Tìm hiểu quản lý về an toàn thông tin is0 27001

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	115
Dung lượng	384,82 KB

Nội dung

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU QUẢN LÝ VỀ AN TOÀN THÔNG TIN IS0 27001 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO C[.]

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài TÌM HIỂU QUẢN LÝ VỀ AN TỒN THÔNG TIN IS0 27001 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài TÌM HIỂU QUẢN LÝ VỀ AN TỒN THƠNG TIN IS0 27001 Giảng viên hướng dẫn: ThS Vũ Thị Vân CHƯƠNG TRÌNH BÀY TỔNG QUAN VỀ AN TỒN THƠNG TIN .5 1.1 CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TỒN THƠNG TIN 1.2 CÁC NGUY CƠ RỦI RO MẤT AN TOÀN 1.3 NHU CẦU CẤP THIẾT CẦN PHẢI XÂY DỰNG MỘT HỆ THỐNG AN TOÀN THÔNG TIN ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ .9 Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 10 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 10 2.1.1 Giới thiệu họ tiêu chuẩn ISMS .10 2.1.2 Khái niệm ISO 27001 15 2.1.3 Lịch sử phát triển ISO 27001 16 2.1.4 Tiếp cận trình 17 2.1.5 Thiết lập, kiểm sốt, trì cải tiến ISMS 18 2.1.6 Phạm vi áp dụng .24 2.2 HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 24 2.2.1 Thuật ngữ định nghĩa 24 2.2.2 Bối cảnh tổ chức 31 2.2.3 Lãnh đạo 32 2.2.4 Hoạch định .34 2.2.5 Hỗ trợ .40 2.2.6 Điều hành .44 2.2.7 Đánh giá kết 45 2.2.8 Cải tiến 48 2.2.9 Trình bày phụ lục A tiêu chuẩn 50 Chương XÂY DỰNG HỆ THỐNG QUẢN LÝ HỆ THỐNG AN TỒN THƠNG TIN CHO DOANH NGHIỆP 89 3.1 ĐẶT VẤN ĐỀ 89 3.2 XÂY DỰNG CHƯƠNG TRÌNH 89 3.2.1 Phương pháp xác định rủi ro 89 3.2.2 Quản lý tài sản .93 3.2.3 Xác định nguy điểm yếu hệ thống 97 3.2.4 Lựa chọn mục tiêu kiểm soát 107 CHƯƠNG 4: ĐÁNH GIÁ VÀ CẤP CHỨNG NHẬN ISO 27001 109 4.1 Các bước đánh giá chứng nhận ISO 27001 109 4.2 Cấp chứng nhận ISO 27001 110 DANH MỤC TÀI LIỆU 111 CHƯƠNG TRÌNH BÀY TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN Theo tài liệu ISO 17799 định nghĩa an tồn thơng tin (Information Security) sau: “Thơng tin tài sản quí loại tài sản khác tổ chức doanh nghiệp cần phải bảo vệ trước vô số mối đe doạ từ bên bên nội để bảo đảm cho hệ thống hoạt động liên tục, giảm thiểu rủi ro đạt hiệu suất làm việc cao hiệu đầu tư” An tồn thơng tin bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Việc bảo vệ thông tin, tài sản người hệ thống thông tin nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy An tồn thơng tin bao hàm nội dung bảo vệ bảo mật thơng tin, an tồn liệu, an tồn máy tính an tồn mạng An tồn thơng tin mang nhiều đặc tính, đặc tính an tồn thơng tin bao gồm: Tính bảo mật (Confidentiality), tính tồn vẹn (Integrity) tính sẵn sàng (Availability) Ba đặc tính gọi tam giác bảo mật CIA Các đặc tính với tổ chức, không lệ thuộc vào việc chúng chia sẻ thông tin Hình 1.1: Đặc tính an tồn thơng tin Tính bảo mật: Là tâm điểm giải pháp an ninh cho sản phẩm/hệ thống CNTT Giải pháp an ninh tập hợp quy tắc xác định quyền truy cập đến thông tin, với số lượng người sử dụng thông tin định số lượng thông t in định Trong trường hợp kiểm sốt truy cập cục bộ, nhóm người truy cập kiểm soát xem họ truy cập liệu đảm bảo kiểm sốt truy cập có hiệu lực, loại bỏ truy cập trái phép vào khu vực độc quyền cá nhân, tổ chức Tính bảo mật cần thiết (nhưng chưa đủ) để trì riêng tư người có thơng tin hệ thống lưu giữ Tính tồn vẹn: Khơng bị sửa đổi đặc tính phức hợp dễ bị hiểu lầm thơng tin Đặc tính tồn vẹn hiểu chất lượng thông tin xác định vào độ xác thực phản ánh thực tế Số liệu gần với thực tế chất lượng thơng tin chuẩn nhiêu Để đảm bảo tính tồn vẹn cần loạt biện pháp đồng nhằm hỗ trợ đảm bảo kịp thời đầy đủ, bảo mật hợp lý cho thơng tin Tính sẵn sàng: Đảm bảo độ sẵn sàng thông tin, tức thông tin truy xuất người phép vào họ muốn Ví dụ, server bị ngừng hoạt động hay ngừng cung cấp dịch vụ vịng phút