htm?csnumber=42103 ITU and UNCTAD 2007 Challenges to building a safe and secure Information Society In World Information Society Report 2007, 82-101 Geneva: ITU http://www.itu.int/osg/spu/publications/worldinformationsociety/2007/report.html ITU-D Applications and Cybersecurity Division ITU National Cybersecurity / CIIP SelfAssessment Tool ITU http://www.itu.int/ITU-D/cyb/cybersecurity/projects/readiness.html Killcrece, Georgia 2004 Steps for Creating National CSIRTs Pittsburgh: Carnegie Mellon University http://www.cert.org/archive/pdf/NationalCSIRTs.pdf Killcrece, Georgia, Klaus-Peter Kossakowski, Robin Ruefle and Mark Zajicek 2003 Organizational Models for Computer Security Incident Response Teams (CSIRTs) Pittsburgh: Carnegie Mellon University http://www.cert.org/archive/pdf/03hb001.pdf 137 OECD 2002 OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Paris: OECD http://www.oecd.org/dataoecd/16/22/ 15582260.pdf OECD OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html Shimeall, Tim and Phil Williams 2002 Models of Information Security Trend Analysis Pittsburgh: CERT Analysis Center http://citeseerx.ist.psu.edu/viewdoc/summary? doi=10.1.1.11.8034 The White House 2003 The National Strategy to Secure Cyberspace Washington, D.C.: The White House http://www.whitehouse.gov/pcipb 138 Các lưu ý Giảng viên Như lưu ý phần “Về Chuỗi học phần”, học phần học phần khác chuỗi thiết kế để mang lại giá trị cho nhiều nhóm học viên khác điều kiện quốc gia biến đổi, thay đổi Các học phần thiết kế để trình bày, toàn hay phần, nhiều hình thức khác nhau, trực tuyến (on-line) hay ngoại tuyến (off-line) Các học phần nghiên cứu độc lập theo nhóm đơn vị đào tạo quan phủ Nền tảng người tham gia độ dài buổi học xác định mức độ chi tiết nội dung trình bày Những “lưu ý” mang lại cho giảng viên số ý kiến đề xuất để việc trình bày nội dung học phần hiệu Chỉ dẫn sâu phương pháp cận chiến lược đào tạo đưa cẩm nang hướng dẫn kế hoạch giảng dạy xây dựng tài liệu hướng dẫn cho chuỗi học phần Bộ giáo trình kiến thức công nghệ thông tin truyền thông cho lãnh đạo quan nhà nước Cẩm nang tìm thấy địa chỉ: http://www.unapcict.org/academy Cấu trúc buổi học Với buổi học 90 phút Đưa nhìn tổng quan khái niệm nguyên tắc/tiêu chuẩn quốc tế an ninh thông tin bảo vệ bí mật riêng tư (Chương Chương học phần) Nhấn mạnh cần thiết sách bảo vệ bí mật riêng tư an ninh thông tin có hiệu quả, phù hợp Với buổi học tiếng Phân chia buổi học thành hai phần Trong phần đầu, tập trung vào khái niệm xu hướng an ninh thông tin, bao gồm phân tích xu hướng đe dọa an ninh thông tin (Chương 2) Trong phần thứ hai, tập trung vào khái niệm nguyên tắc bảo vệ bí mật riêng tư, tạo điều kiện cho buổi thảo luận vấn đề tác động đến bảo vệ bí mật riêng tư đánh giá ngắn gọn tác động bí mật riêng tư Với buổi học kéo dài ngày (6 tiếng) 139 Sau có nhìn tổng quan khái niệm nguyên tắc an ninh thông tin bảo vệ bí mật riêng tư, tập trung vào việc phát triển thực thi sách an ninh thông tin (Chương 7) Bạn bắt đầu việc hỏi học viên sách có liên quan đến an ninh thông tin bảo vệ bí mật riêng tư Sau trình bày ngắn gọn vòng đời sách an ninh thông tin trước vào quy trình xây dựng sách Các học viên đến từ nhiều quốc gia khác với sách an ninh thông tin yêu cầu đánh giá sách theo nguyên tắc quy trình thảo luận, học viên đến từ quốc gia sách an ninh thông tin yêu cầu phác họa số khía cạnh sách (xem hoạt động học tập cuối phần 7.2) Với buổi học kéo dài ngày Ngày tiến hành mô tả trên, ngày thứ hai tập trung vào phương pháp hoạt động an ninh thông tin (Chương 4), đặc biệt việc xây dựng CSIRT (Chương 6) Những ví dụ từ quốc gia khác chia ra, nên khuyến khích học viên xác định mô hình CSIRT phù hợp để thiết kế chế can thiệp an ninh cụ thể cho bối cảnh đất nước Tính tương tác Điều quan trọng người học có tính tương tác học thực tiễn Học phần cung cấp nhiều thông tin có ích, nhiên học viên cần có khả phân tích thông tin áp dụng chúng nơi mà chúng có ích Một số trường hợp nghiên cứu đưa học phần, có thể, chúng thảo luận dạng nguyên tắc khái niệm an ninh thông tin Tuy nhiên, học viên cần khuyến khích để tìm hiểu vấn đề xác thực vấn đề bảo vệ bí mật riêng tư an ninh thông tin bối cảnh riêng họ 140 Về KISA Cơ quan an ninh thông tin Hàn Quốc (Korea Information Security Agency - KISA) phủ thành lập năm 1996 trung tâm chiu trách nhiệm xúc tiến hoạt động hoạch định sách hiệu phạm vi toàn quốc nhằm nâng cao an ninh thông tin Các chức gồm có ngăn ngừa đối phó với xâm phạm Internet, đối phó thư rác, bảo vệ bí mật riêng tư, chữ ký điện tử, bảo vệ sở hạ tầng thiết yếu, đánh giá an ninh sản phẩm an ninh thông tin, phát triển công nghệ sách chuyên sâu, nâng cao nhận thức việc thiết lập xã hội thông tin an toàn tin cậy 141 UN-APCICT Trung tâm đào tạo công nghệ thông tin truyền thông phục vụ phát triển Châu Á Thái Bình Dương (UN-APCICT) đơn vị thành viên Ủy ban Kinh tế Xã hội Liên hợp quốc khu vực Châu Á Thái Bình Dương (ESCAP) UN-APCICT hướng tới tăng cường nỗ lực quốc gia thành viên ESCAP nhằm sử dụng ICT trình phát triển kinh tế xã hội họ thông qua xây dựng lực người quan Hoạt động UN-APCICT tập trung vào lĩnh vực: - Đào tạo: nâng cao kiến thức kỹ ICT cho nhà hoạch định sách chuyên gia ICT, đồng thời tăng cường lực đội ngũ giảng viên ICT tổ chức đào tạo ICT; - Nghiên cứu: thực nghiên cứu phân tích liên quan đến phát triển nguồn nhân lực lĩnh vực ICT; - Tư vấn: cung cấp dịch vụ tư vấn chương trình phát triển nguồn nhân lực tới thành viên ESCAP thành viên cộng tác UN-APCICT đặt trụ sở Incheon, Hàn Quốc http://www.unapcict.org ESCAP ESCAP nhánh phát triển khu vực Liên hợp quốc hoạt động trung tâm phát triển kinh tế xã hội Liên hợp quốc Châu Á Thái Bình Dương Nhiệm vụ ESCAP thúc đẩy hợp tác 53 thành viên thành viên công tác ESCAP đưa liên kết mang tính chiến lược chương trình vấn đề cấp toàn cầu quốc gia Nó hỗ trợ phủ nước khu vực việc củng cố vị trí ủng hộ hướng khu vực để chuẩn bị cho thách thức kinh tế xã hội điều trình toàn cầu hóa giới Văn phòng ESCAP đặt Bangkok, Thái Lan http://www.unesscap.org 142 [...]... liên tục và kiểm toán hệ thống Bảng 2 liệt kê các tiêu chuẩn liên quan tới lĩnh vực an ninh thông tin Bảng 2 Các tiêu chuẩn liên quan và phạm vi của an ninh thông tin Phạm vi an ninh thông tin ISO/IEC 27001 CISA Chính sách an ninh Quản trị IT Quản trị điều hành CISSP Thực tiễn quản lý an ninh Mô hình và kiến trúc an ninh Tổ chức về an ninh Quản trị IT thông tin Quản lý tài sản Bảo vệ tài sản thông Thực... ninh thông tin Diễn đạt một cách đơn giản, an ninh thông tin là việc nhận biết giá trị của thông tin và bảo vệ nó 19 4R trong an ninh thông tin Bộ 4R trong an ninh thông tin đó là Right Information (thông tin đúng), Right People (con người đúng), Right Time (thời gian đúng) và Right Form (định dạng đúng) Kiểm soát toàn bộ 4R này là cách thức tốt nhất để kiểm soát và duy trì giá trị của thông tin Hình... Điều hanh và Kiểm toán hệ thống thông tin ISACA (Information Systems Audit and Control Association) Các tiêu chuẩn này khuyến nghị cho các hoạt động an ninh thông tin đồng nhất, như xây dựng một chính sách an ninh thông tin, xây dựng và điều hành một tổ chức an ninh thông tin, quản lý nguồn nhân lực, quản lý an ninh các yếu tố vật chất, quản lý an ninh các yếu tố kỹ thuật, quản lý hoạt động kinh doanh... đối phó với các cuộc tấn công như vậy Chính phủ có vai trò quan trọng trong công tác đảm bảo an ninh thông tin thông qua việc mở rộng cơ sở hạ tầng thông tin – truyền thông và thiết lập các hệ thống bảo vệ chống lại những nguy cơ đối với an ninh thông tin 1.1 Các khái niệm cơ bản trong An ninh thông tin Thông tin là gì? Thông thường, thông tin được định nghĩa là kết quả của hoạt động trí óc; đó là... Hình 19 Vòng đời của chính sách an ninh thông tin 113 Hình 20 Ví dụ về cấu trúc hệ thống và mạng lưới 116 Hình 21 Hình mẫu của tổ chức an ninh thông tin quốc gia 118 Hình 22 Khuôn khổ an ninh thông tin 122 Hình 23 Các lĩnh vực công tác trong việc thực thi chính sách an ninh thông tin 130 12 DANH MỤC BẢNG BIỂU Bảng 1 Sự so sánh thông tin với các tài sản hữu hình ... họa và lập kế hoạch duy trì tính liên tục của công việc kinh doanh Sự tuân thủ Các yếu tố vật chất Quá trình kiểm toán Luật lệ, công tác điều hệ thống thông tin tra và các nội quy An ninh môi trường và các yếu tổ vật chất An ninh các yếu tố vật chất Quản lý điều hành và Quản lý vòng đời cơ Công nghệ mã hóa truyền thông sở hạ tầng và các hệ An ninh mạng lưới thống và truyền thông Các yếu tố kỹ thuật An. .. Quy trình PIA 89 Bảng 11 Các ví dụ về PIA 91 Bảng 12 Các dịch vụ CSIRT 106 Bảng 13 Danh sách các cơ quan CSIRT quốc gia 110 Bảng 14 Các bộ luật liên quan đến an ninh thông tin của Nhật Bản 126 Bảng 15 Các bộ luật liên quan đến an ninh thông tin của EU 126 Bảng 16 Các bộ luật liên quan đến an ninh thông tin của Mỹ 127 Bảng 17 Ngân sách bảo vệ thông tin của... thông tin Hình 1 4R trong an ninh thông tin Duy trì sự đúng đắn và tính đầy đủ của thông tin Chỉ sẵn sàng đối với những ai được cấp quyền Giá trị thông tin Cung cấp thông tin theo một định dạng chuẩn Truy cập và sử dụng theo nhu cầu “Right Information” thể hiện sự đúng đắn và tính chất đầy đủ của thông tin, đảm bảo tính toàn vẹn của thông tin “Right People” có nghĩa là thông tin chỉ sẵn sàng đối với... tiện truyền thông Trong lĩnh vực ICT, thông tin là kết quả của quá trình xử lý, thao tác và tổ chức dữ liệu, có thể đơn giản như việc thu thập số liệu thực tế Trong phạm vi của An ninh thông tin, thông tin được định nghĩa như một “tài sản”, có giá trị do đó nên được bảo vệ Học phần này sẽ sử dụng định nghĩa về thông tin và an ninh thông theo tiêu chuẩn ISO/IEC 27001 Ngày nay, giá trị của thông tin phản... nhau, việc phân nhóm có thể tiến hành theo mỗi quốc gia Tự kiểm tra 1 Thông tin khác với các tài sản khác như thế nào? 2 Tại sao an ninh thông tin liên quan tới một chính sách? 3 Các cách thức đảm bảo an ninh thông tin là gi? Phân biệt các phương pháp tiến hành an ninh thông tin 4 Phân biệt sự khác nhau giữa ba phạm vi an ninh thông tin (quản trị điều hành, các yếu tố vật chất, các yếu tố kỹ thuật) 3 ... lược an ninh thông tin, sách đường lối đạo Một chiến lược an ninh thông tin đặt định hướng cho tất hoạt động an ninh thông tin Một sách an ninh thông tin tài liệu kế hoạch mức cao cho an ninh thông. .. định thách thức an ninh thông tin; Đánh giá sách an ninh thông tin có theo tiêu chuẩn quốc tế bảo đảm an toàn, an ninh thông tin; Xây dựng đưa khuyến nghị sách an ninh thông tin thích hợp MỤC... công an ninh thông tin 26 2.2 Xu hướng mối hiểm họa an ninh thông tin 31 2.3 Cải thiện an ninh, bảo mật 37 CÁC HOẠT ĐỘNG AN NINH THÔNG TIN 44 3.1 Các hoạt động an ninh thông