CHƢƠNG 3. MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN NINH MẠNG TẠI HSB
Để đảm bảo an toàn thông tin đòi hỏi phải có giải pháp tổng thể, từ việc ban hành và thực thi chính sách, pháp luật của cơ quan quản lý nhà nƣớc, sự sáng tạo, tự chủ trong mỗi đơn vị và sự am hiểu của từng cá nhân trong tổ chức, cũng nhƣ các đơn vị cung cấp các sản phẩm, dịch vụ trên không gian mạng, sự hợp tác toàn cầu xây dựng một không gian mạng lành mạnh giữa các quốc gia.
3.1 Một số giải pháp
3.1.1 Nâng cao năng lực quản trị ATTT, an ninh mạng tại HSB
Mục tiêu:
Theo các báo cáo gần đây, lực lƣợng nhân sự ANM chuyên trách ở HSB hiện còn rất mỏng, chƣa đƣợc đào tạo chuyên sâu, dẫn đến công tác bảo đảm an toàn, an ninh thông tin mạng tại đơn vị, tổ chức còn tồn tại nhiều bất cập, nhất là trong bối cảnh tội phạm mạng gia tăng và ngày càng tinh vi hơn.
Do đó, vấn đề quan tâm đến ANM cần đƣợc duy trì thƣờng xuyên, quan tâm đào tạo con ngƣời, hợp tác với các tổ chức độc lập để đánh giá rủi ro, tƣ vấn bài bản về đảm bảo an toàn ANM:
- Đào tạo nhân viên về tầm quan trọng của bảo mật và các biện pháp, quy định bảo mật của đơn vị, trở thành một phần của quy trình dịch vụ;
- Cung cấp các kiến thức nền tảng về an toàn thông tin và đảm bảo an toàn thông tin cho toàn đơn vị;
- Cung cấp các kiến thức để học viên có thể vận hành, quản trị, giám sát hệ thống một cách an toàn;
- Cung cấp kỹ năng cho ngƣời dùng tại HSB có thể thiết lập, áp dụng các giải pháp về an toàn thông tin cơ bản đƣợc khuyến nghị vào thực tế.
Về quản lý và tổ chức
- Xây dựng quy chế chính sách, tiêu chuẩn an toàn bảo mật thông tin cho đơn vị. - Xây dựng cơ chế quản lý tài nguyên số, các nguy cơ tƣơng ứng đối với tài nguyên số. - Xây dựng cơ chế quản lý và kiểm soát ATTT với quy trình quản trị hệ thống và ứng
dụng các phần mềm quản lý chính sách.
Về công nghệ
- Kiểm soát truy cập: Kiểm soát chứng thực ngƣời dùng trƣớc khi cho phép truy cập, mọi thiết bị không đạt chuẩn về an ninh đều bị chặn, cô lập thông báo cho quản trị;
- Firewall: Triển khai ở vùng mạng lỗi, giám sát luồng dữ liệu, chặn kết nối bất hợp pháp; - Lọc nội dung: Lọc cấm các truy xuất vào dữ liệu không phù hợp cho công việc;
- Xây dựng hệ thống phát hiện ngăn chặn xâm nhập, antivirus, antispyware, antispam…; - Mã hóa dữ liệu, xây dựng hạ tầng KPI;
- Quét tìm, phát hiện lỗ hổng bảo mật hệ thống; - Thiết lập hệ thống cung cấp các bản vá lỗi bảo mật;
- Xây dựng cơ chế dự phòng và phục hồi backup dữ liệu đảm bảo tính liên tục của hệ thống.
3.1.2 Sử dụng ISO 27001 trong công tác quản lý an toàn thông tin
3.1.2.1 Nhu cầu về tự đánh giá an toàn thông tin
Theo Nghị định 64-2007/NĐ-CP, an toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con ngƣời gây ra. Việc bảo vệ thông tin, tài sản và con ngƣời trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tƣợng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an ninh mạng.
Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống.
Mặt khác, nhiều ngƣời sử dụng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển. Bởi vậy, ngƣời dùng có thể nâng cao tin cậy trong các biện pháp an toàn của hệ thống CNTT bằng cách phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn.
Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp ngƣời dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn và tin cậy chƣa khi đƣa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận đƣợc hay không, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào. Ngoài ra, việc đánh giá an toàn thông tin còn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin.
Đánh giá an toàn thông tin cho một sản phẩm, dịch vụ hay hệ thống công nghệ thông tin cần phải nắm rõ đƣợc các yêu cầu đảm bảo an toàn thông tin, các tiêu chí và các phƣơng pháp đánh giá an toàn thông tin cho sản phẩm, dịch vụ hay hệ thống đó.
Việc sử dụng các tiêu chí đánh giá sẽ làm tăng tính tin cậy trong các yếu tố khác nhau của mô hình đánh giá sự phù hợp bảo đảm an toàn (SACA). Nhiều tiêu chí đánh giá đòi hỏi có các kinh nghiệm chuyên gia và kiến thức cơ bản, nhằm đạt đƣợc sự nhất quán và khách quan trong các kết quả đánh giá.
Để tăng cƣờng sự nhất quán và khách quan cho các kết quả đánh giá, cần có một quy trình công nhận hay phê chuẩn. Quy trình này xem xét kỹ càng một cách độc lập các kết quả đánh giá để đƣa ra chứng nhận hay phê chuẩn về mức độ an toàn cho các sản phẩm, dịch vụ hay hệ thống CNTT khi vào sử dụng.
3.1.2.2 Sự cần thiết xây dựng tiêu chuẩn về đánh giá ATTT
Thời gian qua Bộ Thông tin và Truyền thông đã tổ chức xây dựng và đề nghị ban hành nhiều dự thảo tiêu chuẩn quốc gia về an toàn thông tin. Các tiêu chuẩn này sẽ là cơ sở giúp các tổ chức, doanh nghiệp thực hiện quản lý các vấn đề về an toàn thông tin một cách tổng thể và hiệu quả. Bên cạnh các tiêu chuẩn về quản lý cũng cần quan tâm đến các tiêu chuẩn liên quan đến đánh giá an toàn thông tin. Đánh giá an toàn thông tin cũng là một mắt xích không thể thiếu trong quá trình đảm bảo an toàn thông tin cho các sản phẩm, dịch vụ hay hệ thống công nghệ thông tin. Đến thời điểm hiện tại, tiêu chuẩn quốc gia liên quan về đánh giá an toàn thông tin mới ban hành đƣợc một bộ tiêu chuẩn TCVN 8709:2011 (tuân theo ISO/IEC 15408:2009). Nhƣ vậy tiêu chuẩn quốc gia về mảng này còn đang thiếu hụt rất lớn.
Hơn nữa đánh giá an toàn thông tin cũng là một nhu cầu thiết thực, giúp tổ chức doanh nghiệp xác định đƣợc mức độ an toàn của sản phẩm, dịch vụ hay hệ thống công nghệ thông tin.
3.1.2.3 Sử dụng công cụ đánh giá trong công tác đảm bảo ATTT
Để việc tự đánh giá mức độ an toàn thông tin nhà quản trị cần sử dụng các bộ công cụ sau:
Hiện tại có rất nhiều các bộ tiêu chuẩn giúp nhà quản trị lập kế hoạch đánh giá xây dựng quy trình, công cụ nhận định và quản lý an toàn thông tin trong đơn vị mình nhƣ:
- ISO/IEC 2700x
- HIPAA
- Common Criteria - Khác
Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin. Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 2700X. Bên cạnh những tiêu chuẩn về quản lý an toàn thông tin thì chuẩn về đánh giá an toàn thông tin cũng đƣợc các tổ chức tiêu chuẩn thế giới quan tâm.
Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 270X cung cấp các hƣớng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin:
- ISO/IEC 27000:2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng - ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu
- ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an toàn thông tin
- ISO/IEC 27003:2010 - Hƣớng dẫn thực thi hệ thống quản lý an toàn thông tin - ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lƣờng
- ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin
Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:
- Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn. Bộ tiêu chuẩn này gồm có 3 phần:
- ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung.
- ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn. - ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh
giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn.
- Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn- Phƣơng pháp ƣớc lƣợng an toàn công nghệ thông tin. Tiêu chuẩn này đƣợc sử dụng cùng với các tiêu chí đánh giá an toàn trong bộ ISO/IEC 15408
- Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ thông tin - Các kỹ thuật an toàn- Đánh giá an toàn các hệ thống hoạt động. Tiêu chuẩn này cung cấp các hƣớng dẫn và tiêu chí cho việc ƣớc lƣợng an toàn các hệ thống hoạt động. Tiêu chuẩn này mở rộng
hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống hoạt động mà trong tiêu chuẩn ISO/IEC 15408 không đƣợc đề cập.
- Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phƣơng pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn này gồm 2 phần:
- ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm
- ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 2: Các phân tích
3.1.3 ISO 2700X trong công tác quản lý an toàn thông tin
Thông qua việc sử dụng bộ ISO 27001 làm công cụ và cơ sở đánh giá, đảm bảo ATTT và triển khai các biện pháp đảm bảo an toàn thông tin trƣớc các mối nguy hại ở mức chính sách ngƣời dùng, các yêu cầu kỹ thuật tốn kém và cần có chuyên môn sâu rộng về lĩnh vực.
Khi nói đến an toàn thông tin (ATTT), điều đầu tiên ngƣời ta thƣờng nghĩ đến là xây dựng tƣờng lửa (Firewall) hoặc một cái gì đó tƣơng tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận nhƣ vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn.
Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001.
Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ trong hệ thống thông tin của mình bằng phƣơng pháp phân tích rủi ro. Trong phƣơng pháp này, mỗi tài sản thông tin đều đƣợc phân tích để chỉ rõ những nguy cơ có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng, website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh.
Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên, chẳng hạn: không có giải pháp phòng chống virus máy tính, không kiểm soát mã nguồn của website, chƣa có biện pháp backup dữ liệu, chƣa có quy định không tiết lộ thông tin đối với nhân viên.
Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho đội ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trƣờng an toàn, có khả năng miễn dịch trƣớc các rủi ro, giảm thiểu các nguy cơ do con ngƣời gây ra. Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế.
Xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống trở nên rõ ràng, an toàn, minh bạch hơn. Xây dựng một ―bức tƣờng ngƣời an toàn‖ (Secure People Wall) trong tổ chức. Một môi trƣờng thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tƣ cho ATTT vốn dĩ rất tốn kém. Về lâu dài, việc nhận đƣợc chứng chỉ ISO 27001 là một lời khẳng định thuyết phục với các đối tác, các khách hàng về một môi trƣờng thông tin an toàn và trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trƣờng thông tin lành mạnh. Điều này sẽ tác động mạnh đến ƣu thế cạnh tranh của tổ chức.
Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa trên hƣớng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông tin xảy ra.
Bảng 3.1: Các buớc đánh giá rủi ro theo ISO 27001
STT Các buớc đánh giá rủi ro Hành động
1
Xác định tài sản và ngƣời quản lý tài sản (thông tin)
Xác định và lên danh sách tất cả các tài sản thuộc phạm vi mà tiêu chuẩn ISO đề cập, đồng thời cũng xác định rõ ai là ngƣời chịu trách nhiệm quản lý tài sản.
2 Đánh giá mức độ quan trọng của tài sản.
Đánh giá đuợc mức độ quan trong của từng tài sản căn cứ trên ba thuộc tính: Bảo mật, Toàn vẹn và Sẵn sàng. 3
Đánh giá mức độ của các mối đe dọa.
Xác định tất cả các mối đe dọa liên quan đến mỗi tài
sản và gán một giá trị tƣơng ứng với mức độ đe dọa theo khả năng xảy ra và mức độ nghiêm trọng của mối đe dọa. 4
Đánh giá mức độ của các lỗ hổng.
Xác định tất cả các lỗ hổng liên quan đến mỗi tài sản và gán một giá trị tƣơng ứng với mức độ của những