Xây dựng các giải pháp để đảm bảo an ninh cho hệ thống thông tin là một vấn đề phức tạp và luôn được nghiên cứu phát triển. Gần đây, cách tiếp cận bảo đảm an ninh thông tin cho tổ chức theo các hướng dẫn của bộ tiêu chuẩn ISO 27001 và ISO 27002 được xem là toàn diện và triệt để nhất. Bài viết này sẽ điểm qua những nội dung chính và các bước cơ bản triển khai các tiêu chuẩn này tại một tổ chức.

 Cách tiếp cận cơ bản khi triển khai ISO 27001/27002

Trong bộ tiêu chuẩn ISO 27001/27002, khái niệm bảo đảm an ninh thông tin được hiểu là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin. Ba tính chất này được viết tắt bằng nhóm từ tiếng Anh: C.I.A, trong đó C là tính bí mật (Confidentiality); I là tính toàn vẹn (Integrity); và A là tính sẵn sàng (Availability). Tính bí mật đảm bảo rằng chỉ người được phép mới có thể truy cập thông tin. Tính toàn vẹn đảm bảo sự chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin. Tính sẵn sàng đảm bảo người sử dụng được phép có thể truy cập thông tin và các tài sản tương ứng khi cần. Ba thuộc tính này luôn luôn là các tiêu chuẩn để kiểm chứng mức độ bảo đảm an ninh của thông tin và hệ thống thông tin.

Thông tin còn gắn liền với ba yếu tố là con người, quy trình nghiệp vụ và hạ tầng kỹ thuật. Trong đó hạ tầng kỹ thuật bao gồm mạng máy tính và các thiết bị lưu trữ, xử lý truyền nhận thông tin và các môi trường kỹ thuật liên quan. Quy trình nghiệp vụ là các quy trình xử lý thông tin. Yếu tố con người kể đến quá trình vận hành, xử lý thông tin, khai thác và sử dụng thông tin. Do vậy người ta cũng có thể hiểu hệ thống thông tin bao gồm: thông tin (dữ liệu), hạ tầng kỹ thuật, quy trình nghiệp vụ và tác động của con người. Giải pháp cho an ninh thông tin chính là các biện pháp tác động tới yếu tố con người, quy trình nghiệp vụ và hạ tầng kỹ thuật để thông tin đảm bảo được 3 thuộc tính: bảo mật, toàn vẹn và sẵn sàng.

Triển khai an ninh thông tin phải là một quá trình thường xuyên, liên tục, không chỉ thực hiện một lần là hoàn tất. Hệ thống an ninh thông tin sau khi được  xây dựng và đi vào hoạt động phải được định kỳ đánh giá để phát hiện ra các điểm yếu, các mối đe dọa mới, từ đó có kế hoạch nâng cấp, hoàn thiện. Người ta thường mô tả quy trình này bằng cụm từ P.D.C.A, trong đó P: Plan  lập kế hoạch, D: Do - thực hiện, C: Check - kiểm tra đánh giá và A: Act - hiệu chỉnh, nâng cấp.

Bất cập của hệ thống an ninh thông tin hiện nay

Trước đây, an toàn thông tin chủ yếu được tập trung vào yếu tố hạ tầng kỹ thuật. Các giải pháp trong giai đoạn này thường là triển khai Firewall tại các mạng LAN để bảo vệ các máy chủ, hệ thống phòng chống virus. Các kết nối Internet chỉ được bảo vệ bằng Firewall, Antivirus, IPS, IDS… Chính vì chỉ tập trung vào các giải pháp kỹ thuật nên các tổ chức đã bỏ qua yếu tố con người và quy trình nghiệp vụ, chưa có các chính sách toàn diện về an ninh thông tin, và cơ cấu tổ chức chuyên trách về an ninh thông tin nên dù được đầu tư tương đối lớn nhưng các hệ thống thông tin vẫn tồn tại nhiều điểm yếu gây mất an ninh thông tin. Dưới đây là một số trường hợp cụ thể:

Trường hợp  thứ nhất liên quan đến việc cấp tài khoản dịch vụ. Đến nay hầu hết hoạt động xử lý thông tin của một đơn vị là dựa trên hệ thống CNTT, mạng máy tính. Mỗi thành viên của đơn vị được cấp 1 tài khoản sử dụng dịch vụ mạng (gồm username và password), để có thể truy cập mạng và sử dụng các dịch vụ được phân quyền như mail, dịch vụ truyền tệp, khai thác CSDL, truy cập từ xa, truy cập Internet... Tuy nhiên, ở nhiều nơi xảy ra tình trạng khi cán bộ của đơn vị chuyển công tác thì chỉ có bộ phận quản lý nhân sự xử lý hồ sơ rồi thông báo cho bộ phận tài vụ dừng cấp lương, còn tài khoản sử dụng dịch vụ mạng thì vẫn không bị thu hồi. Đây là lỗ hổng “chết người” không phải do công nghệ mà do quy trình tổ chức tạo ra.

Trường hợp thứ hai liên quan đến vận hành và quản lý Trung tâm dữ liệu (DC). Như chúng ta đều biết, hệ thống máy chủ là “trái tim” của mạng máy tính. Để bảo vệ cho “trái tim” này, các đơn vị đã đầu tư rất lớn để xây dựng DC với hệ thống UPS, sàn nâng, hệ thống làm mát, hệ thống cảnh báo và chữa cháy, hệ thống phát hiện chất lỏng, camera giám sát, cửa từ... Tuy nhiên DC ở một số đơn vị vẫn có điểm yếu có thể dẫn đến sự cố nghiêm trọng. Trong một DC hiện đại bao giờ cũng có hệ thống máy phát điện dự phòng, khi điện nguồn bị ngắt thì nó sẽ tự động chạy, phát điện cung cấp cho nguồn nuôi DC hoạt động liên tục. Tuy nhiên đã xảy ra trường hợp, khi mất điện, bộ chuyển mạch tự động không hoạt động do vậy máy phát điện không được kích hoạt, DC không có nguồn nuôi, các UPS chỉ đủ sức nuôi các thiết bị trong vòng 45 phút, trong thời gian này các điều hòa cho DC cũng ngừng hoạt động. Nhiệt độ tăng cao, một số thiết bị nhận được tín hiệu từ UPS có thể tự động shutdown, nhưng một số thiết bị khác không có tiến trình này hoặc sẽ treo, từ đó nguy cơ mất dữ liệu đang xử lý trong một số máy chủ có thể xảy ra.

Trường hợp thứ ba là sự cố xảy ra trong ngành Ngân hàng đã gây xáo động trong những tháng đầu năm 2008. Đó là việc một nhân viên công ty, sử dụng thẻ ATM của giám đốc (thẻ này có số dư bằng 0) đã “vô tư” rút hàng trăm lần, với tổng số tiền lên đến hàng tỷ đồng mới bị phát hiện. Sở dĩ sự cố trên không bị phát hiện sớm do các nhân viên của 2 ngân hàng đã không tuân thủ quy trình đối chiếu chéo.

Những ví dụ trên cho thấy nếu các tổ chức có thể đầu tư rất lớn vào hạ tầng kỹ thuật nhưng coi nhẹ yếu tố tổ chức, quy trình nghiệp vụ cũng như không thường xuyên kiểm tra tính tuân thủ nội quy, quy chế thì những sự cố mất an ninh thông tin rất nghiêm trọng vẫn có thể xẩy ra. Theo đánh giá của các chuyên gia, trong những yếu tố tác động đến an ninh thông tin thì chỉ có 20% do công nghê, còn 80% do quản lý, bao gồm yếu tố con người và quy trình nghiệp vụ.     

Triển khai an ninh thông tin theo hướng dẫn của ISO 27001/27002

Tiêu chuẩn quốc tế ISO 27001, cung cấp mô hình chuẩn để thiết lập, triển khai, vận hành, theo dõi, đánh giá, duy trì, cải tiến hệ thống quản lý an ninh thông tin. Còn tiêu chuẩn ISO 27002 là một hệ thống các biện pháp, các khuyến cáo để đảm bảo cho an toàn thông tin, đảm bảo cho các yêu cầu đặt ra trong ISO 27001 được thực hiện.

Mô hình mà ISO 27001 đề xuất là xây dựng một Hệ thống quản lý an ninh thông tin (ISMS - Information Security Management System). Hệ thống này bao gồm: một nhóm nhân sự  chuyên trách vận hành quản lý các công việc liên quan đến an ninh thông tin; các chính sách, quy định, tiêu chuẩn, hướng dẫn thực hiện an ninh thông tin và các công nghệ đảm bảo an ninh thông tin. Các nội dung trên điều chỉnh cả 3 yếu tố là con người, quy trình nghiệp vụ và hạ tầng kỹ thuật.  

Để xây dựng và triển khai hệ thống ISMS, sau khi xây dựng khung chính sách cho an ninh thông tin, các tổ chức phải khảo sát và liệt kê đầy đủ các “tài sản” của hệ thống thông tin trong đơn vị. Có thể hiểu tài sản bao gồm toàn bộ thông tin và các danh mục hỗ trợ liên quan (như máy móc thiết bị, thương hiệu của đơn vị, mối quan hệ và danh sách khách hàng truyền thống...) mà nhờ đó tổ chức có thể hoạt động một cách bình thường. Các tài sản này được phân loại về tầm quan trọng, các điểm yếu trong quá trình hoạt động, các mối đe dọa có thể xảy ra đối với chúng. Phân tích các rủi ro có thể xảy ra cho các tài sản khi các mối đe dọa tác động ngay vào các điểm yếu để tạo ra các lỗi nhỏ hoặc các sự cố nghiêm trọng. Phân loại các rủi ro nhằm xây dựng các biện pháp để loại bỏ rủi ro, hoặc giảm thiểu đến mức thấp nhất các thiệt hại nếu rủi ro có thể xảy ra.

Tiêu chuẩn ISO 27001 khuyến cáo những nội dung chính của hệ thống ISMS bao gồm: Xây dựng tổ chức (nhóm chuyên trách) về an ninh thông tin; xây dựng chính sách an ninh thông tin; quản lý tài sản; quản lý nguồn nhân lực; quản lý bảo mật mức vật lý; quản lý vận hành và trao đổi thông tin; quản lý truy cập; quản lý quy trình phát triển các ứng dụng; quản lý các sự cố liên quan đến bảo mật thông tin; quản lý khắc phục các thảm họa; quản lý các vấn đề liên quan tới pháp luật. Trong đó Nhóm chuyên trách về an toàn thông tin (làm việc toàn bộ thời gian), nhóm này có thể mở rộng để phối hợp với các bộ phận khác nhau trong tổ chức (các thành viên mở rộng làm việc kiêm nhiệm). Hoạt động của nhóm phải diễn ra thường xuyên, liên tục để kiểm tra tính tuân thủ các quy tắc, biện pháp đã được xây dựng và cải tiến cập nhật từ mức chính sách cho đến các giải pháp công nghệ. Quy trình hoạt động tuân thủ chu trình P.D.C.A như đã giới thiệu ở trên.

Bộ tiêu chuẩn ISO 27001/27002 ngày càng được phổ biến và áp dụng rộng rãi ở Việt nam. Các doanh nghiệp (Ngân hàng, Bảo hiểm, Quỹ đầu tư, Công ty CNTT...) thường có mục tiêu xây dựng hệ thống ISMS để đạt được chứng chỉ ISO 27001 nhằm nâng cao vị thế của công ty, tạo độ tin cậy cao cho khách hàng, còn các cơ quan nhà nước cũng cần áp dụng ISO 27001 để có được kế hoạch toàn diện đảm bảo an ninh cho hệ thống thông tin