Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
I. AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con
người.
1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng
như: trình duyệt Internet và phần mềm nhận Email từ máy trạm.
2. Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với
thông tin và sử dụng máy tính trong công việc của mình.
Hai yếu tố trên được liên kết lại thông qua các chính sách về An toàn thông tin.
Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi trường thông tin
kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi
công dân, mọi tổ chức và của quốc gia. Thông qua các chính sách về ATTT, lãnh đạo
thể hiện ý chí và năng lực của mình trong việc quản lý hệ thống thông tin. ATTT được
xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp
kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu
cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong một môi
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
trường thông tin toàn cầu. Như vậy, với vị trí quan trọng của mình, có thể khẳng định
vấn đề ATTT phải bắt đầu từ các chính sách trong đó con người là mắt xích quan trọng
nhất.
An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng
chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến
độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không
an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm
cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa
đổi làm sai lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể
cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt
động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số
tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm
bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp
ứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản
lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn
thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu
rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất
lượng.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông
tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và
phương pháp đề phòng cần thiết. Mục đích cuối cùng của an toàn bảo mật là bảo vệ các
thông tin và tài nguyên theo các yêu cầu sau:
• Tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép bởi những
người không có thẩm quyền.
• Tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi những
người không có thẩm quyền.
• Tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người
có thẩm quyền.
• Tính không thể từ chối (Non-repudiation): Thông tin được cam kết về mặt pháp luật
của người cung cấp.
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần để kiểm tra việc triển khai
các biện pháp an ninh cơ bản của một hệ thống như sau:
1. Tài liệu về chính sách an ninh thông tin.
2. Việc phân bổ các trách nhiệm về an ninh hệ thống.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
3. Các chương trình giáo dục và huấn luyện về sự an ninh thông tin.
4. Các báo cáo về các biến cố liên quan đến an ninh thông tin.
5. Các biện pháp kiểm soát Virus.
6. Tiến trình liên tục lập kế hoạch về kinh doanh.
7. Các hình thức kiểm soát việc sao chép các thông tin thuộc sở hữu của tổ chức.
8. Việc bảo vệ các hồ sơ về tổ chức.
9. Việc tuân thủ pháp luật về bảo vệ dữ liệu.
10. Việc tuân thủ chính sách về an ninh hệ thống của tổ chức.
II. THỰC TRẠNG VẤN ĐỀ AN TOÀN THÔNG TIN HIỆN NAY
Theo đánh giá của thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học Nghiệp vụ Tổng
cục Kỹ thuật Bộ Công an, tình hình an ninh mạng năm 2008 này vẫn đang trên đà bất ổn và
tiếp tục coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới. Nhiều lỗ hổng
an ninh nghiêm trọng đã được phát hiện, hình thức tấn công cũng đã thay đổi và có rất
nhiều cuộc tấn công thành công trong thời gian gần đây.
Tính tới thời điểm này, đã có nhiều lỗ hổng an ninh đã được phát hiện như lỗ hổng DNS
bị coi là siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng dữ liệu qua lại trên toàn
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
mạng World Wire Web, lỗ hổng trình duyệt web Google Chrome… Hình thức tấn công
cũng đã có sự thay đổi. Hacker đã thay đổi từ hình thức tấn công hệ thống thông qua dịch
vụ thư điện tử sang tấn công hệ thống dựa vào dịch vụ web. Hacker đã mở một chiến dịch
“tổng tấn công” nhằm vào mạng Internet với số lượng hơn 1 triệu website. Trong đó có
các website nổi tiếng thế giới như USA Today.com, Walman.com… Số lượng và tầm
quan trọng của các website bị tấn công đang tăng lên từng ngày.
Virus và phần mềm độc hại tiếp tục tăng trưởng. Theo thống kê của hãng Symantec, tổng
số virus, sâu, trojan máy tính lan truyền trên Internet cho tới thời điểm này đã đạt ngưỡng 1
triệu. Trong 6 tháng đầu năm 2008, hãng Symantec đã phát hiện được 499.811 mã độc
nguy hiểm, tăng 136% so với 6 tháng đầu năm ngoái, đưa tổng số mẫu virus có trong sản
phẩm của hãng này lên tới 1.122.311 mẫu. Giới tin tặc đang có xu hướng dùng trojan như
là “chìa khoá” để truy cập máy tính người dùng, sau đó download và tải rất nhiều chương
trình độc hại.
Theo thống kê của APACS, chỉ trong 6 tháng đầu năm 2008, trên toàn thế giới đã có tới
20.000 vụ lừa đảo trực tuyến xảy ra gây thiệt hại tới 37 triệu USD, trong khi đó năm 2007
chỉ có khoảng 7.000 vụ. Hacker đã tấn công hàng ngàn trang web game online, không “tha”
cả website bán vé Euro 2008, 18 máy chủ của ngân hàng thế giới WorldBank đã bị tấn
công. Đặc biệt, rất nhiều dữ liệu của cá nhân đã bị tấn công, đánh cắp. Theo thống kê của
Trung tâm tài nguyên và mất cắp danh tính ITRC, tính từ đầu năm tới nay, chỉ riêng tại Mỹ
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
đã có tới 512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng.
Và Việt Nam cũng là một quốc gia không tránh khỏi những hệ luỵ này. Chỉ trong năm
2008, đã có 52 website của Việt Nam bị các hacker trong nước tấn công và có tới 109
website Việt bị các hacker nước ngoài “dòm” tới. Trung tâm an ninh mạng BKIS đã từng
cảnh báo 30 website Việt có lỗ hổng nghiêm trọng. 27.046.000 lượt máy tính Việt bị
nhiễm bởi 6269 loại virus khác nhau trong đó có 8 virus có “xuất xứ” Việt Nam.
Nhiều website Việt bị tấn công trong đó có cả những website có uy tín. Ngày 25/7/2008, website của
ngân hàng Techcombank bị hacker xâm nhập và để lại lời cảnh báo về lỗi bảo mật. Ngày 27/7/2008, một
số tên miền quan trọng của PAVietnam, một trong những nhà cung cấp dịch vụ hosting lớn của Việt
Nam đã bị hacker chiếm quyền điều khiển khiến khoảng 8.000 website mà khách hàng đang sử dụng máy
chủ tên miền của PAVietnam bị tê liệt. Thậm chí gần đây, ngày 5/10/2008, ngay cả website của Trung
tâm an ninh mạng BKIS
cũng đã bị tấn công từ chối dịch vụ.
Năm 2008, các hình thức lừa đảo trực tuyến phổ biến trên thế giới đều đã xuất hiện ở Việt
Nam như lừa đảo qua diễn đàn trên mạng, lừa đảo qua email mà phổ biến nhất là lừa đảo
trúng xổ số, lừa đảo qua các tin nhắn trên mạng di động từ những tổng đài tự động, ăn cắp
và làm giả thẻ tín dụng…
Ngay cả tình trạng phát tán blog đen, video clip xấu trên mạng vẫn còn xảy ra tràn lan. Mặc
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
dù không có nhiều vụ việc giật gân nhưng trên một số blog của cá nhân vẫn tồn tại nhiều
bài viết, video clip có nội dung không lành mạnh.
Đã có tình trạng diễn ra “chợ tình” trên mạng Internet, một kiểu tiếp thị mại dâm mới…
Thiếu tướng Nguyễn Viết Thế cho rằng, nguyên nhân của sự bất ổn và báo động đỏ năm
2008 của Việt Nam là do các cơ quan, doanh nghiệp, tổ chức và ngay cả những cá nhân
chưa thực sự quan tâm đến vấn đề an ninh mạng. Các cơ quan, doanh nghiệp, tổ chức vẫn
còn chủ quan nên chưa có sự quan tâm, đầu tư kinh phí đúng mức cho vấn đề này.
Các điểm yếu an ninh trên các website của Việt Nam chưa được cập nhật thường xuyên,
chưa kiểm soát được các lỗi lập trình. Ngoài ra, chính sách, văn bản của Việt Nam về tội
phạm mạng còn rất yếu và thiếu. Chưa có được bộ tiêu chuẩn về chính sách an ninh
mạng, an toàn thông tin để đưa ra được những giải pháp tổng thể bảo đảm an ninh, an
toàn thông tin.
Trong khi đó, năm 2009 lại được các chuyên gia an ninh mạng dự báo sẽ tiếp tục là năm
xuất hiện nhiều biến thể virus mới, tội phạm mạng sẽ chuyên nghiệp hơn, tinh vi hơn,
mạng xã hội trở thành đích ngắm của hacker, các vụ việc đánh cắp thông tin dữ liệu về
người dùng sẽ phức tạp hơn…
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin . Hầu như phần lớn các
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệ thống thông tin và đa phần
các điểm yếu đó rất tiếc lại do con người tạo ra. Việc nhận thức kém và không tuân thủ các chính sách về
ATTT là nguyên nhân chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định
rất rõ trong các chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện chặt chẽ.
Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là
những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công.
Ra mắt Hiệp hội An toàn thông tin VN phía Nam
Hiệp hội An toàn thông tin Việt Nam (VNISA) vừa được thành lập và tổ chức lễ ra mắt chi
hội an toàn thông tin phía Nam. Sự kiện này đánh dấu bước phát triển mới trong lĩnh vực
an toàn thông tin, nhất là tại TP.HCM nơi mà lĩnh
vực công nghệ thông tin phát triển năng động nhất. Ông Võ Đỗ Thắng, ủy viên ban điều
hành chi hội, cho biết: “Chi hội an toàn thông tin phía Nam ra
đời nhằm tạo điều kiện giúp các hội viên, các tổ chức, doanh nghiệp phía nam nâng cao
kiến thức trong lĩnh vực an toàn thông tin. Đồng thời đây là nơi chia sẻ kinh nghiệm các
thành tựu khoa học cũng như hướng dẫn việc ứng dụng và phát triển kỹ thuật, công nghệ an
toàn thông tin”.
III. CÁC DẠNG TỘI PHẠM, HÀNH VI XÂM PHẠM AN TOÀN THÔNG TIN HIỆN
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
NAY
Những thủ đoạn phạm tội công nghệ cao có thể liệt kê như: lừa đảo trên mạng, trộm cắp
địa chỉ thư điện tử, thông tin thẻ tín dụng và thông tin cá nhân; đưa thông tin thẻ tín dụng
đã ăn cắp được lên mạng để mua bán, trao đổi, cho tặng; thực hiện rửa tiền bằng cách
chuyển tiền từ tài khoản trộm cắp được sang tài khoản tiền ảo như e-gold, e-passport…;
lừa đảo trong hoạt động thương mại điện tử, trong quảng cáo, bán hàng trực tuyến qua
mạng, mua bán ngoại tệ, mua bán cổ phiếu qua mạng; đánh bạc, cá độ bóng đá qua
mạng; sử dụng máy tính để thực hiện hành vi trốn thuế, tham ô; buôn bán ma tuý qua
mạng; tổ chức hoạt động mại dâm qua mạng; truyền bá văn hoá phẩm đồi truỵ qua mạng;
thực hiện các hoạt động khủng bố, gây rối qua
mạng; xâm phạm an toàn của hệ thống hạ tầng an ninh quốc gia; lập trạm thu phát tín hiệu
trái phép, sử dụng mạng Internet để chuyển cuộc gọi quốc tế thành cuộc gọi nội hạt…
Đặc điểm nổi bật của loại tội phạm công nghệ cao là tính quốc tế. Từ phương thức, thủ
đoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây án hầu như về cơ bản đều
giống nhau trên toàn thế giới. Thủ phạm gây án có thể ngồi một chỗ tấn công vào bất kỳ nơi
nào trên thế giới mà không cần xuất đầu lộ diện, chỉ để lại rất ít dấu vết là những dấu vết
điện tử và thời gian gây án thường rất ngắn khiến cơ quan điều tra khó phát hiện, thu thập
nhưng lại dễ dàng tiêu huỷ. Tội phạm công nghệ cao được chia làm hai nhóm: nhóm tội
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
phạm với mục tiêu tấn công là các loại thiết bị kỹ thuật số, mạng máy tính và nhóm thứ hai
là tội phạm sử dụng máy tính làm công cụ phạm tội.
1. Lừa đảo mạng ATM
“ Một khi bọn tội phạm lấy được dữ liệu trên các dải từ tính cùng với số PIN, chúng hoàn
toàn có thể tạo ra các thẻ giả , và chính những thẻ này sẽ là được dùng để rút tiền”. Vấn đề
khác đối với các tổ chức là khả năng thực hiện quản lý rủi ro của họ ít hơn nhiều so với các
giao dịch trực tuyến trên ATM. “ Đó là vì máy ATM cung ứng hàng hóa cho khách hàng
của mình ngay lập tức, chính xác như ý muốn của bọn lừa đảo – đó là tiền mặt chứ không
phải là một loại vé, giấy có giá mà sau đó phải cất trữ hoặc bán lại
2. Tiếp tục các tấn công dạng Phishing
Năm 2008, ngành dịch vụ tài chính quan sát thấy có sự tăng trưởng vể số lượng các cuộc
tấn công phishing và được trông chờ tiếp tục vào năm 2009, gồm có spear phishing phức
tạp và các tấn công Rock Phish. Nhóm công tác chống phishing (Anti-Phishing Working
Group) báo cáo rằng lĩnh vực dịch vụ tài chính là lĩnh vực chịu nhiều tấn công phishing
nhất, Với khoảng hơn 90% các cuộc tấn công nhắm trực tiếp các dịch vụ tài chính.
Theo Terry Gudaitis, PhD, giám đốc Cyber Interligence , một công ty tình báo an ninh
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
mạng chuyên dịch vụ phát hiện và kiểm soát phishing thì một trong những lĩnh vực mà bà
và những người khác thấy là sự gia tăng mối hiểm họa tấn công phishing là “Smishing”
hay là SMS phishing. “Phishers (kẻ tấn công phishing) nay gửi các thông điệp phishing tới
các máy điện thoại di động thông qua SMS. Điều này làm bối rối những người sử dụng
online banking, đặc biệt là những người sử dụng dịch vụ mobile banking,” bà nói. “Khách
hàng banking thông thường sẽ nghĩ, „Ngân hàng không gửi email cho tôi, mà lại gửi thông
điệp bằng văn bản yêu cầu mình nhấn vào đường link này hay gọi số này để kiểm tra,”‟
Trong khi phương thức tấn công khác biệt, thì đối tượng của phisher vẫn là một. Loại tấn
công này sẽ đặt ra những vấn đề về độ tin cậy và sẽ ảnh hưởng tới các dịch vụ mobile
banking, đặc biệt khi ngày càng nhiều khách hàng tin cậy trở nên tin tưởng điện thoại di
động của mình.
3. Tấn công từ chối SQL
Nghiên cứu của Sophos cho hay, số lượng các cuộc tấn công SQL vào các trang web “vô
tội” trong năm qua tăng lên rõ rệt, và năm tới, xu hướng này sẽ vẫn tiếp diễn. Độ bảo mật
kém của các trang web, đặc biệt là không có khả năng phòng chống các cuộc tấn công tự
động từ xa như tấn công từ chối SQL, sẽ tiếp tục trở thành nơi đầu tiên để phát tán mã độc.
Báo cáo mới đây của Trung tâm thu nhận tố cáo tội phạm internet cũng chỉ ra số lượng các
cuộc tấn công SQL trong năm qua tăng lên đáng kể, đặc biệt là liên quan đến các dịch vụ
tài chính và ngành công nghiệp bán lẻ trực tuyến.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
4. Drive-By Attacks Deliver
Các tổ chức cần phải hướng dẫn và cảnh báo khách hàng và nhân viên khi online phải cẩn
trọng với những trang Web giả mạo (look-alikes) và bị nhiễm độc, Tom Wills, Javelin
Strategy Research's Senior Analyst for Security & Fraud nói. “Các tấn công Drive-by lén
lút phân phối Trojans trộm bàn phím (keylogger) vào các máy tính của khách hàng và trở
thành vũ khí trộm danh tính tự nguyện.” Các máy sẽ bị nhiễm khi người dùng viếng các
trang web giả mạo do bị chuyển tới thông qua phishing emails hoặc như xu hướng đang gia
tăng hiện nay là thông qua các trang web hợp lệ nhưng đã bị hack, ông nhận xét.
