• Thứ Hai, 24/10/2005 10:36 (GMT+7)

    Đảm bảo an ninh cho CNTT

    Các CIO ngày nay hiểu rằng thế giới chúng ta đang sống có quá nhiều bất ổn và cách duy nhất để đối phó là phòng ngừa từ xa.

    Các CIO ngày nay hiểu rằng thế giới chúng ta đang sống có quá nhiều bất ổn và cách duy nhất để đối phó là phòng ngừa từ xa.

    Vụ khủng bố ngày 11/9/2001 giáng một đòn choáng váng vào nhiều công ty hàng đầu của Mỹ có trụ sở nằm tại tòa nhà Trung Tâm Thương Mại Thế Giới và khu lân cận. Việc nhiều văn phòng cùng một lúc ngừng hoạt động đã làm lộ ra những lỗ hổng lớn trong các kế hoạch dự phòng. Hãng dịch vụ tài chính American Express (AE) là một ví dụ. Công ty đặt đại bản doanh tại Trung Tâm Thương Mại Thế Giới và có một trung tâm xử lý kế toán tại tòa nhà cạnh đó. Cả hai tòa nhà này đều ngừng hoạt động sau vụ khủng bố. “Chúng tôi có kế hoạch dự phòng cho khu đại bản doanh và cũng có kế hoạch dự phòng cho trung tâm kế toán, nhưng chúng tôi hoàn toàn lúng túng khi cả hai cùng lúc ngừng hoạt động”, ông Glen Salow, CIO của AE cho biết. Rút kinh nghiệm, từ năm 2002, AE đã bắt đầu xây dựng các kế hoạch dự phòng trong trường hợp “bộ não điện tử” của họ là các trung tâm dữ liệu và tính toán đặt tại Phoenix và Minneapolis ngừng hoạt động.

    Các CIO ngày nay hiểu rằng thế giới chúng ta đang sống có quá nhiều bất ổn và cách duy nhất là phòng ngừa trước. Họ đều đang gấp rút xây dựng các kế hoạch dự phòng đối phó với các thảm họa xảy ra trên quy mô rất lớn - điều chúng ta chứng kiến liên tiếp gần đây (sóng thần và bão Katrina làm hàng loạt khu vực rộng lớn bị tê liệt về mọi mặt).

    Trong bối cảnh đó, chuẩn về các kế hoạch dự phòng, và rộng hơn là đảm bảo an ninh cho các hệ thống CNTT - ISO 17799, đã thu hút sự quan tâm đặc biệt của các CIO trên toàn thế giới.

    Thực ra ISO 17799 đã có từ nhiều năm trước dưới tên gọi BS7799-11, tuy nhiên có lẽ do trong thập kỷ 90 (thế kỷ 20) mọi sự xem ra đều “trong tầm kiểm soát” nên chuẩn này không được thực sự chú ý. Đến cuối năm 2000, Tổ Chức Tiêu Chuẩn Quốc Tế (ISO) tiếp nhận, cải tiến và xuất bản chuẩn này dưới tên gọi ISO 17799 như hiện nay. Nhưng chỉ từ năm 2002 (sau sự kiện 11/9 và sau đó là cuộc chiến chống khủng bố toàn cầu), chuẩn này mới được quan tâm mạnh mẽ và được nhiều DN sử dụng.

    Vài nét về chuẩn ISO 17799

    ISO 17799 được đúc kết từ các “thực tiễn tốt nhất” (best practice) trong việc đảm bảo an ninh hệ thống CNTT. Tuy bài báo này không thể đi sâu vào từng yếu tố, nhưng có thể nhận xét chung là ISO 17799 đưa ra các quy định từ mức độ rất cụ thể như an ninh về mặt vật lý (ví dụ phòng server cần có khóa và quy định ai có chìa khóa) đến các mức mang tính chiến lược cao như chính sách an ninh và quản trị kế hoạch dự phòng.

    Đi tiên phong trong việc áp dụng 17799 tất nhiên là các hãng cung cấp dịch vụ CNTT và viễn thông. Do sự phụ thuộc lớn của khách hàng vào các nhà cung cấp dịch vụ, một cách tự nhiên khách hàng sẽ quan tâm liệu nhà cung cấp dịch vụ có bị ảnh hưởng bởi các thảm họa tự nhiên hay phá hoại có chủ ý của con người dẫn đến bị gián đoạn việc cung cấp dịch vụ, hoặc để lọt thông tin khách hàng ra ngoài hay không. Một đối tượng khác cũng rất quan tâm đến việc áp dụng chuẩn này là các ngân hàng và công ty tài chính, bảo hiểm, những đối tượng mà việc kinh doanh hoàn toàn phụ thuộc vào các trung tâm tính toán và dữ liệu đặt rải rác ở các chi nhánh trải trên một phạm vi địa lý rộng. Hiện nay trên toàn thế giới có khoảng 400 doanh nghiệp (DN) và tổ chức đã được cấp chứng chỉ BS 7799/ISO 17799.

    Đánh giá rủi ro an ninh và ISO 17799

    Như chúng ta đã thấy, ISO 17799 bao gồm rất nhiều cấu phần với những lợi ích và chi phí khác nhau. Trừ những DN lớn với nguồn lực dồi dào, cách áp dụng ISO 17799 tốt nhất là dần dần từng cấu phần mà DN thấy thiết thực và mang lại hiệu quả đầu tư tốt nhất.

    Để biết đâu là việc cần đầu tư trước, không thể không đánh giá về rủi ro an ninh. Có nhiều cách đánh giá, nhưng tựu trung chia làm hai loại: định tính và định lượng.

    Phân tích định lượng xoay quanh hai yếu tố cơ bản: xác suất trong một năm có thể xảy ra một sự kiện không mong đợi và ước lượng thiệt hại nếu sự kiện đó xảy ra. Sau đó, người ta nhân ước lượng thiệt hại của sự kiện với xác suất xảy ra để ước lượng thiệt hại trong năm (ứng với sự kiện đó). Tổng tất cả các ước lượng này sẽ tạo ra một con số gọi là “Ước lượng thiệt hại trong năm” (Annual Loss Expectancy – ALE), hoặc còn gọi là EAC (Estimated Annual Costs).

    Nhược điểm của phân tích định lượng là khó có thể đưa ra con số xác suất sự kiện một cách tương đối tin cậy (ví dụ nếu sử dụng lý thuyết xác suất thì sự kiện bão Katrina xảy ra ngay sau khi sóng thần đánh vào các nước châu Á có khi phải 500 năm mới có một lần, nhưng thực tế đã không như vậy). Phương pháp khác được khá nhiều tổ chức sử dụng là phương pháp định tính.

    Trong phân tích định tính, người ta đưa ra danh sách các mối đe dọa (threat) (như bị hack), các điểm dễ tổn thương (vulnerability) của DN (ví dụ thường xuyên sử dụng đĩa mềm là một điểm dễ tổn thương vì đó là cơ hội để virus thâm nhập hệ thống), và các yếu tố kiểm soát (control) (là những yếu tố DN có thể dùng để khắc chế các điểm dễ tổn thương). Chiến lược an ninh cho CNTT sẽ được xây dựng trên các phân tích về bộ ba threat - vulnerability - control này.

    Có nhiều công cụ tư vấn giúp DN tiến hành các phân tích đánh giá rủi ro. Một công cụ được dùng nhiều là hệ thống COBRA. Hệ thống này đưa ra một bảng câu hỏi cho DN để từ đó đánh giá về các yếu tố threat - vulnerability - control của DN đó. Có thể tham khảo về công cụ này trên trang web www.security-risk-analysis.com.

    Tiềm năng ứng dụng ISO 17799 tại Việt nam

    Hiện nay một số công ty tin học - viễn thông và ngân hàng Việt Nam đang từng bước tham gia mạng lưới cung cấp dịch vụ quốc tế. Nghiên cứu và áp dụng chuẩn ISO 17799 có thể là một trong những cách tạo thêm lợi thế cạnh tranh (hoặc chí ít cũng để không thua kém) các đối thủ quốc tế. Nếu một công ty đa quốc gia muốn đặt trung tâm dịch vụ khách hàng tại Việt Nam, tất nhiên họ sẽ quan tâm đến việc đối tác Việt Nam đảm bảo an ninh, bao gồm cả các kế hoạch dự phòng trong trường hợp khẩn cấp, như thế nào. Nếu đối tác Việt Nam có ISO 17799 thì chắc chắn rất ấn tượng.

    Trong các DN khác, kể cả DN vừa và nhỏ, nghiên cứu và chọn ra những cấu phần phù hợp trong ISO 17799 để áp dụng cũng giúp tiết kiệm đáng kể thời gian tự mày mò, ngoài ra còn chắc được một điều là việc mình làm ngày hôm nay tuân thủ đúng một chiến lược tổng thể, sau này không đến nỗi phải bỏ đi làm lại khi DN quyết định dùng thêm các biện pháp bảo đảm an ninh CNTT mới.

    Bạn đọc quan tâm có thể tham khảo thêm thông tin về ISO 17799 tại một số website: www.17799.com,
    www.iso.org.

    (Tác giả chân thành cảm ơn các ông: Vũ Viết Cường và Chu Tuấn Anh – chuyên viên CNTT Ngân Hàng Thế Giới – về những đóng góp quan trọng cho bài viết này).

    Trần Sơn - Công ty ERAS

    ID: B0510_47