ATTT được xây dựngtrên nền tảngmột hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuậtnhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữucũng như cá
Trang 1I. AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố conngười
1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềmphòng chốngvirus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như:trình duyệt Internet và phần mềm nhận Email từmáy trạm
2. Yếu tố con người: Là những người sử dụng máy tính, những người làm việc vớithông tin và sử dụng máy tính trong công việc của mình
Hai yếu tố trên được liên kết lại thông qua các chính sách về An toàn thông tin
Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi trường thông tinkinh tế xã hội, đảm bảo cho việc hình thành, sử dụng vàphát triển vì lợi ích của mọi côngdân, mọi tổ chức và của quốc gia Thôngqua các chính sách về ATTT, lãnh đạo thể hiện
ý chí và năng lực của mình trong việc quản lý hệ thống thông tin ATTT được xây dựngtrên nền tảngmột hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuậtnhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữucũng như cáctài nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tintoàn cầu Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT phảibắt đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất
An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năngchống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến
độ an toàn của hệ thống là nhỏ nhất Hệ thống có một trong các đặc điểm sau là không antoàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cáchlấy và sử dụng (thông tin bị rò rỉ) Các thông tin trong hệ thống bị thay thế hoặc sửa đổilàm sai lệch nội dung (thông tin bị xáo trộn)
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thểcung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạtđộng đúng đắn Mục tiêu của an toàn bảo mật trongcông nghệ thông tin là đưa ra một sốtiêu chuẩn an toàn Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảmbớt các nguy hiểm Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đápứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó Quản lý
Trang 2an toàn và sự rủi ro được gắn chặt với quản lý chất lượng Khi đánh giá độ an toàn thôngtin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro.Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thôngtin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa racác chính sách và phươngpháp đề phòng cần thiết Mục đích cuối cùng của an toàn bảo mật là bảo vệ các thông tin
và tài nguyên theo các yêu cầu sau:
• Tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép bởi nhữngngười không có thẩm quyền
• Tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi nhữngngười không có thẩm quyền
• Tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người
1. Tài liệu về chính sách an ninh thông tin
2. Việc phân bổ các trách nhiệm về an ninh hệ thống
3. Các chương trình giáo dục và huấn luyện về sự an ninh thông tin
4. Các báo cáo về các biến cố liên quan đến an ninh thông tin
5. Các biện pháp kiểm soát Virus
6. Tiến trình liên tục lập kế hoạch về kinh doanh
7. Các hình thức kiểm soát việc sao chép các thông tin thuộc sở hữu của tổ chức
8. Việc bảo vệ các hồ sơ về tổ chức
9. Việc tuân thủ pháp luật về bảo vệ dữ liệu
10.Việc tuân thủ chính sách về an ninh hệ thống của tổ chức
Trang 3II. THỰC TRẠNG VẤN ĐỀ AN TOÀN THÔNG TIN HIỆN NAY
Theo đánh giá của thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học Nghiệp vụ Tổng cục Kỹ thuật Bộ Công an, tình hình an ninh mạng năm 2008 này vẫn đang trên đà bất ổn và tiếp tục coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới Nhiều lỗ hổng
an ninh nghiêm trọng đã được phát hiện, hình thức tấn công cũng đã thay đổi và có rất nhiều cuộc tấn công thành công trong thời gian gần đây.
