Quản Lý Và Xây Dựng Chính Sách An Toàn Thông Tin Đề tài: Tìm Hiểu Phương Pháp Phân Loại Chính Sách Xây Dựng Chính Sách Cụ Thể Cho Từng Loại

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÀI TẬP LỚN MÔN HỌC Quản Lý Và Xây Dựng Chính Sách An Tồn Thơng Tin Đề tài: Tìm Hiểu Phương Pháp Phân Loại Chính Sách & Xây Dựng Chính Sách Cụ Thể Cho Từng Loại Giảng viên hướng dẫn: GV: NGUYỄN THỊ THU THỦY Sinh viên thực hiện: NGUYỄN LINH CHI AT150205 BÙI THỊ HẢI YẾN AT150364 HẠ VĂN MẠNH AT150239 TRẦN HỒNG SƠN AT150246 Hà Nội, 10-2021 MỤC LỤC DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT i PHẦN MỞ ĐẦU ii CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH ATTT 1.1 Giới thiệu sách ATTT 1.2 Mục đích, vai trị yêu cầu sách ATTT 1.2.1 Mục đích sách ATTT 1.2.2 Vai trị sách ATTT 1.2.3 Yêu cầu sách ATTT CHƯƠNG PHÂN LOẠI CHÍNH SÁCH 2.1 Các tiêu chí phân loại sách ATTT 2.2 Phân loại sách ATTT 2.2.1 Chính sách yêu cầu thiết kế 2.2.2 Chính sách xử lý khơi phục sau cố 2.2.3 Chính sách bảo mật 2.2.4 Chính sách quy trình phân loại quản lý liệu 2.2.5 Chính sách quản lí người dùng 2.2.6 Chính sách sở hạ tầng mạng máy tính CHƯƠNG XÂY DỰNG CHÍNH SÁCH 3.1 Giới thiệu doanh nghiệp 3.2 Tổ chức 3.3 Mong muốn yêu cầu bên liên quan công ty 3.4 Quy trình đo lường hệ thống quản lý an tồn thơng tin 3.5 Quy trình quản lý source code, mềm tài liệu 3.5.1 Mục tiêu: 3.5.2 Kỹ thuật: 10 3.5.3 Các bước thực tạo, sửa xóa source code, tài liệu liên quan 10 3.6 Quy trình giáo dục nhận thức, đào tạo an tồn thơng tin 10 3.6.1 Mục tiêu 10 3.6.2 Chính sách đào tạo an tồn thơng tin 10 3.6.3 Các quy định nhân viên phải thực thi 11 3.6.4 Các quy định nhân viên 13 3.7 Quy trình hành động phịng ngừa hệ thống quản lý ATTT 13 3.8 Chính sách 13 3.8.1 Kiểm soát truy cập 13 3.8.2 Quản lý truyền thông hoạt động 15 3.8.3 An ninh môi trường vật lý 17 3.8.4 An ninh cá nhân 20 CHƯƠNG BẢNG PHÂN CÔNG CÔNG VIỆC 22 DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT Ký hiệu Tiếng việt ATTT An tồn thơng tin CCTT&TT Cơng nghệ thơng tin truyền thông TTĐT Thông tin điện tử i PHẦN MỞ ĐẦU Trong năm gần đây, công nghệ thơng tin truyền thơng (CCTT&TT) có vai trị vơ lớn phát triển quốc gia, doanh nghiệp Ứng dụng CNTT &TT có tác động không nhỏ đến đời sống kinh tế, xã hội đại phận người dân giới CNTT&TT góp phần quan trọng vấn đề an ninh phát triển bền vững quốc gia Do vậy, ứng dụng CNTT&TT trở thành phần thiếu chiến lược phát triển doanh nghiệp quốc gia giới Với tốc độ phát triển ứng dụng CNTT&TT ngày nhanh nay, hàng ngày có lượng thơng tin lớn lưu trữ, truyền tải thông qua cổng/trang thông tin điện tử (TTĐT) kéo theo nhiều rủi ro an tồn thơng tin Thiệt hại an ninh an toàn cổng/trang TTĐT tăng nhanh ảnh hưởng nghiêm trọng đến phát triển kinh tế - xã hội, cơng tác đảm bảo an ninh an tồn khơng triển khai mức Bởi kỹ thuật tội phạm mạng ngày cao tinh vi hơn, số lượng điểm yếu an ninh ngày tăng, số vụ xâm phạm an tồn mạng ngày nhiều Vì vậy, việc đưa sách an tồn thơng tin quan tâm hết Không giúp bảo vệ tài nguyên hệ thống đảm bảo tính riêng tư cho doanh nghiệp mà cịn giúp cho đất nước ổn định mặt trị quốc phịng – an ninh Đề tài tìm hiểu phương pháp phân loại sách xây dựng sách cụ thể cho loại với nội dung sau: Chương 1: Tổng quan sách an tồn thơng tin Chương 2: Phân loại sách an tồn thơng tin Chương 3: Xây dựng sách ii CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH ATTT 1.1 Giới thiệu sách ATTT Là tập hợp thị hướng dẫn an tồn thơng tin Chính sách an tồn bảo mật thơng tin bao gồm điều luật, quy định bảo đảm bảo vệ có hiệu hệ thống xử lý thông tin chống lại hiểm họa ATTT Theo “Sách da cam” (1983), Chính sách an tồn bảo mật thơng tin tập hợp điều luật, qui