Luận văn: Nghiên cứu Hệ thống Quản lý ATTT theo ISO 27001 - ĐH Quốc Gia HN

Luận văn thạc sĩ: Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001. Tìm hiểu về bảo mật và quản lý rủi ro thông tin hiệu quả.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2010

99
1
0

Phí lưu trữ

35 Point

Mục lục chi tiết

MỤC LỤC

DANH MỤC CÁC BẢNG

DANH MỤC CÁC HÌNH VẼ

1. CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1. KHÁI NIỆM VỀ AN TOÀN THÔNG TIN

1.2. CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN

1.2.1. Những nguy cơ hiện hữu:

1.2.2. Nguy cơ tương lai

1.3. NHU CẦU HỆ THỐNG QUẢN LÝ ATTT

2. CHƯƠNG 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001

2.1. Phạm vi áp dụng

2.2. Cách tiếp cận theo quy trình

2.3. MỘT SỐ KHÁI NIỆM

2.3.1. Tính sẵn sàng

2.3.2. An toàn thông tin

2.3.3. Sự kiện an toàn thông tin

2.3.4. Sự cố an toàn thông tin

2.3.5. Hệ thống quản lý an toàn thông tin

2.3.6. Tính toàn vẹn

2.3.7. Rủi ro tồn đọng

2.3.8. Sự chấp nhận rủi ro

2.3.9. Phân tích rủi ro

2.3.10. Đánh giá rủi ro

2.3.11. Quản lý rủi ro

2.3.12. Xử lý rủi ro

2.4. THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT

2.4.1. Thiết lập hệ thống quản lý ATTT

2.4.2. Triển khai và điều hành hệ thống quản lý ATTT

2.4.3. Giám sát và xem xét hệ thống quản lý ATTT

2.4.4. Duy trì và nâng cấp hệ thống quản lý ATTT

2.4.5. Các yêu cầu về hệ thống tài liệu

2.4.6. Biện pháp quản lý tài liệu

2.4.7. Biện pháp quản lý hồ sơ

2.5. TRÁCH NHIỆM CỦA BAN QUẢN LÝ

2.5.1. Cam kết của ban quản lý

2.5.2. Quản lý nguồn lực

2.5.3. Cấp phát nguồn lực

2.5.4. Đào tạo, nhận thức và năng lực

2.6. KIỂM TRA NỘI BỘ HỆ THỐNG ATTT

2.7. BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT

2.7.1. Đầu vào của việc xem xét

2.7.2. Đầu ra của việc xem xét

2.8. NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT

2.8.1. Nâng cấp thường xuyên

2.8.2. Hành động khắc phục

2.8.3. Hành động phòng ngừa

Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý

Phụ lục B: Nguyên tắc của OECD và hệ hống ATTT

3. CHƯƠNG 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH

3.1. XÂY DỰNG CHƢƠNG TRÌNH

3.1.1. Xác định các tài sản và người chịu trách nhiệm quản lý

3.1.2. Đánh giá mức độ quan trọng của tài sản

3.1.3. Đánh giá mức độ của các mối đe dọa

3.1.4. Đánh giá mức độ của các lổ hổng

3.1.5. Tính mức độ rủi ro và báo cáo đánh giá rủi ro

3.1.6. Phòng ngừa rủi ro. Mức độ rủi ro có thể chấp nhận đuợc

3.2. CÁC GIAO DIỆN CHÍNH

TÀI LIỆU THAM KHẢO

Tóm tắt

I. ISO 27001 Tổng Quan Tại Sao Quản Lý ATTT Lại Quan Trọng

