An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 8

dụng triệt để cho không gian mạng như đã được áp dụng trong không gian vật lý (hai chiều). “Thượng tôn pháp luật” là cần thiết để không gian mạng được phát triển như là một không gian an toàn và đáng tin cậy cho mọi người được tiếp cận một cách bình đẳng. Tại Nhật Bản, không gian mạng được quản lý bởi pháp luật, quy tắc và chuẩn mực.

Nguyên tắc 3: Cởi mở: Không gian mạng không được thống trị độc quyền bởi một nhóm nhất định nào mà phải được mở ra cho tất cả mọi người muốn sử dụng. Với sự cởi mở và bởi việc duy trì đảm bảo khả năng tương tác, không gian mạng kết nối các ý tưởng và tri thức mang đến những giá trị cho thế giới, đồng thời, phần lớn việc truy cập không gian mạng của người dân phải không bị từ chối vì những lợi ích chính trị của một nhóm nhất định nào đó.

Nguyên tắc 4: Tự quản: Trong nhiều thập kỷ qua, Internet đã đạt những tiến bộ bởi việc tự quản của nhiều thành phần tham gia khác nhau. Ngay cả khi các mối đe dọa mạng trở thành những thách thức quốc gia đòi hỏi đất nước ra sức nỗ lực thì một chính phủ không thể và cũng không phù hợp trong việc thực hiện tất cả các chi phí cho việc duy trì trật tự trên không gian mạng.

Nguyên tắc 5: Hợp tác giữa nhiều bên: Là một không gian đa chiều, không gian mạng bao gồm các hoạt động của nhiều bên tham gia tại nhiều tầng lớp. Từ quan điểm này, điều cần thiết đối với Chính phủ và tất cả các bên tham gia liên quan đến không gian mạng, bao gồm các nhà điều hành Cơ sở hạ tầng thông tin xung yếu (CII), doanh nghiệp và cá nhân chia sẻ một tầm nhìn chung về an ninh mạng cũng như thực hiện đầy đủ trách nhiệm và nghĩa vụ của tổ chức của họ hoặc thực hiện những nỗ lực cá nhân.

d) Luật An ninh mạng của Ấn Độ

Theo quy định của Luật, an ninh mạng được định nghĩa là hành vi bảo vệ thông tin, trang thiết bị, máy tính, nguồn máy tính, các phương tiện truyền thông và nơi lưu trữ thông tin để tránh việc tiếp cận, sử dụng, thay đổi, xóa hoặc phá hoại nguồn thông tin một cách bất hợp pháp. Từ năm 2000 Ấn Độ đã ban hành Luật Công nghệ thông tin với mục tiêu hàng đầu

là hợp pháp hóa các văn bản dưới dạng điện tử, đảm bảo hồ sơ được lưu trữ dưới dạng điện tử trong các cơ quan chính phủ và sửa đổi bổ sung một số luật như Luật Hình sự, Luật Chứng cứ. Luật Công nghệ thông tin tập trung vào một số mục tiêu cơ bản sau:

- Đảm bảo chủ quyền và sự toàn vẹn của Ấn Độ

- Bảo vệ tổ quốc

- Đảm bảo an ninh quốc gia

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

- Quan hệ thân thiện với các quốc gia khác

- Đảm bảo trật tự xã hội

An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 8

- Ngăn chặn bất kỳ hành vi phạm tội nào liên quan đến các mục tiêu trên

- Điều tra bất kỳ vụ án nào.

Ngoài ra, Luật cũng quy định cá nhân, tổ chức không hợp tác với cơ quan có thẩm quyền sẽ bị kết án tù từ 7 năm trở lên và bị phạt tiền. Bên cạnh các quy định trên, các quy định trong Bộ Luật hình sự cũng quy định về việc ngăn chặn và cách xử lý các vụ vi phạm. Bên cạnh đó, một số bang của Ấn Độ đã ban hành các luật quy định về an ninh mạng như Đạo luật chống tội phạm có tổ chức năm 1999 của bang Maharastra, Đạo luật chống tội phạm có tổ chức của bang Andhra Pradesh năm 2001. Có thể nói Ấn Độ có cơ chế giám sát mạng Internet rất nghiêm, theo đó các nhà cung cấp dịch vụ Internet và nhà cung cấp dịch vụ viễn thông hoạt động ở Ấn Độ bắt buộc phải có giấy phép của Chính phủ Ấn Độ thông qua Bộ Công nghệ Thông tin và Truyền thông.

e) Luật An ninh mạng của Trung Quốc

Luật gồm 7 chương, 79 điều có hiệu lực từ ngày 1/6/2017

Chương 1, phần các quy định chung gồm 14 điều quy định về nguyên tắc đảm bảo an ninh mạng, chủ quyền không gian mạng, an ninh quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của công dân pháp nhân và các tổ chức, thúc đẩy sự phát triển lành mạnh kinh tế và thông tin xã hội.

