Tuy nhiên, để có thể cài đặt các chính sách an toàn công nghệ thông tin vàcác khung chính sách an toàn cho một cơ quan hay một tổ chức ở cả khu vựccông hay khu vực tư nhân được xem là nh
Trang 1BAN CƠ YẾU CHÍNH PHU
HỌC VIỆN KĨ THUẬT MẬT MA
Ths.Trần Thị Xuyên, Ks.Nguyễn Thị Thu Thủy
GIÁO TRÌNH
QUẢN LÍ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN
THÔNG TIN
HÀ NỘI, 2013
Trang 2MỤC LỤC
MỤC LỤC ii
DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT iv
DANH MỤC CÁC BẢNG v
DANH MỤC CÁC HÌNH VE vi
LỜI MỞ ĐẦU vii
Chương 1 TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 1
1.1 CHÍNH SÁCH AN TOÀN THÔNG TIN 1
1.2 QUẢN LÍ CHÍNH SÁCH AN TOÀN THÔNG TIN 2
1.2.1 Khái niệm an toàn hệ thống thông tin 2
1.2.2 Quản trị và tầm quan trọng của quản trị an toàn thông tin 7
1.2.3 Các chính sách an toàn thông tin và tầm quan trọng của chúng 9
1.2.4 Khi nào cần sử dụng các chính sách an toàn thông tin 15
1.3 ĐIỀU PHỐI CHÍNH SÁCH AN TOÀN THÔNG TIN 18
1.3.1 Tầm quan trọng của các điều phối của công ty 19
1.3.2 Duy trì sự tuân thủ 21
1.3.3 Giảm nhẹ rủi ro bị lộ 29
1.3.4 Tối thiểu hóa trách nhiệm của tổ chức 38
1.3.5 Thực thi các chính sách để điều phối tính thống nhất vận hành 40
1.4 SỰ TUÂN THU LUẬT PHÁP 44
1.4.1 Đối tượng bảo vệ của luật pháp 52
1.4.2 Kết hợp các chính sách và kiểm soát an toàn hợp lệ 54
1.4.3 Một số chuẩn công nghiệp quan trọng 55
Chương 2 PHÂN LOẠI CHÍNH SÁCH AN TOÀN THÔNG TIN 62
2.1 CÁC HƯỚNG TIẾP CẬN KHUNG CHÍNH SÁCH AN TOÀN THÔNG TIN 62
2.1.1 Các hướng tiếp cận khung chính sách an toàn CNTT 63
2.1.2 Cách tiếp cận sự tuân thủ và quản lí rủi ro 70
2.1.3 Tiếp cận vật lí về trách nhiệm CNTT 72
2.1.4 Vai trò, trách nhiệm của cá nhân 72
2.1.5 Phân tách nhiệm vụ 74
2.1.6 Quản trị và tuân thủ 78
2.2 CHÍNH SÁCH NGƯỜI DÙNG 79
2.2.1 Phân loại người dùng 79
Trang 32.2.2 Chính sách chấp nhận người dùng (Acceptable Use Policy – AUP) 90
2.2.3 Phân mức quyền truy nhập (Privileged-level access agreement – PAA) 92
2.2.4 Chính sách nhận thức an toàn (Security Awareness Policy- SAP) 93
2.3 CHÍNH SÁCH AN TOÀN CƠ SỞ HẠ TẦNG CÔNG NGHỆ THÔNG TIN 95
2.3.1 Đặc điểm cấu tạo của chính sách cơ sở hạ tầng 95
2.3.2 Các chính sách miền máy trạm (Workstation Domain Policies) 99
2.3.3 Các chính sách miền mạng LAN 105
2.3.4 Các chính sách miền mạng LAN – to – WAN 109
2.3.5 Các chính sách miền mạng WAN 111
2.3.6 Các chính sách miền truy cập từ xa 113
2.3.7 Các chính sách miền hệ thống/ứng dụng 115
2.3.8 Các chính sách viễn thông 117
2.4 CHÍNH SÁCH PHÂN LOẠI VÀ QUẢN LÍ DỮ LIỆU, VÀ CHÍNH SÁCH QUẢN LÍ RUI RO 120
2.4.1 Chính sách phân loại dữ liệu 120
2.4.2 Chính sách quản lí dữ liệu 125
2.4.3 Các loại rủi ro liên quan đến hệ thống thông tin 127
2.4.4 Chính sách phân tích tác động các hoạt động trong tổ chức 128
2.4.5 Chính sách đánh giá rủi ro 129
2.4.6 Chính sách lên kế hoạch duy trì liên tục các hoạt động 130
2.4.7 Chính sách khắc phục thảm người dùnga 131
2.5 CHÍNH SÁCH XỬ LÍ SỰ CỐ 132
Chương 3 THIẾT KẾ, TỔ CHỨC, TRIỂN KHAI VÀ BẢO TRÌ CHÍNH SÁCH AN TOÀN THÔNG TIN 136
3.1 THIẾT KẾ CÁC CHUẨN VÀ CÁC CHÍNH SÁCH 136
3.1.1 Các nguyên tắc xây dựng các chuẩn và chính sách 137
3.1.2 Các loại kiểm soát cho các chuẩn và chính sách 141
3.2 XEM XÉT TỔ CHỨC TÀI LIỆU 143
3.3 TRIỂN KHAI CHÍNH SÁCH AN TOÀN THÔNG TIN 150
3.3.1 Các vấn đề triển khai chính sách an toàn thông tin 151
3.3.2 Thực thi chính sách nâng cao nhận thức về an toàn 160
3.3.3 Phổ biến thông tin – cách thức đào tạo nhân viên 169
3.3.4 Khắc phục trở ngại về kĩ thuật 175
3.4 THỰC THI CHÍNH SÁCH AN TOÀN THÔNG TIN 178
3.5 CẬP NHẬT VÀ SỬA ĐỔI CÁC CHÍNH SÁCH VÀ CÁC CHUẨN 188
Trang 4DANH MỤC CÁC BẢNGBảng 1.1 Ví dụ về chính sách an toàn và các thành phần điều khiển 24Bảng 1.2 Những lợi ích của phép đo sự điều khiển 24Bảng 1.3 Những khái niệm trong tuân thủ luật pháp liên quan tới CSATTT 47Bảng 2.1 Mẫu các khung chính sách an toàn CNTT 70Bảng 2.2 Nhu cầu truy nhập của các kiểu người dùng 81Bảng 2.3 Một số kiểu khác về các chuẩn điều khiển miền máy trạm 103Bảng 2.4 Sự phân loại dữ liệu và các điều khiển an toàn 125Bảng 3.1 Yêu cầu nhận thức chính sách an toàn đơn giản 164Bảng 3.2 Mô tả một kế hoạch truyền thông đơn giản 172
Trang 5DANH MỤC CÁC HÌNH VE
Hình 1.1 Vòng đời quản lí ISS đã được đơn giản hóa 12
Hình 1.2 Các tài liệu bên trong với bên ngoài 17
Hình 1.3 Cải tiến kĩ thuật xử lí cơ bản của công ty 25
Hình 1.4 Ba kiểu thiết kế điều khiển an toàn duy nhất 34
Hình 1.5 Mối quan hệ then chốt của các chính sách an toàn 37
Hình 1.6 Các thành phần chính trong việc bảo vệ các tài sản số 43
Hình 2.1 Khung thư viện chuẩn và chính sách 70
Hình 2.2 Mô hình phạm vi khung chính sách an toàn CNTT được đơn giản hóa 72
Hình 2.3 Bẩy miền của cơ sở hạ tầng CNTT điển hình 104
Hình 3.1 Phân loại thư viện chính sách và các chuẩn 153
Hình 3.2 Biểu diễn chi tiết các phần trong chính sách 154
Hình 3.3 Chuẩn cơ sở và thủ tục trong chính sách và cây thư viện chuẩn .155
Hình 3.4 Văn bản hướng dẫn gắn với chuẩn kiểm soát 155 Hình 3.5 Tầng mở rộng của yêu cầu kiểm soát cho công nghệ lạc hậu 185
Trang 6LỜI MỞ ĐẦU
Việc đảm bảo an toàn hệ thống thông tin ngày càng được đặc biệt chútrọng hơn trong một xã hội sử dụng công nghệ thông tin và các ứng dụng antoàn thông tin ở hầu hết các lĩnh vực Chúng ta không chỉ đơn giản là bảo vệthông tin trước những nguy cơ làm mất tính an toàn của nó mà chúng ta còn cầnbảo vệ cả hệ thống lưu trữ và xử lí thông tin đó Dù thông tin có được lưu trữ ởđâu, dưới dạng nào đi nữa thì nó cũng phải được bảo vệ khỏi sự thay đổi, làm
lộ, phá hủy hay truy nhập bất hợp pháp Chính vì thế chúng ta cần có các chínhsách an toàn thực sự tốt để đảm bảo thông tin được bảo vệ một cách tốt nhất
Tuy nhiên, để có thể cài đặt các chính sách an toàn công nghệ thông tin vàcác khung chính sách an toàn cho một cơ quan hay một tổ chức ở cả khu vựccông hay khu vực tư nhân được xem là nhiệm vụ rất khó khăn và phức tạp.Chúng ta phải xem xét, nghiên cứu, phân tích một loạt các vấn đề khác nhaunhư quan niệm về an toàn, cách quản trị, quy mô của tổ chức, văn hóa của tổchức, các yêu cầu, các quy định và luật pháp, … Môn người dùngc này sẽ giúpchúng ta hiểu thêm về các khái niệm và các vấn đề chính liên quan tới sự quản
lí, thiết kế và thực thi chính sách an toàn thông tin Chúng ta cũng sẽ hiểu mộtcách đầy đủ hơn về các chính sách an toàn thông tin và các khung chính sách antoàn, các khái niệm khác nhau về an toàn thông tin, các thuật ngữ đơn giản nhưquản trị, sự ủy quyền của người quản lí, điều phối chính sách an toàn, nhữngxem xét về luật pháp và nhiều thuật ngữ khác
Chương 1 tập trung vào việc giới thiệu các khái niệm cơ bản liên quanđến chính sách an toàn thông tin, quản lí chính sách an toàn thông tin, sự điềuphối an toàn cũng như xem xét các vấn đề về sự tuân thủ pháp luật
Chương 2 hướng tới nhu cầu cần có một khung chính sách an toàn CNTTbao gồm các chính sách được viết thành tài liệu, các chuẩn, các thủ tục và các
Trang 7hướng dẫn Chúng ta cũng tìm thấy các hướng tiếp cận khung chính sách vàcách phân loại chính sách an toàn thông tin trong phần này.
