Đang tải... (xem toàn văn)
TCVN TIÊU CHUẨN QUỐC GIA TCVN T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxxx xxxx ISO/IEC 27035 2011 Xuất bản lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN Information te[.]
TCVN TIÊU CHUẨN QUỐC GIA TCVN xxxx:xxxx ISO/IEC 27035:2011 Xuất lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN Information technology – Security techniques – Infomation security incident management HÀ NỘI – 2015 Mục lục Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Tổng quan 4.1 Các khái niệm 4.2 Các mục đích 4.3 Các lợi ích phương pháp tiếp cận có cấu trúc .10 4.4 Khả ứng dụng .13 4.5 Các giai đoạn 13 4.6 Ví dụ cố an tồn thơng tin .14 Giai đoạn lập kế hoạch chuẩn bị 15 5.1 Tổng quan hoạt động .15 5.2 Chính sách quản lý cố an tồn thơng tin 18 5.2.1 Giới thiệu .18 5.2.2 Các bên liên quan 18 5.2.3 Nội dung 19 5.3 Tích hợp quản lý cố an tồn thơng tin sách khác 20 5.3.1 Giới thiệu .20 5.3.2 Nội dung 21 5.4 Lược đồ quản lý cố an tồn thơng tin 21 5.4.1 Giới thiệu .21 5.4.2 Các bên liên quan 22 5.4.3 Nội dung 22 5.4.4 Các thủ tục 26 5.4.5 Sự tin cậy 27 5.4.6 Tính bí mật 27 5.5 Thành lập ISIRT .28 5.5.1 Giới thiệu .28 5.5.2 Các thành viên cấu trúc 28 5.5.3 Mối quan hệ với phận khác tổ chức 29 5.5.4 Mối quan hệ với bên có lợi ích bên ngồi 29 5.6 Hỗ trợ kỹ thuật hỗ trợ khác (bao gồm hỗ trợ vận hành) .29 5.7 Đào tạo nâng cao nhận thức 31 5.8 Thử nghiệm lược đồ 33 Giai đoạn phát báo cáo 33 6.1 Tổng quan hoạt động .33 6.2 Phát kiện an tồn thơng tin .36 6.3 Báo cáo kiện an tồn thơng tin 37 Giai đoạn đánh giá quyêt định .38 7.1 Tổng quan hoạt động .38 7.2 Đánh giá định ban đầu từ PoC .40 7.3 Đánh giá xác nhận cố từ ISIRT 43 Giai đoạn ứng phó 44 8.1 Tổng quan hoạt động .44 8.2 Ứng phó 46 8.2.1 Ứng phó tức .46 8.2.2 Đánh giá kiểm soát cố an tồn thơng tin .50 8.2.3 Các ứng phó sau 50 8.2.4 Ứng phó với tình khủng hoảng 51 8.2.5 Phân tích điều tra an tồn thơng tin 52 8.2.6 Truyền thông 55 8.2.7 Tăng cấp xử lý .55 8.2.8 Ghi nhật ký hoạt động kiểm soát thay đổi .56 Giai đoạn rút học kinh nghiệm 56 9.1 Tổng quan hoạt động .56 9.2 Phân tích điều tra thêm an tồn thơng tin 57 9.3 Xác định học kinh nghiệm 57 9.4 Xác định thực cải tiến việc triển khai biện pháp kiểm sốt an tồn thơng tin 58 9.5 Xác định thực cải tiến kết đánh giá rủi ro an toàn thơng tin sốt xét ban quản lý 59 9.6 Xác định thực cải tiến lược đồ quản lý cố an tồn thơng tin 59 9.7 Các cải tiến khác 60 Phụ lục A 61 Phụ lục B 65 B.1 Các công .65 B.1.1 Từ chối dịch vụ 65 B.1.2 Truy cập trái phép .66 B.1.3 Mã độc 66 B.1.4 Sử dụng không phù hợp .67 B.2 Tập hợp thông tin 67 Phụ lục C 69 C.1 Giới thiệu .69 C.2 Phân loại cố an tồn thơng tin .69 C.3 Phân cấp cố an tồn thơng tin .74 C.3.1 Ví dụ 74 C.3.2 Ví dụ 78 Phụ lục D 84 D.1 Giới thiệu 84 D.2 Các mục ví dụ hồ sơ .84 D.2.1 Các mục ví dụ hồ sơ kiện an tồn thơng tin 84 D.2.2 Các mục ví dụ hồ sơ cố an tồn thơng tin 85 D.2.3 Các mục ví dụ hồ sơ điểm yếu an tồn thơng tin 86 D.3 Cách sử dụng mẫu báo cáo 86 D.3.1 Định dạng ngày tháng thời điểm 86 D.3.2 Chú thích .87 D.4 Mẫu báo cáo ví dụ 89 D.4.1 Mẫu ví dụ báo cáo kiện an tồn thơng tin 89 D.4.2 Mẫu ví dụ báo cáo cố an tồn thơng tin 90 D.4.3 Mẫu ví dụ hồ sơ điểm yếu an tồn thơng tin 96 Phụ lục E 97 Thư mục tài liệu tham khảo .100 Lời nói đầu TCVN xxxx:xxxx hồn tồn tương đương với ISO/IEC 27035:2011 TCVN xxxx:xxxx Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TIÊU CHUẨN QUỐC GIA TCVN xxxx:xxxx Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý cố an tồn thơng tin Information technology – Security techniques – Infomation security incident management Phạm vi áp dụng Tiêu chuẩn đưa phương pháp tiếp cận có cấu trúc có kế hoạch để: a) phát hiện, báo cáo đánh giá cố an tồn thơng tin; b) ứng phó quản lý cố an tồn thơng tin; c) phát hiện, đánh giá quản lý điểm yếu an toàn thông tin; d) liên tục