Là một ngân hàng đứng đầu trong lĩnh vực tài chính, VCB nhận thức rõ được các rủi ro và nguy cơ tiềm ẩn từ hệ thống CNTT và luôn xem đây là một khía cạnh quan trọng cần được quan tâm đúng mức. Chính vì vậy vào ngày 27 tháng 08 năm 2013, Tổng Giám đốc Ngân hàng TMCP Ngoại thương Việt Nam đã phê duyệt quyết định “Ban hành tài liệu Tuyên bố áp dụng tiêu chuẩn ISO 27001:2005 đối với hệ thống quản lý an toàn thông tin của Ngân hàng TCMP Ngoại thương Việt Nam”.
Văn bản này nêu rõ việc ban hành quyết định, đơn vị chịu trách nhiệm tổ chức thực hiện, hiệu lực thi hành cũng như bảng mô tả các mục tiêu và biện pháp quản lý theo tiêu chuẩn quốc tế ISO/IEC 17799:2005.
Ngoài văn bản tuyên bố áp dụng, Ngân hàng còn có một loạt các văn bản quy định chặt chẽ việc thực hiện các công việc có liên quan đến nội dung tiêu chuẩn ISO 27001 bao gồm:
Tài liệu hướng dẫn đánh giá rủi ro tài sản công nghệ thông tin của Ngân hàng TMCP
Ngoại thương Việt Nam.
Quy định kiểm soát Tài liệu của Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
Quy định kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
Quy định hành động khắc phục đối với Hệ thống quản lý an toàn thông tin của Ngân
hàng TMCP Ngoại thương Việt Nam.
Quy định hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của
Ngân hàng TMCP Ngoại thương Việt Nam.
Quy định đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng
TMCP Ngoại thương Việt Nam.
Quy định rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của
Ngân hàng TMCP Ngoại thương Việt Nam.
Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng
T rang 27
Nhìn chung, tất cả các văn bản trên đều thực hiện đúng theo các yêu cầu của bộ tiêu chuẩn quốc tế ISO 27001. Tuy nhiên thì vẫn còn một số vấn đề còn tồn đọng sẽ được phân tích sau đây cho từng loại văn bản cụ thể.
2.2.1. Phạm vi áp dụng: áp dụng các quy định và tiêu chuẩn được ban hành kèm theo các
văn bản cho toàn bộ các Trung tâm, phòng/ban, các bộ phận nghiệp vụ tại Hội sở chính, Sở giao dịch, các Chi nhánh, Công ty TNHH MTV cho thuê tài chính Ngân hàng Ngoại thương.
2.2.2. Trách nhiệm của các bộ phận liên quan đến Hệ thống quản lý an toàn thông tin tại
VCB:
2.2.2.1. Lãnh đạo đơn vị:
Chủ trì thực hiện hành động khắc phục, phòng ngừa trên cơ sở yêu cầu thực hiện hành động khắc phục, phòng ngừa do Bộ phận giám sát đưa ra. Ngoài ra, còn chủ trì thực hiện hoạt động rà soát; Cung cấp các nguồn lực đảm bảo cho các Đơn vị việc thực hiện kết luận của cuộc họp rà soát.
2.2.2.2. Tổ ISO:
Quy định kiểm soát Tài liệu: chịu trách nhiệm soạn thảo tài liệu nội bộ theo yêu cầu.
Đầu mối thực hiện việc phân loại và phân phối tài liệu nội bộ thuộc hệ thống quản lý ATTT, Lựa chọn và đầu mối thực hiện việc phân phối tài liệu bên ngoài cho các Đơn vị (nếu có).
Quy định đo lường hiệu lực: Xây dựng các tiêu chí đo lường của hệ thống quản lý
ATTT; Tổng hợp kết quả đo lường hiệu lực; Lưu hồ sơ về hoạt động đo lường hiệu lực của hệ thống quản lý ATTT.
Quy định rà soát của ban lãnh đạo: Đề xuất bổ sung thành viên từ các Đơn vị để thực
hiện chuẩn bị nội dung rà soát (nếu cần thiết); Chuẩn bị nội dung rà soát; Lưu trữ hồ sơ về hoạt động rà soát; Chịu trách nhiệm đôn đốc các đơn vị thực hiện kết luận của cuộc họp rà soát, tổng hợp Báo cáo ban lãnh đạo.
