Đang tải... (xem toàn văn)
Microsoft PowerPoint 2 NVDXHDDNN Chuong02 ChinhSachAnToanThongTin 30082020 1 CHÍNH SÁCH AN TOÀN THÔNG TIN (INFORMATION SECURITY POLICY) GV Nguyễn Thị hạnh GV Nguyễn Thị Hạnh Nội dung 1 An toàn thôn. Những chính sách an toàn thông tin đối với ngành CNTT
30/08/2020 CHÍNH SÁCH AN TỒN THƠNG TIN (INFORMATION SECURITY POLICY) GV: Nguyễn Thị hạnh GV: Nguyễn Thị Hạnh Nội dung An tồn thơng tin (Information Security) Chính sách an tồn thơng tin (Information Security Policy) Tại nhân viên ngành CNTT nắm rõ Chính sách an tồn thơng tin nơi làm việc Ví dụ sách an tồn thơng tin GV: Nguyễn Thị Hạnh 30/08/2020 An tồn thơng tin (Information Security) Thơng tin gì? An tồn thơng tin gì? Rủi ro, mối đe dọa, lổ hỏng Giải pháp để an tồn thơng tin GV: Nguyễn Thị Hạnh 1.1 Thơng tin (Information) “Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected” (BS ISO 27002:2005) GV: Nguyễn Thị Hạnh 30/08/2020 1.1 Thơng tin (Information) ˗ Information Tạo, lưu, xóa, xử lý, chuyển giao, sử dụng (cho mục đích, sai mục đích), hư hỏng, mất, đánh cắp, in viết lên giấy, lưu trữ chuyển giao cách đăng lên dùng phương tiện điện tử, đưa vào video, hiển thị/xuất bản,… ˗ ‘… whatever form the information takes, or means by which it is shared or stored, it should always be appropriately protected” (BS ISO 27002:2005) GV: Nguyễn Thị Hạnh 1.2 An tồn thơng tin (Information Security) ˗ ˗ ˗ ˗ ˗ Bảo vệ thông tin từ hàng loạt mối đe dọa Đảm bảo tính liên tục kinh doanh Giảm thiểu tổn thất tài Tối ưu hóa lợi tức đầu tư Tăng hội kinh doanh GV: Nguyễn Thị Hạnh 30/08/2020 1.2 An tồn thơng tin (Information Security) ISO 27002:2005 định nghĩa Information Security phải trì: Tính bí mật (Confidentiality): Thơng tin phép truy cập (đọc) đối tượng (người, chương trình máy tính,…) cấp phép (Ai thấy thơng tin?) Tính tồn vẹn (Integrity): Thơng tin phép xóa sửa đối tượng phép phải đảm bảo thơng tin cịn xác lưu trữ hay truyền (Thơng tin có khơng?) Tính sẳn dùng (Availability): thơng tin truy xuất người phép vào họ muốn (thông tin sẳn sàng dùng không?) GV: Nguyễn Thị Hạnh 1.2 An tồn thơng tin (Information Security) ˗ Khi xây dựng hệ thống thơng tin cần cân mục tiêu để đảm bảo tính an tồn cho thơng tin GV: Nguyễn Thị Hạnh 30/08/2020 1.2 An tồn thơng tin (Information Security) ˗ Security bị vi phạm dẫn đến … Uy tín bị Tổn thất tài Mất mát tài sản trí tuệ Vi phạm pháp luật dẫn đến hàng động pháp lý (luật CNTT) Mất lịng tin cậy khách hàng Chi phí gián đoạn kinh doanh … GV: Nguyễn Thị Hạnh 1.2 An tồn thơng tin (Information Security) ˗ Information Security “Organizational Problem” “IT Problem” ˗ Hơn 70% mối đe dọa nội (internal) ˗ Hơn 60% thủ phạm kể lừa đảo lần (First Time fraudsters) ˗ Mối nguy hiểm lớn nhất: người ˗ Tài sản lớn nhất: người ˗ Kỹ thuật “Social Engineering” mối đe dọa GV: Nguyễn Thị Hạnh 30/08/2020 1.3 Lổ hỏng, mối đe dọa, rủi ro ˗ Vulnerability (lỗ hỏng): điểm yếu tổ chức, hệ thống IT, mạng mà khám phá mối đe dọa ˗ Threat (mối nguy/mối đe dọa): mà gây thiệt hại đến tổ chức, hệ thống IT hệ thống mạng ˗ Risk (rủi ro): khả mà mối đe dọa khai thác lỗ hỏng tài sản gây nguy hại mát đến tài sản GV: Nguyễn Thị Hạnh 1.3 Lổ hỏng, mối đe dọa, rủi ro ˗ Mối quan hệ lổ hỏng, mối đe dọa, rủi ro GV: Nguyễn Thị Hạnh 30/08/2020 1.3 Vulnerability, Threat, Risk Thread (mối đe dọa) xuất phát từ đâu? ˗ Nhân viên ˗ Các phận bên ˗ Sự thiếu nhận thức vấn đề an toàn ˗ Sự phát triển việc kết nối mạng máy tính phân tán ˗ Sự phát triển mức độ phức tạp hiệu suất công cụ tấng công virus ˗ Thảm họa tự nhiên cháy, lũ lụt, động đất,… GV: Nguyễn Thị Hạnh 1.3 Vulnerability, Threat, Risk GV: Nguyễn Thị Hạnh 30/08/2020 1.3 Vulnerability, Threat, Risk GV: Nguyễn Thị Hạnh 1.4 Các giải pháp để an toàn thông tin GV: Nguyễn Thị Hạnh 30/08/2020 1.4 Giải pháp để An tồn thơng tin GV: Nguyễn Thị Hạnh Information Security Policy (IPS) 2.1 Chính sách an tồn thơng tin gì? 2.2 Mục tiêu ISP 2.3 Phạm vi ISP 2.4 Tầm quan trọng ISP 2.5 Ai người dùng ISP 2.6 Các bước triển khai ISP 2.7 Xác định vấn đề cần ISP 2.8 Nội dung có tài liệu ISP GV: Nguyễn Thị Hạnh 30/08/2020 2.1 Chính sách an tồn thơng tin (ISP) ˗ Information Security Policy (ISP) ISP tập quy tắc, hướng dẫn mà tổ chức đưa nhằm đảm bảo tính an tồn hệ thống thông tin miễn nhiểm chống lại tấng công nguy hiểm GV: Nguyễn Thị Hạnh 2.1 Information Security Policy gì? ˗ ISP cung cấp mơi trường để quản lý thơng tin cách an tồn tồn tổ chức ˗ ISP viết cho tất cấp nhân viên khác ˗ ISP gồm quy tắc chung tất chủ đề có liên quan đến an ninh thơng tin sử dụng máy tính quy tắc riêng biệt chủ đề khác ˗ Ví dụ: quy tắc dùng e-mail, quyền hạn truy xuất liệu, quy trình backup liệu, GV: Nguyễn Thị Hạnh 10 30/08/2020 2.1 Information Security Policy gì? ˗ GV: Nguyễn Thị Hạnh 2.2 Mục đích ISP Các tổ chức đưa ISP nhiều lý khác nhau: ˗ Thiết lập cách tiếp cận chung an ninh thông tin ˗ Phát ngăn chặn thoả hiệp an ninh thông tin lạm dụng liệu, mạng, hệ thống máy tính ứng dụng ˗ Để bảo vệ danh tiếng công ty trách nhiệm đạo đức pháp lý công ty ˗ Thực quyền khách hàng; Cung cấp chế hiệu để đáp ứng khiếu nại thắc mắc liên quan đến khơng tn thủ sách thực tế không nhận thức cách để đạt mục tiêu GV: Nguyễn Thị Hạnh 11 30/08/2020 2.3 Phạm vi ISP ˗ ISP thường nhắm vào tất cả: Các liệu Chương trình Hệ thống Phương tiện Cấu trúc hạ tầng sở Các người dùng, bên tham gia thứ 3, Các nhóm bên ngồi (third parties) tổ chức Khơng có trường hợp ngoại lệ ˗ ISP dùng để hỗ trợ việc bảo vệ, điều khiển quản lý tài sản thông tin tổ chức GV: Nguyễn Thị Hạnh 2.3 Phạm vi ISP ˗ ISP yêu cầu bao hàm tất thông tin bên tổ chức mà bao gồm liệu thơng tin sau: Lưu trữ CSDL, máy tính đĩa cứng cố định Truyền qua mạng nội công cộng In viết tay giấy, bảng trắng Gửi qua fax, telex phương tiện truyền thông khác Lưu trữ phương tiện di động CD-ROM, đĩa cứng, băng phương tiện tương tự khác Tổ chức phim, trang trình chiếu, máy chiếu, sử dụng phương tiện nghe nhìn âm Phát biểu gọi điện thoại họp chuyển tải phương pháp khác GV: Nguyễn Thị Hạnh 12 30/08/2020 2.4 Tầm quan trọng ISP ˗ Giảm thiểu nguy rò rỉ liệu mát ˗ Bảo vệ tổ chức khỏi người dùng nội bên "độc hại“ ˗ Thiết lập hướng dẫn, thực tiễn tốt sử dụng đảm bảo tuân thủ ˗ Thơng báo nội bên ngồi thơng tin tài sản, tài sản riêng tổ chức, bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ hủy hoại ˗ Đẩy mạnh lập trường chủ động cho tổ chức có vấn đề pháp lý phát sinh ˗ Cung cấp hướng nâng cấp tiêu chuẩn an ninh tổ chức GV: Nguyễn Thị Hạnh 2.5 Ai người dùng ISP ˗ Người quản lý – tất cấp độ ˗ Nhân viên kỹ thuật – người quản trị hệ thống, … ˗ Người dùng cuối – tất người dùng dịch vụ hệ thống GV: Nguyễn Thị Hạnh 13 30/08/2020 2.6 Các bước triển khai ISP GV: Nguyễn Thị Hạnh 2.6 Các bước triển khai ISP ˗ GV: Nguyễn Thị Hạnh 14 30/08/2020 2.7 Xác định vấn đề cần Policy ˗ ˗ ˗ ˗ Các nguồn tài ngun thơng tin cần truy suất có thẩm quyền Không tiết lộ không phép tiết lộ thông tin Quy trình cần tuân theo Lỗi lỗi người dùng GV: Nguyễn Thị Hạnh Quan tâm đến an toàn liệu ˗ Xử lý liệu: Chính sách: Cách liệu xử lý cách trì tính bí mật tồn vẹn liệu Sự tồn liệu bên thứ ba Dữ liệu cá nhân Dữ liệu nhân Bảo vệ riêng tư Chi phí giấy phép phần mềm GV: Nguyễn Thị Hạnh 15 30/08/2020 Quan tâm đến an toàn liệu ˗ Sao lưu (Backups) Dữ liệu cần lưu Tần suất lưu Kiểm soát quy trình lưu Lưu trữ liệu chỗ nơi lưu trữ liệu GV: Nguyễn Thị Hạnh Quan tâm đến an toàn liệu ˗ Tiêu hủy liệu Xem xét ổ cứng cũ Dumpster diving: kỹ thuật dùng để lấy thông tin từ liệu bị xóa ˗ Các quyền sách sở hữu trí tuệ Ai chủ quyền tài sản trí tuệ Ghi nhãn để thực thi quyền sở hữu trí tuệ GV: Nguyễn Thị Hạnh 16 30/08/2020 2.8 Nội dung tài liệu Policy ˗ ˗ ˗ ˗ ˗ ˗ ˗ ˗ ˗ Giới thiệu Mục đích Phạm vi Chính sách Vài trị trách nhiệm Vi phạm xử lý Lịch sửa đổi cập nhật Thông tin liên hệ Định nghĩa/thuật ngữ GV: Nguyễn Thị Hạnh Tại nhân viên ngành CNTT nắm rõ Information Security Policy nơi làm việc GV: Nguyễn Thị Hạnh 17 30/08/2020 Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh 18 30/08/2020 Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh 19 30/08/2020 Ví dụ sách an tồn thơng tin GV: Nguyễn Thị Hạnh Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh 20 ... Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh 18 30/08/2020 Ví dụ sách an tồn thơng tin ˗ GV: Nguyễn Thị Hạnh Ví dụ sách an tồn thơng tin ˗... giải pháp để an tồn thơng tin GV: Nguyễn Thị Hạnh 30/08/2020 1.4 Giải pháp để An tồn thơng tin GV: Nguyễn Thị Hạnh Information Security Policy (IPS) 2.1 Chính sách an tồn thơng tin gì? 2.2 Mục... thơng tin cần truy suất có thẩm quyền Khơng tiết lộ không phép tiết lộ thông tin Quy trình cần tuân theo Lỗi lỗi người dùng GV: Nguyễn Thị Hạnh Quan tâm đến an toàn liệu ˗ Xử lý liệu: Chính sách: