ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -o0o - NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001 LUẬN VĂN THẠC SĨ Hà nội 11 – 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -o0o - NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001 Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã ngành: 60.48.05 LUẬN VĂN THẠC SĨ CÁN BỘ HƯỚNG DẪN KHOA HỌC PGS.TS.TRỊNH NHẬT TIẾN Hà nội 11 – 2010 MỤC LỤC MỤC LỤC DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ LỜI NÓI ĐẦU Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1 KHÁI NIỆM VỀ AN TỒN THƠNG TIN 1.2 CÁC NGUY CƠ ĐỐI VỚI AN TỒN THƠNG TIN 10 1.2.1 Những nguy hữu: 10 1.2.2 Nguy tương lai 13 1.3 NHU CẦU HỆ THỐNG QUẢN LÝ ATTT 15 Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 16 2.1 GIỚI THIỆU 16 2.1.1 Khái quát 16 2.1.2 Phạm vi áp dụng 16 2.1.3 Cách tiếp cận theo quy trình 17 2.2 MỘT SỐ KHÁI NIỆM 19 1/ Tài sản 19 2/ Tính sẵn sàng 19 3/ Tính bí mật 19 4/ An tồn thơng tin 19 5/ Sự kiện an toàn thông tin 19 6/ Sự cố an tồn thơng tin 19 7/ Hệ thống quản lý an tồn thơng tin 19 8/ Tính tồn vẹn 20 9/ Rủi ro tồn đọng 20 10/ Sự chấp nhận rủi ro 20 11/ Phân tích rủi ro 20 12/ Đánh giá rủi ro 20 13/ Quản lý rủi ro 20 14/ Xử lý rủi ro 20 15/ Thông báo áp dụng 20 16/ Tổ chức 21 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT 22 2.3 2.3.1 Thiết lập hệ thống quản lý ATTT 22 2.3.2 Triển khai điều hành hệ thống quản lý ATTT 26 2.3.3 Giám sát xem xét hệ thống quản lý ATTT 27 2.3.4 Duy trì nâng cấp hệ thống quản lý ATTT 28 2.3.5 Các yêu cầu hệ thống tài liệu 29 2.3.5.1 Khái quát 29 2.3.5.2 Biện pháp quản lý tài liệu 30 2.3.5.3 Biện pháp quản lý hồ sơ 30 TRÁCH NHIỆM CỦA BAN QUẢN LÝ 31 2.4 2.4.1 Cam kết ban quản lý 31 2.4.2 Quản lý nguồn lực 32 2.4.2.1 Cấp phát nguồn lực 32 2.4.2.2 Đào tạo, nhận thức lực 32 2.5 KIỂM TRA NỘI BỘ HỆ THỐNG ATTT 33 2.6 BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT 34 2.6.1 Khái quát 34 2.6.2 Đầu vào việc xem xét 34 2.6.3 Đầu việc xem xét 35 2.7 NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT 36 2.7.1 Nâng cấp thường xuyên 36 2.7.2 Hành động khắc phục 36 2.7.3 Hành động phòng ngừa 37 Phụ lục A: Các mục tiêu quản lý biện pháp quản lý 38 Phụ lục B: Nguyên tắc OECD hệ hống ATTT 81 Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH 84 3.1 ĐẶT VẤN ĐỀ 84 3.2 XÂY DỰNG CHƢƠNG TRÌNH 85 3.2.1 Giải pháp 85 3.2.2 Xác định tài sản người chịu trách nhiệm quản lý 86 3.2.3 Đánh giá mức độ quan trọng tài sản 87 3.2.4 Đánh giá mức độ mối đe dọa 89 3.2.5 Đánh giá mức độ lổ hổng 89 3.2.6 Tính mức độ rủi ro báo cáo đánh giá rủi ro 90 3.2.7 Phòng ngừa rủi ro 90 3.2.8 Mức độ rủi ro chấp nhận đuợc 91 3.3 CÁC GIAO DIỆN CHÍNH 93 KẾT LUẬN 95 TÀI LIỆU THAM KHẢO 97 BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT HTQL Hệ thông quản lý ATTT An tồn thơng tin ISMS Information Security Management System ISO International Organization for Standardization PDCA Plan, Do, Check, Action TC Tổ chức OECD Organisation for Economic Co-operation and Development DANH MỤC CÁC BẢNG Bảng 1.1: Thiệt hại virus gây giới Bảng 1.2: Thống kê virus năm 2007 Việt Nam Bảng 1.3: Tỷ lệ nhiễm virus theo năm Bảng 1.4: Phân bổ loại nguy theo thời gian khu vực Bảng 1.5: Phân bổ loại nguy theo thời gian khả đối phó Bảng A: Các mục tiêu biện pháp quản lý Bảng B: Các ngun tắc OECD mơ hình PDCA Bảng 3.1: Các buớc đánh giá rủi ro Bảng 3.2: Đánh giá tài sản mức độ bảo mật Bảng 3.3: Đánh giá tài sản mức độ toàn vẹn Bảng 3.4: Đánh giá tài sản mức độ sẳn sàng DANH MỤC CÁC HÌNH VẼ Hình 1.1: CIA – Confidentiality, Intergrity, Availability Hình 1.2: Tỷ lệ loai hình cơng Hình 2.1: Áp dụng mơ hình PDCA cho quy trình hệ thống quản lý ATTT Hình 3.1: Thêm mới, chỉnh sửa thông tin loại tài sản, điều khiển tài liệu hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document) Hình 3.2: Đánh giá rủi ro (Risk Assessment) Hình 3.3: Phịng ngừa rủi ro (Risk Treatment) Hình 3.4: Mức rủi ro chấp nhận đuợc Hình 3.5: Truy xuất nguồn gốc tài liệu hệ thống quản lý ATTT Hình 3.6: Thêm tài liệu cho hệ thống quản lý ATTT (Add ISMS Document) Hình 3.7: Chỉnh sửa tài liệu hệ thống quản lý ATTT (Edit ISMS Document) Hình 3.8: Màn hình Screen LỜI NĨI ĐẦU Trong bối cảnh có phát triển vũ bão công nghệ thông tin, ngày nhiều tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần hoàn toàn vào hệ thống mạng máy tính, máy tính, sở liệu Nói cách khác, hệ thống công nghệ thông tin sở liệu gặp cố hoạt động đơn vị bị ảnh hưởng nghiêm trọng chí bị tê liệt hồn tồn Nền kinh tế Việt Nam thời kỳ hội nhập phát triển với trợ giúp đắc lực cơng nghệ thơng tin, bên cạnh Việt Nam phải đối mặt với khó khăn thách thức lớn nguy gây an tồn thơng tin gây đặc biệt liên quan tới đơn vị làm việc trực tiếp đối tác nước ngồi, quan phủ trọng yếu làm ảnh hưởng nghiêm trọng đến phát triển kinh tế, xã hội đất nước Hầu hết tổ chức, doanh nghiệp Việt Nam từ đầu xây dựng hệ thống mạng thường không tuân theo quy tắc chuẩn an toàn thơng tin, lý làm cho hệ thống thơng tin dễ có khả bị tin tặc công Các thống kê cho thấy thời gian vừa qua có khoảng 60% website bộ, ban ngành trực thuộc Chính phủ có tên miền '.gov.vn' bị hacker nước ngồi cơng nắm quyền kiểm soát, 342 website Việt Nam bị hacker cơng, 40% website chứng khốn Việt Nam bị hacker lợi dụng chiếm quyền kiểm sốt thay đổi kết giao dịch Khi nói đến an tồn thơng tin (ATTT), điều người ta thường nghĩ đến xây dựng tường lửa (Firewall) tương tự để ngăn chặn công xâm nhập bất hợp pháp Cách tiếp cận khơng hồn tồn chất ATTT không đơn sử dụng số công cụ vài giải pháp mà để đảm bảo ATTT cho hệ thống cần có nhìn tổng qt khoa học Giải pháp toàn diện hiệu để giải vấn đề áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001 Triển khai ISO 27001 giúp cho đơn vị đầy đủ nguy hệ thống thông tin phương pháp phân tích rủi ro Trong phương pháp này, tài sản thông tin phân tích để rõ nguy tác động đến, ví dụ: máy tính bị nhiễm virus gây liệu quan trọng, website bị công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị cố, nhân viên tiết lộ thông tin hợp đồng cho đối thủ cạnh tranh Q trình phân tích nguyên nhân dẫn tới nguy trên, chẳng hạn: khơng có giải pháp phịng chống virus máy tính, khơng kiểm sốt mã nguồn website, chưa có biện pháp backup liệu, chưa có quy định không tiết lộ thông tin nhân viên Việc áp dụng tiêu chuẩn ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho đội ngũ cán nhân viên ATTT Xây dựng môi trường an tồn, có khả miễn dịch trước rủi ro, giảm thiểu nguy người gây Tiêu chuẩn ISO 27001 đề nguyên tắc chung trình thiết kế - xây dựng hệ thống thông tin cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch Xây dựng “bức tường người an tồn” (Secure People Wall) tổ chức Một mơi trường thơng tin an tồn, có tác động khơng nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT tốn Về lâu dài, việc nhận chứng ISO 27001 lời khẳng định thuyết phục với đối tác, khách hàng môi trường thông tin an toàn Tạo điều kiện thuận lợi cho hội nhập môi trường thông tin lành mạnh Điều tác động mạnh đến ưu cạnh tranh tổ chức Trên sở kết phân tích, đánh giá rủi ro hệ thống thông tin dựa hướng dẫn tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu tiêu chuẩn ISO 27001 để giúp doanh nghiệp, tổ chức xây dựng sách, biện pháp xử lý phù hợp để phòng tránh giảm thiểu tác động rủi ro an ninh thông tin xảy Luận văn đuợc trình bày theo ba chương: Chương 1: Trình bày Tổng quan An tồn Thơng tin, bao gồm khái niệm, nguy cơ, rủi ro việc ATTT, nhu cầu cấp thiết cần phải xây dựng hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế Chương 2: Trình bày Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận tiêu chuẩn ISO 27001 việc đảm bảo ATTT thông qua phân loại nội dung thông tin phương tiện thuộc tài sản nào, chúng có điểm yếu, rủi ro làm để kiểm soát rủi ro Chương 3: Trình bày thử nghiệm sử dụng chương trình “ISMS-RAT”, phương thức tiếp cận để thực việc đánh giá xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo cách tiếp cận vấn đề xây dựng hệ thống quản lý an tồn thơng tin chuẩn ISO 27001 Thiết kế triển khai đảm bảo an toàn Người tham gia cần kết hợp chặt chẽ đảm bảo an toàn nhân tố hệ thống thông tin mạng Một đánh giá rủi ro hoàn thành, trình quản lý chọn cách xử lý rủi ro, phần giai đoạn Lập kế hoạch (P) ( xem 2.3.2.1) Sau giai đoạn Thực (D) (xem 2.3.2.2 2.4.2) bao gồm thực thi quyền sử dụng hoạt động trình quản lý Quản lý rủi ro trình gồm hoạt động Quản lý an tồn ngăn chặn, dị tìm, phản ứng lại cố bất ngờ Người tham gia cần sử dụng xảy ra, tiếp tục trình trì, xem xét kiểm phương pháp tồn diện để tốn Tất khía cạnh có giai đoạn quản lý an toàn Lập kế hoạch (P), Thực hiên (D), Kiểm tra (C) Hành động (A) Đánh giá lại Việc đánh giá lại an tồn thơng tin phần Người tham gia cần phải xem giai đoạn Kiểm tra (C) (xem 2.3.2.3 2.5 tới 2.6.3), xét, đánh giá lại an toàn mà việc xem xét cách đặn cần bảo hệ thống thông tin mạng đảm để kiểm tra tính hiệu hệ quản lý an toàn tiến hành điều chỉnh phù thơng tin