Chương 1 tập trung vào trách nhiệm quản lý nhà nước về an ninh mạng, xây dựng và tổ chức thực hiện các chính sách và biện pháp để bảo vệ an ninh mạng.

Ở Chương 2, Luật quy định về sự hỗ trợ và thúc đẩy an ninh mạng. Cụ thể Luật chỉ rõ trách nhiệm của Nhà nước trong việc xây dựng và nâng cao hệ thống tiêu chuẩn an ninh mạng. Nhà nước cũng hỗ trợ các doanh nghiệp, cơ sở nghiên cứu, trường đại học và các tổ chức hoạt động trong lĩnh vực mạng tham gia vào việc hình thành các tiêu chuẩn an ninh mạng quốc gia để đảm bảo an ninh mạng.

Chương 3 của Luật (từ Điều 15 đến Điều 30) tập trung vào hoạt động an ninh mạng quy định hoạt động cần thiết mà Nhà nước thực hiện. Luật cũng quy định 5 nghĩa vụ để đảm bảo an ninh mạng. Trong chương 3 (từ Điều 31 đến Điều 30) tập trung vào việc bảo đảm an ninh mạng đối với các cơ sở hạ tầng mạng quan trọng.

Chương 4 quy định về an toàn thông tin mạng gồm 11 Điều.

Chương 5 từ Điều 51 đến Điều 58 quy định về giám sát, cảnh báo sớm và các biện pháp đáp trả khẩn cấp.

Chương 6 quy định trách nhiệm pháp lý của nhà mạng khi không đảm bảo an ninh mạng gây tổn hại cho các cơ sở hạ tầng mạng quan trọng, thông tin cá nhân.

Chương 7 của Luật này lại quy định bổ sung về các khái niệm “mạng”, “an ninh mạng”, “nhà mạng”, “dữ liệu mạng” “thông tin cá nhân”.

Luật An ninh mạng được coi là một hướng dẫn chi tiết đối với các doanh nghiệp nước ngoài đang hoạt động trên lãnh thổ Trung Quốc với các mục tiêu:

+ Xác định rõ nguyên tắc chủ quyền không gian mạng

+ Xác định rõ nghĩa vụ về an ninh đối với sản phẩm mạng và nhà cung cấp dịch vụ

+ Xác đinh nghĩa vụ an ninh đối với sản phẩm mạng và tổng đài dịch vụ

+ Nâng cao quy định về bảo vệ thông tin cá nhân

+ Xây dựng hệ thống bảo vệ an ninh hạ tầng thông tin quan trọng

+ Xây dựng quy định truyền thông tin xuyên biên giới đối với dữ liệu quan trọng về cơ sở hạ tầng thông tin quan trọng.

f) Quy định về an ninh mạng của Vương quốc Anh

Ở Anh vấn đề an ninh mạng được quy định tại Luật sử dụng máy tính bất hợp pháp năm 1990, sửa đổi năm 2006 theo đó cấm mọi hành vi hacking, tiếp cận hệ thống máy tính bất hợp pháp và làm lây lan virus máy tính một cách có mục đích. Ngoài ra Luật bảo vệ dữ liệu thông tin năm 1998 còn quy định việc phạt nặng tiền đối với doanh nghiệp khi để lộ thông tin gây thiệt hại cho khách hàng.

g) Quy định về an ninh mạng của Canada

Mặc dù Canada không có bộ luật riêng về an ninh mạng nhưng vấn đề an ninh mạng ở Canada được quy định trong hai bộ luật cơ bản là Bộ Luật hình sự và Luật về giấy tờ điện tử và bảo vệ thông tin cá nhân. Bộ Luật hình sự của Canada quy định “Hành vi giả tạo thông tin và tiếp cận bất hợp pháp” để thu thập thông tin qua bất kỳ một “dịch vụ máy tính”; hoặc “cố ý can thiệp bằng cách sử dụng máy tính để chiếm đoạt dữ liệu, thông tin”. Luật về giấy tờ điện tử và bảo vệ thông tin cá nhân năm 2005 quy định việc Nhà nước có thể sử dụng các biện pháp hành chính và kỹ thuật để bảo vệ cơ sở dữ liệu cá nhân tránh khỏi việc bị mất thông tin, dữ liệu cá nhân.

