BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH ATTT NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN Sinh viên thực hiện: Bùi Tiến Mạnh- AT140392 Nguyễn Thị Thanh Hoa- AT150519 Lê Quốc Trung- AT150558 Nguyễn Chí Thanh- AT140143 Hà Văn Giỏi- AT140120 Giảng viên hướng dẫn: Nguyễn Thị Thu Thủy Khoa An Tồn Thơng tin – Học viện Kỹ thuật Mật Mã MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ BẢNG PHÂN CÔNG NHIỆM VỤ THÀNH VIÊN LỜI NÓI ĐẦU CHƯƠNG1: TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN 1.1 Khái niệm an tồn thơng tin 1.1 Tình hình an ninh thơng tin 10 1.1.1 Tình hình an ninh thơng tin giới 10 1.1.2 Tình hình an ninh thông tin Việt Nam 14 1.2 Khái quát sách an tồn thơng tin 17 1.2.1 Khái niệm sách an tồn thơng tin 17 1.2.2 Tầm quan trọng sách an tồn thơng tin 17 CHƯƠNG 2: GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH VỰC QUẢN LÝ AN TỒN THƠNG TIN 20 2.1 Giới thiệu chung 20 2.2 Các tiêu chuẩn tiêu chuẩn ISO/IEC 27000 22 2.3 Tiêu chuẩn ISO/IEC 27001: 2005 24 2.3.1 Giới thiệu chung 24 2.3.2 Lợi ích tình hình ứng dụng tiêu chuẩn ISO/IEC 27001 25 2.3.3 Nội dung tiêu chuẩn ISO/IEC 27001 26 2.3.4 Xây dựng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001 (Information Security Management System - ISMS) 33 2.3.5 Quá trình chứng nhận ISO/IEC 27001 38 2.4 Tiêu chuẩn ISO/IEC 27002: 2005 40 2.4.1 Giới thiệu chung 40 2.4.2 Tình hình ứng dụng ISO/IEC 27002 41 2.4.3 Phạm vi áp dụng 42 2.4.4 Nội dung tiêu chuẩn 43 2.5 Sự khác biệt ISO/IEC 27001: 2005 với ISO/IEC 27002: 2005 44 CHƯƠNG 3: NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN 47 3.1 Chính sách an tồn thông tin 47 3.1.1 3.1.2 Định nghĩa 47 Chức 47 3.1.3 3.1.4 3.1.5 Yêu cầu 48 Tại sách ATTT lại quan trọng 48 Mối quan hệ sách, chuẩn, thủ tục hướng dẫn 48 3.2 tin Các đối tượng liên quan phát triển sách an tồn thơng 49 3.3 Vịng đời sách 51 3.4 Các phương pháp phát triển Chính sách ATTT 55 KẾT LUẬN 60 DANH MỤC TỪ VIẾT TẮT Các cụm từ viết tắt Cụm từ cụ thể ATTT An tồn thơng tin CNTT Công nghệ thông tin VNISA Hiệp hội an tồn thơng tin Việt Nam BSI (British Standards Institution) Viện Tiêu Chuẩn Anh Quốc ISO (International Organization for Standardization) Tổ chức tiêu chuẩn quốc tế IEC (International Electrotechnical Commission) Hội đồng kỹ thuật quốc tế PDCA Plan-Do-Check-Act ISMS – Information Security Management System Hệ thống quản lý An tồn thơng tin DANH MỤC HÌNH VẼ Hình 1: Tam giác an tồn thơng tin - CIA Hình 2: Cấu trúc tiêu chuẩn ISO/IEC 27000 23 Hình 3: Mơ hình PDCA áp dụng cho quy trình ISMS 34 Hình 4: Mối quan hệ khung sách 48 Hình 5: Vịng đời sách ATTT sử dụng COBIT 5.0 52 BẢNG PHÂN CÔNG NHIỆM VỤ THÀNH VIÊN Bùi Tiến Mạnh Nguyễn Thị Thanh Hoa Lê Quốc Trung Nguyễn Chí Thanh Hà Văn Giỏi Các đối tượng liên quan q trình phát triển sách; Thuyết trình Bài Tiểu Luận Phương pháp phát triển sách; Chỉnh sửa hoàn thiện lại file Word (cùng Hà Văn Giỏi) Chức sách An tồn thơng tin; Chỉnh sửa hoàn thiện PowerPoint Bộ tiêu chuẩn ISO quản lý an tồn thơng tin; vịng đời sách Tổng hợp phần vào file Word làm PowerPoint LỜI NĨI ĐẦU Cùng với bùng nổ vơ lớn kinh tế đại, kéo theo xã hội phát triển tồn diện Việc cơng nghệ thông tin phát triển mạnh mẽ không tổ chức, doanh nghiệp mà mặt đời sống xã hội Điều thay đổi sống người mặt khác nhau, giúp cải thiện, nâng cao trình độ, thúc đẩy phát triển toàn diện Tuy nhiên, bên cạnh mặt tích cực tiềm ẩn nhiều nguy rủi ro làm tê liệt hoạt động hệ thống