Trong kỷ nguyên số, thông tin trở thành tài sản vô giá của mọi tổ chức. Việc bảo mật thông tin không chỉ là vấn đề kỹ thuật, mà còn là yếu tố sống còn ảnh hưởng đến uy tín, lợi nhuận và khả năng cạnh tranh. Một cuộc tấn công mạng có thể gây thiệt hại nghiêm trọng về tài chính, làm gián đoạn hoạt động kinh doanh, và thậm chí dẫn đến phá sản. Đó là lý do tại sao hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO 27001 trở nên vô cùng quan trọng. ISO 27001 không chỉ là một bộ quy tắc, mà là một khuôn khổ toàn diện giúp các tổ chức thiết lập, triển khai, duy trì và liên tục cải tiến an ninh thông tin. Tiêu chuẩn này cung cấp một cách tiếp cận có hệ thống để xác định, đánh giá và xử lý rủi ro an ninh thông tin, đảm bảo rằng các tài sản thông tin quan trọng được bảo vệ một cách hiệu quả. Theo tài liệu nghiên cứu, việc áp dụng ISO 27001 giúp doanh nghiệp "chỉ ra đầy đủ nhất những nguy cơ trong hệ thống thông tin của mình bằng phương pháp phân tích rủi ro". Thay vì chỉ tập trung vào các giải pháp kỹ thuật đơn lẻ, ISO 27001 khuyến khích một cái nhìn tổng thể và khoa học hơn về an toàn thông tin, bao gồm cả yếu tố con người, quy trình và công nghệ. Điều này giúp tạo ra một "bức tường người an toàn" (Secure People Wall) trong tổ chức, giảm thiểu các nguy cơ do con người gây ra và xây dựng một môi trường an toàn, minh bạch hơn. Hơn nữa, chứng chỉ ISO 27001 là một minh chứng uy tín về cam kết của tổ chức đối với bảo mật thông tin, giúp tăng cường niềm tin của khách hàng, đối tác và các bên liên quan.

1.1. Khái niệm An Toàn Thông Tin ATTT và tầm quan trọng

An toàn thông tin (ATTT) là việc bảo vệ thông tin và các hệ thống thông tin khỏi các nguy cơ truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy trái phép. ATTT bao gồm ba thuộc tính chính: tính bí mật, tính toàn vẹn và tính sẵn sàng (CIA). Tính bí mật đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập thông tin. Tính toàn vẹn đảm bảo rằng thông tin là chính xác và đầy đủ, không bị thay đổi trái phép. Tính sẵn sàng đảm bảo rằng thông tin luôn sẵn sàng khi cần thiết. Hệ thống quản lý ATTT theo ISO 27001 đóng vai trò then chốt trong việc duy trì sự cân bằng của ba yếu tố này, bảo vệ dữ liệuhệ thống của tổ chức khỏi các mối đe dọa ngày càng phức tạp. Việc coi nhẹ bảo mật thông tin có thể dẫn đến những hậu quả nghiêm trọng, bao gồm thiệt hại tài chính, mất uy tín, vi phạm pháp luật và mất lợi thế cạnh tranh.

1.2. Lợi ích của việc Áp Dụng ISO 27001 trong doanh nghiệp

Việc áp dụng ISO 27001 mang lại nhiều lợi ích cho tổ chức, bao gồm: (1) Giảm thiểu rủi ro an ninh thông tin: ISO 27001 framework giúp tổ chức xác định, đánh giá và xử lý các rủi ro bảo mật, giảm thiểu khả năng xảy ra các sự cố mất ATTT. (2) Nâng cao uy tín và niềm tin: Chứng chỉ ISO 27001 chứng minh cam kết của tổ chức đối với bảo mật thông tin, tăng cường niềm tin của khách hàng, đối tác và các bên liên quan. (3) Tuân thủ pháp luật và quy định: Tuân thủ ISO 27001 giúp tổ chức đáp ứng các yêu cầu pháp lý và quy định liên quan đến bảo mật thông tin, chẳng hạn như GDPR compliance (nếu có liên quan). (4) Cải thiện hiệu quả hoạt động: Triển khai ISO 27001 giúp tổ chức chuẩn hóa các quy trình quản lý ATTT, nâng cao hiệu quả hoạt động và giảm chi phí liên quan đến các sự cố an ninh mạng.