h) Quy định về an ninh mạng của Đức

Quy định về an ninh mạng của Đức được quy định tại Luật Bảo vệ dữ liệu liên bang, Luật An toàn công nghệ thông tin năm 2015, Luật Viễn thông năm 2014. Luật An toàn công nghệ thông tin quy định các nhà quản lý cơ sở hạ tầng thông tin quan trọng phải: xây dựng và thực hiện các biện

pháp an ninh ở mức độ cao nhất; thực hiện kiểm tra thông qua kiểm toán về an ninh; báo cáo các vụ việc xảy ra cho Văn phòng liên bang về an toàn thông tin. Luật Viễn thông quy định về an ninh dữ liệu cụ thể, ví dụ Điều 109 quy định yêu cầu sử dụng các biện pháp an toàn kỹ thuật để ngăn chặn việc tiếp cận một cách bất hợp pháp thông tin, dữ liệu.

i) Quy định về an ninh mạng của Hàn Quốc

Hàn Quốc đã thông qua ba luật liên quan đến an ninh mạng: Luật bảo vệ thông tin và cơ sở hạ tầng viễn thông, Luật hệ thống truyền thông và thông tin (quy định rõ các tiêu chuẩn an ninh đối với các nhà cung cấp dịch vụ) và Luật bảo vệ thông tin cá nhân theo đó Luật này được coi là luật nghiêm nhất thế giới về bảo vệ thông tin cá nhân.

j) Quy định về an ninh mạng của Singapo

Luật An ninh mạng và sử dụng máy tính trái phép điều chỉnh vấn đề tội phạm mạng trong đó quy định hai vấn đề lớn là tiếp cận bất hợp pháp để sửa đổi 24 dữ liệu máy tính, sử dụng hoặc can thiệp bất hợp pháp dịch vụ máy tính. Năm 2013, Luật này được sửa đổi quy định về các mối đe dọa an ninh mạng đối với các cơ sở hạ tầng thông tin quan trọng. Bộ Nội vụ có thẩm quyền yêu cầu các doanh nghiệp tiến hành các biện pháp ngăn chặn cần thiết để bảo vệ, chống lại các mối đe dọa cho an ninh quốc gia, các dịch vụ thiết yếu hoặc các mối quan hệ đối ngoại của Singapo. Luật Bảo vệ dữ liệu cá nhân năm 2012 quy định cá nhân, tổ chức có trách nhiệm bảo vệ thông tin cá nhân bằng các biện pháp thích hợp để ngăn chặn việc tiếp cận bất hợp pháp cũng như các rủi ro.

k) Quy định về an ninh mạng của Pháp

Luật bảo vệ dữ liệu của Pháp là đạo luật khung về an ninh mạng, bảo vệ dữ liệu và đảm bảo tính riêng tư. Thực hiện quy định của Luật, năm 2014 và 2015 Cơ quan phụ trách an toàn mạng đã tiến hành thanh tra gần 1000 cuộc. Trong năm 2015 đã phạt công ty Optical Center 50.000 bảng vì hệ thống dữ liệu khách hàng không an toàn.

Qua nghiên cứu chiến lược và quy định pháp luật về an ninh mạng của các quốc gia nêu trên có thể rút ra một số nhận xét sau:

1) Việc xây dựng chính sách, pháp luật về an ninh mạng của các quốc gia đều dựa trên nền tảng Chiến lược về an ninh mạng và tùy theo thực tế từng thời kỳ mà Chiến lược này có thể được sửa đổi, bổ sung;

2) Sự phát triển nhanh chóng của Internet và sự tinh vi của tội phạm mạng tiếp tục đặt ra nhu cầu cần phải phát triển nhanh hơn nữa một hệ thống để ứng phó các cuộc tấn công mạng và bảo đảm an ninh mạng;

3) Thiếu sự điều phối quốc tế về các vấn đề an ninh mạng dẫn đến kết quả là không có một nhóm phối hợp hoặc cơ chế chia sẻ thông tin quốc tế tập trung về các mối đe dọa hoặc cơ chế ứng phó chung;

4) Tồn tại cách tiếp cận khác nhau giữa các quốc gia, các mức độ sẵn sàng, sự quan tâm và rủi ro khác nhau. Cụ thể, từ khái niệm an ninh mạng cũng đã được hiểu và thể hiện khác nhau nhằm các mục đích khác nhau;

5) Tài sản mạng thuộc sở hữu của cả khu vực công và khu vực tư và ở khu vực tư tài sản này lại thuộc nhiều doanh nghiệp khác nhau, vì vậy cơ chế đối tác công-tư là rất quan trọng;

6) Doanh nghiệp và Nhà nước còn gặp phải sự chồng chéo và xung đột về lợi ích trong một số quy định của luật;

7) Chất lượng an ninh mạng của các doanh nghiệp cung cấp dịch vụ phụ thuộc rất nhiều vào năng lực của họ.

