3.2.1. Giải pháp
Chương trình đuợc xây dựng theo cách tiếp cận đánh giá rủi ro theo các tài sản thông tin quan trọng, bảng sau đưa ra các buớc để thực hiện một phương thức đánh giá rủi ro đơn giản:
Bảng 3.1: Các buớc đánh giá rủi ro
STT Các buớc đánh giá rủi ro Hành động
1 Xác định tài sản và người quản lý tài sản.
Xác định và lên danh sách tất cả các tài sản thuộc phạm vi mà tiêu chuẩn ISO đề cập, đồng thời cũng xác định rõ ai là người chịu trách nhiệm quản lý tài sản.
2 Đánh giá mức độ quan trọng của tài sản.
Đánh giá đuợc mức độ quan trong của từng tài sản căn cứ trên ba thuộc tính: Bảo mật, Toàn vẹn và Săn sàng. 3 Đánh giá mức độ của các
mối đe dọa.
Xác định tất cả các mối đe dọa liên quan đến mỗi tài sản và gán một giá trị tương ứng với mức độ đe dọa theo khả năng xảy ra và mức độ nghiêm trọng của mối đe dọa.
4 Đánh giá mức độ của các lỗ hổng.
Xác định tất cả các lổ hổng liên quan đến mỗi tài sản và gán một giá trị tương ứng với mức độ của những điểm yếu này tương ứng với khả năng khai thác của các mối đe dọa.
5 Cách tính rủi ro. Xây dựng một phương thức để tính toán các giá trị rủi ro của tài sản, nguy cơ và các lổ hổng.
6 Đánh giá về các lựa chọn ngăn ngừa rủi ro và lựa chọn của các điều khiển bảo mật.
Đối với mỗi nguy cơ và điểm yếu của tài sản sẽ lựa chọn một phương thức kiểm soát an ninh phù hợp để giảm thiểu rủi ro đến mức chấp nhận đuợc.
86
3.2.2. Xác định các tài sản và ngƣời chịu trách nhiệm quản lý
Quản lý các phòng ban sẽ xác định và chuẩn bị một danh sách tất cả các tài sản thông tin quan trọng liên quan tới các lĩnh vực hoạt động. Thông tin về tài sản được quy về một trong các nhóm sau:
Tài sản vật lý Tài sản thông tin Tài sản phần mềm Tài sản dịch vụ Tài sản khác
Hình 3.1: Thêm mới, chỉnh sửa thông tin các loại tài sản, điều khiển và tài liệu của hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document).
87
3.2.3. Đánh giá mức độ quan trọng của tài sản
Độ quan trọng của tài sản được gán các giá trị từ 1 đến 5, với 1 là thấp nhât và 5 là cao nhất căn cứ mức độ ảnh hưởng của nó đến tổ chức, và việc kinh doanh khi rủi ro thực sự xảy ra, nó là tổng hợp của 3 yếu tố:
Bảo mật Toàn vẹn Sẵn sàng
Bảng 3.2Đánh giá tài sản về độ bảo mật
Giá trị Phân lớp Mô tả
1 Công bố công khai Không nhạy cảm, sẳn sàng công bố.
2 Sử dụng nội bộ Không nhạy cảm, hạn chế chỉ sử dụng trong nội bộ. 3 Giới hạn sử dụng Hạn chế sử dụng trong tổ chức.
4 Mật Chỉ có thể sử dụng đuợc ở nơi cần thiết.
5 Tuyệt mật Chỉ sử dụng ở nơi cần thiết bởi cấp quản lý cao nhất.
Bảng 3.3: Đánh giá tài sản về độ toàn vẹn
Giá trị Phân lớp Mô tả
1 Độ toàn vẹn rất thấp Ảnh hưởng tới kinh doanh là không đáng kể. 2 Độ toàn vẹn thấp Ảnh hưởng tới kinh doanh thấp.
3 Độ toàn vẹn trung bình Ảnh hưởng quan trong tới kinh doanh. 4 Độ toàn vẹn cao Ảnh hưởng chính yếu tới kinh doanh.
88 Bảng 3.4: Đánh giá tài sản về độ sẳn sàng
Giá trị Phân lớp Mô tả
1 Độ sẳn sàng rất thấp Sẳn sàng đáp ứng trong vòng 25% số giờ làm việc. 2 Độ sẳn sàng thấp Sẳn sàng đáp ứng trong vòng 50-60 % số giờ làm việc 3 Độ sẳn sàng trung bình Sẳn sàng đáp ứng trong vòng 75-80 % số giờ làm việc 4 Độ sẳn sàng cao Sẳn sàng đáp ứng trong vòng 95 % số giờ làm việc. 5 Độ sẳn sàng rất cao Sẳn sàng đáp ứng trong vòng 99.5 % số giờ làm việc.
