Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN I May 4, 2009 AN TOÀN THÔNG TIN LÀ GÌ? An toàn thông tin mắt xích liên kết hai yếu tố: yếu tố công nghệ yếu tố người Yếu tố công nghệ: bao gồm sản phẩm Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm Yếu tố người: Là người sử dụng máy tính, người làm việc với thông tin sử dụng máy tính công việc Hai yếu tố liên kết lại thông qua sách An toàn thông tin Theo ISO 17799, An Toàn Thông Tin khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích công dân, tổ chức quốc gia Thông VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 qua sách ATTT, lãnh đạo thể ý chí lực việc quản lý hệ thống thông tin ATTT xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức sở hữu tài nguyên thông tin đối tác, khách hàng môi trường thông tin toàn cầu Như vậy, với vị trí quan trọng mình, khẳng định vấn đề ATTT phải sách người mắt xích quan trọng An toàn nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Hệ thống có đặc điểm sau không an toàn: Các thông tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thông tin bị rò rỉ) Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Thông tin có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thông tin có giá trị thực chức hệ VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 thống đảm bảo hoạt động đắn Mục tiêu an toàn bảo mật công nghệ thông tin đưa số tiêu chuẩn an toàn Ứng dụng tiêu chuẩn an toàn vào đâu để loại trừ giảm bớt nguy hiểm Do kỹ thuật truyền nhận xử lý thông tin ngày phát triển đáp ứng cácyêu cầu ngày cao nên hệ thống đạt tới độ an toàn Quản lý an toàn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá độ an toàn thông tin cần phải dựa phân tích rủi ro, tăng an toàn cách giảm tối thiểu rủi ro Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống trình kiểm tra chất lượng Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thông tin đến từ nhiều nơi theo nhiều cách nên đưa sách phương pháp đề phòng cần thiết Mục đích cuối an toàn bảo mật bảo vệ thông tin tài nguyên theo yêu cầu sau: • Tính tin cậy(Confidentiality): Thông tin bị truy nhập trái phép người thẩm quyền • Tính nguyên vẹn(Integrity): Thông tin bị sửa đổi, bị làm giả VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 người thẩm quyền • Tính sẵn sàng(Availability): Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền • Tính từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Viện tiêu chuẩn Anh công bố danh sách gồm 10 điều kiện cần để kiểm tra việc triển khai biện pháp an ninh hệ thống sau: Tài liệu sách an ninh thông tin Việc phân bổ trách nhiệm an ninh hệ thống Các chương trình giáo dục huấn luyện an ninh thông tin Các báo cáo biến cố liên quan đến an ninh thông tin Các biện pháp kiểm soát Virus Tiến trình liên tục lập kế hoạch kinh doanh Các hình thức kiểm soát việc chép thông tin thuộc sở hữu tổ chức VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 Việc bảo vệ hồ sơ tổ chức Việc tuân thủ pháp luật bảo vệ liệu 10 Việc tuân thủ sách an ninh hệ thống tổ chức II THỰC TRẠNG VẤN ĐỀ AN TOÀN THÔNG TIN HIỆN NAY Theo đánh giá thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học Nghiệp vụ Tổng cục Kỹ thuật Bộ Công an, tình hình an ninh mạng năm 2008 đà bất ổn tiếp tục coi năm “báo động đỏ” an ninh mạng Việt Nam giới Nhiều lỗ hổng an ninh nghiêm trọng phát hiện, hình thức công thay đổi có nhiều công thành công thời gian gần Tính tới thời điểm này, có nhiều lỗ hổng an ninh phát lỗ hổng DNS bị coi siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng liệu qua lại toàn mạng World Wire Web, lỗ hổng trình duyệt web Google Chrome… Hình thức công có thay đổi Hacker thay đổi từ VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 hình thức công hệ thống thông qua dịch vụ thư điện tử sang công hệ thống