Javelin's Wills cũng tiên đoán sẽ có sự gia tăng về số lượng các hackers và tội phạm
“nghiệp dư" (amateur), tìm cách ăn trộm tiền hay thông tin cá nhân khách hàng của các tổ
chức, chủ yếu do kinh tế suy thoái. “ Các tổ chức cần nhận thấy có sự tăng cường lừa đảo
không chyên. Những „tội phạm có cơ hội‟ sẽ xuất hiện giữa các khách hàng và nhân viên
do ngày càng nhiều người bị tress về tài chính bởi hậu quả kinh tế suy thoái.” Will nhận
xét.
5. Mạng xã hội không còn là mục tiêu mới
Với sự phát triển mạnh của mạng xã hội, theo Sophos, đây sẽ trở thành mục tiêu mới của
tin tặc. Báo cáo của hãng nghiên cứu này cho thấy, vào tháng 8 vừa rồi ước tính có tới
1800 tài khoản Facebook đã bị thay đổi thông tin cá nhân do tin tặc cài Trojan vào trong
hình động để tấn công người dùng.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trojan Koobface tấn công MySpace và cả Facebook rồi biến máy tính nạn nhân thành
mạng botnet cũng là sự kiện an ninh đáng lưu ý trong năm qua, và có thể sẽ còn tái diễn
trong 2009.
Twitter đã trở thành công cụ dành cho tin tặc giúp phát tán phần mềm hiểm độc và đưa tin
quảng cáo. Nhiều lần, chúng đánh cắp thông tin tài khoản và mật khẩu của người dùng để
“đánh bom” bạn bè của nạn nhân với những thông tin quảng cáo hoặc dẫn dụ tới các trang
web thứ ba. Khi kết hợp với các dịch vụ rút ngắn địa chỉ URL, sẽ rất khó để phát hiện ra
thông tin liên kết do thông điệp hạn chế số lượng kí tự (Twitter chỉ cho phép đăng tin có
số kí tự tối đa là 140).
6. Smartphones: trò chơi mới của tin tặc
Trong khi đa số phần mềm hiểm độc và thư rác được phát tán nhằm mục đích kiếm tiền thì
theo phân tích của Sophos, với smartphone, tin tặc chủ yếu viết phần mềm hiểm độc với
mục đích nổi danh.
Apple iPhone theo Sohpos, có 3 lí do khiến người dùng iPhone dễ bị tấn công phishing
hơn so với những ai sử dụng máy tính.
Người dùng iPhone thường muốn nhấp vào địa chỉ được giới thiệu vì việc nhập URL
trên màn hình cảm ứng thường khó khăn hơn.
● Phiên bản Safari trên iPhone không hiển thị địa chỉ URLs nhúng trong emails trước khi
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
chúng được nhấp vào, khiến người dùng khó nhận diện được liệu chúng có dẫn tới các
trang lừa đảo hay không.
Trình duyệt trên iPhone không hiển thị đầy đủ địa chỉ URL giúp kẻ xấu có thể lợi dụng để
lừa đảo người.
Google Android mặc dù Android trên Google G1 mới ra mắt gần đây và hiện chưa mắc
phải những cuộc tấn công từ tin tặc, nhưng sau chỉ một ngày G1 được bán ra thị trường,
giới an ninh đã phát hiện ra một lỗ hổng nghiêm
trọng.
Theo dự đoán của Sophos, càng có nhiều người sở hữu smartphone thì dòng thiết bị này
sẽ trở nên hấp dẫn hơn với tin tặc.
Đối phó thế nào đây?
Hiện thế giới coi Việt Nam như một thị trường an toàn, có tiềm năng về thương mại điện tử và
đầu tư. Điều này phụ thuộc rất nhiều vào bức tranh an ninh mạng Việt Nam. Nếu vấn đề an
ninh mạng không được giải quyết kịp thời, hợp lý, lĩnh vực thương mại điện tử vốn đã non trẻ
của Việt Nam có thể sẽ rơi vào tình trạng trì trệ, trở thành “một rào cản đối với Việt Nam hậu
WTO”.
Việc đảm bảo an ninh trật tự trong “thế giới ảo” hiện là một trọng trách nặng nề của lực lượng
công an nói chung và cảnh sát phòng chống tội phạm công nghệ cao nói riêng trong tình hình
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
mới. Với kinh nghiệm điều tra, lần theo dấu vết, đã “điểm mặt, chỉ tên” được nhiều vụ án cụ
thể, theo Tiễn sĩ Trần Văn Hoà, việc phát hiện kịp thời, truy tìm dấu vết đối tượng của những
vụ án công nghệ cao thường đòi hỏi phải có sự phối hợp đồng bộ giữa các cơ quan điều tra
trong và ngoài nước tránh bị ngắt quãng, mất dấu vết. Nhìn về xu hướng bảo mật, Việt Nam
đã từng có thời điểm được xếp vào danh sách 1 trong 10 quốc gia có lượng spam email lớn
nhất thế giới. Song, trong số các spam mail được gửi đi từ Việt Nam lại có rất ít các email nội
dung tiếng Việt. Điều này chứng tỏ spam email chủ yếu do các đối tượng, hacker nước ngoài
gửi về Việt Nam.
Tuy nhiên, trong khi hệ thống pháp luật của Việt Nam còn thiếu và nhiều kẽ hở, hình thức
quảng cáo bằng spam email hay tin nhắn spam vẫn đang là một giải pháp tiết kiệm chi phí
được nhiều doanh nghiệp sử dụng. Đây lại rất có thể là cơ hội để các hacker nội kiếm tiền
bằng cách gửi spam email thuê với quy mô lớn. Nếu điều này xảy ra sẽ gây vô vàn thách thức
cho các cơ quan chức năng, các doanh nghiệp cung cấp dịch vụ Internet của Việt Nam và bản
thân người dùng Internet trong nước.
Vì vậy, việc cần làm đầu tiên vẫn là tăng cường các biện pháp quản lý của nhà nước và công
tác phòng chống tội phạm công nghệ cao. Xây dựng, hoàn thiện và triển khai có hiệu quả hệ
thống văn bản pháp luật đồng bộ có liên quan tới lĩnh vực CNTT như Luật Hình sự, Bộ Luật
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
tốt tụng hình sự, Luật CNTT, Luật giao dịch điện tử…
Bản thân các doanh nghiệp, tổ chức cá nhân cũng phải có ý thức nâng cao cảnh giác, tăng
cường sử dụng các công cụ kỹ thuật để ngăn chặn, phòng ngừa bảo vệ các server, website, cơ
sở dữ liệu như các thiết bị phần cứng, các phần mềm chống virus, spyware, spam… Đặc biệt là
phải tăng cường công tác điều tra, truy tố, xét xử các vụ phạm tội công nghệ cao để có thể răn
đe, phòng ngừa - Tiến sĩ Hoà nói.
Xây dựng hệ thống bảo đảm an toàn thông tin như thế nào?
Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói gọn vào
trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải pháp thuần túy kỹ thuật. Một
hệ thống thông tin an toàn đúng nghĩa phải gắn kết và tích hợp chặt chẽ với hoạt động của
toàn tổ chức trong đó con người đóng vai trò quan trọng.
Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin. Tuy nhiên, thông
thường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn ISO 27001 và ISO/IEC
17799 thường được nhắc đến nhiều nhất, bởi tính hệ thống, tính thông dụng và tính quốc tế của
chúng.
Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo cả hai như là một
cặp không thể tách rời. Khi áp dụng, tiêu chuẩn ISO 27001 mang tính bắt buộc, quy định các
yêu cầu của một hệ thống an toàn thông tin, trong khi chuẩn ISO/IEC 17799 cung cấp các kinh
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
nghiệm để có thể thiết kế một hệ thống cụ thể, mang tính tham khảo và không bắt buộc.
Về cơ bản, một hệ thống an toàn thông tin phải được xây dựng tích hợp chặt chẽ vào hệ thống vận hành của một tổ chức, có cấu trúc chặt chẽ, gồm nhiều tác vụ liên thông và hỗ trợ lẫn nhau. Một hệ thống theo chuẩn ISO/IEC 17799 nhất thiết phải bao gồm các nhóm yêu cầu và tác vụ được trình bày ở sơ đồ 1
Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an toàn thông tin nên
căn cứ vào nhu cầu và đặc điểm của từng tổ chức. Một hệ thống an toàn có hiệu quả ở tổ
chức này, hoàn toàn không chắc là phù hợp với tổ chức khác, thậm chí có hoạt động cùng
lĩnh vực.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây dựng các phương
pháp bảo đảm an toàn thông tin mang tính hệ thống, tránh thiếu sót, thừa hưởng các kinh
nghiệm đã đúc kết, chúng không thể thay thế cho vai trò quyết định của bản thân doanh
nghiệp.
Thông thường, quá trình thiết lập, vận hành và chứng nhận hệ thống an toàn thông tin theo
tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình bày ở bảng 2, trong đó chi tiết các
bước sẽ rất khác nhau, tùy theo từng tổ chức.
Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian giữa các bước
trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống an toàn thông tin. Các bước
và khung thời gian chỉ có tính minh họa, thực tế chúng khác biệt và phụ thuộc vào mục tiêu,
cách thức và kế hoạch của từng tổ chức.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Nhóm tác vụ Mô tả và ý nghĩa
Chính sách Các chính sách ở các cấp độ khác nhau (công ty, phòng, ban) về an
toàn thông, các quy trình, quy định, hướng dẫn thực hiện, báo cáo,
xử lý sự cố, kỷ luật…
Tổ chức và thực
hiện
Quy định trách nhiệm của các bộ phận và cách thức thực hiện các
công việc về an toàn thông tin của tổ chức.
Kiểm soát tài sản Phân loại tài sản và rủi ro có thể xảy ra để định nghĩa các yêu cầu
về an toàn thông tin một cách phù hợp.
Kiểm soát việc truy
cập
Kiểm soát việc truy xuất hoặc truy cập đến các tài sản hoặc đối
tượng chứa thông tin, hoặc có khả năng gây rỏ rỉ thông tin.
An toàn về con
người
Chú trọng bảo đảm an toàn thông tin về mặt con người, huấn
luyện và quy định vai trò, nghĩa vụ của từng người trong tổ chức
về an toàn thông tin.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
An toàn về vật chất và
môi trường
Các khía cạnh an toàn thông tin liên quan đến môi trường vật chất,
chẳng hạn chống cháy nổ, khu vực cách ly người lạ, chống nghe
lén…
Phát triển và bảo trì hệ
thống
An toàn thông tin được tích hợp vào toàn bộ các quá trình phát
triển, nâng cấp, sửa chữa, bảo trì toàn bộ các thành phần của hệ
thống.
Quản lý các hoạt
động và truyền
thông
Tích hợp các mức bảo đảm an toàn thông tin vào các quy trình
nghiệp vụ. Quy định rõ trách nhiệm trong toàn bộ các hoạt động
hằng ngày, trao đổi thông tin giữa nội bộ và giữa nội bộ với bên
ngoài.
Kiểm soát sự cố Bao gồm các phương án bảo đảm các quá trình hoạt động và kinh
doanh của tổ chức được tiếp diễn bình thường khi
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
có tình huống (xấu) khẩn cấp xảy ra.
Tuân thủ quy định
của pháp luật
Bảo đảm cho hệ thống an toàn thông tin và các quy định của tổ
chức phù hợp với luật pháp, không mâu thuẫn với các tiêu chuẩn
khác trong tổ chức.
Bảng 1
Các bước chính Mô tả
1. Phân tích hiện
trạng
Phân tích hoạt động của tổ chức so với các yêu cầu của tiêu
chuẩn, chỉ định các rủi ro và các biện pháp để khắc phục hoặc
hạn chế rủi ro.
2. Huấn luyện Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhân viên các
cấp có đủ kiến thức và kỹ năng để thiết lập và vận hành toàn hệ
thống.
3. Thiết lập các
chính sách và quy
trình
Thiết lập các chính sách, thủ tục, phương pháp và công cụ hỗ trợ
nhằm định nghĩa và tích hợp hệ thống an toàn thông tin vào hoạt
động của tổ chức.
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
4. Xem xét và phê
chuẩn các quy trình
Các chuyên gia, lãnh đạo xem xét, điều chỉnh và phê duyệt các
chính sách, quy trình, phương pháp, công cụ để chính thức áp dụng.
5. Áp dụng quy trình Chính thức áp dụng các chính sách, quy trình và phương pháp,
công cụ đã được phê duyệt, áp dụng thử hoặc áp dụng đại trà.
6. Kiểm soát việc thực
thi và xem xét của
lãnh đạo
Các chuyên gia kiểm soát nội bộ kiểm soát việc tuân thủ. Các vi
phạm và các điểm bất hợp lý được báo cáo với lãnh đạo.
Lãnh đạo xem xét toàn diện hệ thống an toàn thông tin, khảo sát
tính hiệu quả của hệ thống, giải quyết khó khăn,
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
chỉ định các điểm cải tiến.
7. Hoạt động sửa lỗi Sửa các lỗi không tương thích được phát hiện trong quá trình
kiểm soát, bảo đảm lỗi đã xảy ra sẽ không tái xuất hiện.
8. Đánh giá thử Bảo đảm tổ chức đã sẵn sàng cho việc đánh giá chính thức. Nếu lỗi
quá nhiều, việc đánh giá chính thức sẽ được lùi một thời gian thích
hợp.
9. Cải tiến các quy
trình
Điều chỉnh các chính sách, thủ tục, phương pháp và công cụ hỗ trợ
cho phù hợp hơn sau khi đánh giá thử, bảo đảm mọi thứ sẵn sàng.
10. Đánh giá và
chứng nhận
Đánh giá toàn diện hệ thống theo tiêu chuẩn, chứng nhận tổ chức
đạt chuẩn nếu không tồn tại các điểm không tương thích chính yếu.
Bảng 2
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
IV. CƠ SỞ PHÁP LÝ, LUẬT CHO AN TOÀN THÔNG TIN
Khoản 2 và 3, Điều 18 (Nghị định của Chính phủ số 63/2007/NĐ-CP ngày 10/4/2007, Quy
định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin): Hành vi vi phạm các
quy định về bảo vệ quyền, lợi ích hợp pháp và hỗ trợ người sử dụng sản phẩm, dịch vụ công
nghệ thông tin
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi
sau:
a) Tạo ra và cài đặt chương trình virus máy tính hoặc phần mềm gây hại hoặc đoạn
mã gây hại để thực hiện một trong những hành vi quy định tại Điều 71 của Luật
Công nghệ thông tin;
b) Ngăn chặn bất hợp pháp việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi trường mạng;
c) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá
nhân khác trên môi trường mạng
d) Khi cung cấp dịch vụ không thực hiện hoặc không có biện pháp ngăn ngừa trẻ em
truy nhập trên môi trường mạng thông tin không có lợi đối với trẻ em theo quy định
của pháp luật;
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
đ) Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin mang nội dung
không có lợi cho trẻ em nhưng không có dấu hiệu cảnh báo;
e) Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin trái đạo đức, thuần
phong mỹ tục của dân tộc;
g) Thử xâm nhập bất hợp pháp vào các hệ thống thông tin;
h) Truy xuất bất hợp pháp vào quá trình truyền đưa dữ liệu, thông tin.
i) Sử dụng người không có văn bằng, chứng chỉ về công nghệ thông tin do cơ quan
nhà nước có thẩm quyền cấp để quản lý hệ thống trang thiết bị công nghệ thông tin.
2. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi
sau:
a) Phát tán chương trình virus máy tính hoặc phần mềm gây hại hoặc đoạn mã gây hại
để thực hiện một trong những hành vi quy định tại Điều 71 của Luật Công nghệ thông
tin;
b) Xâm nhập, sửa đổi, xóa bỏ trái quy định của pháp luật đối với các nội dung
thông tin của tổ chức, cá nhân khác trên môi trường mạng;
c) Tấn công từ chối dịch vụ (DOS, DDOS) hoặc có các hành vi cản trở hoạt động
cung cấp dịch vụ của hệ thống thông tin;
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
d) Đánh bạc, tổ chức đánh bạc, môi giới mại dâm, lừa đảo, khủng bố trên môi trường mạng.
Điều 71 (Luật Công nghệ thông tin): Chống vi rút máy tính và phần mềm gây hại
- Tổ chức, cá nhân không được tạo Ra, cài đặt, phát tán vi rút máy tính, phần mềm
gây hại vào thiết bị số của người khác để thực hiện một trong những hành vi sau
đây:
- Thay đổi các tham số cài đặt của thiết bị số;
- Thu thập thông tin của người khác;
- Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an toàn, an ninh thông tin
được cài đặt trên thiết bị số;
- Ngăn chặn khả năng của người sử dụng xóa bỏ hoặc hạn chế sử dụng những
phần mềm không cần thiết;
- Chiếm đoạt quyền điều khiển thiết bị số;
- Thay đổi, xóa bỏ thông tin lưu trữ trên thiết bị số;
- Các hành vi khác xâm hại quyền, lợi ích hợp pháp của người sử dụng.
Điều 13. Cơ quan, tổ chức, cá nhân vi phạm quy định về an toàn, an ninh thông tin trong hoạt
động quản lý, cung cấp, sử dụng dịch vụ Internet, tuỳ theo tính chất, mức độ vi phạm sẽ bị xử
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
phạt theo quy định tại Điều 41 và Điều 45 của Nghị định số 55. Cụ thể như sau:
1. Phạt tiền từ 200.000 đồng đến 1.000.000 đồng đối với một trong các hành vi vi
phạm sau:
a) Sử dụng mật khẩu, khoá mật mã, thông tin riêng của người khác để truy
nhập, sử dụng dịch vụ Internet trái phép.
b) Sử dụng các công cụ phần mềm để truy nhập, sử dụng dịch vụ Internet
trái phép.
c) Vi phạm các qui định của Nhà nước về mã hoá và giải mã thông tin trên
Internet trong việc sử dụng dịch vụ Internet.
d) Vi phạm các qui định của Nhà nước về an toàn, an ninh thông tin trên
Internet trong việc sử dụng dịch vụ Internet .
2. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi vi
phạm
a) Vi phạm các qui định của Nhà nước về mã hoá và giải mã thông tin trên
Internet trong việc cung cấp dịch vụ Internet;
b) Vi phạm các qui định của Nhà nước về an toàn, an ninh thông tin trên
Internet trong việc cung cấp dịch vụ Internet;
c) Sử dụng Internet để nhằm mục đích đe dọa, quấy rối, xúc phạm đến danh dự,
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
nhân phẩm người khác mà chưa đến mức truy cứu trách nhiệm hình sự;
d) Đưa vào Internet hoặc lợi dụng Internet để truyền bá các thông tin, hình ảnh đồi
truỵ, hoặc những thông tin khác trái với qui định của pháp luật về nội dung tin trên
Internet, mà chưa đến mức truy cứu trách nhiệm hình sự;
đ) Đánh cắp mật khẩu, khoá mật mã, thông tin riêng của tổ chức, cá nhân và phổ
biến cho người khác sử dụng;
e) Vi phạm các quy định về vận hành, khai thác và sử dụng máy tính gây rối
loạn hoạt động, phong toả hoặc làm biến dạng, làm huỷ hoại các dữ liệu trên
Internet mà chưa đến mức truy cứu trách nhiệm hình sự.
3. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với hành vi tạo ra và cố ý lan truyền, phát tán
các chương trình vi rút trên Internet mà chưa đến mức truy cứu trách nhiệm hình sự.
4. Ngoài các hình thức xử phạt hành chính, tuỳ theo tính chất, mức độ vi phạm mà tổ
chức, cá nhân còn có thể bị áp dụng hình thức xử phạt bổ sung hoặc biện pháp khắc
phục hậu quả sau đây:
f) Tạm đình chỉ hoặc đình chỉ việc cung cấp và sử dụng dịch vụ Internet đối với
các hành vi vi phạm các điểm tại khoản 1, các điểm tại khoản 2, các điểm tại
khoản 3, khoản 4 Điều 13 của Qui định này.
g) Buộc khôi phục lại tình trạng ban đầu đã bị thay đổi do vi phạm hành chính gây
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
ra đối với hành vi vi phạm qui định tại điểm e khoản 3, khoản 4 Điều 13 của Qui
định này.
5. Hành vi lợi dụng Internet để chống lại Nhà nước Cộng hoà Xã hội Chủ nghĩa Việt
Nam và gây rối an ninh, trật tự; các hành vi vi phạm nghiêm trọng khác có dấu hiệu
tội phạm sẽ bị truy cứu trách nhiệm hình sự theo qui định của pháp luật.
Điều 63. Vi phạm các quy định về an toàn, an ninh
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi
sau:
a) Ngăn cản trái phép việc sử dụng chứng thư số;
b) Lưu trữ trái phép khoá bí mật của người khác;
c) Lưu trữ thông tin liên quan đến tổ chức, cá nhân xin cấp chứng thư số
không đảm bảo bí mật, an toàn;
d) Sử dụng thông tin liên quan đến tổ chức, cá nhân xin cấp chứng thư số
không đúng quy định của pháp luật;
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
đ) Không đảm bảo an toàn trong quá trình tạo hoặc chuyển giao chứng thư số
cho thuê bao.
2. Phạt tiền từ 10.000.000 đồng đến 30.000.000 đồng đối với hành vi sau:
a) Trộm cắp, gian lận, mạo nhận, chiếm đoạt khoá bí mật của người khác;
b) Sao chép, tiết lộ hoặc cung cấp khoá bí mật của thuê bao trái pháp
luật;
c) Truy nhập, tiết lộ, sử dụng trái phép thông tin của thuê bao và tổ chức
cung cấp dịch vụ chứng thực chữ ký số;
d) Không đảm bảo bí mật toàn bộ quá trình tạo cặp khóa;
đ) Sử dụng thiết bị không đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng
để tạo cặp khóa;
e) Sử dụng phương thức không đảm bảo an toàn để chuyển giao khóa bí
mật đến tổ chức, cá nhân xin cấp chứng thư số;
g) Tạo cặp khóa trái quy định của pháp luật;
h) Không lưu trữ bí mật những thông tin về thuê bao và khóa bí mật của thuê bao
trong suốt thời gian tạm dừng chứng thư số;
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
i) Sửa đổi trái phép thông tin của thuê bao và tổ chức cung cấp dịch vụ chứng
thực chữ ký số;
k) Không đảm bảo giữ bí mật khóa bí mật của thuê bao trong trường hợp thuê bao
ủy quyền.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi
sau:
a) Sử dụng phần mềm máy tính, thiết bị kỹ thuật xâm nhập trái phép vào hệ thống
thiết bị hoặc cơ sở dữ liệu của tổ chức cung cấp dịch vụ chứng thực chữ ký số mà
chưa đến mức truy cứu trách nhiệm hình sự;
VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí
b) Tiết lộ hoặc cung cấp trái pháp luật khoá bí mật của tổ chức cung cấp dịch vụ
chứng thực chữ ký số chuyên dùng;
c) Sử dụng trái phép khoá bí mật của người khác;
d) Làm giả hoặc hướng dẫn người khác làm giả chứng thư số;
đ) Tạo chữ ký số không đảm bảo một trong các điều kiện quy định tại Điều 9 Nghị định
này;
e) Sử dụng hệ thống thiết bị kỹ thuật không có khả năng phát hiện, cảnh báo những
truy nhập bất hợp pháp và những hình thức tấn công trên môi trường mạng;
g) Sử dụng hệ thống phân phối khóa cho thuê bao không đảm bảo sự toàn vẹn và bảo
mật của cặp khoá;
h) Không triển khai phương án kiểm soát sự ra vào trụ sở hoặc nơi đặt thiết bị phục vụ
việc cung cấp dịch vụ chứng thực chữ ký số;
i) Không triển khai phương án kiểm soát quyền truy nhập hệ thống cung cấp dịch
vụ chứng thực chữ ký số;
k) Sử dụng trái phép khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số
chuyên dùng;
l) Trộm cắp khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên
dùng;
m) Vi phạm các quy định về an toàn, an ninh khác theo quy định của pháp luật.
