a định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiếtlập cơ chế cho việc chia sẻ thông tin tham chiếu phần giới thiệu;b đưa ra mục tiêu của sự quản lý, hỗ t
Trang 1Tiêu chuẩn ISO 17799
ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn cầu Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triển chung của các chuẩn quốc tế thông qua các
ủy ban được thiết lập bởi các tổ chức tương ứng nhằm giải quyết các lĩnh vực cụ thể về kỹ thuật ISO và Iec phối hợp trong các lĩnh vực liên quan đến lợi ích của nhau Các tổ chức quốc tế khác trong mối quan hệ với ISO, IEC, thuộc chính phủ cũng như phi chính phủ đều tham gia vào công việc chung của ISO và IEC
Các chuẩn quốc tế được dự thảo nhằm phù hợp với các quy tắc đã đưa ra trong ISO/IEC
Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/IEC JTC 1 Bản dự thảo chuẩn quốc tế ISO/IEC đã được chấp nhận bởi hội đồng kỹ thuật chung được đưa đến các quốc gia để bầu cử Sự xuất bản như một chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là 75% các quốc gia
ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế
Chuẩn quốc tế ISO/IEC 17799 được chuẩn bị bởi Viện tiêu chuẩn Anh (cụ thể là
BS 7799) và được chấp nhận dưới một "thủ tục lối mòn" (fast-track procedure) bởi Hội đồng kỹ thuật chung ISO/IEC JTC 1, Công nghệ thông tin, song song với sự phê chuẩn từ các quốc gia trong các tổ chức ISO và IEC
Giới thiệu
An toàn thông tin là gì ?
Thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của một doanh nghiệp, có giá trị cho một tổ chức và do đó, cần có nhu cầu để bảo vệ thích hợp An toàn thông tin là bảo vệ thông tin trước nguy cơ mất an toàn nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của doanh nghiệp, giảm thiểu sự phá hoại doanh nghiệp và gia tăng tới mức tối đa các cơ hội kinh doanh và đầu tư phát triển
Thông tin có thể tồn tại dưới nhiều dạng Thông tin có thể được in hoặc được viết trên giấy, được lưu trữ dưới dạng điện tử, được truyền đi qua bưu điện hoặc dùng thư điện tử, được trình diễn trên các bộ phim, hoặc được nói trên các cuộc đàm thoại Nhưng cho dù thông tin tồn tại dưới dạng nào đi chăng nữa, thông tin được
Trang 2đưa ra với 2 mục đích chính là chia sẻ và lưu trữ, nó luôn luôn cần sự bảo vệ thích hợp.
An toàn thông tin được mô tả ở đây là sự duy trì:
a) tính mật (confidentiality): đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép
b) tính toàn vẹn (integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử lý;
c) sẵn sàng (availability): đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài sản liên quan khi có yêu cầu
An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm Các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được đầy đủ các đối tượng của tổ chức cần được bảo vệ
Tại sao an toàn thông tin là nhu cầu thiết yếu
Thông tin và các quy trình hỗ trợ, các hệ thống máy móc, hệ thống mạng là các tài sản quan trọng đối với một doanh nghiệp Tính mật, tính toàn vẹn và tính sẵn sàng của thông tin là vấn đề sống còn tạo ra tính cạnh tranh, vòng quay tài chính (cash-flow), là khả năng tạo ra lợi nhuận, vấn đề tuân thủ luật pháp và các ý tưởng trong thương mại
Thêm vào đó, các tổ chức cùng với các hệ thống thông tin, hệ thống mạng của doanh nghiệp phải đối mặt với hàng loạt các nguy cơ về an toàn thông tin từ các nguồn tài nguyên, bao gồm các vấn đề về gian lận có sự trợ giúp của máy tính, các hoạt động gián điệp, các hành động phá hoại, hỏa hoạn, lũ lụt… Nguồn gốc của các sự phá hoại như virus máy tính, hacking, các tấn công từ chối dịch vụ đã trở nên phổ biến, nhiều tham vọng và ngày càng trở nên phức tạp
Ràng buộc vào các hệ thống thông tin và các dịch vụ nghĩa là các tổ chức càng có nhiều nguy cơ về an toàn thông tin Các kết nối mạng riêng cũng như mạng công cộng và vấn đề chia sẻ tài nguyên thông tin càng làm cho vấn đề kiểm soát truy cậptrở nên khó khăn hơn Xu hướng sử dụng máy tính phân tán làm giảm hiệu quả củaviệc quản lý tập trung, đặc biệt là vấn đề kiểm soát
Rất nhiều hệ thống thông tin không được thiết kế một cách an toàn Vấn đề an toàn
có thể đạt được thông qua kỹ thuật có nghĩa là được giới hạn và được hỗ trợ bởi các thủ tục và sự quản lý tương ứng Cần đặc biệt chú ý và cần có kế hoạch cụ thể
Trang 3khi đưa ra các quy tắc quản lý Trong các yêu cầu quản lý an toàn thông tin, yêu cầu tối thiểu là sự tham gia của các nhân viên trong tổ chức Hơn thế nữa, là cần sựtham gia của các nhà cung cấp, khách hàng và các cổ đông Các ý kiến chuyên gia ngoài tổ chức cũng là một trong các nhu cầu mang tính cần thiết.
Các sự kiểm soát an toàn thông tin được coi là rẻ hơn và hiệu quả hơn đáng kể nếu kết hợp được chặt chẽ các giai đoạn thiết kế và đặc tả yêu cầu
Làm thế nào để thiết lập các yêu cầu về an toàn thông tin
Đây là vấn đề then chốt đối với một tổ chức nhằm đưa ra các yêu cầu về an toàn thông tin Có 3 xuất phát điểm:
Thứ nhất là xuất phát từ việc định giá các rủi ro trong tổ chức Thông qua việc địnhgiá các rủi ro này các mối đe dọa đối với tài sản của công ty sẽ dần được hình thành, có thể đánh giá được các nguy cơ có thể xảy ra và ước tính các ảnh hưởng tiềm ẩn
Thứ hai là xuất phát từ các yêu cầu thuộc về luật pháp, do luật pháp ban hành và điều tiết cũng như các yêu cầu hợp đồng mà một tổ chức, các đối tác của họ, các nhà thầu (contractor) và các nhà cung cấp dịch vụ phải đáp ứng
Thứ ba là xuất phát từ các nguyên tắc cụ thể, các đối tượng và các yêu cầu phục vụcho quy trình xử lý thông tin mà một tổ chức đã phát triển nhằm hỗ trợ cho hoạt động của công ty
Đánh giá các rủi ro về an toàn (Assessing security risks)
Các yêu cầu về an toàn thông tin được xác định bằng phương pháp định giá các rủi
ro về an toàn Vấn đề chi phí trên các sự kiểm soát cần được cân nhắc kỹ lưỡng đốivới sự thiệt hại trong kinh doanh do sự mất đi tính an toàn Các kỹ thuật định giá rủi ro có thể được áp dụng trong tổ chức, hoặc chỉ một bộ phận của tổ chức, như các hệ thống thông tin cá nhân, các thành phần hệ thống xác định hoặc các dịch vụ,
… mang tính chất khả thi, thực tế và hữu ích
Đánh giá rủi ro là một vấn đề có tính chất hệ thống của:
a) sự thiệt hại trong kinh doanh do mất đi tính mặt an toàn, dẫn đến các hậu quả tiềm ẩn như làm mất đi tính mật, tính toàn vẹn hoặc tính sẵn sàng của thông tin và các tài sản khác;
Trang 4b) trên thực tế khả năng mất tính an toàn xảy ra trong các tình huống như xem nhẹ các nguy cơ đe dọa và các quy tắc triển khai hiện tại.
Kết quả của việc đánh giá sẽ hướng dẫn và xác định các hành động quản lý tương ứng và mức độ ưu tiên cho vấn đề quản lý các rủi ro an toàn thông tin, và cho việc triển khai các quy tắc đã lựa chọn để bảo vệ các rủi ro này Quá trình đánh giá các rủi ro và lựa chọn các quy tắc cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân
Đó là vấn đề quan trọng để tiến hành một cách định kỳ nhằm review lại các rủi ro
về an toàn cũng như các quy tắc đã triển khai để:
a) đưa ra các thay đổi về các yêu cầu cũng như mức độ ưu tiên trong kinh doanh.b) rà soát các nguy cơ và các mối đe dọa mới
c) xác nhận lại các quy tắc còn hiệu quả và thích hợp
Việc xem xét nên được thực hiện ở các mức độ khác nhau về chiều sâu phụ thuộc vào các kết quả đánh giá lần trước và việc thay đổi mức độ rủi ro mà nhà quản lý sẵn sàng cho việc chấp nhận Đánh giá rủi ro thường được tiến hành đầu tiên ở mức độ cao, như quyền ưu tiên về các tài nguyên trong lĩnh vực có nguy cơ rủi ro cao, sau đó đến các mức độ cụ thể hơn, và cuối cùng là đến các rủi ro cụ thể
Chọn lựa quy tắc (Selecting controls)
Khi đã xác định được các yêu cầu về an toàn, cần bắt đầu bằng việc chọn lựa và triển khai các quy tắc nhằm giảm thiểu rủi ro tới mức có thể chấp nhận được Có thể chọn lựa các quy tắc từ tài liệu này hoặc từ các tập quy tắc khác, hoặc có thể thiết kế các quy tắc mới sao cho phù hợp với yêu cầu đặt ra Có nhiều cách để quản
lý rủi ro và tài liệu này cung cấp cách tiếp cận chung qua các ví dụ Tuy nhiên, điều cần thiết là phải nhận biết một số quy tắc không thể áp dụng cho mọi môi trường và hệ thống thông tin, và cũng có thể không thể áp dụng cho mọi tổ chức
VD 8.1.4 mô tả cần phân bổ nhiệm vụ như thế nào nhằm ngăn chặn vấn đề gian lận
và các lỗi Có thể nó không phù hợp với các tổ chức nhỏ trong việc phân bổ mọi nhiệm vụ còn các cách khác lại có thể đạt được mục tiêu của quy tắc này cho tổ chức
Một ví dụ khác, 9.7 và 12.1 mô tả làm thế nào để hệ thống có thể được giám sát và
tự bảo vệ Các quy tắc đã mô tả như event log có thể mâu thuẫn về vấn đề luật pháp như bảo vệ thông tin cá nhân cho khách hàng hoặc trong công sở
Trang 5Nếu xuất hiện các lỗ hổng về an toàn, sự chọn lựa các quy tắc cần dựa trên chi phí triển khai nhằm giảm thiểu các rủi ro và nguy cơ mất mát thông tin Cũng cần đưa
ra các nhân tố phi tài chính như sự làm ảnh hưởng đến uy tín, thương hiệu của tổ chức
Các quy tắc trong tài liệu này có thể coi là các nguyên lý hướng dẫn cho vấn đề quản lý an toàn thông tin và có thể áp dụng cho các tổ chức, và sẽ được thảo luận
cụ thể hơn trong phần "Xuất phát điểm của an toàn thông tin" dưới đây
Xuất phát điểm của an toàn thông tin
Information security starting point
Nhiều quy tắc có thể xem là nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin Các quy tắc này hoặc là dựa trên các yêu cầu về luật pháp hoặc là được xem là nguyên tắc chung nhất cho vấn đề an toàn thông tin
Xuất phát từ quan điểm luật pháp, các quy tắc được coi là thiết yếu đối với một tổ chức bao gồm:
a) bảo vệ dữ liệu và tính riêng tư của các thông tin cá nhân (xem 12.1.4)
b) an toàn các hồ sơ của tổ chức (12.1.3)
c) quyền sở hữu tài sản trí tuệ (12.1.2)
Các quy tắc được xem là các nguyên lý chung nhất cho vấn đề an toàn thông tin bao gồm:
a) tài liệu về chính sách an toàn thông tin (3.1)
b) đưa ra các trách nhiệm về vấn đề an toàn thông tin (4.1.3);
c) đào tạo và giáo dục về an toàn thông tin (6.2.1)
d) báo cáo các vấn đề về an toàn thông tin (6.3.1)
e) quản lý tính liên tục trong kinh doanh (11.1)
Các quy tắc này được áp dụng cho hầu hết các tổ chức và trong hầu hết các môi trường Lưu ý rằng mặc dù các quy tắc trong tài liệu này quan trọng, nhưng tính phù hợp của từng quy tắc cần được xác định dưới các rủi ro mà tổ chức phải đối mặt Vì vậy, mặc dù cách tiếp cận ở trên được coi là một xuất phát điểm tốt, nhưng
nó không thể thay thế sự lựa chọn các quy tắc dựa trên việc đánh giá rủi ro
Các nhân tố quyết định sự thành công
Trang 6Critical success factors
Kinh nghiệm cho thấy rằng, các nhân tố dưới đây thường quyết định sự thành côngtrong việc triển khai vấn đề an toàn thông tin trong một tổ chức:
a) chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp;
b) cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức;c) các sự hỗ trợ tâm huyết từ các nhà quản lý;
d) sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro;
e) phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên;f) đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các nhà thầu;
g) có sự đào tạo và giáo dục thích hợp;
h) sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện và đưa ra các đề xuất nhằm cải thiện tốt hơn
Phát triển các nguyên tắc chỉ đạo
Developing your own guidelines
