Đang tải... (xem toàn văn)
Bài giảng An toàn và bảo mật hệ thống thông tin - Chương 5: Quản lý, pháp luật và chính sách an toàn thông tin cung cấp cho người học các kiến thức: Quản lý an toàn thông tin, giới thiệu bộ chuẩn quản lý ATTT ISO/IEC 27000, pháp luật và chính sách ATTT, vấn đề đạo đức ATTT. Mời các bạn cùng tham khảo.
CHƯƠNG QUẢN LÝ, PHÁP LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN TỔNG QUAN NỘI DUNG Quản lý an tồn thơng tin Giới thiệu chuẩn quản lý ATTT ISO/IEC 27000 Pháp luật sách ATTT Vấn đề đạo đức ATTT 8.1 Quản lý an tồn thơng tin Khái quát quản lý ATTT Đánh giá rủi ro ATTT Phân tích chi tiết rủi ro ATTT Thực thi quản lý an tồn thơng tin 8.1.1 Khái qt quản lý ATTT Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin Tài sản ATTT gồm: Phần cứng (máy chủ, thiết bị mạng,…) Phần mềm (hệ điều hành, phần mềm máy chủ dịch vụ,…) Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh,…) Quản lý an tồn thơng tin (Information security management) tiến trình (process) nhằm đảm bảo tài sản quan trọng quan, tổ chức, doanh nghiệp bảo vệ đầy đủ với chi phí phù hợp; 8.1.1 Khái quát quản lý ATTT Quản lý ATTT phải trả lời câu hỏi: Những tài sản cần bảo vệ? Những đe dọa có tài sản này? Những biện pháp thực để ứng phó với đe dọa đó? Quản lý ATTT gồm khâu: Xác định rõ mục đích đảm bảo ATTT hồ sơ tổng hợp rủi ro; Đánh giá rủi ro với tài sản ATTT cần bảo vệ; Xác định triển khai biện pháp quản lý, kỹ thuật kiểm soát, giảm rủi ro mức chấp nhận Quá trình quản lý ATTT cần thực liên tục theo chu trình thay đổi nhanh chóng cơng nghệ môi trường xuất rủi ro 8.1.1 Khái quát quản lý ATTT Bộ chuẩn ISO/IEC 27000 xây dựng, gồm số chuẩn đặc thù cho quản lý ATTT: 27000:2009: Hệ thống quản lý ATTT - Khái quát định nghĩa thuật ngữ; 27001:2005: Hệ thống quản lý ATTT – Các yêu cầu; 27002:2005: Quy phạm thực hành quản lý an ninh thông tin; 27003:2010: Hướng dẫn thực thi hệ thống quản lý ATTT; 27004:2009: Quản lý ATTT – Đo kiểm; 27005:2008: Quản lý rủi ro ATTT; 27006:2007: Các yêu cầu tổ chức chứng nhận kiểm toán hệ thống quản lý ATTT 8.1.1 Khái quát quản lý ATTT Chuẩn ISO/IEC 27001:2005 đề chu trình Plan-Do-CheckAct (PDCA) nhằm nâng cao hiệu hệ thống quản lý ATTT 8.1.1 Khái quát quản lý ATTT Chu trình Plan-Do-Check-Act (PDCA): Plan (Lập kế hoạch): • Thiết lập sách, mục đích, tiến trình thủ tục ATTT; • Thực việc đánh giá rủi ro; • Xây dựng kế hoạch xử lý rủi ro, lựa chọn biện pháp thích hợp để kiểm sốt chấp nhận rủi ro Do (Thực thi): Thực thi kế hoạch xử lý rủi ro; Check (Kiểm tra): Giám sát trì kế hoạch xử lý rủi ro; Act (Hanh động): Duy trì cải thiện trình quản lý ATTT, đáp ứng thay đổi nhận dạng cố 8.1.2 Đánh giá rủi ro ATTT Đánh giá rủi ro ATTT (Security risk assessment) Là phận quan trọng vấn đề quản lý rủi ro; Mỗi tài sản tổ chức cần xem xét, nhận dạng rủi ro có đánh giá mức rủi ro; Là sở để xác định mức rủi ro chấp nhận với loại tài sản; Trên sở xác định mức rủi ro, đề biện pháp xử lý, kiểm soát rủi ro mức chấp nhận được, với mức chi phí phù hợp 8.1.2 Đánh giá rủi ro ATTT Các phương pháp tiếp cận đánh giá rủi ro: Phương pháp đường sở (Baseline approach) Phương pháp