Tổng quan nghiên cứu

An toàn thông tin (ATTT) ngày càng trở thành vấn đề cấp thiết trong bối cảnh các hệ thống thông tin mạng của doanh nghiệp và cơ quan nhà nước đối mặt với nhiều mối đe dọa phức tạp. Theo báo cáo của Hiệp hội An toàn thông tin Việt Nam (VNISA) năm 2017, chỉ số ATTT trung bình của các doanh nghiệp Việt Nam chỉ đạt khoảng 54,2%, trong đó nhóm doanh nghiệp tài chính – ngân hàng đạt 59,9%, còn các doanh nghiệp khác chỉ đạt 31%. Điều này cho thấy nguy cơ mất an toàn thông tin mạng là rất cao, đặc biệt do các doanh nghiệp còn yếu trong việc thiết lập và thực thi chính sách ATTT cũng như hoạt động thực tiễn bảo đảm an toàn.

Luật An toàn thông tin mạng năm 2015 và các văn bản hướng dẫn như Nghị định 85/2016/NĐ-CP, Thông tư 03/2017/TT-BTTTT đã quy định rõ về việc phân loại và đánh giá cấp độ an toàn hệ thống thông tin (HTTT) theo 5 cấp độ từ 1 đến 5, dựa trên mức độ tổn hại khi hệ thống bị mất an toàn. Tuy nhiên, việc triển khai thực tế còn gặp nhiều khó khăn do thiếu một quy trình đánh giá thống nhất, trực quan và dễ áp dụng.

Mục tiêu nghiên cứu của luận văn là xây dựng một quy trình đánh giá an toàn thông tin theo cấp độ, phù hợp với các quy định pháp luật hiện hành, giúp các cơ quan, tổ chức và doanh nghiệp tại Việt Nam dễ dàng xác định cấp độ an toàn HTTT và từ đó áp dụng các biện pháp bảo đảm an toàn tương ứng. Phạm vi nghiên cứu tập trung vào việc đề xuất quy trình và trực quan hóa quy trình này dưới dạng một hệ thống website hỗ trợ đánh giá, thử nghiệm các module quản lý người dùng, phân quyền, quản lý nhật ký và thống kê trạng thái hồ sơ.

Nghiên cứu có ý nghĩa quan trọng trong việc nâng cao hiệu quả công tác đánh giá và bảo đảm an toàn thông tin, góp phần giảm thiểu rủi ro mất an toàn thông tin trong các HTTT tại Việt Nam, đồng thời hỗ trợ công tác quản lý, giám sát và báo cáo về ATTT theo cấp độ một cách khoa học và minh bạch.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên các lý thuyết và tiêu chuẩn quốc tế về đánh giá an toàn thông tin, trong đó nổi bật là:

  • Luật An toàn thông tin mạng 2015: Định nghĩa các nguyên tắc cơ bản về bảo vệ thông tin, hệ thống thông tin trên mạng, bao gồm tính bảo mật, tính toàn vẹn, tính sẵn sàng và tính chính xác của thông tin.

  • Phân loại cấp độ an toàn hệ thống thông tin theo 5 cấp độ: Căn cứ vào mức độ tổn hại tới quyền lợi hợp pháp, trật tự an toàn xã hội, quốc phòng, an ninh quốc gia khi hệ thống bị mất an toàn.

  • Tiêu chuẩn TCVN 11386:2016 (ISO/IEC 18045:2008): Phương pháp đánh giá an toàn công nghệ thông tin, áp dụng các tiêu chí đánh giá an toàn CNTT theo TCVN 8709 (ISO/IEC 15408), với mô hình đánh giá gồm các nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động con đánh giá và sự thuyết minh về năng lực kỹ thuật.

  • Mô hình phân quyền và quản lý nhật ký hệ thống: Đảm bảo kiểm soát truy cập, phân quyền theo vai trò và ghi nhận nhật ký truy cập để phát hiện, cảnh báo nguy cơ sự cố an toàn thông tin.

Các khái niệm chính bao gồm: an toàn thông tin, cấp độ an toàn hệ thống thông tin, quy trình đánh giá an toàn thông tin, phân quyền truy cập, quản lý nhật ký hệ thống.

Phương pháp nghiên cứu

Luận văn sử dụng phương pháp nghiên cứu tổng hợp lý thuyết, phân tích thực trạng, đề xuất quy trình và xây dựng thử nghiệm thực tế. Cụ thể:

  • Nguồn dữ liệu: Thu thập từ các văn bản pháp luật (Luật An toàn thông tin mạng 2015, Nghị định 85/2016/NĐ-CP, Thông tư 03/2017/TT-BTTTT), tiêu chuẩn quốc tế (ISO/IEC 15408, ISO/IEC 18045), báo cáo khảo sát của VNISA năm 2017, và các tài liệu chuyên ngành về an toàn thông tin.

  • Phương pháp phân tích: Phân tích các tiêu chí, nguyên tắc xác định cấp độ an toàn HTTT, đánh giá thực trạng triển khai tại Việt Nam, so sánh với các tiêu chuẩn quốc tế để đề xuất quy trình phù hợp.

  • Cỡ mẫu và chọn mẫu: Thử nghiệm quy trình trên hệ thống website mô phỏng, với các module hỗ trợ quản lý hồ sơ, phân quyền và đánh giá an toàn thông tin theo cấp độ. Cỡ mẫu thử nghiệm bao gồm các tài khoản đại diện cho các vai trò: đối tượng kiểm tra, chuyên viên tiếp nhận, chuyên viên thẩm định, chuyên viên đánh giá và quản trị hệ thống.

  • Timeline nghiên cứu: Nghiên cứu lý thuyết và phân tích thực trạng trong 3 tháng đầu, đề xuất quy trình và xây dựng mô hình trong 3 tháng tiếp theo, thử nghiệm và đánh giá kết quả trong 2 tháng cuối cùng.

Phương pháp nghiên cứu đảm bảo tính khoa học, thực tiễn và khả năng ứng dụng cao trong công tác đánh giá an toàn thông tin tại Việt Nam.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Thực trạng chỉ số an toàn thông tin tại Việt Nam còn thấp: Khảo sát của VNISA năm 2017 cho thấy chỉ số ATTT trung bình của các doanh nghiệp chỉ đạt 54,2%, trong đó nhóm doanh nghiệp tài chính – ngân hàng đạt 59,9%, còn các doanh nghiệp khác chỉ đạt 31%. Các chỉ số thành phần như chính sách đầu tư, kinh phí chỉ đạt 44,8%, hoạt động thực tiễn đảm bảo ATTT chỉ đạt 19,8%, cho thấy nhiều doanh nghiệp chưa thực hiện đầy đủ các biện pháp bảo đảm an toàn.

  2. Thiếu quy trình đánh giá thống nhất và trực quan: Mặc dù đã có các văn bản pháp luật và tiêu chuẩn hướng dẫn, nhưng việc triển khai đánh giá an toàn thông tin theo cấp độ tại các cơ quan, tổ chức còn gặp nhiều khó khăn do thiếu một quy trình thống nhất, dễ áp dụng và công cụ hỗ trợ trực quan.

  3. Đề xuất quy trình đánh giá an toàn thông tin theo cấp độ: Luận văn xây dựng quy trình chi tiết gồm các bước: khai báo hồ sơ tổ chức, tiếp nhận và kiểm duyệt hồ sơ, thẩm định hồ sơ đề xuất cấp độ, khảo sát hệ thống theo tiêu chí đánh giá cấp độ, đánh giá tổng thể và kết luận cấp độ an toàn HTTT. Quy trình này được mô hình hóa bằng sơ đồ luồng, mô hình chuyển đổi trạng thái hồ sơ, mô hình phân quyền và quản lý nhật ký hệ thống.

  4. Thử nghiệm hệ thống hỗ trợ đánh giá: Hệ thống website được xây dựng với các module quản lý người dùng, phân quyền, quản lý nhật ký và thống kê trạng thái hồ sơ đã được thử nghiệm thành công. Kết quả thử nghiệm cho thấy hệ thống giúp giảm thời gian xử lý hồ sơ, tăng tính minh bạch và kiểm soát chặt chẽ các bước trong quy trình đánh giá.

Thảo luận kết quả

Nguyên nhân chỉ số ATTT thấp tại Việt Nam xuất phát từ nhận thức chưa đầy đủ, thiếu nguồn lực đầu tư và chưa có công cụ hỗ trợ đánh giá hiệu quả. Việc xây dựng quy trình đánh giá an toàn thông tin theo cấp độ và hệ thống hỗ trợ trực quan giúp khắc phục những hạn chế này, tạo điều kiện thuận lợi cho các cơ quan, tổ chức thực hiện đánh giá một cách khoa học và minh bạch.

So sánh với các tiêu chuẩn quốc tế như ISO/IEC 15408 và các phương pháp đánh giá tại Mỹ, Trung Quốc, quy trình đề xuất đã được điều chỉnh phù hợp với đặc thù pháp lý và thực tiễn Việt Nam, đồng thời bổ sung các mô hình quản lý trạng thái hồ sơ và phân quyền chi tiết, giúp kiểm soát tốt hơn quá trình đánh giá.

Dữ liệu có thể được trình bày qua các biểu đồ thống kê số lượng hồ sơ theo trạng thái, tỷ lệ hồ sơ được phê duyệt, từ chối, thời gian xử lý trung bình, giúp người quản lý theo dõi tiến độ và hiệu quả công tác đánh giá. Bảng phân quyền và mô hình chuyển đổi trạng thái hồ sơ cũng minh họa rõ ràng vai trò và trách nhiệm của từng đối tượng tham gia.

Kết quả nghiên cứu góp phần nâng cao chất lượng công tác đánh giá an toàn thông tin, hỗ trợ việc tuân thủ pháp luật và chuẩn mực quốc tế, đồng thời tạo nền tảng cho việc phát triển các công cụ tự động hóa trong quản lý an toàn thông tin.

Đề xuất và khuyến nghị

  1. Triển khai áp dụng quy trình đánh giá an toàn thông tin theo cấp độ tại các cơ quan, tổ chức: Khuyến nghị các đơn vị chủ quản hệ thống thông tin và đơn vị vận hành HTTT áp dụng quy trình đề xuất để xác định cấp độ an toàn, từ đó xây dựng các phương án bảo đảm an toàn phù hợp. Thời gian thực hiện: trong vòng 6 tháng kể từ khi có hướng dẫn chính thức.

  2. Phát triển và hoàn thiện hệ thống hỗ trợ đánh giá trực tuyến: Đề xuất Bộ Thông tin và Truyền thông phối hợp với các đơn vị chuyên trách phát triển hệ thống website hỗ trợ đánh giá an toàn thông tin theo cấp độ, tích hợp các module quản lý người dùng, phân quyền, quản lý nhật ký và thống kê. Mục tiêu nâng cao hiệu quả, minh bạch và giảm thiểu sai sót trong quá trình đánh giá. Thời gian hoàn thiện: 12 tháng.

  3. Tăng cường đào tạo, nâng cao nhận thức và năng lực chuyên môn cho cán bộ đánh giá: Tổ chức các khóa đào tạo, tập huấn về quy trình đánh giá, tiêu chuẩn an toàn thông tin và kỹ năng sử dụng hệ thống hỗ trợ cho chuyên viên tiếp nhận, thẩm định và đánh giá. Mục tiêu nâng cao trình độ chuyên môn và ý thức trách nhiệm. Thời gian triển khai: liên tục hàng năm.

  4. Xây dựng cơ chế giám sát, kiểm tra và báo cáo định kỳ: Thiết lập các quy định về giám sát việc thực hiện đánh giá an toàn thông tin theo cấp độ, yêu cầu báo cáo kết quả định kỳ để đánh giá hiệu quả và phát hiện kịp thời các rủi ro. Chủ thể thực hiện: Bộ Thông tin và Truyền thông phối hợp với các cơ quan quản lý nhà nước. Thời gian áp dụng: bắt đầu từ năm tiếp theo.

  5. Khuyến khích nghiên cứu và phát triển các công nghệ bảo mật mới: Hỗ trợ các dự án nghiên cứu ứng dụng công nghệ mới như trí tuệ nhân tạo, blockchain trong bảo đảm an toàn thông tin, nhằm nâng cao khả năng phát hiện và phòng chống các mối đe dọa mạng. Thời gian thực hiện: dài hạn, từ 2-5 năm.

Đối tượng nên tham khảo luận văn

  1. Cơ quan quản lý nhà nước về an toàn thông tin: Luận văn cung cấp cơ sở pháp lý, quy trình và công cụ hỗ trợ giúp các cơ quan này xây dựng chính sách, hướng dẫn và giám sát việc đánh giá an toàn thông tin theo cấp độ.

  2. Doanh nghiệp và tổ chức vận hành hệ thống thông tin: Các đơn vị này có thể áp dụng quy trình và hệ thống hỗ trợ để tự đánh giá, xác định cấp độ an toàn HTTT, từ đó xây dựng các biện pháp bảo vệ phù hợp, giảm thiểu rủi ro mất an toàn.

  3. Chuyên viên, cán bộ làm công tác an toàn thông tin: Luận văn cung cấp kiến thức chuyên sâu về tiêu chuẩn, quy trình đánh giá và kỹ thuật phân quyền, quản lý nhật ký, giúp nâng cao năng lực chuyên môn và hiệu quả công việc.

  4. Nhà nghiên cứu và sinh viên ngành Công nghệ thông tin, An toàn thông tin: Đây là tài liệu tham khảo quý giá về phương pháp luận, mô hình đánh giá an toàn thông tin theo cấp độ, đồng thời cung cấp ví dụ thực tiễn về xây dựng và thử nghiệm hệ thống hỗ trợ đánh giá.

Câu hỏi thường gặp

  1. Quy trình đánh giá an toàn thông tin theo cấp độ gồm những bước chính nào?
    Quy trình bao gồm: khai báo hồ sơ tổ chức, tiếp nhận và kiểm duyệt hồ sơ, thẩm định hồ sơ đề xuất cấp độ, khảo sát hệ thống theo tiêu chí đánh giá cấp độ, đánh giá tổng thể và kết luận cấp độ an toàn HTTT. Mỗi bước có vai trò và trách nhiệm rõ ràng, đảm bảo tính minh bạch và hiệu quả.

  2. Làm thế nào để xác định cấp độ an toàn của một hệ thống thông tin?
    Cấp độ an toàn được xác định dựa trên mức độ tổn hại khi hệ thống bị mất an toàn, theo 5 cấp độ từ 1 đến 5, căn cứ vào các tiêu chí như loại hình hệ thống, mức độ xử lý thông tin bí mật, phạm vi phục vụ và ảnh hưởng tới quốc phòng, an ninh quốc gia. Quy trình đánh giá giúp xác định chính xác cấp độ này.

  3. Hệ thống hỗ trợ đánh giá an toàn thông tin theo cấp độ có những chức năng gì?
    Hệ thống bao gồm các module quản lý người dùng và phân quyền, quản lý nhật ký hệ thống, thống kê trạng thái hồ sơ, hỗ trợ tiếp nhận, thẩm định và đánh giá hồ sơ đề xuất cấp độ, cảnh báo khi hồ sơ không hợp lệ, và cung cấp báo cáo kết quả đánh giá.

  4. Tại sao việc phân quyền và quản lý nhật ký hệ thống lại quan trọng trong đánh giá an toàn thông tin?
    Phân quyền giúp kiểm soát chặt chẽ quyền truy cập và thao tác của từng vai trò trong quy trình đánh giá, đảm bảo tính bảo mật và chính xác của dữ liệu. Quản lý nhật ký giúp ghi nhận các hoạt động, phát hiện và cảnh báo kịp thời các sự cố, hỗ trợ tra vết và xử lý rủi ro.

  5. Luận văn có thể áp dụng cho những loại hệ thống thông tin nào?
    Quy trình và hệ thống hỗ trợ có thể áp dụng cho nhiều loại hệ thống thông tin như hệ thống phục vụ hoạt động nội bộ, hệ thống phục vụ người dân, doanh nghiệp, hệ thống cơ sở hạ tầng thông tin, hệ thống điều khiển công nghiệp và các hệ thống thông tin chuyên ngành khác theo quy định của pháp luật Việt Nam.

Kết luận

  • Luận văn đã xây dựng thành công quy trình đánh giá an toàn thông tin theo cấp độ, phù hợp với các quy định pháp luật và thực tiễn tại Việt Nam.
  • Quy trình chi tiết, mô hình hóa các bước thực hiện, phân quyền và quản lý nhật ký giúp nâng cao hiệu quả và minh bạch trong công tác đánh giá.
  • Hệ thống website hỗ trợ đánh giá đã được thử nghiệm, chứng minh khả năng giảm thiểu thời gian xử lý và tăng cường kiểm soát quy trình.
  • Nghiên cứu góp phần nâng cao nhận thức và năng lực bảo đảm an toàn thông tin cho các cơ quan, tổ chức và doanh nghiệp.
  • Đề xuất các giải pháp triển khai, đào tạo và phát triển công nghệ nhằm hoàn thiện và mở rộng ứng dụng quy trình trong tương lai.

Next steps: Triển khai áp dụng quy trình tại các đơn vị, hoàn thiện hệ thống hỗ trợ, tổ chức đào tạo chuyên sâu và xây dựng cơ chế giám sát, báo cáo định kỳ.

Call to action: Các cơ quan, tổ chức và chuyên viên an toàn thông tin nên nghiên cứu, áp dụng quy trình và hệ thống hỗ trợ để nâng cao hiệu quả công tác bảo đảm an toàn thông tin, góp phần bảo vệ an ninh mạng quốc gia.