Phân định cấp độ hệ thống thông tin

10:46 | 29/05/2015 | GP ATTM

Cấp độ an toàn thông tin của một hệ thống thông tin (HTTT) là mức độ quan trọng của hệ thống đó đối với hoạt động của toàn bộ cơ sở hạ tầng thông tin và truyền thông quốc gia, đối với phát triển kinh tế, xã hội và bảo đảm an ninh, quốc phòng của đất nước. HTTT càng quan trọng, thì cấp độ an toàn thông tin càng cao. Việc phân định cấp độ HTTT là việc đánh giá, xác định HTTT đó an toàn ở cấp độ nào.

Hiện nay, nhiều quốc gia trên thế giới đã có những quy định về phân cấp độ an toàn thông tin. Mỹ đã ban hành các tiêu chuẩn và các hướng dẫn yêu cầu kỹ thuật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại thông tin trong hệ thống; SP800-60 – Hướng dẫn xác định loại HTTT dựa vào loại thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53 – Các biện pháp bảo đảm ATTT theo loại HTTT.... Theo đó, biện pháp bảo vệ được xác định dựa vào loại thông tin, thuộc tính của thông tin (chia làm 3 loại thuộc tính), cấp độ ảnh hưởng (chia thành 3 cấp độ). Cách phân loại này phức tạp, khó thực hiện khi có nhiều loại HTTT và trong HTTT có nhiều loại thông tin.

Trung Quốc đã ban hành các tiêu chuẩn về phân loại như: GB/T 22240-2008 - Hướng dẫn phân loại HTTT; GBT 25058-2010 – Hướng dẫn thực hiện bảo vệ HTTT theo cấp độ... Như vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về kỹ thuật, quản lý tương ứng và hướng dẫn thực hiện bảo vệ HTTT theo cấp độ an toàn.

Tại Việt Nam, phần lớn các cơ quan, tổ chức chưa áp dụng đầy đủ các biện pháp bảo đảm cho HTTT và chưa xác định được cấp độ an toàn cần thiết, vì vậy không xác định được đầy đủ các yêu cầu về kỹ thuật và quản lý. Điều đó dẫn đến việc đầu tư tốn kém mà không bảo đảm yêu cầu cần thiết. Vì vậy, việc quy định và hướng dẫn xác định cấp độ an toàn HTTT nhằm đưa ra các yêu cầu bảo đảm an toàn cần thiết về kỹ thuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ gặp nhiều khó khăn.

Phương pháp tiếp cận xác định cấp độ an toàn của HTTT là dựa vào thông tin mà hệ thống đó trực tiếp tạo lập, xử lý, quản lý và bảo vệ. Sau đây giới thiệu về phân loại cấp độ an toàn HTTT, một số nguyên tắc xác định cấp độ an toàn HTTT và tiêu chí xác định cấp độ an toàn HTTT.

Về phân loại cấp độ an toàn HTTT

Cấp độ an toàn HTTT có thể được chia làm 5 cấp, xác định dựa vào mức độ tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; trật tự an toàn xã hội, lợi ích công cộng; an ninh, quốc phòng của đất nước khi hệ thống bị mất an toàn thông tin như sau:

- Cấp độ 1: Gây tổn hại thường tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới trật tự an toàn xã hội, lợi ích công cộng và an ninh, quốc phòng của đất nước.

- Cấp độ 2: Gây tổn hại nghiêm trọng, đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại thường tới trật tự an toàn xã hội, lợi ích công cộng nhưng không làm tổn hại tới an ninh, quốc phòng của đất nước.

- Cấp độ 3: Gây tổn hại nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại thường tới an ninh, quốc phòng của đất nước.

- Cấp độ 4: Gây tổn hại đặc biệt nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại nghiêm trọng tới an ninh, quốc phòng của đất nước.

- Cấp độ 5: Gây tổn hại đặc biệt nghiêm trọng tới an ninh, quốc phòng của đất nước.

Cơ quan, tổ chức xác định cấp độ an toàn và sẽ báo cáo về cơ quan có thẩm quyền theo quy định.

Về nguyên tắc xác định cấp độ an toàn HTTT

Xác định cấp độ an toàn HTTT có thể theo nguyên tắc tự định cấp theo quyền hạn, nghĩa vụ của cơ quan chủ quản hoặc đơn vị vận hành, khai thác, sử dụng HTTT. Cấp độ an toàn của hệ thống phải được xác định dựa vào mức tổn hại cao nhất mà HTTT đó gây ra cho đối tượng thiệt hại khi bị mất ATTT. Bên cạnh đó, cơ quan, tổ chức vận hành, khai thác và sử dụng HTTT có trách nhiệm trực tiếp trong việc xác định cấp độ an toàn hệ thống.

Về tiêu chí xác định cấp độ an toàn HTTT

Việc xác định cấp độ an toàn HTTT có thể dựa vào các tiêu chí sau: Đối tượng thiệt hại, bao gồm các đối tượng sau: Quyền, lợi ích hợp pháp của tổ chức, cá nhân; Trật tự an toàn xã hội, lợi ích công cộng; An ninh, quốc phòng của đất nước. Mức tổn hại, bao gồm các mức: bình thường, nghiêm trọng và đặc biệt nghiêm trọng và xác định HTTT.

Trong đó, việc xác định đối tượng thiệt hại căn cứ vào: Đối tượng thiệt hại liên quan đến quyền và lợi ích hợp pháp của tổ chức, cá nhân; Đối tượng thiệt hại liên quan đến trật tự an toàn xã hội, lợi ích công cộng; Đối tượng thiệt hại liên quan đến an ninh, quốc phòng của đất nước.

Xác định mức tổn hại

Mức tổn hại được xác định khi HTTT bị mất an toàn và gây ra ít nhất một ảnh hưởng được quy định như sau:

- Mức tổn hại thường: Thông tin bị mất an toàn không mang tính bí mật và không gây tổn hại đến cá nhân, tổ chức khác; Phạm vi tổn thất tài sản cục bộ, bên trong cơ quan/tổ chức.

- Mức tổn hại nghiêm trọng: Thông tin bị mất an toàn mang bí mật của cơ quan/tổ chức; Phạm vi tổn thất tài sản trên toàn phạm vi cơ quan/tổ chức; Làm ảnh hưởng cục bộ đến hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

- Mức tổn hại đặc biệt nghiêm trọng: Thông tin bị mất an toàn mang tính bí mật quốc gia, bí mật quân sự, ảnh hưởng đến an ninh, quốc phòng đất nước; Gây tổn hại đặc biệt nghiêm trọng tới cá nhân, tổ chức khác; Làm ảnh hưởng tới toàn bộ hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

Xác định HTTT

Việc xác định cấp độ an toàn cho một HTTT phải căn cứ vào loại thông tin được hệ thống đó tạo lập, xử lý và bảo vệ.

Như vậy, việc xác định và phân loại cấp độ các HTTT là căn cứ cần thiết để đề ra các giải pháp bảo đảm an toàn, xác định mức độ đầu tư các nguồn lực một cách phù hợp, bảo đảm sự vận hành hiệu quả và an toàn.

‹ › ×

Tin cùng chuyên mục

Lựa chọn Dịch vụ lưu trữ đám mây

06:00 | 27/09/2017

Ngày nay, việc lưu trữ dữ liệu trên đám mây giúp người dùng dễ dàng truy cập dữ liệu ở nhiều nơi trên nhiều thiết bị khác nhau. Lưu trữ đám mây sẽ giúp việc quản lý dữ liệu trở nên đơn giản hơn. Thay vì chuyển các tập tin đa phương tiện lên chiếc điện thoại, ipad hoặc phải sao chép các tài liệu quan trọng ra thiết bị lưu trữ, người dùng chỉ cần tải chúng lên dịch vụ lưu trữ đám mây. Sau đó, có thể truy cập dữ liệu của mình từ điện thoại thông minh, ipad, laptop... ở bất cứ nơi nào có kết nối Internet.

Một số lưu ý khi thiết kế các thiết bị IoT có yêu cầu an toàn thông tin

23:00 | 25/09/2017

Hiện nay, xu hướng máy tính liên kết máy tính (M2M) và Internet vạn vật (IoT) bùng nổ, dẫn đến ngày càng có nhiều kết nối giữa các thiết bị với nhau và với hệ thống mạng. Các kết nối này đem lại những lợi ích lớn như: khả năng thu thập dữ liệu, kiểm soát thông minh, phân tích.... Tuy nhiên, đây cũng là điểm yếu ATTT lớn nhất đối với thiết bị IoT.

Giải pháp Quản lý và phân tích sự kiện an toàn thông tin

22:00 | 12/03/2015

Giải pháp Quản lý và phân tích sự kiện an toàn thông tin (Security Infomation and Event Management - SIEM) là giải pháp toàn diện và hoàn chỉnh, cho phép các cơ quan, tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống. Các thành phần chính của SIEM bao gồm: thu thập nhật ký, phân tích và lưu trữ, quản trị tập trung

Phòng và chống phần mềm độc hại

04:46 | 11/03/2014

Ngày nay, các cuộc tấn công mạng ngày càng gia tăng và phức tạp khi hacker sử dụng phần mềm độc hại kết hợp tinh vi với kỹ nghệ xã hội. Bởi vậy, tháng 7/2013, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã công bố tài liệu “Hướng dẫn ngăn chặn và xử lý sự cố phần mềm độc hại cho máy tính” phiên bản 800-83 r1. Dưới đây sẽ giới thiệu một số nội dung trong phần đầu của bản Hướng dẫn này, bao gồm: Hình thức của phần mềm độc hại, các công cụ của kẻ tấn công và một số biện pháp phòng, chống mã độc của tổ chức.