Chương 3 trình bày cách thiết kế, tổ chức, thực thi và bắt buộc các chínhsách an toàn thông tin trong một tổ chức Đưa ra các nguyên tắc nhất định vàcác vấn đề gặp phải trong quá trình thực hiện chính sách an toàn thông tin, đềxuất hướng giải quyết khắc phục các hậu quả xảy ra
Môn người dùngc này đóng góp một phần vào việc cung cấp nguồn thôngtin có ý nghĩa cho các sinh viên, giáo viên, những người làm việc về an toànthông tin liên quan đến các chính sách an toàn và các khung chính sách an toàn.Tuy nhiên, do còn hạn chế về trình độ, kiến thức thực tế, thiếu thốn về tài liệu
cũng như áp lực về thời gian hoàn thiện nên giáo trình Quản lí và xây dựng
chính sách an toàn thông tin chắc chắn vẫn còn tồn tại nhiều thiếu sót Chúng
tôi rất mong nhận được sự nhận xét và đóng góp những ý kiến quý báu để cácsinh viên, giáo viên và những người quan tâm có được một tài liệu hoàn chỉnhhơn trong những lần tái bản
Qua đây chúng tôi cũng hết sức cảm ơn sự giúp đỡ của Ban cơ yếu Chínhphủ, Người dùngc viện Kỹ thuật Mật Mã và các thầy cô trong khoa An toànthông tin cũng như các đồng nghiệp trong Người dùngc viện và Ban cơ yếu đã
cổ vũ và tạo điều kiện thuận lợi để chúng tôi hoàn thành cuốn sách này
Trang 8Chương 1 TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG
TIN1.1 CHÍNH SÁCH AN TOÀN THÔNG TIN
Đối với một tổ chức để làm việc tốt thì cần các quá trình xử lí công việcđáng tin cậy, chi phí thấp và tuân thủ luật pháp Hầu hết các tổ chức sử dụng cácchính sách và thủ tục để cho các nhân viên biết mục tiêu của công việc và cáchthực hiện để đạt được mục tiêu đó
Trong một thế giới hoàn hảo, các chính sách và thủ tục sẽ luôn đưa ra kếtquả hoàn hảo Điều này yêu cầu các nhân viên luôn luôn phải tuân theo cácchính sách và thủ tục Tuy nhiên, chúng ta không sống trong một thế giới nhưvậy Cả các chính sách và các thủ tục đều không phải lúc nào cũng thực sự tốtcũng như các nhân viên cũng không luôn luôn tuân theo chúng Bất cứ ai mà đãlĩnh tiền ở ngân hàng đều hiểu thủ tục cơ bản như thế nào Thủ tục lĩnh tiền baogồm kiểm tra danh tính và số dư tài khoản Chính sách của ngân hàng nói rõrằng nếu người thu ngân làm theo thủ tục trả tiền và tài khoản có đủ tiền thìngười thu ngân có thể đưa tiền mặt cho chủ tài khoản Nếu không tuân theo thủtục và chính sách này thì ngân hàng sẽ có thể bị mất tiền
Để tạo ra và bắt buộc các chính sách cũng rất quan trọng để bảo vệ thôngtin của một tổ chức Tất cả các tổ chức bao gồm doanh nghiệp và chính phủ nênthực thi các chính sách như vậy Không có sự tiếp cận giống hệt nhau Mỗi một
tổ chức sẽ có cách riêng để thực thi và bắt buộc các chính sách Một trongnhững thách thức mà các tổ chức phải đối mặt đó là chi phí để giữ vững tốc độphát triển với công nghệ luôn thay đổi Điều này bao gồm nhu cầu cập nhật cácchính sách cùng thời điểm khi tổ chức cập nhật công nghệ Tình trạng thực thikhông thích hợp có thể tạo nên những điểm yếu trong hệ thống Những điểm
Trang 9yếu này có thể làm cho các quá trình xử lí công việc và thông tin dễ bị mất hoặcđánh cắp.
Trong việc tạo ra các chính sách an toàn hệ thống thông tin (Information
Systems Security - ISS) hoặc được gọi đơn giản là “chính sách an toàn” hay
“các chính sách ISS”, nhiều công ty tài chính (factor) bắt buộc các yêu cầuchính sách Các yêu cầu này bao gồm quy mô của tổ chức, các quá trình xử lí,kiểu thông tin, các luật lệ và các quy tắc Một khi tổ chức tạo ra các chính sáchthì người dùng phải đối mặt với thách thức về cả kĩ thuật và con người để càiđặt chúng Các yếu tố quan trọng cho việc cài đặt các chính sách là sự chấpnhận của các nhân viên và việc quản lí sự áp đặt các chính sách đó Một chínhsách ít hiệu quả hoặc không có giá trị gì nếu không ai tuân theo nó
1.2 QUẢN LÍ CHÍNH SÁCH AN TOÀN THÔNG TIN
1.2.1 Khái niệm an toàn hệ thống thông tin
An toàn hệ thống thông tin (ISS) là việc bảo vệ thông tin và bảo vệ hệ
thống lưu trữ và xử lí thông tin đó Sự bảo vệ có nghĩa là chống lại các rủi rodẫn tới việc truy nhập, sử dụng, làm lộ, phá vỡ, sửa chữa hay phá hủy thông tinmột cách bất hợp pháp Nó không chỉ là bảo vệ thông tin bên trong máy tính mà
là thông tin dưới bất cứ dạng nào, chẳng hạn như bảo vệ khi in dữ liệu hay bảo
vệ thông tin trên các phương tiện truyền thông Trong thực tế, các chính sách antoàn được cấu trúc tốt để đảm bảo sự bảo vệ thông tin ở bất cứ chỗ nào và dướibất kì dạng nào Có thể thấy đây là những phạm vi rõ ràng và cụ thể cần đảmbảo an toàn Thông thường, tổ chức sẽ áp đặt sự an toàn tốt hơn đối với các khuvực có các mối đe dọa lớn hơn tới tài nguyên hoặc con người
Đôi khi thông tin không được bảo vệ thành công vì nhiều lí do khác nhau.Một số tổ chức không cho rằng thông tin quan trọng Một số thì lại tin một cách
Trang 10đảm bảo an toàn thông tin Số khác thì chỉ đơn giản là không muốn tốn thêm chiphí Tuy nhiên, việc bảo vệ thông tin là rất quan trọng đối với các hoạt động củacông ty.
Việc bảo vệ thông tin liên quan đến vòng đời quản lí an toàn hệ thốngthông tin Nói chung, trong bất kì quá trình xử lí quan trọng nào thì nên có quátrình xử lí vòng đời để giảm thiểu lỗi xảy ra và đảm bảo rằng đã xem xét tất cảcác yêu cầu Việc cài đặt các độ đo an toàn không có gì khác Các điều khiển vàquá trình xử lí an toàn thông tin sử dụng những phương pháp tiếp cận chunglàm đơn giản hóa việc xây dựng và giảm thiểu lỗi Một quá trình xử lí vòng đời
cụ thể chia các nhiệm vụ thành các pha nhỏ hơn, dễ sử dụng hơn Hiệp hội kiểmtoán và quản lí hệ thống thông tin (Information Systems Audit and ControlAssociation – ISACA) đã phát triển một khung làm việc thực tiễn nhất đượcquốc tế chấp nhận rộng rãi Khung làm việc này tốt hơn nhiều một vòng đời, nóđược gọi là các đối tượng điều khiển đối với thông tin và công nghệ có liênquan (Control Objects for Information and related Technology - COBIT) Nòng
cốt của nó là 4 pha nhằm mục đích thể hiện chung một vòng đời an toàn hệ
thống thông tin dựa trên khái niệm:
Trang 11thay đổi cách tiếp cận quản lí vòng đời dựa trên một khung làm việc giống nhưCOBIT.
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.1 mô tảmột ví dụ về vòng đời quản lí ISS đã được đơn giản hóa
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.1 Vòng
đời quản lí ISS đã được đơn giản hóa
Trang 12về mức dịch vụ mà áp dụng cho các hợp đồng đối với cái chúng ta cần giảiquyết hàng ngày Trong pha Lập kế hoạch và Tổ chức, trước hết phải quan tâmtới loại thiết bị và các dịch vụ đang có Đồng thời pha này cũng quan tâm tớicách làm cho người cung cấp phải chịu trách nhiệm đối với những sự cung cấpcủa người dùng.