Nguyên lý này có thể được xem như xuất phát điểm cho sự phát triển các đường lối/nguyên tắc chỉ đạo cho tổ chức Không phải mọi nguyên tắc quản lý và chỉ đạo trong tập hợp các nguyên tắc này đều có thể áp dụng được Hơn nữa, các sự quản
lý không có trong tài liệu này cũng có thể hoàn toàn cần đến Khi đó, điều này rất hữu ích làm các tham chiếu, tạo ra thuận lợi trong việc kiểm tra của các soạn giả vàcác doanh nghiệp
CÔNG NGHỆ THÔNG TIN – NGUYÊN TẮC QUẢN LÝ AN TOÀN
THÔNG TIN
1 Mục tiêu
Chuẩn này đưa ra khuyến nghị về vấn đề quản lý an toàn thông tin cho những người giữ vai trò đề xướng, triển khai và bảo trì vấn đề an toàn cho tổ chức Mục tiêu là cung cấp nền tảng chung cho việc phát triển các chuẩn về an toàn thông tin
và nguyên tắc quản lý an toàn thông tin hiệu quả đồng thời cung cấp tính tin cậy cho tổ chức Các khuyến nghị xuất phát từ chuẩn này cần được chọn lọc và sử dụng sao cho phù hợp với quy định luật pháp
Trang 72 Các thuật ngữ và định nghĩa
Các thuật ngữ được đưa ra trong tài liệu này bao gồm:
2.1 An toàn thông tin (Information security)
Đảm bảo tính mật, tính toàn vẹn và tính sẵn sàng thông tin
- Tính mật (Confidentiality) - Đảm bảo thông tin chỉ có thể truy cập bởi những người dùng có quyền truy cập
- Tính toàn vẹn (Integrity) - Bảo vệ tính chính xác và đầy đủ của thông tin cùng vớicác biện pháp xử lý
- Tính sẵn sàng (Availability) - Đảm bảo những người dùng hợp pháp, khi có yêu cầu, hoàn toàn có thể truy cập thông tin và các tài sản có liên quan
2.2 Đánh giá rủi ro (Risk assessment)
Sự đánh giá các mối đe dọa, khả năng ảnh hưởng và các nguy cơ về an toàn thông tin, các khả năng xử lý thông tin cũng như khả năng xảy ra các sự cố về an toàn thông tin
2.3 Quản lý rủi ro (Risk management)
Các quá trình xác định, quản lý và giảm thiểu hoặc đánh giá các rủi ro an toàn có thể ảnh hưởng đến các hệ thống thông tin, đưa ra chi phí có thể chấp nhận được
3 Chính sách an toàn (Security policy)
3.1 Chính sách an toàn thông tin (Information security policy)
Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin thông qua việc đưa ra và duy trì các chính sách về
an toàn thông tin đối với một tổ chức
3.1.1 Tài liệu chính sách an toàn thông tin (Information security policy
document)
Tài liệu chính sách cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin.Tối thiểu là bao gồm:
Trang 8a) định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiếtlập cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu);
b) đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an toàn thông tin
c) bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu
có tính chất quan trọng cho một tổ chức, ví dụ như:
1) đúng theo luật pháp và các yêu cầu hợp đồng
2) các yêu cầu về kiến thức an toàn
3) ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác;
4) quản lý tính liên tục trong kinh doanh;
5) các hậu quả của sự vi phạm các chính sách an toàn thông tin
d) định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tinbao gồm các báo cáo về các vấn đề an toàn nói chung
e) tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng
Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan
3.1.2 Nhận xét và đánh giá (Review and evaluation)
Cần có người chịu trách nhiệm cho việc duy trì và đánh giá các chính sách theo quá trình đã nhận xét ở phần trên Quá trình đó cần đảm bảo rằng các nhận xét đưa
ra cần được thực hiện nhằm tạo ra các thay đổi có ảnh hưởng cơ bản đến sự đánh giá rủi ro ban đầu, chẳng hạn như các sự cố an toàn mang tính chất quan trọng, các nguy cơ mới hoặc các thay đổi về cơ sở hạ tầng kỹ thuật trong tổ chức
Quá trình đó cần được ghi lại theo một trình tự, các nhận xét có tính định kỳ như dưới đây:
a) tính hiệu quả của các chính sách, số lượng cũng như các tác động của các vấn đềbảo mật đã ghi lại, …
b) chi phí và ảnh hưởng của các quy tắc đến hiệu quả kinh doanh
c) hiệu quả của việc thay đổi kỹ thuật
4 Vấn đề an toàn trong tổ chức (Organizational security)
4.1 Cơ sở hạ tầng về an toàn thông tin (Information security infrastructure)
Trang 9Mục tiêu: Nhằm quản lý an toàn thông tin trong một tổ chức.
Cần thiết lập phạm vi quản lý nhằm khởi xướng và kiểm soát vấn đề triển khai an toàn thông tin trong một tổ chức
Cần thiết lập sự quản lý các diễn đàn với phương pháp quản lý phù hợp nhằm chứng tỏ chính sách an toàn thông tin, đưa ra các vai trò an toàn và phối hợp nhằm triển khai vấn đề an toàn cho tổ chức Nếu cần thiết, cũng nên có sự tư vấn của các chuyên gia an toàn thông tin nhằm tạo ra tính sẵn sàng trong tổ chức Việc liên lạc với các chuyên gia bên ngoài cần được đẩy mạnh nhằm bắt kịp với xu hướng công nghệ, theo dõi các chuẩn và các phương pháp đánh giá đồng thời cung cấp các điểm liên hệ khi phải đối mặt với các vấn đề về an toàn thông tin
Các vấn đề về an toàn thông tin cần được khuyến khích nhằm đưa dần vào kỷ luật, như phối hợp và cộng tác giữa các người quản lý, người dùng, người quản trị, các nhà thiết kế ứng dụng, kiểm toán và các nhân viên bảo mật, và các chuyên gia trong các lĩnh vực như bảo hiểm và quản lý rủi ro
4.1.1 Quản lý diễn đàn an toàn thông tin (Management information security forum)
An toàn thông tin là trách nhiệm của doanh nghiệp, là trách nhiệm của các nhà quản lý Do sự quản lý diễn đàn nhằm là định hướng rõ nhất và hỗ trợ cho việc giảiquyết các vấn đề về an toàn nên vấn đề này cũng cần chú ý Diễn đàn này cần đượcđẩy mạnh tính an toàn trong phạm vi tổ chức thông qua các trách nhiệm cũng như các tài nguyên liên quan Diễn đàn này có thể coi là một bộ phận của người quản
lý Ví dụ như, một diễn đàn đảm bảo các vấn đề sau:
a) Đánh giá và xác nhận các chính sách an toàn thông tin bao gồm cả các trách nhiệm
b) giám sát các thay đổi mang tính quan trọng qua truyền hình, báo chí về tài sản cũng như các mối đe dọa nói chung
c) đánh giá và giám sát các vấn đề an toàn thông tin;
d) tán thành các sáng kiến nhằm đề cao vấn đề an toàn thông tin
Người quản lý có trách nhiệm đối với mọi hành động liên quan đến vấn đề an toàn
4.1.2 Phối hợp về vấn đề an toàn thông tin (Information security co-ordination)
Trong một tổ chức quy mô lớn, vấn đề quản lý diễn đàn chồng chéo thể hiện từ bộ phận liên quan trong tổ chức là yếu tố cần thiết để kết hợp nhằm triển khai các quy
Trang 10tắc an toàn thông tin Tiêu biểu như một diễn đàn:
a) thống nhất vai trò và trách nhiệm cho vấn đề an toàn thông tin thông qua tổ chức;
b) thống nhất các phương pháp và quy trình cho vấn đề an toàn thông tin như đánh giá rủi ro, phân loại hệ thống an toàn;
c) thống nhất và hỗ trợ xuất phát điểm của vấn đề an toàn thông tin trong toàn tổ chức, như chương trình nhận thức về an toàn;
d) đảm bảo rằng vấn đề an toàn là một bộ phận của quy trình lập kế hoạch thông tin;
e) đánh giá mức độ đầy đủ và phối kết hợp của việc triển khai các quy tắc an toàn thông tin cho các hệ thống và dịch vụ mới;
f) đánh giá các vấn đề về an toàn thông tin;
g) đẩy mạnh tầm nhìn doanh nghiệp cho vấn đề an toàn thông tin trong toàn tổ chức
4.1.3 Phân bổ trách nhiệm an toàn thông tin (Allocation of information security responsibilities)
Cần được xác định rõ trách nhiệm cho đối với việc bảo vệ các tài sản cá nhân và thực hiện các quy trình an toàn
Chính sách an toàn thông tin (Phần 3) cần có hướng dẫn trên cơ sở phân bổ vai trò
và trách nhiệm an toàn trong tổ chức Phần này cần được bổ sung nếu cần thiết, cụ thể là cho từng địa điểm, từng hệ thống và từng dịch vụ Các trách nhiệm đối với các tài sản thông tin cũng như tài sản vật lý thuộc về cá nhân và các quy trình an toàn, như kế hoạch kinh doanh, cũng cần được xác định rõ
Đối với nhiều tổ chức, người quản lý an toàn thông tin sẽ đưa ra trách nhiệm cho
sự phát triển và triển khai an toàn đồng thời hỗ trợ việc xác định các quy tắc quản lý
Tuy nhiên, các trách nhiệm đối với tài nguyên và sự triển khai các quy tắc thường thuộc về các cá nhân quản lý Một nguyên tắc chung là giao cho người sử hữu tài sản thông tin đi kèm với trách nhiệm về an toàn cho tài sản đó hàng ngày
Người sở hữu tài sản thông tin có thể ủy nhiệm trách nhiệm về an toàn của họ cho
cá nhân người quản lý hoặc các nhà cung cấp dịch vụ Tuy nhiên, suy cho cùng, về mặt pháp lý, những người sở hữu này phải chịu trách nhiệm cho vấn đề an toàn củatài sản và có thể xác định bất kỳ trách nhiệm ủy quyền nào đã được hủy bỏ hay chưa
Về cơ bản, đối với mỗi lĩnh vực, mỗi nhà quản lý phải có trách nhiệm rất rõ ràng,
cụ thể là cần đưa ra như sau:
a) Các tài sản khác nhau cũng như các quy trình về an toàn liên quan đến từng hệ
Trang 11thống cá nhân cần được xác định và đưa ra một cách rõ ràng.
b) Trách nhiệm của nhà quản lý đối với mỗi loại tài sản, hoặc là mỗi quy trình đều được sự thỏa thuận và cụ thể hóa trách nhiệm bằng văn bản
c) Mức độ về quyền hạn cũng cần được xác định rõ và đưa ra văn bản
4.1.4 Quá trình cấp phép cho các tài sản tham gia vào quá trình xử lý thông tin (Authorization process for information processing facilities)
Cần thiết lập quá trình quản lý cấp phép cho các tài sản mới được tham gia vào quátrình xử lý thông tin
Các quy tắc sau đây cần được lưu ý
a) Các tài sản mới cần được quản lý tương ứng về mặt người sử dụng, cấp phép cho mục đích và cách sử dụng chúng Sự chấp nhận này thu được từ nhà quản lý chịu trách nhiệm bảo trì môi trường an toàn hệ thống thông tin cục bộ nhằm đảm bảo rằng mọi chính sách an toàn có liên quan cũng như các yêu cầu là phù hợp với nhau
b) Nếu cần, phải kiểm tra phần cứng và phần mềm nhằm đảm bảo rằng chúng tương thích với các thành phần hệ thống khác
c) Việc sử dụng các chức năng xử lý thông tin cá nhân trong kinh doanh cũng như bất kỳ các quy tắc cần thiết khác cần được cấp phép
d) Việc sử dụng các tài sản cá nhân trong quá trình xử lý thông tin nơi làm việc có thể là nguyên nhân gây ra các nguy cơ tiềm ẩn mới, chính vì vậy cũng cần được đánh giá và cấp phép
Các quy tắc này đặc biệt quan trọng trong môi trường mạng lưới
4.1.5 Lời khuyên của chuyên gia an toàn thông tin (Specialist information
security advice)
Rất nhiều tổ chức cần sự giúp đỡ của các chuyên gia Về mặt ý tưởng, một cố vấn
về an toàn thông tin là rất cần thiết Nhưng không phải mọi tổ chức đều muốn thuê một chuyên gia cố vấn Trong những trường hợp này, cần có sự phối hợp của các
cá nhân cụ thể nhằm đảm bảo tính bền vững, cung cấp các sự trợ giúp để đưa ra quyết định Thường thì họ tiếp xúc với các chuyên gia bên ngoài để đúc rút kinh nghiệm
Nhưng cho dù là các chuyên gia thuộc doanh nghiệp hoặc chuyên gia bên ngoài cũng có thể là các đầu mối liên lạc thì đều cần được phối hợp nhằm cung cấp các lời khuyên trong mọi lĩnh vực an toàn thông tin Chất lượng đánh giá các sự đe dọa
an toàn và các lời khuyên về quy tắc quản lý sẽ phần nào xác định được tính hiệu quả của vấn đề an toàn thông tin của tổ chức
Trang 12Các lời khuyên về an toàn thông tin cũng như các đầu mối liên lạc cần được phối hợp sớm nhất có thể đối với những sự cố khả nghi, … Mặc dù các sự điều tra an toàn thông tin bên trong sẽ được thực hiện dưới các quy tắc quản lý, nhưng cũng cần lời khuyên của các chuyên gia an toàn thông tin nhằm dẫn hướng hoặc chỉ đạo cho sự điều tra.
4.1.6 Phối hợp giữa các tổ chức (Co-operation between organizations)
Cần duy trì sự liên lạc giữa các cấp có thẩm quyền, vấn đề điều tiết lao động, các nhà cung cấp dịch vụ thông tin và truyền thông nhằm đảm bảo rằng có thể đưa ra các hành động thích hợp một cách nhanh nhất có thể cũng như thu thập được các khuyến cáo đối với các vấn đề về an toàn Hoàn toàn tương tự như vậy, các thành viên của các nhóm an toàn và của các diễn đàn kinh doanh cũng cần được quan tâm
Mặt khác, cần hạn chế các sự trao đổi thông tin về bảo mật nhằm đảm bảo tính mậtcủa thông tin trong tổ chức nhằm ngăn chặn những người bất hợp pháp
4.1.7 Cái nhìn khách quan về an toàn thông tin (Independent review of
information security)
Tài liệu về chính sách an toàn thông tin (xem 3.1) đã trình bày các chính sách và các nhiệm vụ tương ứng cho vấn đề an toàn thông tin Sự triển khai cần được xem xét đánh giá một cách khách quan nhằm cung cấp sự bảo đảm rằng các quy tắc trong tổ chức tác động đến các chính sách như thế nào cũng như tính khả thi và hiệu quả của việc triển khai (xem 12.2)
Việc đánh giá cần được thực hiện bởi một chức năng kiểm định bên trong một tổ chức, một nhà quản lý độc lập hoặc một tổ chức thứ 3 chuyên về đánh giá
4.2 An toàn đối với sự truy cập của tổ chức thứ 3 (Security of third party access)
Mục tiêu: Nhằm duy trì tính an toàn cho vi
Đó là các yêu cầu nghiệp vụ cần cho sự truy cập của tổ chức thứ 3, vấn đề quản lý rủi ro cần được thực hiện nhằm xác định sự liên quan cũng như các yêu cầu quản
lý về an toàn Các nguyên tắc cần được thỏa thuận và xác định rõ trong hợp đồng đối với tổ chức thứ 3
Việc truy cập của tổ chức thứ 3 có thể gồm các người tham gia khác Các hợp đồng
về sự truy cập của bên thứ 3 cần được tính đến sự lựa chọn những người tham gia này, có thể đưa ra yêu cầu về cấp bậc cũng như điều kiện của việc truy cập đối với từng người tham gia
Trang 13Tiêu chuẩn này được sử dụng là nền tảng như hợp đồng khi xem xét việc thuê khoán xử lý thông tin.
4.2.1 Nhận biết các rủi ro từ sự truy cập của tổ chức thứ 3(Identification of risks from third party access)
4.2.1.1 Các kiểu truy cập (Types of access)
Kiểu truy cập đưa ra cho tổ chức thứ 3 là vấn đề hết sức quan trọng Ví dụ, các rủi
ro của việc quản lý kết nối mạng khác so với các rủi ro từ việc truy cập vật lý Các kiểu truy cập cần được tính đến là:
a) truy nhập vật lý như: văn phòng, phòng máy, tủ tài liệu;
b) truy nhập logic như: cơ sở dữ liệu của tổ chức, các hệ thống thông tin
4.2.1.2 Lý do truy cập (Reasons for access)
Tổ chức thứ 3 có thể được quyền truy cập với một số lý do Ví dụ, tổ chức thứ 3 là cung cấp dịch vụ cho tổ chức và không có trụ sở nhưng có thể được quyền truy cậplogic cũng như truy cập vật lý, như:
a) các nhân viên hỗ trợ phần cứng và phần mềm, những người cần truy cập mức hệthống hoặc các chức năng ứng dụng mức thấp;
b) các đối tác hoặc các liên doanh, những người có thể trao đổi thông tin, truy cập
hệ thống thông tin hoặc chia sẻ cơ sở dữ liệu
Thông tin có thể gặp rủi ro từ việc truy cập của tổ chức thứ 3 cùng với vấn đề quản
lý an toàn thiếu chặt chẽ Tại đó, có yêu cầu nghiệp vụ để liên kết với tổ chức thứ 3tiến hành thực hiện việc xác định các thủ tục cho các quy tắc quản lý nhất định Nócần được đưa vào danh mục kiểu truy cập được yêu cầu, giá trị của thông tin, các quy tắc đã thuê tổ chức thứ 3 cũng như các vấn đề liên quan đến vấn đề an toàn thông tin tổ chức của sự truy cập này
4.2.1.3 Phía nhà thầu (On-site contractors)
Tổ chức thứ 3 chịu trách nhiệm về các yếu điểm bảo mật có thể xảy ra như trong hợp đồng mà họ đã định trước Chẳng hạn như:
a) nhân viên hỗ trợ và bảo trì phần cứng và phần mềm
b) dọn dẹp, phục vụ, bảo vệ và các dịch vụ hỗ trợ đã thuê khoán khác;
c) sắp đặt việc làm cho các sinh viên và bổ nhiệm những việc làm trong thời gian ngắn;
Trang 14d) tư vấn.
Vấn đề là biết được quy tắc nào cần thiết để quản lý việc truy cập của tổ chức thứ 3tới các tài sản xử lý thông tin Nhìn chung, các yêu cầu về bảo mật cho dù là xuất phát từ việc truy cập của một tổ chức thứ 3 hay đó là quy tắc trong tổ chức đều phải được phản ánh rõ trong hợp đồng (xem 4.2.2)
Ví dụ, nếu có một yêu cầu đặc biệt cho tính mật của thông tin thì các thỏa thuận trong hợp đồng cũng phải mang tính mật (xem 4.2.2)
Không nên đưa ra cho tổ chức thứ 3 quyền truy cập tới các tài sản xử lý thông tin trước khi triển khai các quy tắc phù hợp và ký hợp đồng phối hợp
4.2.2 Các yêu cầu bảo mật trong hợp đồng với đơn vị thứ 3 (Security
requirements in third party contracts)
Việc sắp xếp cho tổ chức thứ 3 truy cập tài sản xử lý thông tin cần dựa trên một hợp đồng chính thức hoặc tham chiếu các yêu cầu về bảo mật nhằm đảm bảo việc chấp hành các tiêu chuẩn và các chính sách an toàn của tổ chức Hợp đồng cần được đảm bảo rằng sẽ không có bất cứ một sự hiểu lầm nào giữa tổ chức và đơn vị thứ 3 Các tổ chức cần được đưa ra cho các nhà cung cấp của họ các bằng chứng đểđược bồi thường khi có vấn đề xảy ra Các điều khoản dưới đây cần được đưa vào hợp đồng:
a) các chính sách chung về an toàn thông tin;
b) sự bảo vệ tài sản, bao gồm:
a thủ tục để bảo vệ các tài sản thuộc về tổ chức, bao gồm thông tin và phần mềm;
b thủ tục để xác định đối với từng loại tài sản bị xâm phạm, như mất, sai lệch dữ liệu, ….;
c các quy tắc nhằm đảm bảo bản thống kê, tình trạng của thông tin và tài sản ở cuối hợp đồng, hoặc theo từng giai đoạn khác nhau;
d tính toàn vẹn và tính sẵn sàng;
e hạn chế sự sao chép và phổ biến thông tin;
c) mô tả từng dịch vụ để tạo ra sự sẵn sàng;
d) mục tiêu của dịch vụ và mức độ không thể chấp nhận của dịch vụ;
e) dự phòng cho việc thuyên chuyển nhân viên một cách thích hợp;
f) trách nhiệm về pháp lý đối với từng cá nhân của bên tham gia thỏa thuận;
g) trách nhiệm đối với các vấn đề pháp lý, như luật bảo vệ dữ liệu, đặc biệt là đưa vào danh mục hệ thống luật pháp quốc gia nếu hợp đồng có sự phối hợp với các tổ chức quốc tế (xem 12.1);
Trang 15h) quyền sở hữu trí tuệ (IPRs) và vấn đề bản quyền (xem 12.1.1) cũng như bảo vệ
cơ chế cộng tác (xem 6.1.3)
i) các thỏa thuận về quy tắc truy cập, bao gồm:
a phương thức được phép truy cập, và các quy tắc và việc sử dụng các định danh mang tính cá nhân như user ID và password;
b quá trình cấp phép truy cập cũng như đặc quyền người dùng
c các yêu cầu để duy trì một danh sách cá nhân đã cấp phép để sử dụng các dịch
vụ nhằm tạo ra tính sẵn sàng cũng như các quyền hạn tương ứng với việc sử dụng;j) có thể đưa ra điều kiện để thực hiện được việc kiểm tra, giám sát và báo cáo về các vấn đề đó;
k) quyền giám sát, hủy bỏ, hoạt động người dùng;
l) quyền kiểm tra các trách nhiệm theo hợp đồng hoặc nắm các quyền kiểm tra đó
để kiểm tra việc thực hiện của đơn vị thứ 3;
m) thiết lập từng bước cho quá trình quyết vấn đề, việc sắp xếp ngẫu nhiên cần được xem xét cho phù hợp;
n) các trách nhiệm cài đặt và bảo trì phần cứng, phần mềm;
o) cấu trúc báo cáo rõ ràng và mẫu báo cáo phải được thống nhất trước;
p) quy trình quản lý các thay đổi cần được xác định rõ ràng;
q) phải có cơ chế và quy tắc bảo vệ về mặt vật lý nhằm đảm bảo các sự kiểm soát sau này
r) vấn đề đào tạo người quản trị, người dùng về phương pháp, thủ tục cũng như vấn
đề an toàn;
s) vấn đề kiểm soát nhằm bảo vệ chống lại các phần mềm độc hại (xem 8.3);
t) sắp xếp báo cáo, thông báo và điều tra các sự cố cũng như lỗ hổng về bảo mật;u) sự liên quan của tổ chức thứ 3 với các nhà thầu phụ
4.3 Thuê khoán (Outsourcing)
Mục tiêu: Nhằm đảm bảo tính bảo mật thông tin khi các trách nhiệm xử lý thông tin được thuê khoán cho một tổ chức khác
Việc chuẩn bị kế hoạch thuê khoán cần đưa ra các rủi ro, các quy tắc kiểm soát an toàn và các thủ tục đối với các hệ thống thông tin, môi trường mạng cũng như máy đơn lẻ trong hợp đồng giữa các bên tham gia
4.3.1 Các yêu cầu bảo mật trong hợp đồng thuê khoán (Security requirements in
outsourcing contracts)
Các yêu cầu bảo mật trong việc quản lý tổ chức thuê khoán và kiểm soát một số
Trang 16hoặc tất cả các hệ thống thông tin, môi trường mạng hoặc các máy đơn lẻ cần đượcphản ánh rõ trong hợp đồng giữa các bên tham gia.