Tính tới thời điểm này, đã có nhiều lỗ hổng an ninh đã được phát hiện như lỗ hổng DNS bịcoi là siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng dữ liệu qua lại trên toàn mạngWorld Wire Web, lỗ hổng trình duyệt web Google Chrome… Hình thức tấn công cũng đã
có sự thay đổi Hacker đã thay đổi từ hình thức tấn công hệ thống thông qua dịch vụ thưđiện tử sang tấn công hệthống dựa vào dịch vụ web Hacker đã mở một chiến dịch “tổngtấn công” nhằm vào mạng Internet với số lượng hơn 1 triệu website Trong đó có cácwebsite nổi tiếng thế giới như USA Today.com, Walman.com… Số lượng và tầm quantrọng của các website bị tấn công đang tăng lên từngngày
Virus và phần mềm độc hại tiếp tục tăng trưởng Theo thống kê của hãngSymantec, tổng sốvirus, sâu, trojan máy tính lan truyền trên Internet cho tới thời điểm này đã đạt ngưỡng 1triệu Trong 6 tháng đầu năm 2008, hãngSymantec đã phát hiện được 499.811 mã độc nguyhiểm, tăng 136% so với 6 tháng đầu năm ngoái, đưa tổng số mẫu virus có trong sản phẩmcủa hãng này lên tới 1.122.311 mẫu Giới tin tặc đang có xu hướng dùng trojan như là “chìakhoá” để truy cập máy tính người dùng, sau đó download và tải rất nhiều chương trình độchại
Theo thống kê của APACS, chỉ trong 6 tháng đầu năm 2008, trên toàn thế giới đã có tới20.000 vụ lừa đảo trực tuyến xảy ra gây thiệt hại tới 37 triệu USD, trong khi đó năm 2007chỉ có khoảng 7.000 vụ Hacker đã tấn công hàng ngàn trang web game online, không “tha”
cả website bán vé Euro 2008, 18 máy chủ của ngân hàng thế giới WorldBank đã bị tấn công.Đặc biệt, rất nhiều dữ liệu của cá nhân đã bị tấn công, đánh cắp Theo thống kê của Trungtâm tài nguyên và mất cắp danh tính ITRC, tính từ đầu năm tới nay, chỉ riêng tại Mỹ đã cótới 512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng
Và Việt Nam cũng là một quốc gia không tránh khỏi những hệ luỵ này Chỉtrong năm 2008,
đã có 52 website của Việt Nam bị các hacker trong nước tấn công và có tới 109 websiteViệt bị các hacker nước ngoài “dòm” tới Trung tâm an ninh mạng BKIS đã từng cảnh báo
30 website Việt có lỗ hổng nghiêm trọng 27.046.000 lượt máy tính Việt bị nhiễm bởi
Trang 46269 loại virus khác nhau trong đó có 8 virus có “xuất xứ” Việt Nam.
Nhiều website Việt bị tấn công trong đó có cả những website có uy tín Ngày 25/7/2008,website của ngân hàng Techcombank bị hacker xâm nhập và để lại lời cảnh báo về lỗi bảomật Ngày 27/7/2008, một số tên miền quan trọng của PAVietnam, một trong những nhàcung cấp dịch vụ hosting lớn của Việt Nam đã bị hacker chiếm quyền điều khiển khiếnkhoảng 8.000 website mà khách hàng đang sử dụng máy chủ tên miền của PAVietnam bị têliệt Thậm chí gần đây, ngày 5/10/2008, ngay cả website của Trung tâm an ninh mạng BKIScũng đã bị tấn công từ chối dịch vụ
Năm 2008, các hình thức lừa đảo trực tuyến phổ biến trên thế giới đều đã xuất hiện ở ViệtNam như lừa đảo qua diễn đàn trên mạng, lừa đảo qua email mà phổ biến nhất là lừa đảotrúng xổ số, lừa đảo qua các tin nhắn trên mạng diđộng từ những tổng đài tự động, ăn cắp vàlàm giả thẻ tín dụng…
Ngay cả tình trạng phát tán blog đen, video clip xấu trên mạng vẫn còn xảy ra tràn lan Mặc
dù không có nhiều vụ việc giật gân nhưng trên một số blog của cá nhân vẫn tồn tại nhiềubài viết, video clip có nội dung không lành mạnh
Đã có tình trạng diễn ra “chợ tình” trên mạng Internet, một kiểu tiếp thị mại dâm mới…
Thiếu tướng Nguyễn Viết Thế cho rằng, nguyên nhân của sự bất ổn và báo động đỏ năm
2008 của Việt Nam là do các cơ quan, doanh nghiệp, tổ chức và ngay cả những cá nhânchưa thực sự quan tâm đến vấn đề an ninh mạng Các cơ quan, doanh nghiệp, tổ chức vẫncòn chủ quan nên chưa có sự quan tâm, đầu tư kinh phí đúng mức cho vấn đề này
Các điểm yếu an ninh trên các website của Việt Nam chưa được cập nhật thường xuyên,chưa kiểm soát được các lỗi lập trình Ngoài ra, chính sách, văn bản của Việt Nam về tộiphạm mạng còn rất yếu và thiếu Chưa có được bộ tiêu chuẩn về chính sách an ninh mạng,
an toàn thông tin để đưa ra được những giải pháp tổng thể bảo đảm an ninh, an toànthông tin
Trong khi đó, năm 2009 lại được các chuyên gia an ninh mạng dự báo sẽ tiếp tục là nămxuất hiện nhiều biến thể virus mới, tội phạm mạng sẽ chuyên nghiệp hơn, tinh vi hơn,mạng xã hội trở thành đích ngắm của hacker, các vụ việc đánh cắp thông tin dữ liệu vềngười dùng sẽ phức tạp hơn…
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin Hầu như
Trang 5phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệthống thông tin và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra Việc nhận thứckém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng trên.Đơn cử là vấn đề sử dụngmật khẩu đã được quy định rất rõ trong các chính sách về ATTTsong việc tuân thủ các quy định lại không được thực hiện chặt chẽ Việc đặt một mậtkhẩukém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là nhữngkhâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công.