Không có ý nghĩa gì khi kí một hợp đồng với bên cung cấp mà không đápứng được những yêu cầu cơ bản của công ty Đây là lí do các SLA là bộ phậncủa các hợp đồng giữa tổ chức và bên cung cấp Tổ chức tạo ra những mô tả(description), hay còn gọi là thiết kế, của hệ thống Mô tả hệ thống càng chínhxác thì các điều khiển an toàn càng trọn vẹn Vai trò của một chuyên gia an toàn
là nhìn vào những thiết kế này để thấy được điểm yếu ở đó mà hệ thống vàthông tin gặp nguy hiểm
Ví dụ, giả sử một công ty kí hợp đồng với nhà cung cấp dịch vụ viễnthông Bên cung cấp dịch vụ đáp ứng những đường truyền dữ liệu và đườngtruyền âm thanh Công ty cũng có thể kí kết hợp đồng với một nhà cung cấpdịch vụ có quản lí Nhà cung cấp này có thể cung cấp và quản lí thiết bị Cáchợp đồng cũng sẽ phác thảo trách nhiệm của những bên cung cấp dưới dạng mộtSLA
Đạt được và Cài đặt
Pha Đạt được và Cài đặt của khung làm việc COBIT đưa ra các lịch trình
và sự chuyển giao Kiểu kiến trúc (build) cơ bản xuất hiện bên trong pha này
“Kiểu kiến trúc” thể hiện việc xây dựng điều khiển an toàn cũng như là đưa ra
ra các chính sách và các tài liệu hỗ trợ Kiểu kiến trúc được dựa trên yêu cầu đãđược tạo ra trong pha Lập kế hoạch và Tổ chức Các yêu cầu càng chi tiết thìcàng dễ suy ra kiểu kiến trúc Pha Lập kế hoạch và Tổ chức càng có nhiều cácchi tiết thì pha Đạt được và Cài đặt càng dễ thực hiện SLA trở thành sự xem xét
Trang 13quan trọng của kiểu kiến trúc vì nó xác định kiểu giải pháp sẽ được lựa cngườidùngn.
Kết quả của pha này là đạt được và cài đặt xong thiết bị Như vậy, chúng
ta có các điều khiển để tạo nên hệ thống, có các chính sách, các thủ tục và cáchướng dẫn đã được viết ra và chúng ta cũng có các đội đã được đào tạo
Phân phối và Hỗ trợ
Trong pha Phân phối và Hỗ trợ của khung làm việc COBIT, nhân viênlàm cho phù hợp với môi trường để tối thiểu hóa các mối đe dọa Có nghĩa làngười dùng điều chỉnh các điều khiển, các chính sách, các thủ tục, các hợp đồng
và các SLA Ở đây chúng ta phân tích dữ liệu từ các pha trước và so sánh vớicác hoạt động hàng ngày Chúng ta cũng thực hiện kiểm tra quá trình thâm nhậpnội bộ và bên ngoài và dựa vào những kết quả của những kiểm tra này để đưa ranhững đánh giá quyết định trong các phạm vi như vành đai phòng thủ, truy nhập
từ xa và các thủ tục sao lưu Trong pha này, cần xem lại tính đúng đắn của cáchợp đồng và các SLA và sửa đổi chúng nếu thấy cần thiết
Pha này cần có những hội nghị thường xuyên và trao đổi thông tin chínhxác với bên bán Chúng ta phải nhanh chóng phát hiện ra bất cứ vấn đề nào đểbên bán biết và đáp ứng các SLA Thông thường, bên bán cung cấp hồ sơ vềviệc thỏa thuận các SLA Chúng ta so sánh báo cáo của bên bán với các báo cáonội bộ của tổ chức Nếu chúng ta phụ thuộc vào bên bán thì chúng ta nên gặphàng tháng để so sánh các hồ sơ và tóm tắt những sự cố xảy ra
Trong pha này, hoạt động hàng ngày được quản lí và được hỗ trợ Chúng
ta quản lí các vấn đề, các cấu hình, an toàn vật lí và những cái khác nữa Nếuchúng ta đã lập kế hoạch đúng và đã cài đặt giải pháp tốt thì chúng ta sẽ thấy giátrị đạt được
Giám sát và Quản lí
Trang 14Sau khi đánh giá vòng đời quản lí ISS chúng ta thấy rằng ISS tập trungvào các loại điều khiển cụ thể tại các điểm cụ thể bên trong hệ thống Chúng tacần phải có sự kiểm tra và giám sát của các điều khiển và các kết quả đã phântích đối với tính hiệu quả của hệ thống Pha này xem xét một bức tranh toàncảnh về hệ thống Các điều khiển cũng như các chính sách và các thủ tục hỗ trợ
có đang theo kịp những thay đổi về mặt công nghệ và môi trường không? Phanày xem xét các yêu cầu cụ thể của công ty và hướng đi chiến lược đồng thờixác định liệu hệ thống có vẫn thỏa mãn những mục tiêu này hay không
Những kiểm toán nội bộ và bên ngoài xảy ra trong suốt pha đánh giá.Những kiểm toán cũng xảy ra qua tất cả các kiểm tra trong pha này và nhữngpha trước đó để đảm bảo rằng các yêu cầu được thỏa mãn Việc này có thể baogồm kiểm tra quá trình thâm nhập bởi một bên thứ ba tin cậy Kiểm tra mà đãthực hiện trong suốt pha này phải đủ rõ ràng để bao quát hết tất cả môi trườngISS Mức kiểm tra an toàn thêm vào sẽ phụ thuộc vào các yêu cầu và tính phứctạp của công ty Ví dụ, nếu chúng ta có yêu cầu về sự tuân thủ pháp luật, thì cầnphải có các kiểm tra điều khiển thích hợp để có thể xác nhận về yêu cầu này cóđược thực thi không Chúng ta cũng nên đánh giá quá trình ứng phó với sự cốxảy ra
1.2.2 Quản trị và tầm quan trọng của quản trị an toàn thông tin
Quản trị vừa là một khái niệm vừa là những hành động cụ thể mà một tổchức thực hiện để đảm bảo sự tuân thủ các chính sách, các quá trình xử lí, cácchuẩn và các hướng dẫn Mục tiêu là để thỏa mãn các yêu cầu của công ty Tuynhiên, mấu chốt của quản trị là đảm bảo mọi người tuân theo các luật lệ đã đượcthiết lập Quản trị phải làm cho mọi người hiểu rõ về những mục tiêu của công
ty và các mục tiêu này phải được hình thành các luật lệ Do đó, bằng cách tuântheo các luật lệ chúng ta sẽ đạt được những mục tiêu đề ra Việc quản trị tốt nên
Trang 15bao gồm sự hiểu biết một cách sâu sắc về công ty, vì vậy khi bắt buộc tuân thủluật mà không đem lại ý nghĩa thì có thể thực hiện việc điều chỉnh trong quátrình quản trị.
Quản trị rất có ý nghĩa trong thực tế, nó bao gồm một loạt các quá trình
và ủy ban giám sát Hiển nhiên, quản trị đảm bảo sự chịu trách nhiệm, hoạtđộng giám sát và các hồ sơ mà đang diễn ra Cấu trúc quản trị cũng có nghĩa là
sẽ thực hiện hành động khi các luật bị bỏ qua hay không được áp dụng một cáchphù hợp
Quản trị tốt cho ta sự đảm bảo và tin tưởng rằng các luật đang được tuânthủ Ai cần sự đảm bảo đó? Trước tiên, những người quản trị có kinh nghiệmcần để biết các mục tiêu của công ty đang được thỏa mãn Nếu các luật đangđược tuân thủ thì có sự đảm bảo nào đó rằng công ty đang được thực hiện như
đã định Cũng vậy, người quản trị có kinh nghiệm cần sự đảm bảo này để biếtrằng sự đầu tư của tổ chức đã được quản lí một cách thích hợp Thứ hai, các quyđịnh trong cấu trúc quản trị đối với việc đảm bảo rằng những rủi ro tới các cổđông, các khách hàng và cả cộng đồng đang được quản lí phù hợp
Không phải là khác thường khi thực hiện việc kiểm tra sự tuân thủ củacác quá trình xử lí quản trị Kiểm tra sự tuân thủ giúp ta hiểu một cách sâu sắcquá trình quản trị một cách phù hợp và có thể so sánh được Bằng cách làm choquá trình này hợp lí và có thể lặp lại, các tổ chức có thể so sánh sự đổi mới theothời gian Những người quản trị có thể cải tiến quá trình theo thời gian, làm cho
nó hiệu quả hơn Điều này khiến cho chúng ta hiểu hơn về rủi ro và cho phépchúng ta triển khai các thông số để không còn các điểm yếu Nó cũng cho phépchúng ta giảm sự ảnh hưởng tới tổ chức trong trường hợp vi phạm
Ví dụ, sự quan trọng của quản trị là rõ ràng trong một quá trình quản lícấu hình Bằng cách điều khiển cấu hình hệ thống, chúng ta có thể kiểm tra
Trang 16hệ thống Sự quản trị quan trọng đối với thao tác hàng ngày của một tổ chức vàkhông nên diễn ra “một năm một lần” Bằng cách hợp nhất chi phí hàng nămcủa tổ chức với ngân sách hàng năm, những quy định quản trị về những lợi íchliên tục không thể được xem như phí tổn không mong đợi.