Ví dụ, hợp đồng cần đưa ra:
a) các yêu cầu về luật pháp thế nào là phù hợp, ví dụ luật bảo vệ dữ liệu;
b) những điều khoản nào sẽ được đưa ra nhằm đảm bảo các bên tham gia trong việc thuê khoán (bao gồm cả các nhà thầu phụ) nhận thức về trách nhiệm bảo mật của họ;
c) kiểm tra và đảm bảo tính toàn vẹn và tính mật của các tài sản kinh doanh thuộc
tổ chức như thế nào;
d) dùng sự kiểm soát vật lý, logic nào để hạn chế sự truy cập tới các thông tin kinh doanh nhạy cảm của tổ chức cho những người dùng hợp pháp;
e) cần duy trì tính sẵn sàng của dịch vụ như thế nào đối với vấn đề thảm họa;
f) mức độ an toàn vật lý cung cấp cho các thiết bị thuê khoán là gì;
g) quyền kiểm soát
Các thuật ngữ đã đưa ra trong danh sách 4.2.2 cần được xem là một phần của bản hợp đồng này Hợp đồng cũng cần cho phép mở rộng các yêu cầu bảo mật cũng như các thủ tục trong kế hoạch quản lý bảo mật đã được thống nhất giữa hai bên tham gia
Mặc dù hợp đồng thuê khoán có thể đưa ra một số câu hỏi bảo mật phức tạp, các quy tắc trong nguyên tắc quản lý cần được đáp ứng như là xuất phát điểm cho việc thống nhất cấu trúc và nội dung của kế hoạch quản lý bảo mật
5 Kiểm soát và phân loại tài sản (Asset classification and control)
5.1 Trách nhiệm giải trình tài sản (Accountability for assets)
Mục tiêu: Nhằm đảm bảo rằng biện pháp bảo vệ cho các tài sản thuộc tổ chức là thích hợp
Mọi tài sản thông tin chủ yếu cần được liệt kê và bổ nhiệm người sở hữu
Trách nhiệm giải trình các tài sản sẽ đảm bảo rằng sự bảo vệ cho loại tài sản đó là hợp lý Người sở hữu cần nhận biết tất cả các loại tài sản chính và đưa ra các trách nhiệm cho việc đảm bảo sự kiểm soát một cách hợp lý
Trách nhiệm đối với các sự kiểm soát đang triển khai có thể được ủy nhiệm Trách nhiệm giải trình cần giữ nguyên với
5.1.1 Kiểm kê tài sản (Inventory of assets)
Trang 17Việc kiểm kê tài sản làm cho việc tiến hành các biện pháp bảo vệ tài sản hiệu quả,
và có thể được yêu cầu cho các mục đích khác như y tế, an toàn, bảo hay tài chính (quản lý tài sản) Việc đưa ra một bản kiểm kê tài sản là rất quan trọng của quản lý rủi ro Một tổ chức hoàn toàn có thể định rõ các tài sản, các giá trị liên quan cùng với mức độ quan trọng của các tài sản này Dựa vào các thông tin đó, tổ chức có thể đưa ra mức độ bảo vệ thích hợp so với giá trị và mức độ quan trọng của loại tài sản Một bản kiểm kê tài sản cần được sắp xếp và đưa ra các tài sản quan trọng liênquan đến từng hệ thống thông tin Mỗi loại tài sản cần được xác định rõ ràng quyền
sở hữu của nó và phân loại bảo mật (xem 5.2) đã được thống nhất và có văn bản, cùng với vị trí hiện tại (quan trọng khi mà cố gắng phục hồi từ sự mất mát và hỏng hóc) Ví dụ về các tài sản liên quan đến các hệ thống thông tin như:
a) tài sản thông tin: cơ sở dữ liệu và file dữ liệu, hệ thống văn bản, hướng dẫn người dùng, tài liệu đào tạo, các thủ tục hỗ trợ hay hoạt động, tính liên tục trong kếhoạch, sắp đặt dự phòng, thông tin lưu trữ;
b) tài sản phần mềm: phần mềm ứng dụng, phần mềm hệ thống, công cụ phát triển
5.2 Phân loại thông tin (Information classification)
Mục tiêu: Đảm bảo các tài sản thông tin có mức độ bảo vệ thích hợp Thông tin cầnđược phân loại nhằm nắm được yêu cầu, các quyền ưu tiên cũng như mức độ bảo
vệ Mức độ nhạy cảm cũng như mức độ quan trọng của thông tin là rất khác nhau
Có nhiều loại thông tin yêu cầu tăng mức độ bảo vệ hoặc cần sự xử lý đặc biệt Một hệ thống phân loại thông tin được sử dụng để xác định một tập các mức độ bảo vệ sao cho phù hợp với mỗi loại thông tin, cũng như chuyển các yêu cầu cho các biện pháp xử lý mang tính đặc biệt
5.2.1 Hướng dẫn phân loại thông tin (Classification guidelines)
Sự phân loại thông tin cũng như các quy tắc bảo vệ có liên quan cần đưa vào danh mục các nhu cầu kinh doanh cho việc chia sẻ hoặc giới hạn thông tin, và việc kinh doanh có ảnh hưởng đến sự kết hợp các yêu cầu đó, như truy cập bất hợp pháp hoặc phá hủy thông tin Nhìn chung, sự phân loại thông tin tạo ra một cách nhanh
Trang 18nhất cách xác định loại thông tin này cần được xử lý và bảo vệ như thế nào.
Thông tin và các kết quả đầu ra của hệ thống xử lý dữ liệu phân loại cần được gán nhãn dưới dạng giá trị cũng như tính nhạy cảm đối với tổ chức Dựa trên tính quan trọng của thông tin, việc gán nhãn đối với từng loại thông tin có lẽ là phù hợp cho
tổ chức, ví dụ như dưới dạng tính toàn vẹn và tính sẵn sàng của chúng Thông tin thường mất đi tính nhạy cảm hoặc là tính quyết định sau một thời gian giữ được các tính chất đó, ví dụ như, khi thông tin đã được phổ biến rộng rãi Các vấn đề này có thể đưa vào danh mục khi việc không phân loại thông tin tạo ra các chi phí kinh doanh không cần thiết Sự phân loại thông tin cần được lường trước mọi khả năng và chấp nhận thực tế là sự phân loại của bất kỳ loại thông tin nào đều không phải cố định cho mọi thời điểm, nó có thể thay đổi theo các chính sách đã được xácđịnh trước (xem 9.1)
Cần xem xét một số cách phân loại cũng như lợi ích nhằm đạt được cách sử dụng chúng Các kế hoạch phân loại quá phức tạp có thể làm cho việc sử dụng trở nên cồng kềnh và không hữu ích hoặc là phi thực tế Cũng cần quan tâm đến các nhãn trên các văn bản của các tổ chức khác, đặc biệt là những loại thông tin có cùng nhãn nhưng được định nghĩa khác nhau
Trách nhiệm trong việc xác định loại thông tin (như văn bản, bản ghi dữ liệu, file
dữ liệu hoặc đĩa) cũng như việc đánh giá một cách định kỳ sự phân loại đó cần giao cho những người sở hữu thông tin đó ngay từ thời điểm khởi đầu hoặc những người được bổ nhiệm chính thức sở hữu thông tin đó
5.2.2 Xử lý và gán nhãn thông tin (Information labelling and handling)
Điều quan trọng là các thủ tục phù hợp đã được xác định cho việc xử lý và gán nhãn thông tin theo sơ đồ đã được tổ chức chấp nhận Các thủ tục này phải bao trùm mọi tài sản thông tin dưới dạng vật lý cũng như điện tử Với mỗi loại thông tin, các thủ tục xử lý cần được xác định để bao trùm các kiểu hoạt động xử lý thôngtin dưới đây:
a) copy;
b) lưu trữ;
c) truyền bằng thư tín, fax và thư điện tử;
d) truyền bằng giọng nói bao gồm điện thoại di động, voicemail, answer machine;e) s
Kết quả đầu ra của hệ thống chứa đựng thông tin đã phân loại phải kèm theo cả nhãn phân loại thích hợp (băng, đĩa, CD, cassettes), thông điệp điện tử và truyền
Trang 19Các nhãn vật lý là dạng thích hợp nhất Tuy nhiên, nhiều tài sản thông tin như các tài liệu dưới dạng điện tử, không thể gán nhãn dưới dạng vật lý và khi đó, chúng cần được gán nhãn dưới dạng điện tử
6 An ninh về nhân sự (Personnel security)
6.1 An ninh trong xác định và thuê khoán công việc (Security in job definition
and resourcing)
Mục tiêu: Giảm thiểu rủi ro do lỗi của con người, trộm cắp, gian lận hoặc lợi dụng các tài sản công Trách nhiệm về an toàn cần được xác định ngay từ khi tuyển nhân
sự, được bao gồm trong hợp đồng, và được giám sát trong công việc của cá nhân
Những nhân sự mới cần được quan tâm đúng mức (xem 6.1.2), đặc biệt đối với cáccông việc mang tính nhạy cảm Các nhân viên và người dùng bên thứ 3 tham gia vào quá trình xử lý thông tin cần ký vào một thỏa thuận mang tính mật
6.1.1 An ninh nhân sự bao gồm an ninh trong trách nhiệm công việc (Including
security in job responsibilities)
Các trách nhiệm và vai trò an ninh cần được xác định rõ trong các chính sách an toàn thông tin của tổ chức và được đưa ra bằng văn bản sao cho phù hợp Trong
đó, bao gồm các trách nhiệm nói chung cho việc triển khai và đảm bảo chính sách
an ninh cũng như các trách nhiệm cho việc bảo vệ từng loại tài sản, cho sự thực hiện các quá trình hay các hoạt động an toàn
6.1.2 Chính sách và kiểm tra nhân sự (Personnel screening and policy)
Việc kiểm tra các nhân viên cần được thực hiện tại thời điểm áp dụng công việc Việc kiểm tra bao gồm các quy tắc sau:
a) đáp ứng kịp thời khi cần tham chiếu các thông tin về nhân sự, như một doanh nghiệp, một cá nhân;
b) kiểm tra (tính đầy đủ và chính xác) bản sơ yếu lý lịch của người xin việc;
c) xác nhận lại quá trình học tập ở trường cũng như các chứng chỉ, trình độ chuyên môn;
d) kiểm tra các giấy tờ cá nhân (hộ chiếu hoặc các văn bản tương tự)
Khi bắt đầu một công việc hoặc trong quá trình thực hiện công việc, cá nhân cần truy cập vào các tài sản công nhằm xử lý thông tin, cụ thể là nếu đây là việc xử lý các thông tin nhạy cảm (như thông tin tài chính hoặc các thông tin có tính mật
Trang 20cao), tổ chức cần thực hiện kiểm tra lại tính tin cậy Đối với những nhân viên có quyền kiểm tra này cần được lặp lại việc kiểm tra một cách định kỳ.
Quá trình kiểm tra tương tự như trên cũng cần được tiến hành đối với các nhà thầu cũng như các nhân viên tạm thời Các nhân viên này được tuyển thông qua một công ty, các hợp đồng với công ty cần xác định rõ trách nhiệm của công ty trong việc kiểm tra và các thông báo thủ tục họ cần trong thời gian tiếp theo nếu sự kiểm tra không hoàn thành hoặc nếu các kết quả gây ra sự nghi ngờ hoặc các vấn đề liên quan
Ban quản lý cần đánh giá sự thẩm tra được yêu cầu cho các nhân viên mới, chưa cókinh nghiệm trong việc truy cập vào các hệ thống nhạy cảm Công việc của các nhân viên cần được xem xét lại theo định kỳ và có sự thống nhất của các nhân viên
có thâm niên công tác
Người quản lý cần nắm rõ về hoàn cảnh của từng nhân viên, đó là điều kiện ảnh hưởng đến công việc của họ
Các vấn đề về tài chính, hoặc đời tư, các thay đổi trong hành vi lối sống, chu kỳ vắng mặt và căn cứ vào tình trạng của họ có thể dẫn đến gian lận, trộm cắp, sai lầmhoặc các vấn đề liên quan đến bảo mật khác
Các thông tin này cần được xử lý phù hợp với luật pháp hiện tại và quyền hạn có liên quan
6.1.3 Các hợp đồng đảm bảo tính bí mật thông tin (Confidentiality agreements)
Các hợp đồng về tính mật của thông tin được sử dụng nhằm đưa ra các thông báo cho tính bí mật của thông tin Nhân viên thường ký vào bản hợp đồng như là một điều kiện ban đầu khi bắt đầu làm việc
Các nhân viên bình thường cũng như các tổ chức thứ 3 không tham gia vào hợp đồng này (hợp đồng có thỏa thuận về tính bí mật thông tin) cần ký vào một hợp đồng đảm bảo tính bí mật thông tin trước khi truy cập vào các tài sản công nhằm
xử lý thông tin
Các hợp đồng đảm bảo tính bí mật thông tin cần xem xét và đánh giá lại khi có sự thay đổi về nhân sự hoặc hợp đồng, cụ thể như khi nhân viên bỏ việc hoặc hết hợp đồng
Trang 216.1.4 Điều khoản và điều kiện thuê người lao động (Terms and conditions of
employment)
Các điều khoản, điều kiện thuê người lao động cần công bố rõ về trách nhiệm của nhân viên đối với vấn đề an toàn thông tin Các trách nhiệm này cần duy trì đối vớicác thời gian đã định trước sau khi kết thúc quá trình thuê lao động Điều kiện này được đưa ra nếu nhân viên coi thường các yêu cầu về bảo mật
Các quyền hạn và trách nhiệm luật pháp của nhân viên, như luật bản quyền hoặc luật bảo vệ dữ liệu, cần được lựa chọn và giải thích rõ ràng bao gồm cả các điều khoản và điều kiện thuê người lao động Trách nhiệm đối với việc phân loại cũng như quản lý dữ liệu của nhân viên cũng nằm trong các điều khoản này Khi nào phù hợp, các điều khoản, điều kiện thuê người lao động cần công bố các trách nhiệm này được mở rộng ra bên ngoài tổ chức cũng như thời gian ngoài giờ làm việc, như trường hợp làm việc ở nhà (xem 7.2.5 và 9.8.1)
6.2 Đào tạo người dùng (User training)
Mục tiêu: Đảm bảo người dùng nhận thức các mối đe dọa về an toàn thông tin và các vấn đề liên quan, đồng thời trang bị cho người dùng trong quá trình làm việc của họ nhằm hỗ trợ các chính sách về an toàn thuộc tổ chức Người dùng cần được đào tạo các vấn đề về an toàn cũng như cách sử dụng các tài sản công trong quá trình xử lý thông tin nhằm giảm thiểu các rủi ro về bảo mật
6.2.1 Đào tạo và giáo dục về an toàn thông tin (Information security education
and training)
Mọi nhân viên trong tổ chức và các cá nhân liên quan như đơn vị thứ 3 cần được đào tạo thích hợp và liên tục cập nhật các thủ tục và chính sách trong tổ chức Bao gồm các yêu cầu về bảo mật, các trách nhiệm luật pháp và các quy tắc nghiệp vụ, cũng như đào tạo nhằm sử dụng đúng cách các tài sản công cho việc xử lý thông tin, như thủ tục log-on, sử dụng gói phần mềm, trước khi truy cập các dịch vụ hoặcthông tin được cấp phép
6.3 Đối phó với những sự cố bảo mật (Responding to security incidents and
malfunctions)
Mục tiêu: Giảm thiểu sự phá hủy từ các sự cố bảo mật đồng thời nhằm giám sát và học tập từ các sự cố này
Trang 22Các sự cố ảnh hưởng đến mức độ an toàn cần được báo cáo thông qua các kênh quản lý thích hợp một cách nhanh nhất có thể.
