nảy được chuẩn bị để cung cấp một mô hình cho việc thiết lập, thực thị, vận hành, giám sát, xem lại, bảo trì và cải thiện hệ thống quản lý an toàn thông tin SMS-Iformation Security Xian
Trang 1
TRUONG DAI HOC BACH KHOA HA NOI
a g0o— ~
LUẬN VĂN THẠC SỸ KHOA HỌC
BẢO MẬT CHO DOANH NGHIỆP VÀ ỨNG
DUNG MA NGUON MO TRONG BAO MAT CHO
DOANH NGHIEP
NGANH: ĐIỆN TỬ VIỄN THÔNG
MA SO:
TRAN NGOC SON
Người hướng din khoa hoc: PGS.TS NGUYEN VIET HUONG
Hà Nội 2007
Trang 2TMục lục
DANH SÁCH HÌNH V
DAT VANDE
CHƯƠNG k CÁC CHUẢN AN TOAN THONG TIN
1.1 GIỎI THIỆU CHUNG
1.2 CHUẨN ISO/EEC 27001:2005 -
1.2.1 Giới thiệu về ISƠ/IEC 27001:2005
1.2.2 Hệ thông quản lý an toàn thông tin
1.2.2.1 Yêu cầu chưng,
1.2.3.2 Quân lý tài nguyên
1.2.4 Kiểm tra chất lượng ISMS bên trong
1.2.5 Xem xét lại quản lý của ISMS
1.2.5.1 Tổng quan
1.2.5.2 Đầu vào quả trình xét lại
1.2.5.3 Đầu ra của quá Irình xét lại
1.2.6 Cải thiện ISMS -
1.2.6.1 Cải thiên liên tục
1.2.6.2 Hành đông sửa lỗi
1.2.6.3 Hành động ngăn cản
1.3.1 Giới thiệu về chưẳn ISƠ/IEC 17799:2000
1.3.2 Chính sách an tuần (hông tin -
1.3.3 Bão mật có tổ chức "—
1.3.3.1 Cơ sở hạ tẳng an toàn thong tin peste
1.3.3.2 An toàn trong việc truy cập bởi tổ chức thứ ba
1.3.3.3 Thuê nhân lực bên ngoài —¬
1.3.4 Phân loại và kiểm soát tài nguyên
1.3.4.1 Định trách nhiệm dỗi với tải nguyên son
1.3.4.3 Phân loại thang tin
1.3.6 Bảo mật nhân sự
1.3.5.1 An toàn trong xác dịnh công việc và thi nguyêu
1.3.5.2 Đảo [ao người dùng,
1.3.5.3 Đôi phó với các sự cổ an toàn thông tin setenv
1.3.6 Án toàn vật lý và môi trường
1.3.6.1 Vùng an toàn thông tin:
1.3.6.2 An Loàn thiết bị -
1.3.6.3 Những điều khiển elung
1.3.7 Quản lý vận hành và truyền (hông,
Trang 31.3.8, Điều khiển truy xuất
1.381 Yêu cân kinh doanh của quản lý truy cập
1.3.8.2 Quân lý truy cập người dùng
1.3.8.3 Trách nhiệm người dùng,
1.3.8.4 Kiêm soát truy cập mạng,
1.3.8.5 Quân lý truy cập hệ điều hành
1.3.8.6 Kiểm soát truy cập ứng đụng ¬
1.3.8.7 Giám sắt việc truy cập và sử dụng hệ (hông
1.3.9 Bão đưỡng vả phát triển hệ thống
1.3.9.1 Những yêu cầu an toàn cứa các hệ thông
1.3.9.2 An Loan trong cac hệ tng ung i cg
1.3.9.3 Các quân lý mã hóa -
1.3.9.4 An Loan cac file hệ thong
1.3.9.5 An toàn trong thứ tục phát triển và hỗ trợ
1.3.10 Quản lý liên tạc tắc nghiệp
1.3.11 Sự tuân thủ
1.3.11.1 Tuân thủ các yêu cầu luật pháp - nee
121.2 Xem xét lại chính sách và tuân thủ công nghệ
1.3.11.3 Xem xét việc kiểm định hệ thông
CHUONG I AN LOAN THONG TIN TRONG DOANL NGI
2.1 YÊU CAU BAO MÁT TRONG DOANH NGHIỆP
2.2 NOI DUNG BAO MAT TRONG DOANH NGHIỆP
2.2.L Đănh giá an toàn thông tin
2.2.1.1 Đánh giá nội bộ
3.2.1.2 Dánh giá từ bên ngoài
2.1.2 Phân loại và quân lý tài nguyễ:
2.2.7 Điều khiển truy xuất trong đoanh neh -
2.2.7.1 Quản lý truy xuất nội bộ
3.2.7.3 Quận lý truy xuất bên ngoài
Trang 4
2.2.7.3 Quin ly ha tang mang
228, ‘An todn méi trường và hệ thông -
2.8.1 Môi trường thông tin trong doanh nghiệp 2.2.8.2 An Loin hé thống - -
CHUONG III: UNG DUNG PHAN MEM MA NCUON MO TRONG BAO MAT 69
3.1 GIỚI THIỆU CHUNG
3.1.1 Tường lửa — Proxy -
3.111 1pfable Erewall Builder
3.1.1.2TPCep
3.1.1.3 Squid
3.1.2 Hệ thống quản lý mạng
3.1.2.1 Giao thức quản lý mạng lon giản Ó
3.1.2.2 Hệ thông quản lý mạng OpanNMS,
3.1.3 Phát hiện xâm nhập
3.1.3.1 Hệ thông phát hiện xâm nhập lagi
3.1.3.2 Cac tink năng và phạm vi ứng dụng cửa Snort
3.1.4 Xác thực - Ủy quyền — Tính toán
3.1.4.1 Quay số xá thực từ xa trong địch vụ người dùng
3.1.4.2 FreeRadius
3.1.6 Mạng riêng áo -
3.1.5.1 Giới thiệu về mạng riêng ảo
3.1.6 Chứng thực diện tử
3.1.6.1 Thuat toan chit ky sé - DSA - -
2 Ứng dụng chữ ký điện tứ trong báo một ứng dụng W3
cũng cự kiểm tra, đảnh giá, phân tich an (nan théng Lin 7
Trang 5Hình 1.1: Mô hình PDCA
DANH SÁCH HÌNH VẼ
Tĩnh 2.1: Đánh giá các hệ quán trị cơ sở dữ liệu
Tiình 2.2: Nguyên tắc sao lưu và phục hồi đữ liệu
Trình 2.3: Sơ đồ thuật toán mã hóa AS
Hình 24 Sơ để thuật toán mở rộng khỏa trong AES
Hình 25: Sơ dễ thuật toán giải mã
Hình 2.6: Mô hình sử dụng chữ ký diễn tử
Hình 2.7: Đánh giá chung các chương trình điệt virus
Hình 3.1: Mô hình hoạt động của IPTables
7: Gian diện cla OPenNMS
8: Mé hinh sit dung VPN 9: Vidu vé VPN
10: Máy chii VPN
11: Chimg chỉ số tự ky 12: Quét cổng với nman 13: Kiếm tra lỗ hổng bằng Nessus
.14: Dánh giá an toàn của session id trong img dụng w web 15: Bắt bản tin dạng ký tự thuận
16: Mô hình văn phòng nhỏ 17: Mõ hình sử dụng các sản phẩm nguồn mứ 18: Mõ hình kết hợp
Trang 6DAT VAN DE
Dai vi mai tổ chức hay doanh nghiệp, thông tin được đánh giá lả một trong,
những dạng tài sản cũng như tải nguyên quý giá nhất 1hông tin chính lả nên
tang và là phương tiện đảm bảo sự bền vững cũng như sự phát triển của các tổ
chức hay doanh nghiệp Đã có nhiều doanh nghiệp và tổ chức trên thể giới phải ghánh chịu những hậu quả nặng né do những rủi do trong an toàn thông
tin dem lai
Rõ ràng việc thực thị các biễn pháp bảo mật cho hệ thống thông tin dỗi với
mỗi doanh nghiệp hay tổ chức là một yêu cầu có tính bắt buộc Tuy nhiên
việc thực thi các giải pháp vả mua các sẵn phẩm bảo mật dôi khi tác động rất
lớn đến chỉ phí kinh doanh hay hoạt động của các doanh nghiệp, tổ chức Vì
vậy việc lựa chọn giải pháp bảo mật sử đụng mã nguồn mổ cho doanh nghiện dựa trên nền tảng bảo mật chung và các chuẩn bảo mật sẽ dem lại những lợi ích thiết thực về bảo mật vả chỉ phí kinh doanh hoạt động cho các doanh
nghiệp, tổ chức
'Tuy nhiên, các sản phẩm mã nguồn mở hiện nay mới sử dụng một cách
đơn lẻ và ứng dụng cho một nhu câu xác định Bên cạnh đó việc phát triển các
sản phẩm mã nguồn mở luôn đi theo hướng tự phải và không được thựo hiện
đánh giá một cách chỉ tiết Hơn nữa, thực thi an toàn thông tin cho doanh
nghiệp đỏi hồi phải ó quy trình và sự tham khảo đây đủ, việ sử dụng các sẵn
phẩm mă nguồn mớứ cũng cần phải Luân theo những quy trình va các hướng dẫn tham khảo dó Vì vậy nội dung chính của bản luận văn để cập đến các
chuẩn thực thi an toàn thông tin trong doanh nghiệp cũng như phạm vì áp
dụng của các sản phẫm mã nguồn mở trong bảo mật thông tin doanh nghiệp.
Trang 7CHƯƠNG I
CAC CHUAN AN TOAN THONG TIN
Bao mật không chỉ là vấn đề của một riêng ai mà đó là sự quan tâm của toàn
thể giới Việc thực thi bão mật yêu cầu phải tuân thủ theo nhưng nguyên tắc
và quy tắc nhất định Trong chương nảy, bài viết sẽ:
> Giới thiệu về hệ thống các chuẩn quốc tế liên quan đến bảo
mật
> Sơ lược về các quy định trong thực thì an toàn thông tin
> _ Sơ lược về quản lý an toàn thông tin
ISO tên viết tắt của tô chức chuẩn quôc tế và IEC tên viết tất của hiệp hội
diện tử quốc tế cầu thành một hệ thống chuẩn dặc biệt cho chuẩn hóa quố
Các quốc gia là thành viên của ISO hay IEC tham gia vào quá trinh phát triển của các chuẩn quốc tế thông qua các hội đồng kỹ thuật thiết lập bởi các tổ
chức tương ứng dé lam việc với các mảng khác nhau trong hoạt đông kỹ
thuật Các hội đồng kỹ thuật ISO và IEC cộng tác trên các phần mà cả hai đếu
quan tâm Các tổ chức quốc tế khác, thuộc chỉnh phủ hay phi chính phủ, hợp
tac voi ISO và IBC cũng tham gia vào cỗng việc chuẩn hóa Irong lĩnh vực
công nghệ thông tin ISO và ILUC thiết lập một hội đông kỹ thuật chung
ISOVTEC JTC 1
Các chuẩn quốc tế được tóm lược theo các luật đưa ra bởi các chỉ dẫn
ISO/ILC Nhiém vụ chính của ITC (Joint Technical Committee) 14 chuẩn bị
các chuẩn quốc tễ Phác thảo của các chuẩn quốc tế từ JTC được lưu chuyển qua các thành phần cấp quốc gia để bầu chon và đánh giá Dễ có được sự chấp thuận như một chuẩn quốc tổ, một chuẩn phải được íL nhất 70% các thành viên cap quốc gia tán thành
Trang 8Có thể kể ra đây những chuẩn quốc tế có liên quan đến vấn đề bảo mật và
an toàn thông tin:
© ISOAEC 8802-11:2005/4md 6:2006: Bao mật cho điều khiển tray xual
đường truyền (MAC)
+ 1XO 9564-1:2002: Bảo mật và quản bp số nhận dạng cá nhân (PÚN) -
ung dụng trong ngân hàng
© 1SO/EU 9570:2000: Bảo mật cho tuy cập dữ liệu từ xa
*® ISO/IHU 0707:1900; A4ã nhận thực tin nhẫn
« ISOMEC 9798:1997: Nhận thực (bực thể
*® _1SO/1EC 10118:2000: Các hàm bấm
© ISOAEC 11770:1996: Quan lp khéa
+ 1SO/IEC TR 13594:1905: Bảo mật lớp thấp
+ 1SO/IHC HCD 14888: Chữ lý điện tả (đang xây dựng)
«© ISOAEC 15408:2005: Tiéu chi danh gia bao mai thang tin
* ISOMEC TR 15443:2005: Khung cơ cầu cho đảm bảo an toàn thông
tin
«_ISOMNC 15946:2002: Công nghệ mã hỏa dựa trên dường cong clipse
"_1SO/IEC TR 15947:2002: Khung cơ cấu trong phải hiện xâm nhập
«© ISOAEC 17799:2005: Quy tắc thục tién trong quản ly an tean thong
fin
«© ISOMEC 18028:2006: Bao mat mang IT
© ISQAEC 18031:2005: Sinh bit ngẫu nhiên
© ISOAEC 18033:2005: Cac thudt toán mã hóa
« ISOAKC TR 18044:2004: Quản lý tình hudng an toàn théng tin
* ISOARC 18045:2005: Phương pháp đánh giá an toàn thông tin
« ISOMEC 27001:2005: Cie hệ thông quân lý an toàn thông tin.
Trang 9nảy được chuẩn bị để cung cấp một mô hình cho việc thiết lập, thực thị, vận
hành, giám sát, xem lại, bảo trì và cải thiện hệ thống quản lý an toàn thông tin
(SMS-Iformation Security Xianagement Svstem),
Quá trình tiếp cận quần lý an toàn thông tin thể hiện trong chuẩn ISO/IEC
27001 khuyến khích người dùng chuẫn nhân mạnh sự quan trong của
1 Hiểu được các yêu cầu an toàn thông tin trong một tổ chức và thiết lập chính sách vả các đối tượng cho an toàn thông tin
2 Thực thi và vận hành các điều khiển để quản lý dé quản lý các rủi ro về
an toàn thông tin trong toàn bộ các rủi ro kinh doanh của tổ chức
3 Giam sat và xem xét lại tỉnh năng và hiệu quá của TSM§
4 Tiếp tục cải thiện dựa trên các mục tiêu đánh giá và đo kiểm
-Act: Lap kế
hoạch- Ihực hiện-Kiểm tra-Hành đông) Mô hình được minh họa như sau:
Chuẩn TSO 27001 sử dụng mỗ hình PDCA (Plan-Do-Chí
Chuẩn ISO/IEC 27001 có thể áp đụng cho tất cả các mô hình LỄ chức hay
doanh nghiệp ví dụ như các doanh nghiệp thương mại, các tổ chức chỉnh phủ,
Trang 10các lễ chức phi lợi nhuận Chuẩn gững xác định các yêu edu cho việc thực thi các điểu khiển bảo mật tùy theo yêu cầu của các tổ chức độc lập hoặc
nhóm các tô chức
ISMS được thiết kế để đăm bão sự lựa chọn các điều khiến anh ninh một
cách đầy đủ và cân đổi mà có thể bảo vệ các tải sẵn thông tin và tạo niễm tin cho oác đối táo Trong quá trình thiết kế các điều khiển an loan thong tin I8O/IEC 17799 có thể ding dé hướng dẫn thực thì @ham khảo mục TI) ISO/IEC 17799 cũng được nhắc đến trong tài liệu của chuẩn ISO/IEC 27001 như lả tham khảo chuẩn hóa ISP/IEC 17799 dược giới thiệu ở phần tiếp tho
sẽ bễ xung các quy tắc thực tiễn của quần lý an toàn thông tin
1.2.2 Hệ thắng quản lý an toàn thông tin
1.2.2.1 Yêu cầu chung,
Các tổ hức nên thiết lập, thực thị, vận hành, giám sal, xét lại, bảo trì và cải
thiện một hệ thống quản lý an toàn thông tm được tải liệu hóa trong ngữ cảnh
toàn bộ các hoạt động của tổ chức và các rủi ro mà nó phải đối mặt, Với các mục đích của chuẩn quốc tế này quá trình sử dụng trên mô hình PDCA được thể hiện ở trên
1.2.2.2 Thiết lập và quản lý hệ thông an toàn thông tin
Thiết lập ISMS
Tô chức nên thực hiện các nội dung sau:
a)Xác dinh phạm vì và giới hạn của hệ thống quản lý an toản thông on
theo các đặc diém hoạt dông của tổ chức, daanh nghiệp, vị trí, tài sẵn, công, nghệ và bao gồm các chỉ tiết cho các loại trừ ngoái phạm vi
bỳPĐinh nghĩa một chính sách thco các dặc tỉnh của tổ chức, doanh nghiệp,
vị trí, tái sản, công nghệ của tổ chức/doanh nghiệp trên trong đó
2 Bao gém cdc khung cho việc thiết lập các mạc tiêu và thiết lập toàn bộ
dịnh hướng và các nguyên tắc cho các hoạt động liên quan đến an toàn
thông tin,
Trang 112
Tính đến các yêu cầu kinh doanh và hợp pháp hode ob tinh diéu chink,
và các nghĩa vụ an toàn theo hợp động
Sắp hàng các chiến lược quan lý rủi ro của tổ chức ở đó sự thiết lập và
bảo trì ISMS được thực biện
Thiết lập các liều chí chẳng lại các rủi ro sẽ được đánh giá (xem Trục
9)
Được chấp thuận bởi tổ chức quản lý
©) Dịnh nghĩa các tiếp cận đánh giá rủi ro của tổ chức
Xác định phương thức dánh giả rùi ro phù hợp với hệ thông quan ly an toàn thông tin và các yêu cầu ơn toàn thông tin, hợp pháp và có tính
điều chỉnh
Phát triển tiêu chỉ chấp thuận các rủi ro và các cấp độ rúi ro có thể chấp nhận được
đ) Xác định các rủi ro
2 Xác định các tải sản trong phạm vi cita hé théng quan ly an todn thong
tin và những người sở lữ các tài sản đó
Xác định các đe dọa đối với tài sắm
Xác định các nguy hiểm đến từ các mỗi đe dọa trên
Xác định các tác động ở đó có thé làm mắt độ tin cậu, tỉnh toàn vẹn và
khả năng sẵn sảng của cáo lài sản
e) Phan tích và đánh giá rủi ro
Đ Dảnh giá táo động kinh doanh trong tỗ chức trong trường hợp tinh an
tính toàn
toàn bị vi phạm, có tính dễn hậu quả của việc mất dé tin cd
vẹn và khả năng sẵn sàng của các tài sản
Đảnh giả sự tương dông thực tÊ trong các quả trình thất bại thường gấp cùng với các rủi ro và tác động liên quan
ớc lượng các cân độ của rủi ro
Trang 12o_ Quyết định liệu rii ro dé co thể chấp nhận được bay yêu cầu một số
hành động sử dựng các tiêu chí đễ chấp nhận rủi ro (theo phần e)
Xác
lịnh và đánh giá đối với các ứng xử trước các rủi ro
Các hành động có thể bao gỗm
o Ap dụng các điều khiễn tương xứng
o_ Chấp nhận một cách có mục đích và biểu biết các rủi ro
o_ Trảnh các rủi ro
o_ Chuyển rủi ro liên quan đến lanh doanh cho các thành phần khác ví dụ
nh nhà bảo hiểm, nhà cung cắp
8) Lựa chọn các mục tiêu diễu khiển va các diều khiển cho các ứng xử với
Tủi ro
h Có dược sự chấp thuận đổi với các rủi ro còn lại đã dễ xuất
Ð Có được sự cho phép quản lý để thực thi và vận hành ISMS
j) Chuẩn bị đưa ra ứng dụng
Thực thi và vận hành ISMS
Tế chức nên thực hiện như sau
a) Tinh toán một kế hoạch ứng xử trước rủi ro mả xác định các hành động
quần lý tương xứng, các tài nguyên, Irách nhiệm và sự ưu tiên cho quản lý an
toàn thông tin
b) Thực thi kế hoạch ứng xử trước rủi 1o để đạt được các mục tiêu đã
dịnh, bao gồm cả sự xem xét về vai trỏ và trách nhiệm
©) Sử dụng các điều khiển được lựa chọn để dap img các mục tiêu điều
khiển
d) Xác dịnh cách thức đo kiểm sự hiệu quả của các diễu khiển được chọn
lựa hoặc nhóm các điều khiến và xác định cách sử dụng các phương pháp đo
sử dụng để đánh giá hiệu quả điêu khiển để tạo ra các kết quả có thể so sánh dược
Trang 13e) Thực hiện các chương trình đảo tạo
f)_ Quản lý các hoạt động của ISMS
g) Quan lý các tài nguyên của ISM
h) Cáo thủ tụo thực hiện và các điều khiển khác có
tho phép thông báo
nhắc nhở các phát hiện các sự kiện bảo mật đáp trả các tỉnh huống bảo mật
Giám sát và xem xét ISMS
Tế chức nên thực hiện như sau
a) Thực hiện các thủ tục giảm sát và xem xét lại và các diều khiển khác
để
0 Phat hién và nhắc nhờ các lỗi có trong quá trình thực tủ
o_ Phát hiện và thông bảo các tinh hudng và các lỗ hông bảo mật
o Cho phép quản lý quyết định liệu các hành động bảo mật được thực
hiện bởi con người hay thực th bởi các công nghệ có đẳng như mong đợi bay
không
o_ HỖ trợ phát biện các tình buẳng bảo mật và đa độ ngăn cần các tỉnh
huỗng an nành bởi sự sử dựng của người chỉ dẫn
a Quyết định liệu các hành động được thục hiện đề giải quyết một lễ
hong có là hiéu quả hay không
b) Thực hiện xem xét lại thường xuyên hiệu quả của TSMS (bao gồm sự
đáp ứng đối với chính sách ISMIS vả các mục tiêu, xem xét lại các điều khiển
bao mal) có tính dến kết quả của kiểm tra bảo mật, các Linh huỗng bảo mật , các kết quả có được từ phản ánh từ các dỗi tác
¢) Đo kiểm tính hiệu quả của các điều khiển để xem các yêu cầu an toàn
có được dáp ứng,
đ) Xem xét lại cách đánh giả rủi rơ tại các thời điểm được lập kế hoạch từ
Trước và xem xét lại các rủi ro tương tự nhau vả xác định các rủi ro có thé
chấp nhận dược, có tính đến các tác động thay dối tới
Trang 14o_ Hiệu quả của các điều khiển được sử dụng
ạ_ Cáo sự kiện bên ngoài, như là các thay đổi tới môi trường điều chỉnh, các nghĩa vụ có tính hợp đồng dã thay đổi, và thay đổi trong mỗi trường xã
hội nói chung
©) Thực hiện kiểm tra ISMS tử bên trong tại các thời điểm lập kể hoạch từ
trước
f) Thực hiện xem xét lại quản lý của ISMS trên nên tảng thường xuyên để chắc chắn rằng phạm vi quản lý vẫn đảm bảo và quả trình cải thiện TRM8 được xác định
8) Cập nhật các kế hoạch bão mật để dùng cho các hoạt động giám sắt và xem lại
h) Gihi lại các hành đông và sự kiên có thể tác đông đến hiệu quả và tinh xiăng của ISM8
Duy tri va cai thiện ISMS
Tế chức nên thưởng xuyên thực hiện như sau:
4) Thực hiện các cải tiến đã xác dinh cho ISMS
b) Thực hiện các hành động bảo vệ và sửa lỗi lương xứng
¢) Trao dỗi các hành dộng và các cái thiện với các dối tác liên quan
đ) Đảm bảo sự câi tiến đạt được những mục đích trông đợi
Tài liều nên bao gồm các bản ghi lại các quyết định quản lý, dám báo rằng các
hành đồng có thế rả xoát lại tới các quyết định và chính sách quản ly, va dim
bảo rằng ác kết quả có thể được tải sử dụng,
Trang 15Một điều quan trọng đó là cần phải thể hiện mối quan hệ giữa các điều khiến đã lựa chọn đối với kết quả của đánh giá rủi ro và quá trình ứng xử rồi
TO
Các tài liệu yêu cầu bởi ISMS nên được bảo vệ vả quần lý, các thú tục văn
bản cần được thiết lập để định nghĩa các hành động quản ly
Cần thiết lập và duy trì các bản ghi để cung cấp các dữ liệu dẫn chứng phù hợp các yêu cầu và các vận hành hiệu quá của ISMBS Các bản phi cũng cần được quản lý bảo vệ vả điều khiển cần thận ISMS sẽ tính tới các yêu cầu điều
chỉnh hoặc hợp lý tương xứng cũng như các nghĩa vụ hợp déng Các ban ghi nên được đặt tronp trạng thái sẵn sảng Các diều khiển cần thiết cho việc xác định, lưu trữ, bảo vệ, thu nhận thời gian sử đụng và sắp xếp các bản ghi nên được tài liệu hóa và thực hiện
1.2.3 Trách nhiệm quăn
1.2.3.1 Giao phó quản lý
Quán lý sẽ cưng cấp các dấu hiệu, chứng cứ của việc giao trách nhiệm thiết
lập thực thị, vận hành, giám sát, xem xét lại, bảo trỉ và cải thiện I5IMS thông qua
Thiết lập chính sách TSMS
Đảm bảo rằng các mục tiêu và kế hoạch ISMIS được thiết lập
Thiết lập vai trò và trách nhiệm trong an toản thông tin
'thông báo cho tổ chức sự quan trọng của việc đáp ứng các mục tiêu an
Toàn thông tin phù hợp với chính sách an toàn thông tin, trách nhiệm theo luật pháp và yêu cầu liền tục cải thiện
Cung cấp tải nguyên tương xứng để thiết lập, thực thi, vận hành, giám sát,
xem xét lại bdo tri và cải thiện ISMIS
Xác dịnh tiêu chỉ dễ chấp nhận rủi ro và các cấp độ rủi ro có thể chấp nhận
được
Trang 16Đảm bảo rằng các thủ tục kiểm tra ISMS bén trong được thực hiện
“Thực hiên xem xét lại quần lý ISM8
1.2.3.2 Quản lý tài nguyên
Cung cấp lài nguyên
các tài nguyên cần thiết cho
a) Thiết lập, thực thị, vận hành, giám sát, xem xét lại bảo trỉ và cải thiện ISMS
b) Đăm bảo các thủ tục an toàn thông tin hỗ trợ các yêu cầu kinh doanh
¢) Xác định các yêu cầu có tính điều chỉnh vả hợp lý cũng như các nghĩa
Khi có yêu cầu cần cải thiện hiệu quả của ISMS
Đào tạo, nhận thức và cạnh tranh
Tổ chức nên đấm bảo rằng tắt cá những cá nhân có trách nhiệm trong TSMS
phải thực sự có năng lực dễ thực hiện các nhiệm vụ bằng cách
a) Quyét định các năng lực cần thiết đối với mỗi cá nhân vì hiệu quả của
TSRMS
b) Cung cấp đào tạo hoặc các hành đông khác để thỏa mãn các nhu cầu
ø) Đánh giá hiệu quả của các hành động được thực hiện
d) Lưu lại các bản ghi về quá trình đào tạo, kỹ năng và các chứng chỉ
1.2.4 Kiểm tra chất lượng ISMS bên trong
Tế chức nên thực hiện kiểm tra ISMS từ bên trong theo các kế hoạch xác định
trước để xem liệu các mục tiêu điều khiển, các điều khiển, các tiến trinh và cac thi tuc cla ISMS cé
a) Tương xứng với yêu cầu của chuẩn quốc tế và hợp lệ
Trang 17b) Tương xứng với yêu cầu an toản thông tin đã xác định
©) “Thực thi và duy trì một cách hiệu quả
đ) Hoạt động như đã mong đợi
1.2.5 Xem xét lại quản lý của ISMS
1.2.5.1 Téng quan
Quan lý sẽ xem xét lại ISA1S của tổ chức theo thời gian định kỳ (ít nhất một
lần trong một năm) đế đảm bảo tính hiệu quả và én định của nó Sự xem xét
lại này sẽ bao gồm đánh giá cơ hội cho quá trình cái tiên và nhu cầu thay đổi
ISMS , bao gồm chính sách an toàn thông tin và mục tiêu an toàn thông tin Két quả của quá trình xem xét lại sẽ được ghi lại một cách rõ ràng
1.2.5.2 Dầu vào quá trình xét lại
Đầu vào của quá trình rả soát lại quản lý nên là
a) Kết quả của rà soát và kiểm tra ISMS,
b) Phân hồi từ các dối tác
¢) Các công nghệ, sản phẩm hay thủ tuc những thành phần sử dụng trong
tễ chức để cải thiện tính năng và hiệu quả ISM8
đ) Các hành đông trạng thái, bảo vệ và sửa lỗi
e) Các lỗ hỗng, mối đe dọa được ghi lại trong quá trình đánh giả rủi ro
trướ đó
f) Các kết quả từ quả trình đánh giá hiệu quả
g8) Các hành động tiếp theo của quá trình xét lại quản lý trước đó
h) TẤI cả các thay đổi ánh hướng dến TSMS
ï)_ Các khuyến nghị cho quá trinh cải tiến
1.2.5.3 Đầu ra của quá trình xét lại -
Đầu ra của quá trình xét lại quân lý bao gồm các quyết định và các hành động liền quan đến
4) Sự cải thiện hiệu năng của ISMS
b) Cập nhật đánh giá rủi ro và kế hoạch ứng xử rủi ro
Trang 18) Các điều chỉnh của các thủ tục và các điều khiển ảnh hưởng đến an loàn
thông tin, nếu cần thiết, đáp trả các hành động tac déng dén ISMS, bao gdm các thay đổi như:
Các yêu cầu kinh doanh
Các yêu cầu bảo mật
Cac quả trình kinh doanh ảnh hưởng đến các yêu cầu kinh đoanh đang có
Các yêu cầu hợp lý và có tính diều chính
Các nghĩa vụ hợp đồng
Các cắp dộ rủi ro và tiêu chí chấp nhận rủi ro
đ) Các yêu cầu tải nguyễn
e) Cải thiện theo hiệu quả của các điều khiển đang được đo kiểm
1.2.6C
1.2.6.1 Cải thiện liên tục
Tế chức nên tiếp tục cải thiện hiệu quả của ISMS thông qua sử dụng chính
sách bảo mật thông tin, các mục tiêu bảo mật thông tin, các kết quả kiểm tra,
các sự kiện dược giám sát và phân tích, các hành động báo về và sửa lỗi và quả trình xem xét lại quản lý
1.2.6.2 Ilãnh động sửa lỗi :
Tổ chức nên thực hiện các hảnh động để loại bỏ những tác nhân không phủ
hợp với yêu cầu hệ thống để ngăn chặn sự tái diễn Cáo thủ tục được ghi lại
cho các hành động sửa lỗi nên xác định các yêu cầu để:
a) Xác định các thành phần không phù hợp
b) Xúc dịnh các tác nhân gây ra sự không phủ hợp đó
€) Dánh giá nhu cầu cho các hành động để những thành phần không phủ
hợp không diễn ra
đ) Thực hiện các hành dộng sửa lỗi cần thiết
e) Ghi lại kết quả của hành động đã thực hiện
t) Xem xét lại hành dâng đã thực hiện
Trang 191.2.6.3 Tình động ngăn cần
Tương Lự như trên, các hành động dùng đỂ ngăn cán các tác động không phủ
hợp cũng dược xem xét
1) Xác định các tác động không phủ hợp và nguyền nhân của nỏ
2) Đánh giá nhu cầu hành dộng để ngăn căn su sty ra của cá tác động
không phủ hợp
3) Quyết định thực hiện các hành động cần thiết
4) Ghi lại các kết quá và hành động đã thực hiện
3) Xem xét lại các hành động đã thực hiện
1.3 CHUAN ISOAEC 17799:2000
1.3.1 Giới thiệu về chuẩn ISO/IEC 17799:2000
18O17799 được coi như là một bộ tập hợp day đú các điều khiển bao gồm các quy tắc thực tiễn trong an loan théng Lin ISO 17799 thực chất là chuẩn an
toàn thông tin được thừa nhân rộng rãi trên toàn thế giới Liên thân của nó là
BS7799-1, được xuất ban theo nhiều phiên bản khác nhau trong nhiều năm, cho dù chuẩn mới chỉ được (hửa nhận bin ISO trong tháng 12 năm 2000 Đi
kèm với sự phế biến của chuan ISO/IEC 17799 thi cdc thủ tục chứng nhận và
sự áp dụng rộng rãi được thực hiện rất nhanh chóng Phiên bản
TSO/TRC17799-2 2002 dược thay thế bởi chuẩn T8Q/IEC 27001:2005, tuy
nhiên giá trị tham khảo của ISO 17799 vẫn có tất nhiễu ý nghĩa
1.3.2 Chính sách an toàn thông tin
Mục đích : cung cấp hướng xử lý và hỗ trợ cho an toản théng tin
'Việc quản lý nên thiết lập một hướng giải quyết Tố rằng, chứng minh sự hỗ trợ
và bảo dám lính an toàn thông tin thông qua việc phân phối và đuy trì môi
chỉnh sách an toàn thông tỉn trong tổ chức
Tài liệu chính sách an toàn thông tin
Một tải liệu về chính sách nên dược quản triệt thông qua quản lý, được công
bố và tuyên truyền đến tất cả nhân viên, Nó nên khẳng định sự cam kết trong
Trang 20
quản lý và thiết lập một cách thức của tổ chức để quản lý an toàn thông tin Ở
mức tối thiểu nền bao gồm những hướng dẫn sau
a) Dinh nghia về an toần thông tín, tầm quan trọng của an toản, phạm vi, vả
xnụe tiêu bao trùm của nó như là một phương pháp bảo vệ khả thí cho việc
chia sẻ thông tin
b) Khẳng định về dự định quản lý, hỗ trợ các mục đích và nguyên tắc của an toàn thông tin
6) Giải thích ngắn gọn về các nguyễn tắc, tiêu chuẩn, chỉnh sách an toan và
âu tuần thủ quan trọng dặt biệt đổi với lễ chức
d} inh nghĩa về trách nhiệm chung vả riêng dấi với quản lý an toàn thông tin
bao gồm việc bảo cáo về các sự cổ an toàn thông tin
ø) Sự tham khảo những tải hiệu có thể hỗ trợ cho chỉnh sách, ví dụ: những chính sách và qui trình an toàn thông tin chỉ tiết hơn cho các hệ thống thông,
tin đặc biệt hay những qui định vé an toàn mà người sử dụng cần phải tuân
thủ
Chính sách này nền được tuyên truyền trong tế chức cho tất cả những người
sử dụng ở một hình thức thích hợp, dễ tiếp cận, dễ hiểu cho mọi người
Xem xét lại và đánh giá
Nên có một người sở hữu chính sách, chịu trách nhiệm duy trì và xem lại theo
một qui trình xơm xới lại đã định sẵn Qui trình đó nên bao dim rằng việc
kiểm tra diễn ra ngay khi có bắt kỳ sự thay đổi nào ảnh hưởng đến cơ sở đánh: giá rủi ro ban đầu Ví dụ: các sự cố vỀ an toàn nghiêm trọng, những điểm yếu mới hoặc các thay đổi đến cư sở hạ tằng kỹ thuật hoặc tổ chức Cân phải có kế
hoạch xem xét định kỷ các mặt sau:
a) Tinh hiệu quả của chính sách, dược mộ lä bởi tỉnh chấL, số lượng và ảnh hưởng của những sự cố về an toản thông tin được phi nhận
'b) Chỉ phí và ảnh hưởng của các quản lý lên hiệu quả của việc kinh doanh
Trang 21
c) Các ảnh hưởng của các thay đổi lên công nghệ
1.3.3 Bảo mật có tổ chức
1.3.3.1 Cơ sở ha tang an toàn thông tin
TMục tiêu: quản lý an toàn thông tin trong tổ chức
Một cơ cấu tổ chức quản lý nên được thiết lập để khởi đầu và kiểm soát việc
thực hiện an toàn thông tỉn trong tổ chức Các điễn đàn quản lý thích hợp nên
được thiết lập để củng cổ chính sách an toàn thông tin, để xuất những vai trỏ
an toàn thông tin, phối hợp việc thực hiện an toàn thông tin trong tổ chức Nếu cần thiết nên lập một nguồn cáo chỉ dẫn về an Loàn thông tin của oáo chuyên gia và đắm bảo tính sẵn sàng của né trong tổ chức Nên phát triển mối liền lạc với các chuyên gia an toàn từ bên ngoài để theo kịp các khuynh hưởng công nghệ, tiêu chuẩn giảm sát và phương thức đánh giá và dễ cưng cấp những mối liên hệ thích hợp khi giải quyết các sự cố an toàn Nên khuyến
khích một sự phối hợp chặt chế đối với an toàn thông tín, bao gồm việc hợp
tác giữa nhà quản lý, người sử dụng, người quấn trị, người thiết kế ứng dung,
người kiểm định, đội ngũ an toàn và các chuyên gia trong các lĩnh vực như
bão hiểm va quán lý rũi rò
1.3.3.2 An toàn trong việc truy cập bởi tổ chức thứ ba
Nhận diện các rủi ro của việc truy cập của tố chức thử ba
- Các loại tray cập
Loại truy cập được cung cấp cho bên thứ ba có ý nghĩa quan trọng đặc biệt,
Ví dụ, những rủi ra của việc truy cập qua một kết nối mạng khác với những
rủi ro truy cập vật lý
Các loại truy cập cần được xem xét đó là :
a) Truy cập vật lý với gác văn phòng, phông máy tỉnh, ti tai liệu
b) Truy cập logic với các cơ sở dữ liêu hệ thông thông tin của tổ chức
- Các lÿ do truy cập
Trang 22Các tổ chức thứ ba cĩ thể được cho phép truy cập vì một số lý do Vi du, 66 những tế chức thứ ba cung cấp dịch vụ cho tổ chức và khơng đặt nội bộ
nhưng cĩ thể được cung chp các truy cập vật lý và logic, như
4) Đội ngũ hỗ trợ phần cứng và phần mềm cần truy oập vào chứo năng thích
hop ở mức hệ théng hay mức thấp
b) Các đối tác thương mại hoặc cỗ phần cĩ thê trao đổi thơng tin, truy oập hệ
thống thơng tin hay cơ sở dỡ liệu chia sẻ
~ Các nhà thÂu làm việc rại tổ chức
Cáo tổ chức thứ ba lắm việc tại tổ chức trong một khoăng thời gian dịnh trước trong hợp đẳng cũng cĩ thể làm gia tăng các diểm yếu an tồn thơng tin Các
ví dụ của tổ chức thứ ba làm việc tại tổ chức bao gồm
Các yêu cầu an tồn trung hợp đơng với tổ chức thứ ba
Các thỏa thuận bao gồm truy cập của tổ chức thứ ba với các thiết bị xử lý
thơng tin của tổ chức nên dựa trên cơ sở một hợp đồng chính thức, bao gồm,
hay đề
Jip đến tất ộ các yêu edu an tốn đề đảm bão sự Lương thích với tiêu
chuẩn vá chính sách an tồn của tơ chức.Hợp đồng nên chắc chắn rắng khơng
cĩ sự hiểu lầm nào giữa tổ chức và tổ chức thứ ba
1.3.3.3 Thuê nhân lực bên nguài
Mục tiêu : duy trì an tồn thơng tin khi trách nhiệm xử lý thơng tin đã được giao cho một tổ chức khác
Trang 23Các thỏa thuận thuê nhân lực bên ngoài nên chỉ rõ các rủi ro, các quản lý và
thủ tục an toàn cho các hệ thống thông tin, mạng và/hoặc môi trường desk top
trong hợp đồng giữa các bên
1,
1.3.4.1 Định trách nhiệm đối với tài nguyên
Phân loại và kiếm soát tài nguyên
Mục tiêu : duy trì sự bảo vệ thích hợp cho các tài nguyên của tổ chức
'TẤt cả các tài nguyên thông tin quan trong nên được lưu tài liêu lại và phân
công người sở hữu
Lập tải liệu cho tải nguyên sẽ đám bảo duy trí mức báo vệ thích hợp Các chủ
sở hữu nên được xác định cho tất cả tài nguyên và gan trách nhiệm cho việc duy trì kiểm soát thích hợp Trách nhiệm kiểm soát có thể được uỷ quyền
Việc lập tải liệu nên tồn tại cùng với việc phân công chủ sở hữu tải nguyên
1.3.4.2 Phân loại thông tin
TMục tiêu : để bảo đám rằng tài nguyên thông tín có cấp đô bảo vệ thích hợp
Thông tin nên dược phân loại để xác dịnh nhu cầu, mức ưu tiên và mức dộ
1.3.5.1 An toàn trong xác định công việc và tài nguyên
Mục tiêu : Để giảm bớt các rủi ro về mặt nhân sự, trộm cắp, gian lận hoặc lạm dụng trang thiết bị
An Loàn trong trách nhiệm nghề nghiệp: Những vai trỏ và trách nhiệm an Loàn
thông tin trong chính sách an toàn thông tin tổ chức nên được lập tài liêu và lưu ở nơi thích hợp Chúng nên bao gồm các trách nhiệm
Trang 241.3.5.2 Đầu tạo nguời dùng
Mục tiêu: Để bảo đấm rằng người dùng nhận thức được những mỗi đe dọa
đối với an toàn thông tin, và được trang bị để hỗ trợ chính sách an toàn của tổ
chức trong quá trình làm việc thông thường
Người sử dụng nên được đảo tạo theo quy trình an toàn thông tin và sử dụng
chính xác trang thiết bị xử lý thông lim để hạn chế tối đa các rửi ro an toàn có
cảng tốt Tổ chức nên thiết lập một kỷ luật nghiêm khắc để xử lý thái độ của
nhân viên khi vi phạm Để có thể xác định các sự cố một cách đúng đắn cân phải thu thập chứng cử càng sớm càng tốt sau khi sự cổ xây ra
1.3.6 Án toàn vật lý và mỗi trường
1.3.6.1 Vùng an toàn thang tin:
Mục tiêu : để ngăn chặn sự truy cập trái phép, những hư hỏng và sự can thiệp
‘vao tai sản và thông tin kinh doanh
Trang thiết bị xử lý thông tin kinh doanh then chốt hoặc nhạy cẩm phải được
giữ trong những vùng an toàn thông tin, dược bão vệ bởi vành đai an toàn, với
những rao can thích hợp và những chốt diều khiển Nó phải dược bảo vệ một cách vật lý tránh khỏi sự truy cập trái phép, hư hỏng và can thiệp vào
Trang 251.3.6.2 An toan thiết bị
Mục tiêu : để ngăn ngừa mất mát, hư hỏng hoặc làm hại đến tài sản và sự
gián đoạn những hoạt động kinh doanh
Trang thiết bị phải được bảo vệ một cách vật lý khỏi những de doa bảo mật và
những rủi ro môi trường Việc bảo vệ trang thiết bị (bao gồm cả việc sử dụng ofT-siLe) là cần thiết để giảm rủi ro của việo truy xuất trái phép đến đữ liệu vả
dé bao vệ chống lại mất mát và hư hóng Việc nảy cũng sẽ cần cân nhắc vi tri
và loại thiết bị Những điều khiển đặc biệt có thể cần thiết để bão vệ chống lại
sự nguy hiểm hoặc truy xuất trải phớp, và để bão vệ phương tiện hỗ trợ, như máy phát diện và cơ sở hạ tầng đây cáp
1.3.6.3 Những điều khiển chung
TMục tiêu : Đề ngăn ngừa xâm phạm hoặc trộm cắp thông tin và cư sở hạ tang thông tin
Thông tin và cơ sở hạ tầng thông tin sẽ được bảo vệ khói sự phơi bảy, sự thay
déi hay trém cấp bởi những người không dược phép, và những diều khiển phải được đưa ra đề làm giảm mất mát hay hư hỏng
Trang 261.3.7.2 Lập kế hoạch và đáp ứng của hệ thống
Mục tiêu: Để giảm thiếu rủi ro lỗi hệ thống Phải lập kế hoạch và chuẩn bị để
đảm bảo tỉnh sẵn sàng của tải nguyên và năng suất thích hợp Dự đoán nhu
cầu trong tương lai nên thực hiện để giám rúi ro quá tải hệ thông
Nhu cầu vận hành của hệ thống mới nên được đưa ra, lưu hỗ sơ và kiểm tra
tính đáp ứng của nó và sử dụng,
1.3.7.3 Bảo vệ trước nhần mềm nguy hiểm
Mục tiêu: Bảo vệ tính toan ven của phần mềm và thông tin
Cần phái có dễ phòng để ngăn chặn và phát hiện phần mềm nguy hiểm Trang thiết bị xử lý phần mềm va thông tin rất dễ bị tấn công dễ dựa vào phần mềm nguy hiểm, như virus, worm, trojan Kgười sử dụng nên nhận thức được nguy hiểm của phần mềm không hợp lệ hay nguy hiểm vả người quần lý nên dưa ra các biên pháp quản lý đặc biệt để phát hiện hay ngăn ngừa Thực hiện biện pháp để phòng dé phát hiện và ngăn chặn virus máy tính trên máy cá nhân
1.3.7.4 Quin ly
Mục tiêu: Dễ duy tri tĩnh toàn ven và sẵn sàng dịch vụ truyền và xử lý thông tin,
Qui trinh hang ngày nên được thực hiện để thực thị biện pháp sao lưu , ghi log,
sự kiện, lỗi và giám sắt môi trường thiết bị
Trang 271.3.7.6 An toàn thông tin và xử lý các phương liện lưu trữ
Mục tiêu: Để ngăn ngừa thiệt hại đến tài nguyên và gián đoạn các hoạt đông,
kinh doanh Các phương tiện lưu trữ nên được kiểm soát và được báo vệ vật
lý Các thủ Lục vận hành thích hợp nôn được thiết lập để bảo vệ cdc ti liu,
phương tiện lưu trữ máy tính (băng từ, đĩa, cassettes), dữ liệu nhập/xuất vả
các tải liệu hệ thống tránh hư hỏng, mắt cắp và truy cập trái phép
1.3.7.7 Sự trao dai thông tin và phần mềm
Mục tiêu: Dê ngăn ngừa sự mất mát, sửa đối hoặc dùng sai mục đích thông tin được trao dỗi giữa các tổ chức
Sự trao dấi thông tin và phần mềm giữa các tổ chức nên được kiểm soát, và
tuân thú theo qui định Sự trao đổi nên được thực hiện cơ bản đựa trên sự thỏa
thuận Các thủ tục vả tiêu chuẩn dễ bão vệ thông tim và phương tiện vật lý khi
di chuyển nên được thiết lập Vấn để kinh doanh và an toản liên quan đến sự
trao đổi dữ liệu bằng thiết bị điện tử, thương mại điện tử, thư điện tử vả thủ
tục cho các hướng dẫn nên được xem xét
1.3.1 Điều khiến truy xuất
TMục tiêu: ĐỂ quản lý truy cập vào thông tin của tổ chức
1.3.8.1 Yêu cầu kinh doanh của quản lý truy cập
Mục tiêu: Để quản lý truy cập vào thông tin của tổ chức
Truy cập vào thông tin và các quá trình kinh doanh nên dược kiểm soát dựa
trên các yêu cầu cơ bản về kinh doanh và bảo mật
Cần chủ ¥ đến các chính sách về phê biến và quyền hạn trên thông tin
1.3.8.2 Quản lý truy cập người dùng
Mục tiêu: Dễ ngăn chặn các truy cập trải phép vào các hệ thông thông tin Các qui trình chính thức nên được đưa ra để kiếm soái việc oấp quyền truy cập vào các hệ thống thông tin vả dịch vụ Các qui trình nên bao trùm tất cả
trạng thái trong chu trình truy cập của người đụng, từ lúc đăng ký các người
Trang 28dùng mới cho tới xóa các người dùng không còn cần truy dập vào các hệ
thống thông tin và dịch vụ CẦn chú ý đặc biệt, khi cần thiết, đến nhu cầu kiểm soát việc cấp các quyền truy cập đặc quyền cho phép người dùng ghi đẻ lên các kiểm soát hệ thống
1.3.8.3 Trách nhiệm người dùng
TMục tiêu: Ngăn ngừa người dùng không được phép truy xuẤt
Sự hợp tác của những người dùng được phép lả cần thiết để báo mật hiệu quá
Những người dùng sẽ được lâm cho chú ý đến trách nhiệm của họ trong việc
duy trỉ những quản lý truy cập, đặc biệt là dối với cách sử dụng mật khẩu va
bảo mật thiết bị người dùng,
1.3.8.4 Kiểm soát truy cập mạng
Mục tiêu: Bảo về các dịch vụ mạng
Việc truy cập các địch vụ mang bên trang vả bên ngoài thi nên bị quản lý
Điễu đó thi cần thiết nhằm đảm bảo cho người sử dụng truy cập mạng vả các
dịch vụ mạng thì không làm ảnh hưởng đến sự an toàn của các dịch vụ mạng
đó bằng cách bảo đảm:
4) các lớp mạng tỗ chức và các lớp mạng của các lỗ chức khác hoặc các lớp
mạng công cộng
b) các cơ chế xác thực cho người dùng và thiết bị
6) kiểm soát truy gập người đùng tới các dịch vụ thông Lin
1.3.8.5 Quản lý truy cập hệ diều hành
TMục tiêu: Ngăn chặn truy cập máy tỉnh không hợp lệ
Những phương tiện an ninh tại mức độ hệ diều hành phải dược sử dụng dễ ngăn chặn việc truy cập tải nguyên máy tính Những phương tiên đó phải có
những khã năng sau dây
2) xác định và kiểm tra định danh, và nếu cần thiết xác định dau cuối và
vị trí của mỗi người đùng được xác thực
Trang 29b) ghi nhận những truy xuất thành công và thất bại vào hệ thống
c) cung cấp những biển pháp tương ứng cho việc xác thực, nếu hệ
thống quản lý mật khẩu được sử dụng nó phải đầm bảo chất lượng mật
khẩu
d) khi thích hợp, giới hạn thời gian kết nói của người dùng
1.3.8.6 Kiểm soát truy cập ứng dụng
Mục tiêu: ngăn chặn việc truy xuất tới thông tin được lưu giữ trong những hệ
thống thông tin Những trang thiết bị an toàn thông tin phải được sử đụng để hạn chế truy xất vào những hệ thông ứng dụng Chỉ những người dùng được phép mới dược truy xuất tới phần mềm và thông tin hệ thống Những hệ thống tứng dụng nên: a) Quản lý người đủng truy xuất tới thông tin và những tính
năng của ứng dụng hệ thống, phủ hợp với chính sách quản lý truy cập dã dược xác định b) Hảo vệ khỏi những truy cập không được xác thực cho bất kỳ ứng,
dụng và phần mềm hệ điền hành mà có khả năng lạm dụng những điều khiển
hệ thống và ứng dựng c) Không dược làm tổn hại tới an ninh của những hệ thống khác bằng những thông tin tải nguyên được chia sẻ d) Chỉ người sở
iữu, những cá nhân được xác thực, những nhóm những người dùng được xác
định mới được quyên truy xuất tới thông tin
1.3.8.7 Giám sát việc truy cập và sử dụng hệ thông
TMục tiêu: ĐỀ phát hiện được những hành động không được xác thực hệ thống
phải được giảm sát để phát hiện sự sai lệch sơ với chính sách quản lỷ truy cập
và lưu lại những sự kiện có thể giám sát nhằm cung cẩp chứng cứ trong
trường hợp xảy ra những sự cổ an toàn thông tin Giám sát hệ thống cho phép kiểm tra tính hiệu quả của những điều khiển đã được chấp nhận và tính tương
thích với mô hình quản lý truy cập
Trang 301.3.9 Bảo dưỡng va nhát triển hệ thống
1.3.9.1 Những yêu cầu an toan của các hệ thống
Mục tiêu: Để đảm bảo rằng an toàn thông tin được tích hợp vào các hệ thống
thông tin,
Điều này sẽ bao gồm cơ sở ha tầng, các ứng dụng kinh doanh và các ứng
dụng được người sử dụng tự phái triển Việc thiết kế và thực thi của quá trình
xử lý trong kinh doanh hỗ trợ ứng dụng hoặc dịch vụ có thể lâ quyết định đối với an toán thông tin Các yêu cầu an toàn thông tin nên được xác định vả
chấp nhận trước khi phát triển các hệ thông thông tìm
"Tất cả các yêu cầu an toàn thông tin, bao gồm nhu cầu, nên được xác định ở
một giai đoạn xác định yêu cầu của một dự án và được điển chỉnh, chấp thuận
và lập tải liệu như là một phẫn của toàn bộ quả trình kinh doanh của hệ thống thông tin
1.3.9.2 An toàn trong các hệ thống ứng dụng
TMục tiêu: ĐỂ ngăn chặn việc thất thoát, sự thay dỗi hoặc sử dụng sai mục
đích đữ liệu trong hệ thống ứng dụng Các quản lý thích hợp và các vết kiểm
dịnh hoặc các nhật kỷ hoạt động nên được thiết kế trong các hệ thống ứng dụng, kể cả các ứng dụng do người dùng viết Nên bao pồm việc kiểm tra các
dữ liệu nhập, quả trình xử 1ý bên trong và dữ liệu xuất
1.3.9.3 Các quản lý mã hóa
Mục tiêu: để bảo về tính bí mật, tính xác thực hoặc tính nguyên ven của thông tin Các hệ thông và kỹ thuật mã hóa nên được sử dựng cho việc hân vệ
thông tin mang tinh rủi ro cao và cho những thông tin mà các quản lý khác
chưa cung cấp bảo vệ chưa thỏa đảng
1.3.9.4 An (oan cae file hệ thong
Mục tiêu: Lễ bảo đảm các dự án công nghệ thông tin và các hoạt động hỗ trợ được quản lý chặt chẽ Truy cập đến các file hệ thống nên được quản lý
Trang 31Việc duy trì tính toàn ven của hệ thống nên là trách nhiệm của nhỏm pháL triển hoặc chức năng người dùng sở hữu hệ thông ứng dụng đó
1.3.9.5 An toàn trong thủ tục phát triển và hỗ trợ
TMục tiêu: Để duy trì an toàn của phần mềm và thông lin hé thong img dung
Các dự án và môi trường hễ trợ nên được nên được quản lý một cách chặt
chẽ Các nhà quân lý chịu trách nhiệm đổi với các hệ thẳng ứng dụng oũng nên chịu trách nhiệm cho an toàn mỗi trường dự án và hỗ trợ Họ nén dim
bảo rằng mọi thay đối hệ thống được để xuất được xem xét lại dé kiểm tra
rằng chúng không làm tổn thương an toàn của hệ thống hoặc môi trường vận hành
1.3.1 Quản lý liên tục tác nghiện
Mục tiêu: Võ hiệu hóa quá trình làm gián đoạn các hoạt động kinh doanh và
bảo vệ quá trinh kinh doanh trọng yếu từ những ảnh hưởng của sự hư hại hoặc
tai hoa nghiêm trong
Quá trình quấn lý liên tục kinh doanh nên dược thực thi để lắm giám quá trình
thư hại gây ra bởi các tại họa hoặc sự hư hỏng về an toàn thông tin (có thể là kết quả của thiên trú, các sự cổ, hư hại thiết bị hoặc các hành động có ÿ phá hoại) với một mức dộ có thể chấn nhận qua sự kết nối các biện pháp ngăn nigừa và khôi phục
1.3.11 Sự tuần thủ
1.5.11.1 Tuân thủ các yêu cầu luật pháp
Mục tiêu: để tránh sự vi phạm các luật đần sự và hình sự, luật lệ, nội quy
hoặc nghĩa vụ vả bắn phận trong hợp dỗng hoặc bất cứ yêu cầu về an toàn thông tin Thiết kế, thao tác, sử dụng và quản lý hệ thống thông tin có lẽ là chủ dễ của lật pháp, nội quy và hợp dồng yêu cầu an toản thông tin Lời
khuyên trên các yêu câu hợp lệ nên được tìm kiểm từ các chuyên gia pháp
luật của tổ chức hoặc những người thi hành chất lượng luật lệ Các yêu cầu
Trang 32luật lệ thay đối tủy theo từng quốc gia và thông tin được Lạo ra từ quốc gia
nảy truyền đến quốc gia khác
1.3.11.2 Xem xét lại chính sách và tuân thủ công nghệ
Mục tiêu: lăm báo tuân thú hệ thông với chính sách an toàn thông tửn có
tổ chức và chuẩn An toàn cho hệ thống thông tin nên được xem xét lại
thường xuyên Những việc xem xét lại như thế thường được thực hiện dựa vào chính sách an toàn thông tin và công nghệ thích hợp, hệ thống thông tin
niên được kiểm tra cho việc tuân thủ thực hiện các chuẩn an toan Thông tin
1.3.11.3 Xem xét việc kiểm định hệ thống
Mục tiêu: Tối da hóa hiệu quả vả tôi thiểu việc can thiệp quá trình kiểm định
hệ thống Có các biện pháp để bảo vệ thao tác hệ thẳng và các công cụ kiểm định trong quả trình kiểm dịnh hệ thống Bảo về cũng được yêu cầu để bảo vệ
tính toần ven và ngăn ngừa việc dùng sai các công cụ kiểm định
Các hệ thông chuẩn xuất bản bởi ISO/TEC cung cấp tương đối đầy đủ các vấn
để thường gặp trong quá trình thực thi an toàn thông tin Bền ngoài các chuẩn
kỹ thuật còn có các quy tắc thực tiễn thực thi an toàn thông tin (TSO/TEC
17799) và chuẩn về thiết lập hệ thống quản lý an toàn thông tin (ISO/IEC
27001
Việc áp dụng các tiêu chuẩn là vô củng cần thiết qua đó việc áp dụng bảo mật
sẽ thống nhất chưng và sẽ có thể để đàng đánh giá và kiểm thứ Việc đánh giá
một hệ thống có đáp ứng đủ tiêu chuẩn dã để xuất hay không dược thực hiện bởi các tổ chức hoặc công ty xét chuẩn quốc tế
Trang 33
AN TOAN THONG TIN
TRONG DOANH NGHIEP
Béo mật trong doanh nghiệp có nhưng nét đặc thủ riêng liên quan đến nhiều khía cạnh khác nhau trong hoạt động Nội dung của chương này sẽ thảo luận
về các vẫn để liên quan đến an toàn thông tin trong doanh nghiệp nhu:
> Cac yêu cầu về bảo mật trong đoanh nghiệp (Lỗ chức)
> Dánh giá an toàn thông tin của doanh nghiệp
» Các vấn để về quản lý dữ liệu, mã hóa, quản lý mạng truy nhập, hệ thống
> Cac vẫn đề về giám sát, kiểm tra phân tích an toàn thông tin
2.1 YEU CAU BẢO MÁT TRONG DOANH NGHIEP
Với sự phát triển ngày cảng tầng trong việc khai thác và sử dụng thông tin
trong đoanh nghiệp, vấn đề về bảo mật va an toản cho những thông tm đó
chỉnh là điểm quan trọng cho sự thành công và phát triển của doanh nghiệp
'tuy nhiên ngay cảng nhiêu rủi ro đến với thông tin của doanh nghiệp, những
rủi ro đến từ bên ngoài như sự tấn công của hacker, sự lây lan của các virus,
khả năng kiểm soát sự trao đổi thông tin kém hay từ chính bên trong tổ chức doanh nghiệp như sự yêu kém trong công tác quản lý thông tin, khả năng hiểu biết về bảo mật hạn chế, phản ứng chậm đối với những tinh huéng nhay cảm Dưới đây lả một số ví dụ:
" Một hệ thông mạng không được bảo mật và để hồng trước những xâm
nhập của virus và các cuộc lắn công cả Lừ bền trong và bên ngoài Tủy thuộc vào các cách thức hoạt dông của virus, quy mô và hình thức tắn công mà hậu
quả có thé 1a mat thông tin dữ liệu, bị theo dõi, khả năng sản xuất giảm, thời
gian ngừng trẻ cao.
Trang 34"Cac doanh nghiệp bị mất các thông tin nhạy cảm, lộ mã nguẫn các sản
phim, thông tỉ các sản phẩm và chiến lược kinh doanh do không ý thức về
tảo mật trong nội bộ
"Thiếu cộng tác trong hoạt động bảo mật cũng dem lại những rủi ro
‘Théng tin luôn đem lại lợi nhuận chính vi thế việc tạo ra những thông tin giả
mạo luôn được tận dụng để lợi dựng các đoanh nghiệp Việc ông tác đem lại
cho các đoanh nghiệp các thông tin dầy đủ và sự đảm bảo lẫn nhau trong tinh
chính xác của thông tin đem lại
Vide thực thì bảo mật cho một doanh nghiệp thường dựa trên các bước cơ
bản sau - 1 Lập kế hoạch 2 Thực thì 3 Giám sát Ở dây việc lập kế hoạch là
bước khởi đầu để chuẩn bị các yếu tổ cần thiết cũng như các yêu cầu cơ bản
cho việc thực thi Quá trình thực thi được thực hiện theo yêu cầu trong nội dung bảo mật của các doanh nghiệp, việc thực thi có thể cơ bản gồm các
tước: đánh giá an toàn, xây đựng chính sách, thiết lập các phần mềm bảo mật cho toàn bộ hệ thắng thông tin, thiết lập các hệ thống mạng, phần cứng bảo
mật Việc giám sát được thực hiển liên tục trong quá trình doanh nghiệp đó hoat déng
2.2 NOI DUNG BAO MAT TRONG DOANII NGIIIEP
Déi véi bat kỳ một doanh nghiệp nảo, việc đảm bảo an toàn thông tin luôn dược ưu tiên hàng đầu Mỗi doanh nghiệp có các cách thức khác nhau dé dim
bảo an toàn thông tin tủy theo yêu cầu và mục dích kinh doanh của mình, bên
cạnh đó việc thực thi an toàn thông tin cũng phải đựa trên những quy chuẩn nhất định để quá trình thực hiện dược để đảng và theo một trật tự nhất định
cũng như có thể tân dụng được các kinh nghiệm bảo mật từ các tổ chức hay
doanh nghiệp khác Các vấn đề chính được quan tâm trong an toàn thông tin cho doanh nghiệp nói chung bao gdm các nội dung sau.
Trang 352.2.1 Đánh giá an toàn thông tin
Bue dau tiên trong quá trình thực hiện an toàn thông tin đó là dánh giá mức
độ an toàn của một tổ chức hay đoanh nghiệp Việc đánh giá này được thực
hiện trên hai quả trình riêng rễ đỏ lá đánh giá nội bộ (Lự dánh giá) và dánh giá
từ bên ngoài
2.2.1.1 Danh giá nội bộ
Việc đánh giá mức đô an toàn từ bên trong không những rả soát lại cáo lỗ
hỗng bên trong, xem xét quá trình thực hiện bảo mật hiện có mà còn đem lại cho người quản trị cái nhìn tống quan về hệ thống, qua đó thực hiện các chính sách tiếp theo
Việc đánh giá bao gồm hai phần, đánh giả bằng văn bản và đánh giá thông
qua các ứng dụng phần mềm Cả bai cách đánh giá này đều được khuyến nghị xây dựng trên cơ sở của các chuẩn bảo mật dién hình 14 ISO 27001 vả ISO
17799 Như đã trích dẫn theo chuẩn thực thí bảo mật ISO 17799 ở trên, kết
hợp với thực tiễn, sẽ có hai tiêu chí chính trong việc thực hiện đánh giá nội bộ
một tổ chức: 1) Dâm báo các hệ thống và các ứng dụng hoạt động một cách
hiệu quả và cung gấp sự sẵn sảng, toản ven cũng như độ lăn cậy tương ứng 2}
'Mức độ bảo về phải tương xứng với mức độ rủi ro cũng như tầm quan trong
trong việc mất mát, sử dụng sai mục đích, truy cập bất hợp pháp hoặc sự thay
dối
Việc sử dụng các tập câu hỏi trong việc dánh giá an toàn bên trong dược
chứng minh có nhưng ưu thế nhất định, ngoài việc đánh giá hệ thống, phương
pháp này còn có thể dánh giá sự thành thạo và hiểu biết của nhân viễn quản lý bảo mật về độ an tòan của hệ thống Đánh giá bằng các chương trỉnh phần
mềm thường đỡ tốn thời gian hơn tuy nhiên đòi hôi được thiết kế theo đặc thủ
của các tổ chức khác nhau.
