Triển khai các chính sách và tiêu chuẩn an toàn thông tin trong thực tiễn

Triển khai các chính sách và tiêu chuẩn an toàn thông tin trong thực tiễn • Triển khai an ninh,an toàn hệ thống thông tin là thiết lập hệ thống quản lý an ninh thông tin ISMS nhằm đảm bả

Triển khai các chính sách và tiêu chuẩn

an toàn thông tin trong thực tiễn

• Triển khai an ninh,an toàn hệ thống thông tin là thiết lập hệ thống quản lý an ninh thông tin (ISMS) nhằm đảm bảo 3 thuộc tính của nó: Tính tin cậy (Confidentiality), tính toàn vẹn (Integrity)

và tính sẵn sàng (Availability) Làm thế nào để thiết lập một hệ thống ISMS nhất quán, hiệu quả

và thật sự chuyên nghiệp?

ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

• - ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an toàn thông tin

• - ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

• - ISO 27003:2007 đưa ra các hướng dẫn áp dụng

• - ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng

hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

• - ISO 27005:2007 tiêu chuẩn về quản lý rủi ro an toàn thông tin

• - ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ của công nghệ thông tin và viễn thông

Bộ tiêu chuẩn ISO 27000

Nội dung chính

I, ISO 27001:2005 là gì?

II, Lịch sử phát triển ISO 27001:2005

III, Cách tiếp cận cơ bản ISO 27001:2005

IV, Bất cập hệ thống an toàn thông tin hiện nay

V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức.

I, ISO 27001:2005 là gì?

II, Lịch sử phát triển ISO 27001:2005

ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh quốc (British Standards Institution

BSI) BS7799 bắt đầu phát triển từ những năm 1990 nhằm

đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công nghiệp về việc thiết lập cấu trúc an ninh thông tin chung Năm

1995, chuẩn the BS7799 đã được chính thức công nhận.

• Tháng 5/1999 phiên bản chính thứ 2 của chuẩn BS7799 được phát hành với nhiều cải tiến chặt chẽ Trong thời gian này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm đến chuẩn này Tháng 12/ 2000, ISO đã tiếp quản phần đầu của BS7799, đổi thành ISO

17799 Như vậy chuẩn an ninh thông tin này gồm: ISO 17799 (mô

tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin Trong tháng 9/2002, soát xét phần 2 của chuẩn BS7799 được thực hiện

để tạo sự nhất quán với các chuẩn quản lý khác như ISO 9001:2000; ISO 14001:1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD).

• 15/10/ 2005 ISO phát triển ISO 17799 và BS7799 thành ISO 27001:2005, chú trọng vào công tác đánh giá và chứng nhận ISO

27001 thay thế một cách trực tiếp cho BS7799-2:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS.

Trong bộ tiêu chuẩn ISO 27001, khái niệm bảo đảm an ninh thông tin được hiểu là :

- Duy trì tính bí mật

- Duy trì tính toàn vẹn

- Duy trì tính sẵn sàng của thông tin

Ba thuộc tính này luôn luôn là các tiêu chuẩn để kiểm chứng mức độ bảo đảm an ninh của thông tin và hệ thống thông tin.

III, Cách tiếp cận cơ bản ISO 27001:2005

• Thông tin này còn gắn liền với ba yếu tố là:

– Con người

– Quy trình nghiệp vụ

– Hạ tầng kỹ thuật

Giải pháp cho an ninh thông tin chính là các biện

pháp tác động tới yếu tố con người, quy trình nghiệp

vụ và hạ tầng kỹ thuật để thông tin đảm bảo được 3 thuộc tính: bảo mật, toàn vẹn và sẵn sàng.