1.2.3 Các chính sách an toàn thông tin và tầm quan trọng của chúng
Chính sách có thể được hiểu như một yêu cầu của công ty trên các hoạtđộng hay các quá trình xử lí mà một tổ chức thực hiện Các chính sách ISS quyđịnh sự sắp xếp các điều khiển trong các quá trình xử lí đặc trưng cho hệ thốngthông tin Những chính sách này đề cập tới các loại điều khiển cần thiết chứkhông đưa ra cách xây dựng nên các điều khiển
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.2 Các tài
liệu bên trong với bên ngoài
Các chính sách ISS cần bao quát mọi hiểm người dùnga đối với hệ thống
và chúng phải bảo vệ được con người và thông tin Chúng cũng phải thiết lậpcác luật đối với người dùng, xác định những hậu quả của các vi phạm và tốithiểu hóa rủi ro cho tổ chức Do đó, bất cứ quá trình xử lí nào mà chứa một
Trang 17trong những yêu cầu của công ty đó nên được hỗ trợ bởi một chính sách Các tàiliệu khác trong khung chính sách cung cấp thêm sự hỗ trợ Có 4 kiểu tài liệukhác nhau trong một khung chính sách:
Chính sách: Tài liệu mà chỉ ra cách thức thực hiện và quản lí cácchức năng công việc và các giao dịch với một tác động mong muốncủa tổ chức
Chuẩn: Một quy tắc hoặc phương pháp được thiết lập và đượcchứng minh, quy tắc này có thể là một tiêu chuẩn về thủ tục haymột chuẩn kĩ thuật đã được cài đặt rộng rãi trong tổ chức
Thủ tục: Báo cáo được viết ra nhằm mô tả các bước cần có để càiđặt một quá trình xử lí
Hướng dẫn: Một tài liệu bên trong một chính sách, chuẩn hay thủtục mà được đề nghị nhưng không bắt buộc
Nhiều khi mọi người coi tất cả những tài liệu này như “các chính sách antoàn” nhưng không phải là nhất thiết Error: Reference source not found mô tảmối quan hệ của 4 tài liệu này Theo hình vẽ, các thủ tục và các hướng dẫn hỗtrợ các chính sách Ngoài ra, hình vẽ còn chỉ ra rằng các chuẩn ảnh hưởng tớicác chính sách Bốn tài liệu này thuộc vào 2 nhóm: Tài liệu bên trong và bênngoài Các chuẩn là những tài liệu bên ngoài, trong khi đó 3 cái còn lại là tàiliệu bên trong Chuẩn có thể là một quá trình xử lí hay một phương pháp để càiđặt một giải pháp Chuẩn bao gồm kĩ thuật, phần cứng hay phần mềm mà có hồ
sơ đã chứng minh về sự thực hiện Đây có thể là chuẩn về thủ tục hoặc chuẩncài đặt hoặc chuẩn triển khai kĩ thuật mà đã được thực thi rộng rãi trong công ty
Vì mục đích của ISS, chuẩn là một tập hợp các tiêu chuẩn để một hệ thốngthông tin dựa vào đó mà vận hành Các chuẩn áp dụng sự ảnh hưởng bên ngoài
Trang 18Thường những chuẩn này được biến đổi cho phù hợp với tổ chức dựa trên thựctiễn tốt nhất từ bên ngoài.
Chính sách là một tài liệu chỉ ra cách thực hiện của tổ chức Nó mô tảcách quản lí các chức năng của công ty và các giao dịch đối với một tác độngđược mong muốn Nó làm cho sự điều khiển an toàn thông tin trở nên dễ dàng
Nó là tài liệu về “Ai làm cái gì cho ai và khi nào” Nó phản ánh việc bảo vệthông tin của các ủy ban lãnh đạo
Thủ tục là báo cáo được viết ra nhằm mô tả các bước cần thiết để cài đặtmột quá trình xử lí Mục tiêu của các thủ tục là hỗ trợ các chính sách và cácchuẩn Các thủ tục cho biết cách thực hiện những nhiệm vụ cụ thể Một thủ tụccàng chi tiết thì kết quả càng tránh được lỗi
Hướng dẫn đặt ra các thông số bên trong một chính sách, chuẩn hay thủtục mà có thể được sử dụng Hướng dẫn không phải là bắt buộc Nó là một tàiliệu hỗ trợ chính sách Giống như các thủ tục, các hướng dẫn giúp cho công tyhoạt động trôi chảy hơn
Các chính sách an toàn ISS đảm bảo sự bảo vệ thông tin của toàn bộ hệthống Thông tin không phải lúc nào cũng là tĩnh mà thường xuyên thay đổitrong quá trình xử lí và chúng phải được bảo vệ trong suốt quá trình xử lí tạimọi thời điểm Tới một chừng mực, các chính sách an toàn vật lí và các thủ tục
sẽ bảo vệ dữ liệu Tuy nhiên, điều đó không phải là luôn luôn đúng Làm sao cóthể bảo vệ được tài nguyên đối với những người có kiểu truy nhập hợp phápnày? An toàn vật lí có những hạn chế và nên được xem xét như một trong mộtvài tầng điều khiển
Dưới đây là một số lí do cho thấy cần phải sử dụng và bắt buộc các chínhsách an toàn:
Trang 19 Bảo vệ hệ thống khỏi mối đe dọa từ người nội bộ: “mối đe dọa từngười nội bộ” được hiểu là những người dùng có quyền truy nhậphợp pháp Đây là những người dùng có thẩm quyền có khả năngtruy nhập để phá hoại hệ thống Mối đe dọa từ người nội bộ có thể
là mối đe dọa đáng kể nhất đối với bất kì hệ thống thông tin nào.Những chính sách giúp giám sát hoạt động của người dùng hợppháp
Bảo vệ thông tin tĩnh và thông tin trên đường truyền: Dữ liệuthường ở một trong hai trạng thái: dữ liệu tĩnh (data at rest) như dữliệu trên tệp sao lưu hay dữ liệu trên đường truyền (data in transit),chẳng hạn như khi đang di chuyển qua một mạng Về cơ bản, cácchính sách giúp luôn luôn bảo vệ dữ liệu
Điều khiển sự thay đổi tới cơ sở hạ tầng CNTT: Thay đổi là tốt.Quản lí sự thay đổi còn tốt hơn vì điều này giúp làm giảm rủi rocủa những điểm yếu trong hệ thống
Các chính sách an toàn tăng cường việc lúc nào cũng bảo vệ những tàinguyên thông tin của tổ chức trong khi cung cấp cho nhân viên quyền truy nhập
an toàn lúc người dùng cần Các chính sách cho phép điều khiển hệ thống, thayđổi hệ thống và giảm đáng kể rủi ro đối với hệ thống
Trang 20cũng cho phép sự thay đổi trong cách quản lí Một chính sách tốt bao gồm sự hỗtrợ cho việc quản lí sự cố (incident handling) Một chính sách như thế có thểgiúp cho tổ chức giảm một lần bị lộ Sự nhận dạng được lí do một sự cố có thểbắt đầu ngay lập tức và các kẻ tấn công khả năng đã xác định Theo quan điểmcủa kinh doanh thì “Thời gian là tiền bạc” vì thế giải pháp tốt hơn cả đó là chophép tài nguyên sẵn sàng được tạo ra nhanh hơn.
Bằng cách điều khiển các chi phí và tập trung vào những rủi ro quantrọng nhất, một tổ chức có thể tránh được lãng phí và hỗ trợ thành công sự vậnhành Những rủi ro chủ yếu đối với một tổ chức có thể giảm theo thời gianthông qua sự cải tiến liên tục đã đạt được phần nào bằng việc có được quá trìnhquản lí tốt sự cố trước đó
1.2.3.2 Những thách thức của việc vận hành một công ty mà không
có các chính sách
Khi một tổ chức thiếu đi các chính sách thì các hoạt động của tổ chức đótrở nên kém dự đoán trước Các cá nhân sẽ hoạt động dựa trên những gì ngườidùng nghĩ là tốt vào thời điểm đó Hãy tưởng tượng một đội đua thuyền màkhông có sự chỉ đạo Mỗi người có một mái chèo và cố gắng đi tới đích và tránhcác chướng ngại vật trên đường Ngay cả khi điều khiển để đi, hãy nghĩ về sựlãng phí của việc đi vòng tròn khi một phía của thuyền chèo nhanh hơn và gấprút hơn phía còn lại Giả sử đội đua chèo cùng một lúc, điều này không khác vớicác chính sách Các chính sách cho phép một tổ chức chèo thuyền cùng mộthướng dựa trên các luật, sự ưu tiên và mục tiêu của công ty giống nhau Nếukhông sử dụng các chính sách thì một tổ chức có thể gặp phải những khó khănsau:
Chi phí cao hơn: vì lãng phí những nỗ lực và chỉnh sửa lại
Trang 21 Khách hàng không hài lòng: không có chất lượng vì các cá nhânđưa ra đánh giá riêng về cái gì là đúng hay tốt.
Thiếu sự tuân thủ quy định: các cá nhân quyết định khi nào và cáchtuân thủ những sự ủy quyền hợp pháp
Hãy xét một ví dụ về kế toán Điều gì sẽ xảy ra nếu hệ thống thông tin kếtoán hay bảng lương bị phá hoại (compromise) hay không sẵn sàng? Như thế thìkhông trả lương được cho các nhân viên Nếu công ty có một chính sách khi hệthống kế toán bị ngừng lại thì hệ thống sẽ được khôi phục để lập bảng lương.Lần lượt công ty có thể có một chính sách đưa ra một thủ tục thủ công khi hệthống không sẵn sàng Thiếu các chính sách an toàn và không có những sự quản
lí rủi ro một cách có phương pháp thì làm cho không thể phát hiện ra các điểmyếu của hệ thống
1.2.3.3 Những nguy hại của việc không thực thi các chính sách
Nếu các chính sách an toàn là để đảm bảo thông tin được bảo vệ một cáchhợp lí thì việc thực thi sai các chính sách sẽ gây hại tới thông tin Thông tin cóthể bị hại bởi một tấn công hay sự quản lí yếu kém Một số nhân viên nói “Nhânviên của người dùng là những người thông minh nhất trong lĩnh vực này” hay
“Chúng tôi vẫn thực hiện như vậy hàng năm mà không có bất cứ vấn đề gì xảyra” Đây cũng chính là câu trả lời cho câu hỏi “Tại sao lại thực thi các chínhsách?”
Sự nguy hiểm khi không thực thi các chính sách là những hậu quả khôngngờ và không mong muốn Trong trường hợp một việc xảy ra của ISS, các nhânviên sẽ không biết làm cái gì, phản ứng như thế nào hay cảnh báo cho ai Điềunày dẫn đến sự nhầm lẫn chung Khi người dùng cố gắng đưa ra câu trả lời chonhững câu hỏi đó thì một kẻ tấn công có thể đang sao chép thông tin nhiều hơn
Trang 22Không có điều khiển quản lí cấu hình, những sự sửa chữa hệ thống mộtkhi an toàn sẽ làm cho chúng không an toàn Những người quản lí sẽ không thểđiều khiển những thay đổi tới các hệ thống thông tin mà sẽ làm tăng nhữngđiểm yếu cho các hệ thống.
1.2.3.4 Những nguy hại của việc thực thi các chính sách sai
Thực thi các chính sách sai cũng giống như không thực thi các chínhsách Khi tạo ra các chính sách thì cần phải chỉ rõ các quá trình xử lí phù hợphoặc các hậu quả có hại có thể xảy ra
Ví dụ, xét một chính sách chỉ ra rằng tất cả các nhân viên đều được traođặc quyền quản trị hệ thống Theo chính sách này, các nguyên lí cơ bản của đảmbảo thông tin không thể được đảm bảo Những người dùng sẽ có quyền truynhập tới tất cả các thông tin, đây không phải là điều mong đợi cũng không phải
là sự thực thi an toàn tốt nhất Vì chính sách an toàn thường là một người dùngcủa các chính sách nên cần phải đảm bảo chúng không mâu thuẫn với nhữngchính sách khác
1.2.4 Khi nào cần sử dụng các chính sách an toàn thông tin
“Sự tính toán đúng lúc làm nên tất cả.” Đây gần như là nguyên lí số 1 mànhững diễn viên hài sử dụng Điều này cũng được áp dụng đối với tính chấtđúng lúc của các chính sách Tại sao lại thực thi chính sách trên những con bòvắt sữa trong khi mô hình của công ty là nuôi gà? Tất nhiên chính sách này cóthể tồn tại nếu như một ngày nào đó trang trại mở rộng hoạt động, tuy nhiênkhông có lí do gì lại đưa ra những chính sách này khi mà sự mở rộng đó chưaxảy ra
Hiển nhiên nhu cầu cần có một chính sách an toàn ISS là rất lớn Cácchính sách an toàn cần để đảm bảo rằng công nghệ mới không được đưa ra mà
Trang 23không có một tập chính sách hỗ trợ Ví dụ, nếu một công ty đã không thực thitin người dùngc di động (mobile computing) thì không có lí do gì để đưa ra cácchính sách quản trị quá trình xử lí này Tuy nhiên, khi công ty quyết định giớithiệu sản phẩm có cài đặt tin người dùngc di động thì lại cần các chính sách đó.Xét một vấn đề khác, có thể có một quá trình diễn ra hàng ngày và tất cả nhữngnhân viên liên quan biết được quá trình đó Tuy nhiên quá trình này không đượccung cấp tài liệu dù là những nhân viên biết tất cả các bước thực hiện Nhânviên chủ chốt đối với quá trình này sẽ nghỉ hưu vào tháng tới Đây là cơ hộihoàn hảo để chính thức hóa thủ tục được viết ra.
1.2.4.1 Cải tiến kĩ thuật xử lí của công ty (Business process reengineering (BPR))
Sự cải tiến của các quá trình xử lí của công ty luôn luôn được xem xétmột cách kĩ lưỡng Khi hoàn thành vòng đời xử lí của công ty đó thì quá trình
xử lí được cải tiến và thay đổi Tuy nhiên, các chính sách được kết hợp cũngphải được thay đổi và cập nhật Cụ thể, các chính sách và các thủ tục được kếthợp mà được thừa nhận trong vòng đời về bản chất mang tính vận hành Cácchính sách mà hỗ trợ các hoạt động, như các chính sách an toàn thì không phảilúc nào cũng được xem xét Việc không cập nhật những chính sách và nhữngthủ tục này là cơ hội dẫn tới sai sót và tai người dùnga
Việc thay đổi quá trình xử lí có thể phải đủ gây chú ý để đưa ra nhữngđiểm yếu an toàn mới Nếu thiết bị hoạt động bên trong quá trình xử lí thay đổihoàn toàn thì những điểm yếu an toàn cũ lại xuất hiện Do đó, bắt buộc phảiđảm bảo rằng khi cải tiến bất cứ quá trình xử lí của công ty nào thì cũng phảixem xét lại sự an toàn Điều này sẽ đảm bảo rằng việc cải tiến kĩ thuật xử lí củacông ty (BPR) chứa những mối quan tâm về ISS và những chính sách và nhữngthủ tục đó được cập nhật như một sự cần thiết
Trang 24Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.3 Cải tiến
kĩ thuật xử lí cơ bản của công ty
Error: Reference source not found chỉ ra 4 pha của BPR Trong đó pha 1
là lập kế hoạch Việc tạo ra và chỉnh sửa chuẩn của quá trình xử lí nằm ở pha 2.Pha 3 thực hiện nghiên cứu và làm chuẩn những gì xảy ra Cuối cùng pha 4 đảmnhiệm việc phát triển quá trình xử lí tương lai Các chính sách được đưa ra hoặccập nhật những chính sách đang có trong suốt pha 4
1.2.4.2 Cải tiến liên tục
Cải tiến liên tục chính là tìm ra cách tốt hơn hoặc rút ra bài người dùngc.Khi các nhân viên tìm ra những cách mới để cải tiến hệ thống hay quá trình xử
lí thì cần phải có cách đạt được những ý tưởng đó Khái niệm về cải tiến liên tục
áp dụng cho tất cả các khía cạnh của ISS và IA Ví dụ, khi xem các vấn đề vềtính sẵn sàng có thể tình cờ thấy được nhược điểm của xác thực Không cần chú
ý tới việc tìm ra điểm yếu hay rủi ro như thế nào mà phải lấy được thông tin,đánh giá tầm quan trọng và áp dụng sự cải tiến Đôi khi điều này có nghĩa làthay đổi chính sách Khi những mục tiêu của chính sách không thể đạt được thì
sự bắt buộc không xảy ra được và toàn bộ khung chính sách an toàn trở nên yếuđi
Điều phối để “tìm ra cách tốt hơn” không phải là làm sụp đổ hay vi phạm
hệ thống Trong những trường hợp đó, có thể phải giải quyết những bài ngườidùngc thu được từ sự cố và hãy suy nghĩ về sự cải tiến liên tục Các nhân viênnhận ra những sự thay đổi cần thiết và đưa ra đề nghị Đề nghị hoặc là được
Trang 25chấp nhận hoặc là bị từ chối Nếu được chấp nhận thì nó trở thành quá trình cảitiến kĩ thuật chính thức.
tổ chức không hoạt động trong một môi trường hoàn hảo Một khi xảy ra một sựkiện mà chính sách không chứa nó thì việc phân tích sự kiện thực hiện và đưa ra
đề nghị Với những sự kiện mà về cơ bản không quan trọng thì việc đưa rachính sách phối hợp với quá trình sửa chữa Nếu về cơ bản sự kiện đó quantrọng hơn thì sự sửa chữa nên xảy ra trước khi đưa ra chính sách
1.3 ĐIỀU PHỐI CHÍNH SÁCH AN TOÀN THÔNG TIN
Hầu hết các tổ chức ngày nay nhờ vào các máy tính để kiểm soát công ty.Liệu trong khu vực chung hay riêng mối đe dọa đối với thông tin là bị đánh cắphay bị truy nhập bất hợp pháp có phải là vấn đề quan tâm lớn hay không Khigiảm bớt những kiểu rủi ro này cho tài sản thông tin thì cũng giảm được nhữngrủi ro cho công ty Các chính sách an toàn cho phép tổ chức thiết lập các luật đểgiảm rủi ro tới tài sản thông tin Sự quản lí có lợi ích trực tiếp và tầm quan trọngtrong việc đảm bảo sự tuân thủ các quy định
Không thể loại bỏ được hết tất cả các rủi ro, nhưng trong một số trườnghợp, một chính sách tốt có thể giảm được khả năng xảy ra các rủi ro hoặc giảmảnh hưởng của nó Công ty phải tìm ra được cách cân bằng số các điều phốicạnh tranh Một số các điều phối này bao gồm:
Trang 26 Sự hài lòng của khách hàng: Giữ được sự hài lòng cao của kháchhàng
Sự tuân thủ: Thỏa mãn các nghĩa vụ theo quy tắc
Các chính sách an toàn xác định cách bảo vệ và quản lí thông tin Nhữngchính sách an toàn này nên ngắn gọn và súc tích, sử dụng những thuật ngữ đơngiản để định nghĩa các yêu cầu công ty Các chính sách an toàn sẽ dễ hiểu hơncũng như dễ được tuân thủ hơn nếu liên kết chúng với các mục tiêu của công ty
Phần này sẽ đưa ra những khái niệm tổng quan mà có thể làm giảm bớtrủi ro cho công ty Mặc dù sử dụng thuật ngữ “công ty” nhưng các khái niệm ápdụng như nhau cho cả những tổ chức công và tư nhân Khi dùng thuật ngữ “rủiro” trong phần này thì có nghĩa là rủi ro tới những tài sản thông tin Mặc dùkhông thể bàn hết về tất cả những điều phối của công ty tiềm năng để giảm bớtrủi ro đối với mọi tổ chức nhưng phần này sẽ tập trung tới những phạm vi rủi rochính
1.3.1 Tầm quan trọng của các điều phối của công ty
Hệ thống máy tính luôn luôn phát triển và ngày càng phức tạp hơn Vì thế
mà rất khó để có thể hiểu được công nghệ mà nó cung cấp Lại còn sự vi phạm
an toàn có thể có ảnh hưởng đáng kể đến điểm mấu chốt Dưới đây là hai ví dụminh chứng cho lí do các tổ chức cần phải có những chính sách an toàn tốt:
Doanh nghiệp bán lẻ TJX có hơn 2,000 cửa hàng ở Hợp chủng quốc Hoa
Kỳ và Puerto Rico Các máy tính của công ty đã bị xâm phạm vào năm 2003 và
2006 Thông tin thẻ tín dụng của hơn 45 triệu khách hàng đã bị đánh cắp Công
ty ước tính thiệt hại lên tới 139 triệu đô la Mỹ
Nhà cung cấp dịch vụ chăm sóc sức khỏe BlueCross BlueShield ofTennessee vào năm 2009 đã bị đánh cắp các ổ cứng Đã có 57 ổ cứng bị mất và
Trang 27công ty phải thông báo cho 220,000 thành viên về việc thông tin cá nhân củangười dùng có thể bị lộ BlueCross đã báo cáo mức chi phí hơn 7 triệu đô la
Mỹ Các khách hàng đã được giám sát tín dụng miễn phí trong vòng 2 năm
Cả hai trường hợp này đều do lỗi của chính sách an toàn Đối với trườnghợp của TJX, người dùng đã báo cáo rằng các kẻ tấn công đã thực hiện thôngqua mạng không dây Wired Equivalent Privacy (WEP) của cửa hàng Liên kết
an toàn yếu đã bị ngăn chặn bởi các chính sách an toàn mạnh mẽ và đã đượcphát hiện bởi những sự giám sát tốt Trong trường hợp của BlueCrossBlueShield, người dùng đã báo cáo là các ổ đĩa bị lấy đi từ một phòng ở tổngđài điện thoại Chính sách an toàn cần phải yêu cầu mạnh hơn đối với các điềukhiển vật lí tại các kho ổ đĩa cứng Không thể biết được liệu các chính sách saitrong việc phát hiện ra các rủi ro hay liệu các điều khiển an toàn không đầy đủ.Trong cả hai trường hợp thì việc cài đặt và bắt buộc các chính sách an toàn tốtphải ngăn chặn được những kiểu vi phạm này
Các tổ chức đề cập thêm tới cách quản lí và cách làm giảm các rủi rothông tin Các chính sách an toàn không còn đơn thuần xem xét một vấn đềcông nghệ nữa Các tổ chức cũng mong đợi các chính sách an toàn phản ánhđược cách người dùng quản lí thông tin Các chính sách an toàn của một tổ chứcnói chung chỉ ra trách nhiệm bảo vệ thông tin của tổ chức đó Các chính sách antoàn tốt giữ cho công ty tốt đẹp Một số những đề cập cơ bản về việc cài đặt mộtchính sách như thế bao gồm:
Chi phí: chi phí của việc cài đặt và duy trì các điều khiển
Ảnh hưởng: ảnh hưởng tới khách hàng
Luật định: khả năng đề phòng hợp pháp
Các chính sách chỉ có hiệu quả nếu chúng được bắt buộc áp dụng Những
Trang 28sách quá tốn kém hoặc không thể chấp nhận được việc những chính sách antoàn ảnh hưởng tiêu cực tới khách hàng Để tránh được điều này, quản lí cầnthực hiện trong quá trình cài đặt các chính sách an toàn Thậm chí trong nhữngtrường hợp tốt nhất dữ liệu vẫn có thể bị đánh cắp Nhờ có các chính sách antoàn tốt, tổ chức có thể biện hộ cho những hành động của mình trước côngchúng và pháp luật Ví dụ, một chính sách an toàn thư điện tử mà cảnh báo cácnhân viên rằng các thông điệp của người dùng có thể bị theo dõi thì có thể giúpcho việc bảo vệ chống lại vụ kiện vi phạm sự riêng tư.
1.3.2 Duy trì sự tuân thủ
Thuật ngữ “sự tuân thủ” nói tới cách một cá nhân hay công ty tôn trọngtriệt để tập các luật như thế nào Sự tuân thủ chính sách an toàn có nghĩa là tuântheo các chính sách an toàn Khó để biết được liệu một tổ chức có tuân theo mọichính sách an toàn hay không Để chỉ ra rằng một tổ chức đã tuân thủ thì cầnphải làm cho các yêu cầu ở bên trong bản thân các chính sách an toàn mà được
áp dụng đối với các điều khiển và thông tin an toàn Điều này rất khó vì ngay cảmột công ty nhỏ với mấy trăm nhân viên thì cũng có hàng chục nghìn tệp dữliệu Những tệp dữ liệu này truyền đi giữa các máy chủ, máy tính để bàn, máytính xách tay, thiết bị sao lưu đa phương tiện, ổ USB, Vấn để trở nên phức tạphơn trong các tổ chức lớn với hàng nghìn nhân viên và hàng triệu tệp dữ liệu.Công nghệ cũng là một phần cấu thành nên sự khó khăn vì nó được nâng cấpmỗi năm Các công ty không chỉ đề cập tới các tệp dữ liệu mà nhân viên có thểtruy nhập mà còn đề cập tới những tệp dữ liệu mà những người bán hàng vànhững người cung cấp đã biết được
1.3.2.1 Sự tuân thủ yêu cầu các điều khiển an toàn phù hợp
Vấn đề chính đối với chính sách an toàn là khả năng đo được sự tuân thủđối với tập các điều khiển Các điều khiển an toàn xác định cách bảo vệ thông
Trang 29tin Các chính sách an toàn cũng phải xác định lí do thiết lập mục tiêu Điều nàykhắc phục một cách hiệu quả các yêu cầu của công ty với các điều khiển antoàn Các chính sách an toàn cũng xác định kiểu bảo vệ đạt được cái gì nhưngkhông xác định cách đạt được những mục tiêu này.
Bảng TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.1 cungcấp một ví dụ mang tính khái niệm về chính sách an toàn và báo cáo điều khiển(control statement) ở mức cao Thương nhân có thể bỏ qua điều khiển an toàntheo một số cách nào đó, đây là khó khăn trong thế giới thực Sẽ cần phải ápdụng nhiều chi tiết hơn đối với cả chính sách an toàn và điều khiển an toàn.Điều khiển an toàn cần chi tiết hơn nhiều đối với các luật tường lửa Thông thìphần “lí do” của chính sách lại khó thiết lập Đây là một khái niệm quan trọng.Thương nhân ngày càng có khuynh hướng tuân thủ các chính sách an toàn nếungười dùng hiểu được nhu cầu của công ty
Để biết liệu một tổ chức có đang tuân thủ các chính sách an toàn khôngthì phải đo được mức độ sự tuân thủ Mức tuân thủ có thể thay đổi phụ thuộcvào chính xác là đo cái gì Xét ví dụ trong bảng TỔNG QUAN VỀ CHÍNHSÁCH AN TOÀN THÔNG TIN.1, ta có thể thực hiện phép đo đơn giản về sựtuân thủ bằng cách kiểm tra xem các luật tường lửa nào tồn tại Tuy nhiên,những phép đo đơn giản có thể ít chính xác hoặc bị sai Ví dụ, giả sử 4 tườnglửa cho phép các thương nhân truy nhập vào Internet nhưng khi kiểm tra lại thìthấy rằng chỉ có 3 tường lửa là chứa luật tường lửa thích hợp như đã mô tả trongbảng TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.1 Thoángnhìn, phép đo đơn giản chỉ rõ công ty tuân thủ 75% đối với chính sách này Xemxét kĩ hơn thì phát hiện ra rằng tường lửa thứ 4 không tuân theo luật đã đượcyêu cầu Tường lửa này chiếm 70% sự vận chuyển qua Internet của các thươngnhân Thực tế mới này có nghĩa là công ty chỉ tuân thủ 30%
Trang 30Một phép đo chính xác hơn đem lại cho công ty sự tin tưởng hơn để hiểucác rủi ro của nó Suy nghĩ một cách thông suốt về rủi ro thường đưa đến sựnhất trí trong giải pháp Ngay cả khi không có giải pháp nào sẵn sàng thì việchiểu thấu đáo vè rủi ro có thể giúp một tổ chức so sánh nếu một sự cố.
