Phân định cấp độ hệ thống thông tin

10:46 | 29/05/2015 | GP ATTM

Cấp độ an toàn thông tin của một hệ thống thông tin (HTTT) là mức độ quan trọng của hệ thống đó đối với hoạt động của toàn bộ cơ sở hạ tầng thông tin và truyền thông quốc gia, đối với phát triển kinh tế, xã hội và bảo đảm an ninh, quốc phòng của đất nước. HTTT càng quan trọng, thì cấp độ an toàn thông tin càng cao. Việc phân định cấp độ HTTT là việc đánh giá, xác định HTTT đó an toàn ở cấp độ nào.

Hiện nay, nhiều quốc gia trên thế giới đã có những quy định về phân cấp độ an toàn thông tin. Mỹ đã ban hành các tiêu chuẩn và các hướng dẫn yêu cầu kỹ thuật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại thông tin trong hệ thống; SP800-60 – Hướng dẫn xác định loại HTTT dựa vào loại thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53 – Các biện pháp bảo đảm ATTT theo loại HTTT.... Theo đó, biện pháp bảo vệ được xác định dựa vào loại thông tin, thuộc tính của thông tin (chia làm 3 loại thuộc tính), cấp độ ảnh hưởng (chia thành 3 cấp độ). Cách phân loại này phức tạp, khó thực hiện khi có nhiều loại HTTT và trong HTTT có nhiều loại thông tin.

Trung Quốc đã ban hành các tiêu chuẩn về phân loại như: GB/T 22240-2008 - Hướng dẫn phân loại HTTT; GBT 25058-2010 – Hướng dẫn thực hiện bảo vệ HTTT theo cấp độ... Như vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về kỹ thuật, quản lý tương ứng và hướng dẫn thực hiện bảo vệ HTTT theo cấp độ an toàn.

Tại Việt Nam, phần lớn các cơ quan, tổ chức chưa áp dụng đầy đủ các biện pháp bảo đảm cho HTTT và chưa xác định được cấp độ an toàn cần thiết, vì vậy không xác định được đầy đủ các yêu cầu về kỹ thuật và quản lý. Điều đó dẫn đến việc đầu tư tốn kém mà không bảo đảm yêu cầu cần thiết. Vì vậy, việc quy định và hướng dẫn xác định cấp độ an toàn HTTT nhằm đưa ra các yêu cầu bảo đảm an toàn cần thiết về kỹ thuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ gặp nhiều khó khăn.

Phương pháp tiếp cận xác định cấp độ an toàn của HTTT là dựa vào thông tin mà hệ thống đó trực tiếp tạo lập, xử lý, quản lý và bảo vệ. Sau đây giới thiệu về phân loại cấp độ an toàn HTTT, một số nguyên tắc xác định cấp độ an toàn HTTT và tiêu chí xác định cấp độ an toàn HTTT.

Về phân loại cấp độ an toàn HTTT

Cấp độ an toàn HTTT có thể được chia làm 5 cấp, xác định dựa vào mức độ tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; trật tự an toàn xã hội, lợi ích công cộng; an ninh, quốc phòng của đất nước khi hệ thống bị mất an toàn thông tin như sau:

- Cấp độ 1: Gây tổn hại thường tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới trật tự an toàn xã hội, lợi ích công cộng và an ninh, quốc phòng của đất nước.

- Cấp độ 2: Gây tổn hại nghiêm trọng, đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại thường tới trật tự an toàn xã hội, lợi ích công cộng nhưng không làm tổn hại tới an ninh, quốc phòng của đất nước.

- Cấp độ 3: Gây tổn hại nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại thường tới an ninh, quốc phòng của đất nước.

- Cấp độ 4: Gây tổn hại đặc biệt nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại nghiêm trọng tới an ninh, quốc phòng của đất nước.

- Cấp độ 5: Gây tổn hại đặc biệt nghiêm trọng tới an ninh, quốc phòng của đất nước.

Cơ quan, tổ chức xác định cấp độ an toàn và sẽ báo cáo về cơ quan có thẩm quyền theo quy định.

Về nguyên tắc xác định cấp độ an toàn HTTT

Xác định cấp độ an toàn HTTT có thể theo nguyên tắc tự định cấp theo quyền hạn, nghĩa vụ của cơ quan chủ quản hoặc đơn vị vận hành, khai thác, sử dụng HTTT. Cấp độ an toàn của hệ thống phải được xác định dựa vào mức tổn hại cao nhất mà HTTT đó gây ra cho đối tượng thiệt hại khi bị mất ATTT. Bên cạnh đó, cơ quan, tổ chức vận hành, khai thác và sử dụng HTTT có trách nhiệm trực tiếp trong việc xác định cấp độ an toàn hệ thống.