Ra mắt Hiệp hội An toàn thông tin VN phía Nam
Hiệp hội An toàn thông tin Việt Nam (VNISA) vừa được thành lập và tổ chức lễ ra mắt chihội an toàn thông tin phía Nam Sự kiện này đánh dấu bước phát triển mới trong lĩnh vực
an toàn thông tin, nhất là tại TP.HCM nơi mà lĩnh
vực công nghệ thông tin phát triển năng động nhất Ông Võ Đỗ Thắng, ủy viên ban điều
hành chi hội, cho biết: “Chi hội an toàn thông tin phía Nam ra
đời nhằm tạo điều kiện giúp các hội viên, các tổ chức, doanh nghiệp phía nam nâng cao kiến thức trong lĩnh vực an toàn thông tin Đồng thời đây là nơi chia sẻ kinh nghiệm các thành tựu khoa học cũng như hướng dẫn việc ứng dụng và phát triển kỹ thuật, công nghệ an toàn thông tin”.
sử dụng máy tính để thực hiện hành vi trốn thuế, tham ô; buôn bán ma tuý qua mạng; tổ chức hoạt động mại dâm qua mạng; truyền bá văn hoáphẩm đồi truỵ qua mạng; thực hiện các hoạt động khủng bố, gây rối qua
mạng; xâm phạm an toàn của hệ thống hạ tầng an ninh quốc gia; lập trạm thu phát tín hiệu trái phép, sử dụng mạng Internet để chuyển cuộc gọi quốc tế thành cuộc gọi nội hạt…
Trang 6Đặc điểm nổi bật của loại tội phạm công nghệ cao là tính quốc tế Từ phương thức, thủđoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây án hầu như về cơ bản đềugiống nhau trên toàn thế giới Thủ phạm gây án có thể ngồi một chỗ tấn công vào bất kỳ nơinào trên thế giới mà không cần xuất đầu lộdiện, chỉ để lại rất ít dấu vết là những dấu vếtđiện tử và thời gian gây ánthường rất ngắn khiến cơ quan điều tra khó phát hiện, thu thậpnhưng lại dễ dàng tiêu huỷ Tội phạm công nghệ cao được chia làm hai nhóm: nhóm tộiphạm với mục tiêu tấn công là các loại thiết bị kỹ thuật số, mạng máy tính và nhóm thứ hai
là tội phạm sử dụng máy tính làm công cụ phạm tội
1.Lừa đảo mạng ATM
“ Một khi bọn tội phạm lấy được dữ liệu trên các dải từ tính cùng với số PIN, chúng hoàntoàn có thể tạo ra các thẻ giả , và chính những thẻ này sẽ là được dùng để rút tiền” Vấn đềkhác đối với các tổ chức là khả năng thực hiện quản lý rủi ro của họ ít hơn nhiều so với cácgiao dịch trực tuyến trên ATM “ Đó là vì máy ATM cung ứng hàng hóa cho khách hàngcủa mình ngay lập tức, chính xác như ý muốn của bọn lừa đảo – đó là tiền mặt chứ khôngphải là một loạivé, giấy có giá mà sau đó phải cất trữ hoặc bán lại
2.Tiếp tục các tấn công dạng Phishing
Năm 2008, ngành dịch vụ tài chính quan sát thấy có sự tăng trưởng vể số lượng các cuộctấn công phishing và được trông chờ tiếp tục vào năm 2009, gồm có spear phishing phứctạp và các tấn công Rock Phish Nhóm công tác chống phishing (Anti-Phishing WorkingGroup) báo cáo rằng lĩnh vực dịch vụ tài chính là lĩnh vực chịu nhiều tấn công phishingnhất, Với khoảng hơn 90% các cuộc tấn công nhắm trực tiếp các dịch vụ tài chính
Theo Terry Gudaitis, PhD, giám đốc Cyber Interligence , một công ty tình báo an ninhmạng chuyên dịch vụ phát hiện và kiểm soát phishing thì một trongnhững lĩnh vực mà bà vànhững người khác thấy là sự gia tăng mối hiểm họa tấn công phishing là “Smishing” hay làSMS phishing “Phishers (kẻ tấn công phishing) nay gửi các thông điệp phishing tới cácmáy điện thoại di động thông qua SMS Điều này làm bối rối những người sử dụng onlinebanking,đặc biệt là những người sử dụng dịch vụ mobile banking,” bà nói “Khách hàngbanking thông thường sẽ nghĩ, „Ngân hàng không gửi email cho tôi, mà lại gửi thông điệpbằng văn bản yêu cầu mình nhấn vào đường link này haygọi số này để kiểm tra,”‟ Trong
Trang 7khi phương thức tấn công khác biệt, thì đối tượng của phisher vẫn là một Loại tấn côngnày sẽ đặt ra những vấn đề về độ tin cậy và sẽ ảnh hưởng tới các dịch vụ mobile banking,đặc biệt khi ngày càng nhiều khách hàng tin cậy trở nên tin tưởng điện thoại di động củamình.
3.Tấn công từ chối SQL
Nghiên cứu của Sophos cho hay, số lượng các cuộc tấn công SQL vào các trang web “vôtội” trong năm qua tăng lên rõ rệt, và năm tới, xu hướng này sẽ vẫn tiếp diễn Độ bảo mậtkém của các trang web, đặc biệt là không có khảnăng phòng chống các cuộc tấn công tựđộng từ xa như tấn công từ chối SQL, sẽ tiếp tục trở thành nơi đầu tiên để phát tán mã độc.Báo cáo mới đây của Trung tâm thu nhận tố cáo tội phạm internet cũng chỉ ra số lượng cáccuộc tấn công SQL trong năm qua tăng lên đáng kể, đặc biệt là liên quan đến các dịch vụ tàichính và ngành công nghiệp bán lẻ trực tuyến
4.Drive-By Attacks Deliver
Các tổ chức cần phải hướng dẫn và cảnh báo khách hàng và nhân viên khi online phải cẩntrọng với những trang Web giả mạo (look-alikes) và bị nhiễm độc, Tom Wills, JavelinStrategy Research's Senior Analyst for Security & Fraud nói “Các tấn công Drive-by lén lútphân phối Trojans trộm bàn phím (keylogger) vào các máy tính của khách hàng và trở thành
vũ khí trộm danh tính tự nguyện.” Các máy sẽ bị nhiễm khi người dùng viếng các trangweb giả mạo do bị chuyển tới thông qua phishing emails hoặc như xu hướng đang gia tănghiện nay là thông qua các trang web hợp lệ nhưng đã bị hack, ôngnhận xét
Javelin's Wills cũng tiên đoán sẽ có sự gia tăng về số lượng các hackers và tội phạm
“nghiệp dư" (amateur), tìm cách ăn trộm tiền hay thông tin cá nhân khách hàng của các tổchức, chủ yếu do kinh tế suy thoái “ Các tổ chức cần nhận thấy có sự tăng cường lừa đảokhông chyên Những „tội phạm có cơ hội‟ sẽ xuất hiện giữa các khách hàng và nhân viên dongày càng nhiều người bị tress về tài chính bởi hậu quả kinh tế suy thoái.” Will nhậnxét
5. Mạng xã hội không còn là mục tiêu mới
Với sự phát triển mạnh của mạng xã hội, theo Sophos, đây sẽ trở thành mục tiêu mới củatin tặc Báo cáo của hãng nghiên cứu này cho thấy, vào tháng 8 vừa rồi ước tính có tới
1800 tài khoản Facebook đã bị thay đổi thông tin cá nhân do tin tặc cài Trojan vào tronghình động để tấn công người dùng
Trojan Koobface tấn công MySpace và cả Facebook rồi biến máy tính nạn nhân thànhmạng botnet cũng là sự kiện an ninh đáng lưu ý trong năm qua, và có thể sẽ còn tái diễn
Trang 8kí tự tối đa là 140).