Việc nâng cấp an tồn thơng tin hợp sách, quy tắc, phần giai đoạn Hành động (A) (xem 2.3.2.4 tiêu chuẩn thủ tục đảm bảo 2.7.1 tới 2.7.3) an toàn 83 Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH 3.1 ĐẶT VẤN ĐỀ Để tạo môi trường với hệ thống máy tính làm việc an tồn việc hiệu tổ chức việc hiểu biết nguy áp dụng phương pháp đánh giá rủi ro cần thiết Bản thân nguy xấu, cần phải cân hậu tiêu cực có rủi ro hội lợi ích tiềm của mang lại Vì vậy, cách tốt để thực việc tuân theo giải pháp đuợc nghiên cứu xác lập, đánh giá lại hệ thống, tập trung vào việc đảm bảo an tồn thơng tin Trên sở luận văn tập trung thử nghiệm chương trình „ISMS–RAT‟ phương thức tiếp cận để thực việc đánh giá xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo cách tiếp cận vấn đề xây dựng hệ thống quản lý an tồn thơng tin tiêu chuẩn ISO 27001 Chương trình phân chia việc xây dựng hệ thống quản lý ATTT thành nghiệp vụ cụ thể đánh giá mức độ, tầm quan trọng tài sản thơng tin, đánh giá rủi ro, kế hoạch phịng ngừa rủi ro, truy xuất nguồn gốc tài liệu vv…Mục đích nhằm hỗ trợ xây dựng hệ thống quản lý ATTT bám sát theo tiêu chuẩn ISO 27001 Chương trình đuợc xây dựng để áp dụng cho tất đối tượng tài sản liên quan đến việc thực thi bảo trì hệ thống quản lý an tồn thơng tin Bám chặt theo cách thức phân loại đối tượng kiểm soát tài liệu hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/ IEC27001 tài liệu sách an tồn thơng tin thơng thường khác 84 3.2 XÂY DỰNG CHƢƠNG TRÌNH 3.2.1 Giải pháp Chương trình đuợc xây dựng theo cách tiếp cận đánh giá rủi ro theo tài sản thông tin quan trọng, bảng sau đưa buớc để thực phương thức đánh giá rủi ro đơn giản: Bảng 3.1: Các buớc đánh giá rủi ro STT Các buớc đánh giá rủi ro Hành động Xác định tài sản người Xác định lên danh sách tất tài sản thuộc phạm quản lý tài sản vi mà tiêu chuẩn ISO đề cập, đồng thời xác định rõ người chịu trách nhiệm quản lý tài sản Đánh giá mức độ quan Đánh giá đuợc mức độ quan tài sản trọng tài sản ba thuộc tính: Bảo mật, Tồn vẹn Săn sàng Đánh giá mức độ Xác định tất mối đe dọa liên quan đến tài mối đe dọa sản gán giá trị tương ứng với mức độ đe dọa theo khả xảy mức độ nghiêm trọng mối đe dọa Đánh giá mức độ Xác định tất lổ hổng liên quan đến tài sản lỗ hổng gán giá trị tương ứng với mức độ điểm yếu tương ứng với khả khai thác mối đe dọa Cách tính rủi ro Xây dựng phương thức để tính tốn giá trị rủi ro tài sản, nguy lổ hổng Đánh giá lựa chọn Đối với nguy điểm yếu tài sản lựa ngăn ngừa rủi ro lựa chọn phương thức kiểm soát an ninh phù hợp để chọn điều khiển giảm thiểu rủi ro đến mức chấp nhận đuợc bảo mật 85 3.2.2 Xác định tài sản ngƣời chịu trách nhiệm quản lý Quản lý phòng ban xác định chuẩn bị danh sách tất tài sản thông tin quan trọng liên quan tới lĩnh vực hoạt động Thông tin tài sản quy nhóm sau:  Tài sản vật lý  Tài sản thông tin  Tài sản phần mềm  Tài sản dịch vụ  Tài sản khác Hình 3.1: Thêm mới, chỉnh sửa thơng tin loại tài sản, điều khiển tài liệu hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document) 86 3.2.3 Đánh giá mức độ quan trọng tài sản Độ quan trọng tài sản gán giá trị từ đến 5, với thấp nhât cao mức độ ảnh hưởng đến tổ chức, việc kinh doanh rủi ro thực xảy ra, tổng hợp yếu tố:  Bảo mật  Toàn vẹn  Sẵn sàng Bảng 3.2 Đánh giá tài sản độ bảo mật Giá trị Phân lớp Mô tả Công bố công khai Không nhạy cảm, sẳn sàng công bố Sử dụng nội Không nhạy cảm, hạn chế sử dụng nội Giới hạn sử dụng Hạn chế sử dụng tổ chức Mật Chỉ sử dụng đuợc nơi cần thiết Tuyệt mật Chỉ sử dụng nơi cần thiết cấp quản lý cao Bảng 3.3: Đánh giá tài sản độ toàn vẹn Giá trị Phân lớp Mơ tả Độ tồn vẹn thấp Ảnh hưởng tới kinh doanh không đáng kể Độ toàn vẹn thấp Ảnh hưởng tới kinh doanh thấp Độ tồn vẹn trung bình Ảnh hưởng quan tới kinh doanh Độ toàn vẹn cao Ảnh hưởng yếu tới kinh doanh Độ tồn vẹn cao Tác động làm sụp đổ trình kinh doanh 87 Bảng 3.4: Đánh giá tài sản độ sẳn sàng Giá trị Phân lớp Mô tả Độ sẳn sàng thấp Sẳn sàng đáp ứng vòng 25% số làm việc Độ sẳn sàng thấp Sẳn sàng đáp ứng vòng 50-60 % số làm việc Độ sẳn sàng trung bình Sẳn sàng đáp ứng vịng 75-80 % số làm việc Độ sẳn sàng cao Sẳn sàng đáp ứng vòng 95 % số làm việc Độ sẳn sàng cao Sẳn sàng đáp ứng vòng 99.5 % số làm việc Các tài sản tương tự có mức độ nhạy cảm hay giới hạn nguy rủi ro tổn thương nhóm lại để đơn giản hóa việc đánh giá mức độ quan trọng tài sản Các giá trị mức độ quan trọng tài sản dùng làm sở để tính giá trị rủi ro Hình 3.2: Đánh giá rủi ro (Risk Assessment) 88 3.2.4 Đánh giá mức độ mối đe dọa Các mối đe dọa khai thác lỗ hổng liên quan đến tài sản để gây thiệt hại hay gián đoạn việc cung cấp dịch vụ Đối với loại tài sản, cần xác định mối đe dọa khai thác lỗ hổng Đối với mối đe dọa xác định, cần ước tính giá trị mối đe dọa quy mơ từ đến 5, '1 ' đại diện cho xác suất xảy thấp, '2' đại diện cho xác suất vừa xảy '5 ' đại diện cho xác suất xảy cao 3.2.5 Đánh giá mức độ lổ hổng Lỗ hổng điểm yếu liên quan đến tài sản Những điểm yếu khai thác mối đe dọa gây tổn thất thiệt hại đến tài sản Lỗ hổng thân khơng gây hại đuợc khai thác Cần phải xác định tất lỗ hổng điểm yếu liên quan đến tài sản Đối với điểm yếu đựoc ước tính trị giá thang điểm từ đến 5, "1" đại diện cho mơi trường an toàn, '2 'đại diện cho diện an ninh, cần cải tiến '5' đại diện cho mơi trường thiếu khơng có bảo đảm an tồn thơng tin cần phải cải thiện mạnh mẽ Hình 3.3: Phịng ngừa rủi ro (Risk Treatment) 89 3.2.6 Tính mức độ rủi ro báo cáo đánh giá rủi ro Mức độ rủi ro đuợc đánh giá, tinh toán dựa mức độ quan trọng tài sản, mức độ nguy cơ, mức độ tổn thương, để đơn giản đuợc tính tổng giá trị đánh giá mức độ ba yếu tố cơng lại Việc tính tốn mức độ quan trọng tất tài sản đuợc thực thông qua bảng mẫu, tóm tắt bảng đuợc sử dụng báo cáo đánh giá mức độ rủi ro 3.2.7 Phòng ngừa rủi ro Các lựa chọn để xử lý rủi ro:  Giả nguy cách quản lý thích hợp  Tránh rủi ro o Bằng cách không thực thi hành động o Di chuyển tài sản khỏi khu vực có nguy o Trì hỗn định thu tập đuợc đầy đủ thông