Khi hệ thống công nghệ thông tin sở liệu gặp cố hoạt động đơn vị bị ảnh hưởng nghiêm trọng chí bị tê liệt hồn tồn Chính cần trọng đến vấn đề đảm bảo an tồn thơng tin nhằm tránh hiểm họa mát thông tin không lường trước đồng thời tạo thêm tin tưởng khách hàng đối tác Xác định rõ việc tiêu chuẩn hóa cơng tác đảm bảo an tồn thơng tin nhiệm vụ trọng tâm việc ứng dụng công nghệ thông tin quan nhà nước, Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 Chính phủ ứng dụng cơng nghệ thông tin hoạt động quan nhà nước quy định quan nhà nước phải xây dựng nội quy bảo đảm an tồn thơng tin có cán phụ trách đảm bảo an tồn thơng tin áp dụng, hướng dẫn kiểm tra định kỳ việc thực biện pháp bảo đảm cho hệ thống thông tin mạng đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin Trên thực tế hầu hết quan, tổ chức, doanh nghiệp nhận thức rõ cần thiết lợi ích việc chuẩn hóa cơng tác đảm bảo an tồn thông tin, nhiên việc triển khai lại hạn chế gặp nhiều vướng mắc hệ thống tiêu chuẩn kỹ thuật quốc gia an tồn thơng tin không đầy đủ việc lựa chọn tiêu chuẩn áp dụng Vì đề tài chọn báo cáo thực “Nghiên cứu phương pháp phát triển sách an tồn thơng tin” Nội dung đồ án chia thành chương sau: Chương 1: Tổng quan sách an tồn thơng tin Chương trình bày cách tổng quan sách an tồn thơng tin, bao gồm khái niệm, đánh giá tình hình an tồn thơng tin giới Việt Nam nêu rõ tầm quan trọng sách an tồn thơng tin Chương 2: Giới thiệu tiêu chuẩn ISO lĩnh vực quản lý an tồn thơng tin Chương giới thiệu sơ tiêu chuẩn ISO/IEC 27000, tiêu biểu tiêu chuẩn ISO/IEC 27001 ISO/IEC 27002 Nội dung chủ yếu tập trung trả lời câu hỏi: Tiêu chuẩn ISO/IEC gì? Việc ứng dụng nội dung tiêu chuẩn sao? Cũng trình bày bước triển khai tiêu chuẩn nào? Chương 3: Nghiên cứu phương pháp phát triển sách an tồn thơng tin Nội dung chương chủ yếu dựa tảng chương trước để áp dụng sở lý thuyết vào việc chuẩn hóa cơng tác đảm bảo an tồn thơng tin Trong chương trước hết thực khảo sát trạng triển khai phương pháp phát triển sách an tồn thơng tin đánh giá hiểm họa, nguy xảy đến hệ thống mạng Từ đó, lựa chọn phương pháp hợp lý để phát triển xây dựng sách an tồn Trong q trình thực đồ án, mục tiêu đạt Tuy nhiên, thời gian thực có hạn kiến thức kinh nghiệm thực tiễn nhiều hạn chế nên chắn cịn nhiều thiếu sót, em mong đánh giá, góp ý thầy cô bạn học viên để đồ án hoàn thiện Em xin chân thành cảm ơn! CHƯƠNG1: TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN Với tình trạng an tồn thơng tin việc xây dựng sách an tồn thơng tin cho tổ chức, đơn vị… quan trọng cần thiết Tuy nhiên để có sách an tồn thơng tin hiệu trước hết phải trả lời câu hỏi: An tồn thơng tin sách an tồn thơng tin ? Tình hình an ninh thơng tin có xu hướng ? Cũng nắm bắt tầm quan trọng sách an tồn thơng tin Ở chương làm rõ vấn đề để từ áp dụng triển khai sách vào thực tế tốt 1.1 Khái niệm an tồn thơng tin Thơng tin tài sản quan trọng tổ chức, cá nhân Thơng tin tồn nhiều hình dạng khác như: in giấy, lưu trữ thành file, chuyển qua email phương tiện điện tử khác, chiếu thành film, nói họp… Trong môi trường cạnh tranh ngày nay, thông tin ngày bị đe dọa nhiều nguồn khác nội bộ, bên ngồi, tình cờ có chủ ý… với phát triển ứng dụng công nghệ ngày liên lạc, lưu trữ, chuyển đổi thông tin lại phải nhận nhiều số lượng chủng loại mối nguy khác mối nguy truyền thống An tồn thơng tin nghĩa thơng tin bảo vệ an tồn, giữ ngun giá trị nó, hệ thống dịch vụ có khả tránh ngăn chặn, chống lại tai hoạ, lỗi tác động khơng mong đợi, phục hồi từ cố An tồn thơng tin bao gồm nhiều yếu tố, mắt xích liên kết hai yếu tố chính: yếu tố cơng nghệ yếu tố người • Yếu tố công nghệ: Bao gồm sản phẩm Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm • Yếu tố người: Là người sử dụng máy tính, người làm việc với thơng tin sử dụng máy tính cơng việc Hai yếu tố liên kết lại thơng qua sách an tồn thơng tin Như vậy, khái niệm an tồn thơng tin bao hàm đảm bảo an toàn cho phần cứng phần mềm An toàn phần cứng bảo đảm hoạt động cho sở hạ tầng thơng tin An tồn phần mềm gồm hoạt động quản lý, kỹ thuật nhằm bảo vệ hệ thống thông tin, đảm bảo cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác, tin cậy An tồn thơng tin phải đảm bảo ba yếu tố: tính bí mật, tồn vẹn sẵn sàng hệ thống thông tin phục vụ hoạt động tổ chức Ba yếu tố mô tả Error! Reference source not found.: Hình 1: Tam giác an tồn thơng tin - CIA Tính bí mật - C (Confidentiality) Tính bí mật tâm điểm giải pháp an tồn cho sản phẩm/hệ thống cơng nghệ thơng tin Một giải pháp an tồn tập hợp quy tắc xác định quyền truy cập đến với thơng tin tìm kiếm, số lượng người sử dụng thông tin định số lượng thông tin tài sản định Trong trường hợp kiểm sốt truy cập cục bộ, nhóm người truy cập kiểm soát xem họ truy cập số liệu Tính bí mật đảm bảo chức kiểm soát truy cập có hiệu lực Tính bí mật đảm bảo thơng tin cung cấp cho người có thẩm quyền Như đảm bảo tính bí mật biện pháp ngăn ngừa hành vi cố ý hay vô ý xem thơng tin khơng cấp phép Tính tồn vẹn - I (Integrity) Tính tồn vẹn thơng tin thông tin không bị thay đổi, mát lưu trữ hay truyền tải Nói cách khác tính tồn vẹn tính khơng bị hiệu chỉnh thơng tin Để đảm bảo tính tồn vẹn thơng tin loạt biện pháp đồng nhằm hỗ trợ đảm bảo tính thời kịp thời đầy đủ trọn vẹn, bảo mật hợp lý cho thông tin Đôi điểm yếu dễ lợi dụng lại gây hậu lớn cho tồn vẹn thơng tin tổ chức khơng có biện pháp bảo vệ đắn Tính sẵn sàng - A (Availability) Tính sẵn sàng đảm bảo cho người dùng hợp lệ truy xuất vào hệ thống thiết kế Tính sẵn sàng thơng tin đặc điểm quan trọng Đó khía cạnh sống cịn thơng tin, đảm bảo cho thơng tin đến địa (người phép sử dụng) có nhu cầu, yêu cầu Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy thông tin, đảm nhiệm chức thước đo xác định phạm vi tới hạn an toàn hệ thống thơng tin 1.1 Tình hình an ninh thơng tin 1.1.1 Tình hình an ninh thơng tin giới Tình hình an ninh thơng tin phải đối mặt với nhiều nguy an tồn nghe lén, gián điệp, cơng mã độc để khai thác, sửa đổi thông tin, phá hoại hệ thống thơng tin… gây nhiều hậu khác làm tiết lộ thông tin cá nhân, lừa đảo, chiếm đoạt bí mật cơng nghệ, gián đoạn dịch vụ… mức độ từ nhỏ lẻ ảnh hưởng đến đời sống thường ngày đến nghiêm trọng kinh tế đất nước, chí ảnh hưởng tới an ninh quốc gia 10 CHƯƠNG 3: NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN 3.1 Chính sách an tồn thơng tin 3.1.1 Định nghĩa - Chính sách ATTT tập hợp thị hướng dẫn ATTT Chính sách an tồn bảo mật thơng tin tập hợp điều luật, quy định bảo đảm bảo vệ có hiệu hệ thống thơng tin chống lại hiểm họa ATTT - Chính sách ATTT tun bố hình thức nhằm mơ tả muc tiêu ưu tiên mục đích quản lý ATHTTT cách đạt mục tiêu 3.1.2 Chức • Bảo vệ người bảo vệ thơng tin • Đưa quy tắc hoạt động người dùng quản trị hệ thống, quản trị nhân viên an ninh • Cho phép nhân viên an ninh giám sát, thăm dị điều tra • Xác định phê chuẩn hậu vi phạm • Xác định quan điểm sở thống an tồn tổ chức • Hỗ trợ tối thiểu hóa rủi ro • Hỗ trợ tn thủ quy định luật lệ ➢ VD: Sd mật khẩu: Chính sách nhân viên phải đổi mật tháng lần o Xác định quan điểm sở thống an toàn tổ chức o Hỗ trợ tối thiểu hóa rủi ro o Hỗ trợ tuân thủ quy định luật lệ ➢ VD: Chính sách phân quyền người dùng: Chính sách khơng cho người khác mượn tài khoản Chính sách thu thồi quyền => đảm bảo thơng tin khơng bị mát o Kiểm sốt mối đe dọa hệ thống o Bảo vệ người bảo vệ thông tin 47 o Thiết lập luật lệ cho người dùng o Xác định hậu vi phạm o Tối thiểu hóa rủi ro cho tổ chức => Bất kì q trình xử lý thơng tin mà chứa yêu cầu cần đưa sách ATTT 3.1.3 u cầu • Kiểm sốt mối đe dọa hệ thống • Bao gồm việc bảo ng thơng tin • Thiết lập luật lệ cho ng dùng • Xác định hậu vi phạm • Tối thiểu hóa rủi ro cho tổ chức 3.1.4 Tại sách ATTT lại quan trọng • Cung cấp khung làm việc toàn diện cho lựa chọn thực thi biện pháp AT • Tạo phương tiện liên lạc bên liên quan • Quản lý tài nguyên: người, kỹ năng, tiền bạc, thời gian … • Giúp tạo “Văn hóa AT” : Niềm tiên vào giá trị liên quan đến AT đc chia • Nghĩa vụ pháp ly • Giúp thúc đẩy mối quan hệ tin cậy tổ chức đối tác khách hàng kinh doanh tổ chức 3.1.5 Mối quan hệ sách, chuẩn, thủ tục hướng dẫn Hình 4: Mối quan hệ khung sách 48 - Gồm hai mối quan hệ: ▪ Mối quan hệ từ bên ▪ Mối quan hệ từ bên Mối quan hệ từ bên ngồi: chuẩn khơng gắn liền với sách, tài liệu tham khảo cho sách, tất nội dung sách khơng thuộc chuẩn, phần sách tn theo chuẩn, phần cịn lại sách khơng tn theo chuẩn khơng Mối quan hệ từ bên trong: có thủ tục, hướng dẫn, toàn nội dung thủ tục hướng dẫn phải có sách 3.2 Các đối tượng liên quan phát triển sách an tồn thơng tin 3.2.1 Cộng đồng người dùng Cộng đồng người dùng cho tổ chức bao gồm cá nhân (và nhóm cá nhân) thực nhiều chức đa dạng.Có thể làm việc với người dùng để xác định mức độ thành cơng sách bảo mật từ xác định sách cần thay đổi để làm cho dễ sử dụng Bất kể mối quan tâm người dùng gì, đồng thuận tài liệu người dùng cuối Cộng đồng người dùng xem xét trình phát triển quan trọng thực tế nhiều cố bảo mật gây ra, cố ý không chủ ý, nhân viên tổ chức 3.2.2 Pháp lý & Quy định Một lý mà tổ chức có pháp lý quy định để để giảm thiểu rủi ro bảo mật khác mà tổ chức phải đối mặt Về bản, họ tự bảo vệ khỏi người muốn khai thác lỗ hổng họ, làm vậy, vi phạm pháp luật có vi phạm quy định tổ chức Do đó, nhiều tổ chức nhận tư vấn pháp lý để đảm bảo sách họ văn ràng buộc mặt pháp lý có hiệu lực thi hành Ví dụ, nhiều quốc gia ban hành luật nhằm bảo vệ quyền riêng tư cá nhân cố gắng làm cho thư rác trở thành bất hợp pháp Vì lý này, việc đưa Pháp lý & Quy định vào trình phát triển điều tối quan trọng 49 3.2.3 Chuyên gia CNTT Chuyên gia CNTT thường đội ngũ định hướng cho q trình phát triển sách ATTT Do đó, vai trị chun gia CNTT thể rõ tài liệu phát triển Trên thực tế, chuyên gia CNTT đảm nhận số vai trò khác liên quan đến việc quản lý sở hạ tầng máy tính tổ chức Những vai trò bao gồm: Chuyên gia kỹ thuật máy tính, Nhà thiết kế hệ thống, Chuyên gia CNTT, Quản trị viên hệ thống, Nhân Phòng CNTT Việc sử dụng nhiều bên liên quan trình phát triển quan trọng họ có kiến thức kỹ thuật hệ thống mà thiết kế để bảo vệ kiến thức bảo mật hệ thống 3.2.4 Chuyên gia bảo mật Chuyên gia bảo mật tổ chức thường người ngành CNTT đảm nhận phần bổ trợ cho vai trò họ Tuy nhiên, tổ chức vừa đến lớn sử dụng người có vai trị chun môn tập trung vào việc bảo vệ thông tin tổ chức phát triển sách bảo mật Việc sử dụng người vai