Một cách tiếp cận về an toàn thông tin cho ngành hàng không

1. AN TOÀN THÔNG TIN CHO NGÀNH
HÀNG KHÔNG
Đàm Lê Anh
anhdl@vietnamairlines.com
BSI Lead Auditor ISO 27001
VNISA Member

2. Nội dung chính
• Các khái niệm chung
• Các tiêu chuẩn về ATTT
• ATTT trong ngành Hàng không

3. CÁC KHÁI NIỆM
• Thông tin
• Thông tin đối với tổ chức
• Các trạng thái thông tin phổ biến
• Hệ thống đảm bảo an toàn thông tin

4. • “Thông tin là những đại lượng vật lý mà
chúng ta quan tâm đên”
(Phương pháp xử lý tín hiệu và những ứng dụng trong phép đo vật lý
/ J. Max NXB KHKT-1985)

5. ‘Thông tin là một Tài sản như các Tài sản
quan trọng khác trong công việc – Có
giá trị với tổ chức và cần được thường
xuyên bảo vệ một cách phù hợp’
‘Information is an asset which, like other
important business assets, has value to
an organization and consequently needs
to be suitably protected’
BS ISO 27002

6. Các trạng thái thông tin phổ
biến
 Khởi tạo
 Lưu trữ
 Tiêu hủy
 Xử lý
 Truyền phát
 Sử dụng, khai thác (Mục đích riêng–mục đích
chung)
 Bị hỏng
 Mất
 Đánh cắp

7. Các trạng thái thông tin phổ
biến (II)
In ra giấy
Lưu giữ dưới dạng bản ghi điện tử
 Truyền phát dưới dạng điện tử
Xem dưới dạng băng video
Hiển thị, đăng tải trênWeb
Truyền miệng
‘Bất kỳ định dạng
nào của thông
tin được lưu giữ
và chia sẻ cần
luôn được bảo
vệ thích đáng’
…Whatever form the
information takes, or
means by which it is
shared or stored, it
should always be
appropriately protected’
(ISO 27002)
…

8. An toàn thông tin
ATTT là sự đảm bảo các thuộc tính sau của
thông tin
– Bảo mật (Confidentiality)
– Toàn vẹn (Integrity)
– Sẵn sàng(Availibility)
– Tính xác thực(Authenticity)
– Tính tuân thủ (Non-Repudiation)
– Tính tin cậy (Reliability)

9. Hệ thống đảm bảo ATTT
• Hệ thống đảm bảo ATTT là cách tiếp cận
có hệ thống nhằm thiết lập, triển khai, vận
hành, giám sát, xem xét, bảo trì và nâng
cấp sự an toàn thông tin hoàn thánh các
mục tiêu nghiệp vụ
• An ISMS is a systematic approach for establishing,
implementing,operating, monitoring, reviewing, maintaining and
improving an organization’s information security achieve business
objectives-ISO 27000:2014

10. Tạm dừng ….

11. Tổng quan về các tiêu chuẩn về
ATTT
• Liệt kê một số bộ tiêu chuẩn, mô hình hệ
thống ATTT
• Áp dụng tiêu chuẩn ở VN
– ISO 27001
– Các tiêu chuẩn khác

12. Liệt kê các tiêu chuẩn về ATTT
• ISO 27000
• PCI-DSS
• ISO 154089 (Common Criteria)
• NIST
– Framework for Improving Critical
Infrastructure Cybersecurity
– SP 800, Computer Security
– SP 1800, NIST Cybersecurity Practice Guides
– SP 500s - Computer Systems Technology

13. Các tiêu chuẩn khác
• ETSI Cyber Security Technical Committee (TC
CYBER)
• Standard of Good Practice
• NERC
• RFC 2196
• ISA/IEC-62443 (formerly ISA-99)
• IEC 62443 Conformity Assessment Program
• IASME

14. Một số tiêu chuẩn áp dụng ở
Việt nam
• PCI-DSS
• ISO 27001

15. PCI-DSS
• Là tiêu chuẩn do các tổ chức thẻ tín dụng
Visa, MasterCard, American Express, Discover,
and JCB hình thành
• Mục đích bảo vệ thông tin thẻ tín dụng và chống
lừa đảo trên thẻ tín dụng
• Áp dụng rộng rãi trong ngành ngân hàng, tổ
chức tín dung
• Ngành Hàng không áp dụng tiêu chuẩn này
trong các ứng dụng thương mại điện tử

16. ISO 27001
• Luật An toàn thông tin thông qua
19/11/2015
• Chính phủ thống nhất quản lý
• Bộ Thông tin truyền thông quản lý nhà
nước về ATTT (Điều 52-2-Mục a/ Ban
hành quy đinh pháp luật,…,tiêu chuẩn
quốc gia)
• http://www.mic.gov.vn/Pages/TinTuc/1024
46/Tieu-chuan-quoc-gia-trong-linh-vuc-
Cong-nghe-thong-tin.html

18. ISO 27000
• Nguyên lý PDCA

19. Các điều khoản
• Tương thích với ISO 9001 ISO 20000

20. Các điều khoản
• Điều khoản 4 - Phạm vi tổ chức
• Điều khoản 5 - Lãnh đạo
• Điều khoản 6 - Lập kế hoạch
• Điều khoản 7 - Hỗ trợ
• Điều khoản 8 - Vận hành hệ thống
• Điều khoản 9 - Đánh giá hiệu năng hệ
thống:
• Điều khoản 10 - Cải tiến hệ thống:

21. Các Kiểm soát (Phụ lục A)
http://antoanthongtin.vn/
14 vùng (section)
114 khâu kiểm
soát (controls)

22. Mô hình tự động hóa
NIST SP800-137

23. Mô hình thích ứng về
an toàn thông tin

25. ATTT trong ngành vận tải hàng
không
• Các dịch vu
• Các tài sản thông tin trong ngành hang
không
• Các giải pháp

26. Ví dụ hệ thống phục vụ hành khách

27. Ví dụ về hệ thống hàng hóa

28. Các hệ thống khác
• Hệ thống Vận chuyển mặt đất
• Hệ thống khách sạn du lịch
• Hệ thống cơ sở sản xuất, chế tạo
• …..