cải tiến việc quản lý cố an tồn thơng tin sau thực quản lý cố điểm yếu an tồn thơng tin Tiêu chuẩn đưa hướng dẫn quản lý cố an tồn thơng tin cho tổ chức quy mơ lớn trung bình Tùy theo quy mơ loại hình nghiệp vụ liên quan đến tình trạng rủi ro an tồn thơng tin, tổ chức có quy mơ nhỏ sử dụng tài liệu, quy trình thủ tục mô tả tiêu chuẩn Tiêu chuẩn đưa hướng dẫn cho tổ chức cung cấp dịch vụ quản lý cố an tồn thơng tin bên ngồi Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) - ISO/IEC 27000:2009, Information technology – Security techniques – Information security management systems – Overview and vocabulary (Công nghệ thơng tin – Các kỹ thuật an tồn – Hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu ISO/IEC 27000 thuật ngữ, định nghĩa sau: 3.1 Điều tra an tồn thơng tin (information security forensics) TCVN xxxx:xxxx Áp dụng kỹ thuật điều tra phân tích để nắm bắt, báo cáo phân tích cố an tồn thơng tin 3.2 Nhóm ứng phó với cố an tồn thơng tin (information security incident response team) ISIRT Nhóm gồm thành viên có kỹ phù hợp tin cậy tổ chức làm nhiệm vụ xử lý cố an tồn thơng tin suốt vịng đời chúng CHÚ THÍCH: ISIRT mơ tả tiêu chuẩn phận chức có tổ chức thực xử lý cố an toàn thông tin tập trung chủ yếu vào cố liên quan đến IT Các phận chức thơng thường khác (có chữ viết tắt tương tự) việc xử lý cố có mục đích phạm vi khác chút Các chữ viết tắt sau sử dụng rộng rãi có nghĩa tương tự ISIRT, nhiên khơng hồn tồn giống: • CERT: Nhóm Ứng phó Máy tính Khẩn cấp chủ yếu tập trung vào cố công nghệ thông tin truyền thơng (ICT) Tùy theo quốc gia CERT có định nghĩa khác • CSIRT: Nhóm Ứng phó Sự cố An tồn Máy tính tổ chức dịch vụ chịu trách nhiệm tiếp nhận, xem xét, ứng phó với báo cáo hoạt động cố an tồn máy tính Các dịch vụ thường thực cho phạm vi xác định, cơng ty mẹ ví dụ tập đồn, tổ chức phủ, tổ chức giáo dục; vùng quốc gia; mạng lưới nghiên cứu; khách hàng chi trả 3.3 Sự kiện an tồn thơng tin (information security event) Một kiện xác định hệ thống, dịch vụ hay trạng thái mạng cho thấy khả vi phạm sách an tồn thơng tin thất bại biện pháp kiểm soát, tình chưa biết liên quan đến an tồn thơng tin [ISO/IEC 27000:2009] 3.4 Sự cố an tồn thơng tin (information security incident) Một chuỗi kiện an tồn thơng tin khơng mong muốn khơng trơng đợi có nhiều khả làm tổn hại hoạt động nghiệp vụ đe dọa an tồn thơng tin [ISO/IEC 27000:2009] 4.1 Tổng quan Các khái niệm Sự kiện an tồn thơng tin kiện xác định hệ thống, dịch vụ hay trạng thái mạng cho thấy khả vi phạm an tồn thơng tin, thất bại biện pháp kiểm sốt, tình chưa biết liên quan đến an tồn thơng tin Một cố an tồn thơng tin một chuỗi kiện an tồn thơng tin khơng mong muốn khơng trơng đợi có nhiều khả làm tổn hại hoạt động nghiệp vụ đe dọa an tồn thơng tin TCVN xxxx:xxxx Việc xảy kiện an tồn thơng tin khơng phải lúc có nghĩa cố gắng thành cơng có hệ đến tính bí mật, tính vẹn tồn và/hoặc tính sẵn sàng, tức khơng phải kiện an tồn thơng tin xếp loại cố an toàn thông tin Mối đe dọa khai thác điểm yếu (nhược điểm) hệ thống, dịch vụ mạng thơng tin theo cách khơng mong muốn, xảy kiện an tồn thơng tin tiềm ẩn gây cố không mong muốn tài sản thơng tin có điểm yếu Hình mơ tả mối quan hệ đối tượng chuỗi gây cố an tồn thơng tin Các đối tượng màu đậm đối tượng có trước bị ảnh hưởng đối tượng ô màu sáng chuỗi gây cố an tồn thơng tin Hình – Mỗi quan hệ đối tượng chuỗi gây cố an tồn thơng tin 4.2 Các mục đích Là phần chiến lược an tồn thơng tin chung tổ chức, tổ chức cần triển khai biện pháp kiểm soát thủ tục để có phương pháp tiếp cận có cấu trúc có kế hoạch chặt chẽ để quản lý cố an tồn thơng tin Theo quan điểm nghiệp vụ mục đích quan trọng tránh kìm hãm tác động cố an tồn thơng tin nhằm làm giảm chi phí trực tiếp gián tiếp phát sinh từ cố Các bước để giảm thiểu tác động tiêu cực trực tiếp cố an toàn thơng tin gồm: • ngăn chặn kìm