Khung Kiến trúc tổng thể Việt Nam

Theo Liên Hợp Quốc, để chuyển sang chính phủ kết nối đòi hỏi có một khung (framework) chặt chẽ, đồng bộ, nó không thể được tạo ra bằng các cơ chế, giải pháp lẻ tẻ. Thực tế, các cơ quan chính phủ thường là các tổ chức lớn, có đặc trưng cấu trúc phân cấp, phân tách phức tạp thành các đơn vị thành viên nhỏ hơn và các đơn vị này hoạt động tương đối độc lập. Điều này dẫn đến sự phân chia các quy trình nghiệp vụ, các hệ thống, gây khó khăn trong việc kết nối, liên thông các đơn vị. Để giải quyết vấn đề kết nối, liên thông trong chính phủ điện tử, có hai giải pháp chính đó là thông qua việc ban hành, áp dụng các chuẩn và việc ban hành, tuân thủ Khung Kiến trúc chính phủ điện tử.

Rất nhiều quốc gia trên thế giới đã nghiên cứu và đưa ra các khung tương hợp cho Chính phủ điện tử (e-Government Interoperability Framework), với cốt lõi là các bộ chuẩn nhằm đảm bảo cho tính tương hợp, kết nối liên thông. Còn Khung Kiến trúc chính phủ điện tử, hướng tới việc xác định rõ các thành phần, bộ phận của tổ chức, cơ quan và mối quan hệ giữa các thành phần này trong Chính phủ điện tử.

Trong thời gian qua, đã có nhiều phương pháp luận về Khung Kiến trúc chính phủ điện tử được xây dựng. Tuy nhiên, hiện nay hầu hết các Khung Kiến trúc chính phủ điện tử được xây dựng dựa trên một số khung kiến trúc và phương pháp luận chính như: Khung Zachman (Zachman Framework); Khung kiến trúc nhóm mở - TOGAF (Open Group Architectural Framework); Phương pháp luận của Gartner; Khung kiến trúc tổng thể liên bang của Mỹ - FEAF (Federal Enterprise Architecture Framework); Các chuẩn và kiến trúc cho các ứng dụng CPĐT của Đức - SAGA  (Standards and Architectures for eGovernment Applications); Phương pháp luận OIO của Đan Mạch (Offentlig Information Online). Đối với đa số các cơ quan, không có phương pháp luận nào là hoàn toàn phù hợp để xây dựng Khung Kiến trúc chính phủ điện tử, vì vậy đòi hỏi phải có sự chọn lọc, kết hợp nhiều phương pháp để đáp ứng nhu cầu của cơ quan, tổ chức.

Ngày 21/4/2015, Bộ Thông tin và Truyền thông đã ban hành Khung Kiến trúc chính phủ điện tử Việt Nam, phiên bản 1.0, trong đó đã xác định rõ Khung Kiến trúc gồm:

Hình 1: Sơ đồ tổng thể Khung Kiến trúc chính phủ điện tử Việt Nam

Yêu cầu bảo mật trong Khung Kiến trúc chính phủ điện tử

Bảo mật là bảo vệ hệ thống, thông tin, dữ liệu, nguồn lực và dịch vụ khỏi các mối đe dọa vô ý và cố ý để đảm bảo độ tin cậy, toàn vẹn và sẵn có. Khi xây dựng Kiến trúc tổng thể giải pháp bảo mật yêu cầu mô tả biện pháp ngăn ngừa hoặc ngăn chặn kẻ tấn công truy cập vào một cơ sở, nguồn lực hoặc các thông tin được lưu trữ trên các phương tiện vật lý và hướng dẫn làm thế nào để chống lại các hành vi gây hại khác nhau.

Bảo mật công nghệ thông tin tương tác với các dữ liệu, các ứng dụng và mạng, bảo mật vật lý liên quan tới cơ sở hạ tầng và cơ sở vật chất. Các chuyên gia bảo mật đánh giá, thực hiện và quản lý một mảng rộng lớn của công nghệ bảo mật để đảm bảo dữ liệu được bảo vệ và hệ thống máy tính không bị tổn hại.

Các biện pháp an ninh sẽ giám sát hoặc ngăn chặn các cuộc tấn công hoặc ít nhất là cảnh báo nhân viên bảo mật để có thể được thực hiện các bước ngăn chặn các cuộc tấn công và bảo vệ dữ liệu. Các hướng dẫn bảo mật ứng dụng sẽ rất hữu ích trong việc phát hiện và tránh các lỗ hổng trong các ứng dụng hệ thống. Tương tự như vậy, khung an ninh vật lý sẽ giúp bảo vệ tài sản vật chất và cơ sở hạ tầng từ các kênh truy cập bên ngoài. Kiến trúc tổng thể cần thiết xác lập các quy định điều chỉnh cấu trúc an ninh của các tổ chức, cơ quan, đơn vị và tất cả các tương tác với các tổ chức, cơ quan, đơn vị từ các cá nhân. Thông tin, dữ liệu, cơ sở hạ tầng thông tin có thể bị tổn hại bằng nhiều cách khác nhau, bảo mật tốt chống lại các nguy cơ tiềm ẩn và hiện hữu.

Nguyên tắc và nội dung bảo mật trong Khung Kiến trúc tổng thể

Nội dung, giải pháp bảo mật trong Kiến trúc cần xem xét bảo vệ các chức năng nghiệp vụ, duy trì việc tuân thủ các quy định pháp lý hiện hành, quyền riêng tư, sự sẵn sàng và toàn vẹn.

Giải pháp an toàn bảo mật trong Kiến trúc cần tích hợp các dịch vụ phổ biến như truy cập từ xa, Internet, firewall, VPN, spam và lọc thư rác,... Các nội dung trên cần được hướng dẫn quy định cụ thể để hạn chế truy cập trái phép vào các tài nguyên thông tin và cơ sở hạ tầng.

Một số nội dung nên xem xét

Bảo vệ tài sản vật lý, điện tử, các tài nguyên thông tin, dữ liệu khỏi truy cập trái phép, sử dụng, tiết lộ, gián đoạn, sửa đổi, hoặc phá hủy nhằm: Toàn vẹn, tin cậy, sẵn sàng, trách nhiệm và đảm bảo.

Cung cấp sự bảo vệ an ninh với các rủi ro và mức độ tác hại do truy cập trái phép, sử dụng, tiết lộ, sửa đổi hoặc tiêu huỷ của thông tin thu thập được hoặc duy trì bởi hoặc đại điện cho tổ chức hoặc hệ thống thông tin được sử dụng bởi một bộ phận hoặc bởi một nhà thầu của một bộ phận hoặc tổ chức khác đại diện cho các bộ phận.

Đảm bảo rằng thông tin, dữ liệu trong giao dịch điện tử được bảo vệ thông qua  xác thực, mã hóa, chữ ký điện tử nếu cần thiết.

Bảo mật đầy đủ cho tất cả các thông tin thu thập, xử lý, truyền tải, lưu trữ, hoặc phổ biến trong các hệ thống phần mềm ứng dụng.

Đảm bảo hệ thống mạng, phần cứng, hệ thống ứng dụng phần mềm hoạt động hiệu quả và cung cấp bảo mật thích hợp, tính toàn vẹn và tính sẵn có, thông qua việc sử dụng quản lý hiệu quả chi phí, nhân sự,…

Áp dụng kiểm soát an ninh cho hệ thống thông tin, nguồn lực và dữ liệu, thông tin có nguy cơ mất mát hoặc sử dụng sai thông tin ở một mức độ chấp nhận được để hỗ trợ các nhiệm vụ và hoạt động của các bộ phận có liên quan.

Đảm bảo rằng các quy trình quản lý an toàn thông tin được tích hợp với các quá trình hoạch định chiến lược và hoạt động, bao gồm lập kế hoạch và thực hiện bất kỳ hành động khắc phục cần thiết để giải quyết sự thiếu hụt bảo mật.

Truyền thông áp dụng chính sách bảo mật công nghệ thông tin;

Thiết lập các chương trình bảo mật, bao gồm gán vai trò và trách nhiệm, cũng như tạo ra bất kỳ thủ tục cần thiết, yêu cầu tuân thủ và giám sát kiểm soát tuân thủ.

Các chương trình bảo mật công nghệ thông tin phải thích hợp với môi trường hoạt động và công nghệ của các đơn vị để cung cấp một nền tảng cho quản lý để đưa ra quyết định và các khoản đầu tư công nghệ thông tin phù hợp giảm thiểu rủi ro an ninh công nghệ thông tin đến một mức độ chấp nhận được.

Xác định, định nghĩa và giải quyết chồng chéo vai trò, trách nhiệm an ninh công nghệ thông tin giữa các đơn vị trong tổ chức và/hoặc các nhà thầu liên quan đến các dịch vụ an ninh được nhận hoặc cung cấp cho các đơn vị khác.

Giảm rủi ro lỗi của con người, trộm cắp, lừa đảo hoặc lạm dụng các cơ sở vật chất.

Chống lại sự gián đoạn hoạt động nghiệp vụ để bảo vệ các quá trình nghiệp vụ quan trọng khỏi tác động của các nỗ lực chưa hoàn thành hoặc thảm họa.

Tránh vi phạm bất kỳ quy định pháp lý theo luật định, quy định hoặc theo hợp đồng và các yêu cầu an ninh.

Xem xét xu hướng

Căn cứ xu hướng an toàn bảo mật, cũng như phân tích và quan sát của các cơ quan, tổ chức để xây dựng cách tiếp cận phù hợp về an toàn thông tin trong cơ quan, tổ chức.

