C (Kiểm tra) giám sát và soát xét ISMS
A (Hành động) Duy trì và cải tiến ISMS
4.3.4. Đảm bảo an toàn hệ thống thông tin TMĐT
4.3.4.a. Tổng quan về an toàn HTTT TMĐT
HTTT TMĐT là một nhóm các thành phần có tương tác với nhau trong các giao dịch TMĐT. Cũng giống bất kỳ như HTTT nào, các thành phần cơ bản của HTTT TMĐT bao gồm: phần cứng, phần mềm, cơ sở dữ liệu, thủ tục, con người.
Trong quá trình phát triển của thương mại cho thấy, vấn đề an toàn luôn được đặt ra, đặc biệt là khi các giao dịch thực hiện trên mạng (không có sự xuất hiện vật lý) của các chủ thể tham gia giao dịch. Khi trao đổi thông tin với nhau, Vd: người mua hàng đăng nhập các thông tin cá nhân và thông tin tài chính của mình và gửi đến máy chủ web thương mại của một doanh nghiệp để mua hàng tin tưởng rằng thông tin của họ được giữ bí mật, không bị nghe trộm và sửa đổi bởi bên thứ ba (hoặc người nào đó) không tham gia giao dịch với người mua hàng.
An toàn với ý nghĩa rất rộng như an toàn vật lý, an toàn kỹ thuật, an ninh quốc phòng, an toàn tính mạng sức khỏe, vệ sinh an toàn… và được đảm bảo bằng các chính sách an toàn như chính sách an ninh quốc gia, hệ thống các tiêu chuẩn kĩ thuật, điều kiện môi trường cho phép… cùng với các rào cản kĩ thuật, biên giới quốc gia, hàng rào, đội ngũ bảo vệ, các thiết bị an ninh (chuông báo động, camera…). Tuy nhiên, an toàn trong TMĐT có phạm vi nghiên cứu hẹp hơn: an toàn hệ thống TMĐT mà chủ yếu là an toàn trao đổi thông tin.
4.3.4.b. Phân chia cấp độ an toàn hệ thống thông tin TMĐT
Như đã đề cập, bộ tiêu chuẩn FIPS Pulication 1999 của Mỹ được sử dụng phổ biến trên thế giới để phân chia cấp độ an toàn thông tin. Căn cứ vào ba thuộc tính (gồm bí mật, toàn vẹn, khả dụng) của thông tin và ba mức độ ảnh hưởng (gồm thấp, trung bình, cao), FIPS Pulication 1999 của Mỹ đưa ra hai mươi bảy cấp độ an toàn thông tin.
124 Tại Việt Nam, Luật An toàn thông tin mạng phân chia thành năm cấp độ an toàn thông tin tương ứng với mức độ tổn hại khi hệ thống thông tin bị phá hủy, bao gồm:
- Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;
- Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;
- Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;
- Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;
- Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
4.3.4.c. Các biện pháp đảm bảo ATTT hệ thống thông tin TMĐT
Biện pháp quản lý bao gồm:
- Ban hành các chính sách, qui định trong thiết kế, xây dựng hệ thống quản lý, vận hành khai thác hệ thống, bảo dưỡng, nâng cấp hệ thống thông tin.
- Quy định cho việc bảo vệ vật lý và kiểm soát vật lý
- Ban hành quy trình, thủ tục xử lý công việc, bao gồm cả quản trị nhân sự
- Quy định về nâng cao nhận thức của người dùng, huấn luyện bồi dưỡng cập nhật kiến thức cho nhân viên nội bộ doanh nghiệp…
Biện pháp kỹ thuật bao gồm:
- Áp dụng các tiêu chuẩn kỹ thuật ATTT
- Kiểm soát đăng nhập, quy trình xác thực người dùng - Áp dụng công cụ bảo vệ cho thiết bị và môi trường vật lý
- Áp dụng quy trình kỹ thuật trong: lập và sửa đổi cấu hình hệ thống, sửa đổi hệ thống nhất quán, lưu trữ và sao lưu dự phòng, hủy bỏ dữ liệu an toàn, hủy bỏ trang thiết bị phần cứng, kiểm soát nhật ký, bản ghi, đánh giá rủi ro, rà quét điểm yếu hệ thống.
- Giám sát hệ thống, phát hiện và phản ứng xử lý sự cố, khôi phục.