Kinh nghiệm quản lý an tồn thơng tin hiệu Giới thiệu Những kinh nghiệm trình bày viết đúc kết qua công việc thực tế mà thực công ty chấp tài sản Công ty bao gồm chi nhánh văn phòng ngân hàng điện tử, ngân hàng trực tuyến Với cương vị người phụ trách an tồn thơng tin cơng ty việc tơi cần phải làm vấn đề an tồn, bảo mật xuyên suốt công ty Công ty chấp tài sản tất hệ thống phải quản lý tiêu chuẩn bảo mật dùng ngân hàng Bạn tìm báo cáo đề cập đến nghiên cứu kết mà vạch từ trước nhằm thực áp dụng vấn đề bảo mật thông tin công ty này, mục tiêu nhằm bảo đảm thành công mạo hiểm đầu tư vào ngân hàng điện tử Với thời gian nhỏ 90 ngày tính đến ngân hàng mở cửa khai trương hoạt động (cả ngân hàng thông thường ngân hàng điện tử), cần có kế hoạch nghiêm túc đối phó với công Các nghiên cứu kế hoạch kiểm tra nhân tố thành công bảo mật Sau nghiên cứu ngân hàng thương mại điện tử, theo bước để quản lý bảo mật chuẩn bị cho việc xây dựng chế độ an ninh cho ngân hàng mở Thu thập thông tin Bạn tìm hiểu xem hệ thống bạn làm việc tự đào tạo an tồn, bảo mật thơng tin Hãy bắt đầu cơng việc quản lý an tồn thơng tin cách thu thập đánh giá dựa liệu có Sau đó, tơi giữ lại tất sách, thủ tục, học, đánh giá rủi ro, xác nhận, chứng thực, ứng dụng có hệ thống (phần mềm), sơ đồ mạng Các tài liệu mạng, phần cứng, ứng dụng thu thập đầy đủ Chúng xem xét tổng hợp lại sở hiểu biết sản phẩm thương mại văn hóa cơng ty Các sách bị mát, thiếu sót ghi chép lại, biểu đồ tiến trình thực giúp tơi hiểu rõ ràng sách hệ thống thơng tin có thủ tục, kiến trúc, sở hạ tầng Chính sách bảo mật Một hệ thống an toàn, bảo mật tốt sách rõ ràng triển khai Trong mơi trường ngân hàng, có u cầu cần điều chỉnh để xem xét nhiều mặt sách an toàn, bảo mật, nắm bắt báo cáo rủi ro, thiệt hại cơng Bạn tham khảo tài liệu tốt sách an tồn, bảo mật áp dụng cho ngân hàng nhiều website như: Federal Financial Institutions Examination Council (FFIEC), Office of Thrift Supervision (OTS), and the Office of the Comptroller of the Currency (OCC) Theo luật định, tập đồn viễn thơng, chun gia nguồn nhân lực cần xem xét cách tồn diện sách an tồn, bảo mật Chính sách an toàn, bảo mật cần phải bao gồm kế hoạch bảo mật để đảm bảo thống với tất kiến trúc đối tượng có tồn cơng ty Đánh giá rủi ro/Phân tích lỗ hổng Quản lý rủi ro trình xác định tiết lộ bảo mật giải pháp khuyến cáo Nó nhằm mục đích cung cấp cho nhà quản lý thông tin rủi ro hành động khắc phục cần thiết Có tay đánh giá, người quản trị định làm để bảo vệ thông tin họ Tôi sử dụng công cụ đánh giá rủi ro để giúp phát lỗ hổng đe dọa đến tính bí mật, tính tồn vẹn, tính sẵn sàng thơng tin Mỗi phát ghi chép lại rủi ro, thơng tin người có trách nhiệm định xem mức độ rủi ro chấp nhận hay không Các rủi ro chấp nhận xem xét lại hỗ trợ cho việc tài liệu hóa q trình giải lỗi vi phạm Các rủi ro không chấp nhận địi hỏi phải có kế hoạch hành động sửa chữa để loại trừ hay giảm thiểu rủi ro Với liệu thu thập đánh giá đầy đủ rủi ro, bước thực phân tích lỗ hổng hệ thống Trên sở học FFIEC IS, tiến hành xác định lỗ hổng phác thảo kế hoạch hành động Với trang bị đánh giá rủi ro/phân tích lỗ hổng kế hoạch cho dự án, bắt đầu chuẩn bị kế hoạch