Các tài sản tương tự có cùng mức độ nhạy cảm hay giới hạn về nguy cơ rủi ro và tổn thương có thể được nhóm lại để đơn giản hóa việc đánh giá mức độ quan trọng của tài sản. Các giá trị về mức độ quan trọng của tài sản được dùng làm cơ sở để tính giá trị rủi ro.
89
3.2.4. Đánh giá mức độ của các mối đe dọa
Các mối đe dọa sẽ khai thác những lỗ hổng liên quan đến tài sản để gây thiệt hại hay gián đoạn việc cung cấp các dịch vụ. Đối với mỗi loại tài sản, cần xác định các mối đe dọa có thể khai thác lỗ hổng của nó. Đối với mỗi mối đe dọa được xác định, cần ước tính giá trị mối đe dọa trên một quy mô từ 1 đến 5, trong đó '1 ' đại diện cho xác suất xảy ra thấp, '2' đại diện cho xác suất vừa xảy ra và '5 ' đại diện cho xác suất xảy ra cao.
3.2.5. Đánh giá mức độ của các lổ hổng
Lỗ hổng là các điểm yếu liên quan đến tài sản. Những điểm yếu này sẽ được khai thác bởi các mối đe dọa gây ra tổn thất hoặc thiệt hại đến tài sản. Lỗ hổng bản thân nó không gây hại cho đến khi nó đuợc khai thác. Cần phải xác định tất cả các lỗ hổng hoặc điểm yếu liên quan đến từng tài sản. Đối với mỗi điểm yếu đựoc ước tính trị giá trên một thang điểm từ 1 đến 5, trong đó "1" đại diện cho một môi trường rất an toàn, '2 'đại diện cho sự hiện diện của an ninh, nhưng cần cải tiến và '5' đại diện cho môi trường thiếu hoặc không có bảo đảm an toàn thông tin và cần phải cải thiện mạnh mẽ.
90
3.2.6. Tính mức độ rủi ro và báo cáo đánh giá rủi ro
Mức độ rủi ro đuợc đánh giá, tinh toán dựa trên mức độ quan trọng của tài sản, mức độ nguy cơ, mức độ tổn thương, để đơn giản thì nó có thể đuợc tính bằng tổng giá trị đánh giá mức độ của ba yếu tố trên công lại. Việc tính toán mức độ quan trọng của tất cả tài sản sẽ đuợc thực hiện thông qua các bảng mẫu, và bản tóm tắt của các bảng này sẽ đuợc sử dụng như các báo cáo về đánh giá mức độ rủi ro.
3.2.7. Phòng ngừa rủi ro
Các lựa chọn để xử lý các rủi ro:
Giả nguy cơ bằng cách quản lý thích hợp Tránh rủi ro
o Bằng cách không thực thi các hành động o Di chuyển tài sản ra khỏi khu vực có nguy cơ
o Trì hoãn quyết định cho đến khi thu tập đuợc đầy đủ thông tin Chuyển đổi rủi ro
o Thuê bên ngoài o Bằng cách bảo hiểm Chấp nhận rủi ro
o Chấp nhận rủi ro
o Những tình huống không thể tránh đuợc o Rủi ro ở mức có thể chấp nhận đuợc Bỏ qua các rủi ro gây ảnh hưởng thấp
Mục tiêu của kế hoạch xử lý rủi ro là thực hiện kiểm soát để đạt được mức độ bảo đảm an toàn thông tin theo yêu cầu quản lý.
91
3.2.8. Mức độ rủi ro có thể chấp nhận đuợc
Mức độ chấp nhận được giá trị rủi ro có thể được dùng như là '7 hoặc thấp hơn‟. Lý do là giá trị tài sản cao nhất là 5 và với các điều khiển thích hợp ở vị trí các giá trị mối đe dọa và dễ bị tổn thương giống nhau bằng 1 thì giá trị rủi ro là 7 là có thể chấp nhận đuơc. Bất kỳ giá trị rủi ro trên giá trị này thì cần phải được giải quyết, có nghĩa là thực hiện các điều khiển bổ sung để giảm thiểu giá trị rủi ro cho đến khi đạt bằng 7 hoặc thấp hơn. Những rủi ro còn lại sau khi giải quyết các nguy cơ ban đầu được gọi là rủi ro còn lại. Lưu ý rằng việc quản lý cần phải nhận thức được mức độ chấp nhận rủi ro cũng như các rủi ro còn lại.
92
3.2.9. Lựa chọn các mục tiêu kiểm soát và điều khiển
Sau khi các giá trị rủi ro được tính toán, xác định đuợc các kiểm soát thích hợp cho những tài sản có giá trị rủi ro là '8 hoặc cao hơn‟. Thì các điều khiển được lựa chọn sẽ thực thi để làm giảm giá trị rủi ro đến một mức độ có thể chấp nhận được rủi ro đó.
