Đảm bảo ATTT, dữ liệu

Một phần của tài liệu Bài giảng thương mại điện tử căn bản (Trang 119 - 121)

4.3.1.a. Các nguyên tắc bảo vệ thông tin

118 tính toàn vẹn và tính sẵn sàng / khả dụng.

- Tính bí mật: hạn chế quyền được phép truy nhập và công bố thông tin, bao gồm cả quyền thông tin cá nhân và quyền sở hữu thông tin.

- Tính toàn vẹn: bảo vệ chống lại sửa đổi hoặc phá hủy thông tin không hợp lệ, bao gồm cả việc bảo đảm chống chối bỏ và tính xác thực

- Tính sẵn sàng: bảo đảm thông tin được truy nhập và sử dụng được kịp thời, tin cậy.

4.3.1.b. Phân loại các cấp độ thông tin và lựa chọn biện pháp an ninh cần thiết

Căn cứ vào ba thuộc tính (gồm bí mật, toàn vẹn, sẵn sàng) của thông tin và ba mức độ ảnh hưởng (gồm thấp, trung bình, cao), bộ tiêu chuẩn FIPS Pulication 1999 của Mỹ đưa ra hai mươi bảy cấp độ an toàn thông tin theo biểu thức dưới đây:

SC (Security categorization) loại thông tin = {(Tính bí mật, tác động), (Tính toàn vẹn,

tác động), (Tính sẵn sàng, tác động)}

Trong đó SC là cấp độ ATTT, tác động có các giá trị là thấp, trung bình hoặc cao hoặc

không áp dụng. Các mức độ ảnh hưởng do mất ATTT được mô tả khái quát trong bảng 4.2 dưới đây. Bảng 4. 2 Các mức độ ảnh hưởng do mất ATTT Mức ảnh hưởng tiềm ẩn Nguyên tắc xác định Thấp

Các ảnh hưởng tiềm ẩn là THẤP nếu sự mất mát của tính bí mật, tính toàn vẹn, tính sẵn sàng dự kiến sẽ ítảnh hưởng đến hoạt động của tổ chức, tài sản của tổ chức, hoặc cá nhân.

Vd: Sự mất mát của tính bí mật, toàn vẹn, hoặc tính sẵn sàng có thể: (i) gây ra một sự suy thoái trong chức năng nhiệm vụ đến một mức độ và thời gian mà các tổ chức có thể thực hiện các chức năng chính của nó, nhưng hiệu quả của chức năng là giảm đáng kể, (ii) kết quả dẫn tới gây thiệt hại nhỏ về tài sản của tổ chức, (iii) kết quả dẫn tới mất mát nhỏ về tài chính, hoặc (iv) gây nguy hại nhỏ cho các cá nhân.

Trung bình

Các ảnh hưởng tiềm ẩn là TRUNG BÌNH nếu mất mát tính bí mật, toàn vẹn, tính sẵn sàng dự kiến sẽ có ảnh hưởng nghiêm trọng bất lợi về hoạt động của tổ chức, tài sản của tổ chức, hoặc cá nhân.

Vd: sự mất mát của tính bí mật, toàn vẹn, hoặc khả dụng có thể: (i) gây ra một sự suy thoái đáng kể trong chức năng nhiệm vụ đến một mức độ và thời gian mà tổ chức có thể thực hiện chức năng chính của nó, nhưng hiệu quả của các chức năng bị giảm đáng kể, (ii) dẫn đến thiệt hại lớn cho tài sản của tổ chức, (iii) dẫn đến thiệt hại lớn về tài chính (iv) dẫn đến thiệt hại đáng kể cho các cá nhân nhưng không bao gồm tổn thất về cuộc sống, hoặc chấn thương đe dọa cuộc sống nghiêm trọng.

119 Cao

dự kiến sẽ ảnh hưởng đặc biệt nghiêm trọng đối với hoạt động của tổ chức, tài sản của tổ chức, đối với cá nhân.

Vd: sự mất mát của tính bí mật, tính toàn vẹn, tính sẵn sàng có thể: (i) gây ra một đe dọa nghiêm trọng hoặc mất khả năng nhiệm vụ ở một mức độ và thời gian mà tổ chức này không thể thực hiện một hoặc một số chức năng chính của nó, (ii) gây ra thiệt hại lớn đến tài sản của tổ chức, (iii) gây ra sự mất mát lớn về tài chính, hoặc (iv) gây ra tổn hại nghiêm trọng cho các cá nhân liên quan đến thiệt hại về người hay cuộc sống.

Quá trình phân loại thông tin được thực hiện theo bốn bước cơ bản sau dây:

Bước 1. Xác định loại thông tin. Xác định lĩnh vực dịch vụ.

Bước 2. Lựa chọn mức độ ảnh hưởng cho mỗi loại thông tin. Xác định mức độ ATTT

cho mỗi loại thông tin.

Bước3. Rà soát mức độ ảnh hưởng trên cơ sở điều kiện của tổ chức, môi trường, chức

năng hoạt động, việc sử dụng thông tin và chia sẻ dữ liệu.

Bước 4. Phân loại cấp độ ATTT cho thông tin theo ba thuộc tính và ba mức độ ảnh

hưởng, gán cấp độ ATTT cho mỗi loại thông tin.

Ví dụ minh họa:

Một hệ thống thông tin được sử dụng để thực hiện việc mua lại trong một hợp đồng có cả thông tin nhạy cảm, thông tin trước đàm phán và thông tin quản trị. Người quản lý của tổ chức ký kết hợp đồng xác định rằng:

(i) Đối với thông tin hợp đồng nhạy cảm, tác động tiềm ẩn từ việc mất tính bí mật

vừa phải, tác động tiềm ẩn từ việc mất tính toàn vẹnvừa phải và các tác động tiềm ẩn từ

việc mất tính sẵn sàngthấp.

(ii) Đối với các thông tin hành chính hàng ngày (thông tin không liên quan đến sự

riêng tư) phần tác động tiềm ẩn từ mất tính bí mật thấp, tác động tiềm ẩn từ mất tính toàn

vẹn thấp, và tác động tiềm ẩn từ mất tính sẵn sàng thấp.

Tổng hợp các phân loại an toàn cho kết quả, SC được thể hiện như sau:

SCcontractinformation= {(confidentiality,MODERATE),(integrity,MODERATE),

(availability, LOW)}, và

SCadministrativeinformation = {(confidentiality, LOW), (integrity, LOW), (availability, LOW)}.

Kết quả phân loại an toàn thông tin của hệ thống thông tin này là:

SCacquisitionsystem={(confidentiality,MODERATE),(integrity,MODERATE), (availability, LOW)}.

Một phần của tài liệu Bài giảng thương mại điện tử căn bản (Trang 119 - 121)

Tải bản đầy đủ (PDF)

(169 trang)