II. Xác định Thách Thức Rủi Ro An Ninh Mạng Tiếp Cận ISO 27001

Các tổ chức ngày nay phải đối mặt với vô số nguy cơ an toàn thông tin, từ virus máy tính và tấn công mạng đến lỗi của con người và thiên tai. Theo một nghiên cứu của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007, "có hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính khoảng 2400 tỷ đồng". Các mối đe dọa này không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng đến uy tín và hoạt động kinh doanh của tổ chức. ISO 27001 giúp các tổ chức xác định và đánh giá các rủi ro này một cách có hệ thống, từ đó xây dựng các biện pháp phòng ngừa và ứng phó phù hợp. Quá trình risk assessment theo ISO 27001 requirements bao gồm việc xác định các tài sản thông tin quan trọng, các mối đe dọa tiềm ẩn và các lỗ hổng bảo mật có thể bị khai thác. Dựa trên kết quả đánh giá, tổ chức sẽ xác định các biện pháp risk treatment phù hợp để giảm thiểu hoặc loại bỏ rủi ro. Điều quan trọng là risk management phải là một quá trình liên tục, được xem xét và cập nhật thường xuyên để đảm bảo tính hiệu quả trong bối cảnh cybersecurity không ngừng thay đổi. ISO 27001 không chỉ giúp các tổ chức đối phó với các nguy cơ hiện tại, mà còn chuẩn bị cho các nguy cơ tương lai.

2.1. Các loại nguy cơ ATTT phổ biến và cách nhận diện

Các nguy cơ an ninh thông tin có thể được phân loại thành nhiều loại khác nhau, bao gồm: (1) Các mối đe dọa từ bên ngoài: Tấn công mạng, virus, phần mềm độc hại, xâm nhập trái phép. (2) Các mối đe dọa từ bên trong: Lỗi của nhân viên, hành vi cố ý phá hoại, rò rỉ thông tin. (3) Các nguy cơ vật lý: Thiên tai, hỏa hoạn, trộm cắp. (4) Các nguy cơ kỹ thuật: Lỗ hổng phần mềm, cấu hình sai, lỗi hệ thống. Để nhận diện các nguy cơ này, tổ chức cần thực hiện các hoạt động đánh giá bảo mật thường xuyên, bao gồm kiểm tra xâm nhập, audit ISO 27001, quét lỗ hổng và đánh giá information security policy. Điều quan trọng là phải duy trì nhận thức về các mối đe dọa mới nổi và cập nhật các biện pháp phòng ngừa phù hợp.

2.2. Phương pháp đánh giá rủi ro theo tiêu chuẩn ISO 27001

Phương pháp đánh giá rủi ro theo tiêu chuẩn ISO 27001 bao gồm các bước sau: (1) Xác định tài sản: Xác định tất cả các tài sản thông tin quan trọng của tổ chức, bao gồm dữ liệu, hệ thống, thiết bị và con người. (2) Xác định mối đe dọa: Xác định tất cả các mối đe dọa tiềm ẩn có thể ảnh hưởng đến các tài sản này. (3) Xác định lỗ hổng: Xác định các lỗ hổng bảo mật có thể bị khai thác bởi các mối đe dọa. (4) Đánh giá tác động: Đánh giá mức độ thiệt hại có thể xảy ra nếu một mối đe dọa thành công khai thác một lỗ hổng. (5) Đánh giá khả năng xảy ra: Đánh giá khả năng một mối đe dọa sẽ thành công khai thác một lỗ hổng. (6) Tính toán mức độ rủi ro: Tính toán mức độ rủi ro bằng cách nhân tác động với khả năng xảy ra. (7) Xác định biện pháp xử lý: Xác định các biện pháp risk treatment phù hợp để giảm thiểu hoặc loại bỏ rủi ro.

