Theo Luật An toàn thông tin mạng năm 2015, An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
Vậy, Nhà nước quy định như thế nào về việc kiểm tra, đánh giá an toàn thông tin mạng ?
Ở phần 1, Luật Hoàng Anh đã trình quy định về nội dung, hình thức kiểm tra, đánh giá và quy định về Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ. Sau đây, Luật Hoàng Anh xin trình bày tiếp quy định về đánh giá an toàn thông tin.
Căn cứ theo Điều 12 của Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông quy định Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin là việc rà soát một cách tổng thể, xác minh mức độ hiệu quả của phương án bảo đảm an toàn thông tin theo từng tiêu chí, yêu cầu cơ bản cụ thể.
Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin đã được áp dụng là cơ sở để tiến hành điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp với yêu cầu thực tiễn.
a. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:
+ Cục An toàn thông tin;
+ Đơn vị chuyên trách về an toàn thông tin;
+ Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;
+ Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng.
b. Đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện. Kế hoạch đánh giá bao gồm:
+ Danh sách các đơn vị, hệ thống thông tin sẽ tiến hành đánh giá;
+ Thời gian tiến hành đánh giá;
+ Đơn vị thực hiện: Tự thực hiện hoặc do đơn vị chuyên trách về an toàn thông tin thực hiện hoặc thuê ngoài theo quy định của pháp luật.
c. Trường hợp có thay đổi so với kế hoạch đánh giá đã được phê duyệt, đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh.
d. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, đơn vị chủ trì đánh giá có trách nhiệm thông báo cho đơn vị vận hành hệ thống thông tin biết và bàn giao tài liệu, trang thiết bị sử dụng [nếu có] trong quá trình kiểm tra.
Đơn vị chủ trì đánh giá có trách nhiệm dự thảo Báo cáo đánh giá, gửi cho đơn vị vận hành hệ thống thông tin để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo đánh giá, đơn vị vận hành hệ thống thông tin có trách nhiệm có ý kiến đối với các nội dung dự thảo.
e. Trên cơ sở dự thảo Báo cáo đánh giá, ý kiến của đơn vị vận hành hệ thống thông tin, đơn vị chủ trì đánh giá hoàn thiện Báo cáo đánh giá, gửi đơn vị vận hành và chủ quản hệ thống thông tin.
Căn cứ theo Điều 13 của Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông quy định Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống là việc thực hiện dò quét, phát hiện lỗ hổng, điểm yếu của hệ thống, thử nghiệm tấn công xâm nhập hệ thống và đánh giá nguy cơ, thiệt hại có thể có của hệ thống thông tin khi bị đối tượng tấn công xâm nhập.
a. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:
+ Cục An toàn thông tin;
+ Đơn vị chuyên trách về an toàn thông tin;
+ Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;
+ Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng hoặc tổ chức khác được chủ quản hệ thống thông tin cho phép thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống.
b. Đơn vị chủ trì đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống có trách nhiệm:
+ Thông báo cho chủ quản hệ thống thông tin về điểm yếu an toàn thông tin phát hiện ra nhằm khắc phục, phòng tránh các sự cố an toàn thông tin;
+ Thực hiện công tác bảo đảm an toàn cho dữ liệu liên quan đến hệ thống được đánh giá, không công bố dữ liệu liên quan khi chưa được sự đồng ý của chủ quản hệ thống thông tin;
+ Việc đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống phải bảo đảm không ảnh hưởng đến hoạt động bình thường của hệ thống.
Luật Hoàng Anh
Ngày nay, ứng dụng Công nghệ thông tin [CNTT] đã được áp dụng vào hầu hết các ngành kinh tế của các nước trên thế giới và đi sâu vào đời sống xã hội. Cùng với sự phát triển này, hệ thống thông tin an ninh, an toàn và được bảo mật đóng một vai trò rất quan trọng, góp phần vào sự thành công hay thất bại của mỗi dự án, mỗi công trình.
Hệ thống thông tin đặc trưng hiện nay của mỗi cơ quan, doanh nghiệp ở Việt nam thường bao gồm một hay một số hệ thống mạng nội bộ [LAN] với các máy trạm PC; mạng LAN được kết nối Internet thông qua đường liên kết mạng diện rộng của các nhà cung cấp dịch vụ Internet. Để vận hành hệ thống và xử lý sự cố thì cần phải có đội ngũ quản trị mạng chuyên trách với chuyên viên an ninh thông tin [ANTT] chuyên nghiệp. Tuy nhiên, hiện nay ở nước ta, đội ngũ này còn rất thiếu và yếu. Hơn nữa, nhiều cán bộ quản trị mạng lại hay nảy sinh tâm lý chủ quan cho rằng sự cố ANTT xảy ra ở đâu đó chứ không có ở “nhà mình” không có các “sự cố” như mất kết nối, mất thông tin, xuất hiện virus tức là mạng đang an toàn…. Điều đó dẫn đến một bức tranh chung là mức độ bảo vệ của đa số các mạng tin học tại Việt Nam là chưa đáp ứng được yêu cầu. Trong khuôn khổ bài báo này, chúng tôi đề cập tới một cách tiếp cận để nâng cao mức độ an toàn của một mạng tin học với tính khả thi cao và chi phí hợp lý. Đó là thực thi một cách bài bản và thường xuyên việc tự đánh giá mức độ an toàn của mạng tin học bởi chính các cán bộ quản trị mạng.