Trang 361.2 Đánh giá từ bên ngoài
© đính giá từ bên trong không thể đưa lại một gái nhìn toản diện về mức
Dé danh giá dược các rúi ro qua đó có một nhận định chính xác về mức độ bảo mật trước hết cần xác định các tiêu chí cần đạt được ứng với đặc thủ của một doanh nghiệp Với mỗi doanh nghiệp khác nhau các tiêu chí cững khác
nhau dựa trên tập hợp các ứng dụng và loại hình đỡ liệu mà tổ chức hậu
doanh nghiệp đó sử dựng Ví đụ đỗi với các doanh nghiệp kinh đoanh trên mô
hình thường xnại điện tử, nơi các giao dịch chủ yếu được diễn ra trên internet,
ngoài việc đảm bảo các giao dịch thực hiện chính xác việc xác thực người dùng và phân quyền phải luôn đảm bảo rằng khách hàng cũng như chính
doanh nghiệp không bị thiệt hại bởi những giao dịch vả khách hàng giả mao
Hoặc đối với các doanh nghiệp phát triển nội dung, quản lý hệ thông dữ liệu
và đám bảo dữ liệu đó luôn an toàn là điều quan trọng nhất
Quá trình đánh giá nên được thực hiện bởi một tổ chức khác (thường là các
tổ chức đánh giá và cung cấp các giải pháp bảo mật) để đấm bảo sự khách
quan, bên cạnh đó sự giám sát của chính doanh nghiệp cũng là rất cần thiết Quá trình đánh giá có thể được thực hiện hởi chính doanh nghiệp trong diều
kiện về nhân lực và kỹ thuật đảm bảo cho quả trình đánh giá
Trong quá trình đánh giá nói chung việc phân tích rủi ro và quần lý rấi ro
là khá quan trọng Phân tích rủi ro chính lá quá trình xác định các tài sản
thông tin quan trọng của doanh nghiệp và chức năng sử dụng của nó Để có thể thưc hiện các phân tích rủi ro thành công cần phải nắm được quá trình và
Trang 37phương thức hoạt động của doanh nghiệp Các bước tiếp cận để đánh giá có thể là
" Xác định mục tiêu bảo vệ (phân loại tài nguyên)
"Xác định các đối lượng có thể gây hại cho an ninh thông tin của
doanh nghiệp
=- Xác định oác rủi ro tiềm tàng đối với các tải nguyễn thông tin
"Thực hiện giám sát quả trình một cách liên tục đỄ có thể cập nhật các thông tin bảo mật mới nhật
2.2.2 Phân loại và quản lý tài nguyễn
Lựa trên các dánh giá dược thực hiện ở phân trên, việc thực hiện phân loại tài
nguyên trở lên đỡ phức tạp hơn 'lài nguyên của doanh nghiệp được đánh giá
dựa trên các tiêu chỉ: tằm quan trọng của tải nguyên trong hoạt động kinh
doanh của doanh nghiệp, mức đề rủi ro có thế có đối với tài nguyên đó
Nói chung tài nguyên của một đoanh nghiệp có thể được chia thành các mục sau
4) Các thiết bị phần cứng,
Các thiết bị phần cứng thường là các thiết bị mạng, máy tính oa nhân, cáo
thiết bị giao tiếp và các thiết bị lưu trữ
Rai ro từ bên ngoài với loại tải nguyên này là khá it, thường các thiết bị nut cae server giao tiếp bổn ngoài, các thiết bị mạng kết nối ra mạng ngoại vi mới là mục tiêu của các cuộc tin công Tuy nhiên để làm hỏng một thiết bị phần cứng bằng các phần mềm tấn công từ bên ngoài là không hề đơn giản
Các rủi ro thường đến với loại tài nguyên này thường lả từ bên trong, bởi
chính các nhân viễn của doanh nghiệp
b) Các chương trình phần mềm
Chương trình phần mềm bao gồm các ứng dựng phần mềm mua bởi các doanh nghiệp bên ngoài và các ứng dụng phần mm của chính doanh nghiệp
Trang 38đĩ Đối với các phần mềm khơng do doanh nghiệp tạo ra, việc cập nhật cáo
bản vá lỗi và các lỗ hỗng là cần thiết Đổi với phần mềm do chính doanh
nghiệp tạo ra, van đề an tịan cần lưu tâm nhật đĩ là bảo vệ mã nguồn Bên
cạnh đĩ việc Lm các lỗ hổng và khơi nhục lỗi oững rất quan trạng Đổi với
các đoanh nghiệp cung cấp phần mêm ứng dụng ra ngồi mạng ngoại vi
(ntermoÙ, việc nâng cấp và bảo trì mã nguồn cũng như đảm hảo an lồn cho
mã nguồn lả những vấn dễ cần lưu tâm
e) Dữ liệu
Dữ liệu trong doanh nghiệp oé thé chia lam các dạng: Dữ liêu ưng dựng
(bao gồm các đữ liệu sử dụng trong các hệ thống phần mềm, các sẵn phẩm tứng đụng của cơng ty) Dữ liệu cá nhân: bao gồm các đữ liệu liên quan đến
nhân sự, chính sách, chiến lược kinh doanh cua cơng ty Việc dảm báo an tồn
cho dữ liệu quyết định sự bền vững của chính cơng ty đĩ
Đối tác cũng cĩ thể được coi là một dang tải nguyên của doanh nghiệp
Khơng cĩ một doanh nghiệp nào hoạt động một ốch độc lập Các quá trình
kinh doanh đều dựa trên sự tương tác giữa doanh nghiệp, người dùng và các
đối lác Ngồi việc chia sẻ lợi nhuận, nâng cao khả năng và phạm vị hoại
động của doanh nghiệp dối tác cỏn hỗ trợ doanh nghiệp trong các phạm vi
liên quan đến an tồn thơng tin Tuy nhiên cũng cần cĩ một số chính sách hợp
lý để đám bảo sự an tồn trong liên kết đối với các đối tác
Trang 392.2.3 Xây dựng chính sách
Xây dựng chính sách bảo mật là vô củng quan trọng, dây chính là tải liệu dịnh
hướng và thực thi bảo mật trơng tổ chức Chính sách bảo mật thường là một
tập các chỉnh sách liên quan ví dụ như: Chỉnh sách mã hỏa, Chính sách sử
dung tải nguyễn, các quy dinh về chống và diệt virus, chính sách cung cấp
các dịch vụ ứng dụng
Có thể nói chính sách bảo mật là một tập các quy dịnh nguyễn tắc trong, thực thi bảo mật cho mỗi doanh nghiệp Chỉnh sách bảo mật không nên bị hạn chế hoặc Tập trung quá vào một vải công nghệ nhất định cũng như mệt số
cách thực thi nao cả Thay vào đó, chính sách bảo mật cin dem lại cho người
sử dụng cũng như các nhẫn viên trong công ty nhận biết được mục dich bảo
xật của công ty dé
Quả trình xây dụng chính sách bảo mật cho một tỗ chức tất phức tạp và vô
củng quan trọng Chính sách bảo mật không chỉ dựa trên những đánh giá tổng
quát về báo mật của tổ chức đó má còn bao hàm toàn bộ những thành phần liên quan trơng hệ thống bảo mật bao gồm hệ thông phần mềm, nền tảng vật
lý, hệ thống dữ liệu, mô hình lưu trữ dữ liệu, các đối táo bến ngoài Thông,
thường chính sách bảo mật được xây dựng dựa trên sự phân loại tải nguyên
Tng với mỗi mức ưu tiên và sự quan trọng của đữ liệu khác nhau mà ta có thể dưa các vẫn dễ liên quan đến đạng tài nguyên dó hay không Ví dụ một công
ty lưu trữ dữ liệu hai chính sách quan trạng trước tiên mà họ cần lưu ý, đó là
chính sách mã hóa và chính sách quản lý người dùng Việc mã hóa đảm bảo
an tỏan vả toàn vựn đữ liệu trong nhiều tỉnh huống nhạy cảm trong khi chỉnh sách quản lý người dung đảm bảo đữ liệu không bị đanh cắp hoặc phận phối không đúng
Chính sách bảo mật cần dược xây dựng trên một kế hoạch dã được xác lập trong đó nêu ra các tài nghuyên mả doạnh nghiệp quan tâm Chính sách cần
Trang 40
phải được đọc và tham khảo bởi tắt cả các đổi tượng làm việc và lương Láo
với hệ thống Để có một chính sách tối ưu, người xây dựng chính sách cẦn
quan tâm các van dé đưới đây:
4) Các cách thức kiểm soát (lưu trữ, quản lý, cưng cấp, dự phòng ) gác thông
6) Các cách thức xây dựng và quản lý các kết nối cộng tác
Các vấn đề đi kèm trong quá trình xây dựng và thực thi chính sách bảo mật
có thể bao gồm: 1)Phân tích rủi ro 2) Quân lý rủi ro 3) Các quy định vi phạm
chính sách bảo mật 4) Sự xét lại chính sách bảo mật 5} Ihực thi chính sách
bao mat 6)Quan lý các ứng dụng bão mật 7) Các phương thức cải tiến, đào
tạo
Phân tích rủi ro và quản lý rủi ro được nêu nên tại phần đánh giá an toàn
thông tin đã được nêu trong mục 1 và được mô tả chỉ tiết tại phần phân loại
tải nguyên
Các quy định về việc vi phạm chỉnh sách bảo mật giúp các nhân viên hiểu
rõ về tâm quan trong của chính sách bảo mật, hiểu được hậu quả cla vide vi
phạm các chỉnh sách này có thể dem đến những rủi ro không lường trước
được
Quả trình xét lại chính sách báo mật chỉnh là các thủ tục qua dỏ các chính
sách này luôn được cập nhật và đâm bảo phủ hợp với hề thẳng cũng như đủ
