AN TOÀN THÔNG TIN CHO NGÀNH

HÀNG KHÔNG

Đàm Lê Anh

anhdl@vietnamairlines.com

BSI Lead Auditor ISO 27001

VNISA Member

Nội dung chính

• Các khái niệm chung

• Các tiêu chuẩn về ATTT

• ATTT trong ngành Hàng không

CÁC KHÁI NIỆM

• Thông tin

• Thông tin đối với tổ chức

• Các trạng thái thông tin phổ biến

• Hệ thống đảm bảo an toàn thông tin

• “Thông tin là những đại lượng vật lý mà

chúng ta quan tâm đên”(Phương pháp xử lý tín hiệu và những ứng dụng trong phép đo vật lý

/ J. Max NXB KHKT-1985)

‘Thông tin là một Tài sản như các Tài sản quan trọng khác trong công việc – Có giá trị với tổ chức và cần được thường

xuyên bảo vệ một cách phù hợp’‘Information is an asset which, like other

important business assets, has value to an organization and consequently needs

to be suitably protected’

BS ISO 27002

Các trạng thái thông tin phổ

biến Khởi tạo

Lưu trữ

Tiêu hủy

Xử lý

Truyền phát

Sử dụng, khai thác (Mục đích riêng–mục đích chung)

Bị hỏng

Mất

Đánh cắp

Các trạng thái thông tin phổ

biến (II)In ra giấy

Lưu giữ dưới dạng bản ghi điện tử

Truyền phát dưới dạng điện tử

Xem dưới dạng băng video

Hiển thị, đăng tải trênWeb

Truyền miệng

‘Bất kỳ định dạngnào của thôngtin được lưu giữvà chia sẻ cầnluôn được bảovệ thích đáng’

…Whatever form theinformation takes, ormeans by which it isshared or stored, itshould always beappropriately protected’

(ISO 27002)

…

An toàn thông tin

ATTT là sự đảm bảo các thuộc tính sau của

thông tin

– Bảo mật (Confidentiality)

– Toàn vẹn (Integrity)

– Sẵn sàng(Availibility)

– Tính xác thực(Authenticity)

– Tính tuân thủ (Non-Repudiation)

– Tính tin cậy (Reliability)

Hệ thống đảm bảo ATTT

• Hệ thống đảm bảo ATTT là cách tiếp cận

có hệ thống nhằm thiết lập, triển khai, vận

hành, giám sát, xem xét, bảo trì và nâng

cấp sự an toàn thông tin hoàn thánh các

mục tiêu nghiệp vụ• An ISMS is a systematic approach for establishing,

implementing,operating, monitoring, reviewing, maintaining and

improving an organization’s information security achieve business

objectives-ISO 27000:2014

Tạm dừng ….

Tổng quan về các tiêu chuẩn về

ATTT • Liệt kê một số bộ tiêu chuẩn, mô hình hệ

thống ATTT

• Áp dụng tiêu chuẩn ở VN

– ISO 27001

– Các tiêu chuẩn khác

Liệt kê các tiêu chuẩn về ATTT

• ISO 27000

• PCI-DSS

• ISO 154089 (Common Criteria)

• NIST

– Framework for Improving Critical

Infrastructure Cybersecurity

– SP 800, Computer Security

– SP 1800, NIST Cybersecurity Practice Guides

– SP 500s - Computer Systems Technology

Các tiêu chuẩn khác

• ETSI Cyber Security Technical Committee (TC

CYBER)

• Standard of Good Practice

• NERC

• RFC 2196

• ISA/IEC-62443 (formerly ISA-99)

• IEC 62443 Conformity Assessment Program

• IASME

Một số tiêu chuẩn áp dụng ở

Việt nam• PCI-DSS

• ISO 27001

PCI-DSS

• Là tiêu chuẩn do các tổ chức thẻ tín dụng

Visa, MasterCard, American Express, Discover,

and JCB hình thành

• Mục đích bảo vệ thông tin thẻ tín dụng và chống

lừa đảo trên thẻ tín dụng

• Áp dụng rộng rãi trong ngành ngân hàng, tổ

chức tín dung

• Ngành Hàng không áp dụng tiêu chuẩn này

trong các ứng dụng thương mại điện tử

ISO 27001

• Luật An toàn thông tin thông qua

19/11/2015

• Chính phủ thống nhất quản lý

• Bộ Thông tin truyền thông quản lý nhà

nước về ATTT (Điều 52-2-Mục a/ Ban

hành quy đinh pháp luật,…,tiêu chuẩn

quốc gia)

• http://www.mic.gov.vn/Pages/TinTuc/1024

46/Tieu-chuan-quoc-gia-trong-linh-vuc-

Cong-nghe-thong-tin.html

ISO 27000

• Nguyên lý PDCA

Các điều khoản

• Tương thích với ISO 9001 ISO 20000

Các điều khoản

• Điều khoản 4 - Phạm vi tổ chức

• Điều khoản 5 - Lãnh đạo

• Điều khoản 6 - Lập kế hoạch

• Điều khoản 7 - Hỗ trợ

• Điều khoản 8 - Vận hành hệ thống

• Điều khoản 9 - Đánh giá hiệu năng hệ

thống:

• Điều khoản 10 - Cải tiến hệ thống:

Các Kiểm soát (Phụ lục A)

http://antoanthongtin.vn/

14 vùng (section)

114 khâu kiểm

soát (controls)

Mô hình tự động hóa

NIST SP800-137

Mô hình thích ứng về

an toàn thông tin

ATTT trong ngành vận tải hàng

không• Các dịch vu

• Các tài sản thông tin trong ngành hang

không

• Các giải pháp

Ví dụ hệ thống phục vụ hành khách

Ví dụ về hệ thống hàng hóa

Các hệ thống khác

• Hệ thống Vận chuyển mặt đất

• Hệ thống khách sạn du lịch

• Hệ thống cơ sở sản xuất, chế tạo

• …..

