Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO

31 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO Môn: Quản Lý Xây Dựng Chính Sách ATTT Lớp: L04 Nhóm sinh viên thực hiện: Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng Giảng viên hướng dẫn: Phạm Duy Trung Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO Mơn: Quản Lý Xây Dựng Chính Sách ATTT Lớp: L04 Nhóm sinh viên thực hiện: Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng Giảng viên hướng dẫn: Phạm Duy Trung Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 MỤC LỤC Mục lục Danh mục kí hiệu viết tắt Lời cảm ơn .4 Lời nói đầu .5 Chương Khảo sát nhận thức bảo mật 1.1 Xác định nguồn nhân lực để thực đánh giá khảo sát .6 1.2 Thực khảo sát Chương Đánh giá rủi ro 2.1 Nhận biết tài sản 2.2 Điểm yếu .10 2.3 Mối đe dọa .10 2.4 Đánh giá hậu 11 2.5 Khả xảy cố 13 2.6 Quy trình tổng quan đánh giá xử lý rủi ro 13 2.7 Thiết lập bối cảnh 15 2.7.1 Thông tin tổng quan hệ thống thông tin 15 2.7.2 Tiêu chí chấp nhận rủi ro 15 2.7.3 Phạm vi giới hạn 15 2.7.4 Tổ chức thực đánh giá quản lý rủi ro 16 2.8 Đánh giá rủi ro .16 2.8.1 Nhận biết rủi ro 16 2.8.2 Phân tích rủi ro 17 2.8.3 Xử lý rủi ro 17 2.8.4 Thay đổi rủi ro 17 2.8.5 Duy trì rủi ro 17 2.8.6 Tránh rủi ro 18 Chương Biện pháp kiểm soát rủi ro 19 3.1 Biện pháp kiểm soát quản lý 20 3.1.1 Mục tiêu, ngun tắc bảo đảm an tồn thơng tin 20 3.1.2 Trách nhiệm bảo đảm an toàn thông tin 20 3.1.3 Phạm vi sách an tồn thơng tin .20 3.1.4 Tổ chức bảo đảm an toàn thông tin 20 3.1.5 Bảo đảm nguồn nhân lực 20 3.1.6 Quản lý vận hành hệ thống 20 3.1.7 Các yêu cầu an toàn bổ sung .22 3.2 Biện pháp kiểm soát kỹ thuật 22 3.2.1 Bảo đảm an toàn mạng 22 3.2.2 Bảo đảm an toàn máy chủ 23 3.2.3 Bảo đảm an toàn ứng dụng 24 3.2.4 Bảo đảm an toàn liệu 24 Kết Luận .25 Tài liệu tham khảo .26 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT LỜI CẢM ƠN Trong trình thực tập lớn này, nhóm nhận giúp đỡ tận tình giảng viên hướng dẫn thầy Phạm Duy Trung – Giảng viên Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã Nhóm cảm ơn thầy cố gắng thành viên nhóm để hồn thành tập lớn này! NHÓM SINH VIÊN THỰC HIỆN BÀI TẬP LỚN Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng LỜI NÓI ĐẦU Tạo thực chương trình hiệu để đào tạo quản lý cấp cao tảng cho chương trình nâng cao nhận thức an ninh cho tồn tổ chức.Nếu khơng có hỗ trợ chấp nhận quản lý cấp cao, nhận thức bảo mậtchương trình cho tổ chức gặp nguy hiểm nghiêm trọng Nhân viên làm theo ví dụ tìm đến ban quản lý để hướng dẫn đạo Người điều hành không rõ ràng hiểu tầm quan trọng tác động chương trình nâng cao nhận thức an ninh vững tổ chức gây bất công nghiêm trọng không nhân viên tổ chức,nhưng cổ đông Cung cấp cho quản lý cấp cao công cụ kiến thức cần thiết để hiểu mối đe dọa mà tổ chức phải đối mặt mục tiêu cấp cao chương trình nâng cao nhận thức quản lý Thơng tin trình bày cho quản lý cấp cao phải thu thập tổ chức cẩn thận cung cấp mối tương quan rõ ràng mối đe dọa tác động tiềm tàng việc kinh doanh NHÓM SINH VIÊN THỰC HIỆN BÀI TẬP LỚN Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng CHƯƠNG KHẢO SÁT NHẬN THỨC VỀ BẢO MẬT Tạo thực chương trình hiệu để đào tạo quản lý cấp cao tảng cho chương trình nâng cao nhận thức an ninh cho tồn tổ chức.Nếu khơng có hỗ trợ chấp nhận quản lý cấp cao, nhận thức bảo mật chương trình cho tổ chức gặp nguy hiểm nghiêm trọng Nhân viên làm theo ví dụ tìm đến ban quản lý để hướng dẫn đạo Người điều hành không hiểu tầm quan trọng tác động chương trình nâng cao nhận thức an ninh vững tổ chức gây hậu nghiêm trọng không nhân viên tổ chức Cung cấp cho quản lý cấp cao công cụ kiến thức cần thiết để hiểu mối đe dọa mà tổ chức phải đối mặt mục tiêu cấp cao chương trình nâng cao nhận thức quản lý Thơng tin trình bày cho quản lý cấp cao phải thu thập tổ chức cẩn thận cung cấp mối tương quan rõ ràng mối đe dọa tác động tiềm tàng việc kinh doanh Nhận thức an ninh phải truyền đạt chấp nhận cách đơn giản hiệu 1.1 Xác định nguồn nhân lực để thực đánh giá khảo sát Bước việc tạo chương trình nâng cao nhận thức an ninh xác định nhiều nguồn lực tổ chức với thông tin cần thiết để xây dựng chương trình Các nhóm khảo sát phải bao gồm đại diện từ tổ chức sau:  Nguồn nhân lực - Có thể cung cấp sách, tiêu chuẩn ví dụ hành điều tra vi phạm sách  Pháp lý - Có thể cung cấp thơng tin liên quan đến vấn đề pháp lý, quy định luật định yêu cầu giải thích luật hành liên quan đến bảo mật CNTT  Kiểm tốn nội - Có thể cung cấp vấn đề bảo mật tại, báo cáo kiểm toán thơng tin chi tiết cách trình bày thơng tin cho quản lý cấp cao cách hiệu  Người quản lý kinh doanh - Có thể cung cấp thơng tin liên quan đến đánh giá rủi ro,ví dụ cố, cách chúng xử lý tác động đến hoạt động kinh doanh  Tài Kế tốn - Cung cấp thơng tin liên quan đến vấn đề an ninh tài chínhtác động đến công việc kinh doanh  Giám đốc Công nghệ Thông tin - Có thể cung cấp thơng tin hệ thống bảo mật ứng dụng  Đại diện hình ảnh cơng ty - Có thể cung cấp thơng tin tác động cố công chúng hình ảnh danh tiếng tổ chức  Đào tạo Phát triển - Có thể hỗ trợ tạo chương trình đào tạo thức cho tổ chức Họ sẵn sàng thực buổi đào tạo 1.2 Thực khảo sát Chọn ba thành viên chủ chốt ban quản lý cấp cao tổ chức để vấn viết email cho người quản lý cấp cao, phác thảo ý định hỏi sẵn sàng người quản lý cấp cao cho vấn Nếu người quản lý cấp cao khơng có mặt để vấn cá nhân,đề nghị vấn qua điện thoại cố gắng giữ 30 phút Chuẩn bị quan trọng để đảm bảo nhận câu trả lời cần thiết để phát triển chương trình hiểu rõ ràng nội dung cần thiết Dưới câu hỏi mẫu điểm khởi đầu: Bảo mật Cơng nghệ Thơng tin có ý nghĩa bạn? Bạn hiểu Bảo mật CNTT vai trị tổ chức? Quản lý cấp cao có mối quan tâm liên quan đến bảo mật CNTT? Bạn có kiến thức đào tạo bảo mật mức độ nào? (Các) loại hình đào tạo bảo mật mang lại lợi ích cho quản lý cấp cao? Các cố vấn đề bảo mật thông báo với quản lý cấp cao nào? Hiệu đội ứng phó cố nào? Bạn đánh giá mức độ nhận thức bảo mật tổ chức nào? Bạn có đề xuất để tăng mức độ nhận biết? 10 Một số vấn đề bảo mật mà tổ chức phải đối mặt gì? 11 Các sách bảo mật có hiệu lực nào? 12 Bạn có đề xuất để cải thiện nhận thức bảo mật tổ chức? Thực khảo sát nhân viên CNTT để có quan điểm họ nhận thức bảo mật tổ chức Họ không cung cấp quan điểm thực tế tình hình, mà cịn cung cấp vấn đề thực tế sống mà họ giải hàng ngày.Khi tổng hợp tất câu hỏi xác định cho chương trình nâng cao nhận thức trước để lên lịch thực chương trình nâng cao nhận thức