Mọi nhân viên và các nhà thầu cần nắm được các thủ tục báo cáo về các kiểu sự cốkhác nhau (lỗ hổng bảo mật, mối đe dọa, điểm yếu, sự cố), điều đó có tác động đếnvấn đề an toàn các tài sản của tổ chức Cần yêu cầu họ báo cáo các sự cố mà họ nghi ngờ cũng như họ quan sát được cần thiết lập một quá trình chính thức mang tính kỷ luật để xử lý các nhân viên vi phạm các vấn đề về bảo mật Để có thể tìm đến các vấn đề một cách chính xác cần tập hợp bằng chứng sớm nhất có thể sau khixảy ra sự việc (xem 12.1.7)
6.3.1 Báo cáo các sự cố bảo mật (Reporting security incidents)
Các sự cố bảo mật cần được báo cáo bằng cách thích hợp nhất và nhanh nhất có thể
Cần thiết lập thủ tục báo cáo một cách chính thức, cùng với các thủ tục phản ứng khẩn cấp đối phó với các sự kiện một cách nhanh nhất có thể đến đầu mối được bổ nhiệm thu thập thông tin Các tổ chức
đã nhận được từ các báo cáo ở trên Mọi nhân viên cũng như các nhà thầu cần nắm được thủ tục báo cáo sự cố bảo mật và yêu cầu báo cáo các sự cố này nhanh nhất
có thể Quá trình phản hồi cần được tiến hành nhằm đảm bảo rằng các sự cố đang báo cáo đã được thông báo sau khi đối mặt với sự cố và ngăn chặn chúng Các sự
cố này có thể được sử dụng trong quá trình đào tạo người dùng (xem 6.2) như những gì có thể xảy ra, phản ứng trước các sự cố đó như thế nào, và làm thế nào đểphòng chống các sự cố đó trong tương lai (xem 12.1.7)
6.3.2 Báo cáo các điểm yếu về bảo mật (Reporting security weaknesses)
Cần yêu cầu người sử dụng các dịch vụ thông tin báo cáo các điểm yếu và các mối
đe dọa bảo mật đối với hệ thống và dịch vụ mà họ cảm thấy nghi ngờ cũng như họ quan sát được Họ có thể báo cáo các vấn đề này hoặc là tới người quản lý hoặc là trực tiếp tới nhà cung cấp dịch vụ một cách nhanh nhất có thể Trong bất kỳ hoàn cảnh nào, người sử dụng cần biết rằng họ không nên cố gắng chứng minh một vấn
đề nào đó là đáng nghi ngờ Đó là sự bảo vệ của từng cá nhân, khi kiểm tra các điểm yếu có thể hiểu rõ các sự lợi dụng đang tiềm ẩn trong hệ thống
6.3.3 Báo cáo các sự cố phần mềm (Reporting software malfunctions)
Cần thiết lập các thủ tục báo cáo các sự cố phần mềm Các hành động cần được
Trang 23c) Vấn đề cần được báo cáo ngay lập tức tới người quản lý bảo mật thông tin Người sử dụng không nên cố gắng gỡ bỏ phần mềm nghi ngờ trừ phi được phép làm điều đó
Nhân viên có kinh nghiệm và đã được đào tạo cần thực hiện khôi phục hệ thống
6.3.4 Thu thập kiến thức từ các sự cố (Learning from incidents)
Cần có các cơ chế cho phép xác định và giám sát các kiểu, số lượng và chi phí của các sự cố Từ các thông tin này có thể nhận biết chu kỳ hoặc ảnh hưởng chính của các sự cố Điều này đưa ra yêu cầu cho việc đưa vào thêm hay đề cao các quy tắc quản lý nhằm hạn chế mức độ xảy ra, hạn chế khả năng phá huỷ cũng như chi phí xảy ra trong tương lai hoặc cũng có thể đưa vào làm hạng mục trong các chính sách bảo mật (xem 3.1.2)
6.3.5 Các quy trình mang tính kỷ luật (Disciplinary process)
Cần có một quy trình chính thức mang tính kỷ luật cho các nhân viên vi phạm các thủ tục và chính sách bảo mật của tổ chức (xem 6.1.4) và ghi lại các bằng chứng (xem 12.1.7) Một quy trình như vậy cũng là biện pháp áp dụng đối với các nhân viên có chiều hướng thiếu quan tâm đến các thủ tục về an toàn Thêm vào đó, nó cũng cần đảm bảo đúng và đối xử công bằng với tất cả những cá nhân có liên quan
7 An toàn môi trường và an toàn vật lý (Physical and environmental security)
7.1 Các lĩnh vực an toàn (Secure areas)
Mục tiêu: Ngăn chặn các truy cập trái phép, phá hủy và can thiệp vào thông tin, vào vấn đề kinh doanh của tổ chức
Các tài sản công được sử dụng vào việc xử lý thông tin kinh doanh nhạy cảm và cótính quyết định cần được đưa vào vùng an toàn, được bảo vệ bởi vành đai an toàn
đã định sẵn, với các rào cản về bảo mật cũng như các quy tắc truy cập Chúng cần được bảo vệ về mặt vật lý từ các sự truy cập bất hợp pháp, sự phá hủy cũng như sự can thiệp trái phép
Trang 24Sự bảo vệ đưa ra cần tránh được mọi rủi ro đã biết Các đề nghị đảm bảo cho một cái bàn sạch, một màn hình sạch sẽ giảm thiểu rủi ro cho các truy cập bất hợp pháphoặc sự phá hủy tờ giấy, các tài sản công xử lý thông tin và các phương tiện khác.
7.1.1 Vành đai bảo vệ mức vật lý (Physical security perimeter)
Sự bảo vệ mức vật lý có thể đạt được bằng cách tạo ra một vài barrier vật lý xung quanh phạm vi doanh nghiệp và các tài sản công dùng để xử lý thông tin Mỗi barrier thiết lập một một vành đai bảo vệ vật lý làm gia tăng sự bảo vệ Các tổ chứccần sử dụng các vành đai bảo vệ các vùng đặt các tài sản xử lý thông tin (xem 7.3.1) Một vành đai an toàn có thể là một bức tường, một tấm thẻ điều khiển khi qua cổng, những người tiếp tân, hoặc là những chiếc ghế cũ , … Sự chọn lựa địa điểm cũng như sức mạnh của từng barrier là phụ thuộc vào các kết quả khi đánh giá rủi ro
Dưới đây đưa ra một số hướng dẫn và một số quy tắc cần được lưu ý và triển khai sao cho thích hợp:
a) Vành đai bảo vệ nên được xác định rõ ràng
b) Vành đai của tòa nhà hoặc vành đai của bên đặt các tài sản xử lý thông tin cần được đặt chắc chắn về mặt vật lý (như không có lỗ thủng trong vành đai hoặc có thể dễ dàng đột nhập từ ngoài vào) Các bức tường bên ngoài cần xây dựng vững chắc và các cửa ra vào cần được bảo vệ hợp lý nhằm tránh các sự đột nhập như đặt các cơ chế điều khiển, chốt, các chuông cảnh báo, khóa, …
c) Vị trí của người tiếp tân hoặc vị trí khác dùng để quản lý các truy nhập vật lý tớicác địa điểm trên Cần hạn chế những người có nghĩa vụ mới được phép vào các địa điểm trên
d) Nếu cần, các barrier vật lý có thể mở rộng các cửa ra vào, trần nhà nhằm ngăn chặn các truy cập bất hợp pháp cũng như các nguyên nhân gây ra hỏa hoạn, lũ lụt.e) Tại các cửa của vành đai bảo vệ cần có chuông cảnh báo và cần có cửa sập mạnh
7.1.2 Kiểm soát ra vào (Physical entry controls)
Các vùng an toàn cần được bảo vệ bởi các sự kiểm soát ra vào chặt chẽ nhằm đảm bảo rằng chỉ những người hợp pháp mới được phép truy cập
a) Những vị khách tới các vùng an toàn cần được giám sát và ghi lại ngày, giờ ra vào đi và đến Họ chỉ được phép truy cập với mục đích hợp pháp, rõ ràng và cần đưa ra các hướng dẫn về các yêu cầu bảo mật của địa điểm này, cũng như các thủ tục khẩn cấp khi có sự cố
b) Cần hạn chế những người hợp pháp mới được truy cập vào các thông tin nhạy cảm và các tài sản phục vụ việc xử lý thông tin Các quy tắc xác thực cần được sử
Trang 25dụng đối với mọi truy cập hợp pháp và hợp lệ, tránh trường hợp cướp giật số PIN Các sự kiểm tra này cần đảm bảo tính chính xác và an toàn.
c) Mọi cá nhân cần có một vài sự nhận dạng mang tính trực quan và cần hỏi rõ những người lạ và những người không có các sự nhận dạng trực quan ở trên
d) Các quyền ra vào tại những địa điểm này cần xem xét và cập nhật thường
sự rò rỉ nước từ một khu vực khác
Dưới đây là một số quy tắc cần được xem xét:
a) Các tài sản quan trọng cần được đặt ở những nơi tránh xa các sự truy cập nói chung
b) Các tòa nhà không nên phô trương và cần hạn chế đưa ra các ký hiệu thể hiện mục đích của nó, với các ký hiệu trừu tượng bên ngoài hoặc bên trong tòa nhà.c) Các thiết bị và chức năng hỗ trợ như máy fax, máy photo cần đặt tại các vị trí thích hợp trong các khu vực an toàn nhằm tránh các sự nhờ vả, gây ra các nguy cơ tiềm ẩn
d) Cửa sổ, cửa ra vào cần được khóa khi không có người và các sự bảo vệ bên ngoài cần được tính đến các cửa sổ này, đặc biệt là các cửa sổ gần mặt đất
e) Các hệ thống nhận dạng sự xâm nhập đã được cài đặt mang tính chuyên nghiệp
và được kiểm tra thường xuyên cần được đặt tại các cửa ra vào và các cửa sổ có thể
h) Các vật liệu dễ cháy, nguy hiểm cần đặt tại các nơi an toàn, ở các khoảng cách
xa với khu vực này Các vật liệu hỗ trợ khác như văn phòng phẩm không nên lưu trữ trong khu vực bảo mật khi không có yêu cầu
i) Các thiết bị dự trữ và các phương tiện back-up cần được đặt tại những nơi có khoảng cách an toàn nhằm tránh các sự phá hủy do các thảm họa tại chính nơi đó
Trang 26gây ra.
7.1.4 Làm việc trong các khu vực an toàn (Working in secure areas)
Việc đưa vào các quy tắc cũng như hướng dẫn nhằm tăng cường tính bảo mật cho khu vực an toàn Các quy tắc này đưa ra cho các cá nhân hoặc các đơn vị thứ 3 đang làm việc trên khu vực an toàn, cũng như các hoạt động của bên thứ 3 đang tiến hành trên khu vực đó Dưới đây là một vài quy tắc cần chú ý:
a) Các cá nhân cần nhận thức về sự tồn tại, hoặc các hoạt động trong khu vực an toàn này
b) Các công việc không được giám sát trong khu vực an toàn cần được loại bỏ cho
dù có các lý do đảm bảo an toàn đồng thời ngăn chặn các cơ hội đối với các hành động nguy hiểm
c) Các khu vực an toàn còn bỏ trống cần được khóa và kiểm tra định kỳ
d)
e) Không nên đưa vào các thiết bị ghi âm, video, chụp ảnh, … trừ khi được kiểm tra một cách cẩn thận
7.1.5 Các khu vực nhập xuất biệt lập (Isolated delivery and loading areas)
Nếu có thể các vùng nhập xuất cần được kiểm soát, biệt lập với các tài sản hỗ trợ việc xử lý thông tin nhằm tránh xa các sự truy nhập bất hợp pháp Các yêu cầu đối với các khu vực này cần được xác định rõ bằng cách đánh giá các rủi ro Dưới đây
là một vài quy tắc cần được lưu ý:
a) Việc truy cập đến các khu vực của tổ chức cần được hạn chế đối với những cá nhân hợp pháp
b) Các khu vực này cần được thiết kế sao cho các sự cung cấp có thể được chuyển tới các khu vực khác của tòa nhà mà không cần sự giúp đỡ của các nhân viên bốc xếp
c) Các cửa bên ngoài của tòa nhà cần được giữ an toàn khi các cửa bên trong mở.d) Các vật liệu mang đến cần được kiểm tra các mối nguy hiểm tiềm ẩn (xem 7.2.1d) trước khi di chuyển vào nơi sử dụng
e) Nếu phù hợp, các vật liệu đó cần được đăng ký tại khu vực này (xem 5.1)
7.2 An toàn thiết bị (Equipment security)
Mục tiêu: Nhằm ngăn chặn sự mất mát, phá hủy và làm tổn hại tài sản và làm gián đoạn hoạt động kinh doanh của doanh nghiệp
Các thiết bị cần được bảo vệ về mặt vật lý trước các mối đe dọa về bảo mật và mối nguy hiểm của môi trường Bảo vệ thiết bị mang tính cần thiết nhằm giảm thiểu rủi
ro trước các sự truy cập dữ liệu bất hợp pháp và bảo vệ chống lại sự mất mát và
Trang 27phá hủy Điều này cũng phải tính đến vị trí và quyền sử dụng thiết bị Các quy tắc đặc biệt được yêu cầu để bảo vệ chống lại các mối nguy hiểm hoặc các truy cập bấthợp pháp, đồng thời hỗ trợ sự bảo vệ các tài sản công, như các thiết bị cung cấp điện và hệ thống cáp.
7.2.1 Sự lựa chọn vị trí đặt thiết bị và bảo vệ thiết bị (Equipment siting and
protection)
Thiết bị cần được lựa chọn vị trí và biện pháp bảo vệ nhằm giảm thiểu rủi ro từ cácmối đe dọa, mối nguy hiểm của môi trường và cơ hội truy cập bất hợp pháp Các quy tắc sau đây cần được chú ý:
a) Thiết bị nên đặt tại các vị trí có ít sự truy cập trong khu vực làm việc
b) Các tài sản lưu trữ và xử lý thông tin đang xử lý các dữ liệu nhạy cảm cần bố trí nhằm giảm thiểu rủi ro trong quá trình sử dụng
c) Các thiết bị cần sự bảo vệ đặc biệt cần được biệt lập nhằm đạt được mức độ bảo
vệ theo yêu cầu
d) Nhằm giảm thiểu rủi ro từ các mối đe doạ tiềm ẩn, cần kiểm soát:
e) Một tổ chức cần được tính đến các chính sách về việc ăn uống, hút thuốc tại các
vị trí gần với các tài sản công phục vụ việc xử lý thông tin
f) Cần giám sát các điều kiện môi trường có ảnh hưởng đến sự vận hành các tài sảnphục vụ quá trình xử lý thông tin
g) Sử dụng các biện pháp bảo vệ đặc biệt, như màn bảo vệ bàn phím, đối với các thiết bị trong môi trường công nghiệp
h) Ảnh hưởng của các thảm họa xảy ra gần các tòa nhà, như họa hoạn ở tòa nhà bên cạnh, rò rỉ nước từ mái vòm hoặc trong sàn dưới mặt đất hoặc tiếng nổ ở đường phố là những nguy cơ cần được nghĩ tới
7.2.2 Cung cấp nguồn điện (Power supplies)
Thiết bị cần được bảo vệ trước các sự hỏng hóc của nguồn điện và các sự bất
Trang 28thường về mặt điện năng Cần cung cấp nguồn điện phù hợp với đặc điểm chi tiết
kỹ thuật của nhà sản xuất thiết bị Các lựa chọn đưa ra nhằm đạt được tính liên tục của việc cung cấp nguồn điện bao gồm:
a) Đưa ra nhiều nguồn cung cấp nhằm tránh trường hợp hỏng hóc nguồn cung cấp duy nhất;
b) sử dụng nguồn cung cấp liên tục (UPS – uninterruptable power supply);
c) đưa ra việc backup
Thiết bị UPS hỗ trợ cho các thiết bị phục vụ hoạt động kinh doanh của doanh nghiệp bằng cách cung cấp điện năng một cách liên tục ngay cả khi mất điện Các
kế hoạch cần tính đến khả năng hỏng hóc UPS Thiết bị UPS cần được kiểm tra thường xuyên nhằm đảm bảo nó có đủ khả năng và được kiểm tra phù hợp với các
đề nghị của nhà sản xuất
Việc back-up cũng cần được lưu ý nếu trong trường hợp nguồn điện bị hỏng hóc quá lâu Nếu đã được cài đặt chế độ này, những người có trách nhiệm cần kiểm tra thường xuyên theo hướng dẫn của nhà sản xuất Cũng cần sẵn sàng cung cấp
nguyên vật liệu nhằm đảm bảo cho người có trách nhiệm (người đề xướng) có thể thực hiện trong một thời gian dài
Thêm vào đó, các bộ chuyển mạch nguồn tức thời cần được đặt gần nơi đặt thiết bị tạo điều kiện thuận lợi khi gặp tình huống cấp bách Việc bố trí ánh sáng cần được chuẩn bị trong trường hợp nguồn chính bị hỏng Sự bảo vệ chống sét cũng cần được áp dụng đối với mọi tòa nhà và các bộ chống sét cần thiết kế phù hợp với các đường truyền thông bên ngoài
7.2.3 An toàn cáp (Cabling security)
Nguồn điện và cáp truyền thông mang dữ liệu cũng như hỗ trợ các dịch vụ thông tin cần được bảo vệ từ các nguy cơ phá hoại hoặc bị chặn Dưới đây là một vài quytắc cần được lưu ý:
a) Nguồn điện và các đường truyền thông tới các tài sản xử lý thông tin, nếu có thể,cần được đi ngầm, phụ thuộc vào khả năng bảo vệ sao cho thích hợp
b) Cáp mạng cần được bảo vệ từ những sự phá hủy và ngăn chặn bất hợp pháp, ví
dụ như dùng cáp điện hoặc tránh các đường dẫn ở những nơi công cộng
c) Cáp nguồn điện và cáp truyền thông cần tách biệt nhau nhằm ngăn chặn nhiễu từ
d) Đối với hệ thống quan trọng, mang tính nhạy cảm các quy tắc cần lưu ý khác bao gồm:
1 cần xây dựng lớp bê tông bảo vệ cáp điện và các phòng có khóa chặt chẽ hoặc các box tại các điểm kiểm tra, các điểm đặc biệt
Trang 292 sử dụng các phương tiện truyền dẫn thay thế, các đường dự phòng.
3 sử dụng cáp quang;
4 tạo ra các đợt rà soát các thiết bị bất hợp pháp gắn vào hệ thống cáp;
7.2.4 Bảo trì thiết bị (Equipment maintenance)
Thiết bị cần được bảo trì đúng cách nhằm đảm bảo tính sẵn sàng và tính toàn vẹn của chúng
Dưới đây là các quy tắc cần lưu ý:
a) Thiết bị cần được bảo trì theo mô tả và yêu cầu của người cung cấp
b) Chỉ những cá nhân bảo trì hợp pháp mới được thực hiện sửa chữa và bảo dưỡng thiết bị
c) Cần lưu trữ hồ sơ về các lỗi thực tế và các lỗi khả nghi cùng với quá trình bảo trì, ngăn chặn chúng
d) Cần có những qui tắc phù hợp đối với việc gửi thiết bị ra bên ngoài tổ chức để bảo trì (như 7.2.6 đối với vấn đề xóa, ghi đè dữ liệu) Các yêu cầu cần bắt buộc đưa
ra trong hợp đồng bảo hiểm và chấp hành đầy đủ
7.2.5 An toàn thiết bị bên ngoài tổ chức (Security of equipment off-premises)
Không quan tâm đến quyền sở hữu, việc sử dụng bất kỳ thiết bị nào bên ngoài tổ chức cho việc xử lý thông tin cần được cho phép bởi nhà quản lý
Vấn đề an toàn đã đưa ra cần tương xứng với vị trí đặt thiết bị, cần đưa vào danh mục các rủi ro đối với các thiết bị bên ngoài tổ chức Thiết bị xử lý thông tin bao gồm các dạng như máy tính cá nhân, người tổ chức, điện thoại di động, giấy hoặc các dạng khác phục vụ công việc ở nhà hoặc đang được chuyển khỏi nơi làm việc Cần lưu ý những hướng dẫn dưới đây:
a) Các thiết bị và phương tiện đưa ra bên ngoài tổ chức không nên lơ là trách nhiệm Các máy tính xách tay cần đem theo như hành lý xách tay và không nên phô trương ra ngoài
b) Các hướng dẫn của nhà sản xuất đối với việc bảo vệ thiết bị cần được quan sát mọi lúc như vấn đề bảo vệ để chống lại các khu vực có điện từ mạnh
c) Các quy tắc làm việc ở nhà cần được xác định bằng việc đánh giá rủi ro và áp dụng các quy tắc thích hợp, như khóa tủ, các chính sách về bàn làm việc sạch, các quy tắc truy cập máy tính
d) Cần đặt các lớp bảo vệ thiết bị Các rủi ro về an toàn, như phá hủy, trộm và nghelén có thể được xem xét tại các vị trí khác nhau và cần được đưa vào danh mục nhằm xác định các quy tắc thích hợp nhất Các thông tin cụ thể hơn về vấn đề bảo
Trang 307.3 Các quy tắc chung (General controls)
Mục tiêu: Nhằm ngăn chặn vấn đề xâm phạm, trộm cắp thông tin và các tài sản xử
lý thông tin
Thông tin và các tài sản xử lý thông tin cần được bảo vệ nhằm chống lại sự phô bày, sửa đổi, trộm cắp của những người bất hợp pháp, cũng như cần đưa vào các quy tắc nhằm giảm thiểu sự mất mát hoặc phá hủy
Các thủ tục lưu trữ và xử lý cần được lưu ý trong mục 8.6.3
7.3.1 Chính sách màn hình sạch và bàn làm việc sạch (Clear desk and clear
screen policy)
Tổ chức cần xem xét thông qua chính sách bàn làm việc sạch đối với các phương tiện lưu trữ có thể di chuyển được cũng như giấy tờ và chính sách màn hình sạch đối với các tài sản tham gia vào quá trình xử lý thông tin nhằm giảm thiểu rủi ro từ các truy cập bất hợp pháp, mất mát và phá hủy thông tin trong, ngoài giờ làm việc Chính sách cần đưa vào danh mục phân loại an toàn thông tin (xem 5.2), các rủi ro tương ứng và các khía cạnh về mặt văn hóa của tổ chức
Thông tin bị bỏ quên trên bàn làm việc sẽ có nhiều khả năng bị xâm phạm hoặc phá hủy khi xảy ra thảm họa như hỏa hoạn, lũ lụt và cháy nổ
Dưới đây là những quy tắc cần lưu ý:
a) Máy tính, giấy tờ cần được lưu trữ tại những nơi phù hợp như tủ có khóa, hoặc
Trang 31là trong các đồ đạc khác một cách an toàn khi không sử dụng đặc biệt là ngoài giờ làm việc.
b) Các thông tin kinh doanh mang tính quyết định và nhạy cảm cần được khóa liên tục (tủ an toàn chống cháy) khi không có yêu cầu đặc biệt là khi văn phòng bỏ không
c) Máy tính cá nhân, các thiết bị đầu cuối và máy in không nên loại bỏ chế độ logon khi không có người giám sát và cần được bảo vệ bằng khóa, password mạnh hoặc các quy tắc khác khi không sử dụng
d) Nơi gửi và nhận thư và các máy fax, máy telex cần được bảo vệ
e) Máy photo cần được khóa (hoặc được bảo vệ khỏi sự sử dụng bất hợp pháp theo nhiều cách khác nhau) ngoài giờ làm việc
f) Khi in ấn các thông tin đã được phân loại hoặc thông tin nhạy cảm cần được xóa
bỏ khỏi máy in ngay lập tức
7.3.2 Việc di rời tài sản (Removal of property)
Không nên di rời thiết bị, thông tin hoặc phần mềm khi không có sự cho phép Nếucần thiết và cảm thấy phù hợp, phải tắt thiết bị và log trở lại khi hoàn thành việc di rời Cần có các đợt kiểm tra đột xuất nhằm phát hiện các sự di rời tài sản mà không
có sự cho phép Các cá nhân cần ý thức rằng các đợt kiểm tra đột xuất sẽ được thựchiện
8 Quản lý tác nghiệp và thông tin liên lạ c (Communications and operations
Cần triển khai các trách nhiệm một cách tách biệt sao cho thích hợp (xem 8.1.4), nhằm giảm thiểu rủi ro từ việc sử dụng hệ thống thiếu cẩn thận hoặc có chủ ý
8.1.1 Đưa các thủ tục hoạt động thành văn bản (Documented operating
procedures)
Các thủ tục đang vận hành đã định rõ bởi chính sách an toàn cần được đưa thành văn bản và duy trì Các thủ tục hoạt động cần được coi là văn bản chính thức và
Trang 32mọi sự thay đổi đều do nhà quản lý.
Các thủ tục cần xác định rõ hướng dẫn thực hiện cụ thể cho mỗi công việc, bao gồm:
f) các thủ tục khôi phục và khởi động lại hệ thống khi gặp các lỗi hệ thống trong quá trình sử dụng
Các thủ tục đã được đưa thành văn bản cần được chuẩn bị cho việc quản lý hệ thống kết hợp với các tài sản tham gia vào quá trình xử lý thông tin và thông tin liên lạc như các thủ tục khởi động và tắt máy tính, bảo trì thiết bị, phòng máy và quản lý việc xử lý mail an toàn
8.1.2 Kiểm soát thay đổi hoạt động (Operational change control)
Sự thay đổi các tài sản xử lý thông tin và các hệ thống cần được kiểm soát Sự thiếu quan tâm đến việc kiểm soát các thay đổi tài sản xử lý thông tin là một
nguyên nhân phổ biến gây ra các lỗi về bảo mật cũng như các lỗi hệ thống Cần đưa vào các thủ tục và trách nhiệm quản lý nhằm đảm bảo sự kiểm soát mọi sự thay đổi về thiết bị, phần mềm và các thủ tục Các chương trình đang hoạt động cần đưa ra sự kiểm soát thay đổi một cách chặt chẽ Khi chương trình bị thay đổi cần giữ lại các log kiểm soát chứa các thông tin liên quan Sự thay đổi môi trường hoạt động có thể ảnh hưởng đến các ứng dụng Nếu khả thi, các thủ tục kiểm soát các sự thay đổi ứng dụng cũng như hoạt động cần được hội nhập (xem 10.5.1) Cụ thể, các quy tắc sau cần được lưu ý:
a) xác định và ghi lại các sự thay đổi quan trọng;
b) đánh giá các sự ảnh hưởng tiềm ẩn đối với việc thay đổi;
c) thủ tục phê chuẩn chính thức đối với các sự thay đổi đã đề xuất;
d) thông báo các sự thay đổi một cách cụ thể đến những người có liên quan;
e) các thủ tục xác định trách nhiệm đối với việc hủy bỏ và khôi phục từ các sự thayđổi không thành công
Trang 338.1.3 Các thủ tục quản lý sự cố (Incident management procedures)
Cần thiết lập các thủ tục và trách nhiệm quản lý sự cố nhằm đảm bảo sự phản ứng nhanh, hiệu quả và có trình tự trước các vấn đề về bảo mật (xem 6.3.1) Dưới đây
là các quy tắc cần được lưu ý:
a) Cần thiết lập các thủ tục bao trùm được các kiểu sự cố bảo mật tiềm ẩn, bao gồm:
a hỏng hóc hệ thống thông tin và mất dịch vụ;
b từ chối dịch vụ;
c lỗi do dữ liệu kinh doanh thiếu chính xác và thiếu tính đầy đủ;
d vi phạm tính mật
b) Thêm vào các thủ tục dự trù (được thiết kế nhằm khôi phục hệ thống hoặc dịch
vụ nhanh nhất có thể) có tính bao trùm (xem 6.3.4):
a phân tích và xác định nguyên nhân sự cố;
b lập kế hoạch và triển khai biện pháp ngăn chặn, nếu cần;
c tập hợp các cuộc theo dõi kiểm toán và các dấu hiệu tương tự;
d liên lạc với những nơi ảnh hưởng bởi sự cố hoặc những nơi có nhiệm vụ phục hồi sự cố;
e báo cáo hành động tới các cấp có thẩm quyền thích hợp
c) Các cuộc theo dõi kiểm toán cũng như các dấu hiệu tương tự cần được tập hợp (xem 12.1.7) và đảm bảo an toàn cho:
a phân tích các vấn đề bên trong;
b sử dụng bằng chứng liên quan đến các lỗ hổng mắc phải, lỗ hổng về việc điều tiết các yêu cầu hoặc các sự kiện liên quan đến luật hoặc xử lý tội phạm như luật bảo vệ dữ liệu hoặc luật về việc bảo vệ sự lạm dụng máy tính, …;
c dàn xếp việc đền bù từ các nhà cung cấp dịch vụ và các nhà cung cấp phần mềm.d) Các hành động khôi phục các lỗ hổng bảo mật và các lỗi hệ thống cần được kiểm soát công khai và cẩn thận Thủ tục đó đảm bảo rằng:
a chỉ nhân viên hợp pháp và được xác minh rõ ràng mới được phép truy cập tới các hệ thống và dữ liệu sống (xem 4.2.2 cho việc truy cập của đơn vị thứ 3);
b các hành động mang tính khẩn cấp cần được đưa ra thành văn bản cụ thể;
c hành động khẩn cấp được báo cáo tới nhà quản lý và được xem xét lại cách thi hành;
d tính toàn vẹn của hệ thống kinh doanh và các sự kiểm soát được xác nhận với độtrì hoãn là tối thiểu
8.1.4 Phân bổ trách nhiệm (Segregation of duties)
Phân bổ trách nhiệm là phương pháp giảm thiểu rủi ro đối với việc lạm dụng hệ
Trang 34thống kể cả vô tình hay cố tình Cần phân bổ sự quản lý, sự thực hiện đúng bổn phận, đúng phạm vi trách nhiệm nhằm giảm thiểu cơ hội đối với những sự lạm dụng và sửa đổi bất hợp pháp.
Đối với các tổ chức có quy mô nhỏ, khó có thể đạt được phương pháp kiểm soát theo kiểu này, tuy nhiên về nguyên lý có thể áp dụng cho đến khi khả thi và có thể
áp dụng được Khi gặp phải khó khăn trong sự phân bổ trách nhiệm, cần lưu ý đến các sự kiểm soát khác như giám sát các hành vi, theo dõi kiểm toán và giám sát quản lý Cần lưu ý rằng không có một cá nhân nào phạm tội trong phạm vi trách nhiệm của họ vì điều đó sẽ bị phát hiện Việc bắt đầu một sự kiện cần được tách biệt về mặt quyền hạn của nó
Dưới đây là những quy tắc cần được lưu ý:
a) Tách biệt hành vi nhằm tránh các vấn đề lừa gạt, như đưa ra hóa đơn mua hàng
và xác nhận rằng hàng hóa đã nhận được
b) Nếu có nguy cơ câu kết, phối hợp thì cần đặt ra các quy tắc kiểm soát nhằm thu hút những người đó, bằng cách này có khả năng làm giảm khả năng câu kết, phối hợp của họ
8.1.5 Phân tách tình trạng phát triển và tình trạng hoạt động của tài sản
(Separation of development and operational facilities)
Sự tách biệt giữa quá trình phát triển, kiểm tra và hoạt động của tài sản là một vấn
đề quan trọng hướng tới mục đích tách biệt về vai trò Nguyên tắc của việc chuyển một phần mềm từ trạng thái phát triển sang trạng thái hoạt động cần được xác định
rõ và đưa thành văn bản
Sự phát triển và các hành vi kiểm tra có thể là nguyên nhân của các vấn đề nghiêm trọng, như sửa đổi các file ngoài ý muốn hoặc hỏng hóc về hệ thống hoặc môi trường hệ thống Giữa môi trường phát triển, kiểm tra và hoạt động thì mức độ táchbiệt là hoàn toàn cần thiết và cần được chú ý đến nhằm ngăn chặn các vấn đề trong khi hoạt động Cũng cần triển khai sự phân tách tương tự giữa chức năng kiểm tra
và chức năng phát triển
Trong trường hợp này, một yêu cầu nhằm xác định môi trường là đã biết và ổn định để thực hiện việc kiểm tra và ngăn chặn các truy cập không phù hợp Nhân viên kiểm tra và phát triển truy cập tới các hệ thống hoạt động và các thông tin của
nó, họ có thể đưa vào các mã không được phép và không được thử nghiệm hoặc là thay thế dữ liệu hoạt động Trên một vài hệ thống, khả năng này có thể bị lạm dụngnhằm gian lận, hoặc đưa vào các mã hiểm độc hoặc mã không được phép kiểm tra
Trang 35Các loại mã này có thể là nguyên nhân cho hàng loạt vấn đề nghiêm trọng Hầu hếtcác chuyên viên phát triển và tester đưa ra mối đe dọa cho tính mật của việc sử dụng thông tin Sự phát triển cũng như các hành động nhằm kiểm tra có thể là nguyên nhân dẫn đến các thay đổi phần mềm, thay đổi thông tin mà không dự tính trước được nếu họ cùng chia sẻ môi trường tính toán Việc tách biệt các tài sản đang hoạt động, tài sản kiểm tra và tài sản phát triển là điều nhằm giảm thiểu rủi rocủa việc thay đổi bất thường hoặc truy cập bất hợp pháp tới hoạt động của phần mềm cũng như dữ liệu kinh doanh
Dưới đây là một số quy tắc cần được lưu ý:
a) Việc phát triển phần mềm cũng như phần mềm đang trong trạng thái hoạt động cần chạy trên các máy tính khác nhau, hoặc trong các domain hoặc thư mục khác.b) Các hành vi phát triển và kiểm tra cần được tách biệt rõ ràng nếu có thể
c) Trình biên dịch, trình soạn thảo và các tiện ích hệ thống khác không được truy cập từ hệ thống đang hoạt động nếu không được yêu cầu
d) Các thủ tục đăng nhập cần được sử dụng cho hoạt động cũng như kiểm tra hệ thống, nhằm giảm thiểu các lỗi Cần khuyến khích người sử dụng dùng các mật khẩu khác nhau cho các hệ thống này và các menu cần hiển thị các thông điệp rõ ràng, phù hợp
e) Các chuyên viên phát triển chỉ truy cập dùng các password đã được tạo phục vụ cho việc hỗ trợ hoạt động của hệ thống Các quy tắc cần đảm bảo rằng, các
password được thay đổi sau khi sử dụng
8.1.6 Quản lý tài sản bên ngoài (External facilities management)
Việc sử dụng nhà thầu bên ngoài để quản lý các tài sản xử lý thông tin có thể tiềm
ẩn việc để lộ ra các vấn đề bảo mật như khả năng làm tổn hại, phá hủy hoặc mất mát dữ liệu bên nhà thầu Các rủi ro này cần xác định bằng các quy tắc được thỏa thuận trước với nhà thầu và được thống nhất trong hợp đồng (xem 4.2.2 và 4.3 về vấn đề hướng dẫn trên các hợp đồng của đơn vị thứ 3 bao gồm việc truy cập đến các tài sản tổ chức và hợp đồng thuê khoán)
Cụ thể là:
a) xác định các ứng dụng quan trọng và mang tính nhạy cảm hơn là giữ lại trong trụ sở;
b) có sự chấp thuận của người sở hữu ứng dụng kinh doanh đó;
c) các vấn đề liên quan đến tính liên tục trong kế hoạch kinh doanh
d) cần xác định các tiêu chuẩn về bảo mật và quy trình cho việc chấp hành đánh giá;
e) phân bổ trách nhiệm cụ thể và các thủ tục nhằm giám sát một cách hiệu quả các
Trang 36hành vi liên quan đến vấn đề an toàn;
f) các trách nhiệm cũng như thủ tục báo cáo và xử lý các vấn đề về bảo mật (xem 8.1.3)
8.2 Chấp nhận và quy hoạch hệ thống (System planning and acceptance)
Mục tiêu: Giảm thiểu rủi ro do các lỗi hệ thống
Việc yêu cầu chuẩn bị và quy hoạch hệ thống nhằm đảm bảo tính sẵn sàng đầy đủ
về dung lượng cũng như tài nguyên
Cần đưa ra dự thảo về các yêu cầu dung lượng trong tương lai, nhằm giảm thiểu rủi
ro quá tải hệ thống
Cần thiết lập các yêu cầu hoạt động của các hệ thống mới, đưa ra thành văn bản, kiểm tra trước khi được chấp nhận và sử dụng
8.2.1 Quy hoạch dung lượng (Capacity planning)
Cần giám sát và dự toán các yêu cầu dung lượng trong tương lai nhằm đảm bảo tính sẵn sàng trong khả năng xử lý và lưu trữ Dự toán cần đưa vào danh mục các yêu cầu hệ thống, yêu cầu kinh doanh mới cũng như định hướng hiện tại, định hướng đã dự kiến trong việc xử lý thông tin của tổ chức
Các máy mainframe cần có một sự chú ý đặc biệt, do giá thành cao và thời gian đưa vào các chức năng mới cần nhiều hơn Những người quản lý các dịch vụ mainframe cần giám sát việc sử dụng các tài nguyên chủ yếu của hệ thống, bao gồm bộ xử lý, bộ lưu trữ, việc lưu trữ file, máy in, các thiết bị đầu ra khác và các
hệ thống truyền thông Họ cần xác định rõ hướng sử dụng một cách cụ thể trong mối quan hệ với các ứng dụng kinh doanh hoặc sự quản lý các công cụ hệ thống thông tin Nhà quản lý cần sử dụng các thông tin này để xác định và tránh các lỗi thắt cổ chai, điều đó có thể đưa đến các mối đe dọa về an toàn hệ thống hoặc các dịch vụ người dùng, và đặt ra kế hoạch thích hợp cho việc sửa lỗi
8.2.2 Chấp nhận hệ thống (System acceptance)
Cần thiết lập các điều kiện để chấp nhận cũng như nâng cấp các phiên bản hệ thống thông tin mới đồng thời thực hiện việc kiểm tra chặt chẽ hệ thống trước khi chấp nhận Các nhà quản lý cần đảm bảo xác định rõ các điều kiện, yêu cầu cho việc chấp nhận các hệ thống mới, cũng như việc thỏa thuận, đưa ra thành văn bản
và kiểm tra Dưới đây là các quy tắc cần được lưu ý:
a) các yêu cầu về dung lượng và hiệu suất máy tính;
b) các thủ tục tìm lỗi, và thủ tục khởi động lại, các kế hoạch đối với các vấn đề xảy
ra bất thường;
Trang 37c) chuẩn bị và kiểm tra các thủ tục hoạt động hàng ngày nhằm đưa ra các tiêu chuẩn;
d) thỏa thuận để đưa ra các quy tắc an toàn;
e) các thủ hục hướng dẫn có tính hiệu quả;
f) sắp xếp tính liên tục trong kinh doanh, được yêu cầu ở mục 11.1;
g) chứng minh rằng sự cài đặt các hệ thống mới sẽ không làm ảnh hưởng đến các
hệ thống đang tồn tại, cụ thể là thời gian xử lý nhiều;
h) chứng minh rằng việc cân nhắc đưa vào các hệ thống mới mang lại tính hiệu quả
về vấn đề bảo mật của tổ chức;
i) đào tạo về vấn đề hoạt động và sử dụng hệ thống mới
Vấn đề chính khi mở rộng các hệ thống mới là sự thao tác chức năng và người dùng cần được tham khảo tại mọi giai đoạn trong quá trình phát triển nhằm đảm bảo hiệu quả hoạt động so với mục đích thiết kế hệ thống Cần thực hiện các sự kiểm tra thích hợp nhằm xác nhận các điều kiện chấp nhận là đầy đủ
8.3 Bảo vệ trước phần mềm độc hại (Protection against malicious software)
Mục tiêu: Nhằm bảo vệ tính toàn vẹn của phần mềm và thông tin
Cần phòng ngừa nhằm ngăn chặn và nhận dạng việc đưa vào các phần mềm hiểm độc Phần mềm và các tài sản xử lý thông tin là các nguy cơ cho việc đưa vào các phần mềm hiểm độc như virus máy tính, worm, trojan (xem 10.5.4) và logic
bombs Người sử dụng cần nhận thức được mức độ nguy hiểm của các phần mềm hiểm độc cũng như phần mềm bất hợp pháp, nếu có thể, người quản lý cần đưa ra các quy tắc nhằm nhận dạng và ngăn chặn việc đưa vào các phần mềm hiểm độc
đó Nói một cách cụ thể, đó là bản chất của việc đưa ra biện pháp phòng ngừa nhằm nhận dạng và ngăn chặn virus máy tính trên các máy tính cá nhân
8.3.1 Các quy tắc phòng ngừa phần mềm độc hại (Controls against malicious
software)
Cần triển khai các quy tắc nhận dạng và ngăn chặn nhằm bảo vệ trước phần mềm độc hại và các tạo ra nhận thức cho người dùng Sự bảo vệ chống lại phần mềm độc hại cần dựa trên sự nhận thức về bảo mật, các quy tắc truy cập hệ thống cũng như sự thay đổi các quy tắc quản lý Dưới đây là một số quy tắc cần được lưu ý:a) yêu cầu chấp hành các chính sách đúng với licence phần mềm và ngăn chặn việc
sử dụng phần mềm bất hợp pháp (xem 12.1.2.2);
b) các chính sách bảo vệ trước các rủi ro liên quan đến file và phần mềm đang sử dụng, xuất phát hoặc được truyền tải qua mạng ngoài tổ chức, hoặc trên bất kỳ phương tiện nào, biện pháp bảo vệ cần đưa ra là gì (xem 10.5, đặc biệt là 10.5.4 và 10.5.5);
Trang 38c) cài đặt và thường xuyên cập nhật phần mềm sửa lỗi và phần mềm nhận dạng phòng chống virus nhằm quét các máy tính và thiết bị, coi đó là một quy tắc việc phòng ngừa hoặc là thói quen thường nhật.
d) chỉ đạo việc xem xét phần mềm và nội dung dữ liệu của hệ thống một cách thường xuyên nhằm hỗ trợ các quá trình kinh doanh mang tính then chốt Sự xuất hiện các file không cho phép hoặc sự sửa đổi bổ sung bất hợp pháp cần được điều tra một cách chính thức
e) kiểm tra các file trên thiết bị điện tử có nguồn gốc bất hợp pháp và không đáng tin cậy, hoặc các file nhận được qua mạng không an toàn, quét virus trước khi sử dụng;
f) kiểm tra các phần đính kèm thư điện tử và kiểm tra việc download các phần mềm độc hại trước khi sử dụng Việc này có thể được thực hiện tại nhiều nơi khác nhau, như tại các máy chủ mail, máy tính cá nhân hoặc khi vào mạng của một tổ chức;
g) sự quản lý các thủ tục và trách nhiệm đối với vấn đề chống virus trên các hệ thống, đào tạo cách sử dụng của họ, báo cáo và phục hồi từ các tấn công của virus (xem 6.3 và 8.1.3);
h) các kế hoạch đảm bảo tính liên tục trong kinh doanh một cách phù hợp đối với vấn đề khôi phục các tấn công do virus, bao gồm việc back-up phần mềm, dữ liệu cần thiết và cải tiến sự phục hồi (xem Phần 11);
i) các thủ tục nhằm xác định mọi thông tin liên quan đến phần mềm độc hại, và đảm bảo rằng các cảnh báo là chính xác và có tác dụng nâng cao kiến thức Các nhà quản lý cần đảm bảo rằng việc hạn chế các nguồn tài liệu như như các tạp chí đáng tin cậy, các site trên Internet tin cậy hoặc nhà cung cấp phần mềm chống virus, được sử dụng nhằm phân biệt các trò lừa đảo và virus thực sự Nhân viên cần
có ý thức về vấn đề lừa đảo và những hậu quả do chúng gây ra
Các quy tắc này đặc biệt quan trọng cho các file server trên mạng trong việc hỗ trợ một số lượng lớn các workstation
8.4 Công việc quản lý (Housekeeping)
Mục tiêu: Nhằm duy trì tính toàn vẹn và tính sẵn sàng của việc xử lý thông tin và các dịch vụ truyền thông
Cần thiết lập các thủ tục hàng ngày đối với việc thực hiện chiến lược back-up đã thống nhất trước (xem 11.1) nhằm đưa ra các bản sao lưu dữ liệu và thử đưa ra thờigian phục hồi trở lại, các sự kiện log, lỗi, vấn đề giám sát môi trường thiết bị
8.4.1 Sao lưu thông tin (Information back-up)
Trang 39Cần đưa ra việc sao lưu các thông tin kinh doanh quan trọng cũng như phần mềm một cách thường xuyên Các tài sản sao lưu dữ liệu thích hợp cũng cần được cung cấp nhằm đảm bảo rằng mọi thông tin kinh doanh mang tính quan trọng cũng như phần mềm đều được phục hồi sau các thảm họa hoặc sau các sự hỏng hóc thiết bị
Sự sắp xếp việc sao lưu đối với các hệ thống cá nhân cần được kiểm tra thường xuyên nhằm đảm bảo rằng chúng phù hợp với các yêu cầu cho kế hoạch về tính liên tục trong kinh doanh (xem mục 11) Dưới đây là một số quy tắc cần được lưu ý:
a) Mức độ tối thiểu của việc sao lưu thông tin cũng như tính chính xác và tính hoànchỉnh của việc sao lưu, các thủ tục phục hồi được đưa ra thành văn bản và cần được lưu trữ tại những nơi có khoảng cách tránh được sự phá hủy từ các thảm họa
Ít nhất cần đưa ra 3 lớp hoặc là 3 chu kỳ của việc backup thông tin đối với các ứng dụng kinh doanh quan trọng
b) Việc sao lưu thông tin cũng cần đưa ra mức độ thích hợp về mặt vật lý và sự bảo
vệ thuộc về môi trường (xem phần 7) sao cho phù hợp với các chuẩn đã được áp dụng tại tổ chức đó (at the main site) Các quy tắc đã áp dụng đối với các phương tiện tại vị trí của tổ chức cần được mở rộng cho vị trí backup
c) Các thiết bị backup cần được kiểm tra thường xuyên nếu khả thi nhằm đảm bảo tính tin cậy với các trường hợp khẩn cấp
d) Cần kiểm tra và thử nghiệm các thủ tục phục hồi một cách thường xuyên nhằm đảm bảo tính hiệu quả và tính hoàn thiện trong phạm vi thời gian thao tác phục hồi cho phép
Cần xác định thời gian lưu trữ thông tin kinh doanh quan trọng cũng như các yêu cầu lưu trữ các bản copy một cách thường xuyên, cố định (xem 12.1.3)
8.4.2 Log của người điều hành (Operator logs)
Người điều hành cần lưu các hành vi của họ bằng file log Bao gồm:
a) thời gian bắt đầu và kết thúc hệ thống;
b) các lỗi hệ thống và các hành động hiệu chỉnh đưa ra;
c) xác thực tính đúng đắn trong việc xử lý các file dữ liệu và đầu ra;
d) tên của người tạo ra các log
Các log của người điều hành cần được quan tâm một cách thường xuyên, kiểm tra một cách độc lập với các thủ tục thao tác
8.4.3 Log ghi lỗi (Fault logging)
Cần báo cáo và đưa ra các hành động hiệu chỉnh đối với các lỗi Các lỗi đã được người dùng báo cáo về các vấn đề xử lý thông tin hoặc các hệ thống truyền thông cần được ghi lại Một số quy tắc cho việc xử lý các lỗi báo cáo bao gồm:
Trang 40a) xem lại các log ghi lỗi để đảm bảo rằng các lỗi đã được giải quyết chưa;
b) xem lại các phương án hiệu chỉnh để đảm bảo rằng các quy tắc không bị xâm phạm và các hành động đưa ra là hoàn toàn hợp pháp
8.5 Quản trị mạng (Network management)
Mục tiêu: nhằm đảm bảo tính an toàn thông tin trong môi trường mạng và bảo vệ
cơ sở hạ tầng
Có thể yêu cầu đưa vào một số quy tắc nhằm bảo vệ dữ liệu nhạy cảm qua các mạng công cộng
8.5.1 Các quy tắc mạng lưới (Network controls)
Phạm vi của các quy tắc được yêu cầu nhằm đạt được và duy trì tính bảo mật mạngmáy tính Các nhân viên quản trị mạng cần triển khai các quy tắc nhằm đảm bảo tính bảo mật dữ liệu trên mạng và bảo vệ các dịch vụ đã được kết nối từ các truy cập bất hợp pháp Cụ thể, dưới đây là một số quy tắc cần được lưu ý:
a) Trách nhiệm đối với hoạt động mạng cần tách biệt với các thao tác máy tính sao cho thích hợp (xem 8.1.4)
b) Cần thiết lập trách nhiệm và thủ tục đối với việc quản lý thiết bị từ xa, bao gồm thiết bị tại nơi người sử dụng
c) Nếu cần thiết, có thể thiết lập các quy tắc đặc biệt nhằm đảm bảo tính mật và tính toàn vẹn dữ liệu khi đi qua các mạng công cộng, và bảo vệ các hệ thống đã kếtnối (xem 9.4 và 10.3) Các quy tắc đặc biệt này có thể được yêu cầu nhằm duy trì tính sẵn sàng của các dịch vụ mạng cũng như các máy tính đã kết nối
d) Cần phối hợp một cách chặt chẽ các hành động quản lý cả về mặt tối ưu dịch vụ lẫn kinh doanh và đảm bảo các quy tắc được áp dụng một cách nhất quán thông qua cơ sở hạ tầng xử lý thông tin
8.6 An toàn và xử lý thiết bị (Media handling and security)
Mục tiêu: Nhằm ngăn chặn sự phá hủy tài sản và làm gián đoạn hoạt động kinh doanh của tổ chức
Các thiết bị cần được quản lý và bảo vệ về mặt vật lý
Cần thiết lập các thủ tục hoạt động thích hợp nhằm bảo vệ văn bản, thiết bị máy tính (băng, đĩa, băng cassettes), dữ liệu đầu vào/ra và các hệ thống tài liệu trước sự phá hủy, trộm cắp và truy cập bất hợp pháp
8.6.1 Quản lý các thiết bị máy tính có thể di dời (Management of removable
computer media)