Đảm bảo an toàn an toàn thông tin là một nhu cầu thiết thực để thúc đẩy và phát triển Công nghệ Thông tin (CNTT). Tiêu chuẩn về an toàn thông tin cho các thiết bị và hệ thống trong lĩnh vực công nghệ thông tin vẫn còn thiếu nhiều. Tổ chức ISO thế giới có trên 100 chuẩn về an ninh thông tin, trong khi số tiêu chuẩn của Việt Nam ban hành còn rất ít. Việc thiếu các tiêu chuẩn và hướng dẫn thực hành áp dụng dẫn đến việc người sử dụng, nhà phát triển và các tổ chức kiểm định không có cơ sở để thực hiện đánh giá về độ an ninh của sản phẩm và hệ thống công nghệ thông tin. Trước tình hình này, việc nghiên cứu áp dụng, triển khai các tiêu chuẩn về quản lý an ninh thông tin nhằm đưa ra các tiêu chí thống nhất để đánh giá an ninh cho các sản phẩm và hệ thống công nghệ thông tin là rất cần thiết.
Hiện nay, ở Việt Nam một số doanh nghiệp hoạt động trong lĩnh vực CNTT (CMC, FPT, vv), các ngân hàng (VietcomBank, SeABank, Sacombank, SHB, vv), các trung tâm dữ liệu lớn (Viettel IDC, FPT Data Center EPZ, CMC Telecom, vv) cũng đã và đang quan tâm áp dụng các chuẩn quốc tế về quản lý hệ thống an ninh thông tin.
Đối với cơ quan quản lý Nhà nước về ứng dụng công nghệ thông tin bên cạnh việc hoàn thiện cơ sở pháp lý đảm bảo ứng dụng công nghệ thông tin nghiên cứu dự thảo để đưa ra áp dụng các tiêu chuẩn về quản lý an ninh thông tin trên cơ sở nghiên cứu, biên dịch các bộ tiêu chuẩn quản lý về an ninh thông tin trên thế giới.
Bộ Tài nguyên và Môi trường trong thời gian qua đã có nhiều hoạt động đẩy mạnh hoạt động ứng dụng CNTT phục vụ công tác quản lý nhà nước, nghiệp vụ trong các lĩnh vực tài nguyên và môi trường, phục vụ nhu cầu của xã hội và cộng đồng và được đánh giá cao tuy nhiên ngành tài nguyên và môi trường có nhiệm vụ quản lý và điều tra cơ bản của 8 lĩnh vực quản lý Nhà nước về tài nguyên đất, tài nguyên nước, địa chất - khoáng sản, môi trường, khí tượng - thủy văn, đo đạc - bản đồ, viễn thám và biển - hải đảo, sản phẩm của ngành (ở cấp Trung ương và địa phương) là một khối lượng dữ liệu chuyên ngành rất lớn. Việc triển khai các dự án nhằm tin học hóa nghiệp vụ quản lý nhà nước đồng thời phát huy việc khai thác, cập nhật thông tin dữ liệu của ngành đã được cụ thể hóa qua các dự án lớn như “dự án Xây dựng Cơ sở dữ liệu quốc gia về tài nguyên và môi trường“, “dự án Xây dựng hệ thống mạng thông tin ngành tài nguyên và môi trường“. Ngoài việc cập nhật xây dựng dữ liệu là hoàn thiện hạ tầng công nghệ thông tin, nhằm đảm bảo việc khai thác và trao đổi dữ liệu trong và ngoài ngành được an ninh, điều đó đặt ra một yêu cầu cấp thiết là cần phải có một giải pháp đảm bảo an ninh thông tin toàn diện không chỉ về giải pháp công nghệ. Chính vì vậy, để đáp ứng việc đảm bảo an ninh thông tin nói chung và trong ngành tài nguyên và môi trường nói riêng, cần phải nghiên cứu xây dựng và áp dụng được một hệ thống quản lý an ninh thông tin phù hợp với đặc thù của ngành, đảm bảo an ninh ở các mức độ: quản lý và công nghệ.
Vì vậy, vấn đề chính nghiên cứu trong đề tài là nghiên cứu, lựa chọn và áp dụng các biện pháp quản lý an ninh thông tin phù hợp với nhu cầu ngành tài nguyên và môi trường trên cơ sở đưa ra các hướng dẫn áp dụng và các biện pháp kỹ thuật phù hợp để bảo vệ hệ thống thông tin trong ngành tài nguyên và môi trường. Bên cạnh đó là áp dụng thử nghiệm xây dựng hệ thống quản lý an ninh thông tin tại Cục Công nghệ thông tin và Văn phòng Bộ Tài nguyên và môi trường vì tại 2 đơn vị này hiện nay là đơn vị tập trung lớn các hệ thống công nghệ thông tin của ngành. Lấy kết quả làm cơ sở để đề xuất triển khai thực tiễn cho các đơn vị còn lại trong ngành.
“Nghiên cứu, áp dụng quy tắc thực hành quản lý an toàn thông tin số tài nguyên và môi trường” là nghiên cứu, lựa chọn và xây dựng các biện pháp quản lý an ninh thông tin phù hợp với nhu cầu ngành tài nguyên và môi trường trên cơ sở đưa ra các hướng dẫn áp dụng và các biện pháp kỹ thuật phù hợp để bảo vệ hệ thống thông tin trong ngành tài nguyên và môi trường. Bên cạnh đó là áp dụng thử nghiệm xây dựng các chính sách cho hệ thống quản lý an ninh thông tin tại 02 trung tâm dữ liệu đặt tại Cục Công nghệ thông tin và trụ sở Bộ Tài nguyên và môi trường, là nơi tập trung các hệ thống công nghệ thông tin và dữ liệu của ngành.
Trên cơ sở các mục tiêu kỳ vọng và nhu cầu thực tế đặt ra đối với công tác đảm bảo an ninh thông tin sổ ngành Tài nguyên và môi trường, nhóm nghiên cứu bắt đầu bằng việc tiến hành khảo sát, đánh giá hiện trạng, đảm bảo an ninh thông tin số tại các lĩnh vực trong ngành Tài nguyên và môi trường. Trên cơ sở đó tổng hợp, phân tích, đánh giá tổng quan hiện trạng an ninh thông tin số, xác định nhu cầu, sự cần thiết phải xây dựng hệ thống quản lý an ninh thông tin theo chuẩn quốc tế.
Xây dựng các hướng dẫn xây dựng, chính sách an ninh thông tin và áp dụng thử nghiệm tại 02 trung tâm dữ liệu:
-
Nghiên cứu toàn diện cơ sở khoa học các kỹ thuật an toàn, an ninh thông tin số;
-
Đánh giá tổng quan về hiện trạng an toàn, an ninh thông tin số của ngành tài nguyên và môi trường;
-
Nghiên cứu, phân tích sự phù hợp, các văn bản quy phạm pháp luật, các tiêu chuẩn về công nghệ thông tin, các chiến lược ứng dụng công nghệ thông tin, các đề án, quy hoạch về phát triển công nghệ thông tin và an toàn, an ninh thông tin số trong ngành tài nguyên và môi trường với giải pháp công nghệ an toàn, an ninh thông tin, dữ liệu;
-
Khảo sát, phân tích đánh giá mô hình hiện tại, phân tích nhu cầu ứng dụng công nghệ thông tin trong ngành tài nguyên và môi trường áp dụng các giải pháp an toàn và an ninh thông tin số;
-
Nghiên cứu các quy trình kỹ thuật, tiêu chuẩn, và chính sách dựa trên quá trình quản lý thực tiễn hệ thống công nghệ thông tin của các đơn vị trong và ngoài ngành và các chuẩn mực quốc tế trong việc đảm bảo an toàn bảo mật hệ thống thông tin áp dụng phù hợp với đặc thù ngành tài nguyên và môi trường;
Triển khai thử nghiệm kết quả nghiên cứu xây dựng hệ thống quản lý an toàn thông tin trong quản lý Trung tâm dữ liệu của Bộ đặt tại Cục Công nghệ thông tin và Trung tâm dữ liệu tại Trụ sở Bộ do Văn phòng Bộ Tài nguyên và Môi trường quản lý trước đây và nay do Cục Công nghệ thông tin quản lý và vận hành, từ đó đánh giá kết quả, rút ra các kết luận, kiến nghị đề xuất.
Nội dung nghiên cứu
Nhóm thực hiện đề tài nghiên cứu đã thực hiện các công việc
1. Khảo sát đánh giá hiện trạng hệ thống thông tin ngành TNMT trên cơ sở đó nghiên cứu đánh giá, phân loại mức độ quan trọng của thông tin dữ liệu đối với đơn vị sở hữu để có các biện pháp đảm bảo an toàn thông tin phù hợp;
2.Nghiên cứu tổng quan các tiêu chuẩn, quy chuẩn về quản lý hệ thống an toàn thông tin và lựa chọn bộ tiêu chuẩn quản lý an toàn thông tin phù hợp với ngành tài nguyên và môi trường;
3.Nghiên cứu phương pháp tổng quan về thiết lập, triển khai (xây dựng) hệ thống quản lý an toàn thông tin trong ngành tài nguyên và môi trường;
4.Nghiên cứu áp dụng triển khai thực tiễn xây dựng hệ thống quản lý an toàn thông tin tại Cục Công nghệ thông tin và Văn phòng Bộ Tài nguyên và môi trường;
5.Nghiên cứu giải pháp kĩ thuật nhằm xây dựng hệ thống giám sát đảm bảo an toàn thông tin cho kết nối đường truyền và hệ thống cơ sở dữ liệu TNMT trên nền tảng mã nguồn mở;
6.Nghiên cứu, xây dựng hướng dẫn áp dụng các chính sách, quy chuẩn về an toàn thông tin trong ngành tài nguyên và môi trường.
Kết quả nghiên cứu
Sau thời gian nghiên cứu, tổ chức các cuộc hội thảo, hội nghị xin ý kiến chuyên gia, các nhà khoa học, quản lý về các nội dung, kết quả nghiên cứu đã đưa ra được kết quả:
1. Chứng minh được sự cần thiết xây dựng hệ thống quản lý an toàn thông tin cho ngành TNMT và lựa chọn tiêu chuẩn phù hợp để xây dựng hệ thống;
2. Có được phương pháp tổng quan về thiết lập, triển khai hệ thống quản lý an toàn thông tin ngành TNMT;
3. Xây dựng hướng dẫn tổ chức quản lý an toàn thông tin tại trung tâm dữ liệu đặt tại Cục và trụ sở Bộ Tài nguyên và môi trường; thử nghiệm quản lý đối với dịch vụ mạng và thư điện tử ngành TNMT;
4. Phần mềm giám sát đảm bảo an toàn thông tin cho kết nối đường truyền và hệ thống cơ sở dữ liệu TNMT trên nền tảng mã nguồn mở.
Nguồn Dinte
