Tiểu luận môn Bảo mật thông tin Security in Development and support process

 Control A.12.5.1 đòi hỏi tổ chức phải tổ chức chặt chẽ để kiểm soát những thay đổi bằng cách sử dụng ‘những thủ tục kiểm soát thay đổi’ chính thức để giảm thiểu khả năng hư hỏng của hệ

Security in Development

and support process

Phan Tấn Long Nguyễn Đăng Khương Nguyễn Tiến Dũng

Du Chí Nhuệ

 Duy trì an ninh thông tin và hệ thống phần mềm.

 Các dự án và môi trường hỗ trợ phải được theo dõi chặt chẽ.

Security in Development and support

process

 Control A.12.5.1 đòi hỏi tổ chức phải tổ chức chặt chẽ để kiểm soát những thay đổi bằng cách

sử dụng ‘những thủ tục kiểm soát thay đổi’ chính thức để giảm thiểu khả năng hư hỏng của

hệ thống

 Tất cả những thay đổi trên hệ thống, ngay cả những người đã được cấp quyền có thể làm mất tính sẵn sàng, toàn vẹn, bảo mật của hệ thống

Control A.12.5.1 Thay đổi thủ tục kiểm

soát (control procedures)

 Duy trì hồ sơ về các mức cấp phép đã được chấp thuận.

 Các đề xuất thay đổi hệ thống nên được thông qua bởi những người đã được cấp quyền và phải lưu vết quá trình này

 Các kiểm soát và các thủ tục đã tồn tại nên thường xuyên xem xét để đảm bảo chúng không tác động đến những thay đổi được đề xuất

Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures): Hướng dẫn triển khai

 Xác định tất cả phần mềm, phần cứng, tài sản thông tin và CSDL có yêu cầu sửa đổi.

 Thay đổi mã của ứng dụng nhạy cảm nên được kiểm tra bởi người thứ hai

 Việc triển khai các thay đổi nên được thực hiện vào thời điểm giảm thiểu quá trình kinh doanh

Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures): Hướng dẫn triển khai

 Các tài liệu hệ thống và thủ tục nên được cập nhật ngay sau khi việc triển khai hoàn thành.

 Duy trì việc quản lý phiên bản của phần mềm.

 Cần dự trù và quay trở lại phiên bản trước đó khi việc triển khai thất bại.

 Phải có văn bản đồng ý trước khi triển khai Việc này được thực hiện bởi các cố vấn an ninh, đảm bảo các vấn đề an ninh đã được đánh giá rủi ro và cách giải quyết Những thay đổi hoặc phần mềm sẽ chạy tốt trên hệ thống với các phần mềm khác trên mạng.

Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures): Hướng dẫn triển khai

Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều hành

Quy định khi hệ thống điều hành thay đổi, các ứng dụng nghiệp vụ quan trọng cần được soát xét và kiểm tra lại nhằm đảm bảo không xảy

ra các ảnh hưởng bất lợi tới hoạt động cũng như an toàn của tổ chức

 Soát xét biện pháp quản lý ứng dụng và toàn bộ các thủ tục nhằm đảm bảo rằng chúng không bị ảnh hưởng bởi các thay đổi của hệ thống điều hành

 Đảm bảo rằng kế hoạch hỗ trợ và ngân sách hàng năm sẽ dành cho cả hoạt động soát xét và kiểm tra hệ thống sau các thay đổi của hệ thống điều hành

 Đảm bảo rằng thông báo về các thay đổi hệ thống điều hành được đưa ra đúng thời điểm để cho phép thực hiện các kiểm tra và soát xét phù hợp trước khi triển khai

Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều

hành: Hướng dẫn triển khai

 Đảm bảo rằng những thay đổi phù hợp được triển khai cho các kế hoạch về sự liên tục của hoạt động nghiệp vụ :

(Control 14 ISO/IEC 27002 : 2005)

Chống lại các gián đoạn trong hoạt động nghiệp vụ

và bảo vệ các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm họa và đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.

Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều

hành: Hướng dẫn triển khai

 Sự liên tục của hoạt động nghiệp vụ (tt):

khai nhằm hạn chế tối đa ảnh hưởng lên tổ chức và khôi phục lại sau khi mất mát các tài sản thông tin (ví dụ, tài sản có thể bị mất do các thảm họa tự nhiên, các tai nạn, lỗi thiết bị, và các hoạt động cố ý) đến một mức độ có thể chấp nhận bằng cách phối hợp các biện pháp quản

lý ngăn ngừa và khôi phục.

triển và triển khai nhằm đảm bảo sự tiếp tục của các hoạt động cần thiết đúng lúc

pháp quản lý nhằm xác định và giảm thiểu rủi ro, bên cạnh quá trình đánh giá rủi ro chung, sẽ làm hạn chế hậu quả do những sự cố phá hoại, và đảm bảo rằng thông tin được yêu cầu cho các quá trình nghiệp

 Giám sát các điểm yếu và các phiên bản của các bản vá và phần mềm của nhà cung cấp

(Control 12.6 ISO/IEC 27002 : 2005 )

khai thác các điểm yếu kỹ thuật đã được công bố.

hợp để giải quyết các rủi ro liên quan.

Control A.12.5.3 Hạn chế thay đổi các gói

phần mềm (software packages)

  Gói phần mềm (Software Package):

nguồn)

phiên bản (version), danh sách các gói cần có (dependencies), file cấu hình, file hướng dẫn (man), thông tin bản quyền, số kiểm tra checksum, …

v.v…) và phân phối ( software packaging and distribution archive

format) ; để có thể tìm kiếm, cài đặt, gỡ bỏ, cập nhật được

bằng một hệ thống quản lý gói phần mềm.

thư viện (library) để xử lý dạng âm thanh mp3, một bộ font, v.v… Các ứng dụng nhỏ có thể được đóng thành một gói, nhưng các ứng dụng lớn như OpenOffice gồm rất nhiều gói.

 Control A.12.5.3 quy định:

khuyến khích.

cần thiết.

Control A.12.5.3 Hạn chế thay đổi các gói

phần mềm (software packages)

 Nếu một gói phần mềm cần được sửa đổi thì phải quan tâm:

o Rủi ro của các biện pháp quản lý được cài đặt sẵn và toàn bộ các quy trình đang bị ảnh hưởng

cấp dưới dạng các cập nhật chương trình chuẩn

phần mềm trong tương lai do xảy ra các thay đổi.

Control A.12.5.3 Hạn chế thay đổi các gói phần mềm (software packages): Hướng dẫn triển khai

 Nếu những thay đổi là cần thiết thì phần mềm gốc cần được lưu lại và những thay đổi phải được thực hiện trên một bản sao đã được xác định rõ.

 Tất cả các thay đổi cần được kiểm tra đầy

đủ và được lập thành tài liệu để chúng có thể được áp dụng lại nếu cần thiết cho các nâng cấp phần mềm trong tương lai

Control A.12.5.3 Hạn chế thay đổi các gói phần mềm (software packages): Hướng dẫn triển khai

 Một quy trình quản lý cập nhật phần mềm cần được thực hiện nhằm đảm bảo rằng hầu hết các bản vá và cập nhật gần nhất thì được chấp thuận và các cập nhật ứng dụng đã được cài đặt đối với tất cả phần mềm thìđược cấp phép

(Control 12.6 ISO/IEC 27002 : 2005 )

Control A.12.5.3 Hạn chế thay đổi các gói phần mềm (software packages): Hướng dẫn triển khai

 Kiểm soát: các cơ hội dẫn đến việc rò rỉ (lộ) thông tin nên được ngăn chặn.

Control 12.5.4 Rò rỉ thông tin

(information leakage)

 Rà quét các môi trường bên ngoài và sự truyền thông với mục đích che giấu thông tin.

 Ngụy trang, điều chỉnh biến đổi hệ thống và phương thức truyền thông nhằm làm giảm khả năng mà bên thứ ba có thể luận ra thông tin từ phương thức truyền thông đó

 Tận dụng các hệ thống và phần mềm được đánh giá là có tính toàn vẹn cao, ví dụ như: sử dụng các sản phẩm đã được kiểm chứng (xem thêm ISO/IEC 15408)

Control 12.5.4 Rò rỉ thông tin (information

leakage): Hướng dẫn triển khai

 Giám sát đều đặn các hoạt động của hệ

thống và cá nhân dưới sự cho phép theo

luật pháp hay nội quy hiện hành

 Giám sát tài nguyên sử dụng trong các hệ

thống máy tính

Control 12.5.4 Rò rỉ thông tin (information

leakage): Hướng dẫn triển khai

 Kênh ẩn: tồn tại trong hệ thống

Control 12.5.4 Rò rỉ thông tin (information leakage):

một số khuyến nghị kỹ thuật

ACCESS CONTROLS Requirements Technology

Antivirus software Antivirus solutions will be in

place, kept up to date, and configured as a managed solution on all servers throughout the zone and wherever else possible and appropriate

 Host based antivirus solutions

 Network based antivirus solutions

 Patch management system

 End point security solution

 SSL VPN that will verify PC’s are current with the latest patches and Antivirus DAT file

 VMware

Integrity Checkers Data, file and Hypervisor

integrity checkers will be employed on applications / systems within the zone

 Tripwire

 Host based DLP solution

Control 12.5.4 Rò rỉ thông tin (information leakage):

một số khuyến nghị kỹ thuật

AUDIT and MONITORING CONTROLS

Requirements Technology

Intrusion Detection 1 Network traffic within the zone will be monitored to

detect intrusions related activity

2 Activity on systems will be monitored for intrusion related activity

monitored/filtered for instrusion related activity

2 Activity in Applications /systems will be monitored/filtered for instrusion related activity

Control 12.5.4 Rò rỉ thông tin (information leakage):

một số khuyến nghị kỹ thuật

DATA PROTECTION CONTROLS Requirements Technology

1 Applications / systems within the zone will utilize secure data deletion for any data that must be deleted

2 Sensitive data (including passwords)

on applications / systems or on media will be encrypted or masked

3 Data Loss Prevention (DLP) will be employed at the perimeter of the zone

 Việc phát triển các phần mềm thuê gia công cần được quản lý và giám sát bởi tổ chức

 Trường hợp quá trình phát triển phần mềm

được thuê gia công thì cần quan tâm tới các điểm sau đây:

Control 12.5.5 Thuê gia công phần mềm

(Outsourced software)

 Các vấn đề liên quan đến bản quyền, quyền sở hữu mã, và quyền sở hữu trí tuệ

việc cần thuê gia công.

ba

của công việc đã thực hiện.

của mã.

mã Trojan.

Control A.12.5.5 Thuê gia công phần

mềm(Outsourced software):

Hướng triển khai

Question & Answers