Quy định đánh giá nội bộ: Lập kế hoạch chương trình đánh giá định kỳ hàng năm và
T rang 28
2.2.2.3. Bộ phận giám sát:
Đầu mối đưa ra yêu cầu thực hiện hành động khắc phục, phòng ngừa và theo dõi, đôn đốc, kiểm tra các Đơn vị/bộ phận thực hiện hành động khắc phục, phòng ngừa; Lưu trữ hồ sơ về các hành động khắc phục, phòng ngừa trong phạm vi phụ trách.
2.2.2.4. Các đơn vị/bộ phận:
Quy định kiểm soát Tài liệu: Quản lý các tài liệu thuộc hệ thống quản lý ATTT được
cung cấp, Phổ biến, triển khai tài liệu thuộc hệ thống quản lý ATTT tới các Bộ phận có liên quan, Tham gia đóng góp ý kiến trong quá trình xây dựng tài liệu nội bộ (nếu được yêu cầu).
Quy định hành động khắc phục, phòng ngừa: thực hiện các hành động khắc phục,
phòng ngừa theo yêu cầu
Quy định đo lường hiệu lực: Thực hiện thu thập và cung cấp số liệu phục vụ cho quá
trình đo lường hiệu lực dựa trên các tiêu chí đo lường đã được xây dựng.
Quy định rà soát của ban lãnh đạo: Cử lãnh đạo tham gia họp rà soát theo yêu cầu;
Cung cấp các thông tin theo yêu cầu phục vụ cho hoạt động rà soát; Thực hiện các kết luận của cuộc họp rà soát theo phân công.
Quy định đánh giá nội bộ: Chuẩn bị các thông tin, hồ sơ, nhân sự có liên quan cần thiết
trong phạm vi đánh giá để cung cấp cho đoàn đánh giá; Phối hợp, hợp tác và trợ giúp đoàn đánh giá để cuộc đánh giá đạt kết quả tốt nhất; Xem xét và thấu hiểu các phát hiện do cán bộ đánh giá trình bày; Thực hiện các hành động khắc phục/hành động phòng ngừa các điểm không phù hợp được phát hiện trong quá trình đánh giá.
2.2.2.5. Trưởng đoàn đánh giá nội bộ:
Chủ trì các hoạt động đánh giá nội bộ (bao gồm các cuộc họp khai mạc và họp kết
thúc)
Điều phối giữa các chuyên gia đánh giá và đơn vị được đánh giá để chương trình đánh
giá được thực hiện theo đúng kế hoạch
Cùng với đơn vị được đánh giá giải quyết các vấn đề còn chưa thống nhất trong quá
T rang 29
Chuẩn bị và hoàn thiện báo cáo đánh giá
2.2.2.6. Các thành viên đoàn đánh giá nội bộ:
Thực hiện đánh giá theo đúng mục đích, phạm vi, kế hoạch đã được phê duyệt
Tuân thủ các tiêu chuẩn, quy định liên quan đến đánh giá
Thông báo ngay về những trở ngại (nếu có) trong quá trình đánh giá
Thu thập đầy đủ bằng chứng và giải thích rõ ràng các kết quả đánh giá cho bên được
đánh giá thấu hiểu
2.2.3. Những lưu ý khi đánh giá rủi ro an toàn thông tin tại VCB:
2.2.3.1. Các khái niệm:
Theo định nghĩa của ISO, thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của một doanh nghiệp, có giá trị cho một tổ chức và do đó, cần có nhu cầu để bào vệ thích hợp. An toàn thông tin là bảo vệ thông tin trước nguy cơ mất an toàn nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của doanh nghiệp, giảm thiểu sự phá hoại doanh nghiệp và gia tăng tới mức tối đa các cơ hội kinh doanh và đầu tư phát triển.
Thông tin có thể tồn tại dưới nhiều dạng, thông tin có thể được in hoặc được viết trên giấy, được lưu trữ dưới dạng điện tử, được truyền đi qua bưu điện hoặc dùng thư điện tử, (được trình diễn trên các bộ phim, hoặc được nói trên các cuộc đàm thoại. Nhưng cho dù thông tin tồn tại dưới dạng nào đi chăng nữa, thông tin được đưa ra với 2 mục đích chính là chia sẻ và lưu trữ, nó luôn luôn cần sự bảo vệ nhằm đảm bảo sự an toàn thích hợp.
An toàn thông tin được mô tả ở đây là sự duy trì:
Tính bảo mật (Confidentiality): đảm bảo thông tin chỉ được truy cập bởi những truy
cập cho phép.
Tính toàn vẹn (Integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng như các
phương pháp xử lý.
Tính sẵn sàng (Availability): đảm bảo những người dùng hợp pháp mới được truy cập
các thông tin và tài sản liên quan khi có yêu cầu.
An toàn thông tin đạt được bằng cách triển khai tập hợp các kiểm soát phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các
T rang 30
kiểm soát này được xây dựng dựa trên kết quả của quá trình đánh giá rủi ro về an toàn thông tin. Tổ chức sử dụng đánh giá rủi ro để xác định mức độ của các nguy cơ tiềm năng và rủi ro gắn với hệ thống CNTT. Kết quả của quả trình này giúp xác định ra các kiểm soát thích hợp nhằm giảm thiểu hoặc loại trừ rủi ro trong quá trình xử lý rủi ro.
Rủi ro (Risk) là một hàm của khả năng xuất hiện của một nguồn nguy cơ khai thác một điểm yếu tiềm năng, và kết quả tạo ra một ảnh hưởng xấu đến tổ chức. Rủi ro được đo bằng sự kết hợp giữa khả năng xuất hiện của một sự kiện và hậu quả của nó.
Đảnh giá rủi ro (Risk Assesstment) là quá trình đầu tiên trong phương pháp quản lý rủi ro, nó bao gồm các hoạt động nhận dạng và đánh giá các ảnh hường của rủi ro, đồng thời khuyến nghị biện pháp xử lý rủi ro.
Quá trình đánh giá các rủi ro và lựa chọn các kiểm soát cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân. Do mức độ quy mô của từng tổ chức không giống nhau, cách thức sử dụng các tài sản CNTT cũng không giống nhau nên chắc chắn các loại rủi ro cũng không thể giống nhau hoặc nếu có thì mức độ cũng không thể giống nhau
Mục đích của quá trình đánh giá rủi ro nhằm:
Xác định và nhận biết các rủi ro đối với tài sản CNTT;
Đánh giá mức độ ảnh hường của rủi ro (nếu xảy ra) đối với tài sản CNTT cũng như đối
với hoạt động sản xuất kinh doanh;
Xác định mức độ rủi ro chấp nhận được;
Đề xuất các giải pháp xử lý rủi ro.
2.2.3.2. Phân loại tài sản CNTT:
Bất kỳ thông tin nào, khi được lưu trữ hoặc xử lý, trên hệ thống CNTT đều cần phải được bảo vệ nhằm chống sự truy cập trái phép, tiết lộ, sửa đổi và tiêu hủy. Các thông tin sẽ có mức độ quan trọng khác nhau, do đó cần phân loại thông tin dựa trên mức độ cần thiết (quan trọng), hoặc xác định giá trị của thông tin trong tổ chức để đưa ra cách thức bảo đảm an toàn cho thông tin
T rang 31
Tài s ản phần cứng: Các thiết bị thông thường (PC, laptop, các loại máy in, máy fax, các
loại máy scanner), Máy chủ (các loại máy chủ Small, Medium, Big), Các thiết bị mạng thông thường (Switch, Router), Các thiết bị bảo mật (Firewall, Proxy, QoS), Các thiết bị lưu trữ (tape, ổ đĩa, CD-ROM3 SAN), Hệ thống mạng cáp nội bộ (bên trong các tòa nhà).
Tài sản phần mềm: phần mềm hệ thống (Antivirus , Office), phần mềm cơ sở dữ liệu
(MySQL, Oracle), hệ thống phần mềm nghiệp vụ (HOST, E-banking, VCB-salary,…)
Tài s ản văn bản giấy
Tài s ản thông tin: dữ liệu trong các cơ sở dữ liệu, các dữ liệu khác: các file dữ liệu
(dạng Word, Excel, PDF, file ảnh) tạo ra bởi các bộ phận trên máy tính cá nhân.
Tài s ản dịch vụ: dịch vụ đường truyền Internet.
Tài s ản hỗ trợ: UPS, máy phát điện, hệ thống PCCC.
b. Phân loại theo tính bảo mật:
Thông tin công cộng: Nếu các thông tin này không có sẵn hoặc bị rò rỉ hay công bố ra
bên ngoài tổ chức thì cũng không tạo ra ảnh hưởng gì. Đây thường là các thông tin mang tính truyền thông hoặc quảng bá. Ví dụ như tài liệu tiếp thị, quảng cáo, thông cáo báo chí...
