Đang tải... (xem toàn văn)
XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM (Luận văn thạc sĩ)
i ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CƠNG NGHỆ TRẦN KIÊN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2017 HÀ NỘI - 2010 i ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN KIÊN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: 6048101 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS BÙI QUANG HƯNG Hà Nội - 2017 HÀ NỘI - 2010 i LỜI CAM ĐOAN Tôi xin cam đoan báo cáo luận văn viết bởi hướng dẫn cán hướng dẫn khoa học, thầy giáo, TS Bùi Quang Hưng Tất kết đạt luận văn trình tìm hiểu, nghiên cứu, khảo sát, xây dựng kết hợp với kinh nghiệm riêng dẫn thầy giáo, TS Bùi Quang Hưng Nội dung trình bày luận văn cá nhân hoặc tổng hợp từ nhiều nguồn tài liệu tham khảo khác đều có x́t xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đam Hà Nội, ngày 21 tháng năm 2017 Người cam đoan Trần Kiên ii LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành sâu sắc nhất tới thầy giáo, TS Bùi Quang Hưng, người trực tiếp hướng dẫn nhiệt tình giúp đỡ tôi, bảo kinh nghiệm, phương pháp tiếp cận tài liệu tham khảo để giúp tơi hồn thành đề tài Tơi bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dậy thời gian học tập tại trường PGS.TS Hà Quang Thụy, PGS.TS Hoàng Xuân Huấn, PGS.TS Trần Đăng Hưng, PGS.TS Phạm Ngọc Hùng, PGS TS Nguyễn Ngọc Hóa, TS Nguyễn Tuệ, TS Trần Trọng Hiếu, TS Phan Xuân Hiếu, TS Đặng Đức Hạnh, TS Nguyễn Hồi Sơn, thầy giác khác khoa Tôi xin gửi lời cảm ơn đến bạn bè, đồng nghiệp người dành thời gian nghe lời chia sẻ, tâm đưa lời khuyên, lời động viên chân thành quý báu Đặc biệt xin gửi lời cảm ơn chân thành nhất đến bạn Lê Hữu Tùng, chuyên gia tư vấn triển khai đảm bảo an tồn thơng tin cho doanh nghiệp tại Việt Nam, tại công tác tại công ty BKAV theo sát, cách tiếp cận vấn đề cách thực tiễn nhất trình nghiên cứu luận văn Cuối tơi xin gửi tình cảm chân thành nhất từ trái tim đến bố, mẹ, vợ, trai đặc biệt gái tôi, cháu sinh vào thời điểm bắt đầu nhận đề tài bắt tay làm luận văn, dấu mốc mà tơi khó thể qn đời Hà Nội, ngày 21 tháng năm 2017 Học viên thực luận văn Trần Kiên iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC BẢNG BIỂU .v DANH MỤC HÌNH VẼ vi MỞ ĐẦU CHƯƠNG GIỚI THIỆU ISO27001 1.1 Khái niệm 1.2 Vị trí ISO27001 họ ISO27000 1.3 Cấu trúc ISO27001 1.4 Các lợi ích mà ISO27001 mang lại .19 CHƯƠNG 20 KHẢO SÁT DOANH NGHIỆP SME CỤ THỂ VỀ BẢO ĐẢM AN TỒN THƠNG TIN .20 2.1 Giới thiệu công ty SME cụ thể 21 2.2 Tổ chức .23 2.3 Các đối thủ cạnh tranh 23 2.4 Các đối tác liên quan 23 2.5 Mong muốn yêu cầu bên liên quan công ty 24 2.6 Nhận xét về thực trạng áp dụng tiêu chuẩn an tồn hệ thống thơng tin tại Cơng ty X 25 2.7 Khảo sát cơng ty X về đảm bảo an tồn thơng tin 27 2.7.1 Phân loại tài sản CNTT 27 2.7.2 Các bước đánh giá rủi ro tài sản CNTT 29 CHƯƠNG 48 ĐỀ XUẤT BỘ QUY TRÌNH CHO DOANH NGHIỆP SME ĐÃ CHỌN 48 3.1 Đưa biện pháp kiểm soát 49 3.2 Quy trình đo lường hệ thống quản lý an tồn thơng tin .67 3.3 Quy trình về quản lý source code, mềm tài liệu 72 3.4 Quy trình về giáo dục nhận thức, đào tạo về an tồn thơng tin 77 3.5 Quy trình hành động phòng ngừa hệ thống quản lý an tồn thơng tin 84 3.6 Chính sách 86 CHƯƠNG 95 KẾT LUẬN 95 TÀI LIỆU THAM KHẢO .99 iv DANH MỤC TỪ VIẾT TẮT STT Từ tiếng Việt Từ tiếng Anh Từ viết tắt An tồn thơng tin Information Security ATTT Công nghệ thông tin Information Technology CNTT Doanh nghiệp vừa nhỏ Small and Medium Enterprise SME Hệ thống quản lý thông tin ISMS Information Security Management System v DANH MỤC BẢNG BIỂU Bảng 2.1 Bảng giá trị tính bảo mật 30 Bảng 2.2 Bảng giá trị tính tồn vẹn .30 Bảng 2.3 Bảng giá trị tính sẵn sàng .31 Bảng 2.4 Bảng giá trị tỷ lệ xảy 31 Bảng 2.5 Bảng giá trị rủi ro 32 Bảng 3.1 Các biện pháp kiểm soát đối ứng với nguy 49 BẢNG 3.2 QUY TRÌNH ĐO LƯỜNG CỦA HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 68 BẢNG 3.3 CÁC TIÊU CHÍ, PHƯƠNG THỨC ĐO LƯỜNG .69 BẢNG 3.4 QUY TRÌNH QUẢN LÝ SOURCE CODE, CÁC BẢN MỀM TÀI LIỆU 73 BẢNG 3.5 QUY TRÌNH VỀ GIÁO DỤC NHẬN THỨC, ĐÀO TẠO VỀ AN TOÀN THÔNG TIN 78 BẢNG 3.6 QUY TRÌNH HÀNH ĐỘNG PHÒNG NGỪA ĐỐI VỚI HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 85 vi DANH MỤC HÌNH VẼ Hình 1.1 Vị trí ISO27001 Hình 2.1 Sơ đờ tổ chức 23 MỞ ĐẦU Sự phát triển Internet Việt Nam đạt nhiều thành to lớn 15 năm qua, với số lượng gần 4,8 triệu thuê bao truy nhập Internet băng rộng cố định, 3,2 triệu hộ gia đình có kết nối Internet, 100% Bộ ngành, tỉnh thành phố có cổng thông tin điện tử Hiện tại, theo xu hướng ứng dụng công nghệ thông tin vào sống ngày sâu rộng loại hình tội phạm mạng nguy làm mất an tồn thơng tin ngày đa dạng khó phòng chống Hệ thống máy tính tở chức thường xun phải đối phó với tấn cơng, xâm nhập trái phép, gây rò rỉ, mất mát thơng tin, thậm chí dừng hoạt động, ảnh hưởng tiêu cực đến tiến độ, chất lượng cơng việc, kéo theo tởn thất về kinh tế, uy tín tở chức thậm chí ảnh hưởng tới an ninh quốc gia Các cố liên quan đến an tồn thơng tin (ATTT) Việt Nam Theo báo cáo nhiều tở chức quốc tế về an tồn thơng tin, Việt Nam mục tiêu hàng đầu khu vực tấn cơng gián điệp có tở chức, mà mục tiêu tấn công quan, tở chức quan trọng thuộc phủ tở chức có sở hữu hạ tầng thông tin trọng yếu Theo ghi nhận trung tâm VNCERT số lượng loại vụ việc, cố mất an tồn thơng tin năm qua phát xửa lý ngày tăng Trong năm 2013-2015 trung tâm VNCERT ghi nhận 4.954.853 lượt địa IP Việt Nam bị mạng máy tính ma chiếm quyền điều khiển để đánh cắp thông tin hoặc phát tán mã độc, phát tán thư điện tử rác tấn cơng mạng, có tới 12.480 lượt địa IP tĩnh quan nhà nước nằm mạng Chỉ tính riêng tháng đầu năm 2016 cố 127.000 Trong đó, Phishing: 8.758; Deface: 77.160; Malware: 41.712.1 Tâm điểm về cố mất an tồn thơng tin năm 2016 vụ tin tặc tấn công vào vào số hình hiển thị thơng tin chún bay tại khu vực làm thủ tục bay sân bay như: Sân bay Tân Sơn Nhất, Sân bay Nội Bài, Sân bay Đà Nẵng, Sân bay Phú Quốc vào chiều 29 tháng 07 năm 2016 Các hình sân bay bị chèn hình ảnh nội dung câu chữ xúc phạm Việt Nam Philippines, xuyên Ng̀n: Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tạc nội dung về biển Đông Hệ thống phát sân bay phát thông điệp tương tự Đồng thời website Việt Nam Airlines bị hack với 411.000 liệu hành khách máy bay bị hacker thu thập phát tán Vụ việc gây thiệt hại làm cho 100 chuyến bay bị ảnh hưởng, hàng chục chuyến bay bị chậm giờ từ 15 phút cho đến tiếng Tại sân bay Nội Bài tất hình loa phát tạm thời ngưng hoạt động để ngăn chặn hacker phát thông tin giả mạo Các hãng hàng sử dụng loa tay để thông báo cho khách Bên cạnh rủi ro về an tồn thơng tin (ATTT) bị tấn cơng phá hoại có chủ đích, đáng ý nhiều đơn vị không biết cố liên quan đến an tồn thơng tin nằm hệ thống mạng Các nguyên nhân chủ yếu là: Các quy trình quản lý, vận hành khơng đảm bảo; việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ; nhận thức nhân viên việc sử dụng trao đổi thông tin chưa đầy đủ; năng lực cán kỹ thuật ́u, thiếu cán chun mơn thiếu trang bị kỹ thuật tối thiểu… Do đó, ngồi biện pháp kỹ thuật, tổ chức cần xây dựng áp dụng sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro Giải pháp ISO27001 Giải pháp toàn diện hiệu nhất để giải quyết vấn đề hệ thống doanh nghiệp cần xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu chuẩn ISO27001 Việc triển khai quy trình đáp ứng tiêu chuẩn ISO27001 sẽ giúp hoạt động đảm bảo ATTT tổ chức quản lý chặt chẽ, đạt số lợi ích sau: - Bảo vệ thơng tin tổ chức, khách hàng đối tác - Nhân viên tuân thủ có thói quen đảm bảo ANTT - Hoạt động đảm bảo ANTT trì cải tiến - Hoạt động nghiệp vụ trọng yếu tổ chức không bị gián đoạn - Nâng cao uy tín tở chức, tăng sức mạnh cạnh tranh Thực trạng triển khai ISO27001 Việt Nam Hiện tại tại Việt Nam việc xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu ... TRẦN KIÊN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số:... pháp toàn diện hiệu nhất để giải quy ́t vấn đề hệ thống doanh nghiệp cần xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu chuẩn ISO27001 Việc triển khai quy trình đáp ứng tiêu chuẩn ISO27001. .. gia tư vấn triển khai đảm bảo an tồn thơng tin cho doanh nghiệp tại Việt Nam, tại công tác tại công ty BKAV theo sát, cách tiếp cận vấn đề cách thực tiễn nhất q trình nghiên cứu luận