hãm, • loại trừ, • phân tích báo cáo, • theo dõi TCVN xxxx:xxxx Các mục đích phương pháp tiếp cận có cấu trúc có kế hoạch chặt chẽ cần đảm bảo vấn đề sau: a) Các kiện an tồn thơng tin phát giải cách hiệu quả, đặc biệt việc xác định xem liệu chúng có cần phân loại phân cấp cố an tồn thơng tin hay khơng b) Các cố an tồn thơng tin xác định đánh giá ứng phó theo cách thức phù hợp hiệu c) Các ảnh hưởng bất lợi cố an tồn thơng tin lên tổ chức hoạt động nghiệp vụ tổ chức giảm thiểu biện pháp kiểm sốt phù hợp, phần việc ứng phó với cố, việc kết hợp với phần liên quan nhiều kế hoạch quản lý khủng hoảng, d) Các điểm yếu an tồn thơng tin báo cáo đánh giá giải cách hợp lý e) Các học kinh nghiệm nhanh chóng rút từ cố, điểm yếu an tồn thơng tin việc quản lý liên quan Điều nhằm làm tăng hội ngăn chặn xảy cố an tồn thơng tin tương lai, cải tiến việc triển khai sử dụng biện pháp kiểm sốt an tồn thơng tin, cải tiến lược đồ quản lý cố an tồn thơng tin chung Để đạt mục đích trên, tổ chức cần đảm bảo cố an tồn thơng tin ghi vào tài liệu theo cách thích hợp, có sử dụng tiêu chuẩn phù hợp cho phân loại, phân cấp cố chia sẻ cố cho số đo thiết lập từ liệu tập hợp khoảng thời gian Đây nguồn cung cấp thơng tin có giá trị để hỗ trợ quy trình đưa định chiến lược tập trung vào biện pháp kiểm sốt an tồn thơng tin Cần nhắc lại tiêu chuẩn cịn có mục đích khác đưa hướng dẫn cho tổ chức mong muốn thỏa mãn yêu cầu TCVN ISO/IEC 27001:2009 (và hỗ trợ từ hướng dẫn TCVN ISO/IEC 27002:2011) TCVN ISO/IEC 27001:2009 đưa yêu cầu liên quan đến quản lý cố an tồn thơng tin Phụ lục A đưa bảng tham chiếu chéo điều liên quan đến quản lý cố an toàn thông tin TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 điều tiêu chuẩn 4.3 Các lợi ích phương pháp tiếp cận có cấu trúc Mỗi tổ chức sử dụng phương pháp tiếp cận có cấu trúc để quản lý cố an tồn thơng tin nhận lợi ích lớn theo nhóm sau: a) Cải thiện an tồn thơng tin chung Quy trình có cấu trúc để phát hiện, báo cáo, đánh giá đưa định kiện cố an tồn thơng tin cho phép xác định ứng phó nhanh chóng Điều cải thiện an tồn chung nhờ giúp nhanh chóng xác định triển khai giải pháp phù hợp, đưa cách thức phòng ngừa cố an tồn thơng tin tương tự tương lai Hơn nữa, tổ chức 10 TCVN xxxx:xxxx • Cần cung cấp thông tin liên lạc đầy đủ bạn Vì cần phải liên lạc với bạn - trường hợp khẩn cấp vào thời điểm sau - để có thêm thơng tin liên quan đến báo cáo bạn Nếu sau bạn phát thông tin mà bạn cung cấp khơng xác, khơng đầy đủ sai lệch, cần sửa nộp lại mẫu báo cáo 88 TCVN xxxx:xxxx D.4 Mẫu báo cáo ví dụ D.4.1 Mẫu ví dụ báo cáo kiện an tồn thơng tin BÁO CÁO SỰ KIỆN AN TỒN THƠNG TIN Ngày xảy kiện Số kiện Trang 1/1 3 (Nếu có) Số kiện và/hoặc cố liên quan THÔNG TIN CHI TIẾT VỀ NGƯỜI BÁO CÁO ……………………… 4.2 Địa ……… ……………………………… ……………………… 4.4 Đơn vị ……… ……………………………… ……………………… 4.6 E-mail ……… ……………………………… 4.1 Họ tên 4.3 Tổ chức 4.5 Điện thoại MƠ TẢ SỰ KIỆN AN TỒN THƠNG TIN 5.1 Mơ tả kiện • Cái xảy • Xảy • Tại xảy • Khái quát sơ thiết bị/tài sản bị ảnh hưởng • Các tác động nghiệp vụ bất lợi • Các điểm yếu xác định THƠNG TIN CHI TIẾT VỀ SỰ KIỆN AN TỒN THƠNG TIN 6.1 Ngày thời điểm xảy kiện 6.2 Ngày thời điểm phát kiện 6.3 Ngày thời điểm báo cáo kiện 6.4 Đã chấm dứt ứng phó với kiện chưa? (Tích vào ô tương ứng) RỒi CHƯA 6.5 Nếu trả lời RỒI, xác định khoảng thời gian kiện diễn theo Ngày/giờ/phút Số kiện nên để người quản lý ISIRT tổ chức điền 89 TCVN xxxx:xxxx D.4.2 Mẫu ví dụ báo cáo cố an tồn thơng tin BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN Ngày xảy cố Số cố Trang 1/6 (Nếu có) Số kiện và/hoặc cố liên quan THÔNG TIN CHI TIẾT VỀ THÀNH VIÊN POC 4.1 Họ tên ……………………………… 4.2 Địa ……………………………… 4.3 Tổ chức ……………………………… 4.4 Đơn vị ……………………………… 4.5 Điện thoại ……………………………… 4.6 E-mail ……………………………… THÔNG TIN CHI TIẾT VỀ THÀNH VIÊN ISIRT 5.1 Họ tên ……………………………… 5.2 Địa ……………………………… 