định giải pháp thực tế để giám sát điều khiển, bảo vệ việc phân phối thông tin nhạy cảm hệ thống Chính sách an tồn bảo mật thơng tin thể ý chí tâm cấp lãnh đạo việc bảo vệ HTTT, bao gồm đầy đủ yếu tố: thông tin (Information), hạ tầng thông tin (phần cứng, phần mềm, mạng hệ thống khác,…) ứng dụng (CSDL, Web, ứng dụng nghiệp vụ,…) 1.2 Mục đích, vai trị yêu cầu sách ATTT 1.2.1 Mục đích sách ATTT Bảo vệ thơng tin khỏi công đồng thời chống lại rủi ro dẫn tới việc truy nhập, sử dụng, làm lộ, phá bỏ hay sửa chữa thông tin cách bất hợp pháp Đưa quy tắc cho hoạt động người dùng, quản trị hệ thống, quản lý nhân viên an ninh Dựa vào quy tắc này, đối tượng tiếp cận với thơng tin kiểm sốt giúp hạn chế tối đa rủi ro xảy Cho phép nhân viên an ninh giám sát, thăm dị điều tra Qua q trình nhân viên an ninh dễ dàng phát lỗ hổng bảo mật kịp thời xử lý, tránh gây hậu đáng tiếc Xác định phê chuẩn hậu vi phạm Sau xác định mức độ vi phạm, đưa biện pháp chế tài xử lý phù hợp Xác định quan điểm sở thống an toàn tổ chức Sự đồng thuận thành viên tổ chức làm cho bước quản lý vận hàng trở nên dễ dàng đạt hiệu cao Hỗ trợ tối thiểu hóa rủi ro: với quy tắc biện pháp giám sát, đưa mức độ rủi ro mức thấp nhất, giúp dễ dàng công tác quản lý nâng cao khả đảm bảo an toàn thơng tin 1.2.2 Vai trị sách ATTT - - Cung cấp khung làm việc toàn diện cho lựa chọn thực thi biện pháp ATTT Là phương tiện liên lạc bên liên quan Quản lí tài nguyên: Con người, kĩ năng, tiền bạc, thời gian, Truyền tải tầm quan trọng ATTT tới tất người tổ chức Giúp tạo niềm tin giá trị liên quan đến ATTT chia sẻ Nghĩa vụ pháp lí Giúp thúc đẩy “các mối quan hệ tin cậy” tổ chức đối tác/khách hàng kinh doanh tổ chức Chính sách ATTT giúp hỗ trợ vận hành thành cơng Chính sách giúp tổ chức hoạt động theo hướng dựa luật, ưu tiên chung mục đích Chính sách ATTT giúp quản lí rủi ro hợp lí, dễ dàng phát điểm yếu hệ thống 1.2.3 Yêu cầu sách ATTT - - - - - Kiểm soát mối đe dọa hệ thống Một sách an tồn thơng tin tốt trước hết phải bao quát rủi ro xảy Từ người quản trị đưa biện pháp xử lý kịp thời Bao gồm việc bảo vệ người thông tin Bên cạnh việc bảo vệ tránh rị rỉ thơng tin, sách an tồn thơng tin cần trọng bảo vệ người Không dừng lại thông tin bản, thông tin cá nhân vơ riêng tư mang tính định danh mang nguy bị lộ lọt chiếm đoạt, gây ảnh hưởng lớn đến đời sống công dân Thiết lập luật lệ cho người dùng tạo dễ dàng cơng tác quản lý kiểm sốt luồng truy nhập, ngăn chặn luồng truy nhập trái phép từ bước đầu Xác định hậu vi phạm đưa biện pháp xử lý phù hợp Đồng thời từ hậu rút kinh nghiệm để xây dựng hệ thống sách hồn thiện Tối thiểu hóa rủi ro cho tổ chức.Chính sách an tồn thơng tin khơng thể loại bỏ hồn tồn rủi ro bị xâm nhập cho tổ chức giúp giảm thiểu nguy đến mức thấp Do có cơng tổ chức khơng bị bất ngờ giảm bớt khó khăn ngăn chặn CHƯƠNG PHÂN LOẠI CHÍNH SÁCH 2.1 Các tiêu chí phân loại sách ATTT Hình 1: Các tiêu chí phân loại sách • Thời gian: sách hoạt động suốt vịng đời mục tiêu kích hoạt thời gian ngắn Trong suốt thời gian quản lý sách, hướng dẫn thực thi sách cần phải gửi nhiều lần Thời hạn hoạt động sách chia thành thời gian áp dụng ngắn hạn, trung bình dài hạn Việc xem xét chi tiết thời gian hoạt động sách dựa việc phân biệt thực thi sách giám sát sách • Chế độ kích hoạt: câu hỏi đặt liệu việc thực thi đặc biệt giám sát có hoạt động liên tục, lặp lại định kỳ khoảng thời gian cụ thể hay khơng? Và kích hoạt kiện nào? Và thêm điều cần quan tâm mối quan hệ sách với sách khác: vd: khơng có mối quan hệ, thực tuần tự, thực đồng thời • • • • • • • • Tiêu chí địa lý: với tiêu chí này, sách phân nhóm theo vị trí , tức ảnh hưởng đến nguồn lực vật lý Ví dụ sách cho hệ thống phân đoạn mạng LAN sách cho tất hệ thống mạng riêng ảo Các khía cạnh điển hình cho nhóm hệ thống tài ngun là: văn phịng, nhóm làm việc, phận, tòa nhà, địa điểm / thành phố, quốc gia, tồn cầu Loại sách: Thường, sách phân biệt nghĩa vụ, cho phép cấm đốn Tiêu chí dịch vụ: sách thường cụ thể số dịch vụ mà tổ chức cung cấp cho khách hàng, mua từ nhà cung cấp dịch vụ cung cấp cho mục đích sử dụng nội Do đó, dịch vụ mà sách định giúp xác định công cụ quản lý định sử dụng nguồn lực cần thực để thực thi sách Tiêu chí tổ chức: nhóm sách phản ánh cấu trúc tổ chức môi trường, ví dụ như: Các sách cho đơn vị kinh doanh cụ thể doanh nghiệp sách cần tuân theo phận bảo mật cao Loại đối tượng áp dụng: Tiêu chí bao gồm sách áp dụng cho tất hệ thống đầu cuối từ nhà cung cấp tất PC phận, tức đối tượng có đặc điểm chung Các đối tượng quen thuộc tài nguyên máy trạm, PC, trung tâm, định tuyến, máy in laser, ứng dụng xử lý văn bản, ứng dụng CAD, nhân viên, v.v Chức đối tượng: bao gồm tất sách áp dụng cho đối tượng với tập hợp chức chung có đặc điểm khác Các đối tượng với chức đặc trưng chung tất thiết bị mạng có khả định tuyến, tất hệ thống (PC, máy in, trung tâm, v.v.) có giao diện người dùng bảo vệ chế mật Nói cách khác, đặc điểm chức kế tốn, vị trí lỗi, bảo mật, quản lý lưu lượng, phân tích hiệu suất, v.v Hoạt động sách: Một sách giám sát thực thi hành động đối tượng mục tiêu để ứng phó đến kiện Chính sách giám sát báo cáo quan sát khơng thực hành động việc thực thi phản ánh lại hoạt động quản lý (hành động phản ứng) Kịch quản lý: sách liên kết với kịch quản lý cụ thể quản lý mạng, quản lý hệ thống quản lý ứng dụng Một số sách chồng chéo nên nhóm lại với thành sách quản lý doanh nghiệp CHƯƠNG XÂY DỰNG CHÍNH SÁCH 3.1 Giới thiệu doanh nghiệp Tên doanh nghiệp: Công ty Game Hưng Thịnh Thành lập: 2018 Nhân sự: 50 nhân viên Lĩnh vực hoạt động: Game Studio chuyên sản xuất phân phối game cho thiết bị di động Chủ yếu game xây dựng đồ họa 2D, ý tưởng game lấy từ cảm hứng từ game kinh điển hệ máy Nintendo thời xưa Sứ mệnh: Công ty Hưng Thịnh nỗ lực trở thành nhà sản xuất game có uy tín tồn quốc, đưa sản phẩm quốc tế, sáng tạo giá trị vi khách hàng, đem lại thành công cho thành viên, đóng góp cho cộng đồng 3.2 Tổ chức Hình 2: Tổ chức công ty Game Hưng Thịnh 3.3 Mong muốn yêu cầu bên liên quan công ty Các công ty phát hành sản phẩm công ty Game Hưng Thịnh sản xuất muốn công ty giữ bí mật doanh thu phát sinh, cách thức họ phát hành, cụ thể số lượt tải phát sinh từ nguồn quảng cáo, sản phẩm game mà họ độc quyền phân phối Cơng ty Hưng Thịnh không gửi cho công ty phân phối game khác chi tiết hợp đồng hợp tác Công ty Hưng Thịnh họ Các cá nhân phát hành sản phẩm Công ty Hưng Thịnh sản xuất ln muốn cơng ty giữ bí mật doanh thu phát sinh, cách thức họ phát hành, cụ thể số lượt tải phát sinh từ nguồn quảng cáo chi tiết hợp đồng hợp tác Công ty Hưng Thịnh họ Các đối tác cung cấp dịch vụ kênh tốn game muốn cơng ty giữ bị mật doanh thu phát sinh chạy qua kênh toán họ, chi tiết log giao dịch khách hàng chi tiết hợp đồng hợp tác Công ty Hưng Thịnh họ 3.4 Quy trình đo lường hệ thống quản lý an tồn thơng tin Cung cấp thơng tin, liệu để hệ thống quản lý an tồn thơng tin phù hợp với chiến lược kinh doanh sở để báo cáo cho bên có liên quan bên bên tổ chức Hiệu quy trình kiểm sốt CNTT ghi nhận tiêu chi đáp ứng Các xu hướng khơng cịn phù hợp phát kịp thời xử lý Giúp giải trình chi phí liên quan đến ISMS thực biện pháp kiểm soát CNTT Thực giám sát việc triển khai ISMS tổ chức Cung cấp thông tin, liệu để tiến hành cải tiến, thiết kế lại quy trình ISMS thiết kế lại biện pháp kiểm soát 3.5 Quy trình quản lý source code, mềm tài liệu 3.5.1 Mục tiêu: Đối với công ty sản xuất