BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO Môn: Quản Lý Xây Dựng Chính Sách ATTT Lớp: L04 Nhóm sinh viên thực hiện: Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng Giảng viên hướng dẫn: Phạm Duy Trung Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO Mơn: Quản Lý Xây Dựng Chính Sách ATTT Lớp: L04 Nhóm sinh viên thực hiện: Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng Giảng viên hướng dẫn: Phạm Duy Trung Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 MỤC LỤC Mục lục Danh mục kí hiệu viết tắt Lời cảm ơn Lời nói đầu Chương Khảo sát nhận thức bảo mật 1.1 Xác định nguồn nhân lực để thực đánh giá khảo sát 1.2 Thực khảo sát Chương Đánh giá rủi ro 2.1 Nhận biết tài sản 2.2 Điểm yếu 2.3 Mối đe dọa 2.4 Đánh giá hậu 2.5 Khả xảy cố 2.6 Quy trình tổng quan đánh giá xử lý rủi ro 2.7 Thiết lập bối cảnh 2.7.1 Thông tin tổng quan hệ thống thông tin 2.7.2 Tiêu chí chấp nhận rủi ro 2.7.3 Phạm vi giới hạn 2.7.4 Tổ chức thực đánh giá quản lý rủi ro 2.8 Đánh giá rủi ro 2.8.1 Nhận biết rủi ro 2.8.2 Phân tích rủi ro 2.8.3 Xử lý rủi ro 2.8.4 Thay đổi rủi ro 2.8.5 Duy trì rủi ro 2.8.6 Tránh rủi ro Chương Biện pháp kiểm soát rủi ro 3.1 Biện pháp kiểm soát quản lý 3.1.1 Mục tiêu, ngun tắc bảo đảm an tồn thơng tin 3.1.2 Trách nhiệm bảo đảm an tồn thơng tin 3.1.3 Phạm vi sách an tồn thơng tin 3.1.4 Tổ chức bảo đảm an toàn thông tin 3.1.5 Bảo đảm nguồn nhân lực 3.1.6 Quản lý vận hành hệ thống 3.1.7 Các yêu cầu an toàn bổ sung 3.2 Biện pháp kiểm soát kỹ thuật 3.2.1 Bảo đảm an toàn mạng 3.2.2 Bảo đảm an toàn máy chủ 3.2.3 Bảo đảm an toàn ứng dụng 3.2.4 Bảo đảm an toàn liệu Kết Luận Tài liệu tham khảo DANH MỤC KÍ HIỆU VÀ VIẾT TẮT LỜI CẢM ƠN Trong trình thực tập lớn này, nhóm nhận giúp đỡ tận tình giảng viên hướng dẫn thầy Phạm Duy Trung – Giảng viên Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã Nhóm cảm ơn thầy cố gắng thành viên nhóm để hồn thành tập lớn này! NHÓM SINH VIÊN THỰC HIỆN BÀI TẬP LỚN Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng LỜI NÓI ĐẦU Tạo thực chương trình hiệu để đào tạo quản lý cấp cao tảng cho chương trình nâng cao nhận thức an ninh cho tồn tổ chức.Nếu khơng có hỗ trợ chấp nhận quản lý cấp cao, nhận thức bảo mậtchương trình cho tổ chức gặp nguy hiểm nghiêm trọng Nhân viên làm theo ví dụ tìm đến ban quản lý để hướng dẫn đạo Người điều hành không rõ ràng hiểu tầm quan trọng tác động chương trình nâng cao nhận thức an ninh vững tổ chức gây bất công nghiêm trọng không nhân viên tổ chức,nhưng cổ đông Cung cấp cho quản lý cấp cao công cụ kiến thức cần thiết để hiểu mối đe dọa mà tổ chức phải đối mặt mục tiêu cấp cao chương trình nâng cao nhận thức quản lý Thơng tin trình bày cho quản lý cấp cao phải thu thập tổ chức cẩn thận cung cấp mối tương quan rõ ràng mối đe dọa tác động tiềm tàng việc kinh doanh NHÓM SINH VIÊN THỰC HIỆN BÀI TẬP LỚN Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng CHƯƠNG KHẢO SÁT NHẬN THỨC VỀ BẢO MẬT Tạo thực chương trình hiệu để đào tạo quản lý cấp cao tảng cho chương trình nâng cao nhận thức an ninh cho toàn tổ chức.Nếu khơng có hỗ trợ chấp nhận quản lý cấp cao, nhận thức bảo mật chương trình cho tổ chức gặp nguy hiểm nghiêm trọng Nhân viên làm theo ví dụ tìm đến ban quản lý để hướng dẫn đạo Người điều hành không hiểu tầm quan trọng tác động chương trình nâng cao nhận thức an ninh vững tổ chức gây hậu nghiêm trọng không nhân viên tổ chức Cung cấp cho quản lý cấp cao công cụ kiến thức cần thiết để hiểu mối đe dọa mà tổ chức phải đối mặt mục tiêu cấp cao chương trình nâng cao nhận thức quản lý Thơng tin trình bày cho quản lý cấp cao phải thu thập tổ chức cẩn thận cung cấp mối tương quan rõ ràng mối đe dọa tác động tiềm tàng việc kinh doanh Nhận thức an ninh phải truyền đạt chấp nhận cách đơn giản hiệu 1.1 Xác định nguồn nhân lực để thực đánh giá khảo sát Bước việc tạo chương trình nâng cao nhận thức an ninh xác định nhiều nguồn lực tổ chức với thông tin cần thiết để xây dựng chương trình Các nhóm khảo sát phải bao gồm đại diện từ tổ chức sau:  Nguồn nhân lực - Có thể cung cấp sách, tiêu chuẩn ví dụ hành điều tra vi phạm sách  Pháp lý - Có thể cung cấp thơng tin liên quan đến vấn đề pháp lý, quy định luật định yêu cầu giải thích luật hành liên quan đến bảo mật CNTT  Kiểm toán nội - Có thể cung cấp vấn đề bảo mật tại, báo cáo kiểm tốn thơng tin chi tiết cách trình bày thơng tin cho quản lý cấp cao cách hiệu  Người quản lý kinh doanh - Có thể cung cấp thơng tin liên quan đến đánh giá rủi ro,ví dụ cố, cách chúng xử lý tác động đến hoạt động kinh doanh  Tài Kế tốn - Cung cấp thông tin liên quan đến vấn đề an ninh tài chínhtác động đến cơng việc kinh doanh  Giám đốc Cơng nghệ Thơng tin - Có thể cung cấp thông tin hệ thống bảo mật ứng dụng   Đại diện hình ảnh cơng ty - Có thể cung cấp thơng tin tác động cố cơng chúng hình ảnh danh tiếng tổ chức Đào tạo Phát triển - Có thể hỗ trợ tạo chương trình đào tạo thức cho tổ chức Họ sẵn sàng thực buổi đào tạo 1.2 Thực khảo sát Chọn ba thành viên chủ chốt ban quản lý cấp cao tổ chức để vấn viết email cho người quản lý cấp cao, phác thảo ý định hỏi sẵn sàng người quản lý cấp cao cho vấn Nếu người quản lý cấp cao khơng có mặt để vấn cá nhân,đề nghị vấn qua điện thoại cố gắng giữ 30 phút Chuẩn bị quan trọng để đảm bảo nhận câu trả lời cần thiết để phát triển chương trình hiểu rõ ràng nội dung cần thiết Dưới câu hỏi mẫu điểm khởi đầu: Bảo mật Cơng nghệ Thơng tin có ý nghĩa bạn? Bạn hiểu Bảo mật CNTT vai trị tổ chức? Quản lý cấp cao có mối quan tâm liên quan đến bảo mật CNTT? Bạn có kiến thức đào tạo bảo mật mức độ nào? (Các) loại hình đào tạo bảo mật mang lại lợi ích cho quản lý cấp cao? Các cố vấn đề bảo mật thông báo với quản lý cấp cao nào? Hiệu đội ứng phó cố nào? Bạn đánh giá mức độ nhận thức bảo mật tổ chức nào? Bạn có đề xuất để tăng mức độ nhận biết? 10 Một số vấn đề bảo mật mà tổ chức phải đối mặt gì? 11 Các sách bảo mật có hiệu lực nào? 12 Bạn có đề xuất để cải thiện nhận thức bảo mật tổ chức? Thực khảo sát nhân viên CNTT để có quan điểm họ nhận thức bảo mật tổ chức Họ không cung cấp quan điểm thực tế tình hình, mà cịn cung cấp vấn đề thực tế sống mà họ giải hàng ngày.Khi tổng hợp tất câu hỏi xác định cho chương trình nâng cao nhận thức trước để lên lịch thực chương trình nâng cao nhận thức Hỏi người quản lý người giám sát, người quen thuộc với thành viên quản lý lựa chọn để hỗ trợ việc thực chương trình nâng cao nhận Bước thiết lập bối cảnh, quan, tổ chức cần đưa thông tin tổng quan, mục tiêu, quy mô, phạm vi thành phần hệ thống cần bảo vệ b) Bước đánh giá rủi ro, quan, tổ chức cần thực nhận biết rủi ro, phân tích rủi ro ước lượng rủi ro Kết việc thực nội dung cần xác định tài sản, điểm yếu, mối đe dọa, hậu mức ảnh hưởng quan, tổ chức rủi ro xảy tài sản c) Bước xử lý rủi ro, quan, tổ chức cần xác định phương án xử lý rủi ro, bao gồm biện pháp quản lý kỹ thuật để xử lý, giảm thiểu mối đe dọa xảy tài sản, dẫn tới hậu cho quan, tổ chức d) Bước xác định mức chấp nhận rủi ro, quan, tổ chức cần xác định mức chấp nhận rủi ro rủi ro lại sau xử lý Bởi hệ thống tồn rủi ro khơng có phương án xử lý triệt giảm thiểu đ) Q trình truyền thơng tư vấn rủi ro q trình quan, tổ chức cần a) trao đổi, tham vấn ý kiến bên liên quan để có thơng tin đầu vào thực bước trên; thực tuyên truyền, phổ biến nguy cơ, rủi ro xảy 14 e) Q trình giám sát soát xét rủi ro, quan, tổ chức giám sát đánh giá tuân thủ, tính hiệu việc thực việc đánh giá xử lý rủi ro 2.7 Thiết lập bối cảnh 2.7.1 Thông tin tổng quan hệ thống thông tin Bước này, quan, tổ chức cần đưa thông tin tổng quan, mục tiêu, quy mô, phạm vi thành phần hệ thống cần bảo vệ, bao gồm không giới hạn thông tin sau: Thông tin Chủ quản hệ thống thông tin Thông tin Đơn vị vận hành Chức năng, nhiệm vụ, cấu tổ chức đơn vị vận hành Các quan, tổ chức liên quan Phạm vi, quy mô hệ thống 2.7.2 Tiêu chí chấp nhận rủi ro Việc xử lý tồn rủi ro xác định khó khả thi với quan, tổ chức Do đó, rủi ro xem xét giảm thiểu đến mức chấp nhận 16 Tiêu chí chấp nhận rủi ro phụ thuộc vào sách, mục đích, mục tiêu bảo đảm an tồn thơng tin quan, tổ chức lợi ích bên liên quan Mỗi tổ chức cần phải xác định mức chấp nhận rủi ro riêng tổ chức Việc xác định tiêu chí chấp nhận rủi ro cần xem xét đến yếu tố như: Nguồn lực để xử lý rủi ro so với hiệu mang lại sau rủi ro xử lý; Khả xử lý rủi ro theo điều kiện thực tế quan, tổ chức mình.v.v Tiêu chí chấp nhận rủi ro bao gồm nhiều ngưỡng với tiêu chí tương ứng, theo mục tiêu bảo đảm an tồn thơng tin mà tổ chức đưa Hướng dẫn đưa khuyến nghị số tiêu chí chấp nhận rủi ro sau: Hệ thống thông tin cấp độ cấp độ không chấp nhận tồn rủi ro Hệ thống thông tin cấp độ cấp độ 4, chấp nhận tồn rủi ro mức thấp Hệ thống thông tin cấp độ cấp độ 2, không chấp nhận tồn rủi ro mức trung bình 2.7.3 Phạm vi giới hạn Cơ quan, tổ chức cần xác định rõ phạm vi thực đánh giá quản lý rủi ro để bảo toàn tài sản bảo vệ quy trình thực Để xác định phạm 15 vi, giới hạn, quan, tổ chức cần xác định rõ thông tin liên quan (bao gồm không giới hạn) sau: Phạm vi quản lý an tồn thơng tin a) Các mục tiêu bảo đảm an tồn thơng tin quan, tổ chức b) Các quy định pháp lý phải tuân thủ c) Quy chế, sách bảo đảm an tồn thơng tin tổ chức Phạm vi kỹ thuật a) Sơ đồ tổng thể (vật lý, logic) thành phần hệ thống (thiết bị mạng, bảo mật, máy chủ, thiết bị đầu cuối…) b) Xác định hệ thống thơng tin khác có liên quan có kết nối đến có ảnh hưởng quan trọng tới hoạt động bình thường hệ thống thơng tin đề xuất; đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đề xuất cấp độ hệ thống bị an toàn thông tin; c) Danh mục nguy công mạng, an tồn thơng tin hệ thống ảnh hưởng 2.7.4 Tổ chức thực đánh giá quản lý rủi ro Cơ quan, tổ chức cần xây dựng phương án, kế hoạch thực đánh giá quản lý rủi ro an tồn thơng tin Nội dung phương án, kế hoạch, trách nhiệm đơn vị, phận liên quan cần đưa vào quy chế bảo đảm an tồn thơng tin quan, tổ chức để thực Dưới số nội dung cần thực (bao gồm không giới hạn) để tổ chức thực đánh giá quản lý rủi ro an tồn thơng tin: Phương án, kế hoạch thực đánh giá quản lý rủi ro Quy trình tổ chức thực đánh giá quản lý rủi ro Cơ chế phối hợp với bên liên quan trình thực Phương án, kế hoạch giám sát quy trình đánh giá quản lý rủi ro 2.8 Đánh giá rủi ro 2.8.1 Nhận biết rủi ro Nhận biết rủi ro bước để xác định rủi ro, hậu mức thiệt hại tương ứng Như hướng dẫn Chương mục 2.1 đến 2.3, để xác định rủi ro, quan, tổ chức cần thực bước sau: Nhận biết tài sản để xác định danh mục tài sản quan, tổ chức cần bảo vệ bao gồm thông tin, hệ thống thông tin 16 Nhận biết mối đe dọa để xác định mối đe dọa tài sản Nhận biết điểm yếu để xác định điểm yếu tồn tài sản Kết bước nhận biết rủi ro danh mục mối đe dọa điểm yếu tài sản xác định 2.8.2 Phân tích rủi ro Phân tích rủi ro để xác định mức ảnh hưởng, hậu quan, tổ chức sở thực bước nhận biết rủi ro Như hướng dẫn Chương mục 2.4 2.5, để phân tích rủi ro, quan, tổ chức cần thực bước sau: Đánh giá hậu để xác định mức ảnh hưởng quan, tổ chức tài sản bị khai thác điểm yếu gây mối nguy Đánh giá khả xảy loại cố Kết bước phân tích rủi ro xác định hậu quả, mức ảnh hưởng mà quan, tổ chức phải xử lý 2.8.3 Xử lý rủi ro Cơ quan, tổ chức lựa chọn phương án xử lý rủi ro khác để bảo đảm đạt mục tiêu bảo đảm an tồn thơng tin đơn vị Việc thực xử lý rủi ro thực kết hợp nhiều phương án sau: thay đổi rủi ro, trì rủi ro, tránh rủi ro chia sẻ rủi ro, 2.8.4 Thay đổi rủi ro Thay đổi rủi ro phương án thực biện pháp xử lý, khắc phục nhằm giảm mức rủi ro xác định nhằm xác định rủi ro tồn đọng đánh giá lại mức chấp nhận Để thực phương án này, quan, tổ chức cần xây dựng hệ thống biện pháp kiểm soát phù hợp Các biện pháp lựa chọn vào tiêu chí liên quan đến chi phí, đầu tư thời gian triển khai, sở cân đối nguồn lực bỏ lợi ích đem lại tổ chức thực xử lý rủi ro 2.8.5 Duy trì rủi ro Duy trì rủi ro phương án chấp nhận rủi ro xác định mà không đưa phương án xử lý để giảm thiểu rủi ro Việc xác định rủi ro chấp nhận dựa vào mức rủi ro tiêu chí chấp nhận rủi ro 17 2.8.6 Tránh rủi ro Tránh rủi ro phương án xử lý quan, tổ chức phải đối mặt với mức rủi ro cao cách làm thay đổi, loại bỏ dừng hoạt động hệ thống, quy trình nghiệp vụ hoạt động quan, tổ chức để phải đối mặt với rủi ro xác định Tránh rủi ro phương án thích hợp rủi ro xác định vượt khả chấp nhận rủi ro tổ chức 18 CHƯƠNG BIỆN PHÁP KIỂM SOÁT RỦI RO Theo quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ, hệ thống thông tin phải đáp ứng yêu cầu an toàn bản, tối thiểu Tuy nhiên, hệ thống thơng tin khác có có đặc thù riêng yêu cầu mức độ an toàn khác phù hợp với yêu cầu thực tế quan, tổ chức Do đó, sở đánh giá quản lý rủi ro, quan, tổ chức cần rà sốt, bổ sung u cầu an tồn (sau gọi biện pháp kiểm soát rủi ro) cho phù hợp với yêu cầu thực tế Khi triển khai biện pháp kiểm soát rủi ro, trước hết quan, tổ chức cần xem xét biện pháp cần thiết có yêu cầu hay chưa Trường hợp, biện pháp kiểm soát nằm yêu cầu cần thực theo quy định Trường hợp cần bổ sung yêu cầu an toàn để đáp ứng yêu cầu thực tế cần đưa phương án cụ thể để thực Các biện pháp kiểm soát hệ thống thông tin quy định Điều 19 Nghị định 85/2016/NĐ-CP ngày 10/7/2016, Điều 8, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 hướng dẫn chi tiết tiêu chuẩn quốc gia TCVN 11930:2017 Các yêu cầu an toàn chia làm nhóm yêu cầu quản lý yêu cầu kỹ thuật Trong đó, yêu cầu kỹ thuật đưa yêu cầu liên quan đến thiết kế, thiết lập, biện pháp, giải pháp cơng nghệ hệ thống q trình xây dựng thiết lập Các yêu cầu quản lý đưa sách, quy chế, quy trình, tổ chức máy bảo đảm an tồn thơng tin nhằm bảo đảm an tồn thơng tin cho hệ thống thơng tin trình vận hành, khai thác Các biện pháp kiểm soát đưa TCVN 11930:2017 phân thành 05 mức theo cấp độ hệ thống thông tin cần bảo vệ Do đó, biện pháp kiểm sốt rủi ro lựa chọn cần dựa vào mức rủi ro để xác định biện pháp kiểm soát phù hợp TCVN 11930:2017 tiêu chuẩn khác liên quan Ví dụ, mức ảnh hưởng xác định mức biện pháp kiểm sốt lựa chọn biện pháp tương ứng với cấp độ TCVN 11930:2017 Các biện pháp bổ sung xác định biện pháp yêu cầu hệ thống thơng tin cấp độ cao Ví dụ hệ thống thông tin xác định cấp độ 3, cần áp dụng biện pháp kiểm soát yêu cầu với hệ thống thơng tin cấp độ 4, biện pháp coi biện pháp bổ sung Bên cạnh đó, biện pháp kiểm sốt bổ sung, quan, tổ chức tham khảo từ hai tiêu chuẩn ISP/IEC 27000 biện pháp quản lý 19 SP800-53 biện pháp kỹ thuật Các biện pháp kiểm soát kiểm soát bổ sung hướng dẫn cụ thể 3.1 Biện pháp kiểm soát quản lý 3.1.1 Mục tiêu, nguyên tắc bảo đảm an tồn thơng tin Đưa mục tiêu, ngun tắc bảo đảm an tồn thơng tin tổ chức 3.1.2 Trách nhiệm bảo đảm an tồn thơng tin Đưa quy định trách nhiệm bảo đảm an toàn thơng tin đơn vị chun trách an tồn thơng tin, cán làm an tồn thơng tin đối tượng thuộc phạm vi điều chỉnh sách an tồn thơng tin 3.1.3 Phạm vi sách an tồn thơng tin Đưa phạm vi sách, đối tượng áp dụng sách bảo đảm an tồn thơng tin tổ chức 3.1.4 Tổ chức bảo đảm an tồn thơng tin Cung cấp thơng tin cấu, tổ chức bảo đảm an tồn thơng tin tổ chức, bao gồm: Đơn vị chuyên trách an tồn thơng tin; Cơ chế, đầu mối phối hợp với quan/tổ chức có thẩm quyền hoạt động bảo đảm an tồn thơng tin 3.1.5 Bảo đảm nguồn nhân lực Đưa sách/quy trình thực quản lý bảo đảm nguồn nhân lực an tồn thơng tin tổ chức, bao gồm: Tuyển dụng cán bộ; quy chế/quy định bảo đảm an tồn thơng tin trình làm việc chấm dứt thay đổi công việc 3.1.6 Quản lý vận hành hệ thống Quản lý an tồn mạng: Đưa sách/quy trình thực quản lý an toàn hạ tầng mạng tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường hệ thống; Cập nhật, lưu dự phòng khôi phục hệ thống sau xảy cố; Truy cập quản lý cấu hình hệ thống; Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước đưa vào vận hành, khai thác b) Quản lý an toàn máy chủ ứng dụng: Đưa sách/quy trình thực a) quản lý an toàn máy chủ ứng dụng tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường hệ thống máy chủ dịch vụ; Truy cập mạng