Triển khai các biện pháp đảm bảo an toàn thông tin, công nghệ

Những con số biết nói

Theo số liệu IBM Security's 2023 Cost of a Data Breach Report và báo cáo của Cybersecurity Ventures (2023), chi phí trung bình toàn cầu do một vụ vi phạm dữ liệu vào năm 2023 là 4,45 triệu USD, tăng 15% trong 3 năm và thiệt hại do tấn công mạng là khoảng 8 nghìn tỷ USD trên toàn thế giới.

Tại Việt Nam, theo báo cáo tổng kết tình hình An ninh mạng Việt Nam năm 2023 của công ty Công nghệ An ninh mạng quốc Gia Việt Nam (NCS) công bố mới đây, số vụ tấn công mạng vào các tổ chức tăng 9,5% so với năm 2022, trung bình 1.160 vụ mỗi tháng.

Theo tổng hợp của NCS, năm 2023 ghi nhận 13.900 vụ tấn công mạng vào các tổ chức tại Việt Nam. Các mục tiêu chịu nhiều cuộc tấn công nhất trong năm qua là các cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp và các hệ thống trọng yếu khác.

Việt Nam đã nhận thức rõ tầm quan trọng của an toàn thông tin trong bối cảnh số hóa ngày càng sâu rộng. Để đảm bảo an toàn thông tin cho cả khối nhà nước và tư nhân, Việt Nam đã triển khai nhiều chính sách và biện pháp pháp lý như Luật An ninh mạng (2018), Luật bao gồm các quy định về bảo vệ dữ liệu cá nhân, yêu cầu các công ty công nghệ lưu trữ dữ liệu của người dùng Việt Nam trên lãnh thổ Việt Nam và các biện pháp phòng, chống tấn công mạng.

Thủ tướng Chính Phủ phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030; Nghị định 85/2016/NĐ-CP, Nghị định này quy định chi tiết và hướng dẫn thi hành một số điều của Luật An toàn thông tin mạng, bao gồm các biện pháp bảo đảm an toàn thông tin cho các cơ quan nhà nước, tổ chức và doanh nghiệp. Nghị định đặt ra yêu cầu về an toàn hệ thống thông tin, đánh giá rủi ro, và bảo vệ dữ liệu cá nhân.

Bộ Thông tin và Truyền thông và các cơ quan chức năng khác đã cung cấp khung hướng dẫn cụ thể cho các tổ chức, doanh nghiệp trong việc triển khai các biện pháp bảo đảm an toàn thông tin, phù hợp với quy định của pháp luật Việt Nam.

Cách đảm bảo an toàn an ninh mạng, xây dựng chính sách phòng chống tấn công mạng

Nghị định 85/2016/NĐ-CP của Việt Nam quy định chi tiết và hướng dẫn thi hành một số điều của Luật An toàn thông tin mạng. Để xây dựng kế hoạch đảm bảo an toàn thông tin theo quy định của Nghị định này và căn cứ vào các quy trình kiểm soát an toàn an ninh thông tin phổ biến hiện tại, các cơ quan, tổ chức cần tham khảo và tập trung vào những yếu tố chính sau đây:

1. Xác định và phân loại tài sản thông tin

Mục tiêu: Xác định tất cả tài sản thông tin quan trọng trong tổ chức, bao gồm phần cứng, phần mềm, dữ liệu, và hạ tầng mạng.

Thực hiện: Thực hiện kiểm kê và phân loại tài sản dựa trên mức độ nhạy cảm và tầm quan trọng đối với hoạt động của tổ chức.

2. Đánh giá rủi ro an toàn thông tin

Mục tiêu: Nhận diện và đánh giá các rủi ro tiềm ẩn đối với tài sản thông tin, bao gồm rủi ro từ bên trong lẫn bên ngoài tổ chức.

Thực hiện: Sử dụng các phương pháp đánh giá rủi ro như phân tích tác động kinh doanh (BIA), đánh giá rủi ro dựa trên tiêu chuẩn quốc tế như ISO/IEC 27005.

3. Xây dựng chính sách và quy trình an toàn thông tin

Mục tiêu: Phát triển các chính sách và quy trình cụ thể để quản lý và bảo vệ tài sản thông tin.

Thực hiện: Lập các chính sách bảo mật chi tiết, quy định rõ ràng về quyền hạn truy cập, sử dụng và bảo vệ thông tin, quy trình phản hồi sự cố, và quy trình khôi phục hệ thống.

4. Áp dụng các biện pháp kỹ thuật bảo mật

Mục tiêu: Đảm bảo sử dụng các công nghệ và biện pháp kỹ thuật hiện đại để phòng, chống các nguy cơ an toàn thông tin.

Thực hiện: Triển khai firewall, antivirus, anti-malware, mã hóa dữ liệu, giải pháp phát hiện và ngăn chặn xâm nhập (IDS/IPS), và các công nghệ bảo mật khác.

5. Tăng cường năng lực người dùng và nhân viên

Mục tiêu: Nâng cao nhận thức và kỹ năng an toàn thông tin cho mọi thành viên trong tổ chức.

Thực hiện: Tổ chức các khóa đào tạo, huấn luyện bắt buộc về an toàn thông tin, các chiến dịch nhận thức bảo mật cho nhân viên.

6. Quản lý nhà cung cấp và đối tác

Mục tiêu: Đảm bảo rằng các nhà cung cấp và đối tác cũng tuân thủ các tiêu chuẩn an toàn thông tin tương đương.

Thực hiện: Đánh giá bảo mật của các nhà cung cấp, ký kết các thỏa thuận bảo mật (SLA), và tiến hành kiểm toán bảo mật định kỳ.

7. Kiểm định an toàn thông tin

Mục tiêu: Thường xuyên kiểm tra, kiểm định và đánh giá hiệu quả của các biện pháp bảo mật đã triển khai.

Thực hiện: Thực hiện các cuộc kiểm định bảo mật định kỳ, sử dụng dịch vụ của bên thứ ba để đánh giá khách quan.

Xây dựng chính sách phòng chống tấn công mạng của cơ quan, doanh nghiệp là một bước không thể thiếu trong việc bảo đảm an toàn thông tin trong thời đại kỹ thuật số./.