III. Hướng Dẫn Xây Dựng ISMS Quy Trình và Các Bước Triển Khai ISO 27001

Việc xây dựng hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO 27001 là một quá trình phức tạp đòi hỏi sự cam kết của toàn bộ tổ chức. Quá trình này bao gồm nhiều bước, từ việc xác định scope ISO 27001 và xây dựng information security policy đến việc triển khai ISO 27001 và duy trì continuous improvement. Theo tài liệu nghiên cứu, "Việc chấp nhận một hệ thống quản lý ATTT sẽ là một quyết định chiến lược của tổ chức". Điều này có nghĩa là ban lãnh đạo phải nhận thức rõ tầm quan trọng của an ninh thông tin và sẵn sàng đầu tư nguồn lực cần thiết để xây dựng và duy trì ISMS. ISO 27001 framework cung cấp một khuôn khổ rõ ràng để tổ chức thực hiện các bước này một cách có hệ thống, đảm bảo rằng tất cả các khía cạnh quan trọng của an ninh thông tin đều được xem xét. Việc áp dụng ISO 27001 không chỉ giúp tổ chức bảo vệ thông tin của mình, mà còn tạo ra một nền tảng vững chắc cho sự phát triển bền vững.

3.1. Các bước cơ bản để xây dựng ISMS theo ISO 27001

Các bước cơ bản để xây dựng ISMS theo ISO 27001: (1) Xác định scope ISO 27001: Xác định phạm vi của ISMS, bao gồm các địa điểm, hệ thống và tài sản thông tin cần được bảo vệ. (2) Xây dựng information security policy: Xây dựng chính sách an toàn thông tin để cung cấp định hướng và nguyên tắc cho việc quản lý ATTT. (3) Thực hiện risk assessment: Thực hiện đánh giá rủi ro để xác định các rủi ro an ninh thông tin và các biện pháp risk treatment phù hợp. (4) Triển khai information security controls: Triển khai các biện pháp information security controls để giảm thiểu hoặc loại bỏ rủi ro. (5) Thực hiện đào tạo và nâng cao nhận thức: Thực hiện đào tạo và nâng cao nhận thức cho nhân viên về an toàn thông tin. (6) Giám sát và đánh giá: Giám sát và đánh giá hiệu quả của ISMS để đảm bảo tính liên tục và hiệu quả. (7) Continuous Improvement: Thực hiện cải tiến liên tục để nâng cao hiệu quả của ISMS.

3.2. Tài liệu cần thiết và biện pháp quản lý tài liệu theo ISO 27001

ISO 27001 yêu cầu tổ chức phải duy trì một hệ thống tài liệu đầy đủ để hỗ trợ ISMS. Các tài liệu cần thiết bao gồm: (1) Information Security Policy. (2) Risk Assessment Report. (3) Risk Treatment Plan. (4) Thủ tục incident management. (5) Thủ tục business continuity. (6) Thủ tục disaster recovery. (7) Hồ sơ đào tạo. (8) Hồ sơ kiểm tra. Để đảm bảo tính chính xác và cập nhật của tài liệu, tổ chức cần thực hiện các biện pháp quản lý tài liệu, bao gồm: (1) Phê duyệt tài liệu trước khi ban hành. (2) Xem xét và cập nhật tài liệu thường xuyên. (3) Kiểm soát phiên bản tài liệu. (4) Đảm bảo tài liệu dễ dàng truy cập.

IV. Quản Lý Rủi Ro An Ninh Thông Tin Phương Pháp và Thực Hành Hiệu Quả

Quản lý rủi ro là một thành phần cốt lõi của ISO 27001. Quản lý rủi ro an ninh thông tin là một quá trình liên tục, bao gồm việc xác định, đánh giá và xử lý các rủi ro tiềm ẩn đối với an ninh thông tin. Mục tiêu của quản lý rủi ro là giảm thiểu khả năng xảy ra các sự cố mất ATTT và giảm thiểu tác động của các sự cố này nếu chúng xảy ra. Theo ISO 27001, risk assessmentrisk treatment phải được thực hiện một cách có hệ thống, đảm bảo rằng tất cả các rủi ro quan trọng đều được xem xét. Quá trình risk management phải được tích hợp vào hoạt động kinh doanh của tổ chức và được xem xét và cập nhật thường xuyên để đảm bảo tính hiệu quả. ISO 27001 cung cấp một khuôn khổ rõ ràng để tổ chức thực hiện quản lý rủi ro một cách hiệu quả, giúp bảo vệ thông tin của mình và đảm bảo sự liên tục trong hoạt động kinh doanh.

4.1. Các phương pháp quản lý rủi ro ATTT theo ISO 27001

ISO 27001 không quy định một phương pháp cụ thể để quản lý rủi ro, nhưng khuyến khích tổ chức lựa chọn một phương pháp phù hợp với quy mô, phạm vi và độ phức tạp của hoạt động kinh doanh. Các phương pháp quản lý rủi ro phổ biến bao gồm: (1) Phương pháp định tính: Sử dụng các thang đo định tính (ví dụ: cao, trung bình, thấp) để đánh giá tác động và khả năng xảy ra. (2) Phương pháp định lượng: Sử dụng các giá trị số để đánh giá tác động và khả năng xảy ra. (3) Phương pháp hỗn hợp: Kết hợp cả phương pháp định tính và định lượng. Bất kể phương pháp nào được lựa chọn, quản lý rủi ro phải được thực hiện một cách có hệ thống và có sự tham gia của các bên liên quan.

4.2. Thực hành tốt nhất trong quản lý rủi ro an ninh thông tin

Thực hành tốt nhất trong quản lý rủi ro an ninh thông tin bao gồm: (1) Thiết lập một khuôn khổ quản lý rủi ro rõ ràng. (2) Xác định rõ vai trò và trách nhiệm trong quản lý rủi ro. (3) Thực hiện đánh giá rủi ro thường xuyên. (4) Xây dựng và thực hiện các biện pháp risk treatment hiệu quả. (5) Theo dõi và đánh giá hiệu quả của các biện pháp risk treatment. (6) Liên tục cải tiến quá trình quản lý rủi ro. (7) Nâng cao nhận thức về rủi ro an ninh thông tin cho nhân viên.

V. Kiểm Soát An Ninh và Tuân Thủ Đảm Bảo Hiệu Quả ISMS với ISO 27001

Việc triển khai các information security controls và đảm bảo compliance là rất quan trọng để duy trì hiệu quả của ISMS theo ISO 27001. Information security controls là các biện pháp kỹ thuật, quản lý và vật lý được sử dụng để giảm thiểu hoặc loại bỏ rủi ro an ninh thông tin. Compliance là việc tuân thủ các yêu cầu pháp lý, quy định và hợp đồng liên quan đến an toàn thông tin. ISO 27001 cung cấp một danh sách các information security controls (Phụ lục A) mà tổ chức có thể lựa chọn để triển khai, tùy thuộc vào kết quả risk assessment. Tuy nhiên, danh sách này không phải là đầy đủ và tổ chức có thể cần triển khai các information security controls bổ sung để đáp ứng các nhu cầu cụ thể. Việc đảm bảo tuân thủ ISO 27001 và các yêu cầu liên quan đòi hỏi sự cam kết liên tục và sự tham gia của toàn bộ tổ chức. Đồng thời, nó giúp tổ chức duy trì hoạt động liên tục và uy tín đối với khách hàng và đối tác.