5.3 Tổ chức ……………………………… 5.4 Đơn vị ……………………………… 5.5 Điện thoại ……………………………… 5.6 E-mail ……………………………… MƠ TẢ SỰ CỐ AN TỒN THƠNG TIN 6.1 Mơ tả cố • Cái xảy • Xảy • Tại xảy • Khái quát sơ thiết bị/tài sản bị ảnh hưởng • Các tác động nghiệp vụ bất lợi • Các điểm yếu xác định THÔNG TIN CHI TIẾT VỀ SỰ CỐ AN TỒN THƠNG TIN 7.1 Ngày thời điểm xảy cố 7.2 Ngày thời điểm phát cố 7.3 Ngày thời điểm báo cáo cố 7.4 Thông tin chi tiết nhận dạng/liên hệ người báo cáo 7.5 Sự cố kết thúc chưa? RỒI (Tích vào tương ứng) CHƯA 7.6 Nếu trả lời RỒI, xác định khoảng thời gian cố diễn theo Ngày/giờ/phút BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN Trang 2/6 LOẠI SỰ CỐ AN TỒN THƠNG TIN (Lựa chọn một, sau 8.1 Đã xảy 8.2 Nghi ngờ Số cố nên để người quản lý ISIRT tổ chức điền, có liên kết với số kiện liên quan 90 TCVN xxxx:xxxx BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN hồn thành phần đây) (sự cố xảy ra) (Sự cố xảy chưa xác nhận) 8.3 Thảm họa tự nhiên (chọn một) (Cho biết loại đe dọa liên quan) Động đất Núi lửa Lũ lụt Lốc xoáy Sét Sóng thần Sụt lún Loại khác Ghi rõ: 8.4 Bất ổn xã hội (chọn một) Bedin (Cho biết loại đe dọa liên quan) Khủng bố Chiến tranh Loại khác Ghi rõ: 8.5 Thiệt hại vật chất (chọn một) Hỏa hoạn (Cho biết loại đe dọa liên quan) Nước Tĩnh điện Mơi trường độc hại (như nhiễm, bụi, ăn mịn, đóng băng) Phá hoại thiết bị Phá hoại phương Trộm cắp thiết bị tiện lưu trữ Trộm cắp phương Mất mát thiết bị Mất mát phương tiện lưu trữ tiện lưu trữ Giả mạo thiết bị Giả mạo phương Loại khác tiện lưu trữ Ghi rõ: 8.6 Lỗi hạ tầng (chọn một) (Cho biết loại đe dọa liên quan) Lỗi nguồn điện Lỗi mạng Lỗi nguồn Nước Loại khác Lỗi điều hòa Ghi rõ: 8.7 Nhiễu phát xạ (chọn một) (Cho biết loại đe dọa liên quan) Phát xạ điện từ Xung điện từ Nhiễu điện tử Thăng giáng điện áp Phát xạ nhiệt Loại khác Ghi rõ: 8.8 Lỗi kỹ thuật (chọn một) Lỗi phần cứng (Cho biết loại đe dọa liên quan) Sự cố phần mềm Sai phạm bảo trì Quá tải (năng lực hệ thống bị bão hòa) Loại khác Ghi rõ: BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN Trang 3/6 (chọn một) 8.9 Phần mềm độc hại Sâu mạng Ngựa Troyjan (Cho biết loại đe dọa liên quan) Botnet Tấn công 91 TCVN xxxx:xxxx BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN kết hợp Mã độc nhúng trang mạng Trang chứa mã độc Loại khác Ghi rõ: 8.10 Tấn công kỹ thuật (chọn một) Quét mạng Cố đăng nhập, can thiệp (Cho biết loại đe dọa liên quan) Khai thác điểm yếu Khai thác cửa sau Từ chối dịch vụ Loại khác Ghi rõ: 8.11 Vi phạm luật (chọn một) Sử dụng trái phép nguồn lực (Cho biết loại đe dọa liên quan) Vi phạm quyền Loại khác Ghi rõ: 8.12 Vi phạm chức (chọn một) Lạm dụng quyền Giả mạo quyền, từ chối hoạt động Vi phạm sử dụng Loại khác (Cho biết loại đe dọa liên quan) Vận hành sai nhân lực Ghi rõ: (chọn một) 8.13 Tổn hại thông tin Ngăn chặn Theo dõi, nghe Tiết lộ thông tin Lừa đảo trực tuyến Trộm cắp liệu Tổn thất liệu Phân tích luồng liệu (Cho biết loại đe dọa liên quan) Dị vị trí Lừa đảo Giả mạo liệu Loại khác Ghi rõ: 8.14 Nội dung xấu (chọn một) Nội dung bất hợp pháp ((Cho biết loại đe dọa liên quan) Nội dung gây hoang mang Nội dung lạm dụng Nội dung độc hại Loại khác Ghi rõ: 8.15 Loại khác (Nếu không thuộc loại lựa chọn mục này) Ghi rõ: HỒ SƠ SỰ CỐ AN TỒN THƠNG TIN Trang 4/6 THIẾT BỊ/TÀI SẢN BỊ ẢNH HƯỞNG5 Báo cáo cho thông tin chi tiết thiết bị/tài sản bị ảnh hưởng để sẵn sàng cho việc điều tra phân tích (trong giai đoạn đầu phân tích kiện cố, thơng thường có thơng tin 'mức cao' thu thập) 92 TCVN xxxx:xxxx BÁO CÁO SỰ CỐ AN TOÀN THƠNG TIN Thiết bị/tài sản bị ảnh hưởng (Nếu có) (Cung cấp mô tả thiết bị/tài sản bị ảnh hưởng do/hoặc liên quan đến cố, bao gồm số sê ri, giấy phép số phiên có)) 9.1 Thông tin/dữ liệu ……………………………………………………………………………………… 9.2 Phần cứng ……………………………………………………………………………………… 9.3 Phần mềm ……………………………………………………………………………………… 9.4 Phương tiện truyền thông ……………………………………………………………………………………… 9.5 Tài liệu ……………………………………………………………………………………… 9.6 Quy trình ……………………………………………………………………………………… 9.7 Loại khác ……………………………………………………………………………………… 10 TÁC ĐỘNG/ẢNH HƯỞNG NGHIỆP VỤ BẤT LỢI CỦA SỰ CỐ Chọn loại phù hợp, cột "giá trị" ghi mức tác động nghiệp vụ bất lợi, bao gồm tất bên bị ảnh hưởng cố, theo thang điểm từ đến 10 sử dụng hướng dẫn loại: tổn thất tài chính/Gián đoạn hoạt động nghiệp vụ, lợi ích kinh tế thương mại, thông tin cá nhân, nghĩa vụ pháp lý quy định, hoạt động quản lý nghiệp vụ, tốn thất uy tín thương mại (Xem Phụ lục C.3.2) Ghi ký tự mã theo hướng dẫn vào cột "Hướng dẫn", có chi phí thực tế, ghi lại chi phí vào cột "chi phí" GIÁ TRỊ HƯỚNG DẪN CHI PHÍ 10.1 Vi phạm tính bí mật (Ví dụ: tiết lộ trái phép) 10.2 Vi phạm tính tồn vẹn (Ví dụ: sửa đổi trái phép) 10.3 Vi phạm tính sẵn sàng (Ví dụ: khơng sẵn sàng) 10.4 Vi phạm tính chống từ chối 10.1 Phá hoại 11 TỔNG CHI PHÍ KHƠI PHỤC SAU SỰ CỐ (Nếu có thể, cần khai báo tổng chi phí thực tế để khơi phục hoàn toàn sau cố, cột "giá trị" sử dụng thang điểm từ đến 10 cột "chi phí" chi phí thực tế.) GIÁ TRỊ HƯỚNG DẪN CHI PHÍ BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN Trang 5/6 12 GIẢI QUYẾT SỰ CỐ 12.1 Ngày bắt đầu điều tra cố 12.2 Tên người điều tra 12.3 Ngày kết thúc cố 12.4 Ngày kết thúc tác động cố 12.5 Ngày hoàn thành điều tra cố 93 TCVN xxxx:xxxx BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN 12.6 Địa điểm vấn đề điều tra 13 NGƯỜI/THỦ PHẠM LIÊN QUAN (NẾU SỰ CỐ DO CON NGƯỜI GÂY RA) (chọn một) Người Tổ chức/Đơn vị thành lập hợp pháp Nhóm người có tổ chức Vơ tình Khơng có thủ phạm Ví dụ: yếu tố tự nhiên, lỗi thiết bị, lỗi người 14 MÔ TẢ THỦ PHẠM 15 ĐỘNG CƠ THỰC TẾ HOẶC THEO CẢM NHẬN Tội phạm/kiếm lợi nhuận (chọn một) Chính trị/khủng bố Tiêu khiển/xâm nhập Trả thù Loại khác Ghi rõ: 16 CÁC HÀNH ĐỘNG ĐÃ ĐƯỢC THỰC HIỆN ĐỂ GIẢI QUYẾT SỰ CỐ (ví dụ "khơng hành động", "hành động chỗ”, “điều tra nội bộ”, điều tra “bên ngoài” ) 17 CÁC HÀNH ĐỘNG ĐƯỢC LẬP KẾ HOẠCH ĐỂ GIẢI QUYẾT SỰ CỐ (xem ví dụ bên trên) 18 CÁC HÀNH ĐỘNG CỊN TỒN TẠI (ví dụ: điều tra theo yêu cầu người khác) BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN Trang 6/6 19 KẾT LUẬN (Xác định cố lớn hay nhỏ, đưa mô tả ngắn gọn để minh họa kết luận) (đưa kết luận khác) ………………………………………… 94 Lớn Nhỏ TCVN xxxx:xxxx BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN 20 CÁC CÁ NHÂN/ĐƠN VỊ NỘI BỘ ĐƯỢC THÔNG BÁO (Mục dành cho người có trách nhiệm an tồn thơng tin, nêu rõ hành động cần thiết Phần hiệu chỉnh người quản lý an tồn thơng tin tổ chức cá nhân có trách nhiệm khác ) Người quản lý an tồn thơng tin/cá nhân có trách nhiệm Người quản lý ISIRT Người quản lý trang mạng Người quản lý an toàn (trạng thái trang mạng) Người lập báo cáo thông tin Người quản lý người lập báo cáo/Người quản lý đơn vị bị ảnh hưởng Khác (ví dụ: phận hỗ trợ, phận tổ chức cán bộ, ban quản lý, kiểm tra nội bộ) Ghi rõ: 21 CÁC CÁ NHÂN/ĐƠN VỊ BÊN NGỒI ĐƯỢC THƠNG BÁO (Mục dành cho người có trách nhiệm an tồn thơng tin, nêu rõ hành động cần thiết Phần hiệu chỉnh người quản lý an tồn thơng tin tổ chức cá nhân có trách nhiệm khác) Cảnh sát Khác (ví dụ: quan chức năng, ISIRT bên ngoài) Ghi rõ: 21 CHỮ KÝ NGƯỜI LẬP BÁO CÁO Chữ ký số NGƯỜI XEM Chữ ký số Chữ ký số ……………… Tên Chức vụ Ngày ……………… ……………… ……………… NGƯỜI XEM ……………… Tên Chức vụ Ngày ……………… ……………… ……………… ……………… Tên Chức vụ Ngày ……………… ……………… ……………… 95 TCVN xxxx:xxxx D.4.3 Mẫu ví dụ hồ sơ điểm yếu an tồn thơng tin BÁO CÁO ĐIỂM YẾU AN TỒN THÔNG TIN Ngày phát điểm yếu Trang 1/1 Số điểm yếu6 THÔNG TIN CHI TIẾT CỦA NGƯỜI BÁO CÁO 3.1 Họ tên ……………………………… 3.2 Địa …………………………… 3.3 Tổ chức ……………………………… 3.4 Đơn vị …………………………… 3.5 Điện thoại ……………………………… 3.6 E-mail …………………………… MÔ TẢ ĐIỂM YẾU AN TỒN THƠNG TIN 4.1 Ngày thời điểm báo cáo điểm yếu 4.2 Mô tả tường