An ninh thông tin – vấn đề mã hoá thông tin nhạy cảm của các cơ quan Chính phủ Mỹ

14:00 | 03/07/2009 | CHÍNH SÁCH - CHIẾN LƯỢC

Tóm tắt báo cáo của Văn phòng GAO (Mỹ)

1. GAO xác định thuật ngữ thông tin nhạy cảm đề cập trong báo cáo bao gồm: Thông tin an ninh quốc gia, thông tin về quốc nội; “Số an sinh xã hội; Các bản ghi y tế; Dữ liệu hành pháp; Các thông tin riêng khác có thể bị tiết lộ không hợp lý, bị xem lướt, hoặc bị sao chép không đúng qui định hoặc phục vụ cho mục đích phạm tội”.

2. Báo cáo của GAO về An ninh thông tin được công bố vào tháng 06/2008. Đây là kết quả khảo sát ở 24 cơ quan lớn của Chính phủ Mỹ. Trong đó, có 10 cơ quan xử lý các thông tin y tế nhạy cảm; 16 cơ quan có những thông tin luật pháp nhạy cảm; 19 cơ quan có thông tin nhân thân; và 20 cơ quan có thông tin về các chương trình đặc thù.

3. Hạ tầng kỹ thuật trọng yếu được GAO diễn tả gồm: Hạ tầng mạng; Hạ tầng vật lý; các cơ sở Hạ tầng công cộng và chuyên dùng khác khác cần thiết để bảo đảm an ninh quốc gia, an ninh kinh tế quốc gia hoặc cho sự an toàn và sức khỏe của cộng đồng.

4. Mã hóa là biện pháp hỗ trợ bảo vệ các thông tin nhạy cảm: Các công nghệ mã hóa để bảo mật thông tin lưu trữ gồm: Mã hóa toàn bộ đĩa; Mã hóa bằng phần cứng; Mã hóa tệp, thư mục, ổ đĩa ảo. Trên đường truyền tin, thông tin nhạy cảm được bảo vệ bằng các công nghệ: Mạng riêng ảo (VPN); Chữ ký số và Chứng chỉ số; Các công nghệ mã hóa áp dụng cho các thiết bị điện toán cầm tay.

5. Luật pháp và hướng dẫn thực hiện luật pháp bao gồm:

- Các luật Liên bang không bắt buộc các tổ chức phải mã hóa thông tin nhạy cảm, luật trao trách nhiệm bảo vệ an ninh thông tin cho các cơ quan Chính phủ.

- Đặc biệt, Luật An ninh thông tin Liên bang 2002 (Federal Information Security Management Act – FISMA 2002) được gói trong Luật Chính phủ điện tử 2002 (E-Government Act 2002) cung cấp khung pháp lý để đảm bảo kiểm soát hiệu quả thông tin và hệ thống thông tin của các cơ quan Chính phủ.

- Cơ quan Hành chính, quản trị Chính phủ (Office of Management and Budget - OMB) là cơ quan chịu trách nhiệm thiết lập chính sách và hướng dẫn các cơ quan chính phủ thi hành Luật FISMA, Luật Bí mật cá nhân (Privacy Act), và các luật an ninh thông tin, luật bí mật cá nhân khác.

- NIST chịu trách nhiệm cung cấp cho các cơ quan Chính phủ những hướng dẫn lập kế hoạch; hướng dẫn triển khai; các chuẩn bắt buộc để xác định, phân loại thông tin, và lựa chọn biện pháp bảo vệ cần thiết.

6. Thực tế, mức độ quan tâm đến mã hóa dữ liệu nhạy cảm rất khác nhau. Các cơ quan thường ít quan tâm đến dữ liệu lưu trữ mà quan tâm nhiều hơn đến mã hóa dữ liệu trên đường truyền.

- Rất ít cơ quan thực hiện mã hóa các thông tin lưu trữ trên thiết bị lưu động (Đây là yêu cầu bắt buộc của OMB). Với 24 cơ quan đã khảo sát, tỷ lệ không mã dữ liệu trên các thiết bị lưu động là 70%.

- Việc thực hiện mã hóa không có kế hoạch đầy đủ, chưa tuân thủ hướng dẫn của NIST về việc lập hồ sơ kế hoạch thực hiện. Văn bản số 800-53 (NIST Special Publication 800-53) của NIST hướng dẫn và yêu cầu các cơ quan tiến hành kiểm kê thông tin và lựa chọn biện pháp bảo vệ. 75% các cơ quan được khảo sát không tiến hành kiểm kê thông tin nhạy cảm đang nắm giữ.

- Thực tế ứng dụng mã hóa ở tất cả các cơ quan còn yếu: Không có cơ quan nào cài đặt các sản phẩm tương thích với các qui định của FIPS (Yêu cầu bắt buộc của OMB). Hiện nay, các cơ quan chính phủ Mỹ có thể được cung cấp các sản phẩm mã hóa tuân theo Tiêu chuẩn môđun mật mã an toàn FIPS 140-2 từ Chương trình “SmartBUY” của Văn phòng Chính phủ Mỹ. Nhiều cơ quan cài đặt, cấu hình hệ thống chưa hoàn chỉnh theo đúng yêu cầu của NIST. Hầu hết các cơ quan chưa xây dựng hoặc chưa lập hồ sơ các qui định, qui trình mã hóa. Một số cơ quan chưa đào tạo đầy đủ đội ngũ nhân viên ATTT.

* GAO còn đưa ra 20 khuyến nghị cần thực hiện ngay đối với OMB và một số cơ quan Chính phủ quan trọng:

- Đối với OMB: Làm rõ chính sách bắt buộc các cơ quan Chính phủ phải mã hóa thông tin nhạy cảm; giám sát các hoạt động ứng dụng mã hóa, kiểm kê thông tin nhạy cảm đang lưu giữ của các cơ quan Chính phủ.

- Đối với các cơ quan Chính phủ khác, yêu cầu phải sử dụng các sản phẩm mật mã đáp ứng tiêu chuẩn của FIPS 140-2 để mã hóa thông tin; xây dựng chính sách, quy trình thiết lập và quản lý khóa; xây dựng quy trình đảm bảo sử dụng mật mã theo quy định của FIPS.

‹ › ×

Tin liên quan

Úc: 519 vụ vi phạm dữ liệu xảy ra trong 6 tháng cuối năm 2020

08:00 | 01/03/2021

Các cơ quan của Úc chịu sự điều chỉnh của Đạo luật về quyền riêng tư đã báo cáo 519 trường hợp vi phạm dữ liệu trong 6 tháng cuối năm, tăng 5% so với nửa đầu năm 2020.

Các mối đe dọa nhắm mục tiêu tới các cơ quan chính phủ ngày càng gia tăng

17:00 | 02/07/2021

Nghiên cứu mới đây về gian lận trong khu vực công của Cơ quan báo cáo tín dụng tiêu dùng TransUnion Mỹ nhấn mạnh, các vụ việc như chiếm đoạt tài khoản đã làm giảm lòng tin của người dùng vào các dịch vụ di động và trực tuyến của chính phủ.

Tin cùng chuyên mục

Cảnh báo gia tăng xu hướng tấn công bằng mã độc tống tiền

08:00 | 01/04/2024

Qua theo dõi, giám sát không gian mạng, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) phát hiện xu hướng tấn công mạng, đặc biệt là mã hóa tấn công tống tiền (ransomware) tăng cao. Do đó, Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp trên toàn quốc rà soát và triển khai đảm bảo an toàn cho các hệ thống thông tin.

Thách thức an ninh mạng và giải pháp trong xây dựng Chính phủ số hiện nay

08:00 | 10/02/2024

Ngày nay, với sự phát triển nhanh chóng của khoa học công nghệ, bên cạnh những lợi ích to lớn không thể phủ nhận thì các nguy cơ, thách thức đặt ra đối với an ninh mạng đang ngày càng hiện hữu. Ứng phó với những nguy cơ đe dọa an ninh quốc gia đã trở thành vấn đề toàn cầu, được nhiều quốc gia, nhất là các nước lớn, xác định là vấn đề cốt lõi, sống còn để bảo vệ, phát triển đất nước. Bài viết sẽ thông tin tới độc giả những thách thức an ninh mạng, đồng thời đưa ra các giải pháp trong xây dựng Chính phủ số ở nước ta hiện nay.

Vai trò không gian mạng trong các cuộc chiến quân sự trên thế giới (Phần III)

11:00 | 25/01/2024

Chiến lược quân sự trên không gian mạng là một trong những nội dung ưu tiên trong chiến lược an ninh quốc gia của Trung Quốc, là nhân tố quan trọng đối với hệ thống quản trị Internet và độc lập chủ quyền của quốc gia này. Vai trò của không gian mạng ngày càng trở nên quan trọng đặt trong bối cảnh cạnh tranh toàn cầu hiện nay. Trong đó, cạnh tranh công nghệ giữa Trung Quốc, Mỹ và các nước phương Tây ngày càng gia tăng, cũng như những căng thẳng giữa Trung Quốc và một số nước trong khu vực có nguy cơ bùng nổ một cuộc chiến toàn diện về quân sự. Bài viết sẽ tìm hiểu về vai trò của không gian mạng trong các cuộc chiến quân sự của Trung Quốc.

Liên bang Nga ban hành đạo luật về đồng Ruble kỹ thuật số

08:00 | 18/08/2023

Ngân hàng Trung ương Liên Bang Nga bắt đầu dự án phát triển đồng Ruble kỹ thuật số vào cuối năm 2020, dự kiến bắt đầu thử nghiệm đồng tiền này với khách hàng và tiền thật từ ngày 1/4/2023. Tuy nhiên, thời hạn này đã phải hoãn lại do chậm trễ trong việc thông qua các hành lang pháp lý cần thiết. Mặc dù vậy, dự luật về đồng Ruble kỹ thuật số cuối cùng đã được hạ viện của Quốc hội Liên bang Nga thông qua vào ngày 11/7, Hội đồng Liên bang phê duyệt vào ngày 19/7 và đến ngày 24/7 vừa qua đã được Tổng thống Liên bang Nga Putin ký ban hành với tên đầy đủ là: Luật Liên bang số 340-FZ ngày 24/7/2023 "Về sửa đổi một số đạo luật lập pháp của Liên bang Nga".