Phân định cấp độ hệ thống thông tin

10:46 | 29/05/2015 | GP ATTM

Cấp độ an toàn thông tin của một hệ thống thông tin (HTTT) là mức độ quan trọng của hệ thống đó đối với hoạt động của toàn bộ cơ sở hạ tầng thông tin và truyền thông quốc gia, đối với phát triển kinh tế, xã hội và bảo đảm an ninh, quốc phòng của đất nước. HTTT càng quan trọng, thì cấp độ an toàn thông tin càng cao. Việc phân định cấp độ HTTT là việc đánh giá, xác định HTTT đó an toàn ở cấp độ nào.

Hiện nay, nhiều quốc gia trên thế giới đã có những quy định về phân cấp độ an toàn thông tin. Mỹ đã ban hành các tiêu chuẩn và các hướng dẫn yêu cầu kỹ thuật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại thông tin trong hệ thống; SP800-60 – Hướng dẫn xác định loại HTTT dựa vào loại thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53 – Các biện pháp bảo đảm ATTT theo loại HTTT.... Theo đó, biện pháp bảo vệ được xác định dựa vào loại thông tin, thuộc tính của thông tin (chia làm 3 loại thuộc tính), cấp độ ảnh hưởng (chia thành 3 cấp độ). Cách phân loại này phức tạp, khó thực hiện khi có nhiều loại HTTT và trong HTTT có nhiều loại thông tin.

Trung Quốc đã ban hành các tiêu chuẩn về phân loại như: GB/T 22240-2008 - Hướng dẫn phân loại HTTT; GBT 25058-2010 – Hướng dẫn thực hiện bảo vệ HTTT theo cấp độ... Như vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về kỹ thuật, quản lý tương ứng và hướng dẫn thực hiện bảo vệ HTTT theo cấp độ an toàn.

Tại Việt Nam, phần lớn các cơ quan, tổ chức chưa áp dụng đầy đủ các biện pháp bảo đảm cho HTTT và chưa xác định được cấp độ an toàn cần thiết, vì vậy không xác định được đầy đủ các yêu cầu về kỹ thuật và quản lý. Điều đó dẫn đến việc đầu tư tốn kém mà không bảo đảm yêu cầu cần thiết. Vì vậy, việc quy định và hướng dẫn xác định cấp độ an toàn HTTT nhằm đưa ra các yêu cầu bảo đảm an toàn cần thiết về kỹ thuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ gặp nhiều khó khăn.

Phương pháp tiếp cận xác định cấp độ an toàn của HTTT là dựa vào thông tin mà hệ thống đó trực tiếp tạo lập, xử lý, quản lý và bảo vệ. Sau đây giới thiệu về phân loại cấp độ an toàn HTTT, một số nguyên tắc xác định cấp độ an toàn HTTT và tiêu chí xác định cấp độ an toàn HTTT.

Về phân loại cấp độ an toàn HTTT

Cấp độ an toàn HTTT có thể được chia làm 5 cấp, xác định dựa vào mức độ tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; trật tự an toàn xã hội, lợi ích công cộng; an ninh, quốc phòng của đất nước khi hệ thống bị mất an toàn thông tin như sau:

- Cấp độ 1: Gây tổn hại thường tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới trật tự an toàn xã hội, lợi ích công cộng và an ninh, quốc phòng của đất nước.

- Cấp độ 2: Gây tổn hại nghiêm trọng, đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại thường tới trật tự an toàn xã hội, lợi ích công cộng nhưng không làm tổn hại tới an ninh, quốc phòng của đất nước.

- Cấp độ 3: Gây tổn hại nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại thường tới an ninh, quốc phòng của đất nước.

- Cấp độ 4: Gây tổn hại đặc biệt nghiêm trọng tới trật tự an toàn xã hội, lợi ích công cộng hoặc gây tổn hại nghiêm trọng tới an ninh, quốc phòng của đất nước.

- Cấp độ 5: Gây tổn hại đặc biệt nghiêm trọng tới an ninh, quốc phòng của đất nước.

Cơ quan, tổ chức xác định cấp độ an toàn và sẽ báo cáo về cơ quan có thẩm quyền theo quy định.

Về nguyên tắc xác định cấp độ an toàn HTTT

Xác định cấp độ an toàn HTTT có thể theo nguyên tắc tự định cấp theo quyền hạn, nghĩa vụ của cơ quan chủ quản hoặc đơn vị vận hành, khai thác, sử dụng HTTT. Cấp độ an toàn của hệ thống phải được xác định dựa vào mức tổn hại cao nhất mà HTTT đó gây ra cho đối tượng thiệt hại khi bị mất ATTT. Bên cạnh đó, cơ quan, tổ chức vận hành, khai thác và sử dụng HTTT có trách nhiệm trực tiếp trong việc xác định cấp độ an toàn hệ thống.

