CHƯƠNG III: MÔ HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN SỐ
1. HIỆN TRẠNG ĐẢM BẢO AN TOÀN THÔNG TIN SỐ TẠI TỈNH BẮC KẠN
1.5. Thực trạng các vấn đề về tiêu chuẩn liên quan đến an toàn thông tin
Chuẩn hóa công tác đảm bảo ATTT là một trong các biện pháp rất hiệu quả và kinh tế cho giảm thiểu các rủi ro ATTT. Khi tổ chức càng lớn, càng phức tạp thì yêu cầu áp dụng cỏc tiờu chuẩn, quy trỡnh và ban hành cỏc qui định một cỏch chi tiết, rừ ràng sẽ là nhân tố quyết định đảm bảo ATTT bền vững và lâu dài.
Tiêu chuẩn hóa công tác đảm bảo ATTT bao gồm hai vấn đề: Tiêu chuẩn về khía cạnh kỹ thuật và tiêu chuẩn về khía cạnh quản lý. Đối với tiêu chuẩn về khía cạnh kỹ thuật
là áp dụng yêu cầu đảm bảo chất lượng đối với thiết kế, thiết bị và sản phẩm. Tiêu chuẩn về khía cạnh quản lý là các tiêu chuẩn cần áp dụng đối với con người trong quá trình vận hành như các quy trình, quy định và sử dụng v.v….
Việc áp dụng các tiêu chuẩn quản lý hoàn toàn không dễ thực hiện và cần đầu tư lâu dài và tốn kém. Tiêu chuẩn đang được áp dụng rộng rãi nhất trên thế giới là tiêu chuẩn về hệ thống quản lý an toàn thông tin của tổ chức quốc tế ISO có mã số ISO 27001:2005.
Tương tự và hoàn toàn phù hợp với tiêu chuẩn quản lý chất lượng ISO 9001, ISO 27001:2005 đưa ra các yêu cầu trong quản lý an toàn hệ thống thông tin cần đáp ứng.
Tại các quốc gia phát triển đều có các hệ thống các tiêu chuẩn, quy chuẩn và khuyến nghị kỹ thuật về ATTT. Các tiêu chuẩn thường có tính kế thừa và tương thích với nhau để đảm bảo khả năng áp dụng hiệu quả đồng thời nhiều tiêu chuẩn. Nhiều nước không sử dụng các ngôn ngữ thông dụng như Anh hoặc Pháp, thì họ thường dịch nguyên vẹn các tiêu chuẩn quốc tế sang tiếng bản địa để áp dụng như Nhật bản, Hàn Quốc v.v… Hệ thống tiêu chuẩn, quy chuẩn, hướng dẫn trên cũng chính là những tài liệu quan trọng hướng cho các tổ chức ứng dụng đảm bảo ATTT theo đúng định hướng của chính phủ. Tại nhiều quốc gia, các cơ quan quản lý nhà nước phải bắt buộc áp dụng một số tiêu chuẩn riêng của quốc gia. Thông thường các tiêu chuẩn bắt buộc này cũng được xây dựng từ một tiêu chuẩn thông dụng nào đó nhưng có sửa đổi cho phù hợp hơn.
Cho đến nay, nước ta mới ban hành hai tiêu chuẩn kỹ thuật quốc qua về an toàn thông tin là tiêu chuẩn về Hệ thống quản lý an toàn thông tin TCVN ISO/IEC 27001:2009 tương đương với ISO/IEC 27001:2005 và Tiêu chuẩn an toàn thông tin TCVN ISO/IEC 17799:2005 tương đương với ISO 17799:2005.
Các tiêu chuẩn đã có dự thảo bao gồm:
Quản lý rủi ro an toàn thông tin – tương đương tiêu chuẩn ISO 27005:2008
Phương pháp đánh giá an toàn CNTT – tương đương ISO 18045:2005
Bộ tiêu chuẩn “Tiêu chí đánh giá an toàn CNTT” – tương đương ISO 15408:2005 (bao gồm 03 phần)
Các tiêu chuẩn dự kiến xây dựng mới
Hướng dẫn triển khai hệ thống quản lý an toàn thông tin ISO/IEC 27003
Đánh giá quản lý an toàn thông tin ISO/IEC 27004
Hướng dẫn cho dịch vụ khôi phục thông tin sau thảm học của công nghệ thông tin và viễn thông ÍO/IEC 27006
Thuật ngữ trong hệ thống quản lý an toàn thông tin – ISO 27000
Mặc dự lợi ớch khi ỏp dụng cỏc tiờu chuẩn quản lý cú thể đem lại là rất rừ ràng nhưng quá trình áp dụng thực tế sẽ gặp nhiều khó khăn như:
Chi phí tư vấn và áp dụng tiêu chuẩn cao,
Ảnh hưởng tới các hoạt động nghiệp vụ khác đang áp dụng,
Hệ thống tiêu chuẩn chưa đồng bộ và đặc biệt thiếu các tài liệu hướng dẫn,
Thiếu nhân lực có đủ trình độ.
Tuy nhiên áp dụng tiêu chuẩn ATTT một cách khoa học sẽ không chỉ đem lại lợi ích cho các cơ quan, tổ chức, doanh nghiệp phát triển mà còn tạo cho quốc gia sự phát triển bền vững và lâu dài.
Các quy trình đảm bảo ATTT cũng là biện pháp quan trọng và hiệu quả. Các quy trình giúp giảm thiểu các sai sót của con người. Trong đảm bảoATTT cần có rất nhiều quy trình liên quan trực tiếp cũng như gián tiếp đến đảm bảo ATTT. Các quy trình có ảnh hưởng trực tiếp cần có như: Quy trình quản lý ATTT, quy trình bảo vệ các hệ thống trang thiết bị, quy trình kiểm tra định kỳ, quy trình khắc phục sự cố v.v… Bên cạnh đó, các quy trình có ảnh hưởng gián tiếp đến ATTT cần kể đến: quy trình quản lý chất lượng phần mềm, quy trình quản lý vật tư, quy trình quản lý nhân sự v.v...
Một trong các quy trình cơ bản nhất mọi tổ chức cần có là quy trình xử lý khi gặp sự cố ATTT. Tuy nhiên, theo kết quả điều tra của Viện Chiến lược năm 2012 chỉ có 8% cơ quan nhà nước có quy trình chuẩn để phản hồi lại các cuộc tấn công mạng, xử lý sự cố và 12% đơn vị đã xây dựng quy chế về ATTT được lãnh đạo phê duyệt. Đây là con số rất thấp trên thực tế và điều này sẽ gây ảnh hưởng đến kết quản bảo đảm ATTT trong khối CQNN.
Hình III.8: Tỷ lệ các đơn vị CQNN có quy trình chuẩn để phản hồi lại các cuộc tấn công mạng trên địa bản tỉnh Bắc Kạn (Nguồn: Số liệu điều tra NIICS 2012)
Hình III.9: Tỷ lệ đơn vị xây dựng quy chế về ATTT được lãnh đạo phê duyệt Nguồn số liệu điều tra của NIICS về ATTT tỉnh Bắc Kạn 2012
2. NHỮNG VẤN ĐỀ NểNG VỀ AN TOÀN THễNG TIN Ở VIỆT NAM TRONG