KHIỂN
CÂU TRẢ LỜI VẤN ĐỀ
Chính sách an toàn Tại sao Những sự an toàn và nhiệm vụ trao đổi
(Securities and Exchange Commission– SEC) theo luật 17A-4 yêu cầu cáccuộc hội thoại của người giao dịch(stock trader) với khách hàng (clients)phải được lưu lại và duy trì Trongtrường hợp này, mục đích là đảm bảocho các hồ sơ của các giao dịch cóikhách hàng Việc thiết lập một hồ sơchấp nhận các quy định kiểm toán đốivới việc tuân thủ các luật làm lộ(disclosure)
Chính sách an toàn Cái gì Để đảm bảo sự tuân thủ, tất cả những
người giao dịch chỉ nên giao tiếp vớicác khách hàng thông qua điện thoạihoặc hệ thống thư điện tử của công tyĐiều khiển an toàn Thế nào Sử dụng tường lửa, dừng tất cả các vận
chuyển đối với những người giao dịchtới Internet ngoại trừ trình duyệt Web
Trang 31và thư điện tử của công ty
Bảng TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.1 Ví dụ về
chính sách an toàn và các thành phần điều khiển
Bảng TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.2 mô tảcái đạt được đói với những phép đo sự tuân thủ chính sách tốt
Bảng TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.2 Những
lợi ích của phép đo sự điều khiển
NGHIÊN CỨU PHÉP ĐO SỰ ĐIỀU
KHIỂN
LỢI ÍCH CHO CÔNG TY
Xác định đo những điều khiển an toàn
phải các điều khiển
Xác định những mục tiêu nào của công
ty đạt được
Mô tả sự tuân thủ dưới dạng ảnh
hưởng tiềm năng tới công ty
Xác định ảnh hưởng tới công ty nếucác mục tiêu không đạt được
1.3.2.2 Các điều khiển an toàn phải chứa các chính sách an toàn thông tin
Các điều khiển an toàn là những phương tiện nhằm bắt buộc các chínhsách an toàn mà phản ánh các yêu cầu công việc của tổ chức Những điều khiểnnày đảm bảo tính bí mật, toàn vẹn và sẵn sàng đối với thông tin Chúng cũng cóthể được sử dụng để bảo vệ các tài nguyên vật lí, bao gồm sự an toàn của người
Trang 32khiển an toàn nên được xây dựng dựa trên những chính sách an toàn Nếu biếtđược các điều khiển an toàn đang hoạt động thì cũng có nghĩa là biết được cácchính sách an toàn đang được tuân thủ Các chính sách an toàn không bao hàmcác điều khiển an toàn Tuy nhiên, một điều khiển an toàn có thể phải thay đổinếu chính sách an toàn liên quan thay đổi Bằng việc xử lí chúng một cách riêng
rẽ thì có thể thay đổi điều khiển để thỏa mãn chính sách an toàn Đây chính làmột ưu điểm được xem như kĩ thuật cải tiến Ví dụ, giả sử có 6 tài khoản (ID)
và mật khẩu riêng biệt để truy nhập vào 6 hệ thống khác nhau và tất cả 6 hệthống này có công nghệ phát hiện ra một tài khoản và mật khẩu Nhiều chínhsách an toàn đối với các điều khiển mật khẩu có thể không thay đổi: Vẫn có thểbiết cách giữ bí mật mật khẩu và hướng dẫn cách lựa cngười dùngn mật khẩuphức tạp Khi các chính sách an toàn được thiết lập tốt và mọi nhân viên đềuhiểu chúng thì dễ dàng bắt buộc tuân thủ hơn Khi các chính sách thay đổi quáthường xuyên thì chúng trở nên khó hiểu
Có nhiều loại điều khiển an toàn và dưới đây là 3 loại phổ biến nhất:
Điều khiển vật lí: Một số thiết bị vật lí mà ngăn chặn hoặc gây cảntrở cho việc truy nhập Cửa có khóa, máy quay phim, hàng rào điện
tử và người bảo vệ an toàn đều là những ví dụ về các điều khiển vậtlí
Điều khiển quản trị: Hay còn gọi là “điều khiển thủ tục”, dựa trênmột người thực hiện hành động Một vài ví dụ như đào tạo nhậnthức hay người quản lí kiểm tra sự làm việc của nhân viên
Điều khiển kĩ thuật: Là phần mềm đưa ra sự điều khiển logic Cácmật khẩu và phần mềm chống virus chính là những ví dụ cho loạiđiều khiển này Phần cứng chuyên dụng như tường lửa được xem
Trang 33như điều khiển kĩ thuật vì nó chứa phần mềm cần thiết để đưa rađiều khiển logic.
Các điều khiển an toàn cũng tuân theo 3 kiểu thiết kế duy nhất (threeunique design types): ngăn chặn, phát hiện và hiệu chỉnh như được chỉ ra tronghình Error: Reference source not found
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.4 Ba kiểu
thiết kế điều khiển an toàn duy nhất
a Các điều khiển an toàn ngăn chặn
Loại điều khiển này ngăn chặn những sự cố hoặc các vi phạm ngay lậptức Nó được thiết kế để không cho sự cố Theo như lí tưởng, tường lửa sẽ chặnkhông cho kẻ tấn công vào bên trong mạng của tổ chức Đây là một kiểu điềukhiển tự động
Điều khiển tự động có phần mềm logic để quyết định hành động nào thựchiện Điều khiển tự động ngăn chặn sự cố mà không cần bất cứ quyết định nào
Trang 34của con người Thực chất các quyết định của con người đã xuất hiện trong lúcthiết kế điều khiển an toàn.
b Điều khiển an toàn phát hiện
Kiểu điều khiển này không ngăn chặn những sự việc hay vi phạm xảy rangay lập tức Chúng chỉ như còi báo động của cảnh sát để báo cho tổ chức biếtđược một sự việc có thể xảy ra Việc xem lại báo cáo thẻ tín dụng chính là điềukhiển phát hiện để biết được liệu có những thanh toán bất hợp pháp không Quátrình xem báo cáo không ngăn chặn được việc thanh toán bất hợp pháp xảy ranhưng nếu cần thì việc xem lại sẽ đưa ra hành động chỉnh sửa
Điều khiển phát hiện được xem như điều khiển thủ công, nó dựa vào conngười để quyết định thực hiện cái gì Các điều khiển thủ công vẫn có thể cónhững thành phần tự động Ví dụ người quản trị hệ thống có thể nhận bản kêđiện thoại di động một cách tự động khi số lần thử truy nhập không đúng đạt tớingưỡng kiểm soát (threshold) trên một máy chủ Người quản trị vẫn cần thựchiện hành động thủ công nào đó
c Điều khiển an toàn hiệu chỉnh
Điều khiển này không ngăn chặn các sự việc hay vi phạm xảy ra ngay lậptức mà nó hạn chế ảnh hưởng tới công việc bằng cách chỉnh sửa điểm yếu Tínhhiệu quả của điều khiển phụ thuộc vào công việc có thể phục hồi các hoạt độngcủa nó nhanh như thế nào
Ví dụ, việc sao lưu các tệp dữ liệu để cho phép sự phục hồi dữ liệu saukhi một hệ thống hỏng chính là điều khiển an toàn hiệu chỉnh Điều khiển nàyvừa là điều khiển tự động vừa là điều khiển thủ công Ví dụ, chúng ta có thểphản ánh tự động (tạo ra chính xác số bản sao) các tệp dữ liệu và sau đó phụchồi chúng trong trường hợp lỗi ổ cứng Đây là điều khiển tự động Nếu một
Trang 35người được yêu cầu để quyết định khi nào phục hồi sao lưu thì đó là điều khiểnthủ công.
d Mối quan hệ giữa các điều khiển an toàn và chính sách an toàn thông tin
Các chính sách an toàn và các điều khiển an toàn có mối quan hệ lẫnnhau Các chính sách an toàn dựa vào các điều khiển an toàn để bắt buộc sựtuân thủ các luật Điều khiển an toàn thì dựa vào những mục tiêu của chính sách
an toàn Không có các điều khiển an toàn thì không thể bắt buộc các chính sách
an toàn Không có các chính sách an toàn thì không thể đặt ra các điều khiểnmột cách hệ thống để bảo vệ thông tin một cách thích hợp Chúng ta phải dựavào cả chính sách an toàn và điều khiển an toàn để ngăn chặn sự vi phạm hoặcphục hồi các hoạt động sau khi vi phạm xảy ra Hình Error: Reference sourcenot found mô tả mối quan hệ then chốt này:
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN.5 Mối
quan hệ then chốt của các chính sách an toàn
Trang 36Có thể có quá nhiều các điều khiển an toàn và các chính sách an toàn quáphức tạp để tuân theo Điều khiển an toàn không hiệu quả khi nó không thểphân biệt được hành động tốt và xấu Các chính sách an toàn không hiệu quảnếu chúng quá khó hiểu để tuân thủ Nếu chính sách không rõ ràng thì khôngthể xây dựng các điều khiển an toàn đáng tin cậy Nếu chính sách quá dài thìkhó để hiểu nó được Nó cũng trở thành một thách thức khi đào tạo nhân viên.Mối quan hệ quan trọng nhất giữa các điều khiển và chính sách là yêu cầu côngviệc Một lỗi phổ biến là bỏ sót bối cảnh của công việc Việc nắm được bối cảnhgiúp cân bằng những ưu tiên có sự cạnh tranh Quan trọng hơn là khi một sự cố,chúng ta có thể hiểu ảnh hưởng hơn nếu chúng ta biết được bối cảnh công việc.
