C (Kiểm tra) giám sát và soát xét ISMS
A (Hành động) Duy trì và cải tiến ISMS
4.4.3. Đánh giá, kiểm định ATTT
Đánh giá ATTT là việc đo lường mức độ đảm bảo ATTT cho các HTTT, các sản phẩm và ứng dụng CNTT. Đánh giá ATTT được thực hiện nhờ các tiêu chuẩn. Đánh giá ATTT được thực hiện định tính hoặc định lượng. Đánh giá định tính là là kiểm tra xem các biện pháp đảm bảo ATTT đã áp dụng có thỏa mãn các yêu cầu cần thiết về ATTT hay không. Đánh giá định lượng là xác định mức độ thỏa mãn các yêu cầu ATTT thông qua các giá trị định lượng cụ thể.
Kiểm định ATTT là thông qua việc đánh giá ATTT để xác nhận hợp chuẩn, nghĩa là xác nhận mức độ tin cậy, sự phù hợp của các biện pháp đảm bảo ATTT đã áp dụng, mức độ an toàn của các sản phẩm và ứng dụng.
Những yêu cầu đối với đánh giá ATTT bao gồm:
- Xác định yêu cầu ATTT đặc trưng nhất cho một sản phẩm hoặc hệ thống CNTT cụ thể; phạm vi và ngữ cảnh sử dụng sản phẩm / hệ thống đó, từ đó xác định được vấn đề nào cần tập trung, những gì có thể đo lường, đánh giá cụ thể được.
- Xác định cụ thể cần đánh giá những gì hoặc có thể đánh giá được những gì; công cụ và phương pháp đánh giá ATTT nào sẽ được áp dụng
- Sắp xếp các kết quả đánh giá vào các tiêu chí đánh giá chung cho các sản phẩm hoặc hệ thống cùng loại.
Hộp 4.1. ATTT và đánh giá ATTT ở Việt Nam
Năm 2019, lần đầu tiên Bộ TT&TT công bố Xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018. Việc xếp hạng được tiến hành đối với 27 Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ (ngoại trừ Bộ TT&TT, Bộ Công an, Bộ Quốc phòng) và 63 tỉnh, thành phố trực thuộc Trung ương.
Phương pháp đánh giá xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 dựa trên kết quả đánh giá thông qua khảo sát kết hợp với kết quả đánh giá ghi nhận thực tiễn thông qua hệ thống kỹ thuật của Trung tâm giám sát an toàn không gian mạng quốc gia (Cục ATTT) và một số hệ thống kỹ thuật khác của các đơn vị chức năng trực thuộc Bộ TT&TT với tỷ lệ 50/50.
Kết quả khảo sát dựa trên mẫu phiếu khảo sát do các cơ quan tham gia xếp hạng (các Bộ ngành, địa phương) tự điền với 9 nhóm tiêu chí. Nội dung khảo sát dựa trên bộ câu hỏi của Báo cáo xếp hạng an ninh mạng toàn cầu GCI của Liên minh Viễn thông Quốc tế (ITU),
128 có bổ sung cho phù hợp tình hình thực tiễn Việt Nam.
Kết quả đánh giá xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 được chia làm 5 mức:Đã quan tâm triển khai ATTT ở mức tốt (mức A); Đã quan tâm triển khai ATTT ở mức khá (mức B); Đã quan tâm triển khai ATTT ở mức trung bình (mức C); Mới bắt đầu quan tâm đến ATTT (mức D); Chưa quan tâm đến ATTT (mức E).
Hình A. Xếp hạng an toàn thông tin (ATTT) mạng của các cơ quan, tổ chức nhà nước năm 2018
Trên cơ sở kết quả đánh giá xếp hạng, Cục ATTT đã đưa ra nhận định về tình hình triển khai ATTT ở các cơ quan, tổ chức nhà nước. Cụ thể:
- Các cơ quan xếp hạng cao đều có đơn vị/bộ phận chuyên trách về ATTT;
- Hầu hết các cơ quan, tổ chức đều chưa có doanh nghiệp giám sát, bảo vệ chuyên nghiệp, dẫn đến việc bị tấn công mạng mà không biết. Chỉ có khoảng 25,3% cơ quan có khả năng ghi nhận tấn công mạng và 9,2% cơ quan có hệ thống giám sát ATTT;
- Hầu hết các cơ quan lúng túng, chậm xử lý khi bị tấn công mạng vì chỉ có 35,7% cơ quan tham gia đánh giá xếp hạng có quy trình thao tác chuẩn ứng phó sự cố.
Về kinh phí dành cho ATTT, có đến 56,2% cơ quan không chi kinh phí cho ATTT. Chỉ có 6,1% cơ quan chi từ 15% trở lên cho ATTT trong tổng chi cho CNTT. 67,15% cơ quan tự đánh giá kinh phí chi cho ATTT đáp ứng dưới 20% nhu cầu thực tiễn.
Về vai trò của người đứng đầu cơ quan, có đến 30% cơ quan tham gia đánh giá xếp hạng cho rằng lãnh đạo chưa quan tâm đến ATTT.
Bên cạnh việc đánh giá ATTT trong các tổ chức nêu trên đây, trong dự thảo Báo cáo xếp hạng an toàn, an ninh mạng toàn cầu GCI 2018 của Liên minh Viễn thông quốc tế (ITU) thì Việt Nam xếp thứ: 50/175 trong 194 quốc gia, vùng lãnh thổ được xếp hạng (tăng 61 hạng so với năm 2017); thứ 11 trong khu vực châu Á Thái Bình Dương; thứ 5 trong khu vực Đông Nam Á.
129
CÂU HỎI CHƯƠNG 4
[1].Trình bày khái niệm ATTT?
[2].Trình bày những nguy cơ mất ATTT? Liên hệ nguy cơ mất ATTT ở Việt Nam hiện nay?
[3].Trình bày khái niệm quản lý ATTT?
[4].Phân tích rủi ro ATTT đến từ các hành vi xâm phạm tính bí mật, tính toàn vẹn? Liên hệ thực tiễn ở Việt Nam hiện nay?
[5].Phân tích rủi ro ATTT đến từ các hành vi lạm dụng máy tính và Internet? Liên hệ thực tiễn ở Việt Nam hiện nay?
[6].Phân tích rủi ro ATTT đến từ các hành vi liên quan đến nội dung thông tin? Liên hệ thực tiễn ở Việt Nam hiện nay?
[7].Phân tích rủi ro ATTT đến từ các hành vi xâm phạm bản quyền số, sở hữu trí tuệ và nhãn hiệu? Liên hệ thực tiễn ở Việt Nam hiện nay?
[8].Trình bày khái niệm và nội dung đảm bảo ATTT, dữ liệu trong TMĐT? [9].Trình bày về vấn đề bảo vệ quyền riêng tư và thông tin cá nhân trong TMĐT? [10]. Trình bày về mã hóa đảm bảo ATTT trong TMĐT?
[11]. Trình bày về đảm bảo an toàn hệ thống thông tin TMĐT?
[12]. Mô tả khái quát tiêu chuẩn ATTT và đánh giá, kiểm định ATTT? [13]. Nêu một số tiêu chuẩn ATTT điển hình?
[14]. Trình bày về đánh giá, kiểm định ATTT?
TÀI LIỆU THAM KHẢO CHƯƠNG 4
[1].Nguyễn Văn Hồng và Nguyễn Văn Thoan, Giáo trình TMĐT căn bản, NXB Bách Khoa – Hà Nội, 2013
[2].Lê Quân & Hoàng Văn Hải, Giáo trình quản trị tác nghiệp doanh nghiệp thương mại, NXB Thống Kê, 2010
[3].Đàm Gia Mạnh, Giáo trình Thiết kế và triển khai website, NXB Thống Kê, 2018 [4].Đàm Gia Mạnh, Giáo trình An toàn dữ liệu trong TMĐT, NXB Thống Kê, 2009 [5].Đàm Gia Mạnh, Giáo trình Hệ thống thông tin quản lý, NXB Thống Kê, 2017 [6].Hoàng Đăng Hải, Quản lý An toàn thông tin, NXB Khoa học và Kỹ thuật, 2018
[7].Dave Chaffey, E-business and E-commerce Management: Strategy, Implementation and Practice – 6th, Pearson Education, 2015
[8].Damian Ryan, Understanding Digital Marketing - Marketing strategies for engaging the digital Generation - Third edition, Kogan Page Limited, 2014
[9].Arch G. Woodside & Peter J. LaPlaca, Handbook of Strategic e-Business Management, Springer-Verlag Berlin Heidelberg, 2014.
130