Đang tải... (xem toàn văn)
Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 5 Chính sách sử dụng internet, bí mật riêng tư và bảo vệ thông tin khách hàng trong thương mại điện tử do TS. Chử Bá Quyết biên soạn gồm các nội dung chính được trình bày như sau: Chính sách sử dụng Internet, bí mật riêng tư, chính sách sử dụng email, những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân trong thương mại điện tử.
1 9/26/2017 ng U M _T TM H D Ch Chính sách s d ng internet, bí m t riêng t b o v thông tin khách hàng TM T N I DUNG Chính sách s d ng Internet Chính sách s d ng email Bí m t riêng t Nh ng nguyên t c c b n v b o v d li u cá nhân TM T Chính sách s d ng Internet (IUP) U M _T TM H D • Chính sách s d ng Internet (IUP), sách s d ng Internet đ c ch p nh n (IAUP) ho c sách s d ng Internet an toàn (ISP) ho c (FUP) Fair Use Policy m t b quy t c đ c áp d ng b i nhà qu n tr website, m ng máy tính ho c h th ng thơng tin h n ch nh ng cách th c mà trang m ng ho c h th ng thơng tin có th đ c s d ng Chính sách s d ng Internet (IUP) U M _T TM H D • IUP đ c vi t cho công ty, doanh nghi p, tr ng h c, nhà cung c p d ch v truy c p Internet, ch s h u website nh m gi m r i ro t hành đ ng s d ng m ng Internet c a b i nhân viên t ch c ho c b t kì ng quan tâm i s d ng • AUP m t ph n c a sách an ninh thơng tin Internet security policies (ISP), quy đ nh thành viên c a t ch c tuân th truy c p/s d ng Internet/các h th ng thơng tin Chính sách s d ng Internet (AUP) U M _T TM H D • AUP ph i súc tích, ng n g n rõ ràng, bao g m nh ng u quy đ nh quan tr ng v s d ng (do), không đ c s d ng (do not) đ i v i trang m ng, ho c h th ng thông tin c a t ch c • AUP c ng bao g m nh ng h ng d n s d ng an tồn thơng tin, quy đ nh tuân th s d ng an toàn thơng tin Chính sách s d ng Internet (AUP) U M _T TM H D • AUP c ng c n có nh ng quy đ nh x ph t ng i dùng không tuân theo quy đ nh an tồn thơng tin ho c vi ph m quy đ nh an tồn thơng tin AUP/IAUP m t n i quy/đi u l /v n b n t p h p h ng d n, u kho n, quy đ nh v u ki n s d ng Internet t ch c, tr ng h c gia đình / ho c s d ng d ch v thông tin/ ph ng ti n n t t i n i cơng c ng Chính sách s d ng Internet U M _T TM H D • Phân lo i: Chính sách an ninh thơng tin Chính sách an ninh máy tính Chính sách an ninh m ng máy tính Chính sách s d ng Internet U M _T TM H D • Phân lo i: Chính sách s d ng Internet an tồn Chính sách s d ng Internet đ Chính sách s d ng e-mail đ c ch p nh n c ch p nh n Chính sách đ m b o bí m t thơng tin cá nhân website Chính sách đ m b o bí m t thơng tin cá nhân website B2C, c ng toán n t U M _T TM H D cbquyet@yahoo.com U M _T TM H D cbquyet@yahoo.com Chính sách s d ng email U M _T TM H D • S d ng email b i nhân viên c a t ch c c n đ c cho phép khuy n khích (s d ng email nh m h tr m c tiêu m c đích c a t ch c) 10 Bí m t riêng t /Privacy đ n AUP U M _T TM H D B n ch t c a sách b o m t thơng tin khách hàng: • Là tun b c a ch website đ i v i khách hàng ho c ng truy c p i • Là m t lo i quy đ nh m c đ nh m t phía h p đ ng giao d ch mà nh ng ng tr i truy c p website TM T ph i nên bi t c tuân th 16 Bí m t riêng t /Privacy đ n AUP U M _T TM H D B n ch t c a sách b o m t thơng tin khách hàng: • Th ng bao g m nhóm quy đ nh v : (1) ph th p thông tin khách hàng/ng đ ng pháp thu i dùng; (2) lo i thông tin c thu th p; (3) m c đích thu th p thơng tin; (4) chia s ti t l thông tin; (5) thay đ i ho c s a đ i thông tin 17 Bí m t riêng t U M _T TM H D o lu t yêu n c c a M (USA Patriot Act) Gia t ng (Dramatic increases in the scope) hình ph t c a gian l n máy tính hành vi l m d ng M r ng th m quy n c a c quan giám sát/c quan tình báo FISA (Foreign Intelligence Surveillance Act) T ng c ng chia s thông tin gi a l c l lu t đ a ph ng c quan tình báo C quan tình báo (FISA) giám sát nh ng h n ch c a c quan đ a ph ng c quan đ a ph ng giám sát h n ch c a c quan tình báo ng th c thi pháp 18 Bí m t riêng t U M _T TM H D • Lu t b o v tr em tr c n (COPA): ti p c n ph pháp b o v ng • ng i Ví d : lu t ch ng game c a bang California, M , v i nh ng quy đ nh c m bán ho c cho thuê game có n i dung b o l c đ i v i tr v thành niên Trong