khơng thức (Informal approach) Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) Phương pháp kết hợp (Combined approach) 10 8.3.1 Giới thiệu pháp luật sách ATTT Trách nhiệm tổ chức (Organization Liaibility): Trách nhiệm tổ chức trách nhiệm trước luật pháp tổ chức mở rộng ngồi phạm vi luật hình luật hợp đồng; Gồm trách nhiệm pháp lý phải hoàn trả đền bù cho hành vi sai trái; Nếu nhân viên công ty/tổ chức thực hành vi phạm pháp phi đạo đức, gây thiệt hại cho cá nhân, tổ chức khác, cơng ty/tổ chức phải chịu trách nhiệm pháp lý, tài chính; Ví dụ: Bảo vệ siêu thị giam giữ hành khách hàng gây thương tích: • NV bảo vệ bị bắt tạm giam để điều tra; • Siêu thị phải có trách nhiệm đền bù cho khách hàng 58 8.3.1 Giới thiệu pháp luật sách ATTT Chính sách (Policy) Luật (Law): Trong tổ chức, nhân viên ATTT có trách nhiệm trì an tồn thơng qua việc thiết lập sách ATTT; Chính sách (cịn gọi quy định, nội quy) quy định hành vi chấp nhận nhân viên tổ chức nơi làm việc; Chính sách "luật" tổ chức có giá trị thực thi nội bộ, gồm tập quy định chế tài xử phạt bắt buộc phải thực hiện; Các sách/nội quy cần nghiên cứu, soạn thảo kỹ lưỡng; Chính sách cần đầy đủ, đắn áp dụng công với nhân viên; Khác biệt sách luật: • Luật ln bắt buộc; • Chính sách: thiếu hiểu biết sách cách bào chữa chấp nhận 59 8.3.1 Giới thiệu pháp luật sách ATTT Các yêu cầu sách: Phổ biến (Dissemination): có khả phổ biến rộng rãi, tài liệu giấy điện tử; Xem xét (Review): Nhân viên xem, hiểu – cần thực nhiều ngơn ngữ, ví dụ tiếng Anh tiếng địa phương; Có thể hiểu (Comprehension): Chính sách cần rõ ràng dễ hiểu – tổ chức cần có điều tra/khảo sát mức độ hiểu biết/nắm bắt sách nhân viên; Tuân thủ (Obligation): Cần có biện pháp để nhân viên cam kết thực – thông qua ký văn cam kết tick vào ô xác nhận tuân thủ; Áp dụng đồng đều, bình đẳng (Uniform enforcement): Chính sách cần thực đồng đều, bình đẳng, qn, khơng có ưu tiên với nhân viên nào, kể người quản lý 60 8.3.1 Giới thiệu pháp luật sách ATTT Các kiểu luật: Luật dân (Civil Law): luật điều chỉnh quan hệ dân tổ chức cá nhân quốc gia; Luật hình (Criminal Law): luật điều chỉnh hành vi gây hại cho xã hội nhà nước chủ động thực thi; Luật công cộng (Public Law): quy định cấu trúc đơn vị hành (quốc hội, phủ đơn vị trực thuộc), quan hệ công dân với công dân, tổ chức quan hệ với phủ nước khác; • VD: Hiến pháp, luật hành Luật riêng (Private Law): điều chỉnh quan hệ phạm vi hẹp, quan hệ gia đình, thương mại, lao động quan hệ cá nhận với tổ chức 61 8.3.2 Luật quốc tế ATTT Các luật ATTT Mỹ: Các luật tội phạm máy tính Các luật riêng tư Luật xuất chống gián điệp Luật quyền Luật tự thông tin Các luật ATTT tổ chức luật quốc tế: Hội đồng châu Âu chống tội phạm mạng Hiệp ước bảo vệ quyền sở hữu trí tuệ 62 8.3.2 Luật quốc tế ATTT – Luật Mỹ Các luật tội phạm máy tính: Computer Fraud and Abuse Act of 1986 (CFA Act) – quy định tội phạm lừa đảo lạm dụng máy tính; Computer Security Act, 1987: đề nguyên tắc đảm bảo an tồn cho hệ thống máy tính;s National Information Infrastructure Protection Act of 1996 sửa đổi CFA Act, tăng khung hình phạt số tội phạm máy tính đến 20 năm tù; USA PATRIOT Act, 2001: cho phép quan quyền số quyền nhằm phòng chống khủng bố hiệu hơn; USA PATRIOT Improve-ment and Reauthorization Act: Mở rộng USA PATRIOT Act, 2001, cấp cho quan quyền nhiều quyền hạn cho nhiệm vụ phòng chống khủng bố 63 8.3.2 Luật quốc tế ATTT – Luật Mỹ Các luật riêng tư: bảo vệ quyền riêng tư người dùng, bảo vệ thông tin cá nhân người dùng: Federal Privacy Act, 1974: luật Liên bang Mỹ bảo vệ quyền riêng tư người dùng; Electronic Communications Privacy Act , 1986: luật bảo vệ quyền riêng tư giao tiếp điện tử; Health Insurance Portability and Accountability Act, 1996 (HIPAA): bảo vệ tính bí mật an tồn liệu y tế người bệnh; • Tổ chức/cá nhân vi phạm bị phạt đến 250.000 USD 10 năm tù; Financial Services Modernization Act or Gramm-Leach-Bliley Act, 1999: điều chỉnh hoạt động liên quan đến ATTT ngân hàng, bảo hiểm hãng an ninh 64 8.3.2 Luật quốc tế ATTT – Luật Mỹ Luật xuất chống gián điệp: hạn chế việc xuất công nghệ hệ thống xử lý thơng tin phịng chống gián điệp kinh tế; Economic Espionage Act, 1996: phòng chống việc thực giao dịch có liên quan đến bí mật kinh tế công nghệ; Security and Freedom through Encryption Act, 1999: quy định vấn đề có liên quan đến sử dụng mã hóa đảm bảo an tồn tự thơng tin U.S Copyright Law: Luật quyền Mỹ Điều chỉnh vấn đề có liên quan đến xuất bản, quyền tác giả tài liệu, phần mềm, bao gồm tài liệu số Luật tự thông tin (Freedom of Information Act, 1966 (FOIA)): Các cá nhận truy nhập thông tin không gây tổn hại đến an ninh quốc gia 65 8.3.2 Luật quốc tế ATTT – Luật Quốc tế Các tổ chức luật quốc tế: Hội đồng châu Âu chống tội phạm mạng (Council of Europe Convention on Cybercrime): Hiệp ước chống tội phạm mạng Hội đồng châu Âu phê chuẩn vào năm 2001; Hiệp ước bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS)): Tổ chức Thương mại giới WTO chủ trì đàm phán giai đoạn 1986–1994; Digital Millennium Copyright Act (DMCA): luật quyền số Thiên niên kỷ 66 8.3.3 Luật Việt Nam ATTT Việt Nam chưa có luật ATTT Dự thảo Luật an tồn thơng tin số trình Quốc hội xem xét lấy ý kiến đơn vị chuyên môn Dự kiến thông qua vào năm 2015 Một số văn có liên quan đến ATTT: Luật CNTT số 67/2006/QH11 Quốc hội, ngày 12/07/2006 Nghị định số 90/2008/NÐ-CP Chính Phủ "Về chống thư rác", ngày 13/08/2008 Quyết định số 59/2008/QÐ-BTTTT Bộ Thông tin Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số", ngày 31/12/2008 Quyết định 63/QÐ-TTg Thủ tướng CP "Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020", ngày 13/01/2010 67 8.3.3 Luật Việt Nam ATTT Một số văn có liên quan đến ATTT: Chỉ thị số 897/CT-TTg Thủ tướng CP "V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số", 10/06/2011 Thông tư số 23/2011/TT-BTTTT Bộ TT&TT "Quy định việc quản lý, vận hành, sử dụng bảo đảm an tồn thơng tin Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước", ngày 11/08/2011 Nghị định số 77/2012/NĐ-CP Chính Phủ "Sửa đổi, bổ sung số điều Nghị định số 90/2008/NĐ-CP ngày 13 tháng năm 2008 Chính phủ chống thư rác", ngày 05/10/2012 Nghị định 72/2013/NĐ-CP Chính Phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; quy định việc chia sẻ thông tin trang mạng xã hội 68 8.4 Vấn đề đạo đức ATTT Nhiều tổ chức xã hội nghề nghiệp ban hành quy tắc ứng xử (Code of Conduct) bắt buộc nơi làm việc: Luật sư, bác sỹ vi phạm nghiêm trọng quy tắc ứng xử bị cấm hành nghề CNTT ATTT quy tắc ứng xử bắt buộc; Một số tổ chức nghề nghiệp Association for Computing Machinery (ACM) Information Systems Security Association (ISSA) hợp tác để đề quy tắc ứng xử ATTT; Tuy nhiên, quy tắc ứng xử ATTT có tính khuyến nghị mà tổ chức khơng có thẩm quyền buộc phải thực hiện; Hiệp hội ATTT Việt Nam công bố Bộ Qui tắc ứng xử ATTT vào đầu năm 2015, đưa số quy tắc khuyến nghị việc không làm cho thành viên nhân viên tổ chức hoạt động lĩnh vực ATTT 69 8.4 Vấn đề đạo đức ATTT Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) đề xuất Viện đạo đức máy tính (Mỹ): Khơng sử dụng máy tính để gây hại cho người khác; Không can thiệp vào công việc người khác máy tính; Khơng trộm cắp files máy tính người khác; Khơng sử dụng máy tính để trộm cắp; Khơng sử dụng máy tính để tạo chứng giả; Không chép sử dụng phần mềm khơng có quyền; Khơng sử dụng tài ngun máy tính người khác khơng phép khơng có bồi thường thỏa đáng; Khơng chiếm đoạn tài sản trí tuệ người khác; Nên suy nghĩ hậu xã hội chương trình xây dựng hệ thống thiết kế; 10 Nên sử dụng máy tính cách có trách nhiệm, đảm bảo quan tâm tơn trọng đến đồng bào 70 8.4 Vấn đề đạo đức ATTT Sự khác biệt vấn đề đạo đức văn hóa: Nhận thức vấn đề đạo đức sử dụng kkhác biệt quốc gia có văn hóa khác nhau; Trong nhiều hợp, hành vi phép số cá nhân quốc gia lại vi phạm quy tắc đạo đức quốc gia khác; VD: Tỷ lệ vi phạm quyền phần mềm nước tiên tiến Mỹ châu Âu tương đối thấp, cao nước châu Á • Tỷ lệ vi phạm quyền phần mềm Việt Nam khoảng 90% Vấn đề vi phạm quyền phần mềm: Vấn đề vi phạm quyền phần mềm nghiêm trọng, đặc biệt nước phát triển châu Á châu Phi; Người dùng đa số có hiểu biết vấn đề quyền phần mềm, coi việc sử dụng phần mềm bất hợp pháp bình thường nhiều nước chưa có quy định khơng xử lý nghiêm vi phạm 71 8.4 Vấn đề đạo đức ATTT Vấn đề lạm dụng tài nguyên công ty, tổ chức: Một số cơng ty/tổ chức chưa có quy định cấm nhân viên sử dụng tài nguyên công ty, tổ chức vào việc riêng Một số có quy định chưa thực thi chặt chẽ chưa có chế tài xử phạt nghiêm minh; Các hành vi lạm dụng thường gặp: • • • • • • In ấn tài liệu riêng; Sử dụng email cá nhân cho việc riêng; Tải tài liệu/files không phép; Cài đặt chạy chương trình/phần mềm khơng phép; Sử dụng máy tính cơng ty làm việc riêng; Sử dụng loại phương tiện làm việc khác điện thoại công ty mức vào việc riêng; 72 ... điểm hệ thống Vào: Các thành phần hệ thống, gồm: • • • • Phần cứng, phần mềm, giao diện Dữ liệu thông tin Con người Sứ mệnh hệ thống Ra: • Ranh giới chức hệ thống • Tính trọng yếu liệu hệ thống. .. lỗ hổng bảo mật Vào: • • • • Các báo cáo đánh giá rủi ro có Các nhận xét kiểm toán hệ thống Các yêu cầu an ninh, an toàn Các kết kiểm tra an ninh, an tồn Ra: • Danh sách lỗ hổng bảo mật tiềm... tham gia Xây dựng kế hoạch đảm bảo an toàn Thực thi kiểm soát chọn 36 8.1.4 Thực thi QL ATTT – XD Kế hoạch đảm bảo an toàn Kế hoạch đảm bảo an toàn (Security plan) tài liệu rõ: Các phần việc