Thông tin nội bộ: là những thông tin dùng cho tất cả mọi người/bộ phận trong phạm vi
của NHNT. Nếu thông tin bị rò rỉ ra ngoài tổ chức sẽ không gây tổn thất nhiều về mặt tài chính hoặc hình ảnh của NHNT. Tuy nhiên, việc công bố các thông tin này không được khuyến khích.
Thông tin mật: Là những thông tin nếu như bị rò rỉ ra bên ngoài NHNT, sẽ ảnh hưởng
đáng kể về mặt tài chính, pháp lý hoặc hình ảnh của NHNT. Việc tiếp cận các thông tin này cần phải được hạn chế và được sự cho phép của người quản lý. Trong trường hợp có nhu cầu cung cấp thông tin cho bên thứ ba cần phải ký các bản cam kết bảo mật thông tin. Ví dụ: thông tin khách hàng, các thông tin về giao dịch. Các thông tin quy định trong Quyết định 215/QĐ-NHNT.PC ngày 22/10/2003 của Tổng Giám đốc Ngân
T rang 32
hàng Ngoại thương Việt nam (Quy chế quản lý và truy xuất thông tin mật trong hệ thống Ngân hàng Ngoại thương Việt nam) nằm trong nhóm này.
Thông tin tuyệt mật: Là những thông tin mà việc tiết lộ hoặc công bố sẽ ảnh hưởng rất
lớn về mặt tài chính, pháp lý hoặc hình ảnh của NHNT. Ví dụ: Các chiến lược, kế hoạch kinh doanh, kế hoạch phát triển sản phẩm có thể được xếp vào nhóm này.
2.2.3.3. Các bước đánh giá rủi ro tài sản CNTT:
Mô tả tài sản CNTT
Xác định các nguy cơ
Xác định các điểm yếu
Xác định các kiểm soát hiện tại
Ước lượng khả năng xuất hiện
Ước lượng mức độ ảnh hưởng của nguy cơ đối với tài sản
Xác định mức độ rủi ro
Đề xuất các kiểm soát và lựa chọn xử lý rủi ro
Xác định mức độ rủi ro còn lại
2.2.3.4. Duy trì, cập nhật danh sách nguy cơ và điểm yếu của hệ thống quản lý
ATTT:
Để nâng cao chất lượng của đánh giá rủi ro, cần thường xuyên duy trì, cập nhật danh sách này. Công việc này sẽ do Tổ ISO hoặc Phòng Quản lý rủi ro hoạt động thực hiện, với sự giúp đỡ của Trung tâm CNTT và các Bộ phận khác nếu cần
a. Xác định nguy cơ
Các nguy cơ có thể được xác định từ một trong số các nguồn sau:
Phân tích các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;
Phân tích nguyên nhân gây ra sự cố ATTT xảy ra tại NHNT và các tổ chức khác;
Khuyến cáo về ATTT của cơ quan quản lý nhà nước và các tổ chức khác;
Phát hiện của người sử dụng hệ thống CNTT tại NHNT
b. Xác định điểm yếu
T rang 33
Phân tích các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;
Phân tích nguyên nhân của các sự cố ATTT xảy ra tại NHNT và các tổ chức khác;
Khuyến cáo về ATTT của cơ quan quản lý nhà nước và các tổ chức khác;
Phát hiện của người sử dụng hệ thống CNTT tại NHNT.
c. Liệt kê các kiểm soát
Với mỗi nguy cơ, cần xác định tẩt cả các kiểm soát có thể áp dụng để ngăn ngừa hoặc giảm thiểu tác hại của nguy cơ đó. Các kiểm soát đối với một nguy cơ có thể được xác định từ một trong số các nguồn sau:
Các kiểm soát trong tiêu chuẩn ISO 27001 và ISO 27002;
Thực trạng hệ thống CNTT và quản lý ATTT tại NHNT;
Đề xuất của Trung tâm CNTT và các Bộ phận liên quan (nếu cần).
d. Xác định khả năng xuất hiện của nguy cơ
Khả năng xuất hiện của một nguy cơ được xác định theo nguyên tắc:
Mức độ kiểm soát càng cao thì khả năng xuất hiện của nguy cơ càng thấp;
Khả năng xuất hiện của nguy cơ được xác định bằng 5 (khả năng xuất hiện lớn nhất)
nếu như không có kiểm soát được áp dụng để ngăn ngừa hoặc giảm thiểu tác hại của nguy cơ lên tài sản CNTT;
Khả năng xuất hiện của nguy cơ được xác định bằng 1 (khả năng xuất hiện nhỏ nhất)