An toàn thông tin: không chỉ là vấn đề kỹ thuật

Gần đây, an toàn thông tin trở thành một vấn đề được quan tâm, nhiều tổ chức và doanh nghiệp đã trở thành nạn nhân của việc thất thoát, mất mát dữ liệu hoặc rò rỉ thông tin.

Người viết bài này từng giật mình khi thấy một bản sơ đồ bố trí máy móc của một doanh nghiệp viễn thông lớn, thuộc một kế hoạch ứng cứu khi thiên tai xảy ra, trong một tờ giấy gói bánh mì, mặc dù chỉ là bản sao.

Chuyện không mới

An toàn thông tin không chỉ đơn giản liên quan đến vấn đề về máy móc, kỹ thuật và hệ thống thông tin như nhiều người lầm tưởng. Trên thực tế, sự rò rỉ và mất mát thông tin có thể xảy ra ở bất cứ đâu, thậm chí nghiêm trọng ở cả những tổ chức hay doanh nghiệp không có ứng dụng công nghệ thông tin, hay đơn giản với vài máy tính dùng như các công cụ đánh máy, in ấn và lưu trữ văn bản.

Rò rỉ và mất mát thông tin là vấn đề không mới. Nó chỉ trở nên nghiêm trọng và thường xuyên hơn khi công nghệ thông tin với các dữ liệu số được sử dụng rộng khắp trong nhiều hoạt động của các tổ chức và xã hội.

Các nguồn gây rò rỉ hay mất thông tin

Thường rất đa dạng, xảy ra trong nhiều tình huống khác nhau, đôi khi hoàn toàn “thô sơ” và không liên quan đến công nghệ hiện đại.

- Giấy tờ, hồ sơ in ấn rơi vãi, nhân viên mang về nhà, bản nháp/bản sao trong rác thải văn phòng.

- Thông tin bí mật kinh doanh bị nhân viên chia sẻ trong các blog, e-mail cá nhân, chat.

- Mất thông tin do hệ thống bảo mật kém, hacker, virus, sâu máy tính, người dùng cố ý lấy cắp.

- Thiết bị chứa dữ liệu bị hỏng phần cứng, mất cắp, rơi rớt.

- Dữ liệu bị sử dụng sai hoặc vô tình bị sửa, xóa, ghi chồng lên.

- Dữ liệu bị tải hoặc chia sẻ lên mạng, do vô tình hoặc cố ý.

- Nhân viên đã nghỉ việc, nhà cung cấp, khách hàng, hoặc đối tác thân thiết tiết lộ thông tin.

- Hình ảnh, âm thanh thu được qua các thiết bị cá nhân như điện thoại di động, máy tính xách tay…

Hiểu thế nào về an toàn thông tin?

Có nhiều định nghĩa về an toàn thông tin. Về cơ bản, đối với mọi tổ chức, việc có thông tin chính xác và kịp thời có tác động rất quan trọng đến hoạt động, khả năng phát triển và thu lợi của tổ chức đó. An toàn thông tin giúp kiểm soát và bảo vệ thông tin khỏi bị rò rỉ, mất mát, sai lệch do vô tình hoặc cố ý.

An toàn thông tin phải bảo đảm ba thuộc tính quan trọng:

- Tính cẩn mật: tránh cho thông tin không rò rỉ trái phép, cho đối thủ hay công chúng.

- Tính toàn vẹn: tránh cho thông tin không bị thay đổi trái phép, thông tin phải chính xác và đầy đủ.

- Tính sẵn sàng: bảo đảm thông tin luôn sẵn sàng khi cần.

Việc xây dựng một hệ thống an toàn thông tin không chỉ đơn thuần có ý nghĩa về mặt vật chất và kỹ thuật, về cơ bản nó mang đến nhiều lợi ích, ảnh hưởng trực tiếp đến hoạt động kinh doanh của một tổ chức:

- Tài sản thông tin được quản lý chặt chẽ và có hệ thống.

- Nắm bắt và kiểm soát các rủi ro có thể xảy ra.

- Bảo mật thông tin trong nội bộ tổ chức, cũng như giữa tổ chức với bên ngoài.

- Thể hiện sự cam kết của tổ chức với đối tác và khách hàng bằng hành động cụ thể.

- Bảo đảm khả năng hoạt động của hệ thống khi có sự cố khẩn cấp xảy ra.

Xây dựng hệ thống bảo đảm an toàn thông tin như thế nào?

Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải pháp thuần túy kỹ thuật. Một hệ thống thông tin an toàn đúng nghĩa phải gắn kết và tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó con người đóng vai trò quan trọng.

Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin. Tuy nhiên, thông thường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn ISO 27001 và ISO/IEC 17799 thường được nhắc đến nhiều nhất, bởi tính hệ thống, tính thông dụng và tính quốc tế của chúng.

Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo cả hai như là một cặp không thể tách rời. Khi áp dụng, tiêu chuẩn ISO 27001 mang tính bắt buộc, quy định các yêu cầu của một hệ thống an toàn thông tin, trong khi chuẩn ISO/IEC 17799 cung cấp các kinh nghiệm để có thể thiết kế một hệ thống cụ thể, mang tính tham khảo và không bắt buộc.

Về cơ bản, một hệ thống an toàn thông tin phải được xây dựng tích hợp chặt chẽ vào hệ thống vận hành của một tổ chức, có cấu trúc chặt chẽ, gồm nhiều tác vụ liên thông và hỗ trợ lẫn nhau. Một hệ thống theo chuẩn ISO/IEC 17799 nhất thiết phải bao gồm các nhóm yêu cầu và tác vụ được trình bày ở sơ đồ 1 của bài này.

Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an toàn thông tin nên căn cứ vào nhu cầu và đặc điểm của từng tổ chức. Một hệ thống an toàn có hiệu quả ở tổ chức này, hoàn toàn không chắc là phù hợp với tổ chức khác, thậm chí có hoạt động cùng lĩnh vực. Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây dựng các phương pháp bảo đảm an toàn thông tin mang tính hệ thống, tránh thiếu sót, thừa hưởng các kinh nghiệm đã đúc kết, chúng không thể thay thế cho vai trò quyết định của bản thân doanh nghiệp.

Thông thường, quá trình thiết lập, vận hành và chứng nhận hệ thống an toàn thông tin theo tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình bày ở bảng 2, trong đó chi tiết các bước sẽ rất khác nhau, tùy theo từng tổ chức.

Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian giữa các bước trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống an toàn thông tin. Các bước và khung thời gian chỉ có tính minh họa, thực tế chúng khác biệt và phụ thuộc vào mục tiêu, cách thức và kế hoạch của từng tổ chức.

Thứ Hai, 16/06/2008 11:13
31 👨 361
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp