Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001

4 BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT HTQL Hệ thông quản lý ATTT An toàn thông tin ISMS Information Security Management System ISO International Organization for Standardization PDCA Plan, Do

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

-o0o -

NGUYỄN VĂN ANH

NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

THEO TIÊU CHUẨN ISO 27001

LUẬN VĂN THẠC SĨ

Hà nội 11 – 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

-o0o -

NGUYỄN VĂN ANH

NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

THEO TIÊU CHUẨN ISO 27001

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

Mã ngành: 60.48.05

LUẬN VĂN THẠC SĨ

CÁN BỘ HƯỚNG DẪN KHOA HỌC PGS.TS.TRỊNH NHẬT TIẾN

Hà nội 11 – 2010

1

MỤC LỤC

MỤC LỤC 1

DANH MỤC CÁC BẢNG 4

DANH MỤC CÁC HÌNH VẼ 5

LỜI NÓI ĐẦU 6

Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 9

1.1 KHÁI NIỆM VỀ AN TOÀN THÔNG TIN 9

1.2 CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN 10

1.2.1 Những nguy cơ hiện hữu: 10

1.2.2 Nguy cơ tương lai 13

1.3 NHU CẦU HỆ THỐNG QUẢN LÝ ATTT 15

Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 16 2.1 GIỚI THIỆU 16

2.1.1 Khái quát 16

2.1.2 Phạm vi áp dụng 16

2.1.3 Cách tiếp cận theo quy trình 17

2.2 MỘT SỐ KHÁI NIỆM 19

1/ Tài sản 19

2/ Tính sẵn sàng 19

3/ Tính bí mật 19

4/ An toàn thông tin 19

5/ Sự kiện an toàn thông tin 19

6/ Sự cố an toàn thông tin 19

7/ Hệ thống quản lý an toàn thông tin 19

2

8/ Tính toàn vẹn 20

9/ Rủi ro tồn đọng 20

10/ Sự chấp nhận rủi ro 20

11/ Phân tích rủi ro 20

12/ Đánh giá rủi ro 20

13/ Quản lý rủi ro 20

14/ Xử lý rủi ro 20

15/ Thông báo áp dụng 20

16/ Tổ chức 21

2.3 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT 22

2.3.1 Thiết lập hệ thống quản lý ATTT 22

2.3.2 Triển khai và điều hành hệ thống quản lý ATTT 26

2.3.3 Giám sát và xem xét hệ thống quản lý ATTT 27

2.3.4 Duy trì và nâng cấp hệ thống quản lý ATTT 28

2.3.5 Các yêu cầu về hệ thống tài liệu 29

2.3.5.1 Khái quát 29

2.3.5.2 Biện pháp quản lý tài liệu 30

2.3.5.3 Biện pháp quản lý hồ sơ 30

2.4 TRÁCH NHIỆM CỦA BAN QUẢN LÝ 31

2.4.1 Cam kết của ban quản lý 31

2.4.2 Quản lý nguồn lực 32

2.4.2.1 Cấp phát nguồn lực 32

2.4.2.2 Đào tạo, nhận thức và năng lực 32

3

2.5 KIỂM TRA NỘI BỘ HỆ THỐNG ATTT 33

2.6 BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT 34

2.6.1 Khái quát 34

2.6.2 Đầu vào của việc xem xét 34

2.6.3 Đầu ra của việc xem xét 35

2.7 NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT 36

2.7.1 Nâng cấp thường xuyên 36

2.7.2 Hành động khắc phục 36

2.7.3 Hành động phòng ngừa 37

Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý 38

Phụ lục B: Nguyên tắc của OECD và hệ hống ATTT 81

Chương 3: THỬ NGHIỆM SỬ DỤNG CHƯƠNG TRÌNH 84

3.1 ĐẶT VẤN ĐỀ 84

3.2 XÂY DỰNG CHƯƠNG TRÌNH 85

3.2.1 Giải pháp 85

3.2.2 Xác định các tài sản và người chịu trách nhiệm quản lý 86

3.2.3 Đánh giá mức độ quan trọng của tài sản 87

3.2.4 Đánh giá mức độ của các mối đe dọa 89

3.2.5 Đánh giá mức độ của các lổ hổng 89

3.2.6 Tính mức độ rủi ro và báo cáo đánh giá rủi ro 90

3.2.7 Phòng ngừa rủi ro 90

3.2.8 Mức độ rủi ro có thể chấp nhận đuợc 91

3.3 CÁC GIAO DIỆN CHÍNH 93

KẾT LUẬN 95

TÀI LIỆU THAM KHẢO 97

4

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

HTQL Hệ thông quản lý

ATTT An toàn thông tin

ISMS Information Security Management System

ISO International Organization for Standardization

PDCA Plan, Do, Check, Action

OECD Organisation for Economic Co-operation and Development

DANH MỤC CÁC BẢNG

Bảng 1.1: Thiệt hại do virus gây ra trên thế giới

Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam

Bảng 1.3: Tỷ lệ nhiễm virus theo các năm

Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực

Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó

Bảng A: Các mục tiêu và biện pháp quản lý

Bảng B: Các nguyên tắc OECD và mô hình PDCA

Bảng 3.1: Các buớc đánh giá rủi ro

Bảng 3.2: Đánh giá tài sản về mức độ bảo mật

Bảng 3.3: Đánh giá tài sản về mức độ toàn vẹn

Bảng 3.4: Đánh giá tài sản về mức độ sẳn sàng

5

DANH MỤC CÁC HÌNH VẼ

Hình 1.1: CIA – Confidentiality, Intergrity, Availability

Hình 1.2: Tỷ lệ các loai hình tấn công

Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT

Hình 3.1: Thêm mới, chỉnh sửa thông tin các loại tài sản, điều khiển và tài liệu của

hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document)

Hình 3.2: Đánh giá rủi ro (Risk Assessment)

Hình 3.3: Phòng ngừa rủi ro (Risk Treatment)

Hình 3.4: Mức rủi ro chấp nhận đuợc

Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT

Hình 3.6: Thêm mới tài liệu cho hệ thống quản lý ATTT (Add ISMS Document) Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document) Hình 3.8: Màn hình Screen

6

LỜI NÓI ĐẦU

Trong bối cảnh có sự phát triển như vũ bão của công nghệ thông tin, ngày càng nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính, và cơ sở dữ liệu Nói cách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn

Nền kinh tế Việt Nam đang trong thời kỳ hội nhập và phát triển với sự trợ giúp đắc lực của công nghệ thông tin, nhưng bên cạnh đó Việt Nam cũng đã và đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất an toàn thông tin gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng đến sự phát triển kinh tế, xã hội của đất nước

Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ đầu khi xây dựng

hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin,

lý do đó làm cho hệ thống thông tin rất dễ có khả năng bị các tin tặc tấn công Các thống kê cho thấy trong thời gian vừa qua đã có khoảng 60% website của bộ, ban ngành trực thuộc Chính phủ có đuôi tên miền '.gov.vn' có thể đã bị các hacker nước ngoài tấn công và nắm quyền kiểm soát, 342 website của Việt Nam bị hacker tấn công, hơn 40% website chứng khoán Việt Nam có thể bị hacker lợi dụng chiếm quyền kiểm soát và thay đổi kết quả giao dịch

Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn

7

Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001

Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ trong hệ thống thông tin của mình bằng phương pháp phân tích rủi ro Trong phương pháp này, mỗi tài sản thông tin đều được phân tích để chỉ rõ những nguy cơ

có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng, website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh

Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên, chẳng hạn: không có giải pháp phòng chống virus máy tính, không kiểm soát mã nguồn của website, chưa có biện pháp backup dữ liệu, chưa có quy định không tiết

lộ thông tin đối với nhân viên

Việc áp dụng các tiêu chuẩn về ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho đội ngũ cán bộ nhân viên về ATTT Xây dựng một môi trường an toàn, có khả năng miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người gây ra Tiêu chuẩn ISO 27001 đề ra những nguyên tắc chung trong quá trình thiết kế

- xây dựng hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch hơn Xây dựng một “bức tường người an toàn” (Secure People Wall) trong tổ chức Một môi trường thông tin an toàn, trong sạch sẽ

có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT vốn dĩ rất tốn kém Về lâu dài, việc nhận được chứng chỉ ISO 27001 là một lời khẳng định thuyết phục với các đối tác, các khách hàng về một môi trường thông tin an toàn và trong sạch Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức

8

Trên cơ sở kết quả phân tích, đánh giá rủi ro của hệ thống thông tin và dựa trên hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu về tiêu chuẩn ISO 27001 để giúp các doanh nghiệp, tổ chức xây dựng các chính sách, biện pháp

xử lý phù hợp để phòng tránh và giảm thiểu các tác động khi rủi ro an ninh thông tin xảy ra

Luận văn này đuợc trình bày theo ba chương:

Chương 1: Trình bày Tổng quan về An toàn Thông tin, bao gồm khái niệm, các nguy cơ, rủi ro của việc mất ATTT, và nhu cầu cấp thiết cần phải xây dựng một

hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế

Chương 2: Trình bày về Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận của tiêu chuẩn ISO 27001 về việc đảm bảo ATTT thông qua phân loại nội dung thông tin trên phương tiện thuộc tài sản nào, chúng có những điểm yếu, rủi ro gì và làm thế nào để kiểm soát được những rủi ro đó

Chương 3: Trình bày về thử nghiệm sử dụng chương trình “ISMS-RAT”, như một phương thức tiếp cận để thực hiện việc đánh giá và xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo đúng như cách tiếp cận vấn đề xây dựng hệ thống quản lý an toàn thông tin của chuẩn ISO 27001

9

Chương 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1 KHÁI NIỆM VỀ AN TOÀN THÔNG TIN

Hình 1.1: CIA – Confidentiality, Intergrity, Availability

Theo định nghĩa, an toàn thông tin (Information Security) là nhằm đảm bảo

ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability)[1] (Hình 1.1)

Tính bảo mật: Thông tin không sẵn có hoặc không nên để lộ cho cá nhân, tổ chức, đối tượng chưa được uỷ quyền

Tính toàn vẹn: Thông tin đuợc bảo vệ và đuợc giữ gìn trọn vẹn

Tính sẵn có: Luôn sẵn sàng và sẵn có cho đối tượng đã đuợc uỷ quyền

Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin thì luôn cần phải duy trì đuợc sự cân bằng của ba yếu tố trên, ngoài ra các thuộc tính khác như tính xác thực, trách nhiệm giải trình, tính thừa nhận và tính tin cậy cũng có thể liên quan

10

1.2 CÁC NGUY CƠ ĐỐI VỚI AN TOÀN THÔNG TIN

1.2.1 Những nguy cơ hiện hữu:

Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính khoảng 2400 tỷ đồng Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó Đáng chú ý là các virus lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware)

Bảng 1.1: Thiệt hại do virus gây ra trên thế giới

Sâu Mor is 1 8 Làm ê ệt 1 % máy n rên mạn Internet

Vi rút Mel sa 5/1 9 1 0.0 0 máy n bị ản hư n /1 uần Thiệt hại 1,5 ỷ USD

Vi rút Ex lorer 6/1 9 Thiệt hại 1,1 ỷ USD

Vi rút Lo e Bu 5/2 0 Thiệt hại 8,7 ỷ USD

Vi rút Sirc m 7/2 0 2,3 riệu máy n bị n iễm, hiệt hại 1,2 ỷ USD

Sâu Co e Red 7/2 0 3 9.0 0 máy n bị n iễm/1 giờ, Thiệt hại 2,7 ỷ USD

Sâu Nimda 9/2 0 1 0.0 0 máy n bị n iễm, Thiệt hại 1,5 ỷ USD

Kle 2 0 Thiệt hại 1 5 riệu USD

Bu Be r 2 0 Thiệt hại 5 0 riệu USD

Badtrans 2 0 9 % máy n bị n iễm/1 p útThiệt hại 1,5 ỷ USD

Blaster 2 0 Thiệt hại 7 0 riệu USD

Na hi 2 0 Thiệt hại 5 0 riệu USD

S Big.F 2 0 Thiệt hại 2,5 ỷ USD

Sâu MyDo m 1/2 0 1 0.0 0 máy n bị n iễm/1 giờ, Thiệt hại hơn 4 ỷ USD

Nguy cơ mất ATTT tại Việt Nam tập trung vào hệ thống ngân hàng, bán lẻ

và các công ty chứng khoán Ngân hàng VietinBank cho biết mỗi ngày hệ thống của

họ phát hiện khoảng 13.000 virus, 40.000 malware, grayware và khoảng 67.000 spam Ngành Tài chính Việt Nam có hơn 7 vạn người dùng cuối và đang theo đuổi

xu hướng liên kết chia sẻ thông tin, mở rộng dịch vụ tài chính công trực tuyến… song đến nay vẫn chưa có một hệ thống quản lý ATTT hoàn chỉnh

11

Đáng lo hơn là tình trạng mất an toàn của các trang web ở Việt Nam, theo một báo cáo khác từ Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết số lượng website bị tấn công tại Việt Nam đã gia tăng từ 461 website năm 2008 lên 1.037 website năm 2009, trong đó có không ít cuộc tấn công nhằm vào hệ thống website của các cơ quan Bộ và Chính phủ, với hầu hết các website (hơn 60% website) của các cơ quan doanh nghiệp đều bị hackers tấn công khoảng trên 80% trang web của các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm soát hệ thống Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngoài hàng rào cơ quan móc dây, lấy trộm mật khẩu Kết quả khảo sát của Bkis về các công ty chứng khoán cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an toàn, khi có tới một nửa trong số 32 trang web chứng khoán có lỗ hổng nghiêm trọng có thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt Sau gần 1 năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được cải thiện nhưng vẫn còn tới 40% trang web còn lỗ hổng nguy hiểm

Tin tặc Việt Nam trình độ, thủ thuật ngày càng tinh vi hơn, chính vì thế mà tính chất các tấn công trở nên nguy hiểm hơn, đã xảy ra tình trạng một loạt website

bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng Thêm vào đo là số virus mới xuất hiện cũng gia tăng

từ 33.137 loại lên 47.638 loại Trong các hướng của lây lan virus và các mã độc thì

đã xuất hiện dạng lây lan sang các cả thiết bị di động Trên sách báo công khai cũng

đã nói đến hệ thống di động bị xâm nhập Một số thiết bị nhúng cũng đã xuất hiện lây lan virus Sự xuất hiện virus theo các năm càng ngày càng gia tăng cả về số lượng và mức độ thiệt hại Thống kê đã cho biêt có tới hàng vạn máy tính bị nhiễm virus và con số thiệt hại lên tới nhiều tỷ đồng Đây là một cuộc đấu tranh không có hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh

12

Bảng 1.2: Thống kê về virus năm 2007 tại Việt Nam

Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính

Số virus mới xuất hiện trong năm 6.752 virus mới

Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày

Virus lây lan nhiều nhất trong năm: W32.Winib.Worm Lây nhiễm 511.000 máy tính

Bảng 1.3: Tỷ lệ nhiễm virus theo các năm

Hình 1.2: Tỷ lệ các loai hình tấn công

13

1.2.2 Nguy cơ tương lai

Bảng 1.4: Phân bổ các loại nguy cơ theo thời gian và khu vực

Bảng 1.5: Phân bổ các loại nguy cơ theo thời gian và khả năng đối phó

- Nguy cơ rộng

- Nguy cơ Warhol

- Tấn công tín dụng quốc gia

Nguy cơ tia chớp

Nguy cơ Warhol

Sâu E-mail

Vi rút Macro

Vi rút File

Loại II Đối phó nhân công: khó/bất khả thi

diện rông Loại I

Đối phó nhân công: có thể

Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian

Tự động đối phó: hy vọng Khóa tiên tiến: có thể

14

Nguy cơ về an toàn thông tin trong hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng

bị tấn công và làm cho gián đoạn hoặc đình trệ Hạ tầng viễn thông lại được chia thành một số loại mạng như sau:

Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu của thương mại điện tử và Chính phủ điện tử Đồng thời các phương tiện truyền thông như Internet đều dựa trên cơ sở mạng này

Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng

Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống khảo sát thăm dò

Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được các lợi ích của chúng

Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở

và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng

Nguy cơ về an toàn thông tin trong hạ tầng cơ sở kinh tế: Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán đều sử dụng máy tính để duy trì các tài khoản và các giao dịch tài chính Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật

tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe, Thị trường mua bán công khai và không công khai, Các doanh nghiệp tư nhân, Các trung tâm kinh doanh lớn

15

1.3 NHU CẦU HỆ THỐNG QUẢN LÝ ATTT

Một nghiên cứu cho thấy khi doanh nghiệp chuyển sang thương mại điện tử, nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ

và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%

Nhu cầu về an toàn thông tin càng ngày càng trở nên nóng hơn do ứng dụng CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa theo kịp Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn tăng tốc Ví dụ, ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng 80% hoạt động vụ của ngành đã diễn ra trên môi trường mạng Ngành bắt đầu hình thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an toàn Các lĩnh vực như chứng khoán, ngân hàng, thuế và hải quan và đặc biệt là thương mại điện tử đã chuyển dần hoạt động lên môi trường mạng Việc hội nhập WTO cũng thúc đẩy các tổ chức và doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh

Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) chuẩn hóa là vô cùng cần thiết, ISO 270001 là một chuẩn quốc tế đáp ứng nhu cầu này Nó cung cấp một khuôn khổ, bộ quy tắc cho việc khởi đầu, thiết lập, quản lý và duy trì an ninh thông tin trong tổ chức để thiết lập một nền tảng vững chắc cho chính sách an toàn thông tin, bảo về các tài sản của tổ chức, doanh nghiệp một cách thích hợp Xây dựng đuợc một hình ảnh tích cực và là một bằng chứng thấy đuợc cho các bên quan tâm từ đó tạo ra lợi thế cạnh tranh và đem lại thành công, lợi nhuận trong quá trình hoạt động của các tổ chức và doanh nghiệp

Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin - Information Security Management System (ATTT) Việc chấp nhận một hệ thống quản lý ATTT sẽ là một quyết định chiến lược của tổ chức Thiết kế

và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức Các điều này và các hệ thống

hỗ trợ cần luôn được cập nhật và thay đổi Việc đầu tư và triển khai một hệ thống quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận liên quan bên ngoài tổ chức

2.1.2 Phạm vi áp dụng

Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận v.v…) Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn

đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức

17

2.1.3 Cách tiếp cận theo quy trình

Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản

lý ATTT của tổ chức

Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo

Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp cận theo quy trình”

Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng của :

1/ Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết lập chính sách và mục tiêu cho an toàn thông tin

2/ Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức

3/ Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT

4/ Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra

5/ Tiêu chuẩn này thông qua mô hình “Lập kế hoạch – Thực hiện – Kiểm tra và Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý ATTT Hình 2.1 dưới đây mô tả cách hệ thống quản lý ATTT lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo như các yêu cầu

và kỳ vọng đã đặt ra Hình 2.1 cũng chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các phần 2.3, 2.4, 2.5, 2.6 và 2.7

D (Thực hiện) - Triển

khai và điều hành ATTT

Cài đặt và vận hành các chính sách, biện pháp quản lý, quy trình và thủ tục của hệ thống quản lý ATTT

C (Kiểm tra) - Giám sát

và xem xét ATTT

Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của ban quản lý

A (Hành động) - Duy trì

và nâng cấp ATTT

Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các kết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT, xem xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống quản lý ATTT

Triển khai và điều hành hệ thống ISMS

Giám sát và đánh giá hệ thống ISMS

Duy trì và nâng cấp hệ thống ISMS

Kết quả quản lý an toàn thông tin

4/ An toàn thông tin

Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin, ngoài ra

có thể bao hàm tính chất xác thực, kiểm soát, chống chối bỏ và tin cậy

5/ Sự kiện an toàn thông tin

Sự kiện xác định xảy ra trong một hệ thống, một dịch vụ hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn

6/ Sự cố an toàn thông tin

Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin 7/ Hệ thống quản lý an toàn thông tin

Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp ATTT

Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản

lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức

Các mục tiêu quản lý và biện pháp quản lý được xây dựng dựa trên các kết quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức

để đảm bảo an toàn thông tin

21

16/ Tổ chức

Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng nhau hành động vì mục tiêu chung Các TC trong xã hội loài người được hình thành, đào thải, phát triển không ngừng theo tiến trình phát triển của xã hội với nhiều hình thức tập hợp, quy mô, nội dung và cách thức hoạt động khác nhau

Các TC trong xã hội hiện đại rất phong phú, đa dạng, được hình thành trong tất cả các lĩnh vực của đời sống xã hội, ở từng ngành, từng địa phương, từng cơ sở,

có quy mô cả nước, một số TC có yêu cầu và điều kiện thì tham gia hệ thống TC tương ứng trong khu vực và thế giới

Có loại TC được liên kết chặt chẽ, hoạt động lâu dài (đảng chính trị, cơ quan nhà nước, tổ chức Liên hợp quốc, tổ chức ASEAN, vv.) Có loại TC chỉ có hình thức liên kết và nội quy hoạt động đơn giản, linh hoạt (hội quần chúng ở các địa phương và cơ sở như hội làm vườn, hội đồng hương, đồng khoa, vv.)

Phân loại các TC trong xã hội hiện đại thường là: TC chính trị (đảng chính trị, chính quyền nhà nước), TC chính trị - xã hội (công đoàn, đoàn thanh niên, hội phụ nữ, hội nông dân, hội cựu chiến binh, vv.), TC chính trị - xã hội - nghề nghiệp (hội nhà văn, hội nhà báo, vv.), TC xã hội (hội của những người cùng nghề nghiệp,

sở thích, hoạt động nhân đạo, từ thiện, vv.), TC tôn giáo (các giáo hội Thiên Chúa giáo, Tin Lành, Phật giáo, Hoà Hảo, Cao Đài, Hồi giáo, vv.), TC kinh tế (công ty, ngân hàng, hợp tác xã, vv.), TC văn hoá, thể thao (đoàn kịch, đoàn chèo, đội bóng, vv.), TC vũ trang

Nhà nước tiến hành việc quản lí về TC và hoạt động của các TC trong xã hội bằng Hiến pháp và pháp luật Các TC trong xã hội thường có điều lệ, nội quy hoạt động, quy định trách nhiệm, quyền hạn của các thành viên và mối quan hệ giữa các thành viên trong TC ấy

22

2.3 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐNG QUẢN LÝ ATTT

Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ATTT) đã được tài liệu hóa trong bối cảnh toàn bộ hoạt động của tổ chức và những rủi ro đang phải đối mặt

2.3.1 Thiết lập hệ thống quản lý ATTT

Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện như sau :

2.3.1.1 Phạm vi và giới hạn của hệ thống quản lý ATTT

Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng

2.3.1.2 Chính sách triển khai hệ thống quản lý ATTT

Vạch rõ chính sách triển khai hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ mà trong đó:

1/ Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho việc đảm bảo an toàn thông tin

2/ Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật

3/ Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng

4/ Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT như một phần trong chiến lược quản lý rủi ro của tổ chức

5/ Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra (xem 2.3.1.3)

6/ Được ban quản lý phê duyệt

Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống quản lý ATTT được xem xét như là một danh mục đầy đủ các chính sách an toàn thông tin Các chính sách này có thể được mô tả trong cùng một tài liệu

23

2.3.1.3 Phương pháp tiếp cận đánh giá rủi ro

Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức

1/ Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT,

và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định

2/ Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được (xem 2.4.1.6)

Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi

ro đưa ra các kết quả có thể so sánh và tái tạo được

Có nhiều hệ phương pháp đánh giá rủi ro khác nhau Ví dụ về các hệ phương

pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC TR 13335-3 “Information technology- Guidelines for the management of IT Security – Techniques for the management of IT Security”[3]

2.3.1.4 Xác định các rủi ro

1/ Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tượng quản

lý các tài sản này

2/ Xác định các mối đe doạ có thể xảy ra đối với tài sản

3/ Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên

4/ Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng

24

2.3.1.5 Phân tích và đánh giá các rủi ro

1/ Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản

2/ Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện

3/ Ước lượng các mức độ của rủi ro

4/ Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục 2.3.1.3.2

2.3.1.6 Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro

25

2.3.1.7 Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro

Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro (xem 2.3.1.3.2) cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ

Các mục tiêu quản lý và biện pháp quản lý trong phụ lục A có thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác định

Các yêu cầu quản lý và biện pháp quản lý trong phụ lục A là chưa thực sự đầy đủ Tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp quản lý cần thiết khác

Phụ lục A bao gồm một danh sách bao gồm nhiều mục tiêu quản lý và biện pháp quản lý một cách toàn diện có khả năng thích hợp đối với nhiều tổ chức Người sử dụng tiêu chuẩn quốc tế này có thể sử dụng phụ lục A như là điểm khởi đầu trong việc lựa chọn biện pháp quản lý để không có các biện pháp quan trọng bị

bỏ sót

Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất

Được ban quản lý cho phép cài đặt và vận hành hệ thống quản lý ATTT

2.3.1.8 Chuẩn bị thông báo áp dụng

Thông báo áp dụng hệ thống quản lý ATTT bao gồm :

1/ Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 2.3.1.7)

và các cơ sở tiến hành lựa chọn

2/ Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện

3/ Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này

Thông báo này cung cấp thông tin tóm tắt cho các quyết định liên quan đến việc xử lý rủi ro Việc giải trình các biện pháp và mục tiêu quản lý trong phụ lục A không được sử dụng nhằm tránh khả năng bỏ sót

26

2.3.2 Triển khai và điều hành hệ thống quản lý ATTT

Quá trình triển khai và điều hành hệ thống quản lý ATTT đòi hỏi thực hiện như sau:

1/ Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin (xem 2.4)

2/ Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm

3/ Triển khai các biện pháp quản lý được lựa chọn trong 2.3.1.7 để thỏa mãn các mục tiêu quản lý

4/ Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được (xem 2.3.3.3)

5/ Triển khai các chương trình đào tạo nâng cao nhận thức (xem 2.4.2.2)

6/ Quản lý hoạt động hệ thống quản lý ATTT

7/ Quản lý các tài nguyên dành cho hệ thống quản lý ATTT (xem 2.4.2)

8/ Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các

sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin (xem 2.3.3.1)

27

2.3.3 Giám sát và xem xét hệ thống quản lý ATTT

Tổ chức thực hiện các biện pháp sau đây:

1/ Tiến hành giám sát, xem xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm:

a/ Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý

b/ Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin c/ Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không

d/ Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các

sự cố an toàn thông tin bằng các chỉ thị cần thiết

e/ Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin

2/ Thường xuyên kiểm tra, xem xét hiệu quả của hệ thống quản lý ATTT (bao gồm việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và xem xét của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng như các thông tin phản hồi thu thập được

3/ Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm ATTT

28

4/ Xem xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được

bỏ qua cũng như mức độ rủi ro có thể chấp nhận được Trong đó lưu ý các thay đổi trong:

a/ Tổ chức

b/ Công nghệ

c/ Mục tiêu và các quá trình nghiệp vụ

d/ Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định

e/ Tính hiệu quả của các biện pháp quản lý đã thực hiện

f/ Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội

5/ Thực hiện việc kiểm tra nội bộ hệ thống quản lý ATTT một cách định kỳ Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện

6/ Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống quản lý ATTT để đánh giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp các và đã xác định các nâng cấp cần thiết cho hệ thống quản lý ATTT (xem 2.6.1)

7/ Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực

tế thu được qua các hoạt động giám sát và đánh giá

8/ Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hưởng đến tính hiệu quả hoặc hiệu lực của hệ thống quản lý ATTT (xem 2.3.2.3)

2.3.4 Duy trì và nâng cấp hệ thống quản lý ATTT

Tổ chức cần thường xuyên thực hiện:

1/ Triển khai các nâng cấp cho hệ thống quản lý ATTT đã xác định

2/ Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp (xem 2.7.2 và 2.7.3) Chú ý vận dụng kinh nghiệm đã có và tham khảo từ các tổ chức khác 3/ Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng cấp của hệ thống quản lý ATTT

4/ Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra

Các tài liệu của hệ thống quản lý ATTT bao gồm:

1/ Các thông báo về chính sách và mục tiêu của hệ thống quản lý ATTT

2/ Phạm vi của hệ thống quản lý ATTT (xem 2.3.1.1)

3/ Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống quản lý ATTT

4/ Mô tả hệ phương pháp đánh giá rủi ro (xem 2.3.1.3)

5/ Báo cáo đánh giá rủi ro (xem 2.3.1.3 - 2.3.1.7)

6/ Kế hoạch xử lý rủi ro (xem 2.3.2.2)

7/ Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch,

sự điều hành và quản lý các quy trình bảo đảm an toàn thông tin và mô tả phương thức đánh giá hiệu quả của các biện pháp quản lý đã áp dụng

8/ Các hồ sơ cần thiết được mô tả trong mục 2.3.2.3 của tiêu chuẩn này

9/ Thông báo áp dụng

Cụm từ “thủ tục dưới dạng văn bản” trong ngữ cảnh của tiêu chuẩn quốc tế này có nghĩa là các thủ tục đã được thiết lập, biên soạn thành tài liệu, triển khai và bảo trì Quy mô của tài liệu về hệ thống quản lý ATTT giữa các tổ chức là khác nhau và phụ thuộc vào:

- Kích thước và loại hình hoạt động của tổ chức

- Phạm vi và độ phức tạp của các yêu cầu an toàn bảo mật cũng như các hệ thống đang được tổ chức quản lý

30

2.3.5.2 Biện pháp quản lý tài liệu

Các tài liệu cần thiết của hệ thống quản lý ATTT cần phải được bảo vệ và quản lý thích hợp Một thủ tục sẽ được thiết lập để xác định các hoạt động quản lý cần thiết nhằm:

1/ Phê duyệt các tài liệu thỏa đáng trước khi được ban hành

2/ Xem xét tài liệu và tiến hành các sửa đổi cần thiết để có thể phê duyệt lại

3/ Đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu

4/ Đảm bảo rằng các phiên bản tài liệu thích hợp luôn có sẵn ở nơi cần sử dụng 5/ Đảm bảo rằng các tài liệu phải rõ ràng, dễ đọc và dễ nhận biết

6/ Đảm bảo tài liệu phải sẵn sàng đối với người cần, được chuyển giao, lưu trữ và hủy bỏ được áp dụng theo các thủ tục phù hợp

7/ Đảm bảo các tài liệu có nguồn gốc bên ngoài được nhận biết

8/ Đảm bảo việc phân phối tài liệu phải được quản lý

9/ Tránh việc vô tình sử dụng phải các tài liệu quá hạn

10/ Áp dụng các biện pháp định danh phù hợp đối với các tài liệu cần lưu trữ

2.3.5.3 Biện pháp quản lý hồ sơ

Các hồ sơ sẽ được thiết lập và duy trì để cung cấp các dẫn chứng thể hiện sự phù hợp giữa yêu cầu và các hoạt động điều hành của hệ thống quản lý ATTT Các

hồ sơ sẽ được bảo vệ và quản lý Hệ thống quản lý ATTT sẽ phải chú ý đến các pháp lý liên quan, các yêu cầu sửa đổi và các ràng buộc đã thống nhất Hồ sơ phải

dễ đọc, dễ nhận biết và có thể sửa được Các biện pháp quản lý cần thiết để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng và hủy bỏ của hồ sơ sẽ được biên soạn và thực hiện Các hồ sơ sẽ được giữ theo quy trình như đã phác thảo trong mục 2.3.1 và các sự cố đáng kể xuất hiện có liên quan đến hệ thống quản lý ATTT

31

2.4 TRÁCH NHIỆM CỦA BAN QUẢN LÝ

2.4.1 Cam kết của ban quản lý

Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng:

1/ Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin

2/ Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây dựng

3/ Xây dựng vai trò và trách nhiệm của an toàn thông tin

4/ Trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin và làm cho phù hợp với các chính sách an toàn thông tin, các trách nhiệm dưới luật và cần thiết tiếp tục cải tiến

5/ Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông tin cần đạt được, sự tuân thủ chính sách an toàn thông tin, trách nhiệm trước pháp luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên

6/ Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì và nâng cấp hệ thống quản lý ATTT (xem 2.4.2.1) 7/ Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được

8/ Đảm bảo chỉ đạo quá trình kiểm toán nội bộ hệ thống quản lý ATTT (xem 2.5) 9/ Chỉ đạo việc xem xét sự quản lý của hệ thống quản lý ATTT (xem 2.6)

32

2.4.2 Quản lý nguồn lực

2.4.2.1 Cấp phát nguồn lực

Tổ chức phải xác định và cung cấp các nguồn lực cần thiết:

1/ Thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý ATTT

2/ Đảm bảo rằng các quy trình bảo đảm an toàn thông tin hỗ trợ cho các yêu cầu nghiệp vụ

3/ Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về

an toàn thông tin phải tuân thủ

4/ Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý

đã được triển khai

5/ Thực hiện xem xét và có các biện pháp xử lý khi cần thiết

6/ Nâng cao năng lực của hệ thống quản lý ATTT khi cần thiết

2.4.2.2 Đào tạo, nhận thức và năng lực

Tổ chức phải đảm bảo những người có trách nhiệm trong hệ thống quản lý ATTT phải có đầy đủ năng lực để thực hiện các nhiệm vụ được giao bằng cách: 1/ Xác định các kỹ năng cần thiết để thực hiện hiệu quả công việc được giao

2/ Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn yêu cầu

3/ Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện

4/ Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình độ chuyên môn (xem 4.3.3)

Tổ chức cũng cần đảm bảo rằng tất cả những cá nhân liên quan đều nhận thức được tầm quan trọng của các hoạt động đảm bảo an toàn thông tin và hiểu cách góp phần thực hiện các mục tiêu của hệ thống quản lý ATTT

33

2.5 KIỂM TRA NỘI BỘ HỆ THỐNG ATTT

Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống quản lý ATTT: 1/ Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan

2/ Theo các các yêu cầu trong đảm bảo an toàn thông tin

3/ Phải đảm bảo hiệu quả trong triển khai và duy trì

4/ Hoạt động diễn ra đúng như mong muốn

Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn

đề như hiện trạng và ý nghĩa của các quy trình và phạm vi được kiểm tra Các chỉ tiêu, phạm vi, tần suất và biện pháp sẽ được xác định Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn, chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra Kiểm tra viên không nên tự kiểm tra công việc của mình

Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả và lưu giữ hồ sơ (xem 2.3.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản

Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm Các hoạt động tiếp theo sẽ bao gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này (xem 2.7)

Tiêu chuẩn ISO 19011:2002, ”Guidelines for quality and/or environemental management system auditing” có thể cung cấp thông tin hỗ trợ cho việc triển khai việc kiểm tra nội bộ hệ thống quản lý ATTT[4]

2.6.2 Đầu vào của việc xem xét

Đầu vào cho ban quản lý xem xét hệ thống quản lý ATTT bao gồm:

1/ Các kết quả kiểm tra và xem xét hệ thống quản lý ATTT

2/ Thông tin phản hồi từ các bộ phận có liên quan

3/ Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng cao hiệu quả và năng lực của hệ thống quản lý ATTT

4/ Hiện trạng trạng của các hành động ngăn ngừa và khắc phục, sửa chữa

5/ Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu đáo trong lần đánh giá rủi ro trước

6/ Các kết quả đánh giá năng lực của hệ thống

7/ Các hoạt động tiếp theo lần xem xét trước

8/ Các thay đổi có ảnh hưởng đến hệ thống quản lý ATTT

9/ Các kiến nghị nhằm cải thiện hệ thống

35

2.6.3 Đầu ra của việc xem xét

Ban quản lý sau khi xem xét hệ thống quản lý ATTT sẽ cần đưa ra các quyết định và hoạt động trong việc:

1/ Nâng cao năng lực của hệ thống quản lý ATTT

2/ Cập nhật kế hoạch đánh giá và xử lý rủi ro

3/ Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống quản lý ATTT, bao gồm:

a/ Các yêu cầu trong hoạt động nghiệp vụ

b/ Các yêu cầu an toàn bảo mật

c/ Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ của tổ chức

d/ Các yêu cầu về pháp lý và quy định

e/ Các ràng buộc theo các hợp đồng đã ký kết

f/ Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro

4/ Các nhu cầu cần thiết về tài nguyên

5/ Nâng cao phương thức đánh giá mức độ hiệu quả của các biện pháp quản lý

2.7.2 Hành động khắc phục

Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống quản lý ATTT Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau:

1/ Xác định các vi phạm

2/ Tìm ra nguyên nhân của các vi phạm trên

3/ Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm xuất hiện trở lại 4/ Quyết định và triển khai các hành động khắc phục cần thiết

5/ Lập hồ sơ các kết quả khi thực hiện các hành động trên

6/ Xem xét lại các hành động khắc phục đã được thực hiện

1/ Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng

2/ Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện 3/ Xác định và triển khai các hành động trên

4/ Lập hồ sơ về các hành động này (xem 2.3.3.3)

5/ Xem xét các hành động đã được thực hiện trên

Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại các thay đổi này Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên kết quả của quá trình đánh giá rủi ro

Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi khắc phục sự cố do các vi phạm gây ra

38

Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý

Các mục tiêu và biện pháp quản lý trong bảng A được xây dựng từ các điều

số 5 đến 15 trong tiêu chuẩn quốc tế ISO/IEC 17799:2005[5] Nội dung trong bảng

A là chưa hoàn toàn đầy đủ nên tổ chức có thể tham khảo thêm các mục tiêu và biện pháp quản lý khác Việc lựa chọn các mục tiêu và biện pháp quản lý trong bảng dưới đây sẽ được coi như một phần trong quá trình thiết lập hệ thống quản lý ATTT (xem 2.3.3.1)

Bảng A: Các mục tiêu và biện pháp quản lý

A.5 Chính sách an toàn bảo mật

A.5.1 Chính sách an toàn thông tin

Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin

thỏa mãn với các yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ

A.5.1.1 Tài liệu chính sách an

toàn thông tin

A.5.1.2 Xem xét lại chính sách

an toàn thông tin

Biện pháp quản lý

Chính sách an toàn thông tin cần thường xuyên được xem xét theo đúng kế hoạch định trước hoặc nếu khi có những thay đổi lớn xuất hiện để luôn đảm bảo sự phù hợp, đầy đủ và thực sự có hiệu lực