trò q trình phát triển sách bao gồm từ việc quản lý q trình hồn chỉnh việc tham khảo ý kiến lời khuyên họ sáng kiến bảo mật 3.2.5 Quản lý điều hành Cũng sáng kiến cấp chiến lược, điều quan trọng phải có tham gia quản lý cấp cao vào sáng kiến để sáng kiến thành cơng Đặc biệt, q trình phát triển sách, tham gia quản lý cấp cao yếu tố thành công then chốt việc xây dựng thực sách 3.2.6 Đại diện đơn vị kinh doanh Ở cấp đơn vị kinh doanh tổ chức, quyền sở hữu hệ thống thông tin thường họ quản lý Họ cần tham gia vào q trình phát triển sách họ hiểu rõ tài nguyên bảo vệ có trách nhiệm đảm bảo việc bảo mật thơng tin họ có hiệu 3.2.7 Quan hệ cơng chúng Một vai trị liên quan mà tổ chức bắt đầu tham gia vào trình phát triển sách nhóm quan hệ cơng chúng tổ chức Khi an ninh trở 50 thành vấn đề tổ chức, bên liên quan.Về phía quan hệ cơng chúng cần phải cho cơng chúng thấy tổ chức cam kết bảo mật Điều quan trọng tổ chức xảy cố bảo mật 3.2.8 Các đối tượng bên tổ chức Trong nhiều trường hợp tổ chức, đơi cần có tham gia người nằm ngồi tổ chức Ví dụ, cần tham gia khách hàng, nhà cung cấp tổ chức bên khác Các khách hàng bên phụ thuộc vào hệ thống tổ chức nên tham gia vào q trình phát triển sách Ngồi ra, có liên kết chiến lược chặt chẽ tổ chức, tổ chức thứ hai cần tham vấn q trình phát triển Ví dụ: nhà bán lẻ lớn phát triển sách tác động đến tất nhà cung cấp họ, người liên kết trực tiếp với hệ thống máy tính nhà bán lẻ để mua hàng, lưu kho phân phối theo đơn đặt hàng Việc không tham khảo ý kiến với nhà cung cấp họ gây vấn đề mối quan hệ chiến lược diễn tổ chức 3.3 Vòng đời sách Thơng thường, quy trình quan trọng sử dụng vòng đời để giảm thiểu lỗi đảm bảo tất yêu cầu tuân thủ Điều đặc biệt quan trọng sách ATTT Chính sách ATTT sử dụng phương thức tiếp cận nhằm đơn giản hóa việc xây dựng giảm thiểu rủi ro cho cơng việc Một vịng đời chia làm nhiều hạng mục nhỏ để dễ dàng triển khai Tổ chức Information Systems Audit and Control Association (ISACA) đưa chuẩn hợp pháp hóa tồn cầu Và chuẩn gọi Control Objectives for Information and related Technology (COBIT), đời vào năm 1996, phiên 5.0 đời vào tháng Tư năm 2012 COBIT không dạng vòng đời, mà chuẩn để quản lý tiến trình liên quan đến cơng nghệ thơng tin Những chuẩn giúp tổ chức thu kết mà họ khách hàng mong muốn Vịng đời sách ATTT bao gồm phần: ● Tính tốn, lên kế hoạch tổ chức ● Xây dựng, tiếp nhận thực thi 51 ● Cung cấp, dịch vụ hỗ trợ ● Giám sát, gia tăng đánh giá Vịng đời sách ATTT xây dựng lên từ thành phần Sự thất bại thành phần tạo điểm yếu hay lỗ hổng tổ chức Chuẩn COBIT sâu chia thành phần thành tác vụ nhỏ hơn, tổ chức dùng chuẩn COBIT để điều hướng sách họ để phù hợp với tổ chức Vào năm 2012 COBIT 5.0 đời giúp tổ chức làm công việc sau: ● Cung cấp giá trị bên bên cho bên liên quan ● Đạt mục đích chung ● Quản lý vịng đời : xây dựng, bảo trì, hỗ trợ cách sử dụng tài sản ● Học hỏi để đạt kết cao lĩnh vực COBIT 5.0 khác với chuẩn khác việc nhấn mạnh việc làm để quy trình hoạt động hiệu Ví dụ nhân viên thu ngân thực toán Ngân hàng phải so khớp, lên kế hoạch tổ chức để đạt hiệu cho bên tham gia? Rõ ràng ngân hàng muốn khách hàng (bên tham gia trực tiếp) có đầy đủ quyền lợi để xây dựng lịng tin khách hàng Hình 5: Vịng đời sách ATTT sử dụng COBIT 5.0 52 3.3.1 Tính tốn, lên kế hoạch tổ chức Trong mục bao gồm tất thông tin tổ chức mục tiêu tổ chức Mục trả lời cho câu hỏi “Tổ chức cần gì?” “Phải làm để đạt nó?” Thơng tin mục mức khái quát, kể cần phải hiểu rõ rủi ro lỗ hổng Người làm sách cần phải suy xét đến việc làm để quản lý thơng tin việc lập ý tưởng sách, thỏa thuận theo cấp độ dịch vụ ( service level agreements ‘SLAs’) Ví dụ, SLA cho biết tần suất nhà cung cấp cung cấp dịch vụ, hay việc quản lý dịch vụ, SLA đặt tiêu chuẩn cho tính sẵn sàng dịch vụ Và cần phải nhìn nhận cách thức hoạt động hệ thống để định nghĩa lên SLA SLAs quan trọng để đảm bảo bên tham gia biết nghĩa vụ Ngày có nhiều cấp độ dịch vụ áp dụng hợp đồng mà người viết sách cần phải đối mặt mục “Cung cấp, dịch vụ hỗ trợ” giúp họ việc tạo nên SLAs Còn mục này, mối quan tâm lớn người viết sách yêu cầu dịch vụ mà tổ chức cần làm để đạt chúng Một sách ATTT cần mang lại rõ ràng việc thực thi giám sát Ví dụ, từ 27 tháng 11 đến 15 tháng 12 năm 2013, hacker đánh cắp thông tin thẻ 40 triệu khách hàng, sau lại phát thêm thông tin 17 triệu khách hàng bị đánh cắp Theo báo cáo hacker cải trang thành nhân viên bên bảo trì truy cập thơng qua bảo trì hệ thống thơng gió tổ chức Chìa khóa việc hiểu mục việc hiểu rõ nguy cơ, rủi ro lỗ hổng ● Nguy - người hay thảm họa tự nhiên ảnh hưởng đến hệ thống ● Lỗ hổng - điểm yếu hệ thống bị khai thác ● Rủi ro - khả xảy kiện ảnh hưởng xấu đến hệ thống Ví dụ dễ hiểu nguy việc hacker xâm nhập vào hệ thống, lỗ hổng lỗi q trình cấu hình nhờ mà hacker xâm nhập vào, rủi ro tổng hợp khả việc lỗ hổng xảy q trình cấu hình hacker dùng để công 53 3.3.2 Xây dựng, tiếp nhận thực thi Xây dựng tạo lớp bảo vệ, sách hỗ trợ chung Phần xây dựng dựa yêu cầu phần lên kế hoạch, tinh chỉnh tổ chức Chất lượng lớp bảo vệ xây dựng dựa hiểu biết nguy cơ, lỗ hổng rủi ro Phần lên kế hoạch chi tiết phần xây dựng trở nên dễ dàng SLAs trở nên quan trọng phần định giải pháp sử dụng Ngoài khả mở rộng, thay đổi hay update quan trọng phần Việc update cần phải không ảnh hưởng đến hoạt động bình thường hệ thống, nên diễn vào lúc mà hệ thống không hoạt động cuối tuần hay ngày lễ tết Phải cần có phiên dự phịng để hủy bỏ thay đổi có lỗi diễn Kết thúc phần này, tổ chức có sách, thủ tục hướng dẫn để xây dựng tổ chức đào tạo nhân viên 3.3.3 Cung cấp, dịch vụ hỗ trợ Ở phần người viết sách tiến hành chỉnh sửa để giảm thiểu rủi ro cách áp dụng thử sách để xem cần giữ lại cần loại bỏ Đây lúc người viết cần so sánh kế hoạch thực tế triển khai Có thể sử dụng việc kiểm thử từ bên lẫn bên để đánh giá hệ thống thay đổi SLAs cần thiết Ở phần việc trao đổi thường xuyên với bên sử dụng để biết vấn đề cách nhanh chóng Báo cáo đối chiếu với sách tổ chức để kịp thời thay đổi cho phù hợp 3.3.4 Giám sát, gia tăng đánh giá Ở phần trả lời cho câu hỏi “Chính sách phù hợp với thay đổi tổ chức hay chưa?” Nhìn trực tiếp vào yêu cầu, hướng tổ chức định xem sách cịn phù hợp hay khơng Nhìn nhận từ bên bên để đưa đốn, nhìn nhận phần trước để xem có đáp ứng u cầu trước hay khơng Việc kiểm thử diễn thơng qua bên thứ ba tin cậy mức độ kiểm thử tùy thuộc vào độ phức tạp hệ thống 54 Gắn kết tất phần với chìa khóa dẫn đến thành cơng Việc giám sát đánh giá dẫn đến phần lên kế hoạch tính tốn lại rủi ro => bắt đầu vịng đời sách Giúp người viết sách có nhìn thực tế, cơng hiệu có đánh giá sau: ● Tự đánh giá - đảm bảo chất lượng sách tổ chức ● Đánh giá từ bên - báo cáo từ nhân viên, phòng ban ● Đánh giá từ bên - thực tổ chức có thẩm quyền việc đánh giá sách ● Phù hợp với luật pháp - sách tổ chức phải tuân thủ luật pháp 3.4 Các phương pháp phát triển Chính sách ATTT Đề xuất cách tiếp cận phát triển sách