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi
sau:
a) Ngăn cản trái phép hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
b) Sử dụng trái phép khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số
công cộng;
c) Tiết lộ hoặc cung cấp trái pháp luật khoá bí mật của tổ chức cung cấp dịch vụ
chứng thực chữ ký số công cộng;
d) Trộm cắp khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số công
cộng.
5. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi
sau:
a) Không triển khai hoặc triển khai không đầy đủ phương án dự phòng để đảm bảo
duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra;
b) Trộm cắp khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc
gia;
c) Tiết lộ hoặc cung cấp khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ
ký số quốc gia trái pháp luật;
d) Sử dụng trái phép khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số
quốc gia;
đ) Phá hoại thiết bị, cơ sở dữ liệu của tổ chức cung cấp dịch vụ chứng thực chữ ký số
mà chưa đến mức truy cứu trách nhiệm hình sự;
e) Không thực hiện hoặc thực hiện không đúng yêu cầu của cơ quan nhà nước có
thẩm quyền trong trường hợp khẩn cấp theo quy định của pháp luật về tình trạng
khẩn cấp hoặc để đảm bảo an ninh quốc gia.
Điều 67. Trách nhiệm bảo vệ quyền, lợi ích hợp pháp của người sử dụng sản
phẩm, dịch vụ công nghệ thông tin
Nhà nước và xã hội thực hiện các biện pháp phòng, chống các hành vi xâm hại quyền,
lợi ích hợp pháp của người sử dụng sản phẩm, dịch vụ công nghệ thông tin. Quyền, lợi
ích hợp pháp của người sử dụng sản phẩm, dịch vụ công nghệ thông tin được bảo vệ
theo quy định của pháp luật.
Điều 68. Bảo vệ tên miền quốc gia Việt Nam ".vn"
1. Tên miền quốc gia Việt Nam “.vn” và tên miền cấp dưới của tên miền quốc gia Việt
Nam “.vn” là một phần của tài nguyên thông tin quốc gia, có giá trị sử dụng như nhau
và phải được quản lý, khai thác, sử dụng đúng mục đích, có hiệu quả.
Nhà nước khuyến khích tổ chức, cá nhân đăng ký và sử dụng tên miền quốc gia Việt
Nam “.vn”. Tên miền đăng ký phải thể hiện tính nghiêm túc để tránh gây sự hiểu nhầm
hoặc xuyên tạc do tính đa âm, đa nghĩa hoặc khi không dùng dấu trong tiếng Việt.
2. Tên miền quốc gia Việt Nam “.vn” dành cho tổ chức Đảng, cơ quan nhà nước phải
được bảo vệ và không được xâm phạm.
3. Tổ chức, cá nhân đăng ký sử dụng tên miền quốc gia Việt Nam “.vn” phải chịu trách
nhiệm trước pháp luật về mục đích sử dụng và tính chính xác của các thông tin đăng ký
và bảo đảm việc đăng ký, sử dụng tên miền quốc gia Việt Nam “.vn” không xâm phạm
các quyền, lợi ích hợp pháp của tổ chức, cá nhân khác có trước ngày đăng ký.
4. Bộ Bưu chính, Viễn thông quy định việc đăng ký, quản lý, sử dụng và giải quyết
tranh chấp tên miền quốc gia Việt Nam “.vn”.
Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông tin
Việc bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông tin phải thực hiện theo
quy định của pháp luật về sở hữu trí tuệ và các quy định sau đây:
1. Tổ chức, cá nhân truyền đưa thông tin trên môi trường mạng có quyền tạo ra bản
sao tạm thời một tác phẩm được bảo hộ do yêu cầu kỹ thuật của hoạt động truyền đưa
thông tin và bản sao tạm thời được lưu trữ trong khoảng thời gian đủ để thực hiện việc
truyền đưa thông tin;
2. Người sử dụng hợp pháp phần mềm được bảo hộ có quyền sao chép phần mềm
đó để lưu trữ dự phòng và thay thế phần mềm bị phá hỏng mà không phải xin phép,
không phải trả tiền bản quyền.
Điều 70. Chống thư rác
1. Tổ chức, cá nhân không được che giấu tên của mình hoặc giả mạo tên của tổ
chức, cá nhân khác khi gửi thông tin trên môi trường mạng.
2. Tổ chức, cá nhân gửi thông tin quảng cáo trên môi trường mạng phải bảo đảm cho
người tiêu dùng khả năng từ chối nhận thông tin quảng cáo.
3. Tổ chức, cá nhân không được tiếp tục gửi thông tin quảng cáo trên môi trường mạng
đến người tiêu dùng nếu người tiêu dùng đó thông báo không đồng ý nhận thông tin
quảng cáo.
Điều 71. Chống vi rút máy tính và phần mềm gây hại
Tổ chức, cá nhân không được tạo ra, cài đặt, phát tán vi rút máy tính, phần mềm gây
hại vào thiết bị số của người khác để thực hiện một trong những hành vi sau đây:
1. Thay đổi các tham số cài đặt của thiết bị số;
2. Thu thập thông tin của người khác;
3. Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an toàn, an ninh thông tin
được cài đặt trên thiết bị số;
4. Ngăn chặn khả năng của người sử dụng xóa bỏ hoặc hạn chế sử dụng những
phần mềm không cần thiết;
5. Chiếm đoạt quyền điều khiển thiết bị số;
6. Thay đổi, xóa bỏ thông tin lưu trữ trên thiết bị số;
7. Các hành vi khác xâm hại quyền, lợi ích hợp pháp của người sử dụng.
Điều 72. Bảo đảm an toàn, bí mật thông tin
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
1. Thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên
môi trường mạng được bảo đảm bí mật theo quy định của pháp luật.
2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:
a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân
khác trên môi trường mạng;
b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;
c) Ngăn chặn việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi
trường mạng, trừ trường hợp pháp luật cho phép;
d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ
chức, cá nhân khác trên môi trường mạng;
đ) Hành vi khác làm mất an toàn, bí mật thông tin của tổ chức, cá nhân khác
được trao đổi, truyền đưa, lưu trữ trên môi trường mạng
V. VỤ ÁN XÂM PHẠM AN TOÀN THÔNG TIN ĐIỂN HÌNH
Hack website của Bộ giáo dục Đào tạo
Từ 14g ngày 27-11, trang web của Bộ GD-ĐT ở địa
chỉ http://www.moet.gov.vn/ đã bị hacker tấn công.
Bức ảnh Bộ trưởng Nguyễn Thiện Nhân đang phát
biểu bị thay bằng một ảnh khác. Liền ngay sau đó,
trang web bị tấn công đánh sập hoàn toàn.
Trang 27
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Hacker để lại màn hình đen ngòm và các dòng chữ: Hacked by GuanYu (Bị hack bởi Guan
Yu) và It's a bad day for you and for me (Đây là một ngày tồi tệ cho bạn và cho tôi). Hacker
còn "mạnh dạn" để lại nick để chat là Guanyu_vn.
Câu hỏi đặt ra: Trí sẽ bị xử phạm tội gì hay không bị xử gì khi Trí nói chỉ với mục đích là
cảnh báo lỗ hổng của website???
X ử lý các hành vi ph ạ m t ộ i c ủ a Trí:
Bùi Minh Trí đã có hành vi cố ý tấn công website www.moet.gov.vn thông qua lỗ hổng SQL
của phần mềm và truy cập bất hợp pháp vào cơ sở dữ liệu trong máy chủ của Trung tâm Tin
học - Bộ GD-ĐT. Trí đã làm thay đổi dữ liệu, huỷ hoại dữ liệu và gây rối loạn hoạt động của
trang chủ Moet. Ngoài ra, Trí còn có hành vi cố ý gài vi-rút vào máy chủ của Trung tâm Tin
học dễ dàng xâm nhập và tấn công lần sau... Hành động của học sinh này đã gây ảnh hưởng
không nhỏ tới uy tín của Bộ GD-ĐT.
Xử lý hành chánh với tình tiết giảm nhẹ. Bộ luật Hình sự của nước ta có các điều 224, 225,
226 để xử lý các hành vi bị coi là tội phạm máy tính. Về trường hợp của em Bùi Minh Trí
chưa đến mức phải truy cứu trách nhiệm hình sự. Nếu áp dụng điểm K Điều 41 Nghị định
55/NĐ-CP của Chính phủ về “quản lý, cung cấp và sử dụng dịch vụ Internet” thì với hành vi
làm biến dạng, làm huỷ hoại các dữ liệu trên trang web Bộ GD-ĐT của em Bùi Minh Trí sẽ bị
xử phạt hành chính.
Mức xử phạt hành chính từ 10 đến 20 triệu đồng. Tuy vậy, với trường hợp của em Trí sẽ
được xem xét tình tiết giảm nhẹ về động cơ, về gia đình, học sinh và tuổi tác.
Điều tra dấu hiệu ăn cắp tiền qua mạng
Dữ liệu thu được trên đĩa cứng và các hòm thư của Bùi Minh Trí cho thấy, học sinh này không
chỉ tấn công các website mà còn có dấu hiệu sử dụng nhiều thẻ tín dụng mang tên người nước
ngoài để mua bán trên mạng với số tiền lên tới hàng nghìn USD.
Theo C15, khi bị quản trị của một website thương mại điện tử
tại Mỹ nghi ngờ hành vi chiếm dụng thẻ tín dụng để thanh
toán, Trí đã đáp lại bằng những lời lẽ rất thiếu văn hoá.
"Chúng tôi đang tiếp tục điều
tra để làm rõ dấu hiệu ăn cắp tiền qua mạng của học sinh này.
Tuy nhiên, chỉ riêng hành vi phá hoại website của cơ quan
nhà nước Trí chắc chắn sẽ bị xử phạt hành chính"
Ngày 3/1, Sở Bưu chính -
Viễn thông Vĩnh Long, đã
họp cùng đại diện công an
tỉnh và hiệu trưởng Trường
chuyên Nguyễn Bỉnh
Khiêm. Cuộc họp thống
nhất xử phạt hành chính
Bùi Minh Trí 10 triệu đồng.
Tuy nhiên, mức phạt này
còn chờ ý kiến của Bộ
GD&ĐT.
Theo Giám đốc Sở
GD&ĐT tỉnh Vĩnh Long,
Trí vẫn được dự kỳ thi tốt
nghiệp THPT và ĐH sắp
tới.
(Theo Người Lao Động)
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
"Nhiều người cho rằng việc hack được website của Bộ
GD&ĐT chứng tỏ Trí là người có tài. Nhưng phá một cái gì
đó bao giờ cũng dễ gấp trăm lần việc làm ra chính cái đó. Chỉ
cần vào Internet, bằng vài từ khoá có thể dễ dàng tìm ra các
công cụ, các bài hướng dẫn để tấn công phá hoại các
website", ông Nguyễn Tử Quảng nêu quan điểm.
Những vấn đề xung quanh việc hack website:
Một người hack được website có thực sự có tài?
Nhiều người cho rằng việc Bùi Minh Trí có thể hack được website của Bộ Giáo dục và Đào
tạo chứng tỏ Trí là người có tài. Với tư cách là một đơn vị hoạt động lâu năm và có nhiều
kinh nghiệm trong lĩnh vực an ninh mạng, chúng tôi thấy rằng:
Thực tế việc tấn công các website có thể học được, thậm chí là dễ dàng và nhanh chóng. Chỉ cần vào
Internet, bằng vài từ khoá có thể dễ dàng tìm ra hàng loạt các công cụ (Tools), các bài hướng dẫn để tấn
công phá hoại các website.
Điều này cũng giống như với một người bình thường thì việc đột nhập vào một ngôi nhà đang
khoá thì rất khó, nhưng với một cây kìm cộng lực trong tay, bọn trộm có thể làm điều đó dễ
dàng, khiến chúng ta ngỡ ngàng nếu không biết chúng có những dụng cụ mạnh như vậy. Nếu ai
đã chứng kiến việc dùng kìm cộng lực để cắt một thanh sắt cứng dễ dàng như thế nào thì sẽ
không khó để hình dung ra điều này.
Trong cuộc sống, việc “phá” một cái gì đó bao giờ cũng dễ gấp trăm nghìn lần việc làm ra
chính cái đó. Một cây cầu có thể mất tới 3 năm trời với hàng nghìn công nhân, hàng trăm kỹ sư
để xây lên, nhưng để phá nó thì chỉ cần một quả mìn, kẻ phá hoại có thể phá huỷ nó chỉ trong
một tích tắc, lúc đó kẻ gây ra việc này sẽ bị chúng ta khinh bỉ chứ chắc chắn không ai cho rằng
kẻ đó là có tài.
Tương tự như vậy, một kẻ thành thạo trong việc tấn công website không có nghĩa là đủ khả
năng để xây dựng những website như vậy. Nếu am hiểu về thế giới ngầm hacker, bạn sẽ thấy
rõ điều này. Có nhiều hacker phá rất “giỏi” nhưng thậm chí không thể viết được một phần mềm
đúng nghĩa.
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Xâm nhập trái phép tài khoản của người nước ngoài, đánh cắp dữ liệu thẻ tín dụng, ăn
cắp tiền và chuyển vào tài khoản của cá nhân.
Hacker “mũ đen” Trần Quang Duy (SN 1986, ngụ tại quận 8, TP.HCM) vừa bị bắt về hành vi
trộm cắp tài sản qua internet như trên.
Lênh bắt khẩn cấp được thực hiện bởi Phòng CSĐT tội phạm công nghệ cao, thuộc Cục CSĐT tội phạm về trật tự quản lý kinh tế và chức vụ, Bộ Công an (C15).Theo điều tra ban đầu, Trần Quang Duy đã dụ nạn nhân bằng thủ đoạn quảng cáo trên
báo và phát tờ rơi rao bán vé máy bay giá rẻ của Hãng hàng không Tiger Airways từ
Việt Nam đi Singapore. Nhiều người đã bị đánh lừa với lời rao “ngọt ngào” là đăng ký
giao dịch qua mạng sẽ được ưu đãi giá vé thấp hơn nhiều so với giá chính hãng.
Khi nạn nhân chấp thuận giao dịch qua mạng, Duy vào web site của hãng Tiger
Airways, làm thủ tục đặt vé cho nạn nhân. Các nạn nhân chuyển tỉền đến Duy, sau đó
có thể nhận vé trực tiếp hoặc qua các đại lý.
Sau khi có thông tin về số tài khoản của nạn nhân, Duy sử dụng kỹ năng tin học để
đăng nhập vào website của ngân hàng mà nạn nhân mở tài khoản, phá mật khẩu, và
cuối cùng chỉ việc chuyển tiền trong tài khoản họ về tài khoản của Duy.
Cường và Hậu, 2 trong số
những hacker "mũ đen" bị bắt
trước đó về hành vi ăn cắp tài
khoản tín dụng để làm giả thẻ
ATM, đánh cắp tiền của
người nước ngoài.
Hành vi phạm tội này diễn ra
trong một thời gian dài. Kẻ
phạm tội nghĩ là mình khó
phát hiện, vì
chỉ nhắm vào các tài khoản của người nước ngoài.
Tuy nhiên, hành vi này đã bị theo dõi bởi C15 Bộ Công an. Đến tận lúc bị bắt, Duy vẫn
còn khá bất ngờ và ngạc nhiên.
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
VI. CHÍNH SÁCH AN TOÀN THÔNG TIN – HÀNH LANG PHÁP LÝ
Chính sách an toàn thông tin (Information security policy)
Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin.
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết
về an toàn thông tin thông qua việc đưa ra và duy trì các chính sách về an toàn thông tin đối
với một tổ chức.