game Công ty X, source code tài liệu mềm khác chiến lược phát triển kinh doanh, thông tin đối thủ cạnh tranh, thông tin lương, thưởng nhân viên, kế hoạch phát triển dự án, tài liệu quản lý tiến độ, issues, hướng dẫn sử dụng phần mềm, phần mềm hỗ trợ tải sản có ý nghĩa vơ quan trọng tồn phát triển công ty Quy trình xây dựng có mục tiêu sau: • Đảm bảo source code tài liệu liên quan khác không bị mất, phá hủy vi lý • Đảm bảo source code tài liệu liên quan trạng thái sẵn sàng sử dụng Đâu nhất, đâu version alpha test, version 1.0, version 2.0 game cụ thể lấy cách nhanh • Đảm bảo phân rõ vai trị quyền cụ thể thành viên source code tài liệu liên quan trình phát triển dự án ▪ Đảm bảo tính thơng suốt q trình sử dụng, chia sẻ thơng tin phòng, ban 3.5.2 Kỹ thuật: - Sử dụng Subversion source control (SVN) để quản lý source code tài liệu mềm khác - Yêu cầu server có dung lượng ổ cứng lớn để lưu trữ source code tài liệu mềm 3.5.3 Các bước thực tạo, sửa xóa source code, tài liệu liên quan Sử dụng tool quản lý source code SVN, tài liệu thành viên dự án tạo Nhân viên kỹ thuật setup server SVN tạo tài khoản cho thành viên dự án Đầu ngày, developer get source code về, merge source code developer khác với source code máy local Khi developer update file get lock file, để thơng báo ngăn không cho developer khác update vào file Cuối ngày, trước về, developer commit source code sau minh tạo mới, update lên server, đồng thời unlock file Mỗi thời điểm release version mới, milestone quan trọng project leader dự án tiến hành baseline source code, đánh tag đe source code lấy lại thời điểm theo kiện thời gian sau Sau dự án kết thúc, tiến hành nén thư mục dự án, tiến hành lưu, bảo quản 3.6 Quy trình giáo dục nhận thức, đào tạo an tồn thơng tin 3.6.1 Mục tiêu Giúp nhân viên có nhận thức cần thiết để đảm bảo an tồn thơng tin cho cá nhân cho tổ chức Giúp nhân viên hiểu rõ tầm quan trọng an tồn thơng tin Giúp nhân viên hiểu tác hại hậu việc an tồn thơng tin gây 3.6.2 Chính sách đào tạo an tồn thơng tin a) Tồn nhân viên tổ chức đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức Điều bao gồm yêu cầu an toàn, trách nhiệm pháp lý kiểm soát kinh doanh, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thông tin dịch vụ cho phép ví dụ thủ tục đăng nhập, sử dụng gói phần mềm 10 b) Tồn nhân viên cơng ty đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thông tin sở liệu c) Technical leader đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức, đào tạo việc sử dụng tool backup để thực việc lưu sở liệu d) Toàn nhân viên, cá nhân liên quan cơng ty đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức, đào tạo việc sử dụng sách, quy trình việc sử dụng mật truy cập tới sở liệu e) Toàn nhân viên, cá nhân liên quan công ty đào tạo, giải thích khu vực an ninh dẫn yêu cầu an ninh khu vực f) Tồn nhân viên, nhân liên quan công ty đào tạo, giải thích quy chế, sách sử dụng mạng máy tính nội cơng ty hướng dẫn thi hành ❖ Nội dung cần truyền đạt tới nhân viên: Giữ cho máy tính PC “sạch”: đưa nội quy, quy tắc phần mềm nhân viên cài đặt lên máy PC Và đảm bảo họ hiểu nội quy, quy tắc Tuân thủ quy định liên quan đến mật khẩu: tạo mật dài mạnh, có kết hợp ký tự viết hoa ký tự viết thường, số ký tự đặc biệt bên cạnh việc thay đổi thường xuyên mật khẩu, giữ bí mật mật Nhân viên giáo dục không mở link, tweet, post, message, file attach hay quảng cáo online lạ, họ hiểu nguồn link Sao lưu công việc nhân viên đào tạo phương pháp lưu kết cơng việc mình, lưu gì, lưu đầu thời gian sau lưu 3.6.3 Các quy định nhân viên phải thực thi ❖ Phân loại, xử lý sử dụng thông tin Tất thông tin phải gắn nhãn dựa tính nhạy cảm thơng tin đối tượng sử dụng thông