phù hợp dựa tiêu chuẩn ISO 17799 Nói chung, cách tiếp cận sử dụng đánh giá rủi ro môi trường kinh doanh kỹ thuật người để thiết lập khả chấp nhận rủi ro hiểu mức độ an toàn tối thiểu sở yêu cầu Phân tích rủi ro cho phép xác định mối đe dọa biện pháp đối phó, phát triển tuyên bố sách điều chỉnh cụ thể Phần sau cung cấp sơ lược nhiệm vụ sử dụng để phát triển sách 3.4.1 Tất tổ chức có trách nhiệm bên liên quan xác định chi tiết vai trò, nghĩa vụ nhiệm vụ họ Điều quan trọng phải hiểu tổ chức bạn cấu trúc nào, chủ sở hữu chịu trách nhiệm sách bảo mật hoạt động người giám sát Quan trọng nhất, điều quan trọng phải đạt mức độ phù hợp đồng thuận để đảm bảo sách an tồn thơng tin phản ánh vấn đề, mối quan tâm, yêu cầu, mục tiêu mục tiêu cho tổ chức bạn Trình bày phải rộng rãi thực tế tối thiểu bao gồm: bảo mật liệu, pháp lý, người nguồn lực, kiểm toán nội bộ, hoạt động tổ chức phát triển 55 3.4.2 Các mục tiêu kinh doanh vạch Biết mục tiêu doanh nghiệp bạn điều quan trọng để xác định phạm vi nỗ lực sách bảo mật Ví dụ, tổ chức yêu cầu trình đánh giá, giám sát lưu phục hồi toàn diện quy định pháp luật quy định điều khơng áp dụng cho tổ chức khác Mục đích làm cho sách bảo mật hiệu chi phí Đó là, làm phù hợp với tổ chức bạn, tư vấn bảo mật bán cho bạn sách bảo mật 3.4.3 Danh sách nguyên tắc bảo mật đại diện cho mục tiêu bảo mật ban quản lý phác thảo Đi kèm với viết danh sách nguyên tắc bảo mật Những điều cần xem xét kết hợp vào nỗ lực phát triển sách bảo mật bạn cần thiết Mục đích nguyên tắc bảo mật cho phép tổ chức bạn nêu rõ ràng đơn giản, khơng có chi tiết kỹ thuật biệt ngữ, giá trị cốt lõi quan trọng tổ chức bạn 3.4.4 Tất liệu áp dụng tài nguyên xử lý xác định phân loại Phương pháp mà đề xuất để phát triển sách bảo mật sử dụng liệu- mơ hình trung tâm Trong mơi trường CNTT ngày nay, liệu thường tài sản quan trọng cần xử lý phù hợp Vì lý đó, lập danh mục liệu bạn xử lý tài nguyên cho phép bạn dễ dàng đưa định đủ điều kiện sáng suốt việc sử dụng giá trị chúng Sau đó, điều cho phép bạn áp dụng biện pháp kiểm soát hiệu chi phí tài sản sau 3.4.5 Phân tích luồng liệu thực phân loại liệu chính, từ tạo xóa Như đề cập trên, chúng tơi đề xuất mơ hình lấy liệu làm trung tâm để phát triển sách Mục đích phân tích luồng liệu cho phép bạn xác định tất điểm tin cậy chạm vào liệu bạn Ví dụ: hệ thống xử lý giao dịch, liệu chảy qua trình duyệt, web, liệu máy chủ tường lửa khác lưu trữ 56 sở liệu, băng từ giấy Bằng cách theo dõi luồng nội dung liệu bạn thông qua nội dung xử lý mình, sau bạn xác định loại vị trí biện pháp kiểm soát logic vật lý để bảo vệ nội dung 3.4.6 Các mối đe dọa mong đợi cách hợp lý môi trường người nêu Việc phát triển hồ sơ mối đe dọa cho phép bạn định loại mối đe dọa tồn môi trường cụ thể bạn, xác suất mối đe dọa tự thể thành vấn đề thực tế, phân nhánh, chi phí hậu mối đe dọa thực Hãy nhớ mối đe dọa khác môi trường khác Các mối đe dọa hậu cơng vào mạng lưới tài xử lý công cụ tiền tệ khác với mối đe dọa hậu công vào thư viện ảnh trực tuyến trưng bày nghệ thuật 3.4.7 Các dịch vụ an ninh cần thiết môi trường xác định Sau liệu nội dung xử lý bạn xác định tạo hồ sơ mối đe dọa, bước xác định dịch vụ bảo mật chung phù hợp môi trường bạn Các dịch vụ bảo mật mức cao bao gồm ví dụ: trách nhiệm giải trình, ủy quyền, tính khả dụng, nhận dạng, xác thực, bảo mật, tồn vẹn khơng thối thác Biết dịch vụ bảo mật môi trường bạn yêu cầu dẫn đến việc lựa chọn loại sách bảo mật mà bạn cần nội dung