Tin tức
Thông báo về nguy cơ mất an ninh
thông tin qua thiết bị di động thông minh
03/12/2013
Theo công văn số 106/TB-BCA-A16 ngày 07 tháng 10 năm 2013 của Bộ Công an thông báo về việc phòng ngừa, ngăn chặn nguy cơ mất an ninh thông tin từ các thiết bị di động thông minh, thì hiện nay xu hứng sử dụng thiết bị thông minh trong công việc đang đặt ra nhiều thách thức và trở thành mối nguy hiểm hàng đầu cho chính sách bảo mật và an toàn thông tin của các cơ quan, tổ chức .
Người sở hữu thiết bị di động thông minh vừa có thể kết nối vào hệ thống mạng cơ quan, tổ chức để khai thác dữ liệu, vừa có thể truy cập một hệ thống mạng không an toàn bên ngoài; điều đó đồng nghĩa với việc tạo điều kiện cho các hoạt động xâm nhập trái phép vào hệ thống mạng cơ quan, tổ chức mà khó có thể bị phát hiện. Ngay cả các thiết bị được chấp thuận, có quyền truy cập và áp dụng chế độ bảo mật, mã hóa kết nối thì việc lưu trữ dữ liệu trên bộ nhớ của máy hoặc thông qua giải pháp lưu trữ đám mây vẫn còn bị khai thác do bị mất thiết bị hoặc phá mã(hack) tài khoản.
Tội phạm mạng triệt để tận dụng, khai thác lỗ hổng trong hệ điều hành của thiết bị di động thông minh, phát triển các chương trình tấn công thông qua quá trình tải ứng dụng của người dùng. Chúng cài thêm các mã độc vào ứng dụng hợp pháp sau đó cung cấp các ứng dụng này như là bản cập nhật nâng câp thông qua bên thứ 3. Sự xuất hiện của các chợ phần mềm trực tuyến (store) ngày càng nhiều với cơ chế kiểm duyệt lỏng lẻo, khiến cho tội phạm mạng dễ dàng phát tán các phần mềm chứa mã độc dưới dạng các phần mềm miễn phí.
Tấn công mạng thông qua các tiết bị di động thông minh đang trở thành mối nguy hiểm thường trực và ngày càng gia tăng . Trong khi đó ý thức bảo mật của người sử dụng các thiết bị thông minh còn thấp.
Từ tình hình trên, Cục Công nghệ thông tin đề nghị các đơn vị trực thuộc bộ thực hiện các biện pháp sau nhằm ngăn chặn nguy cơ mất an ninh thông tin từ việc sử dụng các thiết bị di động thông minh.
-Mô hình hệ thống mạng nội bộ của các đơn vị cần tuân thủ theo các kiến trúc mô hình mạng chuẩn về đảm bảo an toàn thông tin.
-Hệ thống mạng của các đơn vị cần được tách thành các VLAN riêng biệt theo các phòng ban nhằm tránh khai thác truy cập từ các đối tượng không liên quan.
-Đối với các hên thống mạng có sử dụng các thiết bị mạng không dây, cần có chính sách quản lý, thiết lập thành một mạng VLAN riêng biệt và không cho truy cập vào môi trường mạng LAN của đơn vị.
-Không lưu trữ dữ liệu của đơn vị trên môi trường mạng điện toán đám mây do các hãng cung cấp( Google drive, Microsoft…)
-Các đơn vị cần xây dựng và áp dựng và áp dụng quy chế sử dụng hệ thống mạng, quy định rõ chức năng nhiệm vụ của từng đơn vị, cá nhân, phạm vi sử dụng thiết bị, hệ thống mạng…Trong đó có nội dung quy định về việc sử dụng các thiết bị di động thông minh trong môi trường mạng của đơn vị.
-Nghiên cứu áp dụng quy chuẩn về bảo mật thông tin theo bộ tiêu chuẩn ISO/IEC 27000.
Nội dung bộ tiêu chuẩn ISO/IEC 27000
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27000 (IM.27000)
I. ISO/IEC 27001 LÀ GÌ?
ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng và áp dụng hệ thống quản lý an toàn thông tin (Information Security Management System – ISMS) nhằm đảm bảo tính bảo mật (confidentiality), tính nguyên vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin của các tổ chức/doanh nghiệp. Việc áp dụng một hệ thống quản lý an toàn thông tin sẽ giúp các tổ chức/doanh nghiệp ngăn ngừa, hạn chế các tổn thất trong sản xuất, kinh doanh liên quan tới việc hư hỏng, mất mát các thông tin, dữ liệu quan trọng.
ISO/IEC 27001 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 về quản lý an toàn thông tin. Bộ tiêu chuẩn này được xây dựng dựa trên các tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh (British Standards Institute - BSI). Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn ISO/IEC 27001:2005 Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Các yêu cầu.
Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:
ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
ISO/IEC 27001:2005 các yêu cầu đối với hệ thống quản lý an toàn thông tin
ISO/IEC 27002:2007 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất
ISO/IEC 27003:2007 các hướng dẫn áp dụng
ISO/IEC 27004:2007 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS
ISO/IEC 27005 quản lý rủi ro an toàn thông tin
ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông.
Hiện nay, việc áp dụng hệ thống quản lý an toàn thông tin ISO/IEC 27001 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới. Tại Việt nam, thời gian qua một số tổ chức ngân hàng, tài chính,công nghệ thông tin,… cũng bắt đầu quan tâm triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.
II. ĐỐI TƯỢNG ÁP DỤNG
Tiêu chuẩn ISO/IEC 27001:2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức.
ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9000, ISO 14000...
III. LỢI ÍCH
1. Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ.
2. Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu.
3. Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng.
4. Giảm giá thành và các chi phí bảo hiểm.
5. Nâng cao nhận thức và trách nhiệm của nhân viên về an ninh thông tin.
IV. CÁC BƯỚC TRIỂN KHAI
Về cơ bản, các bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng với áp dụng ISO 9000 & ISO 14000… Tuy nhiên, đây là hệ thống quản lý an toàn thông tin nên có một số điểm cần chú trọng khi xây dựng như: xác định đầy đủ các tài sản thông tin, nhận biết và đánh giá mối nguy, lựa chọn các biện pháp xử lý mối nguy thích hợp…
Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001:
1) Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức.
2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho cán bộ.
3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001.
4) Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS
5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống.
6) Thiết lập các biện pháp kiểm soát rủi ro.
7) Lựa chọn mục tiêu và các biện pháp kiểm soát.
8) Vận hành hệ thống ISMS đã thiết lập.
9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống.
10) Đánh giá chứng nhận.
Thời gian cần thiết để xây dựng hệ thống quản lý an toàn thông tin có hiệu lực và hiệu quả cho đến khi đánh giá chính thức cần khoảng 9 ~ 18 tháng phụ thuộc vào quy mô, nhu cầu thực tế, khả năng tập trung nguồn lực của tổ chức cho quá trình xây dựng. Tổ chức cũng sẽ thuận lợi hơn nếu trước đó đã có kinh nghiệm xây dựng, vận hành một số hệ thống quản lý khác như ISO 9000, ISO 14000…
Downlaod link:http://www.vpc.org.vn/Desktop.aspx/ISOIEC-27000/Thong-tin-chung-ISO-IEC_27000/Thong_tin_chung_ve_ISOIEC_27000/
Nguồn tin:Theo KH&HTQT tổng hợp