3.2.10. Kế hoạch phòng ngừa rủi ro
Xây dựng một kế hoạch thực hiện phòng ngừa rủi ro để có thể lựa chọn đuợc cách thức nhằm giải quyết các vấn đề:
Các ưu tiên
Thực hiện lịch trình Trách nhiệm
Các hoạt động đào tạo cần thiết
Các báo cáo đánh giả rủi ro theo mẫu sẽ đuợc mở rộng để có thể đánh giá đựợc các kế hoạch phòng ngừa rủi ro. Việc này cần phải đuợc theo dõi và hoàn thành trên cơ sở liên tục theo yêu cầu của ISO.
3.2.11. Kiểm tra định kỳ
Bản chất và sự phức tạp của các tài sản thông tin, giá trị của nó cũng như các mối đe dọa và các lỗ hổng tất cả có thể thay đổi theo thời gian. Do đó việc đánh giá rủi ro cần phải được xem xét định kỳ, ít nhất sáu tháng một lần. Ngoài ra bất cứ khi nào các tài sản mới được thêm vào hoặc một mối đe dọa mới được xác định thì cần phải thực hiện việc đánh gía các tài sản và đánh giá rủi ro lại.
93
3.3. CÁC GIAO DIỆN CHÍNH
Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT (ISMS Document Traceability).
94 Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document).
95
KẾT LUẬN
Kết quả chính của luận văn gồm có:
1/. Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO27001: Hệ thống quản lý an toàn thông tin ATTT bao gồm con người, các quá trình và các hệ thống CNTT. Lập một hệ thống quản lý ATTT theo chuẩn ISO 27001 là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo ba thuộc tính an toàn thông tin: Tính tin cậy, Tính toàn vẹn, Tính sẵn sàng. Với các yêu cầu cụ thể về:
Hệ thống quản lý an toàn thông tin. Trách nhiệm của ban lãnh đạo.
Đánh giá nội bộ về hệ thống quản lý ATTT.
Xem xét của ban lãnh đao về hệ thống quản lý ATTT. Cải tiến hệ thống quản lý ATTT.
Thông qua việc kiểm soát mười một mục tiêu và lĩnh vực chính: Chính sách an ninh (Security Policy).
Tổ chức an ninh (Security Organization).
Phân loại và kiểm tra tài sản (Asset Classification and Control). An ninh về nhân sự (Personnel Security).
An ninh về môi trường và mức vật lý (Physical and Environmental Security). Quản lý tác nghiệp và thông tin liên lạc.
Điều khiển truy nhập (Access Control).
Phát triển hệ thống và bảo dưỡng (Systems Development and Maintenance). Quản trị tính liên tục trong kinh doanh (Business Continuity Management). Quản lý các sự cố an toàn thông tin
Điều kiện tuân thủ (Compliance).
Như vậy ISO 27001 giúp cho tổ chức tạo được một hệ thống quản lý an toàn thông tin chặt chẽ nhờ luôn được cải tiến nhằm đảm bảo an ninh và khai thác thông tin một cách hợp lý và hiệu quả nhất.
96 Tuy nhiên việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001 không thể chứng minh tổ chức được đảm bảo an toàn 100%. Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì cả. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét.
Cấp độ tổ chức: Sự cam kết - Chứng chỉ như là một cam kết hiệu quả của nổ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị.
Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã bổ sung những chuẩn và luật tồn tại khác.
Cấp độ điều hành: Quản lý rủi ro - Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm. Cấp độ thương mại: Sự tín nhiệm và tin cậy- Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.
Cấp độ tài chính và cấp độ con người: Tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng giảm chi phí bảo hiểm. Cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức.
2/. Về thử nghiệm sử dụng chương trình quản lý ATTT:
Chương trình “ISMS-RAT” có thể trợ giúp cho việc thực thi ATTT trong các tổ chức một cách thuận tiện và hiệu quả, những lợi ích chính mà chương trình mang lại như: Phân lọai, kiểm kê các tài sản liên quan đến An toàn Thông tin, Đánh giá rủi ro, Lựa chọn các kế hoạch phòng ngừa rủi ro phù hợp với tiêu chuẩn ISO 27001, thực hiện việc truy xuất nguồn gốc tài liệu liên quan đến ATTT, Đưa rá các tuyên bố áp dụng (Statement Of Applicabity: SOA) một yêu cầu bắt buộc để thực hiện ATTT theo tiêu chuẩn ISO 27001 một cách hiệu quả.
97
TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật
[1] ISO/IEC 1799:2000, Information technology – Code of Practice. [2] BS 7799-2:2002, Information Security Management Specification with Guidance for User.
[3] ISO/IEC TR 13335-1:2004, Information technology - Security techniques Management of information and communications technology security.
Part 1: Concepts and models for information and communications technology security management.
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security.
Part 3: Techniques for the management of IT security.
ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT Security.
Part 4: Selection of safeguards.
[4] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing.
[5] ISO/IEC 1799:2005 Information technology - Security techniques.
[6] OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org.