7. Vòng đi ca chính sách An ninh thông tin
7.1 Thu t hp thông tin và phân tích kh
Giai đo n đ u tiên trong quá trình xây d ng m t chính sách an ninh thông tin
là thu th p thông tin và phân tích k h .
Trong thu th p thông tin, m t đi u h u ích là xem xét các ví d v an ninh
thông tin và nh ng chính sách liên quan c a các qu c gia khác, c ng nh
nh ng chính sách liên quan c a b n thân qu c gia đó.
Trong phân tích k h , m t đi u quan tr ng là n m b t đ c y u t h t ng
hi n có liên quan đ n an ninh thông tin, nh các h th ng và pháp lu t hi n
t i, nh ng l nh v c và k h c n đ c hoàn thi n. ây là m t b c quan tr ng
vì nó xác đ nh đ nh h ng và u tiên trong chính sách an ninh thông tin s đ c thi t l p.
Thu th p thông tin
Thu th p các tr ng h p t n c ngoài: Trong vi c xác đ nh các tr ng
h p liên quan t nh ng qu c gia khác, các nhà ho ch đ nh chính sách c n
xem xét các y u t t ng t trong – • M c đ an ninh thông tin qu c gia
• nh h ng xây d ng chính sách
• H t ng h th ng và m ng l i
Thu th p thông tin
Phân tích k h Xem xét lđánh giái và
Th c thi
H c ph n 6An toàn, an ninh thông tin và m ng l i 117
Xem xét nh ng y u t t ng t này, c n thu th p các d li u sau –
• Thông tin v vi c xây d ng và v n hành c a các t ch c liên quan đ n an ninh thông tin (xem ch ng 3 và ch ng 6 c a h c ph n này)
• Thông tin v các chính sách, lu t pháp, và các quy đ nh v an ninh (xem ch ng 3)
• Ph ng pháp an ninh thông tin đ c s d ng trên ph m vi qu c t và nh ng ví d t các qu c gia khác (xem ch ng 4)
• Các xu h ng đe d a và nh ng bi n pháp đ i phó hay ki m soát theo các lo i hình t n công (xem các ch ng 2 và 6)
• Các bi n pháp đ i phó cho vi c b o v bí m t riêng t (xem ch ng 5)
Thu th p các d li u trong n c: M c dù h u h t nh ng nhà ho ch đ nh
chính sách không ph i là chuyên gia trong lnh v c an ninh thông tin, h có
th th c hi n nh ng h at đ ng có liên quan hay đi li n v i an ninh thông tin.
M t cách c th , h tham gia xây d ng lu t pháp, quy đ nh và chính sách trong các l nh v c liên quan đ n an ninh thông tin. Tuy nhiên, do lu t pháp, quy đ nh và chính sách có khuynh h ng t p trung vào các lnh v c nh t đ nh,
s t ng quan gi a chúng có th không hi n ra ngay t c thì đ i v i nh ng
nhà ho ch đ nh chính sách. Vì v y, c n ti n hành thu th p, phân tích và đánh
giá t t c nh ng lu t pháp, quy đ nh và chính sách có liên quan hay đi li n v i
an ninh thông tin.
Phân tích k h
Tác ph m The Art of War c a Sun Tzu nói r ng “C n n m b t k thù c a
b n”. i u này có ngh a là b n c n ph i bi t đ c nh ng gi i h n c a mình c ng nh đó là k thù c a b n. Trong tr ng h p xây d ng chính sách an ninh thông tin, đi u này có ngha là c n bi t đ c cái gì c n thi t đ c b o v
thông qua m t chính sách an ninh thông tin c ng nh kh n ng b t n công và nh ng m i đe d a đ i v i an ninh thông tin.
Phân tích k h có th đ c chia thành hai pha:
1.N m b t đ c các n ng l c và kh n ng c a qu c gia – ví d nh các
ngu n l c con ng i và t ch c, c ng nh c s h t ng thông tin và truy n
thông – trong lnh v c an ninh thông tin; và
118 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c Nh ng nhà ho ch đ nh chính sách c n bi t rõ các ngu n l c con ng i và t ch c an ninh thông tin – ví d các c quan t nhân và công c ng trong các
l nh v c liên quan đ n an ninh thông tin. H c n bi t nh ng t ch c liên quan trong ho t đ ng an ninh thông tin và n m b t đ c ph m vi h at đ ng, vai trò, trách nhi m c a các t ch c này. i u này là quan tr ng nh m tránh trùng l p
các c u trúc đã có v an ninh thông tin.
C ng t i đi m này, nh ng chuyên gia v an ninh thông tin c n đ c nh n di n
và đ t m i quan h . B i các chuyên gia th ng có m t n n v t ng lu t pháp,
chính sách, công ngh , giáo d c và nh ng l nh v c có liên quan.
C s h t ng thông tin – truy n thông đ c p đ n c u trúc IT nh vi c thu
th p, x lý, l u tr , tìm ki m, truy n t i và ti p nh n thông tin và các h th ng
qu n lý đi u khi n đi n t . Nói ng n g n, đây là m ng l i và h th ng thông
tin. N m b t hi n tr ng c a c s h t ng thông tin – truy n thông là đ c
bi t quan trong t quan đi m kinh t . B i nh ng kho n đ u t l n c n đ c
k t n i toàn b đ t n c, làm cho các ph ng ti n thông tin – truy n thông
hi n có tr nên ti n l i. Hình 20 đ a ra m t ví d v c s h t ng thông tin – truy n thông cho v n đ an ninh thông tin. Nó không bao hàm t t c nh ng
chi ti t có th đ c yêu c u và ví d đ c đ a ra đây ch nh m m c đích
minh h a. L u ý m i quan h gi a r t nhi u thành ph n trong m ng l i.
Hình 20. Ví d v c u trúc h th ng và m ng l i Router H th ng thu thp gói d liu H th ng ng n ch n các giao dch đ h i S/W F/W IDS/IPS S/W Router Server H th ng đánh
giá bn ghi H th ng báo sgiám sát/cm nh
H c ph n 6An toàn, an ninh thông tin và m ng l i 119
Nh ng nhà ho ch đ nh chính sách c n hi u đ c các h th ng và m ng l i
chung v an ninh thông tin đ c b trí nh th nào.
B c th hai trong phân tích k h đó là xác đ nh các m i đe d a bên ngoài đ i v i an ninh thông tin. Nh đã đ c p trong ch ng 2, các m i đe d a đ i
v i an ninh thông tin không ch t ng lên mà còn ph c t p h n. Các nhà l p
chính sách c n hi u nh ng m i đe d a này đ có th quy t đ nh bi n pháp đ i
phó nào là c n thi t. Nói m t cách c th , các nhà l p chính sách c n ph i
hi u:
• T c đ thâm nh p c a các m i đe d a đ i v i an ninh thông tin
• Các lo i hình t n công hi n t i và ph bi n nh t
• Các lo i hình đe d a và m c đ d ki n v s c m nh c a chúng trong t ng lai
Sau khi phân tích các ngu n l c con ng i, t ch c qu c gia và c s h t ng
thông tin – truy n thông, c ng nh n m b t các nhân t đe d a trong l nh v c
an ninh thông tin, m t đi u quan tr ng đó là tìm ra đ c nguyên nhân t các
y u t có th b t n công. i u này s xác đ nh đ c ph m vi mà theo đó qu c
gia có th ch ng l i các thành ph n đe d a bên ngoài. Vi c xác đ nh có th đ c th c hi n thông qua ki m tra nh ng v n đ sau đây:
• Hi n tr ng c a CERT và kh n ng đ i phó c a nó
• Hi n tr ng c a các chuyên gia v an ninh thông tin
• M c đ xây d ng và s c m nh c a h th ng an ninh thông tin
• Quy ph m pháp lu t b o v ch ng l i s xâm ph m tài s n thông tin
• Môi tr ng v t lý cho vi c b o v các tài s n thông tin
M c tiêu c a vi c phân tích k h là nh m có th xác đ nh các bi n pháp đ i
phó th c ti n c n đ c th c hi n. C n nh n m nh r ng đây là b c c b n
nh t trong vi c ho ch đ nh chính sách an ninh thông tin.