1.3.3 Giảm nhẹ rủi ro bị lộ
Các chính sách an toàn thông tin hỗ trợ như thế nào? Các chính sách antoàn tốt giúp cân bằng các yêu cầu của công ty và hạn chế hoạt động chính sáchphản ánh cách công ty muốn quản lí các rủi ro Sự quan trọng mà đã đặt ranhững vấn đề đó như sự riêng tư của khách hàng và việc bảo vệ những bí mậtcủa công ty ảnh hưởng trực tiếp đến hoạt động của nhân viên
Các chính sách an toàn buộc phải điều phối văn hóa mà giảm bớt rủi ro bị
lộ Các chính sách phải nhiều hơn các yêu cầu đơn giản mà chuyển thành cácđiều khiển an toàn Các chính sách và cách bắt buộc tuân thủ các chính sáchphản ánh sự nhận thức của công ty về rủi ro Các chính sách có thể giảm các rủi
ro cho công ty bằng cách đặt cái chung lên hàng đầu và bằng cách đẩy mạnhvăn hóa nhận thức rủi ro
1.3.3.1 Đào tạo các nhân viên và điều phối sự nhận thức an toàn
Cuối cùng, an toàn là chức năng của mọi người, các quá trình xử lí vàcông nghệ mà phối hợp tốt với nhau Một nhân viên được đào tạo tốt giúp giảmbớt rủi ro Các chính sách không thể xác định được mọi rủi ro Không giống
Trang 37như các điều khiển an toàn tự động chỉ tìm kiếm các rủi ro đặc trưng, một nhânviên có kiến thức có thể tìm ra hoạt động khác thường Khả năng phát hiện vàgiải quyết những sự kiện không như mong muốn này của các nhân viên cực kì
có giá trị trong việc làm giảm rủi ro
Một chương trình nhận thức an toàn tốt làm cho các nhân viên biết đượcnhững hoạt động được mong đợi của người dùng Tất cả những chương trìnhnhận thức an toàn có hai thành phần bắt buộc, đó là khuyến khích và răn đe.Mục tiêu của sự khuyến khích là đào tạo nhân viên về tầm quan trọng của cácchính sách an toàn Chúng ta có thể sử dụng hướng tới thúc đẩy sự tuân thủ Sựrăn đe là để nhắc nhở nhân viên về hậu quả của việc không tuân theo chínhsách Tiếc là phải cần cả hai thành phần thì mới thực thi một chương trình chínhsách an toàn thành công Có thể thực thi chương trình nhận thức an toàn theonhiều cách, dưới đây là một số nguyên tắc chung đã được chấp nhận:
Lặp lại: Hầu hết các nhân viên không giải quyết rủi ro hàng ngày vìvậy cần phải nhắc nhở người dùng
Đào tạo (Onboard): Những nhân viên mới phải được biết về nhữngtrách nhiệm của người dùng ngay lập tức
Hỗ trợ: Những người lãnh đạo phải cung cấp sự hỗ trợ rõ ràng
Xác đáng: Những luật mà cho thấy sự nhận thức về bối cảnh côngviệc có nhiều khả năng được tuân theo
Đánh giá: Đánh giá được khả năng
Để có được sự nhận thức an toàn thì cần phải có sự đào tạo tốt chứ khôngphải là nhớ chính sách từng từ từng chữ Chúng ta cần phải tập trung vào nhữngkhái niệm chính và dậy các nhân viên khi nào cần nhờ tới sự giúp đỡ Một nhânviên phải biết làm cái gì khi bắt gặp một điều gì đó thấy nghi ngờ hay không
Trang 38như mong đợi Đừng quên đưa ra những tài nguyên như các trang mạng nội bộbên trong tổ chức Quan trọng nhất là một chương trình nhận thức an toàn phảidạy cho nhân viên biết lấy được sự trợ giúp ở đâu Những nhân viên nhất biếtphải cần biết được rằng người dùng không hề đơn độc trong việc giải quyếtnhững vấn đề không mong đợi.
Những người lãnh đạo cần cung cấp sự hỗ trợ rõ ràng cho chương trình.Việc đào tạo mất thời gian trong công việc thường ngày của các nhân viên.Những người lãnh đạo cần đi và nói Bản thân người dùng cần phải được đàotạo và củng cố thông tin với các đội của người dùng Những người lãnh đạothưởng như thế nào khi các chính sách được tuân theo một cách phù hợp hoặcphản ứng như thế nào khi người dùng không đưa ra một thông điệp mạnh mẽ.Thông điệp hàng ngày mà những người lãnh đạo đưa ra xác định văn hóa rủi rocủa một tổ chức
Chương trình nhận thức an toàn đạt được sự tín nhiệm khi thấy được sựgiảm bớt rủi ro trong công việc Mỗi nhân viên đều có vai trò trong quá trình xử
lí công việc Nhiều lợi ích đi kèm với chương trình nhận thức an toàn mà nhấnmạnh tới (emphasize) rủi ro công việc, bao gồm:
Giá trị: các chính sách phù hợp với công ty có nhiều khả năng đượctuân theo
Văn hóa: các chính sách an toàn dễ hiểu và bắt buộc được đẩymạnh văn hóa rủi ro rộng rãi
Tính co giãn (Resiliency): các chính sách cung cấp nền tảng để giảiquyết những vấn đề không như mong đợi
Khả năng là khó đánh giá được Ít nhất hầu hết các chương trình để lại têncủa những người đã tham gia những lớp đào tạo đó Tuy nhiên, hồ sơ đã ghi đơngiản không phải là cách hay để đánh giá khả năng Nhiều chương trình nhận
Trang 39thức có những câu hỏi vấn đáp ngắn để kiểm tra các phần kiến thức chính Đây
là một khó khăn vì sau khi được đào tạo xong thì nhân viên có thể cần áp dụngkiến thức trong thời gian rất dài Thường cách đánh giá tốt nhất là chú ý tớinhững vấn đề thực tế mà đã xảy ra do không tuân theo chính sách Cách đóchúng ta có thể quay trở lại và cải tiến liên tục quá trình đào tạo
1.3.3.2 Ngăn chặn việc mất đi tính trí tuệ
Từ điển luật trực tuyến Legal-definitions.com định nghĩa tính trí tuệ(Intellectural property – IP) như là “bất kì sản phẩm nào của trí tuệ con người
mà là khác thường và không rõ ràng với giá trị nào đó trong thương trường Cácluật về tính trí tuệ bao hàm các ý tưởng, các phát minh, các sáng tạo vănchương, các tên duy nhất (unique names), các mô hình công ty, các quá trình xử
lí công nghiệp, mã chương trình máy tính, ” Trong kinh doanh, IP là thuật ngữchúng ta áp dụng rộng rãi đối với bất kì thông tin nào của công ty mà được xem
là mang lại lợi thế Ví dụ, chúng ta cần bảo vệ những sự bí mật đẻ bảo vệ lợi thếđối với các đối thủ cạnh tranh IP có thể thành nhiều dạng và có thể là điện tửhoặc vật lí Các chính sách an toàn phải chỉ ra cách bảo vệ thông tin đó màkhông cần quan tâm đến định dạng
Việc bảo vệ IP thông qua các chính sách bắt đầu với các chính sách về tàinguyên con người Những chính sách về tài nguyên con người này thiết lập một
mã để quản lí Chúng phải đưa cho những nhân viên hướng rõ ràng liên quan tới
tổ chức sở hữu cái gì đối với IP Các chính sách tài nguyên con người cũng chỉ
rõ những nhân viên có thể sở hữu cái gì trước khi làm việc Các hợp đồng việclàm thậm chí có thể cố gắng bắt buộc tính bí mật của IP sau khi một nhân viênrời tổ chức hoặc đối với công việc được thực hiện trong suốt thời gian rảnh củanhân viên Những chính sách tài nguyên con người này và những hợp đồng làmviệc có thể hoặc không thể bắt buộc được phụ thuộc vào luật và vị trí hiện tại
Trang 40chính sách tài nguyên con người Chúng ta muốn đảm bảo không có mẫu thuẫnnào xảy ra.
Gán nhãn dữ liệu và sự phân loại dữ liệu: Một khi tổ chức định nghĩa rõràng IP thì các chính sách an toàn nên xác định cách gán nhãn hoặc phân loạithông tin Có sự khác nhau giữa gán nhãn và phân loại dữ liệu Trong cả haitrường hợp, nhãn xác định mức bảo vệ cần thiết Nhãn là đặc trưng cho đánhdấu hoặc chú thích bên trong bản thân tài liệu, ví dụ đặt nhãn “bí mật” vào phầnfooter của tài liệu Khi chúng ta phân loại tệp dữ liệu (hay còn gọi là phân loại
dữ liệu) thì nhãn có thể hoặc không được áp dụng Khi áp dụng sự phân loại dữliệu thì các tệp dữ liệu nhạy cảm sẽ được đặt trong khu vực đảm bảo an toàn
IP có thể khó đối với việc gán nhãn hay phân loại và thậm chí khó hơnđối với việc kiểm kê Tài liệu IP có nhiều dạng Xét một tài liệu đơn giản đượcgán nhãn IP là nhạy cảm Các phần của tài liệu có thể được cắt và dán để tạo ratài liệu mới Có bao nhiêu trong số tài liệu mới đó được xem xét IP? Mặc dù làkhó nhưng các tiếp cận được chấp nhận rộng rãi đó là gán nhãn những gì cần.Hạn chế truy nhập dựa trên nhãn Xử lí bất cứ tài liệu mới nào mà chứa phầnnào đó của IP ban đầu có cùng những hạn chế chúng ta đã đặt vào tài liệu banđầu
Một trong những sự chuyển giao quan trọng nhất của các chính sách antoàn là cách tiếp cận gán nhãn và phân loại dữ liệu Cách tiếp nhận mà được lựacngười dùngn sẽ chi phối giá của việc quản lí dữ liệu Một người lao động cầnbiết cách quan rlis cả hai kiểu thông tin: thông tin được gán nhãn và được phânloại Các chính sách an toàn hướng dẫn người lao động trên cách quản lí thíchhợp phụ thuộc vào các yêu cầu công việc Sự kết hợp sau là cách được chấpnhận rộng rãi giúp tránh được việc mất mát IP:
Gán nhãn và phân loại dữ liệu IP