dựa vào dịch vụ web Hacker mở chiến dịch “tổng công” nhằm vào mạng Internet với số lượng triệu website Trong có website tiếng giới USA Today.com, Walman.com… Số lượng tầm quan trọng website bị công tăng lên ngày Virus phần mềm độc hại tiếp tục tăng trưởng Theo thống kê hãng Symantec, tổng số virus, sâu, trojan máy tính lan truyền Internet thời điểm đạt ngưỡng triệu Trong tháng đầu năm 2008, hãng Symantec phát 499.811 mã độc nguy hiểm, tăng 136% so với tháng đầu năm ngoái, đưa tổng số mẫu virus có sản phẩm hãng lên tới 1.122.311 mẫu Giới tin tặc có xu hướng dùng trojan “chìa khoá” để truy cập máy tính người dùng, sau download tải nhiều chương trình độc hại Theo thống kê APACS, tháng đầu năm 2008, toàn giới có tới 20.000 vụ lừa đảo trực tuyến xảy gây thiệt hại tới 37 triệu USD, năm 2007 có khoảng 7.000 vụ Hacker công hàng ngàn trang web game online, không “tha” website bán vé Euro 2008, 18 máy chủ VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 ngân hàng giới WorldBank bị công Đặc biệt, nhiều liệu cá nhân bị công, đánh cắp Theo thống kê Trung tâm tài nguyên cắp danh tính ITRC, tính từ đầu năm tới nay, riêng Mỹ có tới 512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng Và Việt Nam quốc gia không tránh khỏi hệ luỵ Chỉ năm 2008, có 52 website Việt Nam bị hacker nước công có tới 109 website Việt bị hacker nước “dòm” tới Trung tâm an ninh mạng BKIS cảnh báo 30 website Việt có lỗ hổng nghiêm trọng 27.046.000 lượt máy tính Việt bị nhiễm 6269 loại virus khác có virus có “xuất xứ” Việt Nam Nhiều website Việt bị công có website có uy tín Ngày 25/7/2008, website ngân hàng Techcombank bị hacker xâm nhập để lại lời cảnh báo lỗi bảo mật Ngày 27/7/2008, số tên miền quan trọng PAVietnam, nhà cung cấp dịch vụ hosting lớn Việt Nam bị hacker chiếm quyền điều khiển khiến khoảng 8.000 website mà khách hàng sử dụng máy chủ tên miền PAVietnam bị tê liệt Thậm chí gần đây, ngày 5/10/2008, website Trung tâm an ninh mạng BKIS VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 bị công từ chối dịch vụ Năm 2008, hình thức lừa đảo trực tuyến phổ biến giới xuất Việt Nam lừa đảo qua diễn đàn mạng, lừa đảo qua email mà phổ biến lừa đảo trúng xổ số, lừa đảo qua tin nhắn mạng di động từ tổng đài tự động, ăn cắp làm giả thẻ tín dụng… Ngay tình trạng phát tán blog đen, video clip xấu mạng xảy tràn lan Mặc dù nhiều vụ việc giật gân số blog cá nhân tồn nhiều viết, video clip có nội dung không lành mạnh Đã có tình trạng diễn “chợ tình” mạng Internet, kiểu tiếp thị mại dâm mới… Thiếu tướng Nguyễn Viết Thế cho rằng, nguyên nhân bất ổn báo động đỏ năm 2008 Việt Nam quan, doanh nghiệp, tổ chức cá nhân chưa thực quan tâm đến vấn đề an ninh mạng Các quan, doanh nghiệp, tổ chức chủ quan nên chưa có quan tâm, đầu tư kinh phí mức cho vấn đề Các điểm yếu an ninh website Việt Nam chưa cập nhật VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 thường xuyên, chưa kiểm soát lỗi lập trình Ngoài ra, sách, văn Việt Nam tội phạm mạng yếu thiếu Chưa có tiêu chuẩn sách an ninh mạng, an toàn thông tin để đưa giải pháp tổng thể bảo đảm an ninh, an toàn thông tin Trong đó, năm 2009 lại chuyên gia an ninh mạng dự báo tiếp tục năm xuất nhiều biến thể virus mới, tội phạm mạng chuyên nghiệp hơn, tinh vi hơn, mạng xã hội trở thành đích ngắm hacker, vụ việc đánh cắp thông tin liệu người dùng phức tạp hơn… Con người – khâu yếu toàn trình đảm bảo an toàn thông tin Hầu phần lớn phương thức công hacker sử dụng khai thác điểm yếu hệ thống thông tin đa phần điểm yếu tiếc lại người tạo Việc nhận thức không tuân thủ sách ATTT nguyên nhân gây tình trạng Đơn cử vấn đề sử dụng mật quy định rõ sách ATTT song việc tuân thủ quy định lại không thực chặt chẽ Việc đặt mật chất lượng, không thay đổi mật định kỳ, quản lý mật lỏng lẻo khâu yếu mà hacker lợi dụng để xâm nhập công VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 Ra mắt Hiệp hội An toàn thông tin VN phía Nam Hiệp hội An toàn thông tin Việt Nam (VNISA) vừa thành lập tổ chức lễ mắt chi hội an toàn thông tin phía Nam Sự kiện đánh dấu bước phát triển lĩnh vực an toàn thông tin, TP.HCM nơi mà lĩnh vực công nghệ thông tin phát triển động Ông Võ Đỗ Thắng, ủy viên ban điều hành chi hội, cho biết: “Chi hội an toàn thông tin phía Nam đời nhằm tạo điều kiện giúp hội viên, tổ chức, doanh nghiệp phía nam nâng cao kiến thức lĩnh vực an toàn thông tin Đồng thời nơi chia sẻ kinh nghiệm thành tựu khoa học hướng dẫn việc ứng dụng phát triển kỹ thuật, công nghệ an toàn thông tin” III CÁC DẠNG TỘI PHẠM, HÀNH VI XÂM PHẠM AN TOÀN THÔNG TIN HIỆN NAY Những thủ đoạn phạm tội công nghệ cao liệt kê như: lừa đảo mạng, trộm cắp địa thư điện tử, thông tin thẻ tín dụng thông tin cá VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 Tuy nhiên, hành vi bị theo dõi C15 Bộ Công an Đến tận lúc bị bắt, Duy bất ngờ ngạc nhiên Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN VI May 4, 2009 CHÍNH SÁCH AN TOÀN THÔNG TIN – HÀNH LANG PHÁP LÝ Chính sách an toàn thông tin (Information security policy) Mục tiêu: Đưa hỗ trợ định hướng cho vấn đề an toàn thông tin Vấn đề quản lý sách định hướng rõ ràng chứng tỏ khả hỗ trợ, cam kết an toàn thông tin thông qua việc đưa trì sách an toàn thông tin tổ chức Tài liệu sách an toàn thông tin cần phê chuẩn nhà quản lý cung cấp phổ biến cho nhân viên, thêm vào cách tiếp cận tổ chức vấn đề an toàn thông tin.Tối thiểu bao gồm: a) định nghĩa an toàn thông tin, mục tiêu tầm quan trọng an toàn thiết lập chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu); b) đưa mục tiêu quản lý, hỗ trợ mục đích nguyên lý an toàn thông tin c) tóm tắt sách an toàn thông tin, chuẩn yêu cầu có tính chất quan trọng cho tổ chức, ví dụ như: 1)đúng theo luật pháp yêu cầu hợp đồng 2) yêu cầu kiến thức an toàn 3) ngăn chặn nhận dạng virus phần mềm hiểm độc khác; 4) quản lý tính liên tục kinh doanh; 5) hậu vi phạm sách an toàn thông tin d) định nghĩa chung trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm báo cáo vấn đề an toàn nói chung e) tham chiếu tài liệu hỗ trợ sách, sách Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 an toàn thông tin thủ tục cho hệ thống thông tin cụ thể quy tắc an toàn cho người dùng Các sách cần phổ biến cho tổ chức người dùng có liên quan Xây Dựng Chính Sách Bảo Mật Hệ Thống Xác định đối tượng cần bảo vệ: Xác định nguy hệ thống a Các điểm truy nhập: b Không kiểm soát cấu hình hệ thống c Những bug phần mềm sử dụng d Những nguy nội mạng 3.Xác định phương án thực thi sách bảo mật a Tính đắn b Tính thân thiện c Tính hiệu Triển khai sách bảo mật cách đào tạo người sử dụng xây dựng thiết bị Thiết lập thủ tục bảo vệ hệ thống a Thủ tục quản lý tài khoản người sử dụng b Thủ tục quản lý mật c Thủ tục quản lý cấu hình hệ thống d Thủ tục lưu khôi phục liệu Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 e Thủ tục báo cáo cố VII GIẢI PHÁP TRONG CHÍNH SÁCH AN TOÀN THÔNG TIN Con người a, Chiến lược • Năng lực an toàn thông tin vấn đề cốt lõi cần xây dựng đơn vị Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 • Dựa vào bên thứ cho tất phần • Cần thời gian ngắn để bên thứ giúp cải thiện chương trình sau chuyển giao công nghệ cho cán • Có cần lãnh đạo có lực cho đơn vị • Có đào tạo đầy đủ cho cán họ có đạt chứng nhận ngành • Có tiếp tục chương trình đào tạo để đảm bảo cán có chứng nhận ngành • Đơn vị theo mô hình tập trung hay phân tán • Bạn có muốn cách ly trách nhiệm đơn vị • Vai trò trách nhiệm cán an toàn thông tin • Phối hợp tối ưu cán đơn vị an toàn thông tin b, Hợp phần • Quản lý an toàn • Cán kỹ thuật • Kiểm soát • Quản lý an toàn • Lãnh đạo an toàn thông tin hiểu biết rộng: + An toàn thông tin + Hoạt động đơn vị • Nhà quản lý an toàn thông tin cần: Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN + Chứng kỹ attt (CISSP) + Chứng quản lý attt (CISM) • Cán kỹ thuật cần có: + Kỹ thích hợp theo lĩnh vực + SysAdmin + Audit Trang May 4, 2009 Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 + Network Security • Kiểm soát Đảm bảo cho chương trình hoạt động phù hợp với sách đề ra: + Có vai trò quan trọng + Phải hiểu chương trình attt + Có kinh nghiệm + Có chứng kiểm soát hệ thống thông tin (CISA) c, Quản lý Trang Vai trò chương trình attt Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN CEO May 4, 2009 - Thiết lập trương trình attt chung - Kiểm soát trình chung Lãnh đạo attt Duy trì cấu trúc chiến lược attt Giám đốc thông tin (CIO) Thuê quản lý nhóm attt Giám đốc an toàn (CSO) Xây dựng lộ trình attt báo cáo quy trình theo mục tiêu c Giám đốc attt (CISO) Chiến lược hóa thực thành công nguồn lực Director of Information Security Đảm bảo nhận thức chung attt đơn vị Hành lang pháp lý Luật Công nghệ thông tin Pháp lệnh Bưu chính, Viễn thông Nghị định 55/2001/NĐ-CP Nghị định 160/2004/NĐ-CP Nghị định số 64/2007/NĐ-CP Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN a) Tổ chức Quy trình Lên kế hoạch - Chính sách - Tiêu chuẩn - Biện pháp b) Hợp phần - Quản trị tài khoản : + Hệ thống quản lý thông tin nguồn nhân lực (HRIS) + Cán biên chế, biên chế Trang May 4, 2009 Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN + Độ dài từ khóa tối thiểu ký tự + 90 ngày lại thay đổi từ khóa + Nhận thức attt - Phản ứng khẩn cấp Trang May 4, 2009 Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN + Lập kế hoạch + Dễ hiểu, đơn giản (thao tác trường hợp khẩn cấp) + Khớp nối, phối hợp + Bộ phận chịu trách nhiệm (không nêu tên cá nhân) + Liên lạc + Ủy quyền - Quản lý thương + Tần suất quét: lần/1 quý + Thời gian quét: theo quy định + Báo cáo kết + Xúc tiến hàn - Truy nhập từ xa + Ủy quyền: truy nhập + Tin tức: loại tin phép + Phương pháp truy nhập: + Máy tính gia đình 7.4.3 Quản trị + Đánh giá tuân thủ + Lập nhóm mẫu Trang May 4, 2009 Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN + Lập ban ATTT + Phù hợp thông lệ quốc tế Công nghệ - Management & Reporting - Content Filtering - Intrusion Detection Trang May 4, 2009 Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 - Vulnerability Management - Anti-Virus - Firewall & VPN - AAA Quản lý : - Quét điều trị - Rà soát độc lập chương trình ATTT - Cập nhật chương trình chống vi rút - Chương trình kiểm soát: kiểm soát cố/tháng Hợp tác - Cải thiện lực tìm phòng ngừa công: quan tình báo, quốc phòng hành pháp phải cải thiện khả tìm nhanh nguồn công hoạt động có nguy phép đối phó kịp thời hiệu - Cải tiến việc phối hợp quan quốc gia để đối phó với công mạng - Giành quyền đối phó thích hợp: quốc gia, nhóm khủng hay ý đồ khác công vào quốc gia qua mạng, quốc gia bị công bị giới hạn thủ thục tố tụng, mà giành quyền đối phó trước kịp thời thích hợp - Hợp tác với tổ chức quốc tế với tổ chức thuộc chuyên môn để tạo thuận lợi thúc đẩy “văn hóa an toàn mạng” toàn cầu: quốc gia Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 cần phải quan tâm tới an toàn mạng phạm vi biên giới - Tăng cường nỗ lực công tác phản tình báo Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN May 4, 2009 - Mối nước cần nỗ lực phối hợp giải vấn đề kỹ thuật, khoa học sách liên quan đảm bảo hoàn chỉnh mạng thông tin - Mỗi nước nên thiết lập hệ thống cảnh báo quốc gia quốc tế để phát ngăn chặn công mạng Thưởng phạt - Thực công tác tra, kiểm tra - Tuyên dương, khen thưởng - Xử phạt Những thành viên tham gia tích cực: Nguyễn Hải Quang Minh Bùi Thị Mỹ Như Tôn Thị Kim Loan Trần Hồng Nghi Nguyễn Ngọc Hà Nghiêm Xuân Hiệp Nguyễn Cao Minh Trang