thành phần cụ thể sách ❖ Một mẫu sách chung xây dựng Cấu trúc sách có nhiều dạng Dựa thành phần đặc điểm sách Bước sử dụng để nêu rõ chủ đề cụ thể mà bạn cho cần thiết cho sách Các chủ đề Chính sách ➢ Tuyên bố mục đích Tại sách cân thiết 57 ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ Phạm vi Khả áp dụng sách gì, điều đề cập sách Tuyên bố sách Các chi tiết cụ thể sách gì? Trách nhiệm Ai có trách nhiệm phải làm gì? Đối tượng Chính sách định hướng cho ai? Thực thi Ai chịu trách nhiệm thực thi sách? Các hình phạt cho việc khơng tn thủ gì? Ngoại lệ Mơ tả điều khoản điều kiện áp dụng chúng Những ý kiến khác Có cân nhắc phụ trợ khác cần nêu khơng? Chính sách truyền thông Ai chịu trách nhiệm cho nỗ lực này? Q trình phổ biến sách gì? Q trình đánh giá cập nhật Ai chịu trách nhiệm cập nhật? Q trình gì? Chính sách xem xét điều kiện nào? (ví dụ: hàng năm cố xảy ra) Thực sách Ai chịu trách nhiệm việc thực Nó dược hồn thành nào? Theo dõi tuân thủ Việc giám sát thực nào? 58 ❖ Một danh sách sách bảo mật xác định Bước cuối trước thực soạn thảo sách xác định tất lĩnh vực trọng tâm sách phải giải Việc tạo danh sách dựa kết bước Sau danh sách sách cốt lõi chung tiêu chuẩn • Quyền sở hữu, phân loại bảo mật liệu • Luồng liệu xuyên biên giới • Truy cập liệu tài nguyên • Sử dụng mật • Sử dụng mật mã quản lý khóa • Nội dung liệu • An ninh mạng • An ninh vật lý • Quyền sở hữu thư điện tử • Quy trình báo cáo cố an ninh • Quy trình ứng phó cố an ninh • Giám sát đánh giá định kỳ việc tuân thủ sách • Thực quản lý tường lửa • Phịng chống bảo vệ vi rút • Quyền sở hữu quản lý hệ thống mạng • Trách nhiệm giải trình người dùng cuối việc sử dụng chấp nhận • Nhận dạng xác thực • Lưu giữ lưu hồ sơ • Nhận thức an ninh giáo dục • Kết nối đối tác bên thứ • Phát triển triển khai hệ thống • Quản lý hệ thống, ứng dụng cấu hình Đảm bảo hệ thống Quản lý vá • An ninh sở hạ tầng Phát xâm nhập Làm cứng hệ thống 59 KẾT LUẬN Qua trình nghiên cứu nội dung “Nghiên cứu phương phát phát triển sách an tồn thơng tin” bước đầu tìm hiểu sơ nội dung tiêu chuẩn iso lĩnh vực quản lý ATTT, có nghiên cứu tiêu chuẩn ISO/IEC 27001 Cho đến thời điểm tại, báo cáo hoàn thành nội dung sau : • Tìm hiểu tổng quan sách an tồn thơng tin • Tìm hiểu rõ tiêu chuẩn ISO 27000 • Nghiên cứu, tìm hiểu khái niệm, thuật ngữ vấn đề có liên quan đến tiêu chuẩn ISO/IEC 27001, lợi ích áp dụng ISO/IEC 27001 vào triển khai hệ thống quản lý an tồn thơng tin (ISMS) Tuy nhiên thời gian kiến thức nhiều hạn chế nên nhiều vấn đề mà chưa giải như: • Các sách đề xuất cịn mang tính khái qt chưa cụ thể nên việc áp dụng vào thực tế chưa linh hoạt Trong thời gian tới, thời gian điều kiện cho phép, em hi vọng nghiên cứu sâu vấn đề để có nhìn rộng phương pháp phát triển sách an tồn thơng tin Từ đó, áp dụng triển khai cho tổ chức, doanh nghiệp Việt Nam Như báo cáo hồn thiện tốt Và hướng phát triển tương lai 60 61 ... CHƯƠNG 3: NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN 3.1 Chính sách an tồn thơng tin 3.1.1 Định nghĩa - Chính sách ATTT tập hợp thị hướng dẫn ATTT Chính sách an tồn bảo... thực ? ?Nghiên cứu phương pháp phát triển sách an tồn thơng tin? ?? Nội dung đồ án chia thành chương sau: Chương 1: Tổng quan sách an tồn thơng tin Chương trình bày cách tổng quan sách an tồn thơng tin, ... 2005 với ISO/IEC 27002: 2005 44 CHƯƠNG 3: NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN 47 3.1 Chính sách an tồn thơng tin 47 3.1.1 3.1.2 Định nghĩa