1.5. TỔNG KẾT CHƯƠNG 1

Chương 1 đã trình bày các khái niệm cơ bản về an toàn và bảo mật thông tin trong các hệ thống thông tin của các tổ chức, doanh nghiệp. Bao gồm:

Thứ nhất, các khái niệm về an toàn, an toàn và bảo mật thông tin, truyền tin an toàn, lịch sử phát triển của lĩnh vực an toàn và bảo mật thông tin trong sự phát triển của nhân loại.

Thứ hai, vai trò của an toàn và bảo mật thông tin ngày nay, đặc biệt trong thời kỳ cách mạng công nghệ lan tỏa đến mọi hoạt động của người dùng cá nhân và các tổ chức, doanh nghiệp.

Thứ ba, mục tiêu, yêu cầu và các nguyên tắc của an toàn và bảo mật thông tin đã được trình bày dưới góc nhìn của người quản trị.

Ngoài ra, vấn đề xác định rủi ro thông tin trong hệ thống thông tin cũng được trình bày theo các bước và minh họa mối quan hệ giữa rủi ro thông tin và an toàn và bảo mật thông tin. Cuối chương 1 đã trình bày danh sách các luật, nghị định, thông tư, quyết định, chỉ thị và các văn bản liên quan đến an toàn và bảo mật thông tin của Việt Nam cũng như giới thiệu một số nước trên thế giới.

CÂU HỎI ÔN TẬP VÀ THẢO LUẬN CHƯƠNG 1

I. Câu hỏi ôn tập

1. Trình bày khái niệm về an toàn thông tin? Bảo mật hệ thống thông tin?

2. Vai trò của an toàn bảo mật thông tin trong hoạt động của các tổ chức, doanh nghiệp?

3. Thế nào là tính bí mật? Tính toàn vẹn? Tính sẵn sàng? Tính không thể chối bỏ của thông tin?

4. Mục tiêu của an toàn và bảo mật thông tin là gì? Hãy giải thích.

5. Các nguyên tắc chung của hệ thống đảm bảo an toàn thông tin? Hãy giải thích vì sao cần bảo vệ các tài sản của tổ chức, doanh nghiệp cho đến khi chúng bị loại bỏ khỏi hoạt động của tổ chức?

6. Trình bày khái niệm về rủi ro? Quản trị rủi ro trong hệ thống thông tin của tổ chức, doanh nghiệp?

7. Vai trò của quản trị rủi ro trong HTTT đối với hoạt động của các tổ chức, doanh nghiệp?

8. Trình bày các mô hình đảm bảo an toàn và bảo mật thông tin? Cho ví dụ minh họa.

9. Trình bày mô hình bảo mật nhiều lớp trong hệ thống thông tin của tổ chức? Vì sao các hệ thống ISMS cần triển khai theo mô hình bảo mật nhiều lớp?

10. Trình bày và giải thích về mô hình truyền thông tin an toàn?

11. Tại sao an toàn thông tin trong TMĐT lại liên quan mật thiết với an toàn máy tính và an toàn mạng máy tính? Giải trình vấn đề này?

12. Rủi ro trong hệ thống thông tin là gì? Quy trình quản trị rủi ro trong hệ thống thông tin của tổ chức, doanh nghiệp?

13. Vì sao an toàn và bảo mật thông tin là một phần quan trọng trong quy trình quản trị rủi ro cho hệ thống thông tin doanh nghiệp?

14. Hiện nay Việt Nam có những luật? Nghị định và thông tư nào liên quan đến vấn đề an toàn bảo mật thông tin?

15. Những vấn đề còn tồn tại trong chính sách và pháp luật về an ninh thông tin của Việt Nam và các nước trên thế giới?

II. Bài tập

1. Một tin tặc (hacker) có ý định xâm nhập vào mạng nội bộ của một tổ chức và định thực hiện các hành vi sau: sao chép một vài tệp dữ liệu, xóa trang dữ liệu trên Web và đánh cắp số thẻ tín dụng. Hãy xác định các vấn đề có thể xảy ra đối với kịch bản tấn công của tin tặc này?

2. Khi sử dụng Web và các dịch vụ tìm kiếm trên mạng Internet, các nguy cơ mất an toàn thông tin nào có thể xảy ra đối với người dùng?

3. Ngay sau cuộc họp hội đồng quản trị, bạn đã được đề bạt làm Giám đốc An ninh thông tin cho công ty, bạn phải viết một báo cáo mới về kế hoạch đảm bảo an toàn thông tin cho công ty trong 6 tháng tới. Bạn sẽ viết những nội dung gì trong bản báo cáo này?

BÀI TẬP TÌNH HUỐNG

Bài tập 01:

Cho tình huống như mô tả sau đây:

Nhân viên A gọi đường dây nóng bảo mật thông tin của công ty báo cáo về việc phát hiện một sự việc liên quan đến một đĩa CD lưu trữ một số

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 18/05/2023