Với framework quản lý rủi ro đã trình bày ở trên, tôi muốn làm rõ hơn trên các khu vực có vấn đề phát sinh khi framework này đƣợc áp dụng trong môi trƣờng ĐTĐM. Trong các nghiên cứu của luận văn, điều này đã trở nên rõ ràng rằng nó không phải là sự nhạy cảm của bản thân dữ liệu tạo ra các vấn đề hay các hạn chế
trong môi trƣờng ĐTĐM mà là cơ chế bảo vệ dữ liệu trong chính môi trƣờng này. Theo ý kiến của một số chuyên gia bảo mật đã cho thấy rằng việc kiểm tra các kiểm soát đƣợc sử dụng để bảo vệ dữ liệu và hệ thống thông tin. Đây là vấn đề sẽ có triển vọng nhất của việc tìm kiếm nhằm tìm sự khác biệt giữa bảo mật truyền thống và bảo mật trong ĐTĐM.
Việc xác định những hạn chế xảy ra khi các kiểm soát này đƣợc áp dụng trong môi trƣờng ĐTĐM sẽ có giá trị rất lớn cho giới khoa học và các ngành công nghiệp. Khi những hạn chế xảy ra trong các đám mây đã đƣợc xác định, việc tiếp tục nghiên cứu về các giải pháp cho những hạn chế này là rất cần thiết.
CHƢƠNG 3: KHUNG LÀM VIỆC BẢO VỆ TÍNH BÍ MẬT CỦA THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY
Trong chƣơng này sẽ trình bày framework bảo vệ tính bí mật của thông tin trong môi trƣờng ĐTĐM (CCCF-Cloud Computing Confidentiality Framework), điều này sẽ cho phép các công ty có thể tham gia vào các dịch vụ trên đám mây cùng với những dữ liệu bí mật của họ.
Mục tiêu của framework là giải thích sự khác biệt giữa bảo mật trong môi trƣờng ĐTĐM và thực tế bảo mật thông tin ngày nay. Điều này đƣợc mô tả chi tiết bằng những bƣớc đầu tiên của chiến lƣợc quản lý rủi ro đã giới thiệu trong chƣơng 2, kết quả sẽ có sự khác biệt rõ ràng khi các bƣớc này đƣợc thực hiện trong môi trƣờng ĐTĐM và có thể đề xuất các giải pháp để bù đắp lại sự khác biệt đó. Đây là một thử nghiệm tốt cho tất cả các doanh nghiệp khi thực hiện theo một chiến lƣợc quản lý rủi ro để đảm bảo an toàn cho dữ liệu của họ và hệ thống thông tin. Framework đƣợc trình bày ở đây sẽ liên quan đến tất cả các thực thể quan tâm đến cách thức làm việc với các hệ thống thông tin dựa trên đám mây.
Framework sẽ đƣợc tiếp cận theo một góc nhìn từ trên xuống để đảm bảo rằng sự phát triển của bảo mật là phù hợp với mục tiêu của tổ chức và các mục tiêu hệ thống thông tin chung. Với cách tiếp cận từ trên xuống, tôi bắt đầu bằng cách giải thích sự cần thiết của bảo mật trong phạm vi các mục tiêu chiến lƣợc của doanh nghiệp. Từ mức trừu tƣợng này, sẽ đi xuống nhiều phần cụ thể của framework. Thông qua một phân tích ảnh hƣởng của kinh doanh (BIA- Business Impact Analysis), tôi có đƣợc các quy trình kinh doanh và hệ thống thông tin khá quan trọng đối với doanh nghiệp, cả trong các điều khoản quan trọng và bí mật.
Với việc xác định các hệ thống thông tin có hỗ trợ các quy trình và các dạng thông tin liên quan đến các hệ thống thông tin, tôi phân loại từng loại thông tin theo nhóm bảo mật. Khi tất cả các loại thông tin liên quan đến một hệ thống đã đƣợc phân loại, chúng ta có thể gắn nhãn bí mật cho hệ thống thông tin theo các cấp độ bảo mật: thấp, trung bình hoặc cao. Sự phân loại này dựa trên khuyến nghị của NIST về việc phân loại thông tin của liên bang Mỹ và các hệ thống thông tin [7].
Với các nhãn bí mật gắn liền với các hệ thống thông tin, chúng ta có thể xác định các rủi ro liên quan và xác định những kiểm soát cần thiết cho mỗi cấp độ bảo mật. Để đƣa ra các kiểm soát cơ bản tôi sử dụng các khuyến nghị của NIST đã công bố trong ấn phẩm Special Publication 800-53 và tập trung vào các kiểm soát có liên quan đến bảo vệ tính bí mật của thông tin [11].
Các khuyến nghị cơ bản cho các môi trƣờng ĐTĐM cần đƣợc điều chỉnh vì nó liên quan đến nội dung từ tài liệu nghiên cứu với ba khía cạnh:
Khía cạnh bảo vệ dữ liệu đề cập đến các kiểm soát bảo vệ hệ thống thông tin và dữ liệu.
Khía cạnh vị trí dữ liệu đề cập đến số lƣợng kiểm soát với các chủ sở hữu dữ liệu có thể tác động trên các dữ liệu chính họ tùy thuộc vào nơi dữ liệu đƣợc lƣu giữ.
Khía cạnh tác vụ hệ thống đề cập đến vấn đề: dữ liệu đƣợc xử lý, chuyển giao, lƣu trữ hoặc sự kết hợp của cả ba.
Mỗi khía cạnh có đặc thù riêng liên quan đến ĐTĐM sẽ đƣợc giải thích ở các nội dung sau trong chƣơng này. Sự bảo vệ dữ liệu bao gồm các lớp bảo vệ, các kiểm soát từ mức độ cao cho đến các kiểm soát kỹ thuật và vật lý ở mức thấp.
Hình 3.1. Mô hình framework bảo vệ tính bí mật của thông tin trong ĐTĐM