5.1. Danh sách các biện pháp kiểm soát an ninh theo Phụ lục A của ISO 27001

Phụ lục A của ISO 27001 cung cấp một danh sách toàn diện các information security controls được tổ chức thành 14 nhóm: (1) Chính sách an toàn thông tin. (2) Tổ chức an toàn thông tin. (3) Quản lý tài sản. (4) An toàn nguồn nhân lực. (5) An toàn vật lý và môi trường. (6) Quản lý truyền thông và vận hành. (7) Kiểm soát truy cập. (8) Phát triển, mua lại và bảo trì hệ thống thông tin. (9) Quản lý sự cố an ninh thông tin. (10) Quản lý tính liên tục trong kinh doanh. (11) Tuân thủ. Mỗi nhóm chứa một số lượng các information security controls cụ thể mà tổ chức có thể lựa chọn để triển khai, tùy thuộc vào kết quả risk assessment.

5.2. Audit ISO 27001 Mục đích quy trình và chuẩn bị

Audit ISO 27001 là một quá trình đánh giá độc lập để xác minh rằng ISMS của tổ chức tuân thủ các yêu cầu của ISO 27001. Mục đích của audit là cung cấp một đánh giá khách quan về hiệu quả của ISMS và xác định các lĩnh vực cần cải thiện. Quy trình audit thường bao gồm: (1) Lập kế hoạch audit. (2) Thực hiện audit. (3) Báo cáo kết quả audit. (4) Thực hiện các hành động khắc phục. Để chuẩn bị cho audit, tổ chức cần: (1) Đảm bảo rằng ISMS được tài liệu hóa đầy đủ. (2) Thực hiện đánh giá bảo mật nội bộ để xác định các lĩnh vực cần cải thiện. (3) Đảm bảo rằng nhân viên được đào tạo về an toàn thông tin.

VI. Duy trì Cải Tiến Liên Tục ISMS Chu Kỳ PDCA và Các Bước Thực Hiện

Việc duy trì và cải tiến liên tục ISMS là rất quan trọng để đảm bảo rằng ISMS vẫn hiệu quả trong việc bảo vệ thông tin của tổ chức. ISO 27001 khuyến khích việc sử dụng PDCA cycle (Plan-Do-Check-Act) để quản lý ISMS một cách liên tục. PDCA cycle là một phương pháp cải tiến liên tục bao gồm các bước: (1) Lập kế hoạch (Plan): Xác định mục tiêu và quy trình cần thiết để đạt được mục tiêu. (2) Thực hiện (Do): Triển khai các quy trình đã lập kế hoạch. (3) Kiểm tra (Check): Giám sát và đánh giá kết quả. (4) Hành động (Act): Thực hiện các hành động khắc phục và phòng ngừa để cải thiện quy trình. Bằng cách sử dụng PDCA cycle, tổ chức có thể liên tục cải thiện ISMS của mình và đảm bảo rằng nó luôn đáp ứng các nhu cầu thay đổi của tổ chức và môi trường an ninh mạng.

6.1. Áp dụng chu kỳ PDCA Plan Do Check Act trong ISMS

PDCA cycle có thể được áp dụng cho tất cả các khía cạnh của ISMS, từ risk assessment đến information security controls và đào tạo nhân viên. Ví dụ: (1) Lập kế hoạch (Plan): Xác định các rủi ro an ninh thông tin cần được xử lý. (2) Thực hiện (Do): Triển khai các information security controls để giảm thiểu hoặc loại bỏ các rủi ro. (3) Kiểm tra (Check): Theo dõi và đánh giá hiệu quả của các information security controls. (4) Hành động (Act): Thực hiện các hành động khắc phục và phòng ngừa để cải thiện information security controls.

6.2. Các bước để đảm bảo cải tiến liên tục ISMS hiệu quả

Để đảm bảo cải tiến liên tục ISMS hiệu quả, tổ chức cần: (1) Thiết lập các chỉ số hiệu suất chính (KPI) để đo lường hiệu quả của ISMS. (2) Thu thập và phân tích dữ liệu để xác định các lĩnh vực cần cải thiện. (3) Thực hiện các hành động khắc phục và phòng ngừa để giải quyết các vấn đề đã xác định. (4) Đánh giá hiệu quả của các hành động khắc phục và phòng ngừa. (5) Liên tục xem xét và cập nhật ISMS để đáp ứng các nhu cầu thay đổi của tổ chức và môi trường an ninh mạng.

24/09/2025

Trích đoạn nội dung tài liệu

Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1. KHÁI NIỆM VỀ AN TOÀN THÔNG TIN Hình 1.1: CIA – Confidentiality, Intergrity, Availability Theo định nghĩa, an toàn thông tin (Information Security) là nhằm đảm bảo ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability)[1].1) Tính bảo mật: Thông tin không sẵn có hoặc không nên để lộ cho cá nhân, tổ chức, đối tượng chưa được uỷ quyền. Tính toàn vẹn: Thông tin đuợc bảo vệ và đuợc giữ gìn trọn vẹn. Tính sẵn có: Luôn sẵn sàng và sẵn có cho đối tượng đã đuợc uỷ quyền.

Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin thì luôn cần phải duy trì đuợc sự cân bằng của ba yếu tố trên, ngoài ra các thuộc tính khác như tính xác thực, trách nhiệm giải trình, tính thừa nhận và tính tin cậy cũng có thể liên quan. 9 TIEU LUAN MOI download : skknchat@gmail. CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN 1. Những nguy cơ hiện hữu: Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính khoảng 2400 tỷ đồng.

Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó. Đáng chú ý là các virus lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware).1: Thiệt hại do virus gây ra trên thế giới Tên Năm Thiệt hại Sâu Morris 1988 Làm tê liệt 10% máy tính trên mạng Internet Vi rút Melisa 5/1999 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USD Vi rút Explorer 6/1999 Thiệt hại 1,1 tỷ USD Vi rút Love Bug 5/2000 Thiệt hại 8,75 tỷ USD Vi rút Sircam 7/2001 2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD Sâu Code Red 7/2001 359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD Sâu Nimda 9/2001 160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD Klez 2002 Thiệt hại 175 triệu USD BugBear 2002 Thiệt hại 500 triệu USD Badtrans 2002 90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD Blaster 2003 Thiệt hại 700 triệu USD Nachi 2003 Thiệt hại 500 triệu USD SoBig.F 2003 Thiệt hại 2,5 tỷ USD Sâu MyDoom 1/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD Nguy cơ mất ATTT tại Việt Nam tập trung vào hệ thống ngân hàng, bán lẻ và các công ty chứng khoán. Ngân hàng VietinBank cho biết mỗi ngày hệ thống của họ phát hiện khoảng 13.000 malware, grayware và khoảng 67. Ngành Tài chính Việt Nam có hơn 7 vạn người dùng cuối và đang theo đuổi xu hướng liên kết chia sẻ thông tin, mở rộng dịch vụ tài chính công trực tuyến… song đến nay vẫn chưa có một hệ thống quản lý ATTT hoàn chỉnh.

10 TIEU LUAN MOI download : skknchat@gmail.com Đáng lo hơn là tình trạng mất an toàn của các trang web ở Việt Nam, theo một báo cáo khác từ Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết số lượng website bị tấn công tại Việt Nam đã gia tăng từ 461 website năm 2008 lên 1.037 website năm 2009, trong đó có không ít cuộc tấn công nhằm vào hệ thống website của các cơ quan Bộ và Chính phủ, với hầu hết các website (hơn 60% website) của các cơ quan doanh nghiệp đều bị hackers tấn công. khoảng trên 80% trang web của các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm soát hệ thống. Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngoài hàng rào cơ quan móc dây, lấy trộm mật khẩu. Kết quả khảo sát của Bkis về các công ty chứng khoán cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an toàn, khi có tới một nửa trong số 32 trang web chứng khoán có lỗ hổng nghiêm trọng có thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt.