Hỏi người quản lý người giám sát, người quen thuộc với thành viên quản lý lựa chọn để hỗ trợ việc thực chương trình nâng cao nhận thức Thực ghi lại câu hỏi câu trả lời quản lý cấp cao để có danh sách khảo sát phục vụ cho việc tạo chương trình nâng cao nhận thức an tồn thơng tin a) Bước thiết lập bối cảnh, quan, tổ chức cần đưa thông tin tổng quan, mục tiêu, quy mô, phạm vi thành phần hệ thống cần bảo vệ b) Bước đánh giá rủi ro, quan, tổ chức cần thực nhận biết rủi ro, phân tích rủi ro ước lượng rủi ro Kết việc thực nội dung cần xác định tài sản, điểm yếu, mối đe dọa, hậu mức ảnh hưởng quan, tổ chức rủi ro xảy tài sản c) Bước xử lý rủi ro, quan, tổ chức cần xác định phương án xử lý rủi ro, bao gồm biện pháp quản lý kỹ thuật để xử lý, giảm thiểu mối đe dọa xảy tài sản, dẫn tới hậu cho quan, tổ chức d) Bước xác định mức chấp nhận rủi ro, quan, tổ chức cần xác định mức chấp nhận rủi ro rủi ro cịn lại sau xử lý Bởi hệ thống tồn rủi ro khơng có phương án xử lý triệt giảm thiểu đ) Q trình truyền thơng tư vấn rủi ro trình quan, tổ chức cần trao đổi, tham vấn ý kiến bên liên quan để có thơng tin đầu vào thực bước trên; thực tuyên truyền, phổ biến nguy cơ, rủi ro xảy 14 e) Q trình giám sát sốt xét rủi ro, quan, tổ chức giám sát đánh giá tuân thủ, tính hiệu việc thực việc đánh giá xử lý rủi ro 2.7 Thiết lập bối cảnh 2.7.1 Thông tin tổng quan hệ thống thông tin Bước này, quan, tổ chức cần đưa thông tin tổng quan, mục tiêu, quy mô, phạm vi thành phần hệ thống cần bảo vệ, bao gồm không giới hạn thông tin sau: Thông tin Chủ quản hệ thống thông tin Thông tin Đơn vị vận hành Chức năng, nhiệm vụ, cấu tổ chức đơn vị vận hành Các quan, tổ chức liên quan Phạm vi, quy mơ hệ thống 2.7.2 Tiêu chí chấp nhận rủi ro Việc xử lý toàn rủi ro xác định khó khả thi với quan, tổ chức Do đó, rủi ro xem xét giảm thiểu đến mức chấp nhận 16 Tiêu chí chấp nhận rủi ro phụ thuộc vào sách, mục đích, mục tiêu bảo đảm an tồn thơng tin quan, tổ chức lợi ích bên liên quan Mỗi tổ chức cần phải xác định mức chấp nhận rủi ro riêng tổ chức Việc xác định tiêu chí chấp nhận rủi ro cần xem xét đến yếu tố như: Nguồn lực để xử lý rủi ro so với hiệu mang lại sau rủi ro xử lý; Khả xử lý rủi ro theo điều kiện thực tế quan, tổ chức mình.v.v Tiêu chí chấp nhận rủi ro bao gồm nhiều ngưỡng với tiêu chí tương ứng, theo mục tiêu bảo đảm an tồn thơng tin mà tổ chức đưa Hướng dẫn đưa khuyến nghị số tiêu chí chấp nhận rủi ro sau: Hệ thống thông tin cấp độ cấp độ không chấp nhận tồn rủi ro Hệ thống thông tin cấp độ cấp độ 4, chấp nhận tồn rủi ro mức thấp Hệ thống thông tin cấp độ cấp độ 2, không chấp nhận tồn rủi ro mức trung bình 2.7.3 Phạm vi giới hạn Cơ quan, tổ chức cần xác định rõ phạm vi thực đánh giá quản lý rủi ro để bảo toàn tài sản bảo vệ quy trình thực Để xác định phạm 15 vi, giới hạn, quan, tổ chức cần xác định rõ thông tin liên quan (bao gồm không giới hạn) sau: Phạm vi quản lý an tồn thơng tin a) Các mục tiêu bảo đảm an tồn thơng tin quan, tổ chức b) Các quy định pháp lý phải tuân thủ c) Quy chế, sách bảo đảm an tồn thơng tin tổ chức Phạm vi kỹ thuật a) Sơ đồ tổng thể (vật lý, logic) thành phần hệ thống (thiết bị mạng, bảo mật, máy chủ, thiết bị đầu cuối…) b) Xác định hệ thống thơng tin khác có liên quan có kết nối đến có ảnh hưởng quan trọng tới hoạt động bình thường hệ thống thơng tin đề xuất; đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đề xuất cấp độ hệ thống bị an tồn thơng tin; c) Danh mục nguy cơng mạng, an tồn thơng tin hệ thống ảnh hưởng 2.7.4 Tổ chức thực đánh giá quản lý rủi ro Cơ quan, tổ chức cần xây dựng phương án, kế hoạch thực đánh giá quản lý rủi ro an tồn thơng tin Nội dung phương án, kế hoạch, trách nhiệm đơn vị, phận liên quan cần đưa vào quy chế bảo đảm an toàn thông tin quan, tổ chức để thực Dưới số nội dung cần thực (bao gồm không giới hạn) để tổ chức thực đánh giá quản lý rủi ro an toàn thông tin: Phương án, kế hoạch thực đánh giá quản lý rủi ro Quy trình tổ chức thực đánh giá quản lý rủi ro Cơ chế phối hợp với bên liên quan trình thực Phương án, kế hoạch giám sát quy trình đánh giá quản lý rủi ro 2.8 Đánh giá rủi ro 2.8.1 Nhận biết rủi ro Nhận biết rủi ro bước để xác định rủi ro, hậu mức thiệt hại tương ứng Như hướng dẫn Chương mục 2.1 đến 2.3, để xác định rủi ro, quan, tổ chức cần thực bước sau: Nhận biết tài sản để xác định danh mục tài sản quan, tổ chức cần bảo vệ bao gồm thông tin, hệ thống thông tin 16 Nhận biết mối đe dọa để xác định mối đe dọa tài sản Nhận biết điểm yếu để xác định điểm yếu tồn tài sản Kết bước nhận biết rủi ro danh mục mối đe dọa điểm yếu tài sản xác định 2.8.2 Phân tích rủi ro Phân tích rủi ro để xác định mức ảnh hưởng, hậu quan, tổ chức sở thực bước nhận biết rủi ro Như hướng dẫn Chương mục 2.4 2.5, để phân tích rủi ro, quan, tổ chức cần thực bước sau: Đánh giá hậu để xác định mức ảnh hưởng quan, tổ chức tài sản bị khai thác điểm yếu gây mối nguy Đánh giá khả xảy loại cố Kết bước phân tích rủi ro xác định hậu quả, mức ảnh hưởng mà quan, tổ chức phải xử lý 2.8.3 Xử lý rủi ro Cơ quan, tổ chức lựa chọn phương án xử lý rủi ro khác để bảo đảm đạt mục tiêu bảo đảm an tồn thơng tin đơn vị Việc thực xử lý rủi ro thực kết hợp nhiều phương án sau: thay đổi rủi ro, trì rủi ro, tránh rủi ro chia sẻ rủi ro, 2.8.4 Thay đổi rủi ro Thay đổi rủi ro phương án thực biện pháp xử lý, khắc phục nhằm giảm mức rủi ro xác định nhằm xác định rủi ro tồn đọng đánh giá lại mức chấp nhận Để thực phương án này, quan, tổ chức cần xây dựng hệ thống biện pháp kiểm soát phù hợp Các biện pháp lựa chọn vào tiêu chí liên quan đến chi phí, đầu tư thời gian triển khai, sở cân đối nguồn lực bỏ lợi ích đem lại tổ chức thực xử lý rủi ro 2.8.5 Duy trì rủi ro Duy trì rủi ro phương án chấp nhận rủi ro xác định mà không đưa phương án xử lý để giảm thiểu rủi ro Việc xác định rủi ro chấp nhận dựa vào mức rủi ro tiêu chí chấp nhận rủi ro 17 2.8.6 Tránh rủi ro Tránh rủi ro phương án xử lý quan, tổ chức phải đối mặt với mức rủi ro cao cách làm thay đổi, loại bỏ dừng hoạt động hệ thống, quy trình nghiệp vụ hoạt động quan, tổ chức để phải đối mặt với rủi ro xác định Tránh rủi ro phương án thích hợp rủi ro xác định vượt khả chấp nhận rủi ro tổ chức 18 CHƯƠNG BIỆN PHÁP KIỂM SOÁT RỦI RO Theo quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ, hệ thống thông tin phải đáp ứng yêu cầu an toàn bản, tối thiểu Tuy nhiên, hệ thống thông tin khác có có đặc thù riêng yêu cầu mức độ an toàn khác phù hợp với yêu cầu thực tế quan, tổ chức Do đó, sở đánh giá quản lý rủi ro, quan, tổ chức cần rà soát, bổ sung yêu cầu an toàn (sau gọi biện pháp kiểm soát rủi ro) cho phù hợp với yêu cầu thực tế Khi triển khai biện pháp kiểm soát rủi ro, trước hết quan, tổ chức cần xem xét biện pháp cần thiết có yêu cầu hay chưa Trường hợp, biện pháp kiểm sốt nằm u cầu cần thực theo quy định Trường hợp cần bổ sung yêu cầu an toàn để đáp ứng yêu cầu thực tế cần đưa phương án cụ thể để thực Các biện pháp kiểm soát hệ thống thông tin quy định Điều 19 Nghị định 85/2016/NĐ-CP ngày 10/7/2016, Điều 8, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 hướng dẫn chi tiết tiêu chuẩn quốc gia TCVN 11930:2017 Các yêu cầu an tồn chia làm nhóm u cầu quản lý yêu cầu kỹ thuật Trong đó, yêu cầu kỹ thuật đưa yêu cầu liên quan đến thiết kế, thiết lập, biện pháp, giải pháp công nghệ hệ thống trình xây dựng thiết lập Các yêu cầu quản lý đưa sách, quy chế, quy trình, tổ chức máy bảo đảm an tồn thơng tin nhằm bảo đảm an tồn thơng tin cho hệ thống thơng tin q trình vận hành, khai thác Các biện pháp kiểm soát đưa TCVN 11930:2017 phân thành 05 mức theo cấp độ hệ thống thơng tin cần bảo vệ Do đó, biện pháp kiểm soát rủi ro lựa chọn cần dựa vào mức rủi ro để xác định biện pháp kiểm soát phù hợp TCVN 11930:2017 tiêu chuẩn khác liên quan Ví dụ, mức ảnh hưởng xác định mức biện pháp kiểm soát lựa chọn biện pháp tương ứng với cấp độ TCVN 11930:2017 Các biện pháp bổ sung xác định biện pháp yêu cầu hệ thống thông tin cấp độ cao Ví dụ hệ thống thơng tin xác định cấp độ 3, cần áp dụng biện pháp kiểm sốt u cầu với hệ thống thơng tin cấp độ 4, biện pháp coi biện pháp bổ sung Bên cạnh đó, biện pháp kiểm soát bổ sung, quan, tổ chức tham khảo từ hai tiêu chuẩn ISP/IEC 27000 biện pháp quản lý 19 SP800-53 biện pháp kỹ thuật Các biện pháp kiểm soát kiểm soát bổ sung hướng dẫn cụ thể 3.1 Biện pháp kiểm soát quản lý 3.1.1 Mục tiêu, ngun tắc bảo đảm an tồn thơng tin Đưa mục tiêu, ngun tắc bảo đảm an tồn thơng tin tổ chức 3.1.2 Trách nhiệm bảo đảm an tồn thơng tin Đưa quy định trách nhiệm bảo đảm an tồn thơng tin đơn vị chun trách an tồn thơng tin, cán làm an tồn thơng tin đối tượng thuộc phạm vi điều chỉnh sách an tồn thơng tin 3.1.3 Phạm vi sách an tồn thơng tin Đưa phạm vi sách, đối tượng áp dụng sách bảo đảm an tồn thơng tin tổ chức 3.1.4 Tổ chức bảo đảm an tồn thơng tin Cung cấp thông tin cấu, tổ chức bảo đảm an tồn thơng tin tổ chức, bao gồm: Đơn vị chun trách an tồn thơng tin; Cơ chế, đầu mối phối hợp với quan/tổ chức có thẩm quyền hoạt động bảo đảm an tồn thông tin 3.1.5 Bảo đảm nguồn nhân lực Đưa sách/quy trình thực quản lý bảo đảm nguồn nhân lực an tồn thơng tin tổ chức, bao gồm: Tuyển dụng cán bộ; quy chế/quy định bảo đảm an tồn thơng tin q trình làm việc chấm dứt thay đổi công việc 3.1.6 Quản lý vận hành hệ thống a) Quản lý an toàn mạng: Đưa sách/quy trình thực quản lý an toàn hạ tầng mạng tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường hệ thống; Cập nhật, lưu dự phịng khơi phục hệ thống sau xảy cố; Truy cập quản lý cấu hình hệ thống; Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước đưa vào vận hành, khai thác b) Quản lý an toàn máy chủ ứng dụng: Đưa sách/quy trình thực quản lý an tồn máy chủ ứng dụng tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường hệ thống máy chủ dịch vụ; Truy cập mạng máy chủ; Truy cập quản trị máy chủ ứng dụng; Cập nhật, lưu dự phịng khơi phục sau xảy cố; Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm 20 hệ thống; Kết nối gỡ bỏ hệ thống máy chủ dịch vụ khỏi hệ thống; Cấu hình tối ưu tăng cường bảo mật cho hệ thống máy chủ trước đưa vào vận hành, khai thác c) Quản lý an tồn liệu: Đưa sách/quy trình thực quản lý an tồn liệu tổ chức, bao gồm: Yêu cầu an toàn phương pháp mã hóa; Phân loại, quản lý sử dụng khóa bí mật liệu mã hóa; Cơ chế mã hóa kiểm tra tính ngun vẹn liệu; Trao đổi liệu qua môi trường mạng phương tiện lưu trữ; Sao lưu dự phòng khôi phục liệu; Cập nhật đồng thông tin, liệu hệ thống lưu dự phịng hệ thống phụ d) Quản lý an toàn thiết bị đầu cuối: Đưa sách/quy trình thực quản lý an toàn thiết bị đầu cuối tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường cho thiết bị đầu cuối; Kết nối, truy cập sử dụng thiết bị đầu cuối từ xa; Cài đặt, kết nối gỡ bỏ thiết bị đầu cuối hệ thống; Cấu hình tối ưu tăng cường bảo mật cho máy tính người sử dụng; Kiểm tra, đánh giá, xử lý điểm yếu an tồn thơng tin cho thiết bị đầu cuối đ) Quản lý phòng chống phần mềm độc hại: Đưa sách/quy trình thực quản lý phòng chống phần mềm độc hại tổ chức, bao gồm: Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; Cài đặt, sử dụng phần mềm máy tính, thiết bị di động việc truy cập trang thông tin mạng; Gửi nhận tập tin qua môi trường mạng phương tiện lưu trữ di động; Thực kiểm tra dị qt phần mềm độc hại tồn hệ thống; Kiểm tra xử lý phần mềm độc hại e) Quản lý giám sát an tồn hệ thống thơng tin: Đưa sách/quy trình thực quản lý phòng chống phần mềm độc hại tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường hệ thống giám sát; Đối tượng giám sát bao gồm; Kết nối gửi nhật ký hệ thống; Truy cập quản trị hệ thống giám sát; Loại thông tin cần giám sát; Lưu trữ bảo vệ thông tin giám sát; Theo dõi, giám sát cảnh báo cố; Bố trí nguồn lực tổ chức giám sát g) Quản lý điểm yếu an tồn thơng tin: Đưa sách/quy trình thực quản lý điểm yếu an tồn thơng tin tổ chức, bao gồm: Quản lý thơng tin thành phần có hệ thống có khả tồn điểm yếu an tồn thông tin; Quản lý, cập nhật nguồn cung cấp điểm yếu an tồn thơng tin; Phân nhóm mức độ điểm yếu; Cơ chế phối hợp với nhóm chuyên gia; Kiểm tra, đánh giá xử lý điểm yếu an tồn thơng tin trước đưa hệ thống vào sử dụng; Quy trình khơi phục lại hệ thống 21 h) Quản lý cố an tồn thơng tin: Đưa sách/quy trình thực quản lý cố an tồn thơng tin tổ chức, bao gồm: Phân nhóm cố an tồn thơng tin; Phương án tiếp nhận, phát hiện, phân loại xử lý thông tin; Kế hoạch ứng phó cố an tồn thơng tin; Giám sát, phát cảnh báo cố an tồn thơng tin; Quy trình ứng cứu cố an tồn thơng tin thơng thường; Quy trình ứng cứu cố an tồn thơng tin nghiêm trọng; Cơ chế phối hợp việc xử lý, khắc phục cố an tồn thơng tin; Diễn tập phương án xử lý cố an tồn thơng tin i) Quản lý an tồn người sử dụng đầu cuối: Đưa sách/quy trình thực quản lý an tồn người sử dụng đầu cuối tổ chức, bao gồm: Quản lý truy cập, sử dụng tài nguyên nội bộ; Quản lý truy cập mạng tài nguyên Internet; Cài đặt sử dụng máy tính an tồn 3.1.7 Các u cầu an tồn bổ sung Cơ quan, tổ chức tham khảo biện pháp kiểm sát đưa tiêu chuẩn TCVN ISO/IEC 27002:2020, bao gồm biện pháp kiểm sốt chia thành 15 nhóm sau: Chính sách an tồn thơng tin; Tổ chức bảo đảm an tồn thơng tin; An tồn nguồn nhân lực; Quản lý tài sản; Kiểm soát truy cập; Mật mã; An tồn vật lý mơi trường; An tồn vận hành; An tồn truyền thơng; Tiếp nhận, phát triển bảo trì hệ thống; Các mối quan hệ với nhà cung cấp; Quản lý cố an tồn thơng tin; Các khía cạnh an tồn thơng tin quản lý hoạt động nghiệp vụ liên tục; Sốt xét an tồn thơng tin 3.2 Biện pháp kiểm sốt kỹ thuật 3.2.1 Bảo đảm an toàn mạng a) Thiết kế hệ thống - Đưa yêu cầu thiết kế vùng mạng hệ thống theo chức năng, vùng mạng - Đưa yêu cầu biện pháp bảo vệ cụ thể bao gồm: Phương án quản lý truy cập, quản trị hệ thống từ xa an toàn, Phương án quản lý truy cập vùng mạng phòng chống xâm nhập, Phương án cân tải, dự phịng nóng cho thiết bị mạng, Phương án bảo đảm an toàn cho máy chủ sở liệu, Có phương án chặn lọc phần mềm độc hại mơi trường mạng, Phương án phịng chống cơng từ chối dịch vụ, Phương án giám sát hệ thống thơng tin tập trung, Phương án giám sát an tồn hệ thống thông tin tập trung, Phương án quản lý lưu dự phòng tập trung, Phương án quản lý phần mềm phòng chống mã độc máy chủ/máy tính người dùng tập trung, Phương án phịng, chống thất 22 liệu, Phương án bảo đảm an tồn cho mạng không dây, Phương án quản lý tài khoản đặc quyền, Phương án dự phòng hệ thống vị trí địa lý khác b) Kiểm sốt truy cập từ bên mạng: Đưa biện pháp quản lý truy cập từ mạng bên theo chiều vào hệ thống tới máy chủ dịch vụ bên mạng, bao gồm: Các dịch vụ/ứng dụng cho phép từ truy cập từ bên ngoài; Thời gian kết nối; Phân quyền truy cập; Giới hạn kết nối; Thiết lập sách ưu tiên Phương án cần mơ tả sách thiết lập thiết bị hệ thống c) Kiểm soát truy cập từ bên mạng: Đưa biện pháp quản lý truy cập từ máy tính/máy chủ bên mạng theo chiều mạng bên mạng khác bên mạng, bao gồm: Các ứng dụng/dịch vụ truy cập; Quản lý truy cập theo địa thiết bị; phương án ưu tiên truy cập Phương án cần mơ tả sách thiết lập thiết bị hệ thống d) Nhật ký hệ thống: Đưa biện pháp quản lý nhật ký hệ thống (log) thiết bị hệ thống bật chức ghi log; thông tin ghi log; thời gian, dung lượng ghi log; quản lý log đ) Phòng chống xâm nhập: Đưa biện pháp triển khai/thiết lập cấu hình thiết bị phòng, chống xâm nhập IDS/IPS chức IDS/IPS thiết bị tường lửa có hệ thống nhằm đáp ứng u cầu an tồn e) Phịng chống phần mềm độc hại môi trường mạng: Đưa biện pháp triển khai/thiết lập cấu hình thiết bị để thực chức phòng chống phần mềm độc hại môi trường mạng đáp ứng yêu cầu an toàn g) Bảo vệ thiết bị hệ thống: Đưa biện pháp triển khai/thiết lập cấu hình chức bảo mật thiết bị có hệ thống nhằm bảo đảm bảo đảm an toàn cho thiết bị trình sử dụng quản lý vận hành 3.2.2 Bảo đảm an toàn máy chủ a) Xác thực: Đưa biện pháp cấu hình/thiết lập sách xác thực máy chủ để bảo đảm việc xác thực đăng nhập vào máy chủ an tồn b) Kiểm sốt truy cập: Đưa biện pháp cấu hình/thiết lập sách kiểm soát truy cập máy chủ để bảo đảm việc truy cập, sử dụng máy chủ an toàn sau đăng nhập thành công c) Nhật ký hệ thống: Đưa biện pháp quản lý nhật ký hệ thống (log) máy chủ về: Bật chức ghi log; Thông tin ghi log; Thời gian, Dung lượng ghi log; Quản lý log 23 d) Phòng chống xâm nhập: Đưa biện pháp cấu hình/thiết lập cấu hình bảo mật máy chủ để bảo bảo vệ cơng xâm nhập từ bên ngồi đ) Phịng chống phần mềm độc hại: Đưa biện pháp cấu hình/thiết lập cấu hình bảo mật máy chủ về: Cài đặt phần mềm phòng chống mã độc; Dò quét mã độc; Xử lý mã độc; Quản lý tập trung phần mềm phòng chống mã độc để phòng chống mã độc cho máy chủ e) Xử lý máy chủ chuyển giao: Đưa biện pháp xóa liệu; lưu dự phòng liệu chuyển giao thay đổi mục đích sử dụng 3.2.3 Bảo đảm an tồn ứng dụng a) Xác thực Đưa biện pháp cấu hình/thiết lập sách xác thực ứng dụng để bảo đảm việc xác thực đăng nhập vào máy chủ an tồn b) Kiểm sốt truy cập: Đưa biện pháp cấu hình/thiết lập sách kiểm sốt truy cập ứng dụng để bảo đảm việc truy cập, sử dụng ứng dụng an toàn sau đăng nhập thành công c) Nhật ký hệ thống: Đưa biện pháp quản lý nhật ký hệ thống (log) ứng dụng về: Bật chức ghi log; Thông tin ghi log; Thời gian, dung lượng ghi log; Quản lý log d) Bảo mật thông tin liên lạc: Đưa biện pháp mã hóa sử dụng giao thức mạng kênh kết nối mạng an toàn trao đổi liệu qua môi trường mạng đ) Chống chối bỏ: Đưa biện pháp sử dụng bảo vệ chữ ký số để bảo vệ tính bí mật chống chối bỏ gửi/nhận thông tin quan trọng qua mạng e) An toàn ứng dụng mã nguồn: Đưa biện pháp cấu hình/thiết lập chức bảo mật cho ứng dụng phương án bảo vệ mã nguồn ứng dụng 3.2.4 Bảo đảm an toàn liệu a) Nguyên vẹn liệu: Đưa biện pháp lưu trữ, quản lý thay đổi, khơi phục liệu bảo đảm tính ngun vẹn liệu b) Bảo mật liệu: Đưa biện pháp lưu trữ, quản lý thay đổi, khôi phục liệu bảo đảm tính bí mật liệu c) Sao lưu dự phòng: Đưa biện pháp lưu dự phịng liệu: Các thơng tin u cầu lưu dự phòng; Phân loại liệu lưu dự phòng; Hệ thống lưu dự phòng… 24 25 KẾT LUẬN Chương ta có nhìn dễ dàng thấy việc đảm bảo an tồn thơng tin hệ thống sách quan việc vô cần thiết cấp bách Chương có nhìn ngun tắc bảo mật thông tin Chương tiếp cận với nguy hiểm tiềm tàng mang cách phòng chống 26 TÀI LIỆU THAM KHẢO [1] TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các yêu cầu [2] TCVN 10295:2014- Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro ATTT [3] Thông tư số 03/2017/TT-BTTTT ngày 24 tháng năm 2017 cuả Bộ Thông tin Truyền thông quy định chi tiết hướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an tồn hệ thống thơng tin theo cấp độ [4] ISO/IEC 15408:2017 Information technology — Security techniques — Evaluation criteria for IT securit [5] ISO/IEC 15408:2017 Information technology — Security techniques — Evaluation criteria for IT securit [6] https://www.sans.org/white-papers/992/ 27 28 ...BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO Môn: Quản Lý Xây Dựng Chính Sách ATTT Lớp: L04 Nhóm sinh... thành viên chủ chốt ban quản lý cấp cao tổ chức để vấn viết email cho người quản lý cấp cao, phác thảo ý định hỏi sẵn sàng người quản lý cấp cao cho vấn Nếu người quản lý cấp cao khơng có mặt để... thành tập lớn này! NHÓM SINH VIÊN THỰC HIỆN BÀI TẬP LỚN Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng LỜI NÓI ĐẦU Tạo thực chương trình hiệu để đào tạo quản lý cấp cao tảng cho chương trình nâng cao

Ngày đăng: 27/02/2022, 12:58

Xem thêm:

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w