Tiêu chuẩn về công nghệ thông tin bảo vệ không gian mạng trong doanh nghiệp

Đăng ngày: 09:28 02-12-2022

Ưu tiên rủi ro

Theo báo cáo của Diễn đàn Kinh tế Thế giới với chủ đề Triển vọng An ninh mạng Toàn cầu 2022, sự cố cơ sở hạ tầng sau cuộc tấn công mạng là mối quan tâm số một của các nhà lãnh đạo mạng, trước hành vi trộm cắp danh tính. Báo cáo này cũng chỉ ra rằng mặc dù 85% các nhà lãnh đạo không gian mạng tin rằng khả năng phục hồi không gian mạng là ưu tiên hàng đầu trong tổ chức của họ, nhưng việc giành được sự ủng hộ của người ra quyết định khi ưu tiên những rủi ro này so với nhiều rủi ro khác vẫn là thách thức đáng kể. Tuy nhiên, không nên xem nhẹ thách thức này.

Tạp chí CyberCrime đã khẳng định, các cuộc tấn công mạng có khả năng gây nguy hiểm cho nền kinh tế của một thành phố, khu vực hoặc thậm chí cả tiểu bang. Cũng theo tạp chí này, chi phí toàn cầu của tội phạm mạng sẽ là 10,5 nghìn tỷ USD mỗi năm vào năm 2025.

Khái niệm an ninh mạng không phải mới nhưng trong thế giới ngày càng kết nối với nhau, rủi ro liên quan đến các cuộc tấn công mạng là rất lớn, dù đối với cá nhân, tổ chức, dịch vụ hay hệ thống. Công nghệ tiếp tục phát triển tinh vi và tội phạm mạng cũng vậy. Chính vì những lý do trên, hai tiêu chuẩn quốc tế ISO/IEC 15408 và ISO/IEC 18045 cho công nghệ thông tin (CNTT) đã ra đời để có thể hỗ trợ vấn đề này.

Theo Miguel Bañón, chuyên gia đánh giá và chứng nhận an ninh mạng, đồng thời là người điều hành nhóm công tác chịu trách nhiệm đánh giá, thử nghiệm và thông số kỹ thuật bảo mật do ISO và Ủy ban Kỹ thuật Điện Quốc tế (IEC) đứng đầu, các tiêu chuẩn này không thể tách rời. Thật vậy, ISO/IEC 15408 xác định các tiêu chí đánh giá về bảo mật CNTT, trong khi ISO/IEC 18405, bổ sung cho tiêu chuẩn này, xác định phương pháp đánh giá bảo mật CNTT.

Bản thân thị trường đang đặt vấn đề an ninh mạng lên hàng đầu.  

Sửa đổi kịp thời

Gần đây các tiêu chuẩn đã được sửa đổi để đáp ứng nhu cầu mới và phức tạp của thời đại. Chuyên gia Bañón cho biết: “Nhóm làm việc tập trung vào đảm bảo công nghệ, chứng nhận thử nghiệm và phát triển các tiêu chuẩn để đảm bảo bản thân công nghệ được an toàn. Giải pháp phần lớn dựa trên cách tiếp cận này. Các tiêu chuẩn cũng giúp quản lý thông tin và có cách tiếp cận toàn diện. Tuy nhiên, tính bảo mật của công nghệ vẫn là khía cạnh cơ bản”.

Để thành công trên thị trường, bạn phải đạt được sự tin tưởng của khách hàng. Điều này đúng với công nghệ cũng như với bất kỳ sản phẩm nào khác. Với một loạt sản phẩm mới tung ra thị trường với tốc độ chóng mặt, ví dụ như phương tiện được kết nối, làm sao bạn có thể tin tưởng vào phương tiện được kết nối tự lái nếu bạn không đảm bảo rằng nó sẽ hoạt động bình thường?

Như ông Bañón đã chỉ ra, ISO/IEC 15408 và ISO/IEC 18045 cung cấp phương pháp độc đáo và chất lượng cao được quốc tế đồng ý để xác minh và đánh giá mức độ an toàn của các sản phẩm và hệ thống. Ông cũng cho biết những gì từng là một lĩnh vực thích hợp hiện đang trở thành xu hướng chủ đạo và bản thân thị trường đang đặt vấn đề an ninh mạng lên hàng đầu như một yêu cầu. Do đó, các nhà hoạch định chính sách và nhà lãnh đạo phải đi đầu và ưu tiên các rủi ro mạng.

Xây dựng khả năng phục hồi

Trước đây, để chứng nhận độ an toàn của sản phẩm, cần phải thực hiện trên cơ sở hệ thống quốc gia, tuy nhiên, một chương trình chứng nhận toàn châu Âu sẽ được triển khai cho các sản phẩm và chương trình mới này dựa trên ISO/IEC 15408.

Bảo mật công nghệ thông tin không phải là mới, việc áp dụng tiêu chuẩn đã có tác động tích cực đến các sản phẩm có sẵn trên thị trường. Theo ông Bañón, các sản phẩm được coi là tuân thủ tiêu chuẩn nói chung, chẳng hạn như hệ điều hành hoặc thiết bị mạng đã phát triển và trở nên tinh vi hơn, đến mức tin tặc không còn cách nào khác là quay trở lại với các sản phẩm được xem là tấn công “dễ dàng hơn”.

Việc tuân thủ ISO/IEC 15408 yêu cầu mức độ trưởng thành cao và khả năng chống tấn công ở mức độ cao. Ông Bañón cho rằng, hiện nay, khi nghe về các lỗ hổng mới về an ninh mạng, rất có thể tin tặc đang khai thác các sản phẩm chưa được chứng nhận hoặc đánh giá theo tiêu chuẩn này.

“Một hacker sẽ có xu hướng tìm kiếm liên kết yếu nhất trong chuỗi và hiện tại con đường dễ dàng nhất là thông qua các sản phẩm chưa được chứng nhận theo tiêu chuẩn này”, ông Bañón nhấn mạnh.

Hà My (theo vietq)

Cùng chuyên mục