bảo mật cá nhân Nhận thức bảo mật Một tháng sau ngân hàng mở cửa; thuê nhà cung cấp an toàn, bảo mật để giúp đỡ tơi việc nhận thức tốt Chúng tơi xem xét vài Website an tồn, bảo mật (cả nhà cung cấp thực hiện) tổ chức vài họp bàn kết mà học lĩnh vực bảo mật Các khoá đào tạo bảo mật đưa nhiều câu hỏi trả lời trình bày hình thức thong tin qua điện thoại thư tín điện tử trực tiếp Các hoạt động giúp người ghi nhớ quan tâm thực vào vấn đề an tồn, bảo mật Việc hình thành báo cáo nóng 7x24, với kết hợp phịng quản lý nhân giúp đỡ tơi thực đào tạo an toàn, bảo mật cho thành viên Để giữ vấn đề an toàn, bảo mật vị trí hàng đầu, việc tiếp tục trao đổi thơng tin đào tạo an tồn, bảo mật cần khuyến khích thực Các thơng tin cảnh báo an toàn bảo mật thường xuyên trao đổi qua thư điện tử đưa lên Website nội Vấn đề quan trọng phải tiếp tục nhắc nhở thành viên trách nhiệm giữ gìn an tồn bảo mật họ Proactive Measures Cơng việc an tồn, bảo mật địi hỏi đầu tư lớn vào công nghệ, dịch vụ, người, thay đổi thường xun văn hóa cơng ty An tồn bảo mật thơng tin bao gồm phát truy cập trái phép, giám sát, theo dõi, xác định ranh giới tiêu chuẩn, kiểm tra đào tạo kỹ thuật Các theo dõi giám sát trực tiếp giúp cho phát bất thường xâm nhập trái phép vào hệ thống mạng bạn Dưới cách thức để xiết chặt bảo mật hệ thống Unix:  Hãy sử dụng tường lửa để bảo vệ hệ thống mạng bạn  Cài đặt sửa lỗi thường xuyên  Thực theo dõi root UID hệ thống  Hạn chế tất dịch vụ, tiến trình khơng cần thiết  Xiết chặt cấu hình tất dịch vụ, tiến trình có mạng  Làm cho hạt nhân hệ thống thật vững  Cài đặt hệ thống phát truy cập trái phép  Đào tạo quản trị hệ thống (SysAdmin) đào tạo người dùng cuối (End-users) Tổ chức bạn cần phải kiểm tra vấn đề an toàn, bảo mật bên tổ chức cách kiểm tra liên lạc với bên dẫn đến lỗ hổng Việc đánh giá lỗ hổng bảo mật giúp bạn hiểu rủi ro phát tổ chức Việc thực kiểm tra tổ chức tin cậy độc lập bên cho tổ chức bạn đối tượng cần bảo mật Trong có nhiều thứ cần phải cải thiện, lỗ hổng dễ dàng sửa chữa Các máy chủ (Unix NT) chạy dịch vụ không cần thiết, chẳng hạn ftp, finger, mail, cần điều chỉnh lại Mỗi dịch vụ mở, có nhiều lỗ hổng dễ bị cơng Hệ thống phát truy cập trái phép dị tìm lỗ hổng cần đề cập đến kế hoạch, sách an tồn, bảo mật Giám sát bảo mật kiểm tra cần quan tâm thích hợp, công cụ hỗ trợ nghiên cứu Các sách có hướng dẫn kiểm tra để xem xét lại trình truy cập người dùng trước Quá trình xem xét bao gồm trình làm việc với người quản lý người sở hữu thông tin để xem xét lại truy cập đến thông tin Các thông báo chuyển dựa truy cập biết Một việc quan trọng áp dụng mức truy cập tương ứng với kỹ cần thiết để thực công việc Kế hoạch bảo mật Cuối cùng, không quan trọng kế hoạch bảo mật Theo sách hướng dẫn thực FFIEC, tổ chức cần phải đề kế hoạch để giảm thiểu tiết lộ thông tin bên Việc phát triển kế hoạch liên quan đến nhà quản lý mức độ kể “hội đồng quản trị” Các thành phần chủ chốt kế hoạch bao gồm sách bảo mật, quản lý rủi ro, đánh giá lỗ hổng, kiểm tra chìa khóa, hoạt động máy tính, đào tạo, khía cạnh vật lý môi trường, lập kế hoạch đối phó với bất ngờ, đối phó với thiệt hại, điều khiển truy cập, báo cáo, thay đổi cấp quản lý Các kế hoạch có từ trước cho phép tổ chức ưu tiên ngân sách, tài nguyên, phát triển chiến lược thực Kết luận Quản lý an tồn thơng tin bao gồm viết sách, đào tạo nhận thức, quản lý cấu hình, theo dõi, tìm kiếm, kiểm tra Quản lý an tồn thơng tin khơng bao gồm cơng nghệ, liên quan đến phát triển, trì hệ thống thơng tin tình trạng hoạt động tốt Rõ ràng rằng, trao đổi thơng tin, sách bắt buộc chìa khóa an tồn, bảo mật Thông tin tài sản giá trị tổ chức Bạn phải xem xét xem thơng tin có giá trị, có cách bảo vệ tương xứng Các lỗ hổng bảo mật cần phải xác định, giảm thiểu số lượng, loại trừ ghi nhận để mở rộng thực hành bảo mật khả thi mặt kinh tế An tồn, bảo mật máy tính bao gồm thứ từ sách cịn chưa duyệt; đến tập tin chứa thông tin cấu trúc mạng cần bảo vệ cấu hình sở Như đề cập, an toàn, bảo mật vấn đề quan trọng ngân hang trực tuyến Các công ty hoạt động lĩnh vực ngân hàng điện tử cần phải kiểm tra không mật khẩu, mã hóa thơng tin, mà cịn cần đảm bảo quy trình nghiệp vụ để chống lại công hacker Điều cuối cùng, đừng nghĩ bạn nghỉ ngơi thư giãn vinh quang mà bạn đạt Mạng máy tính bạn khơng tĩnh lặng, Lỗ hổng công xảy ngày Là người quản lý an tồn bảo mật thơng tin bạn phải ln tập trung giữ gìn thành Hãy xem lại sách, thủ tục, kế hoạch bảo mật cách (ít theo hàng năm) Bạn nên đăng ký vào nhóm thảo luận (mailing list) để cập nhật lời khuyên cảnh báo Hãy trao đổi với chuyên gia an toàn, bảo mật khác tổ chức bạn, chuyện trò, hội thảo, đào tạo theo dõi phần mềm sửa lỗi Các địa tham khảo: (1) Federal Financial Institutions Examination Council Information Systems Volume 1996 FFIEC IS Examination Handbook http://www.FFIEC.gov (2) Lundquist, Eric Key Lessons Learned About Secty eWeek August 06, 2000 http://www.zdnet.com/ecommerce/stories/main/0,10475,2611953,00.html (3) Vaas, Lisa Security Checkup eWeek August 13, 2000 http://www.zdnet.com/ecommerce/stories/main/0,10475,26130743,00.html (4) IBM Research Securing Your eBusiness: 10 Tips for Protecting On-line Companies February 15, 2000 http://www.research.ibm.com/news/detail/10_tips.html (5) Beale, Jay How Do I Tighten Security On My System? August 01, 2000 http://www.securityportal.com/lskb/articles.html (6) Ferguson, Renee Boucher, McCright, John S Banks Cashing In On The Net eWeek August 25, 2000 http://www.zdnet.com/ecommerce/stories/main/0,10475,26202393,00.html (7) DeVoney, Chris Step Up Your IT Security August 22, 2000 http://www.zdnet.com/filters/printerfriendly/0,6061,2618285-92,00.html (8) Taylor, L The Whys and Hows of a Security Vulnerability Assessment August 9, 2000 ... mặt kinh tế An tồn, bảo mật máy tính bao gồm thứ từ sách cịn chưa duyệt; đến tập tin chứa thông tin cấu trúc mạng cần bảo vệ cấu hình sở Như đề cập, an toàn, bảo mật vấn đề quan trọng ngân hang... xét bao gồm trình làm việc với người quản lý người sở hữu thông tin để xem xét lại truy cập đến thông tin Các thông báo chuyển dựa truy cập biết Một việc quan trọng áp dụng mức truy cập tương... cấp quản lý Các kế hoạch có từ trước cho phép tổ chức ưu tiên ngân sách, tài nguyên, phát triển chiến lược thực Kết luận Quản lý an tồn thơng tin bao gồm viết sách, đào tạo nhận thức, quản lý