6. Smartphones: trò chơi mới của tin tặc
Trong khi đa số phần mềm hiểm độc và thư rác được phát tán nhằm mục đích kiếm tiền thìtheo phân tích của Sophos, với smartphone, tin tặc chủ yếu viết phần mềm hiểm độc vớimục đích nổi danh
Apple iPhone theo Sohpos, có 3 lí do khiến người dùng iPhone dễ bị tấn công phishing
hơn so với những ai sử dụng máy tính
Người dùng iPhone thường muốn nhấp vào địa chỉ được giới thiệu vì việc nhập URL
trên màn hình cảm ứng thường khó khăn hơn
● Phiên bản Safari trên iPhone không hiển thị địa chỉ URLs nhúng trong emails trước khichúng được nhấp vào, khiến người dùng khó nhận diện được liệuchúng có dẫn tới các tranglừa đảo hay không
Trình duyệt trên iPhone không hiển thị đầy đủ địa chỉ URL giúp kẻ xấu có thể lợi dụng đểlừa đảo người
Google Android mặc dù Android trên Google G1 mới ra mắt gần đây và hiện chưa mắc
phải những cuộc tấn công từ tin tặc, nhưng sau chỉ một ngày G1 được bán ra thị trường,giới an ninh đã phát hiện ra một lỗ hổng nghiêm
trọng
Theo dự đoán của Sophos, càng có nhiều người sở hữu smartphone thì dòng thiết bị này
sẽ trở nên hấp dẫn hơn với tin tặc
Đối phó thế nào đây?
Hiện thế giới coi Việt Nam như một thị trường an toàn, có tiềm năng về thương mại điện tử vàđầu tư Điều này phụ thuộc rất nhiều vào bức tranh an ninh mạng Việt Nam Nếu vấn đề anninh mạng không được giải quyết kịp thời, hợp lý, lĩnh vực thương mại điện tử vốn đã non trẻcủa Việt Nam có thể sẽ rơi vào tình trạng trì trệ, trở thành “một rào cản đối với Việt Nam hậu
Trang 9Việc đảm bảo an ninh trật tự trong “thế giới ảo” hiện là một trọng trách nặng nề của lực lượngcông an nói chung và cảnh sát phòng chống tội phạm công nghệcao nói riêng trong tình hìnhmới Với kinh nghiệm điều tra, lần theo dấu vết, đã “điểm mặt, chỉ tên” được nhiều vụ án cụthể, theo Tiễn sĩ Trần Văn Hoà, việc phát hiện kịp thời, truy tìm dấu vết đối tượng của những
vụ án công nghệ cao thường đòi hỏi phải có sự phối hợp đồng bộ giữa các cơ quan điều tratrong và ngoài nước tránh bị ngắt quãng, mất dấu vết Nhìn về xu hướng bảo mật, Việt Nam đãtừng có thời điểm được xếp vào danhsách 1 trong 10 quốc gia có lượng spam email lớn nhấtthế giới Song, trong số các spam mail được gửi đi từ Việt Nam lại có rất ít các email nội dungtiếng Việt Điều này chứng tỏ spam email chủ yếu do các đối tượng, hacker nước ngoài gửi vềViệt Nam
Tuy nhiên, trong khi hệ thống pháp luật của Việt Nam còn thiếu và nhiều kẽ hở, hình thứcquảng cáo bằng spam email hay tin nhắn spam vẫn đang là một giải pháp tiết kiệm chi phíđược nhiều doanh nghiệp sử dụng Đây lại rất có thể là cơ hội để các hacker nội kiếm tiềnbằng cách gửi spam email thuê với quy mô lớn Nếu điều này xảy ra sẽ gây vô vàn thách thứccho các cơ quan chức năng, các doanh nghiệp cung cấp dịch vụ Internet của Việt Nam và bảnthân người dùng Internet trong nước
