Phân định cấp độ hệ thống thông tin

10:46 | 29/05/2015 | GP ATTM

Cấp độ an toàn thông tin của một hệ thống thông tin (HTTT) là mức độ quan trọng của hệ thống đó đối với hoạt động của toàn bộ cơ sở hạ tầng thông tin và truyền thông quốc gia, đối với phát triển kinh tế, xã hội và bảo đảm an ninh, quốc phòng của đất nước. HTTT càng quan trọng, thì cấp độ an toàn thông tin càng cao. Việc phân định cấp độ HTTT là việc đánh giá, xác định HTTT đó an toàn ở cấp độ nào.

Hiện nay, nhiều quốc gia trên thế giới đã có những quy định về phân cấp độ an toàn thông tin. Mỹ đã ban hành các tiêu chuẩn và các hướng dẫn yêu cầu kỹ thuật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại thông tin trong hệ thống; SP800-60 – Hướng dẫn xác định loại HTTT dựa vào loại thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53 – Các biện pháp bảo đảm ATTT theo loại HTTT.... Theo đó, biện pháp bảo vệ được xác định dựa vào loại thông tin, thuộc tính của thông tin (chia làm 3 loại thuộc tính), cấp độ ảnh hưởng (chia thành 3 cấp độ). Cách phân loại này phức tạp, khó thực hiện khi có nhiều loại HTTT và trong HTTT có nhiều loại thông tin.

Trung Quốc đã ban hành các tiêu chuẩn về phân loại như: GB/T 22240-2008 - Hướng dẫn phân loại HTTT; GBT 25058-2010 – Hướng dẫn thực hiện bảo vệ HTTT theo cấp độ... Như vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về kỹ thuật, quản lý tương ứng và hướng dẫn thực hiện bảo vệ HTTT theo cấp độ an toàn.

Tại Việt Nam, phần lớn các cơ quan, tổ chức chưa áp dụng đầy đủ các biện pháp bảo đảm cho HTTT và chưa xác định được cấp độ an toàn cần thiết, vì vậy không xác định được đầy đủ các yêu cầu về kỹ thuật và quản lý. Điều đó dẫn đến việc đầu tư tốn kém mà không bảo đảm yêu cầu cần thiết. Vì vậy, việc quy định và hướng dẫn xác định cấp độ an toàn HTTT nhằm đưa ra các yêu cầu bảo đảm an toàn cần thiết về kỹ thuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ gặp nhiều khó khăn.

Phương pháp tiếp cận xác định cấp độ an toàn của HTTT là dựa vào thông tin mà hệ thống đó trực tiếp tạo lập, xử lý, quản lý và bảo vệ. Sau đây giới thiệu về phân loại cấp độ an toàn HTTT, một số nguyên tắc xác định cấp độ an toàn HTTT và tiêu chí xác định cấp độ an toàn HTTT.

Về phân loại cấp độ an toàn HTTT

Cấp độ an toàn HTTT có thể được chia làm 5 cấp, xác định dựa vào mức độ tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; trật tự an toàn xã hội, lợi ích công cộng; an ninh, quốc phòng của đất nước khi hệ thống bị mất an toàn thông tin như sau:

- Cấp độ 1: Gây tổn hại thường tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới trật tự an toàn xã hội, lợi ích công cộng và an ninh, quốc phòng của đất nước.

- Cấp độ 2: Gây tổn hại nghiêm trọng, đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại thường tới trật tự an toàn xã hội, lợi ích công cộng nhưng không làm tổn hại tới an ninh, quốc phòng của đất nước.

- Cấp độ 3: Gây tổn hại nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại thường tới an ninh, quốc phòng của đất nước.

- Cấp độ 4: Gây tổn hại đặc biệt nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại nghiêm trọng tới an ninh, quốc phòng của đất nước.

- Cấp độ 5: Gây tổn hại đặc biệt nghiêm trọng tới an ninh, quốc phòng của đất nước.

Cơ quan, tổ chức xác định cấp độ an toàn và sẽ báo cáo về cơ quan có thẩm quyền theo quy định.

Về nguyên tắc xác định cấp độ an toàn HTTT

Xác định cấp độ an toàn HTTT có thể theo nguyên tắc tự định cấp theo quyền hạn, nghĩa vụ của cơ quan chủ quản hoặc đơn vị vận hành, khai thác, sử dụng HTTT. Cấp độ an toàn của hệ thống phải được xác định dựa vào mức tổn hại cao nhất mà HTTT đó gây ra cho đối tượng thiệt hại khi bị mất ATTT. Bên cạnh đó, cơ quan, tổ chức vận hành, khai thác và sử dụng HTTT có trách nhiệm trực tiếp trong việc xác định cấp độ an toàn hệ thống.

Về tiêu chí xác định cấp độ an toàn HTTT

Việc xác định cấp độ an toàn HTTT có thể dựa vào các tiêu chí sau: Đối tượng thiệt hại, bao gồm các đối tượng sau: Quyền, lợi ích hợp pháp của tổ chức, cá nhân; Trật tự an toàn xã hội, lợi ích công cộng; An ninh, quốc phòng của đất nước. Mức tổn hại, bao gồm các mức: bình thường, nghiêm trọng và đặc biệt nghiêm trọng và xác định HTTT.

Trong đó, việc xác định đối tượng thiệt hại căn cứ vào: Đối tượng thiệt hại liên quan đến quyền và lợi ích hợp pháp của tổ chức, cá nhân; Đối tượng thiệt hại liên quan đến trật tự an toàn xã hội, lợi ích công cộng; Đối tượng thiệt hại liên quan đến an ninh, quốc phòng của đất nước.

Xác định mức tổn hại

Mức tổn hại được xác định khi HTTT bị mất an toàn và gây ra ít nhất một ảnh hưởng được quy định như sau:

- Mức tổn hại thường: Thông tin bị mất an toàn không mang tính bí mật và không gây tổn hại đến cá nhân, tổ chức khác; Phạm vi tổn thất tài sản cục bộ, bên trong cơ quan/tổ chức.

- Mức tổn hại nghiêm trọng: Thông tin bị mất an toàn mang bí mật của cơ quan/tổ chức; Phạm vi tổn thất tài sản trên toàn phạm vi cơ quan/tổ chức; Làm ảnh hưởng cục bộ đến hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

- Mức tổn hại đặc biệt nghiêm trọng: Thông tin bị mất an toàn mang tính bí mật quốc gia, bí mật quân sự, ảnh hưởng đến an ninh, quốc phòng đất nước; Gây tổn hại đặc biệt nghiêm trọng tới cá nhân, tổ chức khác; Làm ảnh hưởng tới toàn bộ hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

Xác định HTTT

Việc xác định cấp độ an toàn cho một HTTT phải căn cứ vào loại thông tin được hệ thống đó tạo lập, xử lý và bảo vệ.

Như vậy, việc xác định và phân loại cấp độ các HTTT là căn cứ cần thiết để đề ra các giải pháp bảo đảm an toàn, xác định mức độ đầu tư các nguồn lực một cách phù hợp, bảo đảm sự vận hành hiệu quả và an toàn.

‹ › ×

Tin cùng chuyên mục

Google thêm tính năng bảo vệ người dùng khỏi ứng dụng chưa xác thực

22:15 | 02/08/2017

Với việc các ứng dụng không chính chủ là nguyên nhân khiến người dùng dễ nhiễm mã độc trên thiết bị, giải pháp mới của Google sẽ là một bước chặn hiệu quả.

Ngành ngân hàng hướng tới nâng cao bảo mật bằng sinh trắc học

22:01 | 05/09/2016

Khi các hoạt động tài chính toàn cầu ngày càng được số hóa nhiều hơn, các ngân hàng tận dụng công nghệ mới để phát triển hệ thống bảo mật nhằm chống lại lừa đảo, giúp giao dịch an toàn hơn và nâng cao trải nghiệm người dùng.

Phòng và chống phần mềm độc hại

04:46 | 11/03/2014

Ngày nay, các cuộc tấn công mạng ngày càng gia tăng và phức tạp khi hacker sử dụng phần mềm độc hại kết hợp tinh vi với kỹ nghệ xã hội. Bởi vậy, tháng 7/2013, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã công bố tài liệu “Hướng dẫn ngăn chặn và xử lý sự cố phần mềm độc hại cho máy tính” phiên bản 800-83 r1. Dưới đây sẽ giới thiệu một số nội dung trong phần đầu của bản Hướng dẫn này, bao gồm: Hình thức của phần mềm độc hại, các công cụ của kẻ tấn công và một số biện pháp phòng, chống mã độc của tổ chức.

Một số thách thức với An toàn cơ sở dữ liệu

06:34 | 25/12/2013

Vấn đề đảm bảo an toàn cơ sở dữ liệu (CSDL) truyền thống chỉ tập trung chủ yếu vào việc đảm bảo an toàn cho bản thân cơ sở dữ liệu mà không đề cập tới việc đảm bảo an toàn cho hệ điều hành (OS) và hệ quản trị cơ sở dữ liệu (DBMS). Ngày nay, việc sử dụng rộng rãi CSDL cho các ứng dụng web, kiến trúc khách/chủ không đồng nhất, các máy chủ ứng dụng và mạng… đã tạo nên nhu cầu cấp thiết mở rộng những hướng nghiên cứu cho vấn đề đảm bảo an toàn CSDL. dưới đây phân tích một số thách thức trong quản trị CSDL.