Cách tiếp cận cơ bản ISO 27001:2005

Bất cập hệ thống an toàn thông tin hiện nay

• Trước đây, an toàn thông tin chủ yếu được tập trung vào yếu

tố hạ tầng kỹ thuật Các giải pháp trong giai đoạn này thường

là triển khai Firewall tại các mạng LAN để bảo vệ các máy chủ,

hệ thống phòng chống virus Các kết nối Internet chỉ được bảo

vệ bằng Firewall, Antivirus, IPS, IDS… Chính vì chỉ tập trung vào các giải pháp kỹ thuật nên các tổ chức đã bỏ qua yếu tố con người và quy trình nghiệp vụ, chưa có các chính sách toàn diện về an ninh thông tin, và cơ cấu tổ chức chuyên trách về

an ninh thông tin nên dù được đầu tư tương đối lớn nhưng các hệ thống thông tin vẫn tồn tại nhiều điểm yếu gây mất an ninh thông tin Theo đánh giá của các chuyên gia, trong những yếu tố tác động đến an ninh thông tin thì chỉ có 20% do công nghê, còn 80% do quản lý, bao gồm yếu tố con người và quy trình nghiệp vụ

 Hệ thống quản lý an ninh thông tin (ISMS) là trái tim của ISO 27001:2005 và là điều kiện tiên quyết cho việc thi hành và lấy chứng chỉ toàn diện

 Một hệ thống ISMS phải quản lý tất cả các mặt của an ninh thông tin bao gồm con người, các qui trình và các

hệ thống công nghệ thông tin

 Điều cốt lõi để có hệ thống ISMS thành công là dựa trên đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro Hệ thống an ninh thông tin bao gồm tất cảc các kiểm soát

mà tổ chức đặt trong vị trí thích hợp để đảm bảo an ninh thông tin, xuyên suốt 10 lĩnh vực sau:

V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

1 Tính chất an ninh (Security Policy)

Cung cấp các chỉ dẫn quản lý và hỗ trợ an ninh thông

tin

2 Tổ chức an ninh (Security Organization)

3 Phân loại và kiểm soát tài sản (Asset Classification

and Control)

4 An ninh nhân sự (Personnel Security)

5 An ninh môi trường và vật lý (Physical and

Enviromental Security)

6 Quản lý tác nghiệp và truyền thông (Communications

and Operations Management)

7 Kiểm soát truy cập (Access Control)

8 Duy trì và phát triển các hệ thống (Systems

Development and Maintenance)

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

9 Quản lý sự liên tục trong kinh doanh (Business

Continuity Management)

10 Tuân thủ (Compliance):

Tránh sự vi phạm của mọi luật công dân và hình sự, tuân thủ pháp luật, qui định hoặc nghĩa vụ của hợp đồng và mọi yêu cầu về an ninh Đảm bảo sự tuân

thủ của các hệ thống với các chính sách an ninh và

các chuẩn Tăng tối đa hiệu quả và giảm thiểu trở

ngại đến quá trình đánh giá hệ thống.

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

1 Đối tượng áp dụng

Tiêu chuẩn ISO 27001 có thể được áp dụng rộng rãi

cho nhiều loại hình tổ chức ( các tổ chức thương mại,

cơ quan nhà nước, các tổ chức phi lợi nhuận… ) Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ

sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại

sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

2 Lợi ích

a, Cấp độ tổ chức

Sự cam kết: Chứng chỉ như là một cam kết hiệu quả của nỗ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị

b, Cấp độ pháp luật

Tuân thủ: Chứng minh cho nhà chức trách rằng tổ chức

đã tuân theo tất cả các luật và các qui định áp dụng ngoài ra nó cũng giúp cho tổ chức "hoàn vốn đầu tư" nhanh nhất

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

c Cấp độ điều hành

Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các

hệ thống thông tin, điểm yếu của chúng và làm thế nào

để bảo vệ chúng Tương tự, nó đảm bảo khả năng sẵn sàng ở cả phần cứng và phần mềm

d Cấp độ thương mại

Sự tín nhiệm và tin cậy: Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

e Cấp độ tài chính

Tiết kiệm chi phí khắc phục các lỗ hổng an ninh và có khả năng giảm chi phí bảo hiểm

f Cấp độ con người

Nâng cao nhận thức và trách nhiệm của nhân viên về

an ninh thông tin.

Lợi ích

Áp dụng mô hình PDCA để triển khai hệ thống ISMS

Triển khai và điều hành hệ thống ISMS

Giám sát và đánh giá hệ thống ISMS

Duy trì và nâng cấp hệ thống ISMS

Kết quả quản lý an toàn thông tin

Mô hình PDCA

• Áp dụng mô hình PDCA để triển khai hệ thống ISMS

Bước 1: Plan (Thiết lập ISMS):

Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức.

