II. BÀI TẬP TÌNH HUỐNG
ĐẢM BẢO AN TỒN CHO HỆ THỚNG THÔNG TIN
6.1. ĐẢM BẢO AN TỒN BẰNG MƠ HÌNH NHIỀU LỚP 1 Bảo vệ mức quy trình và chính sách
6.1.1. Bảo vệ mức quy trình và chính sách
Xây dựng các tiêu chuẩn nhằm đảm bảo an tồn và bảo mật thơng tin cho hệ thống thông tin của tổ chức, doanh nghiệp là một quá trình đầu tư về thời gian cũng như kinh phí, vì vậy, các tổ chức, doanh nghiệp cần phải cân nhắc để lựa chọn và xây dựng được các tiêu chuẩn cần thiết, có nội dung đáp ứng càng rộng rãi càng tốt các yêu cầu sử dụng trong quá trình đảm bảo an tồn và bảo mật thơng tin cho doanh nghiệp.
Nội dung các bộ tiêu chuẩn phải thúc đẩy các ý tưởng và sự phát triển, thúc đẩy các sáng kiến, cải tiến, không cản trở hoạt động thiết kế, sáng tạo. Vì vậy những bộ tiêu chuẩn đề cập các yêu cầu chung chỉ nên quy định những đặc điểm cơ bản, những yêu cầu nhất thiết phải cân nhắc
còn những yêu cầu chi tiết sẽ được thể hiện thành tính năng kỹ thuật, thành những đặc điểm riêng biệt cho mỗi đối tượng, mỗi sản phẩm hay thậm chí mỗi khía cạnh của đối tượng hay khía cạnh của sản phẩm cụ thể mà một tiêu chuẩn sẽ đề cập đến nó.
Các bộ tiêu chuẩn phải được xây dựng trên cơ sở có nhu cầu sử dụng và thậm chí phải là nhu cầu sử dụng tại nhiều nơi, mang tính lặp đi lặp lại. Vì một tiêu ch̉n có thể liên quan đến nhiều đối tác quan tâm nên cần có sự bàn bạc thoả thuận giữa các bên, nội dung của các tiêu chuẩn dạng quy chuẩn kỹ thuật lại càng nên thận trọng để nó thực sự có thể áp dụng được, và hơn thế, được áp dụng một cách đồng bộ.
Các bộ tiêu chuẩn phải phản ánh những thành tựu và kinh nghiệm mới nhất, đồng thời có khả năng áp dụng trong thực tiễn, vì vậy, tiêu chuẩn cần được xem xét lại sau những khoảng thời gian nào đó.
Trong các tổ chức, doanh nghiệp, khi xây dựng các bộ tiêu chuẩn nhằm đảm bảo an tồn và bảo mật thơng tin đều tham khảo dựa trên các luật, các nghị định và chính sách liên quan đến vấn đề an toàn và bảo mật thông tin hiện hành. Sau khi luật an ninh mạng ra đời, trước khi xây dựng các bộ tiêu chuẩn cho các hệ thống thông tin trong các tổ chức, doanh nghiệp thường phân loại các cấp độ an tồn cho hệ thống thơng tin theo điều 21 của Ḷt An tồn thơng tin mạng như sau:
a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng khơng làm tổn hại tới lợi ích cơng cộng, trật tự, an tồn xã hội, quốc phòng, an ninh quốc gia;
b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, các nhân hoặc làm tổn hại tới lợi ích cơng cộng nhưng không làm tổn hại tới trật tự, an tồn xã hội, quốc phịng, an ninh quốc gia;
c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng và trật tự, an tồn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;
d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng và trật tự, an tồn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;
e) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
Nghị định 85 cũng quy định chi tiết về tiêu chí, thẩm qùn, trình tự, thủ tục xác định cấp độ an tồn hệ thống thơng tin và trách nhiệm bảo đảm an tồn hệ thống thơng tin theo cấp độ, áp dụng đối với cơ quan, tổ chức, các nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thơng tin tại Việt Nam.
Vì vậy, một chính sách đảm bảo an tồn và bảo mật cho hệ thống thơng tin cần có các nội dung như sau:
Xác định được phạm vi - Đảm bảo phạm vi cần giải quyết tất cả các
thông tin trong hệ thống thơng tin, các chương trình, dữ liệu, mạng nội bộ và tất cả nhân viên trong tổ chức, doanh nghiệp. Ngồi ra, tổ chức, doanh nghiệp có thể có những chính sách riêng về phạm vi cho từng phịng, bộ phận làm việc;
Có sự phân loại thơng tin - Người điều hành tổ chức, doanh nghiệp
cần cung cấp những định nghĩa, nội dung cụ thể về việc đảm bảo an tồn và bảo mật thơng tin trong hệ thống thông tin và những giải pháp bảo mật mạng thay vì “bí mật” hoặc “hạn chế”;
Có mục tiêu quản lý rõ ràng - Tổ chức, doanh nghiệp cần phải đưa
ra những mục tiêu rõ ràng trong quản lý và xử lý, khắc phục các sự cố liên quan tới đảm bảo an toàn và bảo mật thông tin trong hệ thống thông tin trong từng phân loại (ví dụ các nghĩa vụ pháp lý, quy định và hợp đồng đối với việc đảm bảo an ninh);
Xác định rõ bối cảnh - Một chính sách đảm bảo an tồn và bảo mật
thông tin trong hệ thống thông tin phải được đặt trong trong bối cảnh cụ thể, có hướng dẫn quản lý và tài liệu bổ sung theo sát bối cảnh (ví dụ: được
tất cả các cấp quản lý chấp thuận, tất cả các tài liệu xử lý thông tin khác phải phù hợp với nó);
Có tài liệu hỗ trợ - Bao gồm các tài liệu hỗ trợ việc đảm bảo an tồn
và bảo mật thơng tin trong hệ thống thơng tin (ví dụ: vai trị và trách nhiệm, q trình, tiêu ch̉n cơng nghệ, thủ tục, hướng dẫn, cách khắc phục và ứng cứu sự cố);
Có hướng dẫn cụ thể - Bao gồm các tài liệu hướng dẫn về phương
pháp đảm bảo an tồn và bảo mật thơng tin trong hệ thống thơng tin nội bộ, phương pháp sử dụng Internet an toàn trên mạng xã hội hay những yêu cầu trong bảo mật cho tồn bộ tổ chức, doanh nghiệp (ví dụ: tất cả quyền truy cập vào bất kỳ hệ thống máy tính đều phải yêu cầu xác minh danh tính và xác thực, khơng chia sẻ cơ chế xác thực cá nhân).
Xác định rõ trách nhiệm - Tổ chức, doanh nghiệp cần đưa ra những
trách nhiệm cụ thể được xác lập trong đảm bảo an tồn và bảo mật thơng tin trong hệ thống thơng tin (ví dụ: bộ phận công nghệ là nhà cung cấp duy nhất các đường dây viễn thông, bộ phận kỹ thuật là chuyên bảo mật hệ thống mạng, website và khắc phục sự cố).
Xác định được hậu quả - Bao gồm các hậu quả cho sự không tuân
thủ theo chính sách đảm bảo an tồn và bảo mật thơng tin trong hệ thống thông tin của tổ chức, doanh nghiệp (ví dụ: sa thải hoặc chấm dứt hợp đồng làm việc).