- 15 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, ĐÁNH GIÁ AN TOÀN THÔNG TIN. - An toàn thông tin. - Những nguyên tắc cơ bản an toàn thông tin. - Đánh giá an toàn thông tin. - Thực trạng việc đánh giá an toàn thông tin ở Việt Nam và trên thế giới. - Phương pháp đánh giá an toàn công nghệ thông tin TCVN ISO/IEC 18045:2008. - Mô hình đánh giá. - 26 CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TOÀN THÔNG TIN THEO CẤP ĐỘ. - Đề xuất quy trình đánh giá an toàn thông tin theo cấp độ. - Sơ đồ tổng quan đánh giá an toàn thông tin theo cấp độ. - Chi tiết quy trình đánh giá an toàn thông tin theo cấp độ. - Chú thích về quy tắc vẽ quy trình đánh giá an toàn thông tin theo cấp độ. - Sơ đồ quy trình đánh giá an toàn thông tin theo cấp độ. - Quy trình đánh giá an toàn thông tin theo cấp độ. - Quy trình kết luận đánh giá an toàn thông tin theo cấp độ. - Trạng thái đánh giá tổng thể an toàn hệ thống thông tin. - Nhóm chức năng dành cho Chuyên viên đánh giá an toàn hệ thống thông tin. - Kịch bản kiểm thử theo luồng thông tin trong quy trình. - Đánh giá. - 25 Hình 2.1: Sơ đồ tổng quan đánh giá an toàn thông tin theo cấp độ. - 31 Hình 2.2: Sơ đồ quy trình đánh giá an toàn thông tin theo cấp độ. - 53 Hình 2.5: Quy trình đánh giá an toàn thông tin theo cấp độ. - 54 Hình 2.6: Quy trình kết luận đánh giá an toàn thông tin theo cấp độ. - 90 Hình 3.2: Giao diện chương trình đánh giá an toàn thông tin theo cấp độ. - 95 10 DANH MỤC CÁC BẢNG BIỂU Bảng 2.1: Chú thích về quy tắc vẽ quy trình đánh giá an toàn thông tin theo cấp độ. - 36 Bảng 2.2: Mô tả các bước thực hiện trong quy trình đánh giá an toàn thông tin theo cấp độ. - 58 Bảng 2.7: Danh sách trạng thái đánh giá tổng thể an toàn hệ thống thông tin. - 70 Bảng 2.17: Bảng thuộc tính thông tin nhật ký hệ thống. - Do đó, tôi chọn đề tài “Xây dựng quy trình đánh giá an toàn thông tin theo cấp độ” làm đề tài nghiên cứu cho luận văn của mình. - Từ đó, tác giả đề xuất ra một quy trình phục vụ việc đánh giá an toàn thông tin theo cấp độ. - Bên cạnh đó, tác giả xây dựng mô hình căn cứ theo các bước của quy trình nhằm trực quan hóa được quy trình đánh giá an toàn thông tin theo cấp độ: 1. - Đối tượng nghiên cứu của luận văn: Quy trình đánh giá an toàn thông tin theo cấp độ. - Thực trạng việc đánh giá an toàn thông tin theo cấp độ ở Việt Nam. - CHƯƠNG 3: THỬ NGHIỆM: Trực quan hóa quy trình đánh giá an toàn thông tin theo cấp độ đã đề xuất. - 16 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, ĐÁNH GIÁ AN TOÀN THÔNG TIN 1.1. - An toàn thông tin 1.1.1. - Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc như sau: 1. - Hệ thống thông tin chỉ có một chủ quản hệ thống thông tin. - Hệ thống quản lý thông tin cụ thể (nhân sự, tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau). - Hệ thống xử lý thông tin nội bộ. - Hệ thống trang, cổng thông tin điện tử. - Tiêu chí xác định cấp độ 2: là hệ thống thông tin có một trong các tiêu chí cụ thể như sau. - Tiêu chí xác định cấp độ 4: là hệ thống thông tin có một trong các tiêu chí cụ thể như sau. - Tiêu chí xác định cấp độ 5: là hệ thống thông tin có một trong các tiêu chí cụ thể như sau. - Hệ thống thông tin khác theo quyết định của Thủ tướng Chính phủ. - Phương pháp đánh giá an toàn công nghệ thông tin TCVN ISO/IEC . - Các tiêu chí đánh giá an toàn CNTT. - Đánh giá an toàn HTTT theo cấp độ nhằm xác định được thông tin mà hệ thống đó tạo lập, xử lý, quản lý và bảo vệ. - Xây dựng module hỗ trợ công tác đánh giá an toàn thông tin o Module Quản lý người dùng và phân quyền kiểm soát. - Đề xuất quy trình đánh giá an toàn thông tin theo cấp độ 2.1.1. - Quy trình đánh giá an toàn thông tin theo cấp độ bao gồm các bước: 1. - Đánh giá cấp độ của hệ thống thông tin 6. - Chuyên viên thẩm định hồ sơ: Là đại diện đơn vị chủ trì thẩm định, đơn vị thực hiện đánh giá sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ (Điều 16 - Nghị định 85/2016/NĐ-CP) 4. - Hệ thống đánh giá an toàn thông tin theo cấp độ: Chương trình hỗ trợ trong quá trình đánh giá an toàn thông tin theo cấp độ: Chương trình đề xuất cấp độ của hệ thống theo thông tin hồ sơ khai báo của đối tượng kiểm tra, đánh giá. - Thông tin xác định hệ thống thông tin: Phân loại theo thuộc tính bí mật. - Danh sách hồ sơ đề xuất cấp độ: Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin. - Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. - Nếu thiếu thông tin để thẩm định. - Sau khi hồ sơ đề xuất cấp độ được thẩm định, đối tượng kiểm tra, đánh giá sẽ được phép thực hiện khảo sát hệ thống theo các tiêu chí đánh giá cấp độ và dữ liệu ánh xạ thông tin cuộc tấn công/sự cố an toàn thông tin. - Chi tiết quy trình đánh giá an toàn thông tin theo cấp độ 2.1.2.1. - 37 Quy trình đánh giá an toàn thông tin theo cấp độ (DV_QTD)Đối tượng kiểm tra đánh giá Chuyên viên tiếp nhận hồ sơ Chuyên viên thẩm định hồ sơ Hệ thống đánh giá Chuyên viên đánh giáHồ sơ tổ chức1. - Khai báo thông tin chung của tổ chứcBắt đầu6b. - Khai báo thông tin xác định hệ thống8b. - Khảo sát ánh xạ thông tin cuộc tấn công/ sự cố an toàn thông tinGửi13. - Dữ liệu ánh xạ thông tin cuộc tấn công/ sự cố an toàn thông tin14. - Đánh giá cấp độ HTTT15. - Thông tin đánh giáTừ chốiCông việcYêu cầu bổ sung thông tin đánh giá Hình 2.2: Sơ đồ quy trình đánh giá an toàn thông tin theo cấp độ 38 2.1.2.3. - Người dùng thực hiện đánh giá sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ. - Quy trình đánh giá an toàn thông tin theo cấp độ Quy trình mô tả các thao tác thực hiện đối với người dùng là đối tượng kiểm tra, đánh giá. - Người dùng thực hiện khai báo vào bản khảo sát các tiêu chí đánh giá theo cấp độ tương ứng với hệ thống thông tin của tổ chức. - Sơ đồ quy trình Quy trình đánh giá an toàn thông tin theo cấp độ (DV_DGANTT)Đối tượng kiểm tra đánh giá Hệ thống đánh giáHồ sơ tổ chức ở trạng thái phê duyệt thẩm địnhBắt đầu10. - Kết luận cấp độ HTTTĐạtKhông đạtKết thúc Hình 2.5: Quy trình đánh giá an toàn thông tin theo cấp độ Mô tả các bước quy trình: Xem mục 2.1.2.3. - Quy trình kết luận đánh giá an toàn thông tin theo cấp độ Quy trình mô tả các thao tác thực hiện đối với người dùng là chuyên viên đánh giá. - Người dùng thực hiện kết luận kết quả đánh giá an toàn thông tin theo cấp độ, từ đó người dùng đưa ra phương án đảm bảo an toàn thông tin cho hệ thống. - Sơ đồ quy trình Quy trình kết luận đánh giá an toàn thông tin theo cấp độ (DV_KLDGANTT)Đối tượng kiểm tra đánh giá Hệ thống đánh giá Chuyên viên đánh giáHệ thống được đánh giá cấp độBắt đầuDV_KLDGANTT15. - Kết luận cấp độ HTTT Hình 2.6: Quy trình kết luận đánh giá an toàn thông tin theo cấp độ Mô tả các bước quy trình: Xem mục 2.1.2.3. - Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.5. - thông tin xác định hệ thống. - Sơ đồ phân cấp chức năng này sẽ mô tả các khối chức năng chính của chương trình đánh giá an toàn hệ thống thông tin sẽ được xây dựng. - Đánh giá an toàn HTTT 1. - Hồ sơ tổ chức Chức năng cho phép NSD cập nhật thông tin hồ sơ của tổ chức 2. - Khảo sát đánh giá 4. - Khảo sát tiêu chí đánh giá theo cấp độ - Chương trình cung cấp chức năng hỗ trợ tổ chức thực hiện khảo sát an toàn thông tin của hệ thống qua các tiêu chí đánh giá theo cấp độ. - Danh mục tiêu chuẩn NSD thiết lập hệ thống các tiêu chuẩn đánh giá an toàn thông tin theo cấp độ, phục vụ cho thiết lập các tiêu chí đánh giá theo từng cấp độ 3. - Chuyên viên thẩm định hồ sơ theo dõi danh sách hồ sơ của tổ chức có nhu cầu đánh giá an toàn HTTT, kiểm tra sự phù hợp về cấp độ cũng như sự phù hợp phương án bảo đảm an toàn thông tin. - Thống kê kết quả đánh giá. - Kết luận chương 83 Chương này tác giả đã trình bày về một quy trình đánh giá an toàn thông tin theo cấp độ. - Với quy trình này nó sẽ giúp việc đánh giá an toàn thông tin theo cấp độ cho các HTTT ở Việt Nam trở nên thuận lợi và dễ dàng hơn. - Công cụ được sử dụng Danh sách công cụ hỗ trợ lập trình, xây dựng chương trình đánh giá an toàn thông tin theo cấp độ. - Chuyên viên đánh giá an toàn thông tin 1 Cvdanhgia1 123456 Tổ chức đánh giá 7. - Chuyên viên đánh giá an toàn thông tin 2 Cvdanhgia2 123456 Tổ chức đánh giá 8. - Kết quả xây dựng chương trình Thông qua việc đề xuất quy trình đánh giá an toàn thông tin theo cấp độ, tác giả đã thử nghiệm cài đặt chương trình để trực quan hóa được quy trình trên hệ thống. - Từ đó, tác giả đã vận dụng được lý thuyết, đề xuất ra được một quy trình đánh giá an toàn thông tin theo cấp độ. - Ngoài ra, tác giả đã xây dựng ứng dụng thử nghiệm thành công bao gồm các chức năng hỗ trợ chương trình đánh giá an toàn thông tin theo cấp độ. - Kết quả của luận văn đóng góp một phần nền tảng cơ sở cho những tìm hiểu sâu hơn về việc ứng dụng, phát triển hệ thống đánh giá an toàn thông tin theo cấp độ ở Việt Nam. - Tác giả sẽ tiến hành nghiệm đánh giá an toàn thông tin trên nhiều HTTT khác nhau theo quy định. - Nguyễn Hải Anh (2015), “Phân định cấp độ hệ thống thông tin”, Tạp chí an toàn thông tin, Ban cơ yêu chính phủ. - Bộ thông tin và truyền thông (2017), Thông tư số 03/2017/TT-BTTT, Về đảm bảo an toàn hệ thống thông tin theo cấp độ. - Trần Đức Lịch (2011), “Đánh giá an toàn hệ thống Công nghệ thông tin”, Tạp chí an toàn thông tin, Ban cơ yêu chính phủ. - Quốc hội (2015), Luật số 86/2015/QH13, Luật an toàn thông tin mạng 8
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt