Hình 1: Sơ đồ mức thiệt hại do bị tấn công vào hệ thống máy tính
Trong xu thế hội nhập vào nền kinh tế thế giới, các giao dịch điện tử giữa các cơ quan nhà nước đã từng bước được thể chế hóa, việc trao đổi buôn bán trên thị trường sẽ không còn đơn thuần chỉ là tận tay trao đổi hàng hóa, giáp mặt để thực hiện việc mua và bán, quản lý thu chi bằng sổ sách, mà hầu hết đang có xu hướng chuyển dần sang mua bán, quản lý sử dụng hệ thống máy tính cũng như hệ thống mạng toàn cầu Internet.
Như vậy, việc trao đổi thông tin qua mạng là rất quan trọng và mang tính sống còn đối với một đất nước. Chuyện gì sẽ xảy ra nếu toàn bộ thông tin khi giao dịch giữa các cơ quan nhà nước với khách hàng bị đánh cắp? Chuyện gì sẽ xảy ra nếu một người nào đó giả danh một đơn vị hợp pháp nào đó để giao dịch trên mạng? Do đó, ta có thể thấy rằng, khi xã hội đang chuyển mình sang một cơ cấu chính phủ điện tử, thương mại điện tử nhằm trao đổi thông tin tiện lợi, thì đồng thời cũng xuất hiện các rủi ro do công nghệ đem lại. Nhưng xã hội không thể vì những rủi ro đó để từ bỏ các công nghệ hiện đại được, thay vào đó, người ta sẽ tìm cách khắc phục, khống chế hoặc làm giảm thiểu các rủi ro đó.
Theo số liệu thống kê của Tổ chức IDG, hệ thống các máy tính đang ngày càng bị tấn công theo quy mô lớn hơn và càng lúc mức độ tàn phá, gây thiệt hại càng nặng nề hơn (hình 1).
Để xây dựng hệ thống an toàn thông tin (ATTT) theo tiêu chuẩn quốc tế thường đòi hỏi chi phí rất lớn, vượt quá khả năng và điều kiện về tài chính, nhân lực của một tổ chức. Vì vậy Sở Khoa học và Công nghệ Đồng Nai đã xây dựng Công cụ hỗ trợ quản lý chất lượng ATTT (Assistant Tool Managing The Quality of Information Security – ATMQIS) nhằm hỗ trợ các cơ quan nhà nước, các doanh nghiệp vừa và nhỏ có cơ hội tiếp cận một tiêu chuẩn quốc tế về an ninh trong hệ thống với chi phí thấp, và cách thức đơn giản, dễ dàng áp dụng trong điều kiện thực tiễn của tổ chức mình để tránh những rủi ro có thể gặp phải khi tin học hóa hoạt động quản lý và sản xuất kinh doanh.
ATMQIS được xây dựng dựa trên các tiêu chuẩn quốc tế về ISO/IEC 27000 về quản lý an ninh thông tin nhằm tạo ra một mắt xích liên kết hai yếu tố công nghệ và con người.
ATMQIS được tổ chức theo mô hình kim tự tháp. Cách tổ chức này giúp cho các nhà lãnh đạo quản lý chất lượng ATTT một cách khoa học và hiệu quả (hình 2).
Hình 2: Mô hình tổ chức ATMQIS
- Trên đỉnh kim tự tháp mô tả các chính sách được áp dụng trong tổ chức. Trong một tổ chức có nhiều bộ phận, từng bộ phận lại có chức năng nhiệm vụ, tính chất, cách tổ chức thông tin, trình độ nhận thức về ATTT khác nhau. Chính vì vậy khi thiết lập các chính sách, ATMQIS giúp xác định rõ mục đích của chính sách sẽ được thiết lập, đối tượng thực thi, phạm vi tác động…
- Lớp thứ hai trên mô hình mô tả các Quy tắc, Quy định thực thi các chính sách. Hệ thống các quy tắc ATTT được thể hiện trên 10 lĩnh vực lớn bao hàm các quy định từ tổ chức, con người, an ninh vật lý đến các công cụ kỹ thuật ATTT. Các quy tắc được xây dựng trên mô hình IT chuẩn của tổ chức và thể hiện được tính đặc thù của tổ chức đó. Có thể đánh giá chất lượng ATTT của một tổ chức thông qua kiểm toán (Audit) việc thực thi các quy tắc.
- Lớp thứ ba là lớp cuối cùng của mô hình. Đây là các thủ tục quy trình, các giải pháp hỗ trợ thực thi các quy tắc, quy định trên. Các quy trình này có thể liên quan đến nhiều chính sách và đối tượng sử dụng khác nhau.
Biểu đồ sau sẽ cho thấy mối quan hệ giữa các đề mục trong ATMQIS an toàn thông tin. Mỗi đề mục đề cập đến một khía cạnh riêng biệt trong một quá trình tổng thể (hình 3).
Hình 3: Mối quan hệ giữa các đề mục trong ATMQIS
ATMQIS gồm 3 môđun chính (hình 4):
Hình 4: Các môđun chính của ATMQIS
- Quản lý chính sách ATTT (hình 5): Dành cho người Admin và Super User
Hình 5: Sơ đồ quản lý chính sách ATTT
- Thiết lập Chính sách:
Công cụ hỗ trợ Admin quản lý các chính sách ATTT được áp dụng trong tất cả các bộ phận của cơ quan.
Admin có thể tạo mới, xóa, sao chép, hiệu chỉnh hoặc xác lập hiện hành bất kì chính sách nào thuộc các bộ phận của cơ quan.
- Quản lý nhận thức:
Dùng cho Admin và SuperUser
ATMQIS hỗ trợ Admin trong việc kiểm tra, đánh giá mức độ nhận thức về ATTT và chính sách ATTT theo chuẩn ISO 17799: 2005/ISO/IEC 27001 của nhân viên trực thuộc cơ quan. Môđun “Quản lý nhận thức” gồm 4 môđun con (hình 6).
Hình 6: Sơ đồ quản lý nhận thức ATTT
a. “Quản lý đề bài kiểm tra”: cho phép Admin tạo mới, hiệu chỉnh hoặc xóa đề bài kiểm tra dành cho nhân viên từng bộ phận trực thuộc cơ quan (End User). Ngoài ra, Admin còn có thể đưa một đề bài kiểm tra bất kỳ vào sử dụng và kết thúc quá trình sử dụng bất cứ lúc nào, ở bất kỳ bộ phận nào.
b.“Quản lý câu hỏi cơ bản”: cho phép Admin tạo mới, hiệu chỉnh hoặc xóa câu hỏi về kiến thức cơ bản do Admin hoặc Super User tạo ra.
c. “Quản lý bài học cơ bản”: cho phép Admin cập nhật nhóm bài học, duyệt các bài học do Admin hoặc Super User tạo ra.
d. “Kiểm tra nhận thức” (dành cho End User)
Công cụ giúp nhân viên trong toàn cơ quan (End User) cập nhật những kiến thức cơ bản về ISO 17799, kiến thức tổng quát về ATTT và tra cứu thông tin về chính sách ATTT đang được áp dụng trong bộ phận mình trực thuộc.
Công cụ hỗ trợ đánh giá chất lượng ATTT đầu tiên của Việt Nam được thể hiện bằng 2 ngôn ngữ tiếng Việt và tiếng Anh, nhằm trợ giúp cho việc thiết lập, quản lý, vận hành và đánh giá mức độ thực thi chính sách ATTT trong tổ chức, phù hợp với điều kiện thực tế và mang lại hiệu quả cao (hình 7), Cụ thể:
Phân tích hệ tiêu chuẩn ISO 17799:2005
Xây dựng bộ chính sách mẫu phù hợp với điều kiện thực tế Việt Nam và khả năng áp dụng thực tế của tổ chức.
Cho phép nhà quản lý (quản trị ATTT) điều chỉnh, thiết lập bộ chính sách ATTT phù hợp với từng đơn vị mình quản lý.
Cho phép nhân viên tiếp cận các chính sách ATTT và có trách nhiệm thực thi các quy định trong chính sách ATTT của đơn vị mình.
Cho phép các nhà quản lý kiểm tra nhận thức và đánh giá việc thực thi chính sách ATTT trong đơn vị thông qua các bài TEST kiến thức.
Cán bộ nhân viên trong cơ quan có thể tự học tập, nâng cao kiến thức tổng quát về ATTT thông qua các giáo trình dựng sẵn