Chương 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN Phần đầu chương trình bày những vấn đề cơ bản về an toàn và bảo mật thông tin trong hệ thống thông tin, bao gồm những khái niệm cơ bản về an toàn và bảo mật thông tin; vai trò, mục tiêu và yêu cầu của an toàn và bảo mật thông tin trong hoạt động của các tổ chức, doanh nghiệp; các mô hình đảm bảo an toàn và bảo mật thông tin. Trong phần tiếp theo của chương một, trình bày những nội dung chính trong tiếp cận nghiên cứu an toàn và bảo mật thông tin theo góc độ quản trị rủi ro. Trên cơ sở tổng quan về rủi ro, về quản trị rủi ro, phần này trình bày những nội dung cơ bản của hoạt động quản trị rủi ro trong hệ thống thông tin. Những nội dung đó là: nhận dạng hay xác định rủi ro thường gặp trong hệ thống thông tin; phân tích, đánh giá, đo lường mức độ ảnh hưởng; xây dựng chiến lược kiểm soát các rủi ro để hạn chế tác động của chúng.
Phần cuối của chương một giới thiệu về hành lang pháp lý (các luật, quy định và thông tư) về an toàn và bảo mật thông tin ở Việt Nam và một số quy định trên thế giới về an ninh thông tin toàn cầu. GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN Trong mục này, giáo trình đề cập đến khái niệm về an toàn và bảo mật thông tin, giới thiệu vài nét về lịch sử phát triển của các hệ thống đảm bảo an toàn thông tin. Khái niệm an toàn và bảo mật thông tin An toàn và an ninh: Theo từ điển tiếng Việt “An toàn là sự đảm bảo yên ổn hoàn toàn, không gặp trắc trở, không bị nguy hiểm về tính mạng, 19 sức khỏe và vật chất”. Theo quan điểm của các nhà kinh tế chính trị học thì “An toàn là sự ổn định, là sự phát triển bền vững, an toàn là tránh được các thiệt hại về vật chất và con người”.
Theo quan điểm của nhà tâm lý học “An toàn là sự thoải mái về tâm lý, sự yên tâm về thể xác, tâm hồn và tài sản”. Như vậy, an toàn là biện pháp hạn chế tối đa và phòng ngừa những tình huống xấu xảy ra. Nói một cách khác, an toàn có nghĩa là được bảo vệ, không bị xâm phạm bởi người không được phép. Bao trùm lên khái niệm an toàn là khái niệm an ninh.
Khái niệm an ninh rộng lớn hơn, có mức độ đặc biệt quan trọng và trên một diện rộng hơn chẳng hạn như an ninh quốc gia, an ninh kinh tế, an ninh quốc phòng. còn khái niệm an toàn có mức độ hẹp hơn nằm ở bên trong của khái niệm an ninh. Phải đảm bảo an ninh trước thì mới có đảm bảo an toàn. Tuy nhiên, cả hai khái niệm này đều có điểm giống nhau và chung một mục đích là bảo vệ cho con người và tài sản của con người.
An toàn thông tin (Information Security) có thể hiểu là có đầy đủ các điều kiện và các biện pháp cần thiết để đảm bảo cho thông tin tránh khỏi những nguy cơ bị truy cập trái phép, bị sử dụng, làm rò rỉ, làm hỏng, bị chỉnh sửa, bị sao chép, bị xóa bỏ bởi những người không được phép. Các nguy cơ này có thể là ngẫu nhiên (do tai nạn, thiên tai,.) hoặc có chủ định (bị phá hoại từ bên ngoài, hoặc chủ định của con người,. Theo Bách khoa toàn thư mở thì “An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép”. Liên quan đến khái niệm an toàn thông tin có các khái niệm an toàn thông tin mạng (cyber security), an toàn máy tính (computer security), đảm bảo thông tin (information assurance).
Trong nhiều trường hợp, các khái niệm này và khái niệm an toàn thông tin (information security) có thể được sử dụng với nghĩa giống nhau. Về cơ bản, an toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệu mà không quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn 20 của hệ thống máy tính mà không quan tâm đến thông tin được lưu trữ và xử lý như thế nào, chỉ đảm bảo thông tin tập trung và sẵn sàng cho người dùng trong hệ thống. An toàn thông tin mạng là khái niệm mới xuất hiện những năm gần đây khi hệ thống mạng toàn cầu Internet phát triển bùng nổ, các dịch vụ mạng được tích hợp cùng với các quy trình hoạt động của các tổ chức doanh nghiệp dẫn đến các cuộc tấn công mạng ngày càng lan rộng và đa dạng.
An toàn thông tin mạng nhằm đảm bảo cho các hoạt động của người dùng cá nhân, các tổ chức đơn vị trong mạng toàn cầu được an toàn. Một hệ thống thông tin của tổ chức được coi là an toàn khi nó được bảo vệ nhiều lớp với nhiều mức khác nhau bao gồm: bảo vệ mức vật lý, bảo vệ mức người dùng, bảo vệ các tác vụ, bảo vệ hệ thống truyền thông, bảo vệ hệ thống mạng và bảo vệ sự an toàn của thông tin được lưu trữ, sử dụng và phân phối trong tổ chức. Bảo mật thông tin có thể được hiểu là duy trì tính bí mật, tính toàn vẹn, toàn diện và tính sẵn sàng cho toàn bộ thông tin. Theo Bách khoa toàn thư mở bảo mật thông tin là sự hạn chế khả năng lạm dụng tài nguyên thông tin và tài sản liên quan đến thông tin như các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống.
