Chính sách an toàn thông tin Chính sách an toàn thông tin là các tuyên bố hình thức nhằm mô tả các mục tiêu ,ưu tiên và mục đích quản lí an toàn hệ thống thông tin cũng như cách đạt được
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO MÔN HỌC
Quản lý & Xây dựng chính sách An toàn thông tin.
Đề tài:
NGHIÊN CỨU MỘT SỐ VẤN ĐỀ TỒN TẠI TRONG VIỆC PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN VÀ ĐỀ
XUẤT GIẢI PHÁP
Sinh viên thực hiện: ĐINH THỊ HỒNG PHÚC - AT150341
NGUYỄN ĐỨC PHƯƠNG - AT15034
LÊ VĂN LỘC - AT150340NGUYỄN NĂNG LỰC - AT150238NGUYỄN QUANG TRUNG - AT150260Nhóm 8
Giảng viên hướng dẫn: KS.NGUYỄN THỊ THU THỦY
Trang 2MỤC LỤC
LỜI MỞ ĐẦU 5
CHƯƠNG 1 TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 6
1.1 Các khái niệm cơ bản 6
1.2 Chính sách an toàn thông tin 7
1.3 Tầm quan trọng của chính sách an toàn thông tin 7
1.4 Kết luận 8
CHƯƠNG 2 PHÂN LOẠI CHÍNH SÁCH, NHỮNG VẤN ĐỀ TỒN TẠI, ĐỀ XUẤT GIẢI PHÁP 9
2.1 Chính sách người dùng 9
2.1.1 Phân loại người dùng: 9
2.1.2 Chính sách đăng ký người dùng 11
2.1.3 Chính sách quản lý mật khẩu người dùng 11
2.1.4 Chính sách kiểm tra quyền người dùng 11
2.1.5 Những vấn đề tồn tại 11
2.1.6 Đề xuất giải pháp 12
2.2 Chính sách an toàn cơ sở hạ tầng công nghệ thông tin 12
2.2.1 Mục đích của chính sách cơ sở hạ tầng công nghệ thông tin 12
2.2.2 Những vấn đề tồn tại 13
2.2.3 Đề xuất giải pháp 13
2.3 Chính sách xử lý sự cố 14
2.3.1 Mục đích của chính sách xử lý sự cố 15
2.3.2 Những vấn đề tồn tại 15
2.3.3 Đề xuất giải pháp 16
Trang 32.4 Chính sách phân loại và quản lý dữ liệu 16
2.4.1 Chính sách phân loại dữ liệu 16
2.4.2 Chính sách quản lý dữ liệu 17
KẾT LUẬN 20
TÀI LIỆU THAM KHẢO 21
PHÂN CÔNG CÔNG VIỆC 21
Trang 4DANH MỤC HÌNH ẢNH
Hình 1.1: Khái niệm an toàn thông tin 6
Hình 1.2: Tiêu chuẩn an toàn thông tin 7
Hình 1.3: Tầm quan trọng của an toàn thông tin 8
Hình 2.1: Chính sách người dùng 9
Hình 2.2: Chính sách an toàn cơ sở hạ tầng công nghệ thông tin 12
Hình 2.3: Chính sách xử lí sự cố 14
Hình 2.4: Chính sách phân loại dữ liệu 16
Hình 2.5: Chính sách quản lý dữ liệu 18
Trang 5Việc cài đặt các chính sách an toàn công nghệ thông tin và các khung chínhsách an toàn cho một cơ quan hay tổ chức và cả ở khu vực công hay khu vực tư đề
đã rất phức tạp và cần nghiên cứu kỹ Nhưng khi các công việc trên được hoàn thiệnrồi thì vẫn sẽ ít nhiều còn tồn tại những hạn chế trong việc phát triển chính sách an
toàn thông tin Chính vì vậy nhóm 8 chọn thực hiện đề tài “ Nghiên cứu một số vấn
đề tồn tại trong việc phát triển chính sách an toàn thông tin và đề xuất giải pháp” để
thực hiện báo cáo cho môn Quản lý & Xây dựng chính sách An toàn thông tin
Mục tiêu của đề tài là nghiên cứu, tìm hiểu được một số những vấn đề tồn tạitrong việc phát triển chính sách an toàn thông tin và đề xuất giải pháp
Trang 6CHƯƠNG 1 TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 1.1 Các khái niệm cơ bản
Khái niệm an toàn thông tin
An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập,
tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép
Hình 1.1: Khái niệm an toàn thông tin
Tiêu chuẩn an toàn thông tin
Trên trường quốc tế Tiêu chuẩn Anh BS 7799 "Hướng dẫn về quản lý an toànthông tin", được công bố lần đầu tiên vào năm 1995, đã được chấp nhận Xuất phát
từ phần 1 của Tiêu chuẩn Anh BS 77999 là tiêu chuẩnISO/IEC 17799:2000 mà hiệnnay tồn tại dưới phiên bản được sửa đổiISO/IEC 17799:2005
Tiêu chuẩn ISO/IEC 27001:2005 phát triển từ phần 2 của BS 7799 Tiêuchuẩn này quy định các yêu cầu đối với một hệ thống quản lý an toàn thông tin vàtương tự như ISO 9001 là một tiêu chuẩn về quản lý có thể được cấp giấy chứng
Trang 7Hình 1.2: Tiêu chuẩn an toàn thông tin
1.2 Chính sách an toàn thông tin
Chính sách an toàn thông tin là các tuyên bố hình thức nhằm mô tả các mục
tiêu ,ưu tiên và mục đích quản lí an toàn hệ thống thông tin cũng như cách đạt đượcnhững mục tiêu này
Mục đích
- Bảo vệ con người và bảo vệ thông tin
- Đưa ra những quy tắc hoạt động của người dùng quản trị hệ thống ,quảntrị và nhân viên an ninh
- Cho phép nhân viên an ninh giám sát ,thăm dò và điều tra
- Xác định và phê chuẩn hậu quả của sự vi phạm
- Xác định quan điểm cơ sở thống nhất về an toàn của tổ chức
- Hỗ trợ tối thiểu hóa rủi ro
- Hỗ trợ tuân thủ quy định và luật lệ
Yêu cầu
- Kiểm soát được mọi mối đe dọa đối với hệ thống
- Bao gồm việc bảo vệ con người và thông tin
- Thiết lập luât lệ cho người dùng
- Xác định hậu quả của các vi phạm
- Tối thiểu hóa rủi ro cho tổ chức
1.3 Tầm quan trọng của chính sách an toàn thông tin
- Cung cấp 1 khung làm việc toàn diện cho sự lựa chọn và thực thi các biệnpháp an toàn
Trang 8- Phương tiện liên lạc giữa các bên liên quan
- Quản lí các tài nguyên :con người ,kĩ năng ,tiền bạc ,thời gian
- Truyền tải tầm quan trọng của an toàn tới tất cả mọi người trong tổ chức
- Giúp tạo ra “văn hóa an toàn “
- Niềm tin và giá trị liên quan đến an toàn được chia sẻ
- Cần có chính sách để tổ chức hoạt động theo 1 hướng dựa trên các luật, sự
ưu tiên và cùng chung 1 mục đích
- Thiếu chính sách an toàn và quản lí rủi ro không hợp lí =>không phát hiệnđược điểm yếu của hệ thống
Trang 9CHƯƠNG 2 PHÂN LOẠI CHÍNH SÁCH, NHỮNG VẤN ĐỀ TỒN TẠI, ĐỀ
XUẤT GIẢI PHÁP 2.1 Chính sách người dùng
Mỗi kiểu người dùng có những nhu cầu truy nhập riêng, vì vậy phải có cácquyền khác nhau để truy nhập tin Do đó chúng ta cần phải hiểu nhu cầu của ngườidùng thì mới có thể xây dựng chính sách và quản lý tốt hơn
Giảm bớt toàn bộ rủi ro cho tổ chức
Duy trì sự phân tách trách nhiệm
Đơn giản hóa việc điều tra sự cố
Người quản trị hệ thống: những nhân viên làm việc trong bộ phận CNTT đểcung cấp sự hỗ trợ kỹ thuật cho hệ thống
Nhu cầu công việc: cần truy nhập tới các ht, và các csdl để hỗ trợ các ứngdụng
Trang 10 Nhu cầu truy nhập: có quyền truy nhập rộng và k bị giới hạn theo vai tròcủa từng ng
Có quyền không giới hạn về cài đặt, cấu hình, triển khai Do đó phải cótrách nhiệm trong vấn đề an toàn