Sau gần 1 năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được cải thiện nhưng vẫn còn tới 40% trang web còn lỗ hổng nguy hiểm. Tin tặc Việt Nam trình độ, thủ thuật ngày càng tinh vi hơn, chính vì thế mà tính chất các tấn công trở nên nguy hiểm hơn, đã xảy ra tình trạng một loạt website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Thêm vào đo là số virus mới xuất hiện cũng gia tăng từ 33. Trong các hướng của lây lan virus và các mã độc thì đã xuất hiện dạng lây lan sang các cả thiết bị di động.

Trên sách báo công khai cũng đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện lây lan virus. Sự xuất hiện virus theo các năm càng ngày càng gia tăng cả về số lượng và mức độ thiệt hại. Thống kê đã cho biêt có tới hàng vạn máy tính bị nhiễm virus và con số thiệt hại lên tới nhiều tỷ đồng.

Đây là một cuộc đấu tranh không có hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. 11 TIEU LUAN MOI download : skknchat@gmail.2: Thống kê về virus năm 2007 tại Việt Nam Virus máy tính năm 2007 (tại Việt Nam ) Số lƣợng Số lượt máy tính bị nhiễm virus 33.000 lượt máy tính Số virus mới xuất hiện trong năm 6.752 virus mới Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày Virus lây lan nhiều nhất trong năm: W32.Worm Lây nhiễm 511.3: Tỷ lệ nhiễm virus theo các năm Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%) 2005 232 94% 2006 880 93% 2007 6.2: Tỷ lệ các loai hình tấn công 12 TIEU LUAN MOI download : skknchat@gmail. Nguy cơ tƣơng lai - Nguy cơ tia chớp - DDOS Toàn cầu - Tấn công hạ tầng trọng yếu Lĩnh vực - Nguy cơ rộng - Nguy cơ Warhol Khu vực - Tấn công tín dụng quốc gia Tổ chức - Tấn công hạ tầng riêng lẻ - Vi rút, Sâu - DOS Máy tính riêng lẻ - Tấn công tín dụng 1990s 2000 2002 2004 Thời gian Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực Giây Loại III Đối phó nhân công: bất khả thi Tự động đối phó: hy vọng Nguy cơ tia chớp Khóa tiên tiến: có thể Phút Nguy cơ Warhol Loại II Giờ Đối phó nhân công: khó/bất khả thi Tự động đối phó: có thể Nguy cơ Ngày Loại I diện rông Đối phó nhân công: có thể Sâu E-mail Tuần, tháng Vi rút Macro Vi rút File Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó 13 TIEU LUAN MOI download : skknchat@gmail.com Nguy cơ về an toàn thông tin trong hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thông lại được chia thành một số loại mạng như sau: Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu của thương mại điện tử và Chính phủ điện tử.

Đồng thời các phương tiện truyền thông như Internet đều dựa trên cơ sở mạng này. Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng. Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống khảo sát thăm dò. Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được các lợi ích của chúng.

Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng. Nguy cơ về an toàn thông tin trong hạ tầng cơ sở kinh tế: Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán. đều sử dụng máy tính để duy trì các tài khoản và các giao dịch tài chính. Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe, Thị trường mua bán công khai và không công khai, Các doanh nghiệp tư nhân, Các trung tâm kinh doanh lớn.

14 TIEU LUAN MOI download : skknchat@gmail. NHU CẦU HỆ THỐNG QUẢN LÝ ATTT Một nghiên cứu cho thấy khi doanh nghiệp chuyển sang thương mại điện tử, nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%. Nhu cầu về an toàn thông tin càng ngày càng trở nên nóng hơn do ứng dụng CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa theo kịp. Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn tăng tốc.

Ví dụ, ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng 80% hoạt động vụ của ngành đã diễn ra trên môi trường mạng. Ngành bắt đầu hình thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an toàn. Các lĩnh vực như chứng khoán, ngân hàng, thuế và hải quan và đặc biệt là thương mại điện tử đã chuyển dần hoạt động lên môi trường mạng. Việc hội nhập WTO cũng thúc đẩy các tổ chức và doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