Các tài sản thông tin trong hang

hầng không• Nhóm các thông tin phục vụ kinh doanh

• Nhóm các thông tin từ đối tác, các hiệp hội

• Nhóm các thông tin quản trị ATTT(Chính

sách, kế hoạch, quy trình…)

• Nhóm các thông tin đặc biêt, khó xác đinh

Các mô hình ATTT áp dụng hiện

nay cho các hãng

Các tài liệu tham chiếu của AIRBUS

The Security Handbook is closely aligned to ISO/IEC 27001, the leading international

standard for information security management. For further information, please contact

the Airbus In-Service Security department (AC_SEC@airbus.com).

Tài liệu tham chiếu cuả Boeing

• An Introduction to Computer Security: The NIST Handbook, (NIST Special

Publication 800-12, Oct 1995). http://csrc.nist.gov/publications/nistpubs/800-

12/

• ” Computer Security Incident Handling Guide, (NIST Special Publication

800-61 Rev. 1, August 2012). http://csrc.nist.gov/publications/nistpubs/800-

61-rev1/SP800-61rev1.pdf

• Electronic Authentication Guideline, (NIST Special Publication 800-63, Dec.

2011). http://csrc.nist.gov/publications/nistpubs/800-63-1/SP-800-63-1.pdf

• DRAFT Guide to Enterprise Password Management, (NIST Special

Publication 800118, April 2009). http://csrc.nist.gov/publications/drafts/800-

118/draft-sp800-118.pdf

• Introduction to Public Key Technology and the Federal PKI Infrastructure,

(NIST Special Publication 800-32, Feb. 2001).

http://csrc.nist.gov/publications/nistpubs/800-32/sp800-32.pdf.

Recommendation for Digital Signature Timeliness, (NIST Special

Publication 800102, Sept. 2009).

http://csrc.nist.gov/publications/nistpubs/800-102/sp800-102.pdf

CyberSecurity Toolkit

• Phân 1:TổNG quát về attt trong Ngành

hang không và thực trạng

• Phần 2: Các mối đe dọa

• Phần 3: Giảm thiểu rủi ro

• Phần 4 Hướng dẫn thực hiện đảm bảo attt

• Phần 5 Hướng dẫn đánh giá rủi ro

IATA đã thực hiện đến phần quản trị rủi ro

Chứng chỉ ATTT của IATA

Báo cáo của PWC

• Xây dựng liên minh về ATTT và văn hóa

ATTT

• Ưu tiên xây dựng các kế hoạch khung cho

ATTT tại các Hãng HK

• Hỗ trợ các tiêu chuẩn quốc tế

• Xác định được các rủi ro tư nhà cung cấp

thiết bị

Nhận xét

• Các Tổ chức Hàng không đã hiểu rõ mức

độ nghiêm trọng của các rủi ro ATTT

• Hiện đã có các hành động

• Đa phần các hoạt động ATTT của Hàng

không dựa trên các tiêu chuẩn đã có (Ví

dụ : Anex 17 của ICAO về An toàn, các tài

liệu vận hành, đảm bảo cũng như )

• Theo các tiêu chuẩn ATTT hiện đang được

sử dung

Các bước tiến mạnh mẽ

https://www.aiaa.org/uploadedFiles/Issues_and_Advocacy/AIAA-Cyber-

Framework-Final.pdf

Kế hoạch khung hệ thống

ATTT cho ngành Hàng không1. Thiết lập các tiêu chuẩn ATTT phổ biến cho các hệ thống Hàng

không

2. Thiết lập văn hóa về ATTT

3. Hiểu về các rủi ro ATTT

4. Hiểu rõ về các mối đe dọa ATTT

5. Nâng cao nhận thức về các mối đe dọa ATTT

6. Có các kế hoạch ứng phó sự cố

7. Tăng cường hệ thống bảo vệ

8. Hình thành các nguyên tắc thiết kê

9. Hình thành các nguyên tắc thao tác

10. Xây dựng các chương trình R&D

11. Phù hợp với luật của quốc gia

Thúc đẩy ATTT cho hàng không

của các Ông lớn công nghệ

Ngày 09/02/2016 Boeing

đã ký cam kết tài trợ NIST

cho việc xây dựng Kế

hoạch khung nâng cao An

ninh mạng cho hạ tầng

quan trong!

Ý kiến

• Xây dựng hệ thống ATTT thông tin theo

các tiêu chuẩn như ISO 27001, NIST

SP800, SP500,SP1800

• Quan tâm đến khuyến cáo của nhà nước

và các tổ chức

• Con người là trung tâm

• Xây dựng hệ thống dựa trên QUẢN TRỊ

RỦI RO

• Các đe dọa là yếu tố tính đến sau