Tuân thủ quy định và tiêu chuẩn

Trí tuệ nhân tạo, thực tế ảo, thanh toán không tiền mặt, Internet of Things và nhiều lĩnh vực công nghệ thông tin khác đang phát triển hàng ngày.

Với sự phát triển và mở rộng của họ, các vector đe dọa và lỗ hổng mới xuất hiện trong cảnh quan mạng. Trong báo cáo về các xu hướng an ninh mạng năm 2022, Diễn đàn Kinh tế Thế giới cho biết “khi chuyển đổi số tiếp tục phát triển và công nghệ mới được giới thiệu, rủi ro mạng sẽ không thể tránh khỏi tăng lên”. Họ cũng lưu ý qua các cuộc khảo sát của mình rằng “mặc dù các bên liên quan trong khu vực công và tư […] quyết tâm đạt được mức độ phục hồi an ninh mạng cao hơn, nhưng nỗ lực của họ thường bị cản trở bởi các […] rào cản pháp lý”.

Việc hiểu các yêu cầu quy định có thể thực sự là một rào cản lớn đối với các công ty, đặc biệt là những công ty có mục tiêu mở rộng ra quốc tế. Trong các bài viết sau, chúng tôi sẽ cung cấp một cái nhìn tổng quan về cách tiếp cận các quy định về an ninh mạng, những quy định phổ biến nhất là gì và cách tiếp cận chúng.

II. Quy định và Tiêu chuẩn

Vào năm 2005, Liên minh Viễn thông Quốc tế đã thực hiện một nghiên cứu về các sáng kiến an ninh mạng ở cấp quốc gia tại 14 nền kinh tế lớn trên thế giới và gần 30 ngành công nghiệp. Họ ước tính có hơn 174 sáng kiến, có thể dẫn đến các chính sách trong tương lai, đang hoạt động. Hiện nay, dựa trên số lượng các quy định và tiêu chuẩn hiện có trên toàn cầu, có thể nói số lượng tối thiểu các chính sách an ninh mạng được thi hành trên toàn thế giới là hàng nghìn.

Tuy nhiên, điều quan trọng là phải hiểu sự khác biệt giữa quy định và tiêu chuẩn, vì các tổ chức có thể phải tuân thủ một hoặc cả hai. Quy định về an ninh mạng là một quy tắc có hiệu lực pháp lý (hoặc một bộ quy tắc) mà một tổ chức phải tuân theo. Việc tuân thủ các quy định này là bắt buộc, và các tổ chức không tuân thủ có thể phải đối mặt với các hình phạt như tiền phạt hoặc hành động pháp lý từ các cơ quan chính phủ.

Mặt khác, một tiêu chuẩn an ninh mạng là một bộ hướng dẫn hoặc các phương pháp hay mà một tổ chức có thể theo để cải thiện tư thế an ninh mạng của mình. Việc tuân thủ các tiêu chuẩn này là tự nguyện, nhưng việc tuân theo chúng có thể giúp các tổ chức chứng minh với khách hàng, đối tác và các cơ quan quản lý sự nhất quán trong tư thế an ninh mạng của họ.

Tóm lại, các quy định có tính ràng buộc về pháp lý và có thể được thi hành theo pháp luật, trong khi các tiêu chuẩn thì không. Tuy nhiên, vì các tiêu chuẩn thường xuyên được cập nhật, việc tuân thủ một tiêu chuẩn có thể giúp tổ chức tuân thủ quy định. Hơn nữa, vì các quy định thường có phạm vi rộng hơn, việc tuân thủ các tiêu chuẩn cụ thể với ngành của tổ chức có thể giúp tổ chức nổi bật so với các đối thủ.

Do đó, tùy thuộc vào hoạt động của một tổ chức, có thể cần phải tuân thủ một tiêu chuẩn hoặc quy định cụ thể. Tuy nhiên, có thể chắc chắn rằng bất kỳ doanh nghiệp hiện đại nào cũng phải tuân thủ bảo vệ dữ liệu và an ninh mạng. Vì lý do này, tôi đã tóm tắt các điểm chính từ hai quy định ở Châu Âu và hai tiêu chuẩn thường xuyên được yêu cầu ở các công ty trên toàn cầu: Quy định về bảo vệ dữ liệu chung (GDPR), Chỉ thị về các hệ thống mạng và thông tin (NIS), ISO 27k và Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST).