tin Thông tin cần phải đánh nhãn “Mật”, “Tuyệt mật”, “Tối mật”, “Chỉ lưu hành nội bộ" hay "Công khai” Các tài liệu đánh nhãn “Mật", “Tuyệt mật” hay “Tối mật” phải cất vào tủ khóa sau kết thúc công việc ngày Thông tin điện tử ("Mật” “Tuyệt mật” hay “Tối mật”) phải mã hóa có mật bảo vệ Khi thơng tin khơng cịn cần thiết nữa, tài liệu cần hủy bỏ máy hủy bỏ tài liệu điện tử cần chia nhỏ hủy ❖ Truy cập hệ thống 11 ❖ ❖ ❖ ❖ ❖ ❖ ❖ ❖ Nhân viên không phép chia sẻ User ID mật cấp cho mình, nhân viên phải có trách nhiệm giữ an tồn thơng tin account mật Nhân viên cần cách đặt mật làm để đặt mật mạnh Virus Tất máy tính phải cài đặt phần mềm chống virus nhân viên sử dụng máy tinh phải có trách nhiệm qt máy tính cách thường xun Tất phần mềm file trước copy vào máy tính phải tiến hành quét, nhân viên phải tiến hành quét liệu phần mềm trước họ mở chạy chương trình Nhân viên phải giáo dục tầm quan trọng việc quét virus, cách virus phá hủy ổ cứng làm cho mạng công ty bị hỏng Sao lưu Nhân viên đào tạo họ phải có trách nhiệm việc lưu thơng tin máy tính cá nhân họ việc lưu tiến hành tuần lần Bản quyền phần mềm Nhân viên giáo dục việc không cài đặt phần mềm mà quyền hay vi phạm pháp luật Sử dụng Internet Nhân viên giáo dục sử dụng Internet khơng truy cập vào trang khơng thích hợp, trang khiêu dâm trang game, không tải phần mềm công cụ hack Sử dụng email Nhân viên phép sử dụng email để liên lạc cá nhân không phép sử dụng hệ thống email cho lý sau: - Gửi, trao đổi thơng tin, tài liệu liên quan đến tơn giáo, trị - Sử dụng email công ty vào công việc kinh doanh cá nhân Bảo vệ máy tính xách tay Tất máy tính xách tay phải bảo vệ sau làm việc tủ Bảo vệ mạng nội Tất máy tính cá nhân phải để chế độ hình có mật bảo vệ Trao đổi thông tin với bên thứ ba Thông tin bí mật khơng nên tiết lộ cho bên thứ ba trừ có thỏa thuận tiết lộ ký kết cung cấp thông tin với bên thứ ba đồng ý lãnh đạo công ty Trách nhiệm tất nhân viên bảo vệ thông tin công ty 12 3.6.4 Các quy định nhân viên Đây checklist mà nhân viên gia nhập công ty thông báo hướng dẫn tuân thủ ❖ Không làm - Không chia sẻ mật với ai, kể nhân viên công ty - Không viết mật giấy, bảng - Không sử dụng mật dễ nhớ kiện, ngày sinh, tên cái… - Không truy cập trang web khiêu dâm, trang hacker - Không download cài đặt phần mềm vi phạm pháp luật khơng có quyền từ Internet ❖ Phải làm - Thay đổi mật thường xuyên - Sử dụng kết hợp kỳ tư, ký tự đặc biệt số cho việc đặt mật - Sử dụng mật khó đốn, chiều dài ký tự - Bật chế độ hình chủ có mật hay lịch máy tính - Tiến hành quét virus máy tính cách thường xuyên - Tiến hành kiểm tra phần mềm virus cập nhật hay chưa bạn nhận email thông báo update từ hình Desktop - Tiến hành lưu liệu tuần lần - Tiến hành lock tất tài liệu, file đĩa có đánh nhãn “Mật” "Tuyệt mật” hay "Tối mật” sau kết thúc cơng việc ngày 3.7 Quy trình hành động phịng ngừa hệ thống quản lý ATTT Sự không phù hợp không đáp ứng yêu cầu theo quy định Mục đích nhằm đưa hành động để loại bỏ nguyên nhân không phù hợp phát hay tỉnh trạng không mong muốn tiềm tàng khác Giúp cải tiến, sửa đổi quy trình hệ thống quản lý an tồn thơng tin cho phù hợp với thực tiễn, nâng cao hiệu hệ thống quản lý an tồn thơng tin Đảm bảo khơng lặp lại sai phạm xảy vi phạm an tồn thơng tin tổ chức Định kỳ hàng tháng, tổ ATTT lập báo cáo theo dõi hành động phòng ngừa gửi ban lãnh đạo để báo cáo, đưa định 3.8 Chính sách 3.8.1 Kiểm sốt truy cập Đăng ký người sử dụng 13 a) Sử dụng tên truy cập cá nhân để người sử dụng kết nối chịu trách nhiệm với hoạt động mình; b) Kiểm tra mức cho phép truy cập có phù hợp với mục đích doanh nghiệp có qn với sách an ninh tổ chức; c) Đưa cho người sử dụng công bố quyền truy cập họ; d) Yêu cầu người sử dụng ký kê để họ hiểu điều kiện truy cập; e) Duy trì lưu thức toàn người đăng ký sử dụng dịch vụ; f) Bỏ quyền truy cập người sử dụng người sử dụng thay đổi công việc rời tổ chức; g) Kiểm tra định kỳ để xóa bỏ tên truy cập tài khoản cá nhân không cần thiết; h) Đảm bảo tên truy cập cá nhân dư thừa không phát hành cho người sử dụng khác Quản lý đặc quyền a) Xác định đặc quyền kết hợp với sở liệu: có quyền View, có quyền Create, có quyền Update, có quyền Delete, vả đặc quyền sở liệu phân phối nhân viên dựa vai trò chức họ; b) Một quy trình cấp quyền lưu toàn đặc quyền phân phối bảo lưu Các đặc quyền không cho phép quy trình cấp quyền hồn tất Quản lý mật người sử dụng a) Yêu cầu người sử dụng ký kết cam kết để giữ bí mật mật cá nhân (điều thêm vào điều khoản điều kiện thuê nhân công) b) Đảm bảo lúc đầu họ cung cấp mật tạm thời an toàn mà họ buộc phải thay đổi lập tức; c) Yêu cầu đưa mật tạm thời cho người sử dụng cách an toàn Người sử dụng nên thông báo nhận mật Soát xét quyền truy cập người dùng a) Quyền truy cập người sử dụng soát xét sau khoảng thời gian đặn định kỳ tháng sau thay đổi b) Việc cấp đặc quyền truy cập đặc biệt soát xét sau khoảng thời gian ngắn hơn, định kỳ tháng 14 c) Phân phối đặc quyền kiểm tra thường sau khoảng thời gian đặn để đảm bảo khơng có đặc quyền trái phép Người sử dụng sử dụng mật a) Giữ bí mật mật khẩu; b) Tránh giữ lại tờ giấy ghi mật khẩu, lưu giữ an toàn; c) Thay đổi mật lúc có dấu hiệu hệ thống mật bị tổn hại; d) Chọn mật có chất lượng với độ dài ký tự và: 1) Dễ nhớ; 2) Không dựa mà khác dễ dàng đốn có thơng tin liên quan đến cá nhân, ví dụ tên, số điện thoại, ngày sinh vv ; 3) Tránh nhóm ký tự giống liên tiếp số chữ cái; e) Thay đổi mật sau khoảng thời gian đặn theo lần truy cập (các mật tài khoản đặc quyền thay đổi thường xuyên mật thông thường) tránh sử dụng lại, quay lại mật cũ; f) Thay đổi mật tạm thời vào lần khởi động đầu tiên; g) Không tỉnh đến mật trình khởi động tự động hố nào, ví dụ lưu trữ phím chức macro; h) Không chia sẻ mật cá nhân Kiểm soát truy cập mạng a) Các mạng dịch vụ mạng phép truy cập; b) Các thủ tục cấp phép để xác định rõ người phép truy cập mạng dịch vụ mạng đó; c) Các kiểm sốt thủ tục quản lý để bảo vệ truy cập tới kết nối mạng dịch vụ mạng 3.8.2 Quản lý truyền thông hoạt động Sao lưu thông tin 15 a) Technical leader công ty người tiến hành thực lưu, kiểm tra việc thực lưu b) Mức thô tin lưu nhỏ nhất, lưu toàn liệu sở liệu có được, với lưu trữ chép dự phòng thủ tục lưu trữ ghi chép lại xác đầy đủ lưu nơi tách biệt, với khoảng cách đủ để thoát khỏi hư hại tai hoạ xảy vị trí e) Nếu có thể, tool thực backup kiểm tra đặn để đảm bảo chúng chống cậy lúc khẩn cấp cần; d) Việc tiến hành lưu sở liệu phải đảm bảo tháng kể từ người chơi ngùng sử dụng dịch vụ việc lưu tiến hành hàng ngày vào ban đêm (khi hệ thống dịch vụ game người chơi truy cập nhất) Bảo vệ chống lại phần mềm cố ý gây hại a) Một sách thức địi hỏi tn theo giấy phép phần mềm ngăn cấm việc sử dụng trái phép phần mềm; - Xuất sách tuân thủ quyền phần mềm xác định việc sử dụng pháp lý sản phẩm phần mềm thông tin; - Việc trì nhận thức quyền phần mềm sách giành đưa thơng báo mục đích thực hoạt động ; - Kỷ luật nhân viên vi phạm; b) Một sách thức để bảo vệ chống lại rủi ro liên quan đến việc sử dụng tệp phần mềm từ mạng bên phương tiện truyền thông khác, cho biết biện pháp bảo vệ sử dụng: - Chỉ mua chương trình có nguồn đáng tin; - Mua chương trình có mã nguồn mà xác minh; - Sử dụng sản phẩm đánh giá; c) Việc lắp đặt nâng cấp thông thường phần mềm chống virus sửa chữa để quét máy vi tính; 16 d) Chỉ đạo việc sốt xét thơng thường phần mềm nội dung liệu hệ thống hỗ trợ trình kinh doanh định Sự diện tệp không chấp nhận sửa đổi trái phép điều tra cách thức; e) Kiểm tra virus tệp phương tiện truyền thông điện tử có nguồn gốc khơng rõ ràng trái phép tệp nhận từ mạng không đáng tin trước sử dụng ; f) Kiểm tra phần mềm gây hại tệp gửi kèm thư điện tử phần tải mạng trước sử dụng Việc kiểm tra tiến hành nhiều vị trí khác nhau, ví dụ máy chủ thư điện tử, máy tính bàn cổng mạng tổ chức; g) Các thủ tục quản lý trách nhiệm giải vấn đề bảo vệ chống virus hệ thống, đào tạo việc sử dụng, báo cáo khắc phục công virus; h) Các kế hoạch liên tục kinh doanh phù hợp với việc khắc phục công virus, bao gồm toàn liệu cần thiết phần mềm lưu cách xếp khôi phục; i) Các thủ tục thẩm tra tồn thơng tin liên quan đến phần mềm có hại đảm bảo tin cảnh báo xác đầy đủ thông tin Các nhà quản lý đảm bảo nguồn đủ tiêu chuẩn, ví dụ báo chí danh tiếng, địa mạng nhà cung cấp phần mềm diệt virus đáng tin, sử dụng để phân biệt trò lừa virus thực Nhân viên nhận thức vấn đề trò lừa bịp phải làm nhận chúng Kiểm soát chung Những tài liệu, thiết bị, tài sản công ty không phép mang nhà (điều thêm vào điều khoản điều kiện thuê nhân công) 3.8.3 An ninh môi trường vật lý Vành đai an ninh vật lý a) Vành đai an ninh thiết lập rõ ràng: - Văn bản, công văn trao đổi nội cơng ty lưu trữ tủ kính, chống cháy, có khóa đặt phịng riêng, người phụ trách phịng hành chính, tổng hợp nhân quản lý Phịng vào có chế kiểm sốt thẻ từ 17 - Văn bản, cơng văn, hóa đơn, bảng kê khai thuế trao đổi với khách hàng bên ngồi lưu trữ tủ kính, chống cháy, có khóa đặt phịng riêng, người phụ trách phịng hành chính, tổng hợp nhân quản lý Phịng vào có chế kiểm soát thẻ từ - Chiến lược phát triển kinh doanh, thông tin đối thủ cạnh tranh, thông tin hương, thương nhân viên, lưu trữ tủ kính, chống cháy, có khóa đặt phòng riêng, người phụ trách phòng hành chính, tổng hợp nhân quản lý Phịng vào có chế kiểm sốt thẻ từ - Tài liệu source code, ảnh, tài liệu liên quan đến dự án sản xuất game giấy lưu trữ tủ kính, chống cháy, có khóa đặt phòng riêng, người phụ trách phịng sản xuất game quản lý Phịng vào có chế kiểm soát thẻ từ - Thiết bị Wacom lưu trữ tủ kính, chống cháy, có khóa đặt phịng riêng, người phụ trách phòng sản xuất game quản lý Phòng vào có chế kiểm sốt thẻ tử - Các thiết bị lưu trữ (USB, ổ cứng, CD-ROM) lưu trữ tủ kính, chống chảy, có khóa đặt phòng riêng, người phụ trách phịng sản xuất game quản lý Phỏng vào có chế kiểm soát thẻ từ - Các máy điện thoại để test game lưu trữ tù kinh, chống chảy, có khóa đặt phịng riêng, người phụ trách phòng sản xuất game quản lý Phịng vào có chế kiểm sốt thẻ từ Kiểm soát xâm nhập vật lý a) Các khách đến khu vực an ninh giám sát rà soát ghi lại ngày vào họ Họ cho phép truy cập mục đích cụ thể b) Truy cập tới cơng văn, văn kiểm sốt hạn chế cho cá nhân cấp phép c) Các quyền truy cập tới khu vực an ninh xem xét cập nhật cách đặn An ninh cho thiết bị ngoại vi a) Nghiêm cấm việc sử dụng USB, thẻ nhớ nội cơng ty, niêm phong ổ USB, thẻ nhớ 18 b) Nghiêm cấm việc cài đặt phần mềm cho phép gửi file peer-to-peer, ngăn chặn trang web cho phép upload, gửi file c) Tất máy tính có gắn camera sử dụng q trình làm việc cơng ty phải dán giấy che d) Tất nhân viên mang máy tính cá nhân ra, vào cơng ty phải nhân viên kỹ thuật kiểm tra, đồng ý lãnh đạo Kiểm sốt chung a) Khi thích hợp, công văn văn trao đổi nội công ty cá nhân liên quan lưu nên lưu trữ tủ có khố riêng nhân, đặc biệt làm việc; b) Khi thích hợp, văn bản, cơng văn, hóa đơn, bảng kê khai thuế trao đổi với khách hàng bên cá nhân liên quan lưu nên lưu trữ tủ có khố riêng cá nhân, đặc biệt ngồi làm việc; c) Khi thích hợp, chiến lược phát triển kinh doanh, thông tin đối thủ cạnh tranh, thông tin lương, thưởng nhân viên cá nhân liên quan lưu nên lưu trữ tủ có khố riêng nhân, đặc biệt làm việc; d) Các máy photo nên khóa ngồi làm việc thức (hoặc bảo đảm an toàn khỏi việc sử dụng trái phép cách cách khác); e) Thông tin nhạy cảm phân loại, in xong nên xóa khỏi máy in f) Chính sách hình "sạch": máy tính cá nhân cổng in cổng khác máy tính nên đóng khơng dùng nên bảo vệ khóa mật mã, mật kiểm sốt khác khơng sử dụng g) Các thiết bị lưu trữ (USB, ổ cứng, sử dụng phải log lại văn bản, sử dụng xong phải trả lại, có ký nhận phải cho phép lãnh đạo 19 h) Các máy điện thoại để test game sử dụng phải log lại văn bản, sử dụng xong phải trả lại, có ký nhận phải cho phép lãnh đạo i) Nghiêm cấm việc sử dụng chức liên quan đến ghi âm, ghi hình cơng ty 3.8.4 An ninh cá nhân Giáo dục đào tạo An tồn thơng tin a) Toàn nhân viên tổ chức đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức Điều bao gồm yêu cầu an toàn, trách nhiệm pháp lý kiểm soát kinh doanh, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thông tin dịch vụ cho phép ví dụ thủ tục đăng nhập, sử dụng gói phần mềm b) Tồn nhân viên cơng ty đào tạo thích hợp cập nhật thường xuyên sách thủ tục chưa tổ chức, đào tạo việc sử dụng phương tiện xử lý thông tin trước truy cập tới thông tin sở liệu c) Technical leader đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức, đào tạo việc sử dụng tool backup để thực việc lưu sở liệu d) Toàn nhân viên, cá nhân liên quan công ty đào tạo thích hợp cập nhật thường xuyên sách thủ tục tổ chức, đào tạo việc sử dụng sách, quy trình việc sử dụng mật truy cập tới sở liệu e) Toàn nhân viên, nhân liên quan cơng ty đào tạo, giải thích khu vực an ninh dẫn yêu cầu an ninh khu vực f) Toàn nhân viên, cá nhân liên quan cơng ty đào tạo, giải thích quy chế sách sử dụng mạng máy tính nội công ty hướng dẫn thi hành 20 An ninh theo định nghĩa nguồn công việc 2.1 An ninh theo trách nhiệm cơng việc Các vai trị trách nhiệm an ninh, đặt sách an ninh thông tin tổ chức tài liệu hóa cách thích hợp Chúng nên gồm trách nhiệm chung việc thực trì sách an ninh trách nhiệm đặc biệt việc bảo vệ tài sản cụ thể việc thi hành quy trình hoạt động an ninh cụ thể 2.2 Chính sách kiểm tra nhân a) Tính sẵn có giấy tờ dẫn chứng đặc điểm, ví dụ cơng việc cá nhân; b) Kiểm tra (đầy đủ xác) hồ sơ ứng viên; c) Xác nhận cấp yêu cầu phẩm chất nghề nghiệp: d) Kiểm tra nhận dạng (hộ chiếu giấy tờ tương tự) 2.3 Thỏa thuận tinh bảo mật a) Các thỏa thuận tính bảo mật không làm lộ sử dụng để đưa lưu ý thông tin bảo mật bí mật Các nhân viên ký kết thỏa thuận phần điều khoản điều kiện tuyển dụng ban đầu họ b)Yêu cầu người sử dụng không chủ định, nhân viên bên thứ ba, chưa có hợp đồng bao gồm thỏa thuận tính bảo mật, ký kết thỏa thuận tính bảo mật trước phép truy cập tới phương tiện xử lý thông tin c)Các thỏa thuận tính bảo mật sốt xét có thay đổi thời hạn công việc hợp đồng, cụ thể người lao động rời tổ chức hợp đồng hết hạn Chính sách kiểm tra nhân 21 Đảm bảo quyền lợi, đưa mục tiêu thăng tiến, phát triển rõ ràng nhân viên, lương thưởng cấp CHƯƠNG BẢNG PHÂN CÔNG CÔNG VIỆC 22 ... phịng – an ninh Đề tài tìm hiểu phương pháp phân loại sách xây dựng sách cụ thể cho loại với nội dung sau: Chương 1: Tổng quan sách an tồn thơng tin Chương 2: Phân loại sách an tồn thơng tin Chương... quản lý (hành động phản ứng) Kịch quản lý: sách liên kết với kịch quản lý cụ thể quản lý mạng, quản lý hệ thống quản lý ứng dụng Một số sách chồng chéo nên nhóm lại với thành sách quản lý doanh... dàng tìm kiếm thuân tiện việc quản lý Có số cách phân loại liệu cách phân loại liệu theo mục đích quân sự, phân loại liệu kinh doanh phân loại liệu theo nhu cầu người dùng Với phương pháp phân loại