1. GAO xác định thuật ngữ thông tin nhạy cảm đề cập trong báo cáo bao gồm: Thông tin an ninh quốc gia, thông tin về quốc nội; “Số an sinh xã hội; Các bản ghi y tế; Dữ liệu hành pháp; Các thông tin riêng khác có thể bị tiết lộ không hợp lý, bị xem lướt, hoặc bị sao chép không đúng qui định hoặc phục vụ cho mục đích phạm tội”.
2. Báo cáo của GAO về An ninh thông tin được công bố vào tháng 06/2008. Đây là kết quả khảo sát ở 24 cơ quan lớn của Chính phủ Mỹ. Trong đó, có 10 cơ quan xử lý các thông tin y tế nhạy cảm; 16 cơ quan có những thông tin luật pháp nhạy cảm; 19 cơ quan có thông tin nhân thân; và 20 cơ quan có thông tin về các chương trình đặc thù.
3. Hạ tầng kỹ thuật trọng yếu được GAO diễn tả gồm: Hạ tầng mạng; Hạ tầng vật lý; các cơ sở Hạ tầng công cộng và chuyên dùng khác khác cần thiết để bảo đảm an ninh quốc gia, an ninh kinh tế quốc gia hoặc cho sự an toàn và sức khỏe của cộng đồng.
4. Mã hóa là biện pháp hỗ trợ bảo vệ các thông tin nhạy cảm: Các công nghệ mã hóa để bảo mật thông tin lưu trữ gồm: Mã hóa toàn bộ đĩa; Mã hóa bằng phần cứng; Mã hóa tệp, thư mục, ổ đĩa ảo. Trên đường truyền tin, thông tin nhạy cảm được bảo vệ bằng các công nghệ: Mạng riêng ảo (VPN); Chữ ký số và Chứng chỉ số; Các công nghệ mã hóa áp dụng cho các thiết bị điện toán cầm tay.
5. Luật pháp và hướng dẫn thực hiện luật pháp bao gồm:
- Các luật Liên bang không bắt buộc các tổ chức phải mã hóa thông tin nhạy cảm, luật trao trách nhiệm bảo vệ an ninh thông tin cho các cơ quan Chính phủ.
- Đặc biệt, Luật An ninh thông tin Liên bang 2002 (Federal Information Security Management Act – FISMA 2002) được gói trong Luật Chính phủ điện tử 2002 (E-Government Act 2002) cung cấp khung pháp lý để đảm bảo kiểm soát hiệu quả thông tin và hệ thống thông tin của các cơ quan Chính phủ.
- Cơ quan Hành chính, quản trị Chính phủ (Office of Management and Budget - OMB) là cơ quan chịu trách nhiệm thiết lập chính sách và hướng dẫn các cơ quan chính phủ thi hành Luật FISMA, Luật Bí mật cá nhân (Privacy Act), và các luật an ninh thông tin, luật bí mật cá nhân khác.
- NIST chịu trách nhiệm cung cấp cho các cơ quan Chính phủ những hướng dẫn lập kế hoạch; hướng dẫn triển khai; các chuẩn bắt buộc để xác định, phân loại thông tin, và lựa chọn biện pháp bảo vệ cần thiết.
6. Thực tế, mức độ quan tâm đến mã hóa dữ liệu nhạy cảm rất khác nhau. Các cơ quan thường ít quan tâm đến dữ liệu lưu trữ mà quan tâm nhiều hơn đến mã hóa dữ liệu trên đường truyền.
- Rất ít cơ quan thực hiện mã hóa các thông tin lưu trữ trên thiết bị lưu động (Đây là yêu cầu bắt buộc của OMB). Với 24 cơ quan đã khảo sát, tỷ lệ không mã dữ liệu trên các thiết bị lưu động là 70%.
- Việc thực hiện mã hóa không có kế hoạch đầy đủ, chưa tuân thủ hướng dẫn của NIST về việc lập hồ sơ kế hoạch thực hiện. Văn bản số 800-53 (NIST Special Publication 800-53) của NIST hướng dẫn và yêu cầu các cơ quan tiến hành kiểm kê thông tin và lựa chọn biện pháp bảo vệ. 75% các cơ quan được khảo sát không tiến hành kiểm kê thông tin nhạy cảm đang nắm giữ.
