TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH - BÁO CÁO DỊCH SÁCH CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH CHƯƠNG 14: CHÍNH SÁCH BẢO MẬT THƠNG TIN – GĨC NHÌN CỦA CHUN VIÊN Mơn học : Mạng máy tính truyền thơng TP Hồ Chí Minh MỤC LỤC CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH I CHÍNH SÁCH LÀ NỀN TẢNG .1 II ĐỊNH NGHĨA Chính sách 2 Những tiêu chuẩn .2 Thủ tục 4 Hướng dẫn III CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH IV ĐỊNH DẠNG CHÍNH SÁCH Chính sách Tồn cầu (Cấp 1) 10 Chính sách theo chủ đề cụ thể (Cấp 2) 13 Chính sách ứng dụng cụ thể (Cấp 3) 16 V TÓM TẮT 17 CHƯƠNG 14 : CHÍNH SÁCH BẢO MẬT THƠNG TIN: GĨC NHÌN CỦA CHUN VIÊN I CÁC ĐỊNH NGHĨA 23 Thu thập yêu cầu 24 Tiến hành đánh giá rủi ro 24 Sử dụng ISO 27002 làm khung 25 Các vấn đề định dạng sách .26 Phân loại đối tượng bạn 28 Lựa chọn chủ đề 29 II TÓM TẮT 31 CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH I CHÍNH SÁCH LÀ NỀN TẢNG Nền tảng cấu trúc bảo mật thông tin hiệu tuyên bố sách biên soạn kỹ lưỡng Đây nguồn mà từ tất thị, tiêu chuẩn, thủ tục, hướng dẫn tài liệu hỗ trợ khác có hiệu lực Đối với sở nào, điều quan trọng phải thiết lập tảng vững Như điều thảo luận sau đây, sách thực hai vai trị: bên bên ngồi Những liệu nội cho nhân viên biết họ mong đợi điều hành động họ đánh Cịn phần thơng tin bên cho giới biết doanh nghiệp thấy trách nhiệm Mọi tổ chức phải có sách hỗ trợ phương thức kinh doanh hợp lý họ chứng minh cho giới thấy việc bảo vệ tài sản điều cần thiết để thực thành cơng sứ mệnh Trong thảo luận liên quan đến yêu cầu văn bản, sách thuật ngữ mang nhiều ý nghĩa khác Đối với số người, sách thị quản lý cấp cao cách chương trình định chạy, tính khách quan mục tiêu gì, trách nhiệm giao cho Thuật ngữ sách đề cập đến quy tắc bảo mật cụ thể cho hệ thống cụ thể quy tắc Cơ sở kiểm soát truy cập (ACF2), giấy phép Cơ sở kiểm soát truy cập tài nguyên (RACF) sách hệ thống phát xâm nhập Ngồi ra, sách đề cập đến vấn đề hoàn toàn khác nhau, chẳng hạn định quản lý cụ thể thiết lập sách bảo mật e-mail tổ chức sách sử dụng Internet hay mạng xã hội II ĐỊNH NGHĨA Chính sách Chính sách tuyên bố cấp cao niềm tin, mục tiêu tính khách quan doanh nghiệp, phương tiện chung để họ đạt lĩnh vực hay chủ đề cụ thể Khi nghe thảo luận hệ thống phát xâm nhập giám sát việc tn thủ sách cơng ty, điều khơng phải sách mà chúng tơi thảo luận Hệ thống phát xâm nhập thực tiêu chuẩn giám sát (điều thảo luận chi tiết phần sau), quy tắc proxy Chúng tạo sách giống sách bảo mật thơng tin trình bày Hình 1.1 Phần sau chương này, xem xét số sách bảo mật thơng tin phê bình chúng dựa mẫu sách thiết lập Những tiêu chuẩn Tiêu chuẩn yêu cầu bắt buộc hỗ trợ sách riêng lẻ Các tiêu chuẩn bao gồm từ phần mềm phần cứng sử dụng, giao thức truy cập từ xa triển khai đến người chịu trách nhiệm phê duyệt nội dung Khi xây dựng sách an tồn thơng tin, thiết lập tiêu chuẩn hỗ trợ điều vô cần thiết Hình 1.2 ví dụ tiêu chuẩn cho chủ đề cụ thể trơng Hình 1.1 Mẫu sách bảo mật thơng tin Chính sách bảo mật thơng tin Thông tin kinh doanh tài sản thiết yếu công ty Điều với tất thông tin kinh doanh công ty thông tin tạo ra, phân phối lưu trữ liệu đánh máy, viết tay, in, quay phim, tạo máy tính hay nói Tất nhân viên có trách nhiệm bảo vệ thơng tin công ty khỏi bị truy cập, sửa đổi, chép, phá hủy tiết lộ trái phép, dù vô tình hay cố ý Trách nhiệm cần thiết hoạt động kinh doanh công ty Khi thơng tin khơng bảo vệ tốt, cơng ty bị tổn hại theo nhiều cách khác thị phần đáng kể danh tiếng bị tổn hại Chi tiết trách nhiệm nhân viên việc bảo vệ thông tin công ty ghi lại Sổ tay Tiêu chuẩn Chính sách Bảo vệ Thơng tin Ban Giám đốc có trách nhiệm đảm bảo tất nhân viên hiểu tuân thủ sách tiêu chuẩn Ban Giám đốc có trách nhiệm lưu ý điểm khác biệt so với thực tiễn bảo mật thiết lập bắt đầu hành động khắc phục Kiểm toán viên nội thực đánh giá định kỳ để đảm bảo việc tuân thủ liên tục sách bảo vệ thông tin Công ty Các trường hợp vi phạm sách giải theo quy định Hướng dẫn Chính sách Nguồn nhân lực dành cho quản lý Quản lý/Trưởng nhóm hệ thống thông tin Người quản lý chịu trách nhiệm Hệ thống thông tin phải thực tất bổn phận phù hợp với tư cách người quản lý cho khu vực mà họ chịu trách nhiệm Ngoài ra, họ đóng vai trị người giám sát thơng tin sử dụng hệ thống thuộc quyền sở hữu người quản lý khác Người quản lý chịu trách nhiệm Hệ thống thông tin phải thực tất bổn phận phù hợp với tư cách người quản lý cho khu vực mà họ chịu trách nhiệm Tất nhà quản lý, giám sát, giám đốc, người cấp quản lý khác có vai trị cố vấn hỗ trợ cho nhà quản lý IS người không quản lý IS mặt: ◾ Xác định đánh giá mối đe dọa ◾ Xác định thực biện pháp bảo vệ (bao gồm việc tuân thủ thông lệ này) ◾ Duy trì mức độ nhận thức an ninh thỏa đáng ◾ Giám sát hoạt động thích hợp biện pháp an ninh đơn vị ◾ Điều tra điểm yếu cố ◾ Đưa vấn đề tình mà họ nhận thức thơng qua vai trị chun gia ◾ Phối hợp với kiểm toán nội bên ngồi Hình 1.2 Ví dụ tiêu chuẩn Thủ tục Thủ tục hành động bắt buộc, theo bước, chi tiết hoạt động cần thiết để hoàn thành xuất sắc nhiệm vụ Thủ tục chi tiết Gần đây, tơi xem xét thay đổi quy trình quản lý nhận thấy quy trình bao gồm 42 trang thơng tin xác Chúng biên soạn kỹ lưỡng cần thiết để đảm bảo quy trình tn thủ (Hình 1.3) Hướng dẫn Hướng dẫn tài liệu tham khảo lập thành văn để thực thường xuyên quán hoạt động chấp nhận Chúng thường có quyền thực thi Một ví dụ thường ngày khác biệt tiêu chuẩn hướng dẫn biển báo “Dừng lại” biển báo “Vui lịng khơng giẫm lên cỏ” Thủ tục Quản lý Thay đổi Ứng dụng Tổng quan Hệ thống Yêu cầu Dịch vụ (SSR) sử dụng để bắt đầu ghi lại tất hoạt động lập trình Nó sử dụng để thơng báo nhu cầu khách hàng với nhân viên Phát triển Ứng dụng (AD) Một SSR khởi xướng chuẩn bị khách hàng, thành viên nhân viên AD, cá nhân khác xác định nhu cầu yêu cầu, vấn đề cải tiến ứng dụng Khơng có nhiệm vụ hồn thành mà khơng có SSR Hệ thống u cầu Dịch vụ Tổng quan Biểu mẫu nêu rõ kết mong muốn đạt được, khách hàng hoàn thành gửi với tài liệu hỗ trợ tới AD Yêu cầu bao gồm việc xác định vấn đề tài liệu yêu cầu Khách hàng khuyến khích gửi yêu cầu họ cách đầy đủ chi tiết để dễ dàng cho trưởng dự án AD ước tính xác nỗ lực cần thiết để đáp ứng yêu cầu, cần thiết để trưởng dự án liên hệ với khách hàng có thơng tin bổ sung Thơng tin phải đính kèm với SSR Sau chương trình yêu cầu hoàn thành, kiểm tra nghiệm thu thỏa thuận tiến hành Sau khách hàng xác nhận yêu cầu đáp ứng, họ phê duyệt SSR Biểu mẫu sử dụng để ghi lại dự án hoàn thành đưa vào trạng thái sản xuất Q trình Phần mơ tả việc xử lý SSR: Khách hàng bắt đầu trình cách hồn thành SSR chuyển tiếp đến Người quản lý dự án (PM) Giám đốc phát triển ứng dụng (AD) thích hợp SSR nhận phận AD Bất kể AD thực nhận SSR, phải chuyển đến PM thích hợp Nếu PM thấy mô tả yêu cầu SSR không đầy đủ không rõ ràng, PM liên hệ trực tiếp với khách hàng để làm rõ Khi PM hiểu đầy đủ yêu cầu, họ chuẩn bị phân tích ước tính nỗ lực cần thiết để đáp ứng yêu cầu Trong số trường hợp, PM cảm thấy việc đáp ứng yêu cầu phi thực tế Vì trường hợp này, họ thảo luận với khách hàng lý yêu cầu không thực Và khách hàng xác nhận lại yêu cầu, PM Giám đốc AD xác định xem có nên khiếu nại định khách hàng lên Ban đạo Hệ thống Thông tin để đưa phán cuối SSR hay khơng Nếu ước tính dự án bốn mươi hơn, chi tiết thiết kế cần xem xét với khách hàng Sau xem xét đồng tình kế hoạch, PM dự kiến thời hạn mục tiêu (TTD) để hoàn thành SSR Trong việc thiết lập TTD, PM cân nhắc nguồn lực sẵn có cam kết khác dự án TTD nhanh chóng thơng báo tới khách hàng u cầu Nếu ước tính dự án vượt bốn mươi giờ, SSR tài liệu bổ sung dự án chuyển đến ISSC để xem xét, xác định mức độ ưu tiên ủy quyền tiến hành Hội đồng xác định liệu thay đổi yêu cầu lên lịch thực lập tức, lên kế hoạch thực tương lai hay bị từ chối Nếu yêu cầu bị từ chối, yêu cầu trả lại cho khách hàng, với lời giải thích (các) lý từ chối Nếu chấp thuận để triển khai, định ưu tiên thực SSR trả lại cho AD để biết lịch trình thực Sau nhận ủy quyền triển khai, thiết kế chi tiết nên khách hàng xem xét lại Sau nhận trí thiết kế, Thủ tướng chiếu TTD để hoàn thành dự án Trong việc thiết lập TTD, PM xem xét nguồn lực sẵn có cam kết khác dự án Bộ phận TTD nhanh chóng thơng tin cho khách hàng PM phối hợp với nhân viên AD, nhân viên quản lý nhân viên CNTT khác (chẳng hạn Quản trị sở liệu, Dịch vụ hỗ trợ người dùng, Quản trị mạng, v.v.) nguồn lực họ yêu cầu để đáp ứng đề nghị này, liệu có tác động mặt vận hành quy trình lĩnh vực khác PM liên hệ với khách hàng để thảo luận chi tiết (các) kiểm tra tiến hành Khi Kiểm tra nghiệm thu (AT) hoàn thành khách hàng xác minh tính xác kết thu được, khách hàng cho biết chấp thuận họ để đưa dự án vào sản xuất cách ký SSR Nhóm Kiểm sốt Sản xuất (PCG) đưa dự án vào trạng thái hoạt động PM hoàn thành phần SSR, ghi lại dự án đưa vào sản xuất PM ghi lại trạng thái yêu cầu “đã hoàn thành” gửi SSR PM nhanh chóng thơng báo cho khách hàng dự án hồn thành vào sản xuất Lưu giữ Biểu mẫu Tài liệu Tất tài liệu liên quan đến việc xử lý SSR lưu giữ mười hai tháng Hình 1.3 Mẫu thủ tục quản lý thay đổi ứng dụng III CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH Để đáp ứng nhu cầu tổ chức, sách tốt nên: ◾ Dễ dàng để hiểu Điều quan trọng tài liệu trình bày phải đáp ứng yêu cầu đối tượng dự kiến Thơng thường, sách, tiêu chuẩn thủ tục biên soạn chuyên gia chủ đề gửi đến đối tượng chung để sử dụng Tài liệu thường viết trình độ cao đẳng kỹ thuật trình độ đọc hiểu trung bình đối tượng nơi làm việc nằm phạm vi học sinh lớp sáu (12 tuổi) ◾ Được áp dụng Khi tạo sách, người viết nghiên cứu thêm tổ chức khác chép nguyên văn tài liệu Điều thiết thực; nhiên, Điều quan trọng phải đảm bảo dù người viết đáp ứng nhu cầu cụ thể tổ chức bạn ◾ Được triển khai Liệu tổ chức nhân viên họ đạt mục tiêu kinh doanh sách thực thi? Thơng thường, tổ chức thực thi sách nhằm trả lời ý kiến đánh giá Vấn đề thực điều sách q hạn chế đến mức cản trở khả thực công việc kinh doanh sứ mệnh tổ chức ◾ Được thực thi Tránh việc viết nên sách tự huỷ hoại “Chỉ sử dụng điện thoại di động công ty cung cấp dành cho gọi công việc” Đối với hầu hết tổ chức, thực tế sách, nhiên hầu hết điện thoại sở sử dụng ngày cho gọi cá nhân Một sách tốt sách có dạng, “Điện thoại cơng ty cung cấp sử dụng có phê duyệt ban quản lý” ◾ Được thực Điều cần thiết để tổ chức xem xét xếp sách trước có hiệu lực Nhiều tổ chức cơng bố sách sau u cầu đơn vị kinh doanh cung cấp tuân thủ kế hoạch khoảng thời gian cụ thể sau công bố Điều giúp nhà quản lý đơn vị kinh doanh có khoảng thời gian để xem xét sách, tìm điểm thiếu hụt tổ chức, sau trình bày thời gian biểu để tn thủ Các thư tuân thủ thường lưu trữ hồ sơ cung cấp cho nhân viên kiểm toán ◾ Được chủ động Hãy nêu rõ việc phải làm, đừng sa đà vào việc đưa tuyên bố rằng: “Không làm điều này!” cố gắng nêu rõ làm đâu mong đợi từ nhân viên ◾ Tránh tuyệt đối Có khả ngoại giao hiểu cách nói đắn mặt trị Khi thảo luận biện pháp trừng phạt hành vi không tuân thủ, số tổ chức tuyên bố, “Nhân viên vi phạm sách phải chịu hình thức kỷ luật bao gồm việc sa thải mà không cần cảnh cáo” Đối với sách có nội dung “Nhân viên khơng tn thủ với sách bị coi vi phạm Tiêu chuẩn Ứng xử nhân viên” Các tiêu chuẩn ứng xử quy định nhân viên phải chịu hình thức kỷ luật bao gồm sa thải Nếu có thể, sử dụng cách tiếp cận tử tế hơn, nhẹ nhàng ◾ Đáp ứng mục tiêu kinh doanh Các chuyên viên bảo mật phải nhận thức biện pháp kiểm soát phải giúp tổ chức đạt mức rủi ro chấp nhận 100% bảo mật 0% suất Bất biện pháp kiểm sốt sách làm ảnh hưởng đến mục tiêu sứ mệnh kinh doanh ảnh hưởng đến tổ chức, biện pháp kiểm sốt sách Phải hiểu sách tồn để hỗ trợ doanh nghiệp ngược lại IV ĐỊNH DẠNG CHÍNH SÁCH Định dạng (bố cục) thực tế sách phụ thuộc vào hình thức sách tổ chức bạn Điều quan trọng sách phát triển phải giống với sách công bố từ tổ chức để thành công Hãy tìm người chịu trách nhiệm sách tổ chức bạn xem liệu họ có biểu mẫu sẵn hay khơng Những thành viên hội đồng đánh giá chấp nhận việc đọc đánh giá sách khơng giống sách thực Những sách nhìn chung ngắn gọn so với thủ tục thường bao gồm chữ tờ văn sử dụng hai mặt tờ giấy Trong lớp học mình, tơi nhấn mạnh khái niệm ngắn gọn Tuy nhiên, điều quan trọng tạo nên sách phải cân ngắn gọn rõ ràng Lấy tất từ bạn cần để hoàn thành suy nghĩ, chống lại thúc muốn bổ sung thêm thơng tin Nhiều năm trước, có linh mục trẻ đến thăm giáo xứ giảng ông thảo luận khái niệm in chìm Khái niệm hướng dẫn cần đưa vào tài liệu tun bố (Hình 1.4) Mẫu sách bảo mật I Mục đích Để đưa đạo việc bảo vệ nguồn thông tin Cơ quan đặc biệt bang Michigan (MSSA) khỏi bị truy cập, sửa đổi, chép, phá hủy tiết lộ trái phép II Ứng dụng Chính sách áp dụng cho tất nhân viên MSSA bao gồm nhân viên, thực tập sinh, nhà cung cấp, nhà thầu tình nguyện viên Chính sách liên quan đến tất tài nguyên thông tin sử dụng để tiến hành hoạt động kinh doanh MSSA sử dụng để truyền lưu trữ thơng tin Hạn chế Bí mật MSSA Nguồn thông tin MSSA bao gồm thông tin tạo điện tử, in, quay phim, đánh máy, lưu trữ truyền đạt lời nói Tài nguyên thông tin phải bảo vệ theo độ nhạy, độ quan trọng giá trị nó, phương tiện mà lưu trữ, hệ thống thủ cơng tự động xử lý nó, phương pháp mà phân phối III Định nghĩa Nguồn thơng tin - thông tin tạo ra, lưu trữ dạng tạm thời vĩnh viễn, lưu trữ, sản xuất chép, hình thức phương tiện Thông tin bao gồm, không giới hạn a Thông tin nhận dạng cá nhân (PII) b Báo cáo, tệp, thư mục, ghi nhớ c Các câu lệnh, đánh giá, bảng điểm d Hình ảnh, e thơng tin liên lạc Tài nguyên thông tin bao gồm hệ thống dựa điện tử cấu hình để thu thập, xử lý, truyền tải phổ biến tài nguyên thông tin MSSA Điều bao gồm, không giới hạn, phần mềm, phần cứng thiết bị máy chủ, máy tính lớn, hệ thống tầm trung, phần cứng viễn thông, định tuyến, công tắc ứng dụng phần mềm Chủ sở hữu thông tin - Giám đốc Bộ phận MSSA nơi tài nguyên thông tin tạo người dùng tài nguyên thông tin Chủ doanh nghiệp - nơi có nhiều chủ sở hữu thơng tin cho tài nguyên thông tin xảy ra, chủ sở hữu thông tin phải định Chủ doanh nghiệp có thẩm quyền đưa định thay mặt cho tất chủ sở hữu tài nguyên thông tin 18 Danh mục phân loại thông tin - tất thông tin MSSA chủ sở hữu thông tin phân loại thành ba loại phân loại a Hạn chế: Phân loại áp dụng cho thông tin nhạy cảm với MSSA thường số nhân viên phép xem loại thông tin Việc tiết lộ thơng tin bị hạn chế gây ảnh hưởng nghiêm trọng tổn hại đến MSSA đối tác MSSA Loại thơng tin bao gồm, khơng giới hạn liệu PII khách hàng (số An sinh xã hội, số lái xe, số thẻ tín dụng, v.v.), liệu nhân (số An sinh xã hội, thơng tin y tế, v.v.), liệu tài , mật quản trị, khóa mã hóa, kiện tụng, thơng tin vị trí địa điểm khảo cổ tài liệu lập kế hoạch chiến lược b.Bảo mật: Phân loại đề cập đến thông tin kinh doanh độc quyền nhằm mục đích sử dụng MSSA cho trách nhiệm hàng ngày bình thường Ví dụ loại thơng tin bao gồm, khơng giới hạn sách, thủ tục, tiêu chuẩn, sơ đồ quy trình kinh doanh, danh bạ điện thoại, sơ đồ tổ chức, sưu tập khảo cổ tài liệu dán nhãn bí mật c Cơng khai: Phân loại áp dụng cho thông tin chấp thuận cho truy cập công khai liệu mà việc tiết lộ khơng có tác động tiêu cực đến MSSA Các ví dụ bao gồm, khơng giới hạn: thông báo quan, số điện thoại địa công bố công khai, thông tin chung địa điểm khảo cổ (không bao gồm địa điểm) thơng cáo báo chí Phân loại - chủ sở hữu thông tin phải thiết lập chu kỳ xem xét cho tất thông tin phân loại Hạn chế Bí mật phân loại lại thơng tin khơng cịn đáp ứng tiêu chí thiết lập cho thơng tin Chu kỳ cần tương xứng với giá trị thông tin không năm Người giám sát - cá nhân tổ chức định chủ sở hữu thông tin chịu trách nhiệm trì biện pháp bảo vệ thiết lập chủ sở hữu thông tin Người dùng - nhân viên ủy quyền chịu trách nhiệm sử dụng bảo vệ tài ngun thơng tin kiểm sốt họ theo hướng dẫn chủ sở hữu thông tin IV Chính sách Các nguồn thơng tin MSSA nằm phận đại lý khác tài sản chiến lược quan trọng thuộc người dân Michigan Những tài sản ln sẵn có bảo vệ tương xứng với giá trị tài sản Các biện pháp thực để bảo vệ tài sản chống lại truy cập, tiết lộ, sửa đổi phá hủy trái phép, dù vơ tình hay cố ý, để đảm bảo tính sẵn có, tính tồn vẹn, tiện ích, tính xác thực tính bảo mật thơng tin Quyền truy cập vào nguồn thông tin MSSA quản lý cách thích hợp 19 Tất nhân viên MSSA phải chịu trách nhiệm hành động họ liên quan đến nguồn thông tin Các nguồn thông tin sử dụng cho mục đích định theo định nghĩa MSSA phù hợp với luật hành V Trách nhiệm Chủ sở hữu thơng tin có trách nhiệm a Xác định mức độ phân loại tất tài nguyên thông tin phận chúng b.Xác định xác minh việc thực biện pháp bảo vệ thích hợp để đảm bảo tính bí mật, tính tồn vẹn tính sẵn có nguồn thơng tin c Giám sát biện pháp bảo vệ để đảm bảo tuân thủ báo cáo trường hợp không tuân thủ d.Cấp quyền truy cập cho người có nhu cầu kinh doanh nguồn thơng tin e Loại bỏ quyền truy cập cho người không cịn nhu cầu kinh doanh nguồn thơng tin Người giám sát có trách nhiệm a Thực u cầu kiểm sốt tính tồn vẹn kiểm sốt truy cập chủ sở hữu thơng tin quy định b.Thông báo cho chủ sở hữu thông tin thiếu hụt lỗ hổng nghiêm trọng gặp phải dẫn đến việc không đáp ứng yêu cầu c Tuân thủ tất hướng dẫn quy trình cụ thể MSSA để thực hiện, hỗ trợ trì an tồn thơng tin Người dùng có trách nhiệm a Chỉ truy cập thông tin mà họ cấp quyền truy cập b.Chỉ sử dụng thơng tin cho mục đích dự định c Đảm bảo thơng tin xác thực (ví dụ: mật khẩu) tuân thủ tiêu chuẩn bảo mật MSSA / SOM có d.Duy trì tính tồn vẹn, bảo mật tính sẵn có thơng tin truy cập với mong đợi chủ sở hữu thông tin kiểm soát họ e Tuân thủ tất hướng dẫn thủ tục dành riêng cho MSSA / SOM để thực hiện, hỗ trợ trì sách tiêu chuẩn Bảo mật thông tin MSSA / SOM f Báo cáo vi phạm nghi ngờ vi phạm sách tiêu chuẩn cho ban quản lý MSSA thích hợp Người quản lý dự án bảo mật thông tin MSSA Chủ sở hữu thông tin cấp quyền truy cập vào nguồn thông tin cho người có nhu 20 cầu kinh doanh chấp thuận (Tham khảo Chính sách kiểm sốt truy cập bảo mật thông tin MSSA.) VI Tuân thủ Các Giám đốc Bộ phận MSSA (chủ sở hữu thông tin) sẽ: a Đảm bảo có kiểm sốt phân chia nhiệm vụ đầy đủ nhiệm vụ dễ bị gian lận hoạt động trái phép khác b.Quản lý tài nguyên thông tin MSSA / SOM, nhân tài sản vật chất liên quan đến nhiệm vụ MSSA, quyền giám sát việc sử dụng thực tế tất Tài sản MSSA/SOM c Đảm bảo tất nhân viên nhân viên hợp đồng nhận thức chấp nhận nghĩa vụ bảo vệ tài nguyên thông tin MSSA / SOM Tất người dùng cấp quyền truy cập (bao gồm không giới hạn, nhân viên đại lý, nhân viên tạm thời nhà thầu độc lập) tài nguyên thông tin MSSA, phải thức thừa nhận họ tuân thủ sách thủ tục bảo mật thông tin MSSA họ không cấp quyền truy cập vào tài ngun thơng tin Có ba loại sách bạn sử dụng loại vào thời điểm khác chương trình bảo mật thơng tin tồn tổ chức để hỗ trợ trình sứ mệnh kinh doanh Ba loại sách Tồn cầu (bậc 1) - phận sử dụng để tạo tầm nhìn hướng chung tổ chức Đối tượng cụ thể (cấp độ 2) - chúng đề cập đến đối tượng cụ thể cần quan tâm Chúng ta thảo luận kiến trúc bảo mật thông tin loại sau Các sách cụ thể ứng dụng - tập trung vào định đưa ban quản lý để kiểm soát ứng dụng cụ thể (báo cáo tài chính, bảng lương, v.v.) hệ thống (hệ thống lập ngân sách) 21 CHƯƠNG 14 : CHÍNH SÁCH BẢO MẬT THƠNG TIN: GĨC NHÌN CỦA CHUN VIÊN Việc viết sách bảo mật thơng tin điều mà hầu hết người làm công tác an tồn thơng tin phải làm vào buổi sáng? - KHÔNG PHẢI! Nhiều chuyên viên phải vật lộn với lĩnh vực nghề nghiệp mà họ chọn Nhưng đừng sợ, có người ẩn nấp bóng tối thích viết Tơi khơng phải người giỏi viết sách, tơi nhiều lần u cầu viết sách cho cơng ty tập đồn 25 năm Thời điểm để bắt đầu viết báo cáo bạn hoàn thành theo ý muốn Đến lúc đó, bạn bắt đầu nhận thức cách rõ ràng logic bạn thực muốn nói —Mark Twain Tơi sớm biết nghiệp bảo mật thông tin kỹ sư nhà cơng nghệ muốn trở thành kỹ sư nhà công nghệ làm việc với phần cứng, cáp, thẻ, v.v Họ khơng muốn viết ghi lại thứ - trừ ngoại lệ - đưa cho họ bảng trắng và họ vẽ cho bạn sơ đồ cung cấp rõ ràng ý nghĩa sống Chà, có lẽ khơng xa đến vậy, bạn hiểu ý tơi nói Họ người học trực quan truyền đạt thông tin Và, theo quan điểm 22 tôi, tất cần số hình thức giao tiếp lời nói hình ảnh để nắm bắt điều Tơi may mắn biết điều sớm biết ngồi cạnh kỹ sư nhà công nghệ, họ tử tế để chia sẻ với tơi họ làm tất công việc Và đủ sắc sảo để viết tất điều đó, xác nhận khu vực mơ hồ thiếu mức độ rõ ràng Sau đó, giống tên trộm đêm, soạn thảo chuẩn bị mẫu đơn đánh máy thức yêu cầu họ xác nhận phủ nhận nói Cuối cùng, hai chúng tơi đồng ý chúng tơi có tài liệu hoạt động sau lưu trữ chia sẻ cho phù hợp I CÁC ĐỊNH NGHĨA Trước tiên, bắt đầu với việc cung cấp số định nghĩa sách bao gồm sách, tiêu chuẩn thủ tục Nhiều người bạn lĩnh vực an tồn thơng tin có quan điểm với tơi sách (Policies) Các sách bảo mật thơng tin “điểm mấu chốt”, chúng thiết lập ranh giới khả chấp nhận toàn tổ chức Chúng quy tắc tuyên bố cấp cao để bảo vệ người hệ thống tổ chức Chúng nhằm mục đích người đọc, chẳng hạn nhân viên, nhà thầu, nhà tư vấn nhân viên tạm thời Bất kỳ làm việc cho công ty thay mặt cho công ty phải nắm rõ sách cơng ty Phiên nhỏ sách, phần lớn, tham chiếu đến thuộc tính kiểm sốt cụ thể xác định hệ thống, thiết bị, ứng dụng bảo mật chí số ứng dụng kinh doanh Các thuộc tính cài đặt định cấu hình thường gọi “chính sách” (policies) 23 Đối với thuật ngữ “tiêu chuẩn”, đơi sử dụng nói sách, tiêu chuẩn thủ tục bảo mật thông tin Tiêu chuẩn tập hợp thuộc tính kiểm sốt cấp thấp quán áp dụng chép cách quán tảng phần cứng nhúng phần mềm trình phát triển, cấu hình thiết bị bảo mật thực thi sách định “Thủ tục” quy trình bước thực để thực tiêu chuẩn đáp ứng sách công ty Thu thập yêu cầu Bây có định nghĩa đó, cần có số lĩnh vực cơng ty bạn nhạy cảm bảo mật so với lĩnh vực khác Trong lĩnh vực này, biện pháp an ninh nghiêm ngặt thích hợp Do đó, chúng khơng đáp ứng Chính sách Bảo mật Thơng tin Cơng ty mà cịn vượt thông số kỹ thuật xác định tiêu chuẩn bảo mật cụ thể mà công ty công bố Điều phép nên thơng báo hỗ trợ thêm cho phương pháp luận an ninh “phòng thủ chuyên sâu” mà nhiều tổ chức lớn quy định Khái niệm phòng thủ theo chiều sâu sử dụng nhiều lớp bảo vệ an ninh để bảo vệ tài sản thông tin doanh nghiệp Trước bắt đầu tạo sách bảo mật thông tin, biết yêu cầu bảo mật thơng tin chúng tơi lấy từ nhiều nguồn khác (ví dụ: luật, sách, thị, quy định, tiêu chuẩn yêu cầu tổ chức, sứ mệnh / kinh doanh / hoạt động) Các yêu cầu bảo mật cấp tổ chức lập thành văn Kế hoạch Chương trình An tồn Thơng tin tài liệu tương đương Tiến hành đánh giá rủi ro 24 Trước thiết kế ban hành sách, trước lựa chọn thực biện pháp an ninh kỹ thuật, bạn phải đảm bảo có tranh hợp lý rủi ro mà nguồn lực bạn phải đối mặt Điều thực thông qua chương trình quản lý rủi ro thơng tin triển khai phát triển tốt Chương trình quản lý rủi ro nguồn nội dung tuyệt vời để xây dựng sách bảo mật thơng tin bạn hỗ trợ bạn ưu tiên cơng việc việc phát triển sách cần tập trung nỗ lực khắc phục, v.v Chúng ta thảo luận quản lý rủi ro trước sách (Chương 4) Hình thức đơn giản mà đánh giá rủi ro thực cung cấp thông tin cần thiết để ưu tiên lập kế hoạch phát triển sách an ninh liên quan đến việc đo lường hai yếu tố việc đánh giá rủi ro định Hai yếu tố này, thứ nhất, xác định xác suất mối đe dọa thực hiện, thứ hai, xác định ảnh hưởng mối đe dọa thành thực Mỗi mối đe dọa nên ấn định giá trị cho hai yếu tố này, hai yếu tố sau so sánh để tạo mức rủi ro chung sử dụng để ưu tiên rủi ro Từ thời điểm này, bạn biết cần phải làm - thiết lập ưu tiên bạn với sách bảo mật cần thiết Ghi lại tất phát bạn theo cách phù hợp Cá nhân tơi thích bảng tính mà tơi tạo thành bảng tính ma trận Điều có lợi trình bày với lãnh đạo cấp cao bạn chuyển đổi liệu thành biểu đồ sơ đồ dễ dàng, dạng ma trận, mức độ hiểu đơn giản Sử dụng ISO 27002 làm khung 25 Bây giờ, bạn muốn bắt đầu xác định khuôn khổ, phương pháp luận tảng cho sách bảo mật thơng tin tổ chức bạn Tơi tìm thấy cách tiếp cận, phương pháp luận tảng mà tin quan trọng phát triển lâu dài hướng tới việc tuân thủ nghĩa vụ Liên bang, Tiểu bang, luật pháp hợp đồng Tổ chức Tiêu chuẩn Quốc tế (ISO) Theo đánh giá nhiều yêu cầu quy định Đạo luật trách nhiệm giải trình cung cấp bảo hiểm y tế (HIPAA), Sarbanes Oxley (SOX), Đạo luật Graham Leach Blyley (GLBA), Đạo luật Quản lý An ninh Thông tin Liên bang (FISMA), v.v., chủ đề lặp lại gốc rễ tất cơng việc Chủ đề gọi sê-ri 27000 Tổ chức Tiêu chuẩn Quốc tế (ISO’s) tìm thấy gần tất yêu cầu theo quy định theo ngành cụ thể Nhiều luật cấp tiểu bang gần mang hương vị ISO Vì vậy, nên truy cập nguồn xây dựng khung sách bạn từ tiêu chuẩn Bước tơi tạo bảng tính dành cho người kiểm tra chặt chẽ danh mục ISO để sử dụng Khung sách bảo mật thông tin doanh nghiệp Như đề cập trước đây, bắt đầu với chương trình quản lý rủi ro; cụ thể đánh giá rủi ro Tôi thu thập thông tin cần thiết từ đánh giá rủi ro môi trường người sử dụng lao động, giúp xác định đâu điểm mạnh điểm yếu Nó cho phép tơi đảm bảo sách phát triển phù hợp với tổ chức cần Các vấn đề định dạng sách Tơi chia sẻ số sách văn bao gồm nhiều chủ đề khác với tác giả Những điều cho phép bạn “bắt đầu” chương trình sách bảo mật thơng tin nhanh nhiều Tất nhiên, bạn muốn thực đánh giá riêng bạn cần dạng 26 sách khơng phải tất áp dụng tổ chức bạn Một điểm khác mà cảm thấy cần đưa bạn nên hiểu có kiến thức làm việc vững văn hóa tổ chức bạn Mặc dù tơi cố gắng viết sách chia sẻ theo cách chung chung, định hình kinh nghiệm phong cách sách tơi khơng phù hợp với văn hóa tổ chức bạn Sau bạn so sánh văn hóa tổ chức mình, thoải mái sử dụng nội dung sách cần Định dạng lĩnh vực quan tâm khác Định dạng sách tơi định dạng mà tổ chức không sử dụng vào thời điểm Tuy nhiên, bảo mật thơng tin ý đáng kể, nên tự việc tạo giao diện “của riêng mình” sách, tiêu chuẩn quy trình bảo mật thông tin mẫu tài liệu MS Word tạo màu đỏ, xanh lục xanh lam để đại diện cho sách, tiêu chuẩn thủ tục tương ứng Do đó, người đọc không nhận thông tin họ cần dạng văn mà cịn nhấn mạnh lại thơng qua đặc điểm riêng biệt liên quan đến thông tin Để tóm tắt vị chúng tơi thời điểm này, xác định phương pháp tiếp cận sau để phát triển chương trình sách bảo mật thông tin bạn: Thu thập yêu cầu bảo mật theo quy định, hợp đồng pháp lý Tiến hành đánh giá rủi ro, xác định liệu đánh giá xác suất rủi ro Sử dụng tính chụp khung ISO 27002 lối qua đường làm mơ hình bạn Đây tảng việc phát triển chương trình phát triển sách bảo mật thơng tin bạn Theo thời gian, bạn sửa đổi thơng tin có mơ hình phương pháp luận thay đổi xảy 27 tổ chức với thay đổi tránh khỏi yêu cầu quy định, hợp đồng pháp lý Trong trình phát triển chương trình bảo mật thông tin cho tổ chức tổ chức có thay đổi, tơi nâng cao sửa đổi số thơng số Điều giúp chương trình tơi ln cập nhật với thay đổi lĩnh vực Bộ phận kiểm tốn CNTT chúng tơi nhận thấy điều hữu ích đạo kiểm tốn định kỳ Hãy hình dung, bạn muốn, lối tơi bảng tính liệt kê u cầu quy định, hợp đồng pháp lý với tiêu chuẩn quốc tế cụ thể mà hỗ trợ; trường hợp tôi, tiêu đề hàng sách tơi xác định tiêu đề cột Nơi chúng giao điểm kết nối nơi thiết kế liên kết đến điều khiển thực tế triển khai để đáp ứng yêu cầu Một lần nữa, nhóm kiểm tốn CNTT chúng tơi vui mừng cung cấp cách hiệu để họ kiểm tra sổ sách Ngoài ra, lợi ích cách tiếp cận cung cấp cho phận bảo mật CNTT thông tin tức thời theo thời gian thực để hỗ trợ yêu cầu nào, nội bên Phân loại đối tượng bạn Giờ đây, nắm bắt thông tin cần thiết để giải tất mối quan tâm tổ chức, chúng tơi cần nghĩ đối tượng Đối tượng bạn tất nhiên tất nhân viên cơng ty, chia thành nhóm Nhóm quản lý Nhóm kỹ thuật Nhóm người dùng cuối 28 Nhóm đối tượng nịng cốt mà người phù hợp nhóm người dùng cuối Trong số trường hợp, bạn có nhân viên hai nhóm số ba nhóm Bây chúng tơi xác định nhóm nhân viên mình, trình bày ngắn gọn lý cho sách từ đầu điều giúp chúng tơi xác định nội dung cho nhóm nhân viên Chính sách bảo mật nên Hỗ trợ theo dõi việc tuân thủ quy định pháp luật Thiết lập sở để giảm thiểu rủi ro Thiết lập ranh giới công ty an ninh Đặt quy tắc cho hành vi mong đợi người dùng, quản trị viên hệ thống, nhân viên bảo mật quản lý Bảo vệ người thông tin Xác định ủy quyền cho nhân viên an ninh giám sát, thăm dò điều tra Xác định cho phép hậu hành vi vi phạm Lựa chọn chủ đề Giờ đây, hầu hết học viên bảo mật dày dặn kinh nghiệm biết sách xác định rõ ràng hỗ trợ việc đào tạo nhân viên thành người tham gia tích cực vào việc bảo mật tài sản thơng tin tổ chức Thay có nhóm năm chuyên gia bảo mật tổ chức gồm 31.000 nhân viên, xoay chuyển điều để người có trách nhiệm bảo mật thơng tin đó, tranh thủ hỗ trợ họ giúp đỡ nhiều người, theo thời gian, biến nhóm bảo mật thơng tin non trẻ thành nguồn lực mạnh mẽ mà ban quản lý kêu gọi cách rộng rãi 29 Cách tiếp cận đưa nhiều sáng kiến mà khơng khơng thực gây bối rối độ cho toàn tổ chức vi phạm xảy Chính nhân viên chúng tơi tài sản lớn chúng tơi họ biết liệu, họ biết giá trị họ biết điểm yếu hệ thống Vì vậy, nhân viên nguồn thơng tin “nội bộ” tuyệt vời giúp bạn thiết kế biện pháp kiểm sốt thích hợp thơng tin mà bạn làm việc Tất nhiên, mặt ngược lại đồng xu Nhân viên khơng trung thực kẻ thù tồi tệ chúng ta, họ khai thác lỗ hổng đánh cắp thông tin để thu lợi chủ yếu cá nhân tài Vì vậy, quay lại với đối tượng khác loại sách cho đối tượng Trong thiết kế tơi sách bảo mật thơng tin, sách nên đọc tất nhân viên, nhà thầu, nhà tư vấn công nhân dự phịng Chính sách cung cấp cho người đọc thơng tin cần thiết có tầm quan trọng lớn việc quản lý cơng ty Nó cung cấp hướng dẫn rõ ràng việc sử dụng tài nguyên công ty cách hợp lý không kỳ vọng quyền riêng tư Dưới danh sách ngắn gọn số mục mà người ta tìm thấy sách cấp độ này, áp dụng cho tất nhân viên Quy định trách nhiệm Ban An ninh Sử dụng e-mail Internet Sử dụng phù hợp ứng xử có đạo đức Nhận dạng / quản trị người dùng Quản lý tài khoản người dùng 30 Có nhiều chủ đề khác thêm vào danh sách Với chút nghiên cứu, bạn tìm thấy danh sách web để giúp kích thích q trình suy nghĩ bạn đưa cần thiết cho bạn tổ chức bạn Vì vậy, nhanh chóng xem lại chúng tơi đề cập việc phát triển chương trình sách bảo mật thơng tin bạn: Thu thập yêu cầu bảo mật theo quy định, hợp đồng pháp lý Tiến hành đánh giá rủi ro, xác định liệu đánh giá xác suất rủi ro Sử dụng tính chụp khung ISO 27002 lối qua đường làm mơ hình bạn Phân loại đối tượng bạn chọn tài liệu thích hợp cho người đọc Chọn chủ đề cho sách bạn bao gồm tất khía cạnh doanh nghiệp II TĨM TẮT Tơi tin bạn nắm thông tin này, bạn nên ghi lại Đây tài liệu tảng bạn, cần, tham khảo chia sẻ kiểm tốn Bạn khơng thể viết chấp thuận cho tất sách bạn lúc Một số sách hàng tuần hàng tháng để viết xem xét, bạn phải tìm kiếm thêm thơng tin Nhưng tài liệu tảng trở thành đường dẫn đến tiến bạn Đây chặng đường dài xét từ góc độ kiểm tốn viên Có nhiều học viên bảo mật viết nhiều sách người có kiến thức sâu rộng tơi cách viết sách Tìm kiếm nhà văn tác giả nhằm 31 thu thập thông tin bạn bắt đầu phát triển kế hoạch bạn Cuối cùng, việc bắt đầu trì lợi ích công ty bạn 32 ... : CHÍNH SÁCH BẢO MẬT THƠNG TIN: GĨC NHÌN CỦA CHUN VIÊN Việc viết sách bảo mật thông tin điều mà hầu hết người làm cơng tác an tồn thơng tin phải làm vào buổi sáng? - KHÔNG PHẢI! Nhiều chuyên viên. .. sách an tồn thông tin, thiết lập tiêu chuẩn hỗ trợ điều vơ cần thiết Hình 1.2 ví dụ tiêu chuẩn cho chủ đề cụ thể trơng Hình 1.1 Mẫu sách bảo mật thơng tin Chính sách bảo mật thông tin Thông tin. .. trì sách tiêu chuẩn Bảo mật thông tin MSSA / SOM f Báo cáo vi phạm nghi ngờ vi phạm sách tiêu chuẩn cho ban quản lý MSSA thích hợp Người quản lý dự án bảo mật thông tin MSSA Chủ sở hữu thông tin