Để đáp ứng nhu cầu bảo mật nội dung an toàn bảo mật trong kiến trúc nên xem xét xác định khung cơ bản cho việc tiếp cận an toàn thông tin. Trong đó, nên xem xét các định hướng: đảm bảo kiểm soát thích hợp được thực hiện để bảo vệ đầy đủ các tài sản thông tin dựa trên phương tiện nghiệp vụ, tạo cộng đồng an ninh trong tổ chức, tạo một cấu trúc xung quanh bảo mật để tích hợp vào bối cảnh nghiệp vụ tổng thể và cung cấp lộ trình ưu tiên cho các đơn vị nghiệp vụ để tiến tới mô hình tổng thể này. Nội dung quy định cần bao gồm các tiêu chí cụ thể cho từng đơn vị nghiệp vụ để xác định khu vực tập trung, vai trò và trách nhiệm để hỗ trợ các chức năng bảo mật.

Xem xét lĩnh vực quan tâm bảo mật

Xác thực - chứng minh danh tính của một người hoặc tổ chức liên quan đến hệ thống theo một số cách;

Phân quyền - các định nghĩa và thực thi các chức năng được phép cho một người hoặc tổ chức có danh tính đã được thiết lập.

Kiểm soát - Khả năng cung cấp dữ liệu pháp lý chứng thực rằng hệ thống đã được sử dụng phù hợp với chính sách bảo mật đề ra.

Bảo đảm - Khả năng kiểm tra và chứng minh rằng hệ thống có các thuộc tính bảo mật cần thiết để duy trì các chính sách an ninh được đưa ra.

Sẵn sàng - Khả năng của hệ thống để hoạt động mà không bị gián đoạn dịch vụ hoặc sự suy giảm bất chấp sự kiện bất thường hoặc độc hại

Bảo vệ tài sản - Việc bảo vệ thông tin, dữ liệu, thiết bị hạ tầng khỏi mất mát hoặc tiết lộ ngoài ý muốn và các nguồn lực từ việc sử dụng trái phép.

Quản trị - Khả năng thêm và thay đổi chính sách bảo mật, thêm hoặc thay đổi các chính sách được thực hiện trong hệ thống và thêm hoặc thay đổi nhân sự hoặc chủ thể liên quan tới hệ thống.

Quản lý rủi ro - Thái độ của tổ chức và khả năng chịu rủi ro.

Yêu cầu bảo mật khi xác định yêu cầu kiến trúc tổng thể

Các chính sách bảo mật và các tiêu chuẩn bảo mật trở thành một phần của quá trình quản lý yêu cầu tổ chức. Chính sách bảo mật được thiết lập ở mức độ chấp hành của tổ chức, tồn tại lâu dài và chống thay đổi bất thường. Chính sách bảo mật không gắn với bất kỳ công nghệ cụ thể. Một khi các chính sách bảo mật được thành lập, chúng có thể được tham chiếu như các yêu cầu cho tất cả các dự án kiến trúc.

Các tiêu chuẩn bảo mật thay đổi thường xuyên hơn và các lựa chọn trạng thái công nghệ từng hỗ trợ các chính sách an ninh. Các công nghệ mới hỗ trợ cho việc thực hiện các chính sách bảo mật một cách tốt nhất có thể được áp dụng khi cần thiết. Những cải tiến có thể giảm chi phí hoặc gia tăng lợi ích. Các tiêu chuẩn bảo mật sẽ tự biểu hiện như các khối xây dựng liên quan đến bảo mật.

Các yêu cầu bảo mật mới phát sinh từ các nguồn khác nhau: theo quy định hoặc luật mới; mối đe dọa mới được phát hiện hoặc vừa trải nghiệm; sáng kiến mới kiến trúc công nghệ thông tin phát hiện ra các bên liên quan mới và/hoặc yêu cầu mới.

Chính sách bảo mật bằng văn bản cho tổ chức phải phù hợp và phải có thông báo thường xuyên và đào tạo cho nhân viên

Chính sách bảo mật đề cập đến nhiều khía cạnh của an ninh cho tổ chức - như bảo mật cơ sở vật chất - có liên quan từ xa đối với bảo mật của các hệ thống và các ứng dụng. Các chính sách bảo mật cần phải được kiểm tra để tìm các phần có liên quan và cập nhật nếu cần thiết.

Xác định một đội ngũ chuyên gia bảo mật.

Các quyết định chính sách điều hành nên được thành lập, trong đó xác định cụ thể các yêu cầu cho chính sách bảo mật và kết quả của chính sách bảo mật.

Nguồn tham khảo: Các chính sách an ninh bảo mật theo Khung kiến trúc tiêu chuẩn Gartner, TOGAF,…

Tạ Thị Hồng Lý