Vì vậy, việc cần làm đầu tiên vẫn là tăng cường các biện pháp quản lý của nhà nước và côngtác phòng chống tội phạm công nghệ cao Xây dựng, hoàn thiện và triển khai có hiệu quả hệthống văn bản pháp luật đồng bộ có liên quan tới lĩnh vực CNTT như Luật Hình sự, Bộ Luậttốt tụng hình sự, Luật CNTT, Luật giao dịch điện tử…
Bản thân các doanh nghiệp, tổ chức cá nhân cũng phải có ý thức nâng cao cảnh giác, tăngcường sử dụng các công cụ kỹ thuật để ngăn chặn, phòng ngừa bảo vệ các server, website, cơ
sở dữ liệu như các thiết bị phần cứng, các phần mềm chống virus, spyware, spam… Đặc biệt làphải tăng cường công tác điều tra, truy tố, xét xử các vụ phạm tội công nghệ cao để có thể răn
đe, phòng ngừa - Tiến sĩ Hoà nói
Xây dựng hệ thống bảo đảm an toàn thông tin như thế nào?
Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói gọn vàotrách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải pháp thuần túy kỹ thuật Một hệ
Trang 10thống thông tin an toàn đúng nghĩa phải gắn kết và tích hợp chặt chẽ với hoạt động của toàn tổchức trong đó con người đóng vai trò quan trọng.
Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin Tuy nhiên, thôngthường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn ISO 27001 và ISO/IEC
17799 thường được nhắc đến nhiều nhất, bởi tính hệ thống, tính thông dụng và tính quốc tế củachúng
Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo cả hai như là mộtcặp không thể tách rời Khi áp dụng, tiêu chuẩn ISO 27001 mang tính bắt buộc, quy định cácyêu cầu của một hệ thống an toàn thông tin, trong khi chuẩn ISO/IEC 17799 cung cấp các kinhnghiệm để có thể thiết kế một hệ thống cụ thể, mang tính tham khảo và không bắt buộc
Về cơ bản, một hệ thống an toàn thông tin phải được xây dựng tích hợp chặt chẽ vào hệ thốngvận hành của một tổ chức, có cấu trúc chặt chẽ, gồm nhiều tác vụ liên thông và hỗ trợ lẫn nhau.Một hệ thống theo chuẩn ISO/IEC 17799 nhất thiết phải bao gồm các nhóm yêu cầu và tác vụđược trình bày ở sơ đồ 1
Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an toàn thông tin nêncăn cứ vào nhu cầu và đặc điểm của từng tổ chức Một hệ thống an toàn có hiệu quả ở tổchức này, hoàn toàn không chắc là phù hợp với tổ chức khác, thậm chí có hoạt động cùnglĩnh vực
Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây dựng các phươngpháp bảo đảm an toàn thông tin mang tính hệ thống, tránh thiếu sót, thừa hưởng các kinhnghiệm đã đúc kết, chúng không thể thay thế cho vai trò quyết định của bản thân doanhnghiệp
Thông thường, quátrình thiết lập, vận hành và chứng nhận hệ thống an toàn thông tin theo
Trang 11tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình bày ở bảng 2, trong đó chi tiết cácbước sẽ rất khác nhau, tùy theo từng tổ chức.
Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian giữa các bướctrong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống an toàn thông tin Các bước vàkhung thời gian chỉ có tính minh họa, thực tế chúng khác biệt và phụ thuộc vào mục tiêu, cáchthức và kế hoạch của từng tổ chức
Trang 12Nhóm tác vụ Mô tả và ý nghĩa
Chính sách Các chính sách ở các cấp độ khác nhau (công ty, phòng, ban) về an
toàn thông, các quy trình, quy định, hướng dẫn thực hiện, báo cáo,
Kiểm soát tài sản Phân loại tài sản và rủi ro có thể xảy ra để định nghĩa các yêu cầu
về an toàn thông tin một cách phù hợp
Kiểm soát việc truy
Phát triển và bảo trì hệ
thống
An toàn thông tin được tích hợp vào toàn bộ các quá trình pháttriển, nâng cấp, sửa chữa, bảo trì toàn bộ các thành phần của hệthống
Kiểm soát sự cố Bao gồm các phương án bảo đảm các quá trình hoạt động và kinh
doanh của tổ chức được tiếp diễn bình thường khi
Trang 13có tình huống (xấu) khẩn cấp xảy ra.
Tuân thủ quy định
của pháp luật
Bảo đảm cho hệ thống an toàn thông tin và các quy định của tổchức phù hợp với luật pháp, không mâu thuẫn với các tiêu chuẩnkhác trong tổ chức
2 Huấn luyện Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhânviên các cấp
có đủ kiến thức và kỹ năng để thiết lập và vận hành toàn hệ thống
4 Xem xét và phê
chuẩn các quy trình
Các chuyên gia, lãnh đạo xem xét, điều chỉnh và phê duyệt cácchính sách, quy trình, phương pháp, công cụ để chính thức áp dụng
5 Áp dụng quy trình Chính thức áp dụng các chính sách, quy trình và phương pháp,
công cụ đã được phê duyệt, áp dụng thử hoặc áp dụng đại trà
6 Kiểm soát việcthực
thi và xem xét của
Trang 14chỉ định các điểm cải tiến.
7 Hoạt động sửa lỗi Sửa các lỗi không tương thích được phát hiện trong quá trình
kiểm soát, bảo đảm lỗi đã xảy ra sẽ không tái xuất hiện
8 Đánh giá thử Bảo đảm tổ chức đã sẵn sàng cho việc đánh giá chính thức Nếu lỗi
quá nhiều, việc đánh giá chính thức sẽ được lùi một thời gian thíchhợp
9 Cải tiến các quy
Khoản 2 và 3, Điều 18 (Nghị định của Chính phủ số 63/2007/NĐ-CP ngày 10/4/2007, Quyđịnh xử phạt vi phạm hành chính trong lĩnh vực công nghệthông tin): Hành vi vi phạm cácquy định về bảo vệ quyền, lợi ích hợp pháp và hỗ trợ người sử dụng sản phẩm, dịch vụ côngnghệ thông tin
1.Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi sau:
a)Tạo ra và cài đặt chương trình virus máy tính hoặc phần mềm gây hại hoặc đoạn
mã gây hại để thực hiện một trong những hành vi quy định tại Điều 71 của LuậtCông nghệ thông tin;
b)Ngăn chặn bất hợp pháp việc truy nhập đến thông tin của tổ chức, cá nhân khác trênmôi trường mạng;
c)Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá
Trang 15nhân khác trên môi trường mạng
d) Khi cung cấp dịch vụ không thực hiện hoặc không có biện pháp ngăn ngừa trẻ emtruy nhập trên môi trường mạng thông tin không có lợi đối với trẻ em theo quy định củapháp luật;
đ) Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin mang nội dungkhông có lợi cho trẻ em nhưng không có dấu hiệu cảnh báo;
e)Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin trái đạo đức, thuầnphong mỹ tục của dân tộc;
g)Thử xâm nhập bất hợp pháp vào các hệ thống thông tin;
h) Truy xuất bất hợp pháp vào quá trình truyền đưa dữ liệu, thông tin
i)Sử dụng người không có văn bằng, chứng chỉ về công nghệ thông tin do cơ quannhà nước có thẩm quyền cấp để quản lý hệ thống trang thiết bịcông nghệ thông tin
2.Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a)Phát tán chương trình virus máy tính hoặc phần mềm gây hại hoặc đoạn mã gây hại
để thực hiện một trong những hành vi quy định tại Điều 71 của Luật Công nghệ thôngtin;
b)Xâm nhập, sửa đổi, xóa bỏ trái quy định của pháp luật đối với các nội dungthông tin của tổ chức, cá nhân khác trên môi trường mạng;
c)Tấn công từ chối dịch vụ (DOS, DDOS) hoặc có các hành vi cản trở hoạt độngcung cấp dịch vụ của hệ thống thông tin;
d) Đánh bạc, tổ chức đánh bạc, môi giới mại dâm, lừa đảo, khủng bố trên môi trườngmạng
Điều 71 (Luật Công nghệ thông tin): Chống vi rút máy tính và phần mềm gây hại
-Tổ chức, cá nhân không được tạo Ra, cài đặt, phát tán vi rút máy tính, phần mềm
gây hại vào thiết bị số của người khác để thực hiện một trong những hành vi sau đây:
-Thay đổi các tham số cài đặt của thiết bị số;
-Thu thập thông tin của người khác;
-Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an toàn, an ninh thông tin
được cài đặt trên thiết bị số;
Trang 16-Ngăn chặn khả năng của người sử dụng xóa bỏ hoặc hạn chế sử dụng những
phần mềm không cần thiết;
-Chiếm đoạt quyền điều khiển thiết bị số;
-Thay đổi, xóa bỏ thông tin lưu trữ trên thiết bị số;
-Các hành vi khác xâm hại quyền, lợi ích hợp pháp của người sử dụng
Điều 13 Cơ quan, tổ chức, cá nhân vi phạm quy định về an toàn, an ninh thông tin trong hoạt
động quản lý, cung cấp, sử dụng dịch vụ Internet, tuỳ theo tính chất, mức độ vi phạm sẽ bị xửphạt theo quy định tại Điều 41 và Điều 45 của Nghị định số 55 Cụ thể như sau:
1.Phạt tiền từ 200.000 đồng đến 1.000.000 đồng đối với một trong các hành vi vi
đ) Đánh cắp mật khẩu, khoá mật mã, thông tin riêng của tổ chức, cá nhân và phổ
Trang 17biến cho người khác sử dụng;
e)Vi phạm các quy định về vận hành, khai thác và sử dụng máy tính gây rốiloạn hoạt động, phong toả hoặc làm biến dạng, làm huỷ hoại các dữ liệu trênInternet mà chưa đến mức truy cứu trách nhiệm hình sự
3 Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với hành vi tạo ra và cố ý lantruyền, phát tán các chương trình vi rút trên Internet mà chưa đến mức truy cứu tráchnhiệm hình sự
4 Ngoài các hình thức xử phạt hành chính, tuỳ theo tính chất, mức độ vi phạm mà tổchức, cá nhân còn có thể bị áp dụng hình thức xử phạt bổ sung hoặc biện pháp khắcphục hậu quả sau đây:
f) Tạm đình chỉ hoặc đình chỉ việc cung cấp và sử dụng dịch vụ Internet đối vớicác hành vi vi phạm các điểm tại khoản 1, các điểm tại khoản 2, các điểm tạikhoản 3, khoản 4 Điều 13 của Qui định này
g)Buộc khôi phục lại tình trạng ban đầu đã bị thay đổi do vi phạm hành chính gây
ra đối với hành vi vi phạm qui định tại điểm e khoản 3, khoản 4 Điều 13 của Quiđịnh này
5 Hành vi lợi dụng Internet để chống lại Nhà nước Cộng hoà Xã hội Chủ nghĩa ViệtNam và gây rối an ninh, trật tự; các hành vi vi phạm nghiêmtrọng khác có dấu hiệutội phạm sẽ bị truy cứu trách nhiệm hình sự theo qui định của pháp luật
Điều 63 Vi phạm các quy định về an toàn, an ninh
1.Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi sau:
a)Ngăn cản trái phép việc sử dụng chứng thư số;
b)Lưu trữ trái phép khoá bí mật của người khác;
c)Lưu trữ thông tin liên quan đến tổ chức, cá nhân xin cấp chứng thư sốkhông đảm bảo bí mật, an toàn;
d) Sử dụng thông tin liên quan đến tổ chức, cá nhân xin cấp chứng thư sốkhông đúng quy định của pháp luật;
