ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60 48 01 04 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGT.TS TRỊNH NHẬT TIẾN HÀ NỘI – 2016 i LỜI CAM ĐOAN Tôi xin cam đoan báo cáo luận văn đƣợc viết dƣới hƣớng dẫn cán hƣớng dẫn khoa học, thầy giáo, PGS.TS Trịnh Nhật Tiến Tất kết đạt đƣợc luận văn trình tìm hiểu, nghiên cứu riêng Nội dung trình bày luận văn cá nhân đƣợc tổng hợp từ nhiều nguồn tài liệu tham khảo khác có xuất xứ rõ ràng đƣợc trích dẫn hợp pháp Tôi xin hoàn toàn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đam Hà Nội, ngày 10 tháng 05 năm 2016 Ngƣời cam đoan Phùng Thị Liên ii LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn chân thành sâu sắc tới thầy Trịnh Nhật Tiến – Ngƣời trực tiếp hƣớng dẫn nhiệt tình giúp đỡ tôi, cho hội đƣợc tiếp xúc với tài liệu tham khảo, góp ý cho trình nghiên cứu để hoàn thành đề tài Tôi muốn bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dạy suốt thời gian học trƣờng nhƣ PGS.TS Hà Quang Thụy, PGS.TS Đỗ Trung Tuấn, PGS.TS Nguyễn Ngọc Hóa, TS Phan Xuân Hiếu, TS Bùi Quang Hƣng, TS Trần Trúc Mai, TS Võ Đình Hiếu, TS Nguyễn Văn Vinh thầy cô giáo khác khoa Cuối cùng, xin gửi lời cảm ơn sâu sắc tới Bố, Mẹ, Chồng, Con trai tất ngƣời thân gia đình, bạn bè đồng nghiệp Họ ủng hộ với tình yêu thƣơng, động viên động lực để vƣợt qua tất khó khăn sống Hà Nội, ngày 10 tháng năm 2016 Học viên thực luận văn Phùng Thị Liên iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC BẢNG BIỂU vi DANH MỤC HÌNH VẼ vii MỞ ĐẦU Chương TRÌNH BÀY TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1 CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN 1.2 CÁC NGUY CƠ RỦI RO MẤT AN TOÀN 1.3 NHU CẦU CẤP THIẾT CẦN PHẢI XÂY DỰNG MỘT HỆ THỐNG AN TOÀN THÔNG TIN ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001 10 2.1.3 Lịch sử phát triển ISO 27001 11 2.1.4 Tiếp cận trình 12 2.1.5 Thiết lập, kiểm soát, trì cải tiến ISMS 12 2.1.6 Phạm vi áp dụng 15 2.2 HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN 15 2.2.1 Thuật ngữ định nghĩa 15 2.2.2 Bối cảnh tổ chức 18 2.2.3 Lãnh đạo 19 2.2.4 Hoạch định 20 2.2.5 Hỗ trợ 23 iv 2.2.6 Điều hành 25 2.2.7 Đánh giá kết 25 2.2.8 Cải tiến 27 2.2.9 Trình bày phụ lục A tiêu chuẩn 28 2.3 Mƣời lý để chứng nhận ISO 27001 47 2.4 Thực trạng triển vọng phát triển ISO 27001 48 2.4.1 Thực trạng triển khai Việt Nam 48 2.4.2 Triển vọng phát triển ISO 27001 Việt Nam 49 Chương XÂY DỰNG HỆ THỐNG QUẢN LÝ HỆ THỐNG AN TOÀN THÔNG TIN CHO DOANH NGHIỆP 51 3.1 PHÁT BIỂU BÀI TOÁN 51 3.2 XÂY DỰNG CHƢƠNG TRÌNH 51 3.2.1 Phƣơng pháp xác định rủi ro 51 3.2.2 Quản lý tài sản 53 3.2.3 Xác định nguy điểm yếu hệ thống 56 3.2.4 Lựa chọn mục tiêu kiểm soát 63 3.2.5 Chƣơng trình thử nghiệm 64 KẾT LUẬN 67 A NHỮNG VẤN ĐỀ GIẢI QUYẾT ĐƢỢC TRONG LUẬN VĂN NÀY 69 B KIẾN NGHỊ VÀ HƢỚNG NGHIÊN CỨU TRONG TƢƠNG LAI 70 v DANH MỤC TỪ VIẾT TẮT Từ tiếng việt Từ viết tắt Từ tiếng Anh ISO International Organization Standardization IEC International Commission for Hệ thống quản lý an toàn thông tin Electrotechnical Hệ thống quản lý an toàn thông tin ISMS Information Security Management System Công nghệ thông tin CNTT Information Technology vi DANH MỤC BẢNG BIỂU Bảng 3.1: Ma trận tính giá trị rủi ro 53 Bảng 3.2: Đánh giá tài sản độ bảo mật 55 Bảng 3.3: Đánh giá tài sản độ toàn vẹn 56 Bảng 3.4: Đánh giá tài sản độ sẵn sàng 56 Bảng 3.5: Danh sách nguy 57 Bảng 3.6: Danh sách điểm yếu 60 vii DANH MỤC HÌNH VẼ Hình 1.1: Đặc tính an toàn thông tin Hình 2.1: Họ tiêu chuẩn ISMS Hình 2.2: Lịch sử phát triển ISO 27001 11 Hình 3.1: Tài sản 54 Hình 3.2: Các module hệ thống 64 Hình 3.3: Tài liệu 65 Hình 3.4: Kiểm soát 65 Hình 3.5: Nguy 65 Hình 3.6: Điểm yếu 66 Hình 3.7: Đánh giá rủi ro 66 Hình 3.8: Tuyên bố áp dụng 67 Hình 3.9: Báo cáo thống kê xử lý rủi ro 67 Hình 3.10: Báo cáo thống kê rủi ro theo loại tài sản 68 Hình 3.11: Biểu đồ thống kê rủi ro theo tài sản 68 MỞ ĐẦU Hiện nay, với phát triển nhƣ nhanh chóng lĩnh vực công nghệ, xuất nhiều công mạng, công từ hacker, nguy gây an toàn thông tin xảy với tần suất nhiều hơn, nghiêm trọng Bên cạnh tổ chức, doanh nghiệp giới nói chung Việt Nam nói riêng phát triển đa dạng ngành nghề lĩnh vực Mỗi ngành nghề lĩnh vực cần phải đƣợc bảo mật, xác thực toàn vẹn, để phát triển, thông tin đƣợc bảo vệ, hạn chế công, vừa giúp cho tổ chức, doanh nghiệp có đƣợc hình ảnh uy tín nhƣ đƣợc bên đối tác đánh giá tin tƣởng hợp tác với doanh nghiệp có đƣợc bảo vệ thông tin cách an toàn Nhƣ vấn đề an toàn thông tin lại quan trọng nhu cầu cấp thiết doanh nghiệp Vậy làm để giúp tổ chức, doanh nghiệp thực đƣợc điều Để trả lời cho câu hỏi này, luận văn “Nghiên cứu tiêu chuẩn ISO 27001 ứng dụng” nghiên cứu tìm hiểu cách xây dựng hệ thống an toàn thông tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thông tin cách an toàn hiệu Luận văn đƣợc chia làm chƣơng: - Chƣơng 1: Trình bày tổng quan an toàn thông tin Chƣơng trình bày khái niệm liên quan đến an toàn thông tin, nguy rủi ro an toàn - Chƣơng 2: Trình bày tiêu chuẩn quốc tế ISO 27001 Chƣơng trình bày tổng quan ISO 27001, trình bày chi tiết hệ thống an toàn thông tin thực trạng triển khai ISO 27001 - Chƣơng 3: Xây dựng hệ thống quản lý hệ thống an toàn thông tin cho doanh nghiệp Trong chƣơng xin trình bày phần mềm quản lý hệ thống an toàn thông tin 2 CHƢƠNG TRÌNH BÀY TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1 CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN Theo tài liệu ISO 17799 định nghĩa an toàn thông tin (Information Security) nhƣ sau: “Thông tin tài sản quí loại tài sản khác tổ chức doanh nghiệp cần phải bảo vệ trước vô số mối đe doạ từ bên bên nội để bảo đảm cho hệ thống hoạt động liên tục, giảm thiểu rủi ro đạt hiệu suất làm việc cao hiệu đầu tư” An toàn thông tin bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên ngƣời gây Việc bảo vệ thông tin, tài sản ngƣời hệ thống thông tin nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tƣợng cách sẵn sàng, xác tin cậy An toàn thông tin bao hàm nội dung bảo vệ bảo mật thông tin, an toàn liệu, an toàn máy tính an toàn mạng An toàn thông tin mang nhiều đặc tính, đặc tính an toàn thông tin bao gồm: Tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) tính sẵn sàng (Availability) Ba đặc tính đƣợc gọi tam giác bảo mật CIA Các đặc tính với tổ chức, không lệ thuộc vào việc chúng chia sẻ thông tin nhƣ Hình 1.1: Đặc tính an toàn thông tin Tính bảo mật: Là tâm điểm giải pháp an ninh cho sản phẩm/hệ thống CNTT Giải pháp an ninh tập hợp quy tắc xác định quyền đƣợc truy cập đến thông tin, với số lƣợng ngƣời sử dụng thông tin định số lƣợng thông tin định Trong trƣờng hợp kiểm soát truy cập cục bộ, nhóm ngƣời truy cập đƣợc kiểm soát xem họ truy cập liệu đảm bảo kiểm soát truy cập có hiệu lực, loại bỏ truy cập trái phép vào khu vực độc quyền cá nhân, tổ chức Tính bảo mật cần thiết (nhƣng chƣa đủ) để trì riêng tƣ ngƣời có thông tin đƣợc hệ thống lƣu giữ Tính toàn vẹn: Không bị sửa đổi đặc tính phức hợp dễ bị hiểu lầm thông tin Đặc tính toàn vẹn đƣợc hiểu chất lƣợng thông tin đƣợc xác định vào độ xác thực phản ánh thực tế Số liệu gần với thực tế chất lƣợng thông tin chuẩn nhiêu Để đảm bảo tính toàn vẹn cần loạt biện pháp đồng nhằm hỗ trợ đảm bảo kịp thời đầy đủ, nhƣ bảo mật hợp lý cho thông tin Tính sẵn sàng: Đảm bảo độ sẵn sàng thông tin, tức thông tin đƣợc truy xuất ngƣời đƣợc phép vào họ muốn Ví dụ, server bị ngừng hoạt động hay ngừng cung cấp dịch vụ vòng phút năm độ sẵn sàng 99.9999% Đây đặc tính quan trọng, khía cạnh sống an ninh thông tin, đảm bảo cho thông tin đến địa (ngƣời đƣợc phép sử dụng) có nhu cầu đƣợc yêu cầu Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy thông tin, nhƣ đảm nhiệm thƣớc đo, phạm vi tới hạn hệ thông tin Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin cần phải trì đƣợc cân ba yếu tố trên, thuộc tính khác nhƣ tính xác thực, trách nhiệm giải trình, tính thừa nhận tính tin cậy liên quan 1.2 CÁC NGUY CƠ RỦI RO MẤT AN TOÀN Với phát triển giới nói chung Việt Nam nói riêng, xã hội phát triển kéo thêm nhiều nguy an toàn thông tin Đặc biệt vấn đề đe dọa thông tin đƣờng truyền internet, qua máy tính, điện thoại thông minh, thiết bị thông minh khác để lại nguy tiềm ẩn Tình trạng đáng lo ngại trƣớc hành vi thâm nhập vào hệ thống, phá hoại hệ thống mã hóa, phần mềm xử lý thông tin tự động gây thiệt hại vô lớn Sau số nguy rủi ro an toàn thông tin1: Nguy an toàn thông tin khía cạnh vật lý: Nguy an toàn thông tin khía cạnh vật lý nguy điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hƣ hỏng Nguy bị mất, hỏng, sửa đổi nội dung thông tin: Ngƣời dùng vô tình để lộ mật không thao tác quy trình tạo hội cho kẻ xấu lợi dụng để lấy cắp làm hỏng thông tin http://www1.napa.vn/epa/wp-content/uploads/sites/3/2015/06/An-toan-thong-tin-.pdf Nguy bị công phần mềm độc hại: Các phần mềm độc hại công nhiều phƣơng pháp khác để xâm nhập vào hệ thống với mục đích khác nhƣ: Virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware, Trojan, Adware) Nguy xâm nhập từ lỗ hổng bảo mật: Lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chƣơng trình cài đặt máy tính Nguy xâm nhập bị công cách phá mật khẩu: Những kẻ công có nhiều cách khác phức tạp để tìm mật truy nhập Những kẻ công có trình độ biết có khoản mục ngƣời dùng quản trị Nguy an toàn thông tin sử dụng e-mail: Tấn công có chủ đích thƣ điện tử công email giả mạo giống nhƣ email đƣợc gửi ngƣời quen, gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Cách thức công thƣờng nhằm vào cá nhân hay tổ chức cụ thể Thƣ điện tử đính kèm tập tin chứa virus đƣợc gửi từ kẻ mạo danh đồng nghiệp đối tác Ngƣời dùng bị công thƣ điện tử bị đánh cắp mật bị lây nhiễm virus Nguy an toàn thông tin trình truyền tin: Trong trình lƣu thông giao dịch thông tin mạng internet nguy an toàn thông tin trình truyền tin cao kẻ xấu chặn đƣờng truyền thay đổi phá hỏng nội dung thông tin gửi tiếp tục đến ngƣời nhận Mặt khác, ngày Internet/Intranet môi trƣờng tiện lợi cho việc trao đổi thông tin tổ chức cá nhân tổ chức với Các giao dịch trao đổi thƣ tín điện tử (email), trao đổi thông tin trực tuyến quan nhà nƣớc công dân, tìm kiếm thông tin, … thông qua mạng internet không ngừng đƣợc mở rộng ngày phát triển Bên cạnh lợi ích mà Internet/Intranet mang lại môi trƣờng tiềm ẩn nguy gây an toàn an ninh cho hệ thống mạng tổ chức có tham gia giao dịch Internet/Intranet Một vấn đề đặt cho tổ chức bảo vệ đƣợc nguồn thông tin liệu nhƣ số liệu công tác quản lý hành nhà nƣớc, tài kế toán, số liệu nguồn nhân lực, tài liệu công nghệ, sản phẩm…., trƣớc mối đe dọa mạng Internet mạng nội làm tổn hại đến an toàn thông tin gây hậu nghiêm trọng khó lƣờng trƣớc đƣợc Hiện nay, với phát triển công nghệ thông tin, phƣơng thức công ngày tinh vi đa dạng, thực đe dọa tới an toàn hệ thống 71 TÀI LIỆU THAM KHẢO Tiếng việt Trịnh Nhật Tiến (2008), Giáo trình an toàn liệu, Trƣờng Đại học công nghệ, đại học Quốc gia Hà Nội Nghị định 64/2007/NĐ-CP, ngày 10/04/2007 Chính phủ Ứng dụng công nghệ thông tin hoạt động quan Nhà nƣớc Tiếng anh Alan Calder & Steve Watkins, IT Governance A manager’s Guide to Data Security and ISO 27001/ISO 27002 Barry L Williams (2010), Information Security Policy Development for Compliance, New York Gary Stoneburner, Alice Goguen, and Alexis Feringa (2002), Risk Management Guide for Information Technology Systems Val Thiagarajan B.E., M.Comp, CCSE, MCSE, SFS, ITS 2319, IT Security Specialist (2006), BS ISO/IEC 17799:2005 SANS Audit Check List ISO/IEC 27000 – Information technology – Security techniques – Information security management systems – Overview and vocabulary (2014) ISO/IEC 27001 – Information technology – Security techniques – Information security management systems – Overview and vocabulary (2005, 2013) ISO/IEC 27003 – Information technology – Security techniques – Information security management system implementation guidance 10 ISO/IEC 27005 - Information technology – Security techniques – Information security management systems – Information security risk management (2008, 2013) 11 ISO 31000: Risk management – A practical guide for SMEs  ... ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001. .. chức, doanh nghiệp thực đƣợc điều Để trả lời cho câu hỏi này, luận văn Nghiên cứu tiêu chuẩn ISO 27001 ứng dụng nghiên cứu tìm hiểu cách xây dựng hệ thống an toàn thông tin cho doanh nghiệp,...ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60 48