Quản lý ATTT theo tiêu chuẩn quốc tế
ATMQIS (Assistant Tool Managing The Quality of Information Security) là phần mềm do sở KH&CN Đồng Nai xây dựng. Đây là phần mềm quản lý ATTT theo tiêu chuẩn quốc tế lần đầu tiên được xây dựng tại Việt Nam. TS. Phạm Văn Sáng, giám đốc sở KH&CN Đồng Nai - tác giả công trình này, đã mất 2 năm xây dựng phần mềm, tìm kiếm các tài liệu nước ngoài về quản lý ATTT theo tiêu chuẩn ISO 17799: 2005/ISO/IEC 27001. Tiêu chuẩn 27001 đã được áp dụng khá phổ biến trên thế giới đối với các tiêu chí quản lý ATTT nhưng còn khá mới mẻ tại Việt Nam. Để hoàn thiện bộ sản phẩm ATMQIS, nhóm nghiên cứu đã phải tốn rất nhiều công sức chuyển các chuẩn quốc tế sang tiếng Việt để những nhân viên bình thường trong các cơ quan, DN khác nhau có thể dễ dàng hiểu và thực thi.
Theo TS.Sáng, xây dựng hệ thống ATTT theo tiêu chuẩn quốc tế thường đòi hỏi chi phí rất lớn, vượt qua khả năng và điều kiện về tài chính, nhân lực của các cơ quan nhà nước và một số tổ chức, DN có quy mô vừa và nhỏ. Công cụ hỗ trợ quản lý chất lượng ATTT ATMQIS đã giải quyết được bài toán khó này. Các cơ quan nhà nước, các DN vừa và nhỏ sẽ có cơ hội tiếp cận một tiêu chuẩn quốc tế về an ninh trong hệ thống với cách thức đơn giản, dễ dàng áp dụng trong điều kiện thực tiễn của tổ chức mình để tránh những rủi ro có thể gặp phải khi tin học hóa hoạt động quản lý sản xuất, kinh doanh.
Tự đánh giá rủi ro bằng mô hình kim tự tháp
|
ATMQIS được xây dựng dựa trên các tiêu chuẩn quốc tế về ATTT ISO/IEC 27001 nhằm tạo ra một mắt xích liên kết hai yếu tố công nghệ và con người. ATMQIS được tổ chức theo mô hình kim tự tháp với 3 lớp, trong đó, lớp thứ nhất (đỉnh kim tự tháp) mô tả các chính sách được áp dụng trong tổ chức. Trong một tổ chức có nhiều bộ phận, từng bộ phận lại có chức năng nhiệm vụ, tính chất, cách tổ chức thông tin, trình độ nhận thức về ATTT khác nhau. Chính vì vậy khi thiết lập các chính sách, ATMQIS giúp xác định rõ mục đích của chính sách sẽ được thiết lập, đối tượng thực thi, phạm vi tác động... Lớp thứ hai mô tả các quy tắc, quy định thực thi các chính sách. Hệ thống các quy tắc ATTT được thể hiện trên 10 lĩnh vực lớn, bao hàm các quy định từ tổ chức, con người, an ninh vật lý đến các công cụ kỹ thuật ATTT. Các quy tắc được xây dựng trên mô hình CNTT chuẩn của tổ chức và thể hiện được tính đặc thù của tổ chức đó. Thông qua việc thực thi các quy tắc, có thể đánh giá chất lượng ATTT của một tổ chức qua kiểm toán (Audit). Lớp thứ ba bao gồm các quy trình, giải pháp hỗ trợ thực thi các quy tắc, quy định trên. Các quy trình này có thể liên quan đến nhiều chính sách và đối tượng sử dụng khác nhau.
Tương đương với 3 lớp theo mô hình kim tự tháp, cấu trúc bên trong của ATMQIS gồm 3 module chính: Quản lý chính sách, quản lý nhận thức và quản lý hệ thống. Trong đó, quản lý nhận thức (dùng cho Admin và Super User) có 4 module con: 1. "Quản lý đề kiểm tra": Cho phép Admin tạo mới, hiệu chỉnh hoặc xóa đề kiểm tra dành cho nhân viên từng bộ phận trực thuộc cơ quan (End User). Ngoài ra, Admin còn có thể đưa một đề kiểm tra bất kỳ vào sử dụng và kết thúc quá trình sử dụng bất cứ lúc nào, ở bất kỳ bộ phận nào. 2. "Quản lý câu hỏi cơ bản": Cho phép Admin tạo mới, hiệu chỉnh hoặc xóa câu hỏi về kiến thức cơ bản do Admin hoặc Super User tạo ra. 3. "Quản lý bài học cơ bản": Cho phép Admin cập nhật nhóm bài học, duyệt các bài học do Admin hoặc Super User tạo ra. 4. "Kiểm tra nhận thức" (dành cho End User): Công cụ giúp nhân viên trong toàn cơ quan cập nhật những kiến thức cơ bản về ISO 17799, kiến thức tổng quát về ATTT và tra cứu thông tin về chính sách ATTT đang được áp dụng trong bộ phận mình trực thuộc.
|
ATMQIS thể hiện bằng 2 ngôn ngữ (Việt và Anh) trợ giúp cho việc thiết lập, quản lý, vận hành và đánh giá mức độ thực thi chính sách ATTT trong tổ chức, DN phù hợp với điều kiện thực tế. TS.Phạm Văn Sáng cho biết, ATMQIS còn là bộ giáo trình về ATTT với nội dung đa dạng, phong phú phù hợp với nhu cầu của từng cơ quan, DN. Ngoài ra, một trong những điểm tạo nên sự khác biệt là hệ thống đã xây dựng được bộ hướng dẫn công việc dành cho End User trong từng lĩnh vực cụ thể. Ví dụ, việc áp dụng tin học trong quản lý công văn, tài liệu luôn mang lại sự tiện lợi, nhanh chóng nhưng đối với các tài liệu mật sẽ không được thực hiện việc số hóa vào hệ thống mà lưu trữ ở một vùng riêng. Khi soạn thảo một công văn mật để gửi đi, các quy định bắt buộc đối với nhân viên thực hiện là phải dùng thuật toán mã hóa. Người lãnh đạo sẽ kiểm duyệt lại nội dung công văn và chèn chữ ký điện tử lên tài liệu trước khi trả lại bộ phận soạn thảo để phát hành. Những hướng dẫn cụ thể này đều được ATMQIS quy định cụ thể với nhiều mức độ khác nhau cho các loại tài liệu khác nhau.
Tóm lại, công cụ hỗ trợ quản lý chất lượng ATTT ATMQIS đã xây dựng được bộ chính sách mẫu phù hợp với điều kiện thực tế Việt Nam và khả năng áp dụng thực tế của các tổ chức khác nhau. Ngoài ra, ATMQIS còn cho phép nhà quản lý (quản trị ATTT) điều chỉnh, thiết lập bộ chính sách ATTT phù hợp với từng đơn vị mình quản lý. Cho phép nhân viên tiếp cận các chính sách ATTT và có trách nhiệm thực thi các quy định trong chính sách ATTT của đơn vị mình. Các nhà quản lý có thể kiểm tra nhận thức và đánh giá việc thực thi chính sách ATTT trong đơn vị thông qua các bài kiểm tra kiến thức. Cán bộ, nhân viên trong cơ quan có thể tự học tập, nâng cao kiến thức tổng quát về ATTT thông qua các giáo trình được xây dựng sẵn.