tin  Chuyển đổi rủi ro o Thuê bên o Bằng cách bảo hiểm  Chấp nhận rủi ro o Chấp nhận rủi ro o Những tình khơng thể tránh đuợc o Rủi ro mức chấp nhận đuợc  Bỏ qua rủi ro gây ảnh hưởng thấp Mục tiêu kế hoạch xử lý rủi ro thực kiểm soát để đạt mức độ bảo đảm an tồn thơng tin theo u cầu quản lý 90 3.2.8 Mức độ rủi ro chấp nhận đuợc Mức độ chấp nhận giá trị rủi ro dùng '7 thấp hơn‟ Lý giá trị tài sản cao với điều khiển thích hợp vị trí giá trị mối đe dọa dễ bị tổn thương giống giá trị rủi ro là chấp nhận đuơc Bất kỳ giá trị rủi ro giá trị cần phải giải quyết, có nghĩa thực điều khiển bổ sung để giảm thiểu giá trị rủi ro đạt thấp Những rủi ro lại sau giải nguy ban đầu gọi rủi ro lại Lưu ý việc quản lý cần phải nhận thức mức độ chấp nhận rủi ro rủi ro cịn lại Hình 3.4: Mức rủi ro chấp nhận đuợc 91 3.2.9 Lựa chọn mục tiêu kiểm soát điều khiển Sau giá trị rủi ro tính tốn, xác định đuợc kiểm sốt thích hợp cho tài sản có giá trị rủi ro '8 cao hơn‟ Thì điều khiển lựa chọn thực thi để làm giảm giá trị rủi ro đến mức độ chấp nhận rủi ro 3.2.10 Kế hoạch phòng ngừa rủi ro Xây dựng kế hoạch thực phịng ngừa rủi ro để lựa chọn đuợc cách thức nhằm giải vấn đề:  Các ưu tiên  Thực lịch trình  Trách nhiệm  Các hoạt động đào tạo cần thiết Các báo cáo đánh giả rủi ro theo mẫu đuợc mở rộng để đánh giá đựợc kế hoạch phòng ngừa rủi ro Việc cần phải đuợc theo dõi hoàn thành sở liên tục theo yêu cầu ISO 3.2.11 Kiểm tra định kỳ Bản chất phức tạp tài sản thơng tin, giá trị mối đe dọa lỗ hổng tất thay đổi theo thời gian Do việc đánh giá rủi ro cần phải xem xét định kỳ, sáu tháng lần Ngồi tài sản thêm vào mối đe dọa xác định cần phải thực việc đánh gía tài sản đánh giá rủi ro lại 92 3.3 CÁC GIAO DIỆN CHÍNH Hình 3.5: Truy xuất nguồn gốc tài liệu hệ thống quản lý ATTT (ISMS Document Traceability) Hình 3.6: Thêm tài liệu cho hệ thống quản lý ATTT (Add ISMS Document) 93 Hình 3.7: Chỉnh sửa tài liệu hệ thống quản lý ATTT (Edit ISMS Document) Hình 3.8: Màn hình Screen 94 KẾT LUẬN Kết luận văn gồm có: 1/ Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO27001: Hệ thống quản lý an tồn thơng tin ATTT bao gồm người, trình hệ thống CNTT Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, Tính tồn vẹn, Tính sẵn sàng Với yêu cầu cụ thể về: Hệ thống quản lý an tồn thơng tin Trách nhiệm ban lãnh đạo Đánh giá nội hệ thống quản lý ATTT Xem xét ban lãnh đao hệ thống quản lý ATTT Cải tiến hệ thống quản lý ATTT Thơng qua việc kiểm sốt mười mục tiêu lĩnh vực chính: Chính sách an ninh (Security Policy) Tổ chức an ninh (Security Organization) Phân loại kiểm tra tài sản (Asset Classification and Control) An ninh nhân (Personnel Security) An ninh môi trường mức vật lý (Physical and Environmental Security) Quản lý tác nghiệp thông tin liên lạc Điều khiển truy nhập (Access Control) Phát triển hệ thống bảo dưỡng (Systems Development and Maintenance) Quản trị tính liên tục kinh doanh (Business Continuity Management) Quản lý cố an tồn thơng tin Điều kiện tn thủ (Compliance) Như ISO 27001 giúp cho tổ chức tạo hệ thống quản lý an tồn thơng tin chặt chẽ nhờ cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu 95 Tuy nhiên việc tuân theo đạt chứng chuẩn ISO 27001 chứng minh tổ chức đảm bảo an toàn 100% Khơng có điều an ninh hồn tồn ngoại trừ khơng làm Tuy nhiên, thừa nhận chuẩn quốc tế đưa lợi ích chắn mà người quản lý cần phải xem xét Cấp độ tổ chức: Sự cam kết - Chứng cam kết hiệu nổ lực đưa an ninh tổ chức đạt cấp độ chứng minh cần cù thích đáng người quản trị Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách tổ chức tuân theo tất luật qui định áp dụng Điều quan trọng chuẩn bổ sung chuẩn luật tồn khác Cấp độ điều hành: Quản lý rủi ro - Mang lại hiểu biết tốt hệ thống thông tin, điểm yếu chúng làm để bảo vệ chúng Tương tự, đảm bảo nhiều khả sẵn sàng phụ thuộc phần cứng phần mềm Cấp độ thương mại: Sự tín nhiệm tin cậy- Các thành viên, cổ đông, khách hàng vững tin thấy khả chuyên nghiệp tổ chức việc bảo vệ thông tin Chứng giúp nhìn nhận riêng từ đối thủ cạnh tranh thị trường Cấp độ tài cấp độ người: Tiết kiệm chi phí khắc phục lỗ hỏng an ninh có khả giảm chi phí bảo hiểm Cải tiến nhận thức nhân viên vấn đề an ninh trách nhiệm họ tổ chức 2/ Về thử nghiệm sử dụng chương trình quản lý ATTT: Chương trình “ISMS-RAT” trợ giúp cho việc thực thi ATTT tổ chức cách thuận tiện hiệu quả, lợi ích mà chương trình mang lại như: Phân lọai, kiểm kê tài sản liên quan đến An tồn Thơng tin, Đánh giá rủi ro, Lựa chọn kế hoạch phòng ngừa rủi ro phù hợp với tiêu chuẩn ISO 27001, thực việc truy xuất nguồn gốc tài liệu liên quan đến ATTT, Đưa rá tuyên bố áp dụng (Statement Of Applicabity: SOA) yêu cầu bắt buộc để thực ATTT theo tiêu chuẩn ISO 27001 cách hiệu 96 TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật [1] ISO/IEC 1799:2000, Information technology – Code of Practice [2] BS 7799-2:2002, Information Security Management Specification with Guidance for User [3] ISO/IEC TR 13335-1:2004, Information technology - Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security Part 3: Techniques for the management of IT security ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT Security Part 4: Selection of safeguards [4] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [5] ISO/IEC 1799:2005 Information technology - Security techniques [6] OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of Security Paris: OECD, July 2002 www.oecd.org 97 ... NGHỆ -o0o - NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001 Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã ngành: 60.48.05 LUẬN VĂN... rủi ro với sách mục tiêu hệ thống quản lý ATTT đặt Các tài liệu hệ thống quản lý ATTT bao gồm: 1/ Các thơng báo sách mục tiêu hệ thống quản lý ATTT 2/ Phạm vi hệ thống quản lý ATTT (xem 2.3.1.1)... viễn thông, công nghệ thông tin, quan tổ chức để đạt lợi ích chúng Hệ thống thơng tin quân đội: Mặc dù phần lớn hệ thống thông tin tách biệt với hệ thống thông tin khác, dựa mạng viễn thơng sở hệ