thuật điểm yếu an tồn thơng tin • Điểm yếu phát • Tính chất điểm yếu - vật lý, kỹ thuật, … • Nếu điểm yếu kỹ thuật, tài sản/thiết bị mạng/công nghệ thơng tin có liên quan • Thiết bị/tài sản bị ảnh hưởng điểm yếu bị khai thác • Các tác động nghiệp vụ bất lợi tiềm ẩn điểm yếu bị khai thác GIẢI QUYẾT ĐIỂM YẾU ANTỒN THƠNG TIN 5.1 Điểm yếu xác nhận chưa? (Lựa chọn ô Rồi Chưa tương ứng) 5.2 Ngày thời điểm xác nhận điểm yếu 5.3 Tên người xác nhận 5.4 Địa 5.5 Tổ chức 5.6 Điện thoại 5.8 Điểm yếu giải chưa? (Lựa chọn ô tương ứng) 5.9 Mô tả ngắn gọn cách giải điểm yếu, thời gian tên người giải Số điểm yếu nên để người quản lý ISIRT tổ chức điền 96 5.7 Thư điện tử Rồi Chưa TCVN xxxx:xxxx Phụ lục E Các khía cạnh quy định pháp lý (tham khảo) Các khía cạnh pháp lý quy định sau việc quản lý cố an tồn thơng tin cần đề cập sách quản lý cố an tồn thơng tin lược đồ liên quan: • Sự bảo vệ liệu thỏa đáng tính riêng tư thông tin cá nhân cung cấp Ở quốc gia có quy định pháp luật cụ thể tính bí mật tồn vẹn liệu việc kiểm soát liệu cá nhân thường bị hạn chế Do cố an tồn thơng tin thường cần phải quy cho cá nhân cụ thể nên thơng tin có chất cá nhân cần phải ghi lại quản lý cho phù hợp Do vậy, phương pháp tiếp cận có cấu trúc để quản lý cố an tồn thơng tin cần quan tâm đến việc bảo vệ quyền riêng tư thích hợp Vấn đề bao gồm: - người có truy cập vào liệu cá nhân khơng có quen biết với (những) người bị điều tra, - thỏa thuận bảo mật cần có chữ ký người có truy cập vào liệu cá nhân trước họ phép truy cập, - thông tin sử dụng cho mục đích rõ ràng theo cách chúng thu nhận, cụ thể dùng cho điều tra cố an tồn thơng tin • Việc lưu trữ hồ sơ theo cách phù hợp trì Một số điều luật quốc gia có u cầu cơng ty trì hồ sơ phù hợp hoạt động họ để dùng cho việc sốt xét quy trình đánh giá hàng năm tổ chức Các tổ chức phủ có yêu cầu tương tự Ở số nước, tổ chức yêu cầu phải báo cáo có tài liệu lưu trữ để dùng cho việc thi hành luật (ví dụ trường hợp có liên quan đến tội phạm nghiêm trọng có xâm nhập vào hệ thống nhạy cảm phủ) • Các biện pháp kiểm soát thực thi để đảm bảo tuân thủ nghĩa vụ thương mại theo hợp đồng Trong trường hợp có yêu cầu bắt buộc việc cung cấp dịch vụ quản lý cố an toàn thơng tin, ví dụ u cầu thời gian ứng phó, tổ chức cần đảm bảo có an tồn thơng tin phù hợp nhằm đảm bảo đáp ứng nghĩa vụ tình (Liên quan đến điều này, tổ chức ký hợp đồng hỗ trợ với tổ chức bên ngoài, ví dụ ISIRT bên ngồi, cần đảm bảo yêu cầu, bao gồm thời gian ứng phó, đưa vào hợp đồng với bên ngoài) • Các vấn đề pháp lý liên quan đến sách thủ tục giải Các sách thủ tục liên quan đến lược đồ quản lý cố an tồn thơng tin cần kiểm tra khía cạnh pháp lý quy định tiềm ẩn, ví dụ xem có tun bố hành động kỷ luật và/hoặc pháp lý đối 97 TCVN xxxx:xxxx với người gây cố an tồn thơng tin không Ở số quốc gia, việc chấm dứt sử dụng lao động điều khơng dễ dàng • Mọi phủ nhận kiểm tra mặt pháp lý Mọi phủ nhận liên quan đến hành động nhóm quản lý cố thơng tin người hỗ trợ bên thực cần kiểm tra phương diện pháp lý • Hợp đồng với nhân viên hỗ trợ bên phải bao hàm khía cạnh yêu cầu Hợp đồng với nhân viên hỗ trợ bên ngồi, ví dụ với nhân viên từ ISIRT bên ngoài, cần kiểm tra kỹ lưỡng việc miễn trừ trách nhiệm pháp lý, bảo mật, sẵn sàng dịch vụ, hệ việc tư vấn khơng • Các thỏa thuận bảo mật khả thi Các thành viên nhóm quản lý cố an tồn thơng tin yêu cầu ký thỏa thuận bảo mật bắt đầu chấm dứt hợp đồng Ở số quốc gia, việc ký thoả thuận bảo mật khơng có hiệu lực pháp lý; điều cần kiểm tra • Các yêu cầu hành luật đề cập Các vấn đề liên quan đến khả quan hành luật yêu cầu thông tin từ lược đồ quản lý cố an tồn thơng tin cần phải rõ ràng Đó trường hợp cần làm rõ mức độ thông tin tối thiểu lập tài liệu cố thời gian cần lưu giữ hồ sơ mà pháp luật u cầu • Các khía cạnh trách nhiệm pháp lý rõ ràng Các vấn đề trách nhiệm pháp lý tiềm ẩn biện pháp kiểm soát cần thiết liên quan phải triển khai cần làm rõ Dưới ví dụ kiện có vấn đề trách nhiệm pháp lý liên quan: - cố ảnh hưởng đến tổ chức khác (ví dụ, tiết lộ thơng tin chia sẻ), cố khơng thơng báo lúc tổ chức phải chịu tác động bất lợi, - điểm yếu sản phẩm phát hiện, nhà cung cấp không thông báo cố lớn liên quan có tác động lớn đến nhiều tổ chức khác xảy sau đó, - báo cáo khơng lập nơi, quốc gia cụ thể, mà tổ chức yêu cầu phải báo cáo xây dựng tài liệu lưu trữ để dùng cho quan hành pháp sử dụng trường hợp dính líu đến tội ác nghiêm trọng, có xâm nhập vào hệ thống nhạy cảm phủ phận sở hạ tầng quốc gia quan trọng, - thông tin bị tiết lộ dường cho thấy người tổ chức dính líu đến cơng Điều gây tổn hại danh tiếng công việc cá nhân tổ chức liên quan, - thông tin tiết lộ có trục trặc với hạng mục định phần mềm điều phát thật 98 TCVN xxxx:xxxx • Các yêu cầu quy định cụ thể đề cập Nếu yêu cầu yêu cầu quy định cụ thể cố cần báo cáo cho quan định, ví dụ nhiều quốc gia có u cầu điều ngành công nghiệp lượng hạt nhân, công ty viễn thông nhà cung cấp dịch vụ Internet • Các thủ tục khởi tố kỷ luật nội thành cơng Các biện pháp kiểm sốt an tồn thơng tin phù hợp cần triển khai, bao gồm biện pháp truy vết chống giả mạo phù hợp, để truy tố thành công áp dụng thủ tục kỷ luật nội "kẻ cơng", cho dù công kỹ thuật vật lý Để hỗ trợ việc thơng thường chứng cần thu thập theo cách thức cho chúng dễ dàng chấp nhận tòa án quốc gia phù hợp diễn đàn kỷ luật khác Cần cho thấy rằng: - hồ sơ đầy đủ khơng bị giả mạo với hình thức, - chứng điện tử giống hệt với gốc, - hệ thống IT mà từ chứng tập hợp hoạt động thời điểm chứng ghi nhận • Các khía cạnh pháp lý liên quan đến kỹ thuật giám sát đề cập Các hệ việc sử dụng kỹ thuật giám sát cần đề cập theo yêu cầu luật pháp quốc gia liên quan Tính hợp pháp kỹ thuật khác khác quốc gia Ví dụ, số quốc gia điều cần làm cho người biết việc giám sát hoạt động, bao gồm việc giám sát thông qua kỹ thuật theo dõi, thực Các yếu tố cần xem xét gồm ai/cái bị giám sát, họ/nó bị giám sát nào, việc giám sát thực Cũng cần lưu ý việc giám sát/theo dõi IDS thảo luận cụ thể tiêu chuẩn ISO/IEC 18043 • Chính sách sử dụng chấp nhận xác định thông báo Việc thực hành/sử dụng chấp nhận tổ chức cần xác định, lập tài liệu thông báo cho người dùng định (Ví dụ, người dùng cần thơng báo sách sử dụng chấp nhận yêu cầu cung cấp xác nhận viết tay họ hiểu chấp nhận sách họ tham gia vào tổ chức cấp quyền truy cập vào hệ thống thông tin) 99 TCVN xxxx:xxxx Thư mục tài liệu tham khảo [1] ISO/IEC 18043, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems [2] ISO/IEC 20000 (all parts), Information technology — Service management [3] ISO/PAS 22399, Societal security — Guidelines for incident preparedness and operational continuity management [4] TCVN ISO/IEC 27001, Công nghệ thông tin – Hệ thống quản lý an tồn thơng tin – Các u cầu [5] TCVN ISO/IEC 27002, Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an toàn thông tin [6] ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance [7] ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement [8] ISO/IEC 27005, Information technology — Security techniques — Information security risk management [9] ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity [10] ISO/IEC 27033-1, Information technology — Security techniques — Network security — Part 1: Overview and concepts [11] ISO/IEC 27033-2, Information technology — Security techniques — Network security — Part 2: Guidelines for the design and implementation of network security7 [12] ISO/IEC 27033-3, Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues [13] Internet Engineering Task Force (IETF) Site Security Handbook, http://www.ietf.org/rfc/rfc2196.txt?number=2196 [14] Internet Engineering Task Force (IETF) RFC 2350, Expectations for Computer Security Incident Response, http://www.ietf.org/rfc/rfc2350.txt?number=2350 [15] NIST Special Publication 800-61, Computer Security Incident Handling Guide (2004), http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf [16] 100 TERENA's Incident Object Description Exchange Format Data Model and XML TCVN xxxx:xxxx Implementation (IODEF) (produced by IETF), RFC 5070 [17] Internet Engineering Task Force (IETF) RFC 3227, Guidelines for evidence collection and archiving [18] CESG GOVCERTUK, Incident Response Guidelines (2008), http://www.govcertuk.gov.uk/pdfs/incident_response_guidelines.pdf [19] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Incident Management Capability Metrics Version 0.1 (2007), http://www.cert.org/archive/pdf/07tr008.pdf [20] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Incident Management Mission Diagnostic Method Version 1.0, http://www.cert.org/archive/pdf/08tr007.pdf [21] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Defining Incident Management Processes for CSIRTs: A Carnegie Mellon “CERT Work in Progress, http://www.cert.org/archive/pdf/04tr015.pdf [22] Software Engineering Handbook for Institute at Computer Security Incident Coordination Response Teams Centre”, (CSIRTs), http://www.cert.org/archive/pdf/csirt- handbook.pdf [23] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, State of the Practice of Computer Security Incident Response Teams, http://www.cert.org/archive/pdf/03tr001.pdf [24] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, CSIRT Services, http://www.cert.org/csirts/services.html [25] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Action List for Developing a Computer Security Incident Response Team (CSIRT), http://www.cert.org/csirts/action_list.html [26] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Staffing Your Computer Security Incident Response Team – What Basic Skills Are Needed? http://www.cert.org/csirts/csirt-staffing.html [27] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Steps for Creating National CSIRTs, http://www.cert.org/archive/pdf/NationalCSIRTs.pdf [28] SANS Institute, An approach to the ultimate in-depth security event management framework (2008) [29] SANS Institute, Mining gold, A primer on incident handling and response (2008) [30] SANS Institute, Incident Handling for SMEs (Small to Medium Enterprises) (2008) [31] SANS Institute, Breach Notification in Incident Handling (2008) 101 TCVN xxxx:xxxx [32] SANS Institute, Baselines and Incident Handling (2008) [33] SANS Institute, Documentation is to Incident Response as an Air Tank is to Scuba Diving (2007) [34] SANS Institute, Creating and Managing an Incident Response Team for a Large Company (2007) [35] SANS Institute, An Incident Handling Process for Small and Medium Businesses (2007) [36] SANS Institute, Incident Management 101 Preparation & Initial Response (aka Identification) (2005) [37] SANS Institute, Building an Incident Response Program To Suit Your Business (2003) [38] ISACA, COBIT 4.1 (Section DS5.11), www.isaca.org/cobit [39] ENISA, A step-by-step approach on how to set up a CSIRT, http://www.enisa.europa.eu/act/cert/support/guide [40] ENISA, CERT cooperation and its further facilitation by relevant for running stakeholders, http://www.enisa.europa.eu/act/cert/background/coop [41] ENISA, A basic collection of good practices a CSIRT, http://www.enisa.europa.eu/act/cert/support/guide2 [42] TERENA's Incident Object Description and Exchange Format Requirements (IODEF) (produced by IETF), RFC 3067 [43] CVSS — A complete Guide to the Common Vulnerability Scoring System (Version 2.0), FIRST, 20 June 2007, http://www.first.org/cvss/cvss-guide.html [44] SWIF — Structured Warning Information Format (Version 2.3), ITsafe, May 2008 [45] ITIL, ITIL framework document, http://www.itil-officialsite.com/home/home.asp 102