n m 2005, l n l t hai bang Illinois Michigan thông qua l nh c m bán trò ch i video có tính ch t b o l c khiêu dâm cho tr em 19 Bí m t riêng t U M _T TM H D • B o v bí m t riêng t N m 1998, n c y ban Châu Âu thơng qua m t h ng d n bí m t riêng t (EU Data Protection Directive) xác nh n l i nh ng nguyên t c c a b o v d li u cá nhân th i đ i internet H ng d n có m c đích u ch nh ho t đ ng c a b t kì cá nhân ho c cơng ty có liên quan t i vi c thu th p, l u tr , x lí ho c s d ng d li u cá nhân m ng internet 20 U M _T TM H D 21 U M _T TM H D 22 U M _T TM H D li u U M _T TM H D Nh ng nguyên t c c b n v b o v d cá nhân TM T •Nguyên t c 1: Ng n ng a thi t h i M c tiêu: ng n ng a vi c s d ng b t h p pháp d li u cá nhân c ng nh nh ng thi t h i phát sinh B o v d li u cá nhân Các bi n pháp ch tài x lỦ vi ph m v b o v d li u cá nhân c nđ c xây d ng phù h p v i m c đ thi t h i t vi c thu th p ho c s d ng thông tin trái phép 24 c U M _T TM H D • Nguyên t c 2: Thơng báo tr • Ngun t c 3: Gi i h n ph m vi thu th p d li u cá nhân • Nguyên t c 4: S d ng d li u cá nhân • Nguyên t c 5: Quy n l a ch n c a ch th d li u cá nhân • Nguyên t c 6: Tính tồn v n c a d li u cá nhân • Nguyên t c 7: An ninh, an tồn d li u cá nhân • Ngun t c 8: Ti p c n u ch nh d li u cá nhân • Nguyên t c 9: Trách nhi m cbquyet@yahoo.com 25 U M _T TM H D 26 U M _T TM H D i u 2: t Cookies Khi b n truy c p NgânL ng.vn, (ho c bên th ba đ c thuê đ theo dõi ho c th ng kê ho t đ ng c a website) s đ t m t s File d li u nh g i Cookies lên đ a c ng ho c b nh máy tính c a b n M t s nh ng Cookies có th t n t i lâu đ thu n ti n cho b n q trình s d ng, ví d nh : l u Email c a b n trang đ ng nh p đ b n không ph i nh p l i v.v…Chúng tơi s mã hóa File Cookies đ b o m t, b n có th c m Cookies trình t c a nh ng u có th nh h ng đ n trình s d ng NgânL ng.vn c a b n i u 3: L u tr & B o v thông tin Chúng l u tr x lý thông tin cá nhân c a b n t i máy ch đ t t i Vi t Nam Chúng b o v nh ng thông tin b ng nhi u ph ng ti n b o v v t lý (ví d : ki m sốt vào tòa nhà có ch a máy ch ), n t (ví d : t ng l a, mã hóa d li u) quy trình làm vi c c a đ i ng nhân viên v n hành 27 Chu n an ninh thông tin U M _T TM H D • ISO/IEC 27001 m t tiêu chu n qu c t cung c p m t khuôn kh đ th c hành thơng tin an tồn • Các l nh v c đ c bao hàm b i ISO/ IEC 27001 ISO/IEC 27001:2005 – Specification Specifies requirements for establishing, implementing, and documenting Information Security Management Systems (ISMS) Specifies requirements for security controls to be implemented according to the needs of individual organizations Consists of 11 control sections, 39 control objectives, and 133 controls Is aligned with ISO/IEC 17799:2005 28 Development of ISO/IEC 270001 "family" of standards 27000 27001 27002 27003 27004 27005 Description U M _T TM H D ISO/IEC Standard Vocabulary and definitions Specification (BS7799-2) Issued October 2005 Code of Practice (ISO17799:2005) Implementation Guidance Metrics and Measurement Risk Management (BS 7799-3) Source: BSI America U M _T TM H D Các v n đ đ i v i tiêu chu n ISO / IEC 27001: 2005 • Tích h p quy trình sách an tồn CNTT vào quy đ nh hi n t i c a t ch c • Th c hi n m t ph ng ti n đ tuân th c i ti n liên t c (Implements a means for continuous compliance and improvement) • C ng c , t ng c ng an ninh an toàn CNTT nh m t ph n c a qu n tr doanh nghi p t t (Reinforces IT security as part of good corporate governance) • Xây d ng chu n đ c qu c t ch p nh n (Built on internationally accepted standards) 30 ... i website nh m thông báo cho khách hàng nh ng ng i truy c p website v m c đích c a vi c thu th p thơng tin, nh ng thông tin đ c thu th p, s d ng thông tin, chia s thông tin 15 Bí m t riêng t... m quy n c a c quan giám sát/c quan tình báo FISA (Foreign Intelligence Surveillance Act) T ng c ng chia s thông tin gi a l c l lu t đ a ph ng c quan tình báo C quan tình báo (FISA) giám sát... ISO/IEC Standard Vocabulary and definitions Specification (BS779 9-2 ) Issued October 20 05 Code of Practice (ISO17799:20 05) Implementation Guidance Metrics and Measurement Risk Management (BS 779 9-3 )