Hiểu biết về các quy định và tiêu chuẩn

Trong trường hợp bạn không quen thuộc với tất cả các chính sách đã đề cập ở trên, tôi sẽ cung cấp cho bạn một giới thiệu ngắn gọn về bốn trong số chúng:

• GDPR (Quy định chung về bảo vệ dữ liệu): Đây là quy định của EU điều chỉnh việc bảo vệ dữ liệu cá nhân và quyền lợi của các cá nhân liên quan đến dữ liệu cá nhân của họ. Nó áp dụng cho bất kỳ ai xử lý dữ liệu cá nhân của công dân EU, bất kể vị trí của họ. Điều này có nghĩa là bất kỳ cá nhân nào xử lý dữ liệu cá nhân của công dân châu Âu đều phải tuân thủ GDPR. Các điều khoản trong GDPR quy định, trong số những điều khác, các biện pháp bảo vệ dữ liệu cá nhân, việc bổ nhiệm một người phụ trách bảo vệ dữ liệu và quy trình và báo cáo vi phạm.
• Chỉ thị NIS (Chỉ thị về Hệ thống Mạng và Thông tin): Đây là chỉ thị của EU tập trung vào việc cung cấp một nền tảng an ninh cho cơ sở hạ tầng quan trọng và các dịch vụ thiết yếu trên toàn châu Âu. Theo chỉ thị này, tất cả các công ty hoạt động trong các ngành công nghiệp quan trọng (chẳng hạn như năng lượng, giao thông và chăm sóc sức khỏe) và các nhà cung cấp dịch vụ kỹ thuật số của họ (chẳng hạn như công cụ tìm kiếm và dịch vụ đám mây) được yêu cầu thực hiện các biện pháp bảo mật phù hợp. Thêm vào đó, chỉ thị yêu cầu các quốc gia thành viên của EU phải có chiến lược an ninh mạng quốc gia và kế hoạch phản ứng sự cố tương đương hoặc rộng hơn chỉ thị NIS. Điều này có nghĩa là tất cả các quốc gia EU phải thực hiện các quy định bao phủ tất cả các chủ đề của Chỉ thị NIS như một nền tảng tối thiểu, nhưng có thể (và nên) rộng hơn.
• Tiêu chuẩn ISO 27000 cho an ninh mạng: Còn được biết đến với tên gọi ISO 27k, đây là một tiêu chuẩn quốc tế phác thảo một khuôn khổ cho hệ thống quản lý an ninh thông tin (ISMS). Nó cung cấp một phương pháp tiếp cận có hệ thống để quản lý thông tin nhạy cảm của công ty để giữ cho chúng an toàn. Nó bao gồm một bộ chính sách và thủ tục mà các tổ chức có thể sử dụng để giúp bảo vệ dữ liệu bí mật của họ, cũng như các hướng dẫn về quản lý rủi ro và tuân thủ.
• NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) Khung An ninh Mạng: NIST là một cơ quan chính phủ Hoa Kỳ công bố một loạt các tiêu chuẩn, hướng dẫn và thực tiễn tốt nhất về an ninh mạng. Khung an ninh mạng của NIST cung cấp một cách tiếp cận dựa trên rủi ro để quản lý an ninh mạng. Tiêu chuẩn được cấu trúc bằng cách chi tiết năm hành động cốt lõi để tuân thủ: Xác định, Bảo vệ, Phát hiện, Phản hồi và Phục hồi.

GDPR, Chỉ thị NIS, ISO 27k và NIST đều đề cập đến bảo mật mạng và bảo vệ dữ liệu. Mặc dù chúng có thể khác nhau về phạm vi và yêu cầu, việc giải quyết một trong số chúng có thể là bước quan trọng để đạt được các bước tiếp theo. Ví dụ:

• Nếu chúng ta xem xét ISO 27k và NIST, chúng ta có thể thấy rằng cả hai tiêu chuẩn này đều được áp dụng rộng rãi và công nhận là các phương pháp hay nhất cho an ninh mạng. Tuy nhiên, ISO 27k là một tiêu chuẩn dựa trên quy trình, cung cấp các hướng dẫn về việc quản lý thông tin nhạy cảm của công ty. Trong khi đó, NIST được xây dựng dựa trên phương pháp tiếp cận dựa trên rủi ro và nhằm mục đích xác định, quản lý và giảm thiểu các rủi ro từ các lỗ hổng an ninh mạng.
• If we take the NIS Directive and GDPR, we can see that they provide guidance and requirements to improve cybersecurity posture. The two are, in fact, overlapping in some aspects. However, it must be noted that GDPR aims to protect personal data at all levels, while the NIS Directive aims to provide guidance on all aspects related to information security but only on an industry-specific scope.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

Bạn quản lý việc tuân thủ các chính sách và quy định như thế nào? Thách thức và giải pháp

Việc thực hiện các chính sách đã đề cập ở trên có thể là cần thiết do yêu cầu pháp lý hoặc một cuộc kiểm toán sắp tới. Bạn có thể cần phải thực hiện các thay đổi đối với quy trình và cấu trúc của mình để tuân thủ chính sách liên quan. Tuy nhiên, trước khi làm điều đó, có một số bước chung có thể được thực hiện để chuẩn bị cho những thay đổi này:

• Quản lý Tài sản và Hàng tồn kho: Các tổ chức thường đánh giá các hệ thống, quy trình và thủ tục hiện tại của họ để xác định mức độ tuân thủ. Điều này bao gồm việc xác định các khu vực không tuân thủ đã biết, cũng như các rủi ro và điểm yếu đã biết trong cơ sở hạ tầng hiện tại của họ.
• Đào tạo và giao tiếp: Chuẩn bị tài nguyên của bạn cho những thay đổi sắp tới là rất quan trọng để đảm bảo rằng mọi người trong tổ chức của bạn hiểu rõ những thay đổi cần thiết. Một cuộc kiểm tra hoặc nâng cấp cơ sở hạ tầng có thể gây gián đoạn và có thể yêu cầu nhân viên phải học các kỹ năng mới. Nhận thức về những vấn đề này có thể giúp bạn tiết kiệm thời gian trong việc ưu tiên và lập kế hoạch các giải pháp khả thi.
• Quản lý bên thứ ba và nhà cung cấp: Đây là một khía cạnh thường bị bỏ qua. Một danh sách chi tiết và cập nhật về các nhà cung cấp của bạn có thể sẽ cần thiết để đảm bảo tuân thủ hầu hết các tiêu chuẩn và quy định. Ngay cả khi chính sách không trực tiếp đề cập đến bên thứ ba, nó vẫn có thể yêu cầu thay đổi gián tiếp các điều khoản và điều kiện của các thỏa thuận với nhà cung cấp dịch vụ bên ngoài.
• Phân tích khoảng cách: Nếu bạn đang xác minh sự tuân thủ với một quy định hoặc tiêu chuẩn, điều quan trọng là phải chuẩn bị thực hiện phân tích khoảng cách để xác định các khu vực cần sửa đổi quan trọng. Đây là bước đầu tiên hướng tới việc tuân thủ và tốt nhất nên được thực hiện bởi các cố vấn bên ngoài có kiến thức cụ thể về sự tuân thủ mà bạn đang cố gắng đạt được.

Tóm lại, việc tuân thủ các quy định và tiêu chuẩn có thể khó khăn và tốn kém. Bạn có thể cần phải dựa vào các chuyên gia tư vấn bên ngoài để đạt được sự tuân thủ nếu bạn không có năng lực nội bộ cần thiết. Tuy nhiên, hiểu được sự khác biệt giữa các chính sách và quy định cũng như có một chiến lược phù hợp có thể giúp quá trình diễn ra suôn sẻ hơn và giúp bạn xác định khi nào đáng để cải thiện với một tiêu chuẩn và khi nào cần thiết phải tuân thủ các quy định.