29. Các tài sản thông tin trong hang
hầng không
• Nhóm các thông tin phục vụ kinh doanh
• Nhóm các thông tin từ đối tác, các hiệp hội
• Nhóm các thông tin quản trị ATTT(Chính
sách, kế hoạch, quy trình…)
• Nhóm các thông tin đặc biêt, khó xác đinh

30. Các mô hình ATTT áp dụng hiện
nay cho các hãng
Các tài liệu tham chiếu của AIRBUS
The Security Handbook is closely aligned to ISO/IEC 27001, the leading international
standard for information security management. For further information, please contact
the Airbus In-Service Security department (AC_SEC@airbus.com).

31. Tài liệu tham chiếu cuả Boeing
• An Introduction to Computer Security: The NIST Handbook, (NIST Special
Publication 800-12, Oct 1995). http://csrc.nist.gov/publications/nistpubs/800-
12/
• ” Computer Security Incident Handling Guide, (NIST Special Publication
800-61 Rev. 1, August 2012). http://csrc.nist.gov/publications/nistpubs/800-
61-rev1/SP800-61rev1.pdf
• Electronic Authentication Guideline, (NIST Special Publication 800-63, Dec.
2011). http://csrc.nist.gov/publications/nistpubs/800-63-1/SP-800-63-1.pdf
• DRAFT Guide to Enterprise Password Management, (NIST Special
Publication 800118, April 2009). http://csrc.nist.gov/publications/drafts/800-
118/draft-sp800-118.pdf
• Introduction to Public Key Technology and the Federal PKI Infrastructure,
(NIST Special Publication 800-32, Feb. 2001).
http://csrc.nist.gov/publications/nistpubs/800-32/sp800-32.pdf.
Recommendation for Digital Signature Timeliness, (NIST Special
Publication 800102, Sept. 2009).
http://csrc.nist.gov/publications/nistpubs/800-102/sp800-102.pdf

32. CyberSecurity Toolkit
• Phân 1:TổNG quát về attt trong Ngành
hang không và thực trạng
• Phần 2: Các mối đe dọa
• Phần 3: Giảm thiểu rủi ro
• Phần 4 Hướng dẫn thực hiện đảm bảo attt
• Phần 5 Hướng dẫn đánh giá rủi ro
IATA đã thực hiện đến phần quản trị rủi ro

33. Chứng chỉ ATTT của IATA

35. Báo cáo của PWC
• Xây dựng liên minh về ATTT và văn hóa
ATTT
• Ưu tiên xây dựng các kế hoạch khung cho
ATTT tại các Hãng HK
• Hỗ trợ các tiêu chuẩn quốc tế
• Xác định được các rủi ro tư nhà cung cấp
thiết bị

36. Nhận xét
• Các Tổ chức Hàng không đã hiểu rõ mức
độ nghiêm trọng của các rủi ro ATTT
• Hiện đã có các hành động
• Đa phần các hoạt động ATTT của Hàng
không dựa trên các tiêu chuẩn đã có (Ví
dụ : Anex 17 của ICAO về An toàn, các tài
liệu vận hành, đảm bảo cũng như )
• Theo các tiêu chuẩn ATTT hiện đang được
sử dung

37. Các bước tiến mạnh mẽ
https://www.aiaa.org/uploadedFiles/Issues_and_Advocacy/AIAA-Cyber-
Framework-Final.pdf

38. Kế hoạch khung hệ thống
ATTT cho ngành Hàng không
1. Thiết lập các tiêu chuẩn ATTT phổ biến cho các hệ thống Hàng
không
2. Thiết lập văn hóa về ATTT
3. Hiểu về các rủi ro ATTT
4. Hiểu rõ về các mối đe dọa ATTT
5. Nâng cao nhận thức về các mối đe dọa ATTT
6. Có các kế hoạch ứng phó sự cố
7. Tăng cường hệ thống bảo vệ
8. Hình thành các nguyên tắc thiết kê
9. Hình thành các nguyên tắc thao tác
10. Xây dựng các chương trình R&D
11. Phù hợp với luật của quốc gia

39. Thúc đẩy ATTT cho hàng không
của các Ông lớn công nghệ
Ngày 09/02/2016 Boeing
đã ký cam kết tài trợ NIST
cho việc xây dựng Kế
hoạch khung nâng cao An
ninh mạng cho hạ tầng
quan trong!

40. Ý kiến
• Xây dựng hệ thống ATTT thông tin theo
các tiêu chuẩn như ISO 27001, NIST
SP800, SP500,SP1800
• Quan tâm đến khuyến cáo của nhà nước
và các tổ chức
• Con người là trung tâm
• Xây dựng hệ thống dựa trên QUẢN TRỊ
RỦI RO
• Các đe dọa là yếu tố tính đến sau