Bước 2: Do (Thi hành và điều hành ISMS):

Cài đặt,thi hành và vận hành các chính sách an ninh, biện pháp quản lý, các dấu hiệu kiểm soát, quy trình và thủ tục của hệ thống ISMS.

Bước 3: Check (Kiểm soát và xem xét ISMS):

Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính sách an ninh, mục tiêu, kinh nghiệm thực tế và báo cáo kết quả cho lãnh đạo xem xét.

Bước 4: Act (duy trì và cải tiến ISMS):

Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các kết quả của việc kiểm toán nội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS.

>>Giai đoạn 1: Thiết lập hệ thống ISMS:

o Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như sau :

a) Định nghĩa phạm vi và các giới hạn của hệ thống ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu … trong tiêu chuẩn khỏi phạm vi áp dụng

Triển khai chuẩn ISO 27001:2005 cho tổ chức

b) Vạch rõ chính sách triển khai hệ thống ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ mà trong đó:

– Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định

hướng và nguyên tắc cho việc đảm bảo an toàn thông tin.

– Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật.

– Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng.

– Thực hiện sự thiết lập và duy trì hệ thống ISMS như một

phần trong chiến lược quản lý rủi ro của tổ chức.

– Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra

– Được ban quản lý phê duyệt.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

c) Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức:

 Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định

 Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được

=> Hệ phương pháp đánh giá rủi ro được lựa chọn

sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể

so sánh và tái tạo được

Triển khai chuẩn ISO 27001:2005 cho

tổ chức

d) Xác định các rủi ro:

– Xác định các tài sản trong phạm vi hệ thống ISMS và

đối tượng quản lý các tài sản này.

– Xác định các mối đe doạ có thể xảy ra đối với tài sản – Xác định các yếu điểm có thể bị khai thác bởi các mối

đe doạ trên.

– Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng

e) Phân tích và đánh giá các rủi ro:

– Đánh giá các ảnh hưởng hoạt động của tổ chức do sự

cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

– Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện.

– Ước lượng các mức độ của rủi ro.

– Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục.

f) Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro.

 Các hoạt động có thể thực hiện :

– Áp dụng các biện pháp quản lý thích hợp.

– Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức – Tránh các rủi ro.

– Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v

Triển khai chuẩn ISO 27001:2005 cho tổ chức

g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro:

• Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn

và thực hiện để đáp ứng các yêu cầu được xác định bởi quá

trình xử lý rủi ro và đánh giá rủi ro Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ

• Các mục tiêu quản lý và biện pháp quản lý trong có thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác định và tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp quản lý cần thiết khác

Triển khai chuẩn ISO 27001:2005 cho tổ chức

h) Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.i) Được ban quản lý cho phép cài đặt và vận hành hệ thống

ISMS

j) Chuẩn bị thông báo áp dụng:

 Thông báo áp dụng hệ thống ISMS bao gồm :

– Các mục tiêu quản lý và biện pháp quản lý đã được lựa

chọn và các cơ sở tiến hành lựa chọn

– Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện

– Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này

Triển khai chuẩn ISO 27001:2005 cho tổ chức

o Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi thực hiện như sau:

a) Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt

động quản lý thích hợp, tài nguyên, trách nhiệm và mức

độ ưu tiên để quản lý các rủi ro an toàn thông tin

b) Triển khai kế hoạch xử lý, khắc phục rủi ro nhằm đạt

được mục tiêu quản lý đã xác định trong đó bao gồm cả

sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm

c) Triển khai các biện pháp quản lý được lựa chọn để thỏa

mãn các mục tiêu quản lý

>> Triển khai và điều hành hệ thống ISMS:

d Định nghĩa cách tính toán mức độ hiệu quả của các biện

pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được

e Triển khai các chương trình đào tạo nâng cao nhận thức

f Quản lý hoạt động hệ thống ISMS

g Quản lý các tài nguyên dành cho hệ thống ISMS

h Triển khai các thủ tục và các biện pháp quản lý khác có

khả năng phát hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin

>> Triển khai và điều hành hệ thống ISMS:

 Giám sát và soát xét hệ thống ISMS:

o Tổ chức thực hiện các biện pháp sau đây:

a) Tiến hành giám sát, soát xét lại các thủ tục và biện pháp quản

lý an toàn thông tin khác nhằm:

– Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.

– Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin.

– Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không.

– Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết.

– Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin.