CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TẠI VIỆT NAM CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TOÀN THÔNG TIN ISO/IEC 27002:2005 LỜI MỞ ĐẦU4 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TẠI VIỆT NAM6 1. An toàn thông tin là gì?6 2. Thực trạng vấn đề an toàn thông tin tại Việt Nam8 3. Các dạng tội phạm, hành vi xâm phạm an toàn thông tin hiện nay.10 3.1. Lừa đảo mạng ATM11 3.2. Tiếp tục các tấn công dạng Phishing11 3.3. Tấn công từ chối SQL12 3.4. Drive-By Attacks Deliver12 3.5. Mạng xã hội không còn là mục tiêu mới13 3.6. Smartphones: trò chơi mới của tin tặc14 4. Cách đối phó14 5. Xây dựng hệ thống bảo đảm an toàn thông tin16 6. Chính sách, quy định đảm bảo an toàn thông tin20 CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TOÀN THÔNG TIN ISO/IEC 27002:200522 1.Phạm vi22 2.Điều khoản và định nghĩa22 3.Cấu trúc của tiêu chuẩn23 3.1. Điều khoản23 3.2. Các hạng mục bảo mật chính24 4.Đánh giá và xử lý rủi ro bảo mật24 4.1. Đánh giá rủi ro24 4.2. Xử lý rủi ro25 5.Chính sách an toàn27 5.1. Chính sách an toàn thông tin27 6.Tổ chức của an toàn thông tin29 6.1. Tổ chức nội bộ29 6.2. Tổ chức bên ngoài33 7.Quản lý tài sản35 7.1. Trách nhiệm đối với tài sản35 7.2. Phân loại thông tin37 8.Bảo mật nguồn nhân lực38 8.1. Ưu tiên làm việc38 8.2. Trong quá trình làm việc40 8.3. Chấm dứt và thay đổi việc làm42 9.Bảo mật vật lý và môi trường44 9.1. Khu vực an toàn44 9.2. Bảo mật thiết bị47 10. Quản lý hoạt động và truyền thông49 10.1. Thủ tục và trách nhiệm hoạt động49 10.2. Quản lý giao hàng dịch vụ bên thứ ba50 10.3. Sao lưu53 10.4. Quản lý an ninh mạng53 10.5. Giám sát55 11. Kiểm soát truy cập56 11.1. Quản lý truy cập người dùng56 11.2. Trách nhiệm của người dùng59 11.3. Kiểm soát truy cập mạng60 11.4. Ứng dụng và kiểm soát truy cập thông tin63 12. Phát triển và bảo trì hệ thống thông tin64 12.1. Yêu cầu bảo mật của hệ thống thông tin64 12.2. Bảo mật các file hệ thống65 12.3. Bảo mật trong quá trình phát triển và hỗ trợ68 13. Quản lý sự cố về an toàn thông tin70 13.1. Báo cáo các sự kiện và điểm yếu về bảo mật thông tin70 13.2. Quản lý sự cố và cải thiện an toàn thông tin72 14. Tuân thủ74 14.1. Tuân thủ các chính sách và tiêu chuẩn bảo mật74 14.2. Kiểm tra tuân thủ kỹ thuật75
MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TỒN THƠNG TIN TẠI VIỆT NAM An tồn thơng tin gì? Thực trạng vấn đề an tồn thơng tin Việt Nam Các dạng tội phạm, hành vi xâm phạm an tồn thơng tin 10 3.1 Lừa đảo mạng ATM 11 3.2 Tiếp tục công dạng Phishing 11 3.3 Tấn công từ chối SQL 12 3.4 Drive-By Attacks Deliver 12 3.5 Mạng xã hội khơng cịn mục tiêu 13 3.6 Smartphones: trò chơi tin tặc .14 Cách đối phó 14 Xây dựng hệ thống bảo đảm an tồn thơng tin .16 Chính sách, quy định đảm bảo an tồn thơng tin 20 CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TOÀN THÔNG TIN ISO/IEC 27002:2005 .22 Phạm vi 22 Điều khoản định nghĩa 22 Cấu trúc tiêu chuẩn 23 3.1 Điều khoản 23 3.2 Các hạng mục bảo mật 24 Đánh giá xử lý rủi ro bảo mật 24 4.1 Đánh giá rủi ro 24 4.2 Xử lý rủi ro 25 Chính sách an tồn 27 5.1 Chính sách an tồn thơng tin 27 Tổ chức an toàn thông tin 29 6.1 Tổ chức nội 29 6.2 Tổ chức bên 33 Quản lý tài sản 35 7.1 Trách nhiệm tài sản .35 7.2 Phân loại thông tin .37 Bảo mật nguồn nhân lực 38 8.1 Ưu tiên làm việc 38 8.2 Trong trình làm việc 40 8.3 Chấm dứt thay đổi việc làm 42 Bảo mật vật lý môi trường .44 9.1 Khu vực an toàn 44 9.2 Bảo mật thiết bị 47 10 Quản lý hoạt động truyền thông 49 10.1 Thủ tục trách nhiệm hoạt động 49 10.2 Quản lý giao hàng dịch vụ bên thứ ba 50 10.3 Sao lưu .53 10.4 Quản lý an ninh mạng .53 10.5 Giám sát 55 11 Kiểm soát truy cập 56 11.1 Quản lý truy cập người dùng 56 11.2 Trách nhiệm người dùng 59 11.3 Kiểm soát truy cập mạng 60 11.4 Ứng dụng kiểm sốt truy cập thơng tin .63 12 Phát triển bảo trì hệ thống thơng tin .64 12.1 Yêu cầu bảo mật hệ thống thông tin 64 12.2 Bảo mật file hệ thống 65 12.3 Bảo mật trình phát triển hỗ trợ .68 13 Quản lý cố an tồn thơng tin .70 13.1 Báo cáo kiện điểm yếu bảo mật thông tin 70 13.2 Quản lý cố cải thiện an tồn thơng tin 72 14 Tuân thủ 74 14.1 Tuân thủ sách tiêu chuẩn bảo mật 74 14.2 Kiểm tra tuân thủ kỹ thuật .75 KẾT LUẬN 76 LỜI MỞ ĐẦU Sự phát triển Internet Việt Nam đạt nhiều thành to lớn 20 năm qua Theo báo cáo thống kê, có 68,17 triệu người sử dụng dịch vụ internet Việt Nam vào tháng năm 2020 Trong đó, tổng số người sử dụng dịch vụ có liên quan tới internet Việt Nam thức tăng khoảng 6,2 triệu (tăng + 10,0%) kể từ năm 2019 tính đến năm 2020 Một kết thống kê đáng mừng là, tình hình sử dụng Internet Việt Nam tổng dân số người Việt đứng mức 70% tính đến thời điểm tháng năm 2020 Bên cạnh đó, xu hướng ứng dụng công nghệ thống tin vào sống sâu rộng loại hình tội phạm mạng nguy làm an tồn thơng tin ngày đa dạng khó phịng chống Hệ thống máy tính cá nhân tổ chức thường xuyên phải đối phó với cơng, xâm nhập trái phép, gây rị rỉ, mát thơng tin, chí dừng hoạt động, ảnh hưởng tiêu cực tới tiến độ, chất lượng cơng việc, kéo theo tổn thất kinh tế, uy tín cá nhân, tổ chức chí ảnh hưởng tới an ninh quốc gia Theo báo cáo nhiều tổ chức quốc tế an tồn thơng tin, Việt Nam mục tiêu hàng đầu khu vực cơng gián điệp có tổ chức, mà mục tiêu công quan, tổ chức quan trọng thuộc phủ tổ chức có sở hữu hạ tầng thơng tin trọng yếu Bên cạnh rủi ro an tồn thơng tin bị cơng phá hoại có chủ đích, đáng ý nhiều đơn vị cố liên quan đến an tồn thơng tin nằm trọng hệ thống mạng Các nguyên nhân chủ yếu là: quy trình quản lý, vận hành không đảm bảo, việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ, nhận thức nhân viên việc sử dụng trao đổi thông tin chưa đầy đủ, lực cán kỹ thuật cịn yếu, thiếu cán chun mơn thiếu trang bị kỹ thuật tối thiểu… Xuất phát từ thực trạng đó, em chọn hướng “nghiên cứu, tìm hiểu sách, quy định đảm bảo an tồn thơng tin Việt nam Phân tích nội dung Bộ luật thực thi quản lý an tồn thơng tin ISO/IEC 27002:2005” để hiểu rõ an tồn thơng tin Việt Nam Bộ luật thực thi quản lý an tồn thơng tin ISO/IEC 27002:2005 Nội dụng tiểu luận trình bày theo chương: Tổ chức cấu trúc sau: Chương I: Tổng quan an tồn thơng tin, sách, quy định đảm bảo an tồn thơng tin Việt Nam Chương II: Bộ luật thực thi quản lý an tồn thơng tin ISO/IEC 27002:2005 Mặc dù có nhiều cố gắng vốn kiến thức chưa sâu nên không tránh khỏi thiếu sót Rất mong góp ý thầy bạn để hồn thiện Em xin chân thành cảm ơn ! CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TỒN THƠNG TIN TẠI VIỆT NAM An tồn thơng tin gì? An tồn thơng tin mắt xích liên kết hai yếu tố: yếu tố công nghệ yếu tố người Yếu tố công nghệ: bao gồm sản phẩm Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm Yếu tố người: Là người sử dụng máy tính, người làm việc với thơng tin sử dụng máy tính cơng việc Hai yếu tố liên kết lại thơng qua sách An tồn thơng tin Theo ISO 17799, An tồn thơng tin khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích cơng dân, tổ chức quốc gia Thông qua sách an tồn thơng tin, lãnh đạo thể ý chí lực việc quản lý hệ thống thơng tin An tồn thơng tin xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin mà tổ chức sở hữu tài nguyên thông tin đối tác, khách hàng môi trường thông tin tồn cầu Như vậy, với vị trí quan trọng mình, khẳng định vấn đề an tồn thơng tin phải sách, người mắt xích quan trọng An tồn nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Hệ thống có đặc điểm sau khơng an tồn: Các thơng tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rị rỉ) Các thơng tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Thông tin có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu an toàn bảo mật công nghệ thông tin đưa số tiêu chuẩn an toàn Ứng dụng tiêu chuẩn an toàn vào đâu để loại trừ giảm bớt nguy hiểm Do kỹ thuật truyền nhận xử lý thông tin ngày phát triển đáp ứng yêu cầu ngày cao nên hệ thống đạt tới độ an tồn Quản lý an toàn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá độ an tồn thơng tin cần phải dựa phân tích rủi ro, tăng an toàn cách giảm tối thiểu rủi ro Các đánh giá cần hài hồ với đặc tính, cấu trúc hệ thống trình kiểm tra chất lượng Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thơng tin đến từ nhiều nơi theo nhiều cách nên đưa sách phương pháp đề phịng cần thiết Mục đích cuối an tồn bảo mật bảo vệ thơng tin tài nguyên theo yêu cầu sau: Tính tin cậy (Confidentiality): Thơng tin khơng thể bị truy nhập trái phép người khơng có thẩm quyền Tính ngun vẹn (Integrity): Thơng tin khơng thể bị sửa đổi, bị làm giả người khơng có thẩm quyền Tính sẵn sàng (Availability): Thơng tin ln sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền Tính khơng thể từ chối (Non-repudiation): Thơng tin cam kết mặt pháp luật người cung cấp Viện tiêu chuẩn Anh công bố danh sách gồm 10 điều kiện cần để kiểm tra việc triển khai biện pháp an ninh hệ thống sau: Tài liệu sách an ninh thơng tin Việc phân bổ trách nhiệm an ninh hệ thống Các chương trình giáo dục huấn luyện an ninh thông tin Các báo cáo biến cố liên quan đến an ninh thông tin Các biện pháp kiểm sốt Virus Tiến trình liên tục lập kế hoạch kinh doanh Các hình thức kiểm sốt việc chép thơng tin thuộc sở hữu tổ chức Việc bảo vệ hồ sơ tổ chức Việc tuân thủ pháp luật bảo vệ liệu Việc tuân thủ sách an ninh hệ thống tổ chức Thực trạng vấn đề an tồn thơng tin Việt Nam Tính tới thời điểm này, có nhiều lỗ hổng an ninh phát lỗ hổng DNS bị coi siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng liệu qua lại tồn mạng World Wire Web, lỗ hổng trình duyệt web Google Chrome… Hình thức cơng có thay đổi Hacker thay đổi từ hình thức công hệ thống thông qua dịch vụ thư điện tử sang công hệ thống dựa vào dịch vụ web Hacker mở chiến dịch “tổng công” nhằm vào mạng Internet với số lượng triệu website Trong có website tiếng giới USA Today.com, Walman.com… Số lượng tầm quan trọng website bị công tăng lên ngày Virus phần mềm độc hại tiếp tục tăng trưởng Trải qua 35 năm đổi mới, hệ thống thông tin Việt Nam có phát triển mạnh mẽ, phục vụ đắc lực lãnh đạo, quản lý, điều hành Đảng, Nhà nước, đáp ứng nhu cầu thông tin xã hội, góp phần đảm bảo quốc phịng, an ninh đất nước Lĩnh vực viễn thông, Internet, tần số vơ tuyến điện có phát triển mạnh mẽ, đạt mục tiêu số hóa hồn tồn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ mở rộng, bước đầu hình thành doanh nghiệp mạnh, có khả vươn tầm khu vực, quốc tế Hệ thống bưu chuyển phát, báo chí, xuất phát triển nhanh số lượng, chất lượng kỹ thuật nghiệp vụ, có đóng góp quan trọng cho phát triển kinh tế - xã hội; đảm bảo quốc phòng, an ninh, đối ngoại đất nước Tuy nhiên, tình hình an ninh thơng tin Việt Nam có diễn biến phức tạp Các quan đặc biệt nước ngoài, lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động trị nội bộ, can thiệp, hướng lái sách, pháp luật Việt Nam Gia tăng hoạt động công mạng nhằm vào hệ thống thông tin quan trọng quốc gia, hệ thống thông tin quan trọng an ninh quốc gia Theo thống kê, trung bình năm, qua kiểm tra, kiểm soát quan chức phát 850.000 tài liệu chiến tranh tâm lý, phản động, ân xá quốc tế, tài liệu tuyên truyền tà đạo trái phép; gần 750.000 tài liệu tuyên truyền chống Đảng, Nhà nước tán phát vào Việt Nam qua đường bưu Từ 2010 đến 2019 có 53.744 lượt cổng thơng tin, trang tin điện tử có tên miền bị cơng, có 2.393 lượt cổng thơng tin, trang tin điện tử quan Đảng, Nhà nước “.gov.vn”, xuất nhiều cơng mang màu sắc trị, gây hậu nghiêm trọng Tội phạm vi phạm pháp luật lĩnh vực thông tin diễn biến phức tạp, gia tăng số vụ, thủ đoạn tinh vi, gây thiệt hại nghiêm trọng nhiều mặt Các hành vi phá hoại sở hạ tầng thông tin; gây an tồn, hoạt động bình thường, vững mạnh mạng máy tính, mạng viễn thơng, phương tiện điện tử quan, tổ chức, cá nhân hệ thống thông tin vô tuyến điện,… gây thiệt hại lớn kinh tế, xâm hại trực tiếp đến quyền, lợi ích hợp pháp quan, tổ chức cá nhân Theo kết đánh giá an ninh mạng Tập đồn cơng nghệ Bkav thực hiện, năm 2019, tính riêng thiệt hại virus máy tính gây người dùng Việt Nam lên tới 20.892 tỷ đồng (tương đương 902 triệu USD), 1,8 triệu máy tính bị liệu lan tràn loại mã độc mã hóa liệu tống tiền (ransomware), có nhiều máy chủ chứa liệu quan, gây đình trệ hoạt động nhiều quan, doanh nghiệp Hệ thống thông tin Việt Nam tồn nhiều điểm yếu, lỗ hổng bảo mật dễ bị khai thác, công, xâm nhập; tình trạng lộ, bí mật nhà nước qua hệ thống thông tin gia tăng đột biến; tượng khai thác, sử dụng trái phép sở liệu, tài nguyên thông tin quốc gia, liệu cá nhân người dùng diễn biến phức tạp; xuất nhiều dịch vụ mới, đại gây khó khăn cho cơng tác quản lý, kiểm soát quan chức Từ 2001 đến 2019, quan chức phát 1.100 vụ lộ, bí mật nhà nước, lộ, bí mật nhà nước qua hệ thống thông tin chiếm tỷ lệ lớn với 80% số vụ Tháng 3/2018, Facebook để lộ liệu cá nhân để nhà phát triển bán lại cho Công ty Cambridge Analityca, dẫn tới 87 triệu liệu thơng tin người dùng bị lộ, có 427.466 tài khoản người dùng Việt Nam Con người – khâu yếu tồn q trình đảm bảo an tồn thơng tin Hầu phần lớn phương thức công hacker sử dụng khai thác điểm yếu hệ thống thông tin đa phần điểm yếu tiếc lại người tạo Việc nhận thức không tuân thủ sách ATTT nguyên nhân gây tình trạng Đơn cử vấn đề sử dụng mật quy định rõ sách ATTT song việc tuân thủ quy định lại không thực chặt chẽ Việc đặt mật chất lượng, không thay đổi mật định kỳ, quản lý mật lỏng lẻo khâu yếu mà hacker lợi dụng để xâm nhập công Các dạng tội phạm, hành vi xâm phạm an toàn thông tin Những thủ đoạn phạm tội công nghệ cao liệt kê như: lừa đảo mạng, trộm cắp địa thư điện tử, thông tin thẻ tín dụng thơng tin cá nhân; đưa thơng tin thẻ tín dụng ăn cắp lên mạng để mua bán, trao đổi, cho tặng; thực rửa tiền cách chuyển tiền từ tài khoản trộm cắp sang tài khoản tiền ảo e-gold, e-passport…; lừa đảo hoạt động thương mại điện tử, quảng cáo, bán hàng trực tuyến qua mạng, mua bán ngoại tệ, mua bán cổ phiếu qua mạng; đánh bạc, cá độ bóng đá qua mạng; sử dụng máy tính để thực hành vi trốn thuế, tham ô; buôn bán ma tuý qua mạng; tổ chức hoạt động mại dâm qua mạng; truyền bá văn hoá phẩm đồi truỵ qua mạng; thực 10 Quyền truy cập hợp lý vào phần mềm ứng dụng thông tin nên giới hạn cho người dùng có thẩm quyền Hệ thống ứng dụng nên: Kiểm soát quyền truy cập người dùng vào thông tin chức hệ thống ứng dụng, phù hợp với sách kiểm soát truy cập xác định; Cung cấp bảo vệ khỏi truy cập trái phép tiện ích, phần mềm hệ điều hành phần mềm độc hại có khả ghi đè bỏ qua kiểm soát hệ thống ứng dụng; Không làm tổn hại đến hệ thống khác mà tài nguyên thông tin chia sẻ 11.4.1 Hạn chế truy cập thông tin Quyền truy cập vào thông tin chức hệ thống ứng dụng người dùng nhân viên hỗ trợ nên bị hạn chế theo sách kiểm sốt truy cập xác định Các hạn chế truy cập phải dựa yêu cầu ứng dụng kinh doanh cá nhân Chính sách kiểm sốt truy cập phải qn với sách truy cập tổ chức Việc áp dụng nguyên tắc sau cần xem xét để hỗ trợ yêu cầu hạn chế truy cập: Cung cấp menu để kiểm soát quyền truy cập vào chức hệ thống ứng dụng;kiểm soát quyền truy cập người dùng, ví dụ: đọc, ghi, xóa thực thi; Kiểm soát quyền truy cập ứng dụng khác; Đảm bảo đầu từ hệ thống ứng dụng xử lý thông tin nhạy cảm chứa thông tin liên quan đến việc sử dụng đầu gửi đến thiết bị đầu cuối địa điểm phép; điều nên bao gồm việc đánh giá định kỳ kết đầu để đảm bảo thông tin thừa loại bỏ 62 11.4.2 Hệ thống cách ly nhạy cảm Các hệ thống nhạy cảm phải có mơi trường máy tính chun dụng (biệt lập) Các điểm sau cần xem xét để cách ly hệ thống nhạy cảm: Độ nhạy hệ thống ứng dụng phải chủ sở hữu ứng dụng xác định lập thành văn rõ ràng Khi ứng dụng nhạy cảm chạy môi trường dùng chung, hệ thống ứng dụng mà chia sẻ tài nguyên rủi ro tương ứng phải chủ sở hữu ứng dụng nhạy cảm xác định chấp nhận 12 Phát triển bảo trì hệ thống thông tin 12.1 Yêu cầu bảo mật hệ thống thông tin Mục tiêu: Đảm bảo an ninh phận cấu thành hệ thống thông tin Hệ thống thông tin bao gồm hệ điều hành, sở hạ tầng, ứng dụng kinh doanh, sản phẩm, dịch vụ bán sẵn ứng dụng người dùng phát triển Việc thiết kế triển khai hệ thống thông tin hỗ trợ q trình kinh doanh quan trọng bảo mật Các yêu cầu bảo mật cần xác định đồng ý trước phát triển / triển khai hệ thống thông tin Tất yêu cầu bảo mật cần xác định giai đoạn yêu cầu dự án chứng minh, đồng ý lập thành văn phần trường hợp nghiệp vụ tổng thể hệ thống thông tin Tuyên bố yêu cầu nghiệp vụ hệ thống thông tin cải tiến hệ thống thông tin có phải nêu rõ yêu cầu kiểm sốt an ninh Các thơng số kỹ thuật yêu cầu biện pháp kiểm soát cần xem xét kiểm soát tự động kết hợp hệ thống thông tin nhu cầu hỗ trợ kiểm sốt thủ cơng Các cân nhắc tương tự nên áp dụng đánh giá gói phần mềm, phát triển mua, cho ứng dụng kinh doanh 63 Các yêu cầu kiểm soát bảo mật phải phản ánh giá trị kinh doanh tài sản thông tin liên quan, thiệt hại tiềm tàng kinh doanh, lỗi khơng có bảo mật Các u cầu hệ thống an tồn thơng tin quy trình thực bảo mật cần tích hợp giai đoạn đầu dự án hệ thống thông tin Các biện pháp kiểm soát giới thiệu giai đoạn thiết kế rẻ đáng kể để thực trì so với biện pháp bao gồm sau thực Nếu sản phẩm mua, cần tuân thủ quy trình kiểm tra mua lại thức Hợp đồng với nhà cung cấp phải giải yêu cầu bảo mật xác định Khi chức bảo mật sản phẩm đề xuất không đáp ứng yêu cầu cụ thể rủi ro đưa biện pháp kiểm soát liên quan phải xem xét lại trước mua sản phẩm Khi chức bổ sung cung cấp gây rủi ro bảo mật, điều nên vơ hiệu hóa cấu trúc kiểm soát đề xuất nên xem xét để xác định xem tận dụng chức nâng cao có sẵn hay khơng 12.2 Bảo mật file hệ thống Mục tiêu: Đảm bảo an toàn cho tập tin hệ thống Cần kiểm soát quyền truy cập vào tệp hệ thống mã nguồn chương trình, đồng thời dự án CNTT hoạt động hỗ trợ tiến hành cách an toàn Cần cẩn thận để tránh tiếp xúc với liệu nhạy cảm mơi trường thử nghiệm 12.2.1 Kiểm sốt phần mềm vận hành Cần có quy trình để kiểm sốt việc cài đặt phần mềm hệ thống vận hành Phần mềm nhà cung cấp cung cấp sử dụng hệ thống vận hành phải trì mức nhà cung cấp hỗ trợ Theo thời gian, nhà cung cấp phần mềm ngừng hỗ trợ phiên phần mềm cũ Tổ chức nên xem xét rủi ro việc dựa vào phần mềm không hỗ trợ Mọi định nâng cấp lên phát hành phải tính đến yêu cầu nghiệp vụ việc thay đổi bảo mật phát hành, tức việc giới 64 thiệu chức bảo mật số lượng mức độ nghiêm trọng vấn đề bảo mật ảnh hưởng đến phiên Các vá phần mềm nên áp dụng chúng giúp loại bỏ giảm bớt điểm yếu bảo mật (xem thêm 12.6.1) Quyền truy cập vật lý logic nên cấp cho nhà cung cấp với mục đích hỗ trợ cần thiết có chấp thuận ban quản lý Các hoạt động nhà cung cấp cần giám sát Phần mềm máy tính dựa phần mềm mơ-đun cung cấp bên ngồi, cần giám sát kiểm soát để tránh thay đổi trái phép, gây điểm yếu bảo mật 12.2.2 Bảo vệ liệu kiểm tra hệ thống Dữ liệu thử nghiệm phải lựa chọn cẩn thận, bảo vệ kiểm soát Cần tránh sử dụng sở liệu hoạt động có chứa thông tin cá nhân thông tin nhạy cảm khác cho mục đích thử nghiệm Nếu thơng tin cá nhân thông tin nhạy cảm khác sử dụng cho mục đích thử nghiệm, tất chi tiết nội dung nhạy cảm phải xóa sửa đổi khả nhận dạng trước sử dụng Các hướng dẫn sau nên áp dụng để bảo vệ liệu vận hành, sử dụng cho mục đích thử nghiệm: Các thủ tục kiểm soát truy cập, áp dụng cho hệ thống ứng dụng vận hành, phải áp dụng cho hệ thống ứng dụng thử nghiệm; Phải có ủy quyền riêng thơng tin vận hành chép vào hệ thống ứng dụng thử nghiệm; Thơng tin vận hành phải xóa khỏi hệ thống ứng dụng thử nghiệm sau thử nghiệm hồn tất; Việc chép sử dụng thơng tin hoạt động phải ghi lại để cung cấp dấu vết đánh giá 12.2.3 Kiểm soát truy cập vào mã nguồn chương trình Quyền truy cập vào mã nguồn chương trình nên bị hạn chế 65 Quyền truy cập vào mã nguồn chương trình mục liên quan (chẳng hạn thiết kế, thông số kỹ thuật, kế hoạch xác minh kế hoạch xác nhận) cần kiểm soát chặt chẽ, để ngăn chặn việc giới thiệu chức trái phép tránh thay đổi khơng chủ ý Đối với mã nguồn chương trình, điều đạt cách lưu trữ trung tâm có kiểm sốt mã đó, tốt thư viện nguồn chương trình Sau đó, hướng dẫn sau cần xem xét để kiểm soát quyền truy cập vào thư viện nguồn chương trình nhằm giảm khả làm hỏng chương trình máy tính: Nếu có thể, khơng nên tổ chức thư viện nguồn chương trình hệ thống hoạt động; Mã nguồn chương trình thư viện nguồn chương trình phải quản lý theo thủ tục thiết lập; Nhân viên hỗ trợ khơng có quyền truy cập khơng hạn chế vào thư viện nguồn chương trình; Việc cập nhật thư viện nguồn chương trình mục liên quan, việc cấp nguồn chương trình cho người lập trình nên thực sau nhận cho phép thích hợp; Danh sách chương trình phải lưu giữ mơi trường an tồn; 12.3 Bảo mật q trình phát triển hỗ trợ Mục tiêu: Duy trì tính bảo mật thông tin phần mềm hệ thống ứng dụng Môi trường dự án hỗ trợ cần kiểm soát chặt chẽ Các nhà quản lý chịu trách nhiệm hệ thống ứng dụng phải chịu trách nhiệm tính bảo mật dự án mơi trường hỗ trợ Họ phải đảm bảo tất thay đổi hệ thống đề xuất xem xét để đảm bảo chúng khơng ảnh hưởng đến tính bảo mật hệ thống môi trường hoạt động 12.3.1 Thay đổi quy trình kiểm sốt Việc thực thay đổi cần kiểm soát việc sử dụng thủ tục kiểm sốt thay đổi thức 66 Các thủ tục kiểm sốt thay đổi thức cần lập thành văn thực thi nhằm giảm thiểu hỏng hóc hệ thống thơng tin Việc giới thiệu hệ thống thay đổi lớn hệ thống có phải tn theo quy trình thức tài liệu, đặc điểm kỹ thuật, thử nghiệm, kiểm soát chất lượng thực có quản lý Q trình nên bao gồm đánh giá rủi ro, phân tích tác động thay đổi đặc tả biện pháp kiểm sốt an ninh cần thiết Q trình phải đảm bảo thủ tục kiểm soát an ninh không bị xâm phạm, lập trình viên hỗ trợ cấp quyền truy cập vào phần hệ thống cần thiết cho công việc họ phải đạt thỏa thuận thức chấp thuận cho thay đổi Bất có thể, thủ tục kiểm soát thay đổi áp dụng vận hành cần tích hợp Các thủ tục thay đổi nên bao gồm: Duy trì hồ sơ mức ủy quyền thỏa thuận; Đảm bảo thay đổi gửi người dùng ủy quyền; Xem xét kiểm sốt thủ tục tồn vẹn để đảm bảo chúng không bị ảnh hưởng thay đổi; Xác định tất phần mềm, thông tin, thực thể sở liệu phần cứng cần sửa đổi; Có chấp thuận thức đề xuất chi tiết trước bắt đầu công việc; Đảm bảo người dùng ủy quyền chấp nhận thay đổi trước thực hiện; Đảm bảo tài liệu hệ thống cập nhật hoàn thành thay đổi tài liệu cũ lưu trữ xử lý; Duy trì kiểm sốt phiên cho tất cập nhật phần mềm; Duy trì dấu vết kiểm tra tất yêu cầu thay đổi; Đảm bảo tài liệu vận hành thủ tục người sử dụng thay đổi cần thiết để phù hợp; 67 Đảm bảo việc thực thay đổi diễn vào thời điểm không làm xáo trộn trình kinh doanh liên quan 12.3.2 Hạn chế thay đổi gói phần mềm Khơng khuyến khích sửa đổi gói phần mềm, giới hạn thay đổi cần thiết tất thay đổi phải kiểm soát chặt chẽ Trong chừng mực thực được, nên sử dụng gói phần mềm nhà cung cấp cung cấp mà khơng cần sửa đổi Khi gói phần mềm cần sửa đổi, điểm sau cần xem xét: Rủi ro quy trình kiểm sốt tính tồn vẹn tích hợp sẵn bị xâm phạm; Liệu có cần đồng ý nhà cung cấp hay không; Khả nhận thay đổi cần thiết từ nhà cung cấp cập nhật chương trình tiêu chuẩn; Tác động tổ chức chịu trách nhiệm việc bảo trì phần mềm tương lai kết thay đổi 12.3.3 Rị rỉ thơng tin Cần ngăn chặn hội rị rỉ thơng tin Những điều sau cần xem xét để hạn chế rủi ro rị rỉ thơng tin, ví dụ: thơng qua việc sử dụng khai thác kênh bí mật: Quét phương tiện thông tin liên lạc ngồi để tìm thơng tin ẩn; Che dấu điều chỉnh hành vi hệ thống thông tin liên lạc để giảm khả bên thứ ba suy diễn thơng tin từ hành vi đó; Sử dụng hệ thống phần mềm coi có tính tồn vẹn cao, ví dụ: sử dụng sản phẩm đánh giá; Giám sát thường xuyên hoạt động nhân hệ thống, phép theo luật quy định hành; Giám sát việc sử dụng tài nguyên hệ thống máy tính 12.3.4 Phát triển phần mềm thuê Việc phát triển phần mềm thuê cần giám sát theo dõi tổ chức 68 Khi phát triển phần mềm thuê ngoài, cần xem xét điểm sau: Các thỏa thuận cấp phép, quyền sở hữu mã quyền sở hữu trí tuệ; Chứng nhận chất lượng độ xác công việc thực hiện; Các thỏa thuận ký quỹ trường hợp bên thứ ba không thực được; Quyền tiếp cận để đánh giá chất lượng độ xác cơng việc thực hiện; Các yêu cầu theo hợp đồng chất lượng chức bảo mật mã; Kiểm tra trước cài đặt để phát mã độc mã trojan 13 Quản lý cố an toàn thông tin 13.1 Báo cáo kiện điểm yếu bảo mật thông tin Mục tiêu: Đảm bảo kiện an tồn thơng tin điểm yếu liên quan đến hệ thống thông tin truyền đạt theo cách cho phép thực hành động khắc phục kịp thời Các thủ tục báo cáo kiện báo cáo kiện thức cần áp dụng Tất nhân viên, nhà thầu người dùng bên thứ ba phải biết thủ tục báo cáo loại kiện điểm yếu khác ảnh hưởng đến tính bảo mật tài sản tổ chức Họ phải yêu cầu báo cáo kiện điểm yếu an tồn thơng tin nhanh tốt cho đầu mối liên hệ định 13.1.1 Báo cáo kiện an tồn thơng tin Các kiện an tồn thơng tin phải báo cáo thông qua kênh quản lý thích hợp nhanh tốt Cần thiết lập quy trình báo cáo kiện an tồn thơng tin thức, với quy trình ứng phó cố quy trình báo cáo, đưa hành động cần thực nhận báo cáo kiện an tồn thơng tin Một đầu mối liên hệ cần thiết lập để báo cáo kiện an tồn thơng tin Cần đảm bảo đầu mối liên hệ biết đến toàn tổ chức, ln sẵn sàng cung cấp phản ứng đầy đủ kịp thời Tất nhân viên, nhà thầu người dùng bên thứ ba phải nhận thức trách nhiệm họ việc báo cáo kiện bảo mật thông tin nhanh 69 tốt Họ nên biết quy trình báo cáo kiện an tồn thơng tin đầu mối liên hệ Các thủ tục báo cáo nên bao gồm: Các quy trình phản hồi phù hợp để đảm bảo kiện an tồn thơng tin báo cáo thơng báo kết sau vấn đề xử lý kết thúc; Các biểu mẫu báo cáo kiện an tồn thơng tin để hỗ trợ hành động báo cáo giúp người báo cáo ghi nhớ tất hành động cần thiết trường hợp xảy kiện an tồn thơng tin; Hành vi xác thực trường hợp xảy kiện bảo mật thông tin, tức o Ghi nhận tất chi tiết quan trọng (ví dụ: loại khơng tn thủ vi phạm, cố xảy ra, thông báo hình, hành vi lạ) lập tức; o Khơng tự thực hành động mà phải báo cáo cho đầu mối liên hệ; Tham chiếu đến quy trình kỷ luật thức thiết lập để xử lý nhân viên, nhà thầu người dùng bên thứ ba vi phạm bảo mật 13.1.2 Báo cáo điểm yếu bảo mật Tất nhân viên, nhà thầu người dùng bên thứ ba hệ thống thông tin dịch vụ phải yêu cầu lưu ý báo cáo điểm yếu bảo mật quan sát nghi ngờ hệ thống dịch vụ Tất nhân viên, nhà thầu người dùng bên thứ ba nên báo cáo vấn đề cho cấp quản lý họ trực tiếp cho nhà cung cấp dịch vụ họ nhanh tốt để ngăn ngừa cố bảo mật thông tin Cơ chế báo cáo phải dễ dàng, dễ tiếp cận khả dụng Họ phải thông báo họ không nên, trường hợp, cố gắng chứng minh điểm yếu đáng ngờ 13.2 Quản lý cố cải thiện an toàn thông tin Mục tiêu: Để đảm bảo phương pháp tiếp cận quán hiệu áp dụng cho việc quản lý cố an tồn thơng tin 70 Cần có trách nhiệm thủ tục để xử lý kiện điểm yếu an toàn thông tin cách hiệu chúng báo cáo Một trình cải tiến liên tục cần áp dụng để ứng phó, giám sát, đánh giá quản lý tổng thể cố an toàn thông tin Khi cần phải thu thập chứng để đảm bảo tuân thủ yêu cầu pháp luật 13.2.1 Trách nhiệm thủ tục Các trách nhiệm thủ tục quản lý cần thiết lập để đảm bảo phản ứng nhanh chóng, hiệu có trật tự cố an tồn thơng tin Ngoài việc báo cáo kiện điểm yếu an tồn thơng tin, việc giám sát hệ thống, cảnh báo lỗ hổng bảo mật nên sử dụng để phát cố an tồn thơng tin Cần xem xét hướng dẫn sau quy trình quản lý cố an tồn thơng tin: Các thủ tục cần thiết lập để xử lý loại cố an tồn thơng tin khác nhau, bao gồm: o Lỗi hệ thống thông tin dịch vụ; o Mã độc; o Từ chối dịch vụ; o Lỗi liệu kinh doanh không đầy đủ khơng xác; o Vi phạm tính bảo mật tính tồn vẹn; o Sử dụng sai hệ thống thơng tin; Ngồi kế hoạch dự phịng thơng thường, thủ tục cần bao gồm: o Phân tích xác định nguyên nhân cố; o Ngăn chặn; o Lập kế hoạch thực hành động khắc phục để ngăn ngừa tái diễn, cần; o Giao tiếp với người bị ảnh hưởng liên quan đến việc khắc phục cố; 71 o Báo cáo hành động cho quan có thẩm quyền thích hợp; Các dấu vết đánh giá chứng tương tự cần thu thập bảo đảm, thích hợp, cho: o phân tích vấn đề nội bộ; o sử dụng làm chứng pháp y liên quan đến khả vi phạm hợp đồng yêu cầu quy định trường hợp tố tụng dân hình sự, ví dụ: theo luật bảo vệ liệu lạm dụng máy tính; o thương lượng việc bồi thường từ nhà cung cấp phần mềm dịch vụ; Hành động để khôi phục vi phạm bảo mật sửa lỗi hệ thống phải kiểm sốt cẩn thận thức; thủ tục phải đảm bảo rằng: o người ủy quyền xác định rõ ràng phép truy cập vào hệ thống liệu trực tiếp (xem thêm 6.2 truy cập bên ngoài); o tất hành động khẩn cấp thực ghi lại chi tiết; o hành động khẩn cấp báo cáo cho ban giám đốc xem xét cách có trật tự; o tính toàn vẹn hệ thống kinh doanh kiểm soát xác nhận với độ trễ tối thiểu 13.2.2 Rút kinh nghiệm từ cố an tồn thơng tin Cần có chế phép loại, khối lượng chi phí cố an tồn thơng tin định lượng giám sát Thông tin thu từ việc đánh giá cố an tồn thơng tin nên sử dụng để xác định cố lặp lại có tác động cao 14 Tuân thủ Mục tiêu: Đảm bảo hệ thống tuân thủ sách tiêu chuẩn bảo mật tổ chức Cần thường xuyên xem xét lại tính bảo mật hệ thống thơng tin 72 Các đánh phải thực dựa sách bảo mật thích hợp tảng kỹ thuật hệ thống thông tin phải đánh giá để tuân thủ tiêu chuẩn triển khai bảo mật hành biện pháp kiểm soát an ninh lập thành văn 14.1 Tuân thủ sách tiêu chuẩn bảo mật Các nhà quản lý cần đảm bảo tất thủ tục bảo mật phạm vi trách nhiệm họ thực cách xác để đạt tuân thủ sách tiêu chuẩn bảo mật Các nhà quản lý nên thường xuyên xem xét việc tuân thủ xử lý thông tin phạm vi trách nhiệm họ với sách, tiêu chuẩn bảo mật thích hợp yêu cầu bảo mật khác Nếu phát thấy không tuân thủ kết việc xem xét, nhà quản lý nên: Xác định nguyên nhân việc không tuân thủ; Đánh giá cần thiết hành động để đảm bảo việc không tuân thủ không tái diễn; Xác định thực hành động khắc phục thích hợp; Xem xét hành động khắc phục thực Kết việc xem xét hành động khắc phục người quản lý thực phải ghi lại hồ sơ phải trì Các nhà quản lý phải báo cáo kết cho người thực đánh giá độc lập, đánh giá độc lập diễn lĩnh vực mà họ phụ trách 14.2 Kiểm tra tuân thủ kỹ thuật Hệ thống thông tin cần kiểm tra thường xuyên để tuân thủ tiêu chuẩn triển khai bảo mật Việc kiểm tra tuân thủ kỹ thuật phải thực theo cách thủ công (được hỗ trợ cơng cụ phần mềm thích hợp, cần thiết) kỹ sư hệ thống có kinh nghiệm / với hỗ trợ công cụ tự động, tạo báo cáo kỹ thuật để chuyên gia kỹ thuật giải thích 73 Nếu sử dụng kiểm tra thâm nhập đánh giá lỗ hổng, cần thận trọng hoạt động dẫn đến xâm phạm tính bảo mật hệ thống Các thử nghiệm phải lập kế hoạch, lập thành văn lặp lại Mọi kiểm tra tuân thủ kỹ thuật nên thực người có thẩm quyền, ủy quyền giám sát người KẾT LUẬN Đất nước ngày phát triển, Internet theo phát triển theo, cịn rủi ro liên quan đến an tồn thông tin, đáng ý nhiều đơn vị cố liên quan đến an tồn thơng tin nằm trọng hệ thống mạng Trong tiểu luận này, em vận dụng kiến thức, tìm hiểu mạng an tồn thơng tin thu kết sau: Tổng quan an tồn thơng tin, sách, quy định đảm bảo an tồn thơng tin Việt Nam Bộ luật thực thi quản lý an tồn thơng tin ISO/IEC 27002:2005 74 Trong trình làm tiểu luận, kiến thức hạn chế, vốn kiến thức chưa sâu nên khơng tránh khỏi thiếu sót Rất mong góp ý thầy bạn để tiểu luận hoàn thiện 75 ... mơn thi? ??u trang bị kỹ thuật tối thi? ??u… Xuất phát từ thực trạng đó, em chọn hướng ? ?nghiên cứu, tìm hiểu sách, quy định đảm bảo an tồn thơng tin Việt nam Phân tích nội dung Bộ luật thực thi quản lý. .. chức cấu trúc sau: Chương I: Tổng quan an tồn thơng tin, sách, quy định đảm bảo an tồn thơng tin Việt Nam Chương II: Bộ luật thực thi quản lý an tồn thơng tin ISO/IEC 27002:2005 Mặc dù có nhiều... khỏi thi? ??u sót Rất mong góp ý thầy bạn để hồn thi? ??n Em xin chân thành cảm ơn ! CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TỒN THƠNG TIN TẠI VIỆT NAM An tồn thơng tin