máy chủ; Truy cập quản trị máy chủ ứng dụng; Cập nhật, lưu dự phịng khơi phục sau xảy cố; Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm 20 hệ thống; Kết nối gỡ bỏ hệ thống máy chủ dịch vụ khỏi hệ thống; Cấu hình tối ưu tăng cường bảo mật cho hệ thống máy chủ trước đưa vào vận hành, khai thác c) Quản lý an toàn liệu: Đưa sách/quy trình thực quản lý an toàn liệu tổ chức, bao gồm: Yêu cầu an tồn phương pháp mã hóa; Phân loại, quản lý sử dụng khóa bí mật liệu mã hóa; Cơ chế mã hóa kiểm tra tính nguyên vẹn liệu; Trao đổi liệu qua môi trường mạng phương tiện lưu trữ; Sao lưu dự phịng khơi phục liệu; Cập nhật đồng thông tin, liệu hệ thống lưu dự phịng hệ thống phụ d) Quản lý an toàn thiết bị đầu cuối: Đưa sách/quy trình thực quản lý an tồn thiết bị đầu cuối tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường cho thiết bị đầu cuối; Kết nối, truy cập sử dụng thiết bị đầu cuối từ xa; Cài đặt, kết nối gỡ bỏ thiết bị đầu cuối hệ thống; Cấu hình tối ưu tăng cường bảo mật cho máy tính người sử dụng; Kiểm tra, đánh giá, xử lý điểm yếu an tồn thơng tin cho thiết bị đầu cuối đ) Quản lý phòng chống phần mềm độc hại: Đưa sách/quy trình thực quản lý phịng chống phần mềm độc hại tổ chức, bao gồm: Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; Cài đặt, sử dụng phần mềm máy tính, thiết bị di động việc truy cập trang thông tin mạng; Gửi nhận tập tin qua môi trường mạng phương tiện lưu trữ di động; Thực kiểm tra dò quét phần mềm độc hại toàn hệ thống; Kiểm tra xử lý phần mềm độc hại e) Quản lý giám sát an tồn hệ thống thơng tin: Đưa sách/quy trình thực quản lý phịng chống phần mềm độc hại tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường hệ thống giám sát; Đối tượng giám sát bao gồm; Kết nối gửi nhật ký hệ thống; Truy cập quản trị hệ thống giám sát; Loại thông tin cần giám sát; Lưu trữ bảo vệ thông tin giám sát; Theo dõi, giám sát cảnh báo cố; Bố trí nguồn lực tổ chức giám sát g) Quản lý điểm yếu an tồn thơng tin: Đưa sách/quy trình thực quản lý điểm yếu an tồn thơng tin tổ chức, bao gồm: Quản lý thông tin thành phần có hệ thống có khả tồn điểm yếu an tồn thơng tin; Quản lý, cập nhật nguồn cung cấp điểm yếu an tồn thơng tin; Phân nhóm mức độ điểm yếu; Cơ chế phối hợp với nhóm chuyên gia; Kiểm tra, đánh giá xử lý điểm yếu an tồn thơng tin trước đưa hệ thống vào sử dụng; Quy trình khôi phục lại hệ thống 21 Quản lý cố an tồn thơng tin: Đưa sách/quy trình thực quản lý cố an tồn thơng tin tổ chức, bao gồm: Phân nhóm cố an tồn thông tin; Phương án tiếp nhận, phát hiện, phân loại xử lý thơng tin; Kế hoạch ứng phó cố an tồn thơng tin; Giám sát, phát cảnh báo cố an tồn thơng tin; Quy trình ứng cứu cố an tồn thơng tin thơng thường; Quy trình ứng cứu cố an tồn thơng tin nghiêm trọng; Cơ chế phối hợp việc xử lý, khắc phục cố an tồn thơng tin; Diễn tập phương án xử lý cố an tồn thơng tin i) Quản lý an toàn người sử dụng đầu cuối: Đưa sách/quy trình thực h) quản lý an toàn người sử dụng đầu cuối tổ chức, bao gồm: Quản lý truy cập, sử dụng tài nguyên nội bộ; Quản lý truy cập mạng tài nguyên Internet; Cài đặt sử dụng máy tính an toàn 3.1.7 Các yêu cầu an toàn bổ sung Cơ quan, tổ chức tham khảo biện pháp kiểm sát đưa tiêu chuẩn TCVN ISO/IEC 27002:2020, bao gồm biện pháp kiểm soát chia thành 15 nhóm sau: Chính sách an tồn thơng tin; Tổ chức bảo đảm an tồn thơng tin; An tồn nguồn nhân lực; Quản lý tài sản; Kiểm sốt truy cập; Mật mã; An tồn vật lý mơi trường; An tồn vận hành; An tồn truyền thơng; Tiếp nhận, phát triển bảo trì hệ thống; Các mối quan hệ với nhà cung cấp; Quản lý cố an tồn thơng tin; Các khía cạnh an tồn thơng tin quản lý hoạt động nghiệp vụ liên tục; Sốt xét an tồn thơng tin 3.2 Biện pháp kiểm sốt kỹ thuật 3.2.1 Bảo đảm an tồn mạng a) Thiết kế hệ thống - Đưa yêu cầu thiết kế vùng mạng hệ thống theo chức năng, vùng mạng - Đưa yêu cầu biện pháp bảo vệ cụ thể bao gồm: Phương án quản lý truy cập, quản trị hệ thống từ xa an toàn, Phương án quản lý truy cập vùng mạng phòng chống xâm nhập, Phương án cân tải, dự phịng nóng cho thiết bị mạng, Phương án bảo đảm an toàn cho máy chủ sở liệu, Có phương án chặn lọc phần mềm độc hại môi trường mạng, Phương án phịng chống cơng từ chối dịch vụ, Phương án giám sát hệ thống thông tin tập trung, Phương án giám sát an tồn hệ thống thơng tin tập trung, Phương án quản lý lưu dự phòng tập trung, Phương án quản lý phần mềm phòng chống mã độc máy chủ/máy tính người dùng tập trung, Phương án phịng, chống thất 22 liệu, Phương án bảo đảm an tồn cho mạng khơng dây, Phương án quản lý tài khoản đặc quyền, Phương án dự phịng hệ thống vị trí địa lý khác b) Kiểm sốt truy cập từ bên ngồi mạng: Đưa biện pháp quản lý truy cập từ mạng bên theo chiều vào hệ thống tới máy chủ dịch vụ bên mạng, bao gồm: Các dịch vụ/ứng dụng cho phép từ truy cập từ bên ngoài; Thời gian kết nối; Phân quyền truy cập; Giới hạn kết nối; Thiết lập sách ưu tiên Phương án cần mơ tả sách thiết lập thiết bị hệ thống c) Kiểm soát truy cập từ bên mạng: Đưa biện pháp quản lý truy cập từ máy tính/máy chủ bên mạng theo chiều mạng bên mạng khác bên mạng, bao gồm: Các ứng dụng/dịch vụ truy cập; Quản lý truy cập theo địa thiết bị; phương án ưu tiên truy cập Phương án cần mơ tả sách thiết lập thiết bị hệ thống d) Nhật ký hệ thống: Đưa biện pháp quản lý nhật ký hệ thống (log) thiết bị hệ thống bật chức ghi log; thông tin ghi log; thời gian, dung lượng ghi log; quản lý log đ) Phòng chống xâm nhập: Đưa biện pháp triển khai/thiết lập cấu hình thiết bị phịng, chống xâm nhập IDS/IPS chức IDS/IPS thiết bị tường lửa có hệ thống nhằm đáp ứng yêu cầu an tồn e) Phịng chống phần mềm độc hại môi trường mạng: Đưa biện pháp triển khai/thiết lập cấu hình thiết bị để thực chức phịng chống phần mềm độc hại mơi trường mạng đáp ứng yêu cầu an toàn g) Bảo vệ thiết bị hệ thống: Đưa biện pháp triển khai/thiết lập cấu hình chức bảo mật thiết bị có hệ thống nhằm bảo đảm bảo đảm an tồn cho thiết bị q trình sử dụng quản lý vận hành 3.2.2 Bảo đảm an toàn máy chủ Xác thực: Đưa biện pháp cấu hình/thiết lập sách xác thực máy chủ để bảo đảm việc xác thực đăng nhập vào máy chủ an tồn b) Kiểm sốt truy cập: Đưa biện pháp cấu hình/thiết lập sách kiểm sốt truy cập máy chủ để bảo đảm việc truy cập, sử dụng máy chủ an tồn sau đăng nhập thành cơng c) Nhật ký hệ thống: Đưa biện pháp quản lý nhật ký hệ thống (log) a) máy chủ về: Bật chức ghi log; Thông tin ghi log; Thời gian, Dung lượng ghi log; Quản lý log 23 Phòng chống xâm nhập: Đưa biện pháp cấu hình/thiết lập cấu hình bảo mật máy chủ để bảo bảo vệ cơng xâm nhập từ bên ngồi đ) Phòng chống phần mềm độc hại: Đưa biện pháp cấu hình/thiết lập cấu hình bảo mật máy chủ về: Cài đặt phần mềm phòng chống mã độc; Dò quét mã độc; Xử lý mã độc; Quản lý tập trung phần mềm phòng chống mã độc để phòng chống mã độc cho máy chủ e) Xử lý máy chủ chuyển giao: Đưa biện pháp xóa liệu; d) lưu dự phòng liệu chuyển giao thay đổi mục đích sử dụng 3.2.3 Bảo đảm an toàn ứng dụng Xác thực Đưa biện pháp cấu hình/thiết lập sách xác thực ứng dụng để bảo đảm việc xác thực đăng nhập vào máy chủ an tồn b) Kiểm sốt truy cập: Đưa biện pháp cấu hình/thiết lập sách kiểm soát truy cập ứng dụng để bảo đảm việc truy cập, sử dụng ứng dụng an toàn sau đăng nhập thành công c) Nhật ký hệ thống: Đưa biện pháp quản lý nhật ký hệ thống (log) ứng dụng về: Bật chức ghi log; Thông tin ghi log; Thời gian, dung lượng ghi log; Quản lý log d) Bảo mật thông tin liên lạc: Đưa biện pháp mã hóa sử dụng giao thức mạng kênh kết nối mạng an toàn trao đổi liệu qua môi trường mạng đ) Chống chối bỏ: Đưa biện pháp sử dụng bảo vệ chữ ký số để bảo vệ tính bí mật chống chối bỏ gửi/nhận thông tin quan trọng qua mạng e) An toàn ứng dụng mã nguồn: Đưa biện pháp cấu hình/thiết lập chức a) bảo mật cho ứng dụng phương án bảo vệ mã nguồn ứng dụng 3.2.4 Bảo đảm an toàn liệu Nguyên vẹn liệu: Đưa biện pháp lưu trữ, quản lý thay đổi, khôi phục liệu bảo đảm tính nguyên vẹn liệu b) Bảo mật liệu: Đưa biện pháp lưu trữ, quản lý thay đổi, khơi phục liệu bảo đảm tính bí mật liệu c) Sao lưu dự phịng: Đưa biện pháp lưu dự phòng liệu: Các thơng a) tin u cầu lưu dự phịng; Phân loại liệu lưu dự phòng; Hệ thống lưu dự phòng… 24 25 KẾT LUẬN Chương ta có nhìn dễ dàng thấy việc đảm bảo an tồn thơng tin hệ thống sách quan việc vơ cần thiết cấp bách Chương có nhìn ngun tắc bảo mật thơng tin Chương tiếp cận với nguy hiểm tiềm tàng mang cách phòng chống 26 TÀI LIỆU THAM KHẢO [1]TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Các u cầu [2]TCVN 10295:2014- Cơng nghệ thơng tin – Các kỹ thuật an tồn – Quản lý rủi ro ATTT [3]Thông tư số 03/2017/TT-BTTTT ngày 24 tháng năm 2017 cuả Bộ Thông tin Truyền thông quy định chi tiết hướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an toàn hệ thống thông tin theo cấp độ [4]ISO/IEC 15408:2017 Information technology — Security techniques — Evaluation criteria for IT securit [5]ISO/IEC 15408:2017 Information technology — Security techniques — Evaluation criteria for IT securit [6]https://www.sans.org/white-papers/992/ 27 28 ...BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO Môn: Quản Lý Xây Dựng Chính Sách ATTT Lớp: L04 Nhóm sinh... thành viên chủ chốt ban quản lý cấp cao tổ chức để vấn viết email cho người quản lý cấp cao, phác thảo ý định hỏi sẵn sàng người quản lý cấp cao cho vấn Nếu người quản lý cấp cao khơng có mặt để... thành tập lớn này! NHĨM SINH VIÊN THỰC HIỆN BÀI TẬP LỚN Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng LỜI NÓI ĐẦU Tạo thực chương trình hiệu để đào tạo quản lý cấp cao tảng cho chương trình nâng cao