Chính sách an toàn giúp giảm bớt rủi ro bằng cách yêu cầu sự giám sát đốivới hoạt động của người quản trị hệ thống
Kết quả tổ chức đạt được:
Giảm toàn bộ rủi ro an toàn cho tổ chức
Giảm đáng kể khối lượng nhật ký
Cải thiện gắn kết và sự thấu hiểu giữa các nhiệm vụ kỹ thuật và cácyêu cầu công việc
Nhân viên an ninh
Chịu trách nhiệm về thiết kế, thực thi, giám sát các chương trình an toàn,phát triển chương trình nhận thức an toàn và lãnh đạo bên trong tổ chức
Nhu cầu công việc: bảo về mạng, các ht, các ứng dụng và ttin
Nhu cầu truy nhập: có quyền truy nhập để thiết lập các quyền hạn xemnhật ký, giám sát hoạt động và ứng phó với các sự cố
Phải có trách nhiệm cao trong công việc bảo vệ, nâng cao an toàn trong hệthống, dữ liệu tổ chức vì họ có quyền không giới hạn
Nhu cầu truy nhập: giống như nhân viên thông thường
Tuân thủ các chính sách an toàn như những nhân viên bất kì, ngoài ra tổchức có thể đưa thêm những yêu cầu khác
Khách và công chúng nói chung
Là lớp hoặc 1 nhóm người dùng đặc biệt truy nhập tới 1 tập ứng dụng cụthể của tổ chức Tổ chức không cần gán định danh và mật khẩu
Nhu cầu công việc: có nhu cầu truy nhập tới các chức năng ứng dụng đặcbiệt
Nhu cầu truy cập: có quyền truy nhập được gán cho mỗi kiểu người dùngchứ k phải cho từng cá nhân
Trang 11 Tổ chức cấp quyền cho một lớp người dùng thay vì từng cá nhân.
Người kiểm toán: những cá nhân đánh giá về sự thiết kế và tính hiệu quả của cáckiểm soát
Nhu cầu công việc: xem và đánh giá các biện pháp kiểm soát
Nhu cầu truy nhập: có quyền truy nhập thường xuyên, bao gồm toàmquyền đọc về sự truy nhập tới nhập kí và các cài đặt cấu hình
Có quyền truy cập thường xuyên, bao gồm toàn quyền đọc về sự truy nhậptới nhật ký và các cài đặt cấu hình
2.1.2 Chính sách đăng ký người dùng
Sử dụng một thẻ nhận dạng duy nhất
Kiểm tra quyền sử dụng hệ thống
Kiểm tra mức độ truy cập hợp lệ vào hệ thống
Ghi lại danh sách những người dùng đã đăng ký
Xóa ngay các quyền đã cấp khi không còn tồn tại
Kiểm tra, cập nhật định kì
2.1.3 Chính sách quản lý mật khẩu người dùng
Nắm rõ về quy định sử dụng mật khẩu
Người dùng cấp mật khẩu tạm thời và thay đổi khi cập nhật hệ thống
Tránh trao đổi mật khẩu công khai khi chưa mã
Xác định mật khẩu khi sử dụng
Sử dụng mật khẩu mạnh
2.1.4 Chính sách kiểm tra quyền người dùng.
Kiểm tra quyền theo định kỳ, hoặc sau mỗi lần thay đổi trong hệ thống,
Với một số người dùng cao cấp thì phải kiểm tra thường xuyên hơn
Kiểm tra tính hợp lệ của các quyền đó
2.1.5 Những vấn đề tồn tại
Chính sách người dùng đôi khi quá dài dòng, khó hiểu dẫn đến việc ngườidùng lười đọc thông tin khiến cho họ khó khăn trong việc sử dụng hoặc đôikhi là vô ý thực hiện những điều không được thực hiện trong chính sách Lúcnày chúng ta lại phải quay lại chỉnh sửa hệ thống rất mất thời gian, công sức
và tiền bạc
Việc làm công tác tư tưởng, truyền thông để mọi người dùng hiểu và đónggóp xây dựng chính sách còn hạn chế khiến cho người dùng khó tiếp cậnchính sách và không có ý thức tự giác thực hiện chính sách
Trang 12Việc khảo sát nguyện vọng người dùng còn hạn chế
Xây dựng chính sách chưa thực sự dựa trên thực tế của tổ chức hay công tycủa mình mà chỉ cứng nhắc dựa theo các khung chính sách chuẩn
2.1.6 Đề xuất giải pháp
Khi xây dựng chính sách cần chú ý bên cạnh việc diễn giải rõ ràng, mạch lạcthì còn cần phải ngắn gọn, xúc tích, dễ hiểu, tránh dùng nhiều từ chuyênngành
Trước khi áp dụng các biện pháp cứng rắn thì nên phổ biến trước nội dungcủa chính sách của những người dùng trong hệ thống, sau đó khuyến khíchmọi người đóng góp xây dựng để hoàn thiện chính sách
Cử người làm công tác khảo sát nguyện vọng, ý kiến của người dùng trong
hệ thống Nên lập các bản khảo sát sau đó tổng hợp lại ý kiến và có hướngxây dựng chính sách tốt nhất đáp ứng những yêu cầu hợp lý của người dùnghợp lệ
Cần có đội ngũ chuyên gia của công ty cùng làm việc với nhau – nhữngngười hiểu rõ về tổ chức của mình để tiến hành xây dựng chính sách phù hợp
2.2 Chính sách an toàn cơ sở hạ tầng công nghệ thông tin
Cơ sở hạ tầng công nghệ thông tin là hệ thống trang thiết bị phục vụ cho việcsản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin số, bao gồm mạngviễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu
Hình 2.2: Chính sách an toàn cơ sở hạ tầng công nghệ thông tin
2.2.1 Mục đích của chính sách cơ sở hạ tầng công nghệ thông tin
Bảo vệ các trang thiết bị phục vụ cho công nghệ thông tin
Cho phép nhân viên an ninh giám sát, thăm dò, điều tra các vi phạm
Đưa ra các quy tắc cho hoạt động của người dùng, quản trị hệ thống và nhânviên
Trang 13 Hỗ trợ tuân thủ về quy định và luật lệ
2.2.2 Những vấn đề tồn tại
Thiếu một văn bản luật thống nhất điều chỉnh toàn diện công tác bảo đảm cơ
sở hạ tầng công nghệ thông tin, phạm vi điều chỉnh luật cần cụ thể hơn, rộnghơn và sâu hơn
Không chỉ quy định về chung về trách nhiệm bảo vệ cơ sở hạ tầng tông tin,
mà còn xem xét đến các quy định cụ thể hơn như điều phối, giám sát, quytrình quản lý, vấn đề tài chính, đầu tư cơ sở hạ tầng, xử phạt đối với các hành
Cơ sở hạ tầng công nghệ thông tin thường là của tổ chức, doanh nghiệp,không thuộc về tài sản cá nhân, nên ý thức tự bảo vệ của người dân khôngcao
Việc đánh giá lại định kỳ gặp nhiều vấn đề, do cơ sở hạ tầng khác nhau, nêncông tác đánh giá cũng khác nhau
Tại mỗi địa phương, luật pháp khác nhau, tiêu chuẩn đạo đức cũng khác nhau,việc áp dụng chính sách từ đó mà gặp không ít khó khăn, phải liên tục chỉnhsửa để phù hợp với từng địa phương mà vẫn phải đảm bảo phản ánh đượcchính sách của tổ chức, việc này gây tổn thất rất lớn về mặt kinh tế, năng lựccủa tổ chức
Với những cơ sở hạ tầng yếu kém, việc triển khai các biện pháp chiến lược
an toàn, kiến thức và tài liệu chính sách khó khăn, phát triển và thực thi cũng
bị hạn chế
2.2.3 Đề xuất giải pháp
Trang 14Nhà nước cần xây dựng tập trung, đồng bộ, bổ sung những bất cập trong vănbản pháp luật hiện hành về an toàn cơ sở hạ tầng công nghệ thông tin Quyđịnh cụ thể hơn về trách nhiệm, quản lý cụ thể hơn.
Các doanh nghiệm, tổ chức thực hiện giám sát, nhắc nhở, phổ cập thườngxuyên chính sách cho nhân viên, người dân của mình Xây dựng quy chếđảm bảo an toàn cơ sở hạ tầng nội bộ, kiểm tra, ra soát sự cố an toàn thườngxuyên
Mọi người cần có ý thức hơn trong việc bảo vệ cơ sở hạ tầng dù của cá nhânhay tổ chức, ghi nhớ và thực hiện các chính sách, quy định đã được ban hành
Cơ sở hạ tầng nên chọn những khu vực thuận tiện cho việc đi lại, khu vựcphát triển, dễ đầu tư, để có thể đảm bảo được những yêu cầu cơ bản trongviệc phát triển chính sách Không những thế khi gặp sự cố, dủi do nào đó tacũng có thể kịp thời ứng phó
2.3 Chính sách xử lý sự cố
Xử lý sự cố (XLSC) là một quá trình khắc phục sự cố không mong muốn khó
có thể tránh khỏi trong quá trình phát triển phần mềm và phát triển hệ thống, hệthống càng lớn, càng phức tạp, vận hành càng lâu thì rủi ro lại càng nhiều, điểm quantrọng khi xử lý sự cố là an toàn và chính xác, vì vậy bạn cần có quy trình xử lý sự cố,xây dựng team có kĩ năng XLSC và đảm bảo luôn học hỏi được từ các sự cố đã xảy
ra để phát triển hệ thống và con người trong tổ chức
Hình 2.3: Chính sách xử lí sự cố
Chính sách này giải thích cách cung cấp thông tin về báo cáo sự cố, ai chịutrách nhiệm báo cáo, phản hồi và điều tra cũng như cách xử lý những sự cố này
Trang 15Nó áp dụng cho tất cả những người có liên quan đến một sự cố thực tế, bịnghi ngờ, bị đe dọa hoặc tiềm ẩn liên quan đến việc mất dữ liệu hoặc vi phạm bảomật thông tin.
Điều này có thể bao gồm tất cả nhân viên, sinh viên, cộng sự và bất kỳ aikhác được phép sử dụng các cơ sở CNTT và thông tin của Trường
2.3.1 Mục đích của chính sách xử lý sự cố
Kiểm soát được ảnh hưởng của hiểm họa đối với hệ thống
Bảo vệ con người và thông tin
Hỗ trợ tối thiểu hóa rủi ro
Xác định và phê chuẩn hậu quả của sự vi phạm
ai chịu đứng ra xử lý
Các quy định ứng cứu sự cố cũng chưa rõ ràng, khó khăn trong việc thựchiện Các sự cố vượt qua khả năng xử lý, thì đơn vị cần thông báo với độiứng cứu để hỗ trợ khắc phục Tuy nhiên, lại phải báo cáo, làm đơn, chờxác nhận, dẫn tới sự cố xảy ra nghiêm trọng hơn, tổn thất lớn hơn
Việc phân loại, đánh giá, giám sát sự cố an toàn thông tin chưa thực sự đầy
đủ và hoàn thiện, trình độ ứng phó, giải quyết sự cố còn yếu kém, khôngđáp ứng được các quy định mà chính sách xử lý sự cố đưa ra
Chưa có sự điều phối, kết hợp chặt chẽ, hiệu quả giữa giám sát, ứng phó
sự cố quốc gia (do hệ thống giám sát và ứng phó quốc gia thực hiện) vàgiám sát, ứng phó tại chỗ Tính liên thông giữa ứng phó xự cố quốc gia vàứng phó tại chố chưa được đảm bảo Đôi khi hoạt động ứng phó và giámsát còn lỏng lẻo, không tuân thủ đúng quy trình, không thường xuyên.Điều này làm cho việc phát hiện và ngăn chặn xự cố mất an toàn thông tinkhông kịp thời
Trang 16 Mọi người chưa nhận được lợi ích của cách tiếp cận, nhất quán, quản lý sự
cố Khi gặp sự cố không biết liên hệ ai, xử lý thế nào Các kênh truyềnthông cũng chưa tuyên truyền tốt về vấn đề này
để cải thiện chính sách cho phù hợp
Liên tục đánh giá định kỳ, phân loại, cập nhật, thu thập sự cố để đảm bảorằng chính sách vẫn phù hợp để đảm bảo an toàn thông tin
Xem xét, phân tích trách nhiệm cho phù hợp cho từng người hoặc nhómngười cụ thể để cùng phối hợp tránh gây mất mát hoặc phá hủy thông tin
Chính sách phải được xem xét trên tất cả những người người bị ảnh hưởng,bao gồm: nhân viên, kĩ thuật, quản trị, tổ chức, vận hành, thương mại, giáodục, pháp luật
2.4 Chính sách phân loại và quản lý dữ liệu
2.4.1 Chính sách phân loại dữ liệu
Chính sách phân loại dữ liệu yêu cầu tất cả các dữ liệu của tổ chức, đơn vị phải được phân loại thành các danh mục để thuận tiện cho việc quản lý Tùy thuộcvào mức độ gắn nhãn của dữ liệu như những dữ liệu mở, thông tin nhạy cảm hoặcthông tin bí mật sẽ được thiết lập mực độ kiểm soát truy cập khác nhau
Hình 2.4: Chính sách phân loại dữ liệu