- Thực tế ứng dụng mã hóa ở tất cả các cơ quan còn yếu: Không có cơ quan nào cài đặt các sản phẩm tương thích với các qui định của FIPS (Yêu cầu bắt buộc của OMB). Hiện nay, các cơ quan chính phủ Mỹ có thể được cung cấp các sản phẩm mã hóa tuân theo Tiêu chuẩn môđun mật mã an toàn FIPS 140-2 từ Chương trình “SmartBUY” của Văn phòng Chính phủ Mỹ. Nhiều cơ quan cài đặt, cấu hình hệ thống chưa hoàn chỉnh theo đúng yêu cầu của NIST. Hầu hết các cơ quan chưa xây dựng hoặc chưa lập hồ sơ các qui định, qui trình mã hóa. Một số cơ quan chưa đào tạo đầy đủ đội ngũ nhân viên ATTT.
* GAO còn đưa ra 20 khuyến nghị cần thực hiện ngay đối với OMB và một số cơ quan Chính phủ quan trọng:
- Đối với OMB: Làm rõ chính sách bắt buộc các cơ quan Chính phủ phải mã hóa thông tin nhạy cảm; giám sát các hoạt động ứng dụng mã hóa, kiểm kê thông tin nhạy cảm đang lưu giữ của các cơ quan Chính phủ.
- Đối với các cơ quan Chính phủ khác, yêu cầu phải sử dụng các sản phẩm mật mã đáp ứng tiêu chuẩn của FIPS 140-2 để mã hóa thông tin; xây dựng chính sách, quy trình thiết lập và quản lý khóa; xây dựng quy trình đảm bảo sử dụng mật mã theo quy định của FIPS.
08:00 | 01/03/2021
17:00 | 02/07/2021
14:00 | 23/08/2024
Trong thời đại số, dữ liệu cá nhân đã trở thành "mỏ vàng" của tội phạm mạng. Do đó, việc bảo vệ thông tin cá nhân chính là góp phần giảm thiểu các rủi ro cho chính bản thân mình. Tuy nhiên, cuộc chiến bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của mỗi cá nhân mà còn là sự chung tay của toàn xã hội để xây dựng một không gian mạng an toàn và bền vững.
08:00 | 22/07/2024
YouTube vừa cập nhật chính sách mới, cho phép người dùng gửi yêu cầu xóa video khi phát hiện nội dung do trí tuệ nhân tạo (AI) tạo ra mô phỏng khuôn mặt hoặc giọng nói của bản thân. Chính sách mới này là một phần trong quy trình bảo vệ quyền riêng tư được cập nhật, cho phép trao nhiều quyền hơn cho người dùng để chống lại nạn giả mạo bằng công nghệ AI.
10:00 | 05/06/2024
Vừa qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung lỗ hổng có định danh là CVE-2023-43208 - một lỗ hổng thực thi mã từ xa không được xác thực vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này đã ảnh hưởng đến sản phẩm Mirth Connect của phần mềm chăm sóc sức khỏe NextGen Healthcare.
08:00 | 06/05/2024
Năm 2023, tình hình chính trị, an ninh thế giới, khu vực tiếp tục diễn biến nhanh và phức tạp. Các cuộc xung đột như Nga - Ukraine, Israel - Hamas, leo thang căng thẳng giữa các nước tại khu vực Biển Đông diễn ra kéo theo nhiều thách thức đối với an ninh thế giới, trong đó có thách thức về chiến tranh thông tin, chiến tranh trên không gian mạng ngày càng quyết liệt. Trước những thách thức và nguy cơ tiềm ẩn từ an ninh mạng, các quốc gia trên thế giới đã ban hành nhiều chính sách, biện pháp quan trọng về lĩnh vực an toàn thông tin. Bài báo sẽ thông tin tới độc giả các chính sách về an ninh, an toàn thông tin nổi bật trên thế giới trong năm 2023.