Đánh giá mức độ ATTT
Bảo đảm an toàn cho một mạng tin học là một bài toán tối ưu, các cơ quan, doanh nghiệp cần phải tìm ra điểm tối ưu mà ở đó chi phí đầu tư cho ANTT nhỏ hơn thiệt hại khi sự cố xảy ra, cũng như chi phí một hacker cần bỏ ra để thâm nhập hệ thống lớn hơn lợi kinh tế hữu hình hoặc vô hình mà hacker có thể thu lại được. Bài toán tối ưu này trở nên càng khó giải hơn khi mà “thiệt hại” hay “lợi thu về” nhiều khi khó biểu diễn, lượng hóa được qua các con số. Vấn đề đánh giá các tham số ở trên và đề xuất một phương án bảo vệ hệ thống một cách thích hợp nhất là một công tác đòi hỏi tính chuyên nghiệp, kinh nghiệm và khả năng nắm bắt công nghệ của những tổ chức ANTT chuyên nghiệp. Tuy nhiên, do nhiều lý do khác nhau, trên thực tế người ta thường áp dụng nguyên tắc “nỗ lực tối đa” trong phạm vi thời gian và kinh phí cho phép. Vì vậy nếu cán bộ quản trị mạng của doanh nghiệp có khả năng tự rà soát thường xuyên những lỗ hổng bảo mật của hệ thống, thì mức độ an toàn của mạng sẽ nâng lên một cách đáng kể, mà đầu tư về tiền bạc và thời gian không quá lớn.
Phương pháp đánh giá ATTT Hiện nay, hầu hết các chuyên gia đều công nhận ISO 17799 [hay các tiêu chuẩn liên quan như ISO 27001/27002] de facto là tiêu chí cho phép đánh giá mức độ an toàn của một mạng tin học. ISO 17799 là những hướng dẫn về các vấn đề cần thực hiện với mục tiêu xây dựng được một hệ thống thông tin an toàn. Vì vậy, phương án tiếp cận của chúng tôi là rà soát theo từng hạng mục của ISO 17799 và phân tích xem hệ thống cần đánh giá đáp ứng các yêu cầu đó như thế nào, qua đó đưa ra các đánh giá về mức độ phù hợp với qui định của ISO 17799, hay nói một cách khác là xác định mức độ an toàn hiện có của hệ thống. Việc đánh giá mức độ phù hợp ISO 17799 được dựa trên hai công đoạn là thu thập và đánh giá thông tin về hiện trạng của mạng. Hai phương pháp thu thập thông tin chính là sử dụng bảng câu hỏi và rà tìm [scanning] sơ hở [lỗ hổng về an toàn] trên mạng. Phương pháp quan trọng là sử dụng câu hỏi, vì rất nhiều các vấn đề của ATTT không thuộc về lĩnh vực kỹ thuật, mà liên quan tới việc quản lý như: xây dựng, phổ biến và giám sát thực hiện các chính sách về ATTT. Phương pháp này có nhược điểm là thông tin thu được mang tính chủ quan bởi phụ thuộc vào nhận thức của người cung cấp thông tin. Vì vậy, kiểm tra các chứng cứ, kiểm tra trực tiếp hệ thống mạng là cần thiết để kiểm chứng một cách khách quan hơn các thông tin nhận được qua bảng câu hỏi.
Phương pháp rà tìm [scanning] hệ thống mạng, máy trạm, máy chủ, thiết bị mạng… là một kênh thu thập dữ liệu thứ hai. Các dữ liệu này mang tính khách quan. Việc rà tìm sơ hở của hệ thống mạng tin học thường được thực hiện bởi các phần mềm chuyên dụng chạy trên máy tính đặc chủng hoặc thông thường. Sau khi có được các thông tin của rà tìm sơ hở trên mạng, người thực hiện đánh giá sẽ phải đọc, phân tích, tổng kết và đưa ra các kết luận về những sơ hở hiện có trên mạng. Trong một số trường hợp, những tấn công khai thác sơ hở có thể phải triển khai thử nghiệm nhằm minh chứng, thuyết phục chủ sở hữu mạng tin học về những sai sót và nguy cơ hiện có, đồng thời đánh giá được mức độ nghiêm trọng của sơ hở nếu hacker khai thác được điểm yếu vừa tìm ra.
Tự đánh giá ATTT Hầu như mỗi cán bộ phụ trách tin học [CIO], mỗi quản trị mạng đều đã từng tự đặt câu hỏi “mạng tin học của mình có an toàn không?” hay “những sự cố vừa xảy ra với mạng tin học của một doanh nghiệp khác, được đăng tải trên báo chí liệu có xảy ra với mạng của mình hay không?”.
Để trả lời các câu hỏi trên, chúng ta cần thực hiện đánh giá mức độ an toàn mạng của tổ chức mình. Việc này có thể thực hiện bởi một công ty đánh giá chuyên nghiệp là đối tác thứ 3 độc lập, hoặc do chính bản thân tổ chức thực hiện. Nếu chúng ta có đủ điều kiện về kinh phí, thì việc lựa chọn một nhà cung cấp dịch vụ ATTT đánh giá toàn diện định kỳ hay đánh giá thường xuyên về độ an toàn của mạng là một phương án tốt nhất. Việc đánh giá thường xuyên/định kỳ sẽ cho phép chúng ta phát hiện ra các sơ hở trước khi nó bị các hacker khai thác. Điều này hết sức quan trọng vì ATTT hiện nay được coi là cuộc chạy đua giữa người vá lỗi và người khai thác lỗi, từ khi lỗi được phát hiện hay công bố. Trong nhiều trường hợp khác, xây dựng được đội ngũ quản trị mạng với kỹ năng tự rà soát, đánh giá mức độ an toàn hệ thống thông tin sẽ làm tăng tính an toàn của hệ thống một cách đáng kể với chi phí nhỏ và tính tiện lợi cao.
Kỹ năng tự đánh giá ATTT Đánh giá ATTT đòi hỏi khá nhiều kỹ năng của người tiến hành đánh giá. Trước tiên, cần phải hiểu thế nào là một hệ thống thông tin an toàn, hay nói một cách khác, ISO 17799 là gì? Thực tế cho thấy, việc đọc hiểu ISO 17799 và hình dung ra cách đánh giá hiện trạng thực tế theo qui định của ISO là một điều không đơn giản. Hơn nữa, đòi hỏi áp dụng ISO đến mức nào để có thể thực hiện khả thi trong hoàn cảnh cụ thể của doanh nghiệp [với những thói quen làm việc “cố hữu”] là một vấn đề còn phức tạp hơn.
Sau đó là vấn đề kỹ thuật. Người đánh giá cần hai kỹ năng cơ bản là sử dụng thành thạo công cụ rà soát [scanner] và phân tích, đánh giá các kết quả do công cụ rà soát báo cáo. Trong các kỹ năng này, phân tích các báo cáo là công việc phức tạp nhất. Với mỗi sơ hở được cảnh báo, người phân tích phải hiểu được các giao thức, các phương pháp hoạt động của hệ thống, cách thức khai thác những yếu tố bất lợi ra sao để dẫn đến sơ hở. Và phải phân tích được rằng nếu sơ hở bị khai thác thì phạm vi ảnh hưởng sẽ như thế nào. Trong trường hợp, chỉ dựa trên một vài khiếm khuyết không đáng kể của hệ thống mà phải xác định được những khả năng có thể khai thác đồng thời một số sơ hở đó để tiến tới thực hiện một tấn công nghiêm trọng vào hệ thống, thì người khảo sát còn cần phải có sự nhạy cảm và bề dày kinh nghiệm trong lĩnh vực an ninh thông tin.
Chương trình đào tạo kỹ năng tự đánh giá an toàn thông tin của ISeLAB
Trên cơ sở nhiều năm nghiên cứu - phát triển về ANTT, các cán bộ Phòng thí nghiệm ANTT ISeLAB, thuộc Khu Công nghệ phần mềm, Đại học Quốc gia Tp.HCM, đã tích lũy được nhiều kiến thức và kinh nghiệm trong công tác đánh giá mức độ ATTT của một mạng tin học. Bên cạnh việc cung cấp dịch vụ đánh giá ANTT cho các cơ quan quản lý nhà nước, ngân hàng, công ty chứng khoán, trường học… như một tổ chức đánh giá chuyên nghiệp, ISeLab còn tổ chức phổ biến những kinh nghiệm của mình cho cộng đồng quản trị mạng. ISeLab đã xây dựng một chương trình huấn luyện Đánh giá ATTT mạng máy tính – Computer Network Security Assessment – CNSA. Với chương trình này, mỗi cán bộ quản trị mạng sẽ trở thành một chuyên viên về ATTT, có khả năng dự phòng các sự cố an ninh mạng và nâng cao một bước mức độ an toàn của hệ thống mà mình phụ trách.