Về tiêu chí xác định cấp độ an toàn HTTT

Việc xác định cấp độ an toàn HTTT có thể dựa vào các tiêu chí sau: Đối tượng thiệt hại, bao gồm các đối tượng sau: Quyền, lợi ích hợp pháp của tổ chức, cá nhân; Trật tự an toàn xã hội, lợi ích công cộng; An ninh, quốc phòng của đất nước. Mức tổn hại, bao gồm các mức: bình thường, nghiêm trọng và đặc biệt nghiêm trọng và xác định HTTT.

Trong đó, việc xác định đối tượng thiệt hại căn cứ vào: Đối tượng thiệt hại liên quan đến quyền và lợi ích hợp pháp của tổ chức, cá nhân; Đối tượng thiệt hại liên quan đến trật tự an toàn xã hội, lợi ích công cộng; Đối tượng thiệt hại liên quan đến an ninh, quốc phòng của đất nước.

Xác định mức tổn hại

Mức tổn hại được xác định khi HTTT bị mất an toàn và gây ra ít nhất một ảnh hưởng được quy định như sau:

- Mức tổn hại thường: Thông tin bị mất an toàn không mang tính bí mật và không gây tổn hại đến cá nhân, tổ chức khác; Phạm vi tổn thất tài sản cục bộ, bên trong cơ quan/tổ chức.

- Mức tổn hại nghiêm trọng: Thông tin bị mất an toàn mang bí mật của cơ quan/tổ chức; Phạm vi tổn thất tài sản trên toàn phạm vi cơ quan/tổ chức; Làm ảnh hưởng cục bộ đến hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

- Mức tổn hại đặc biệt nghiêm trọng: Thông tin bị mất an toàn mang tính bí mật quốc gia, bí mật quân sự, ảnh hưởng đến an ninh, quốc phòng đất nước; Gây tổn hại đặc biệt nghiêm trọng tới cá nhân, tổ chức khác; Làm ảnh hưởng tới toàn bộ hoạt động của cơ sở hạ tầng thông tin và truyền thông quốc gia....

Xác định HTTT

Việc xác định cấp độ an toàn cho một HTTT phải căn cứ vào loại thông tin được hệ thống đó tạo lập, xử lý và bảo vệ.

Như vậy, việc xác định và phân loại cấp độ các HTTT là căn cứ cần thiết để đề ra các giải pháp bảo đảm an toàn, xác định mức độ đầu tư các nguồn lực một cách phù hợp, bảo đảm sự vận hành hiệu quả và an toàn.

‹ › ×

Tin cùng chuyên mục

Lưu thông tin mật trong ứng dụng Android như thế nào?

06:38 | 24/03/2017

Một trong những nguyên tắc lập trình an toàn là không lưu thông tin mật trong ứng dụng hay các tệp cấu hình. Vì thế các thông tin mật của ứng dụng Android không nên lưu ở SharedPreferences hay cơ sở dữ liệu SQLite.

Phát triển và cài đặt một chương trình bảo mật thông tin trong tổ chức

04:05 | 25/02/2016

Trong thời đại kỹ thuật số, mọi tổ chức đều phải có một chương trình bảo vệ thông tin tại chỗ để bảo vệ các dữ liệu của mình và khách hàng. Các chương trình bảo vệ thông tin cần phải đảm bảo các tiêu chí: phát hiện, ngăn chặn và giảm đáng kể các nguy cơ cho dữ liệu. Phát triển một chương trình để bảo vệ toàn diện thông tin hiện đang là yêu cầu hàng đầu của các tổ chức. Chương trình này cần đưa ra được một chiến lược an toàn thông tin có thể vượt ra ngoài các công cụ bảo mật truyền thống như tường lửa, hay các phần mềm chống virus.

Đảm bảo an toàn hệ thống mạng CNTT của Bộ Ngoại giao

23:00 | 25/02/2015

Bộ Ngoại giao là cơ quan thực hiện thống nhất chức năng quản lý nhà nước về lĩnh vực đối ngoại, triển khai đồng bộ nhiệm vụ về đối ngoại là: chính trị, kinh tế, văn hóa và công tác người Việt Nam ở nước ngoài. Thông tin phục vụ công tác đối ngoại của Bộ Ngoại giao được chọn lọc từ nhiều nguồn khác nhau trong thời gian 24/24. Hệ thống CNTT phục vụ công tác thông tin liên lạc của Bộ Ngoại giao có vai trò hết sức quan trọng, trong đó thông tin luôn phải đảm bảo tính bí mật, chính xác và kịp thời.

Cài đặt miễn phí VPN server bằng công nghệ điện toán đám mây của Amazon

05:34 | 20/07/2011

Một năm sử dụng miễn phí các dịch vụ điện toán đám mây (cloud computing) – đó là chương trình khuyến mại của Amazon dành cho tất cả những người dùng mới. Trong trường hợp này, tài nguyên được cung cấp có giới hạn, nhưng nó cũng đủ để giúp người dùng làm quen với công nghệ mới này và có thể cài đặt cho máy chủ VPN của chính mình.