Về tiêu chí xác định cấp độ an toàn HTTT

Việc xác định cấp độ an toàn HTTT có thể dựa vào các tiêu chí sau: Đối tượng thiệt hại, bao gồm các đối tượng sau: Quyền, lợi ích hợp pháp của tổ chức, cá nhân; Trật tự an toàn xã hội, lợi ích công cộng; An ninh, quốc phòng của đất nước. Mức tổn hại, bao gồm các mức: bình thường, nghiêm trọng và đặc biệt nghiêm trọng và xác định HTTT.

Trong đó, việc xác định đối tượng thiệt hại căn cứ vào: Đối tượng thiệt hại liên quan đến quyền và lợi ích hợp pháp của tổ chức, cá nhân; Đối tượng thiệt hại liên quan đến trật tự an toàn xã hội, lợi ích công cộng; Đối tượng thiệt hại liên quan đến an ninh, quốc phòng của đất nước.

Xác định mức tổn hại

Mức tổn hại được xác định khi HTTT bị mất an toàn và gây ra ít nhất một ảnh hưởng được quy định như sau:

- Mức tổn hại thường: Thông tin bị mất an toàn không mang tính bí mật và không gây tổn hại đến cá nhân, tổ chức khác; Phạm vi tổn thất tài sản cục bộ, bên trong cơ quan/tổ chức.

- Mức tổn hại nghiêm trọng: Thông tin bị mất an toàn mang bí mật của cơ quan/tổ chức; Phạm vi tổn thất tài sản trên toàn phạm vi cơ quan/tổ chức; Làm ảnh hưởng cục bộ đến hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

- Mức tổn hại đặc biệt nghiêm trọng: Thông tin bị mất an toàn mang tính bí mật quốc gia, bí mật quân sự, ảnh hưởng đến an ninh, quốc phòng đất nước; Gây tổn hại đặc biệt nghiêm trọng tới cá nhân, tổ chức khác; Làm ảnh hưởng tới toàn bộ hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

Xác định HTTT

Việc xác định cấp độ an toàn cho một HTTT phải căn cứ vào loại thông tin được hệ thống đó tạo lập, xử lý và bảo vệ.

Như vậy, việc xác định và phân loại cấp độ các HTTT là căn cứ cần thiết để đề ra các giải pháp bảo đảm an toàn, xác định mức độ đầu tư các nguồn lực một cách phù hợp, bảo đảm sự vận hành hiệu quả và an toàn.

‹ › ×

Tin cùng chuyên mục

Lưu thông tin mật trong ứng dụng Android như thế nào?

06:38 | 24/03/2017

Một trong những nguyên tắc lập trình an toàn là không lưu thông tin mật trong ứng dụng hay các tệp cấu hình. Vì thế các thông tin mật của ứng dụng Android không nên lưu ở SharedPreferences hay cơ sở dữ liệu SQLite.

Quản trị rủi ro trong điện toán đám mây

06:15 | 04/02/2016

Ngày nay, công nghệ điện toán đám mây rất phát triển, có thể đáp ứng yêu cầu của các tổ chức, doanh nghiệp về việc thuê ngoài dịch vụ CNTT nhằm giảm chi phí. Tuy nhiên, việc dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý và mọi truy cập đều phải thông qua hạ tầng công cộng khiến nhiều đơn vị còn nghi ngại.

Một số hoạt động tác nghiệp an toàn thông tin trong không gian mạng

03:34 | 22/10/2013

Thực tế hiện nay cho thấy việc phát triển của các cuộc tấn công mạng đã dịch chuyển từ các cá nhân tự phát sang các tổ chức chuyên nghiệp và hiện nay đã có sự tham gia của nhiều tổ chức an ninh, quốc phòng của các chính phủ ở một số quốc gia. Dưới đây giới thiệu tổng quan về một số hoạt động tác nghiệp an toàn thông tin quan trọng trong không gian mạng như: Hoạt động quản lý ứng phó sự cố, hoạt động phân tích mã độc hại, hoạt động đánh giá an toàn hệ thống và hoạt động tác nghiệp mật mã.

Bảo vệ dữ liệu cá nhân trước các chương trình tình báo mạng

00:39 | 09/10/2013

Một chương trình bí mật của Cơ quan An ninh Quốc gia Mỹ, có tên là PRISM, được cho là có liên quan tới việc khai thác các dữ liệu riêng tư của người dùng Internet qua máy chủ của một số nhà cung cấp dịch vụ mạng. PRISM có liên quan tới việc giám sát thư điện tử, tệp dữ liệu, ảnh, video, chat và thậm chí giám sát cả việc tìm kiếm của người dùng.