An toàn của một hệ thống thông tin thực chất là sự đảm bảo an ninh ở mức độ chấp nhận được. Muốn hệ thống thông tin an toàn thì trước hết phải có sự đảm bảo thông tin trên cơ sở mạng truyền dữ liệu thông suốt. Sau chữ an toàn thường có chữ bảo mật để mở rộng khía cạnh đảm bảo bí mật về nội dung thông tin. Như vậy, an toàn bảo mật hệ thống thông tin là đảm bảo hoạt động lưu thông và nội dung bí mật cho những thành phần của hệ thống ở mức độ chấp nhận được.
Các yếu tố không thể tách rời trong an toàn và bảo mật thông tin là: (1) Tính bí mật: Đảm bảo thông tin đó là duy nhất, chỉ những người được cho phép mới được tiếp cận đến; (2) Tính toàn vẹn: Đảm bảo sự hoàn chỉnh, toàn diện của thông tin; 21 (3) Tính chính xác: Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung; (4) Tính sẵn sàng: Thông tin luôn phải sẵn sàng, có thể được cung cấp ở bất cứ đâu, bất cứ khi nào khi có yêu cầu. Việc bảo vệ thông tin trong hệ thống thông tin của tổ chức có thể được thực hiện bằng các thiết bị phần cứng (các hệ thống backup dữ liệu,.) hay các chương trình phần mềm (trình diệt virus, các chương trình mã hóa,. Trong môi trường mạng toàn cầu như hiện nay, việc đảm bảo an toàn thông tin gặp khó khăn hơn rất nhiều. Trước đây, dữ liệu chỉ được lưu trữ trong một máy tính cá nhân độc lập, việc bảo mật thông tin được thực hiện dễ dàng bằng cách sử dụng các biện pháp phần cứng (niêm phong các ổ mềm, ổ CD) hay các trình bảo vệ dữ liệu cục bộ đơn giản.
Nhưng giờ đây, dữ liệu không đơn thuần nằm trong một máy tính riêng biệt nữa mà được chia sẻ trên mạng cho nhiều người sử dụng cùng lúc, điều này giúp việc trao đổi thông tin ngày càng thuận lợi hơn nhưng cũng gia tăng các nguy cơ bị tấn công cho các hệ thống thông tin của các tổ chức, doanh nghiệp. Các kẻ tấn công không cần phải trực tiếp tác động lên máy tính của nạn nhân, thậm chí cũng không cần biết chiếc máy tính đó như thế nào mà vẫn có thể xâm nhập vào nó, thay đổi, sao chép, xóa bỏ thông tin của nạn nhân. Vì vậy, người đảm bảo an toàn thông tin cho các hệ thống thông tin phải luôn luôn cập nhật các kiến thức bảo mật mới có thể thích nghi được với tình trạng tấn công dữ liệu ngày càng gia tăng như hiện nay. Như vậy, có thể hiểu: Thông tin trong một hệ thống thông tin là an toàn khi các khiếm khuyết không thể làm cho hoạt động chủ yếu của hệ thống thông tin bị ngừng hẳn và các sự cố xảy ra sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Thông tin trong một hệ thống thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định. Trong hệ thống thông tin, hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật và ngược 22 lại hệ thống không bảo mật thì mất an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI (mô hình tham chiếu các hệ thống mở) thì sự an toàn của hệ thống thông tin được thực hiện chủ yếu ở các tầng dưới, còn việc bảo mật nội dung thông tin được thực hiện ở các tầng trên. Lịch sử phát triển của an toàn và bảo mật thông tin Lịch sử về an toàn thông tin gắn liền với an toàn máy tính.
Trong chiến tranh thế giới, các hệ thống máy tính cần đảm bảo an toàn về tính bí mật của vị trí cất giữ, an toàn cho phần cứng, phần mềm tránh khỏi các mối đe dọa từ chiến tranh nên đã có nhiều biện pháp được thực hiện nhằm đảm bảo cho các máy tính vẫn có thể hoạt động tốt trong chiến tranh như cất vào tủ sắt, có cơ chế tài khoản kèm mật khẩu khi truy cập dữ liệu,. Những năm 1960 của thế kỷ trước, trong suốt thời kỳ chiến tranh lạnh giữa Mỹ và Liên Xô, các hệ thống bảo mật và phòng tránh bắt đầu ra đời, như hệ thống ARPA (Advanced Research Project Agency - Cơ quan hoạch định nghiên cứu tiên tiến) bắt đầu được thực thi, sau đó đến hệ thống ARPANET (Advanced Research Projects Agency Network) rồi đến các hệ thống ARPANET- Program Plan. Những năm từ 1970 đến 1980, hệ thống ARPANET trở nên phổ biến và được sử dụng rộng rãi. Tháng 12 năm 1973 Robert.