Phân định cấp độ hệ thống thông tin

10:46 | 29/05/2015 | GP ATTM

Cấp độ an toàn thông tin của một hệ thống thông tin (HTTT) là mức độ quan trọng của hệ thống đó đối với hoạt động của toàn bộ cơ sở hạ tầng thông tin và truyền thông quốc gia, đối với phát triển kinh tế, xã hội và bảo đảm an ninh, quốc phòng của đất nước. HTTT càng quan trọng, thì cấp độ an toàn thông tin càng cao. Việc phân định cấp độ HTTT là việc đánh giá, xác định HTTT đó an toàn ở cấp độ nào.

Hiện nay, nhiều quốc gia trên thế giới đã có những quy định về phân cấp độ an toàn thông tin. Mỹ đã ban hành các tiêu chuẩn và các hướng dẫn yêu cầu kỹ thuật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại thông tin trong hệ thống; SP800-60 – Hướng dẫn xác định loại HTTT dựa vào loại thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53 – Các biện pháp bảo đảm ATTT theo loại HTTT.... Theo đó, biện pháp bảo vệ được xác định dựa vào loại thông tin, thuộc tính của thông tin (chia làm 3 loại thuộc tính), cấp độ ảnh hưởng (chia thành 3 cấp độ). Cách phân loại này phức tạp, khó thực hiện khi có nhiều loại HTTT và trong HTTT có nhiều loại thông tin.

Trung Quốc đã ban hành các tiêu chuẩn về phân loại như: GB/T 22240-2008 - Hướng dẫn phân loại HTTT; GBT 25058-2010 – Hướng dẫn thực hiện bảo vệ HTTT theo cấp độ... Như vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về kỹ thuật, quản lý tương ứng và hướng dẫn thực hiện bảo vệ HTTT theo cấp độ an toàn.

Tại Việt Nam, phần lớn các cơ quan, tổ chức chưa áp dụng đầy đủ các biện pháp bảo đảm cho HTTT và chưa xác định được cấp độ an toàn cần thiết, vì vậy không xác định được đầy đủ các yêu cầu về kỹ thuật và quản lý. Điều đó dẫn đến việc đầu tư tốn kém mà không bảo đảm yêu cầu cần thiết. Vì vậy, việc quy định và hướng dẫn xác định cấp độ an toàn HTTT nhằm đưa ra các yêu cầu bảo đảm an toàn cần thiết về kỹ thuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ gặp nhiều khó khăn.

Phương pháp tiếp cận xác định cấp độ an toàn của HTTT là dựa vào thông tin mà hệ thống đó trực tiếp tạo lập, xử lý, quản lý và bảo vệ. Sau đây giới thiệu về phân loại cấp độ an toàn HTTT, một số nguyên tắc xác định cấp độ an toàn HTTT và tiêu chí xác định cấp độ an toàn HTTT.

Về phân loại cấp độ an toàn HTTT

Cấp độ an toàn HTTT có thể được chia làm 5 cấp, xác định dựa vào mức độ tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; trật tự an toàn xã hội, lợi ích công cộng; an ninh, quốc phòng của đất nước khi hệ thống bị mất an toàn thông tin như sau:

- Cấp độ 1: Gây tổn hại thường tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới trật tự an toàn xã hội, lợi ích công cộng và an ninh, quốc phòng của đất nước.

- Cấp độ 2: Gây tổn hại nghiêm trọng, đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại thường tới trật tự an toàn xã hội, lợi ích công cộng nhưng không làm tổn hại tới an ninh, quốc phòng của đất nước.

- Cấp độ 3: Gây tổn hại nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại thường tới an ninh, quốc phòng của đất nước.

- Cấp độ 4: Gây tổn hại đặc biệt nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại nghiêm trọng tới an ninh, quốc phòng của đất nước.

- Cấp độ 5: Gây tổn hại đặc biệt nghiêm trọng tới an ninh, quốc phòng của đất nước.

Cơ quan, tổ chức xác định cấp độ an toàn và sẽ báo cáo về cơ quan có thẩm quyền theo quy định.

Về nguyên tắc xác định cấp độ an toàn HTTT

Xác định cấp độ an toàn HTTT có thể theo nguyên tắc tự định cấp theo quyền hạn, nghĩa vụ của cơ quan chủ quản hoặc đơn vị vận hành, khai thác, sử dụng HTTT. Cấp độ an toàn của hệ thống phải được xác định dựa vào mức tổn hại cao nhất mà HTTT đó gây ra cho đối tượng thiệt hại khi bị mất ATTT. Bên cạnh đó, cơ quan, tổ chức vận hành, khai thác và sử dụng HTTT có trách nhiệm trực tiếp trong việc xác định cấp độ an toàn hệ thống.

Về tiêu chí xác định cấp độ an toàn HTTT

Việc xác định cấp độ an toàn HTTT có thể dựa vào các tiêu chí sau: Đối tượng thiệt hại, bao gồm các đối tượng sau: Quyền, lợi ích hợp pháp của tổ chức, cá nhân; Trật tự an toàn xã hội, lợi ích công cộng; An ninh, quốc phòng của đất nước. Mức tổn hại, bao gồm các mức: bình thường, nghiêm trọng và đặc biệt nghiêm trọng và xác định HTTT.

Trong đó, việc xác định đối tượng thiệt hại căn cứ vào: Đối tượng thiệt hại liên quan đến quyền và lợi ích hợp pháp của tổ chức, cá nhân; Đối tượng thiệt hại liên quan đến trật tự an toàn xã hội, lợi ích công cộng; Đối tượng thiệt hại liên quan đến an ninh, quốc phòng của đất nước.

Xác định mức tổn hại

Mức tổn hại được xác định khi HTTT bị mất an toàn và gây ra ít nhất một ảnh hưởng được quy định như sau:

- Mức tổn hại thường: Thông tin bị mất an toàn không mang tính bí mật và không gây tổn hại đến cá nhân, tổ chức khác; Phạm vi tổn thất tài sản cục bộ, bên trong cơ quan/tổ chức.

- Mức tổn hại nghiêm trọng: Thông tin bị mất an toàn mang bí mật của cơ quan/tổ chức; Phạm vi tổn thất tài sản trên toàn phạm vi cơ quan/tổ chức; Làm ảnh hưởng cục bộ đến hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

- Mức tổn hại đặc biệt nghiêm trọng: Thông tin bị mất an toàn mang tính bí mật quốc gia, bí mật quân sự, ảnh hưởng đến an ninh, quốc phòng đất nước; Gây tổn hại đặc biệt nghiêm trọng tới cá nhân, tổ chức khác; Làm ảnh hưởng tới toàn bộ hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

Xác định HTTT

Việc xác định cấp độ an toàn cho một HTTT phải căn cứ vào loại thông tin được hệ thống đó tạo lập, xử lý và bảo vệ.

Như vậy, việc xác định và phân loại cấp độ các HTTT là căn cứ cần thiết để đề ra các giải pháp bảo đảm an toàn, xác định mức độ đầu tư các nguồn lực một cách phù hợp, bảo đảm sự vận hành hiệu quả và an toàn.

‹ › ×

Tin cùng chuyên mục

Một số lưu ý khi thiết kế các thiết bị IoT có yêu cầu an toàn thông tin

23:00 | 25/09/2017

Hiện nay, xu hướng máy tính liên kết máy tính (M2M) và Internet vạn vật (IoT) bùng nổ, dẫn đến ngày càng có nhiều kết nối giữa các thiết bị với nhau và với hệ thống mạng. Các kết nối này đem lại những lợi ích lớn như: khả năng thu thập dữ liệu, kiểm soát thông minh, phân tích.... Tuy nhiên, đây cũng là điểm yếu ATTT lớn nhất đối với thiết bị IoT.

Cơ sở hạ tầng di động ảo giải pháp bảo đảm an toàn thông tin trong môi trường di động

05:29 | 02/11/2016

Ngày nay, sử dụng thiết bị di động cá nhân (Bring Your Own Device - BYOD) như máy tính bảng hay điện thoại thông minh để giải quyết công việc đang là xu hướng tất yếu. Xu hướng này đã buộc các tổ chức/doanh nghiệp phải triển khai các chiến lược bảo mật di động một cách toàn diện và tiện dụng cho người dùng. Bài báo giới thiệu khái quát một số giải pháp đảm bảo an toàn mạng cho các doanh nghiệp khi triển khai mô hình BYOD, đặc biệt phân tích các lợi thế của cơ sở hạ tầng di động ảo - VMI.

Ngành ngân hàng hướng tới nâng cao bảo mật bằng sinh trắc học

22:01 | 05/09/2016

Khi các hoạt động tài chính toàn cầu ngày càng được số hóa nhiều hơn, các ngân hàng tận dụng công nghệ mới để phát triển hệ thống bảo mật nhằm chống lại lừa đảo, giúp giao dịch an toàn hơn và nâng cao trải nghiệm người dùng.

An toàn thông tin cho ảo hóa

05:39 | 28/06/2016

Thời gian gần đây, vấn đề an toàn thông tin cho các trung tâm dữ liệu ngày càng được coi trọng. Các hoạt động xâm phạm an toàn một cách tinh vi, các mối đe dọa an toàn mạng, các phần mềm độc hại mới xuất hiện liên tục. Các cuộc tấn công khủng bố nhắm vào cơ sở hạ tầng ảo hóa ngày càng gia tăng, do đó các tổ chức, doanh nghiệp cần có các biện pháp tiếp cận vấn đề này một cách chủ động để bảo vệ tài sản của mình.