năm độ sẵn sàng 99.9999% Đây đặc tính quan trọng, khía cạnh sống cịn an ninh thông tin, đảm bảo cho thông tin đến địa (người phép sử dụng) có nhu cầu u cầu Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy thông tin, đảm nhiệm thước đo, phạm vi tới hạn hệ thông tin Các tổ chức, doanh nghiệp muốn đảm bảo an tồn thơng tin ln cần phải trì đuợc cân ba yếu tố trên, ngồi thuộc tính khác tính xác thực, trách nhiệm giải trình, tính thừa nhận tính tin cậy liên quan 1.2 CÁC NGUY CƠ RỦI RO MẤT AN TOÀN Với phát triển giới nói chung Việt Nam nói riêng, xã hội phát triển kéo thêm nhiều nguy an tồn thơng tin Đặc biệt vấn đề đe dọa thông tin đường truyền internet, qua máy tính, điện thoại thông minh, thiết bị thông minh khác để lại nguy tiềm ẩn Tình trạng đáng lo ngại trước hành vi thâm nhập vào hệ thống, phá hoại hệ thống mã hóa, phần mềm xử lý thông tin tự động gây thiệt hại vô lớn Sau số nguy rủi ro an tồn thơng tin: Nguy an tồn thơng tin khía cạnh vật lý: Nguy an tồn thơng tin khía cạnh vật lý nguy điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng Nguy bị mất, hỏng, sửa đổi nội dung thơng tin: Người dùng vơ tình để lộ mật khơng thao tác quy trình tạo hội cho kẻ xấu lợi dụng để lấy cắp làm hỏng thông tin Nguy bị công phần mềm độc hại: Các phần mềm độc hại công nhiều phương pháp khác để xâm nhập vào hệ thống với mục đích khác như: Virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware, Trojan, Adware) Nguy xâm nhập từ lỗ hổng bảo mật: Lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chương trình cài đặt máy tính Nguy xâm nhập bị công cách phá mật khẩu: Những kẻ cơng có nhiều cách khác phức tạp để tìm mật truy nhập Những kẻ cơng có trình độ biết ln có khoản mục người dùng quản trị Nguy an tồn thơng tin sử dụng e-mail: Tấn cơng có chủ đích thư điện tử công email giả mạo giống email gửi người quen, gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Cách thức công thường nhằm vào cá nhân hay tổ chức cụ thể Thư điện tử đính kèm tập tin chứa virus gửi từ kẻ mạo danh đồng nghiệp đối tác Người dùng bị cơng thư điện tử bị đánh cắp mật bị lây nhiễm virus Nguy an tồn thơng tin q trình truyền tin: Trong q trình lưu thơng giao dịch thông tin mạng internet nguy an tồn thơng tin q trình truyền tin cao kẻ xấu chặn đường truyền thay đổi phá hỏng nội dung thông tin gửi tiếp tục đến người nhận Nguy an tồn thơng tin nhiều nguyên nhân, đối tượng công đa dạng Thiệt hại từ vụ công mạng lớn, đặc biệt thông tin thuộc kinh tế, an ninh, quốc phòng,và số nuyên nhân như: Do sở hạ tầng thông tin không đủ mạnh, lỗ hổng bảo mật phần mềm Do nhận thức kiến thức an tồn thơng tin cịn yếu hạn chế Thiếu sách, thủ tục an ninh, an tồn thơng tin 1.3 NHU CẦU CẤP THIẾT CẦN PHẢI XÂY DỰNG MỘT HỆ THỐNG AN TỒN THƠNG TIN ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Từ nguy rủi ro an tồn thơng tin cho ta thấy, nhu cầu cần thiết phải thiết lập sách an ninh thơng tin dựa tảng hệ thống quản lý an tồn thơng tin (ISMS – Information Security Management System) chuẩn hóa vơ cần thiết ISO 27001 tiêu chuẩn quốc tế đáp ứng nhu cầu Nó cung cấp khuôn khổ, quy tắc cho việc khởi đầu, thiết lập, quản lý trì an ninh thông tin tổ chức để thiết lập tảng vững cho sách an ... NGHỆ THÔNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài TÌM HIỂU QUẢN LÝ VỀ AN TỒN THÔNG TIN IS0 27001 Giảng viên hướng dẫn: ThS Vũ Thị Vân CHƯƠNG TRÌNH BÀY TỔNG QUAN VỀ AN TỒN THƠNG TIN. .. khiển sử dụng để thực quản lý an tồn thơng tin theo quy định tiêu chuẩn ISO/IEC 27001 o ISO/IEC 27005 – Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin: Tiêu chuẩn cung... kinh doanh liên quan tới việc hư hỏng, mát thông tin, liệu quan trọng ISO/IEC 27001 tiêu chuẩn tiêu chuẩn ISO/IEC 27000 quản lý an tồn thơng tin Bộ tiêu chuẩn xây dựng dựa tiêu chuẩn quản lý an

Ngày đăng: 26/02/2023, 12:06