Tài liệu chính sách an toàn thông tin cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến
cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông
tin.Tối thiểu là bao gồm:
a) định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập
cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu);
b) đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an toàn thông
tin
c) bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có
tính chất quan trọng cho một tổ chức, ví dụ như:
1)đúng theo luật pháp và các yêu cầu hợp đồng
2) các yêu cầu về kiến thức an toàn
3) ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác;
4) quản lý tính liên tục trong kinh doanh;
5) các hậu quả của sự vi phạm các chính sách an toàn thông tin
d) định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin
bao gồm các báo cáo về các vấn đề an toàn nói chung.
e) tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông
tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người
dùng.
Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan.
Xây Dựng một Chính Sách Bảo Mật Hệ Thống
1. Xác định đối tượng cần bảo vệ:
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
2. Xác định nguy cơ đối với hệ thống
a. Các điểm truy nhập:
b. Không kiểm soát được cấu hình hệ thống
c. Những bug phần mềm sử dụng
d. Những nguy cơ trong nội bộ mạng
3. Xác định phương án thực thi chính sách bảo mật
a. Tính đúng đắn
b. Tính thân thiện
c. Tính hiệu quả
4. Triển khai chính sách bảo mật bằng cách đào tạo người sử dụng và xây dựng thiết
bị
5. Thiết lập các thủ tục bảo vệ hệ thống
a. Thủ tục quản lý tài khoản người sử dụng
b. Thủ tục quản lý mật khẩu
c. Thủ tục quản lý cấu hình hệ thống
d. Thủ tục sao lưu và khôi phục dữ liệu
e. Thủ tục báo cáo sự cố
VII. 7 GIẢI PHÁP TRONG CHÍNH SÁCH AN TOÀN THÔNG TIN
1. Con người
a, Chiến lược
• Năng lực an toàn thông tin là vấn đề cốt lõi cần xây dựng đơn vị.
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
• Dựa vào bên thứ 3 cho tất cả hoặc phần nào đó.
• Cần một thời gian ngắn để bên thứ 3 giúp cải thiện chương trình sau đó chuyển
giao công nghệ cho cán bộ.
• Có cần lãnh đạo có năng lực cho đơn vị.
• Có đào tạo đầy đủ cho cán bộ và họ có đạt được chứng nhận của ngành.
• Có tiếp tục chương trình đào tạo để đảm bảo cán bộ có được chứng nhận của ngành.
• Đơn vị theo mô hình tập trung hay phân tán.
• Bạn có muốn cách ly trách nhiệm trong đơn vị như thế nào.
• Vai trò và trách nhiệm của cán bộ an toàn thông tin.
• Phối hợp tối ưu nhất cán bộ trong đơn vị an toàn thông tin.
b, Hợp phần
• Quản lý an toàn
• Cán bộ kỹ thuật
• Kiểm soát
• Quản lý an toàn
• Lãnh đạo an toàn thông tin hiểu biết rộng:
+ An toàn thông tin
+ Hoạt động của đơn vị
• Nhà quản lý an toàn thông tin cần:
+ Chứng chỉ kỹ năng attt (CISSP)
+ Chứng chỉ quản lý attt (CISM)
• Cán bộ kỹ thuật cần có:
+ Kỹ năng thích hợp theo lĩnh vực
+ SysAdmin
+ Audit
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
+ Network Security
• Kiểm soát
Đảm bảo cho chương trình hoạt động phù hợp với chính sách đã đề ra:
+ Có vai trò rất quan trọng
+ Phải hiểu về chương trình attt
+ Có kinh nghiệm
+ Có chứng chỉ kiểm soát hệ thống thông tin (CISA)
c, Quản lý
2. Hành lang pháp lý
1. Luật Công nghệ thông tin.
2. Pháp lệnh Bưu chính, Viễn thông.
3. Nghị định 55/2001/NĐ-CP.
4. Nghị định 160/2004/NĐ-CP.
5. Nghị định số 64/2007/NĐ-CP.
Vai trò trong chương trình attt
CEO - Thiết lập trương trình attt chung
- Kiểm soát quá trình chung
Lãnh đạo attt Duy trì cấu trúc và chiến lược attt
Giám đốc thông tin (CIO) Thuê và quản lý nhóm attt
Giám đốc an toàn (CSO) Xây dựng lộ trình attt và báo cáo quy trình theo mục tiêu c
Giám đốc attt (CISO) Chiến lược hóa và thực hiện thành công nguồn lực ngoài
Director of Information Security Đảm bảo nhận thức chung về attt trong đơn vị
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
3. Tổ chức
4. Quy trình
a) Lên kế hoạch
- Chính sách
- Tiêu chuẩn
- Biện pháp
b) Hợp phần
- Quản trị tài khoản :
+ Hệ thống quản lý thông tin nguồn nhân lực (HRIS).
+ Cán bộ trong biên chế, ngoài biên chế
+ Độ dài từ khóa tối thiểu 8 ký tự
+ 90 ngày lại thay đổi từ khóa
+ Nhận thức về attt
- Phản ứng khẩn cấp
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
+ Lập kế hoạch
+ Dễ hiểu, đơn giản (thao tác trong trường hợp khẩn cấp)
+ Khớp nối, phối hợp
+ Bộ phận chịu trách nhiệm (không nêu tên cá nhân)
+ Liên lạc
+ Ủy quyền
- Quản lý thương khẩu
+ Tần suất quét: 1 lần/1 quý
+ Thời gian quét: theo quy định
+ Báo cáo kết quả
+ Xúc tiến hàn khẩu
- Truy nhập từ xa
+ Ủy quyền: ai được truy nhập
+ Tin tức: loại tin được phép
+ Phương pháp truy nhập:
+ Máy tính tại gia đình
7.4.3 Quản trị
+ Đánh giá sự tuân thủ
+ Lập một nhóm mẫu
+ Lập ban ATTT
+ Phù hợp thông lệ quốc tế
5. Công nghệ
- Management & Reporting
- Content Filtering
- Intrusion Detection
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
- Vulnerability Management
- Anti-Virus
- Firewall & VPN
- AAA
Quản lý :
- Quét và điều trị
- Rà soát độc lập chương trình ATTT
- Cập nhật chương trình chống vi rút
- Chương trình kiểm soát: kiểm soát được sự cố/tháng
6. Hợp tác
- Cải thiện năng lực tìm và phòng ngừa tấn công: các cơ quan tình báo, quốc phòng
và hành pháp phải cải thiện khả năng tìm ra nhanh nguồn tấn công hoặc các hoạt
động có nguy cơ để cho phép đối phó kịp thời và hiệu quả.
- Cải tiến việc phối hợp giữa các cơ quan trong một quốc gia để đối phó với các
cuộc tấn công mạng
- Giành quyền đối phó thích hợp: khi một quốc gia, nhóm khủng hay những ý đồ khác
tấn công vào một quốc gia nào đó qua mạng, thì quốc gia bị tấn công không thể bị giới
hạn trong thủ thục tố tụng, mà có thể giành quyền đối phó trước kịp thời và thích hợp.
- Hợp tác với các tổ chức quốc tế và với tổ chức thuộc chuyên môn để tạo thuận lợi
và thúc đẩy “văn hóa an toàn mạng” toàn cầu: mỗi một quốc gia cần phải quan tâm
tới an toàn mạng ngoài phạm vi biên giới của mình .
- Tăng cường nỗ lực công tác phản tình báo .
Trang
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
- Mối nước cần nỗ lực phối hợp giải quyết các vấn đề về kỹ thuật, khoa học và các
chính sách liên quan đảm bảo sự hoàn chỉnh của các mạng thông tin
- Mỗi một nước nên thiết lập hệ thống cảnh báo quốc gia và quốc tế để phát hiện
và ngăn chặn các cuộc tấn công mạng .
7. Thưởng phạt
- Thực hiện công tác thanh tra, kiểm tra .
- Tuyên dương, khen thưởng.
- Xử phạt.
Những thành viên tham gia tích cực:
Nguyễn Hải Quang Minh Bùi
Thị Mỹ Như
Tôn Thị Kim Loan
Trần Hồng Nghi
Nguyễn Ngọc Hà
Nghiêm Xuân Hiệp
Nguyễn Cao Minh