1. Trang chủ
  2. » Kinh Tế - Quản Lý

Tiêu chuẩn Quốc gia TCVN 10543:2014 - ISO/IEC 27010:2012

30 94 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 30
Dung lượng 271,03 KB

Nội dung

Tiêu chuẩn Quốc gia TCVN 10543:2014 cung cấp thêm các hướng dẫn đã được đưa ra trong bộ tiêu chuẩn ISO/IEC 27000 để triển khai quản lý an toàn thông tin trong các cộng đồng chia sẻ thông tin. Mời các bạn cùng tham khảo nội dung chi tiết.

TIÊU CHUẨN QUỐC GIA TCVN 10543:2014 ISO/IEC 27010 : 2012 CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ AN TỒN TRAO ĐỔI THƠNG TIN LIÊN TỔ CHỨC, LIÊN NGÀNH lnformation technology - Security techniques - lnformation security management for intersector and inter-organizational communications Lời nói đầu TCVN 10543:2014 hoàn toàn tương đương với ISO/IEC 27010:2012 TCVN ISO/IEC 10543:2014 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin truyền thông tổ chức xây dựng đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ AN TOÀN TRAO ĐỔI THÔNG TIN LIÊN TỔ CHỨC, LIÊN NGÀNH lnformation technology - Security techniques - lnformation security management for inter-sector and inter-organizational Communications Phạm vi áp dụng Tiêu chuẩn cung cấp thêm hướng dẫn đưa tiêu chuẩn ISO/IEC 27000 để triển khai quản lý an tồn thơng tin cộng đồng chia sẻ thông tin Tiêu chuẩn cung cấp biện pháp quản lý hướng dẫn cụ thể liên quan đến việc khởi tạo, triển khai, trì cải tiến an tồn thơng tin trao đổi thơng tin liên tổ chức liên ngành Tiêu chuẩn áp dụng cho tất hình thức trao đổi chia sẻ thông tin nhạy cảm, công khai lẫn riêng tư, phạm vi quốc gia lẫn quốc tế, lĩnh vực ngành nghề thị trường ngành nghề Đặc biệt, tiêu chuẩn áp dụng để trao đổi chia sẻ thông tin liên quan đến việc hỗ trợ, trì vào bảo vệ sở hạ tầng quan trọng tổ chức quốc gia Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) ISO/IEC 27000:2009, Information technology - Security techniques - Information security manegerment systems - Overview and vocabulary (Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng) TCVN ISO/IEC 27001:2009, Công nghệ thơng tin - Hệ thống quản lý an tồn thơng tin - Các yêu cầu TCVN ISO/IEC 27002:2011, Công nghệ thơng tin - Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa ISO/IEC 27000 thuật ngữ định nghĩa sau: 3.1 Cộng đồng chia sẻ thơng tin (information sharing community) Nhóm tổ chức đồng ý chia sẻ thơng tin CHÚ THÍCH: Tổ chức cá nhân 3.2 Thực thể truyền thông thông tin tin cậy (trusted information communication entity) Tổ chức độc lập hỗ trợ trao đổi thông tin cộng đồng chia sẻ thông tin Các khái niệm giải thích 4.1 Giới thiệu Hướng dẫn cụ thể hệ thống quản lý an tồn thơng tin cho trao đổi thông tin liên tổ chức liên ngành đề cập điều từ điều đến điều 15 tiêu chuẩn TCVN ISO/IEC 27002:2011 đưa biện pháp quản lý bao gồm việc trao đổi thông tin song phương tổ chức, biện pháp quản lý việc phát tán thơng tin sẵn có cơng khai nói chung Tuy nhiên, số trường hợp cần chia sẻ thông tin cộng đồng tổ chức, nơi thông tin nhạy cảm cung cấp công khai ngoại trừ cho thành viên cộng đồng Thông thường, thông tin sẵn sàng sử dụng cho cá nhân định tổ chức thành viên, có yêu cầu an tồn thơng tin khác ẩn danh thơng tin Tiêu chuẩn bổ sung số biện pháp quản lý tiềm năng, cung cấp hướng dẫn bổ sung giải thích tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 để đáp ứng yêu cầu 4.2 Cộng đồng chia sẻ thông tin Để đạt hiệu quả, cộng đồng chia sẻ thơng tin phải có lợi ích chung mối quan hệ khác để xác định phạm vi thơng tin nhạy cảm chia sẻ Ví dụ, cộng đồng thị trường cụ thể giới hạn thành viên tổ chức ngành Ngồi ra, dựa vào lợi ích chung khác vị trí địa lý quyền sở hữu chung 4.3 Quản lý cộng đồng Cộng đồng chia sẻ thông tin tạo từ tổ chức độc lập phận tổ chức Do khơng có cấu tổ chức chức quản lý rõ ràng đồng áp dụng cho tất thành viên Để quản lý an tồn thơng tin đạt hiệu lực cần có cam kết ban quản lý Do đó, cấu tổ chức chức quản lý áp dụng cho quản lý an tồn thơng tin cộng đồng phải xác định rõ ràng Sự khác tổ chức thành viên cộng đồng chia sẻ thông tin phải xem xét Sự khác bao gồm: - Các tổ chức thành viên vận hành hệ thống quản lý an tồn thơng tin riêng hay chưa, - Các quy tắc tổ chức thành viên việc bảo vệ tài sản tiết lộ thông tin 4.4 Các thực thể hỗ trợ Các cộng đồng chia sẻ thông tin lựa chọn thiết lập định thực thể hỗ trợ tập trung để tổ chức hỗ trợ chia sẻ thông tin Thực thể cung cấp nhiều biện pháp quản lý hỗ trợ ẩn danh nguồn gốc bên nhận dễ dàng hiệu lực so với thành viên trao đổi thơng tin trực tiếp Có số mơ hình tổ chức khác sử dụng để tạo thực thể hỗ trợ Phụ lục D tiêu chuẩn mơ tả hai mơ hình phổ biến Thực thể truyền thông thông tin tin cậy (TICE) Điểm báo cáo, tư vấn cảnh báo (WARP) 4.5 Trao đổi thông tin liên ngành Nhiều cộng đồng chia sẻ thông tin ngành, đương nhiên có phạm vi lợi ích chung Tuy nhiên, thông tin chia sẻ cộng đồng có lợi cho cộng đồng chia sẻ thông tin khác thiết lập ngành khác Trong trường hợp vậy, thiết lập cộng đồng chia sẻ thông tin cộng đồng chia sẻ thông tin dựa vài lợi ích chung chất thơng tin chia sẻ Đó trao đổi thơng tin liên ngành Trao đổi thơng tin liên ngành có thuận lợi lớn thực thể hỗ trợ tồn cộng đồng chia sẻ thơng tin, sau biện pháp quản lý thỏa thuận trao đổi thơng tin cần thiết thiết lập thực thể hỗ trợ thành viên tất cộng đồng Một số trao đổi thông tin liên ngành yêu cầu ẩn danh tổ chức nguồn tổ chức nhận, điều đạt cách sử dụng thực thể hỗ trợ 4.6 Tính phù hợp Bất kỳ hệ thống quản lý an tồn thơng tin (ISMS) thiết lập, vận hành tuân theo TCVN ISO/IEC 27001:2009 sử dụng biện pháp quản lý TCVN ISO/IEC 27002:2011, tiêu chuẩn nguồn khác đánh giá phù hợp với TCVN ISO/IEC 27001:2009 mà không cần sửa đổi bổ sung thêm Tuy nhiên, có số điểm TCVN ISO/IEC 27001:2009 cần giải thích áp dụng cho cộng đồng chia sẻ thông tin (hoặc cho trao đổi thông tin liên ngành, cộng đồng cộng đồng) Điểm cần giải thích định nghĩa tổ chức liên quan TCVN ISO/IEC 27001:2009 yêu cầu ISMS thiết lập tổ chức vận hành bối cảnh hoạt động nghiệp vụ tổ chức nói chung rủi ro mà tổ chức phải đối mặt (4.1 TCVN ISO/IEC 27001:2009) Trong bối cảnh này, tổ chức liên quan cộng đồng chia sẻ thông tin Tuy nhiên, thành viên cộng đồng chia sẻ thông tin tự tổ chức xem Hình Ak tổ chức thành viên k cộng đồng (k= n), bao gồm thực thể hỗ trợ Hình - Các cộng đồng tổ chức Thứ hai, nhiều cộng đồng chia sẻ thông tin, tất người tổ chức thành viên phép truy nhập vào thông tin nhạy cảm chia sẻ thành viên Trong trường hợp này, phần thành viên tổ chức nằm phạm vi hệ thống quản lý an tồn thơng tin cộng đồng phần nằm Phần nằm phạm vi cộng đồng truy nhập vào thông tin cộng đồng thơng tin đánh dấu để phát hành diện rộng - xem Hình Hình - Thành viên có phần nằm phạm vi chia sẻ thông tin Các thành viên cộng đồng chia sẻ thơng tin có hệ thống quản lý an tồn thơng tin riêng, số quy trình nằm phạm vi hệ thống quản lý thành viên lẫn cộng đồng Trong trường hợp này, xảy khả lý thuyết u cầu khơng tương thích mâu thuẫn quy trình Đây trường hợp bị loại bỏ khỏi phạm vi hệ thống quản lý an tồn thơng tin thành viên - xem 4.2.1 a) TCVN ISO/IEC 27001:2009 Khi xác định phương pháp đánh giá rủi ro (4.2.1 c TCVN ISO/IEC 27001:2009), cộng đồng chia sẻ thông tin cần thấy tác động rủi ro khác thành viên khác cộng đồng Do đó, cộng đồng cần lựa chọn phương pháp đánh giá rủi ro để xử lý tác động khơng đồng nhất, tiêu chí đánh giá rủi ro Việc đo hiệu lực biện pháp quản lý lựa chọn (4.2.3 c TCVN ISO/IEC 27001:2009) cần tham gia tất thành viên cộng đồng chia sẻ thông tin Tất thành viên cần cung cấp phản hồi thường xuyên cho nhà cung cấp thông tin cộng đồng tất liên quan đến hiệu lực biện pháp quản lý môi trường riêng họ 4.7 Mơ hình trao đổi thơng tin Trao đổi thơng tin nhạy cảm nêu tiêu chuẩn hình thức văn bản, lời nói điện tử - miễn đáp ứng yêu cầu quản lý lựa chọn Trong phần lại tiêu chuẩn này, trao đổi thơng tin nhạy cảm cá nhân mô tả theo dạng bên tham gia sau: - Nguồn gốc danh mục thông tin cá nhân tổ chức tạo danh mục thơng tin đó; nguồn gốc khơng thiết thành viên cộng đồng - Bên khởi tạo thành viên cộng đồng chia sẻ thông tin thực khởi đầu phổ biến thơng tin cộng đồng Bên khởi tạo phổ biến thơng tin trực tiếp, gửi thông tin tới thực thể hỗ trợ để phổ biến Bên khởi tạo nguồn gốc thông tin không thiết phải một; bên khởi tạo che giấu định danh nguồn gốc Các cộng đồng cung cấp phương tiện phép thành viên che giấu định danh riêng họ bên khởi tạo - Bên nhận bên nhận thông tin phổ biến cộng đồng Bên nhận không thiết thành viên cộng đồng thông tin định danh sẵn sàng để phổ biến diện rộng Các cộng đồng cung cấp phương tiện phép bên nhận che giấu định danh họ từ thơng tin bên khởi tạo Chính sách an tồn thơng tin 5.1 Chính sách an tồn thơng tin 5.1.1 Tài liệu sách an tồn thơng tin Xem 4.1.1 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Tài liệu sách an tồn thơng tin phải xác định cách thành viên cộng đồng làm việc để thiết lập sách quản lý an tồn thông tin định hướng cho cộng đồng chia sẻ thông tin Tài liệu phải sẵn sàng cho tất nhân viên tham gia vào việc chia sẻ thơng tin cộng đồng Chính sách hạn chế phổ biến tài liệu tới nhân viên khác thành viên cộng đồng Tài liệu sách an tồn thơng tin phải xác định sách phổ biến đánh dấu thông tin sử dụng cộng đồng 5.1.2 Sốt xét sách an tồn thông tin Xem 4.1.2 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Đầu vào quy trình sốt xét ban quản lý phải bao gồm thông tin thay đổi đáng kể toàn thành viên cộng đồng chia sẻ thông tin Tổ chức đảm bảo an tồn thơng tin 6.1 Tổ chức nội Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 6.2 Các bên tham gia bên 6.2.1 Xác định rủi ro liên quan đến bên tham gia bên ngồi Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 6.2.2 Giải an tồn làm việc với khách hàng Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 6.2.3 Giải an toàn thỏa thuận với bên thứ ba Xem 5.2.3 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Tất thành viên cộng đồng phải nhận biết định danh bên thứ ba liên quan đến việc cung cấp dịch vụ cộng đồng trường hợp họ có kháng nghị bên cụ thể liên quan đến xử lý thông tin mà họ cung cấp Các thỏa thuận với nhà sản xuất nhà cung cấp dịch vụ liên quan tới việc cung cấp dịch vụ cộng đồng phải cho phép thực đánh giá sốt xét an tồn dịch vụ họ cách thường xuyên Quản lý tài sản 7.1 Trách nhiệm tài sản 7.1.1 Kiểm kê tài sản Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 7.1.2 Quyền sở hữu tài sản Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 7.1.3 Sử dụng hợp lý tài sản Xem 6.1.3 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Thông tin cung cấp thành viên khác cộng đồng chia sẻ thông tin tài sản, cần bảo vệ phổ biến theo quy tắc thiết lập cộng đồng chia sẻ thông tin bên khởi tạo 7.2 Phân loại thông tin 7.2.1 Hướng dẫn phân loại Xem 6.2.1 TCVN ISO/IEC 27002:2011 bổ sung: Biện pháp quản lý Thông tin phải phân loại theo giá trị, yêu cầu pháp lý, độ nhạy cảm, độ tin cậy độ quan trọng chúng tổ chức Hướng dẫn triển khai Cũng tiêu chí đưa TCVN ISO/IEC 27002:2011, thông tin phải phân loại theo độ tin cậy chúng Điều phải đánh giá theo uy tín nguồn tin, nội dung kỹ thuật chất lượng miêu tả Tương tự vậy, độ nhạy cảm phụ thuộc vào nhiều khía cạnh thơng tin ngồi nhu cầu trì tính bảo mật thông tin tác động việc tiết lộ, khẩn cấp phát tán hay nguy tổn thương tính ẩn danh nguồn thơng tin Phải giải thích rõ ràng cách đánh dấu phân loại ấn định thành viên khác cộng đồng chia sẻ thơng tin VÍ DỤ: Một Email khách hiển thị thơng điệp “Vui lòng xem điều thơng tin mật” hiển thị email trường tiêu đề nhạy cảm thiết lập "thông tin mật công ty" (RFC 4021 [2]) Trường hợp này, dụng ý bên khởi tạo không rõ ràng “thông tin mật công ty” (và thông điệp gửi bị lỗi) hay “thông tin mật cho bên nhận” 7.2.2 Gắn nhãn xử lý thơng tin Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 7.3 Bảo vệ trao đổi thông tin Bổ sung thêm mục tiêu quản lý sau vào điều TCVN ISO/IEC 27002:2011, quản lý tài sản: Mục tiêu: Đảm bảo bảo vệ đầy đủ việc trao đổi thông tin cộng đồng chia sẻ thông tin Thông tin trao đổi thành viên cộng đồng chia sẻ thông tin phải bảo vệ cách phù hợp, thành viên thực thể độc lập phần thực thể đánh dấu, phổ biến bảo vệ thơng tin theo cách khác Khi có u cầu ẩn danh, thơng tin định danh nguồn gốc trao đổi thông tin phải loại bỏ Cũng vậy, yêu cầu phải có khả nhận thông tin chia sẻ mà không tiết lộ định danh bên nhận Việc phát hành thông tin chia sẻ cộng đồng phải quản lý 7.3.1 Phổ biến thông tin Biện pháp quản lý Việc phổ biến thông tin bên thành viên nhận phải giới hạn sở việc đánh dấu phổ biến xác định trước cộng đồng Hướng dẫn triển khai Thông tin không ấn định đánh dấu phổ biến phải phổ biến theo mặc định xác định cộng đồng chia sẻ thơng tin Nếu có nghi ngờ, khơng có thỏa thuận chung phổ biến mặc định thơng tin phải xử lý thận trọng Nếu có thể, bên nhận phải yêu cầu bên khởi tạo gửi lại thông tin với đánh dấu phổ biến rõ ràng Việc hạn chế phổ biến bao gồm hạn chế sử dụng kiểm soát chép điện tử, ngăn chặn chụp ảnh hình, ngăn chặn in ấn xuất liệu Thông tin khác Các thành phần thuộc tính khác thơng tin chia sẻ có độ nhạy cảm khác Cụ thể, việc biết đến tồn thông điệp thông tin chia sẻ khác có độ nhạy cảm khác so với nội dung Chức quản lý quyền thông tin thường sử dụng để ràng buộc giới hạn sử dụng Do đó, mơ hình sách quyền người sử dụng rõ ràng cần thiết để người sử dụng biết hệ thống họ cho phép họ làm nơi họ bị chặn 7.3.2 Lưu ý sử dụng thông tin Biện pháp quản lý Mỗi quy trình trao đổi thơng tin phải bắt đầu với lưu ý sử dụng, liệt kê yêu cầu đặc biệt mà bên nhận phải thực bên cạnh đánh dấu thông tin thông thường Hướng dẫn triển khai Bên nhận phải yêu cầu bên khởi tạo làm sáng tỏ lưu ý sử dụng không hiểu đầy đủ không triển khai 7.3.3 Độ tin cậy thông tin Biện pháp quản lý Mỗi quy trình trao đổi thơng tin phải mức độ tin tưởng bên khởi tạo độ xác độ tin cậy thông tin truyền Hướng dẫn triển khai Dựa vào ràng buộc kỹ thuật hậu tiềm ẩn tính khẩn cấp khơng kiểm tra tính hợp lệ tồn thơng tin trước truyền Nếu có giới hạn giới hạn phải phần thông điệp Việc hạn chế độ tin cậy thông tin đặc biệt quan trọng nguồn ẩn danh Việc nơi bên khởi tạo kiểm tra tính hợp lệ thơng tin cho trực tiếp đảm bảo tính xác thực quan trọng 7.3.4 Giảm tính nhạy cảm thông tin Biện pháp quản lý Bên khởi tạo quy trình trao đổi thơng tin phải báo độ nhạy cảm thông tin cung cấp suy giảm sau số kiện bên theo thời gian Hướng dẫn triển khai Ngay độ nhạy cảm thông tin cung cấp giảm theo thời gian cần bảo vệ Hướng dẫn phân loại (xem 6.4.2) cần bao gồm mặc định cho suy giảm độ nhạy cảm 7.3.5 Bảo vệ nguồn ẩn danh Biện pháp quản lý Thành viên cộng đồng phải loại bỏ thông tin định danh nguồn gốc trao đổi thông tin mà họ khởi tạo nhận việc ẩn danh yêu cầu Hướng dẫn triển khai Bên khởi tạo thông tin chịu trách nhiệm đạt chấp thuận từ nguồn gốc (nếu khác nhau) trước trao đổi thơng tin đến thành viên khác cộng đồng chia sẻ thông tin Bên khởi tạo phải hỏi nguồn gốc xác định nhà cung cấp thông tin Điều quan trọng quy trình bảo vệ nguồn gốc xem xét nội dung thông điệp nguồn gốc thông điệp, phân tích nội dung phát định danh nguồn gốc Nếu có thể, bên khởi tạo thơng điệp nên u cầu nguồn gốc sốt xét thơng tin ẩn danh danh sách bên nhận mong đợi trước phổ biến VÍ DỤ: Một thơng điệp “Các ATM bị khả hoạt động loại virus mà tường lửa khơng phát máy chủ sách phát ra” tiết lộ nguồn gốc thơng điệp có ngân hàng bị ngắt dịch vụ công cộng vào ngày thông điệp phát Có số chế kỹ thuật sử dụng để cung cấp xác thực mà không ảnh hưởng đến ẩn danh Ví dụ, bí mật mã hóa chia sẻ sử dụng để xác nhận trao đổi thông tin khởi nguồn từ thành viên cộng đồng mà không tiết lộ định danh thực bên khởi tạo 7.3.6 Bảo vệ bên nhận ẩn danh Biện pháp quản lý Với chấp thuận bên khởi tạo, thành viên cộng đồng phải có khả nhận trao đổi thông tin mà không tiết lộ định danh họ Hướng dẫn triển khai Tiếp nhận ẩn danh triển khai biện pháp kỹ thuật (ví dụ, mã hóa) biện pháp mang tính thủ tục (ví dụ, định tuyến thông qua thực thể hỗ trợ) Phải ý đảm bảo ẩn danh không vi phạm ràng buộc theo pháp luật giảm mức độ tin cậy tổng thể cộng đồng Thông tin khác Tiếp nhận ẩn danh thường cần thiết để trao đổi thông tin liên ngành có hiệu cộng đồng ngành mong muốn giữ chi tiết thành viên họ cách riêng tư 7.3.7 Quyền phát hành tiếp Biện pháp quản lý Nếu không đánh dấu phổ biến rộng thơng tin khơng phổ biến cộng đồng chia sẻ thông tin chấp thuận thức từ bên khởi tạo Hướng dẫn triển khai Mỗi bên nhận phải có trách nhiệm nhận cho phép cần thiết để phát hành rộng rãi từ bên khởi tạo trước phổ biến tiếp Trong trao đổi thông tin liên ngành, bên khởi tạo biết tất tổ chức nhận thơng tin Trong trường hợp đó, chấp thuận phát hành chung cho ngành cụ thể cần thiết ban hành Thông tin khác Giao thức đèn giao thông (xem Phụ lục C) sử dụng để cách thơng tin phổ biến mà không cần thêm chấp thuận Đảm bảo an tồn thơng tin từ nguồn nhân lực 8.1 Trước tuyển dụng 8.1.1 Các vai trò trách nhiệm Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 8.1.2 Thẩm tra Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 8.1.3 Điều khoản điều kiện tuyển dụng Xem 7.1.3 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Các quy định thẩm tra chưa quán tất thành viên cộng đồng chia sẻ thông tin Cộng đồng phải xem xét xác định mức độ kiểm tra xác minh tối thiểu để áp dụng cho tất nhân viên nhà thầu thành viên truy nhập vào thông tin chia sẻ cộng đồng 8.2 Trong thời gian làm việc Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 8.3 Chấm dứt thay đổi cơng việc Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành Đảm bảo an tồn vật lý mơi trường Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10 Quản lý trao đổi thông tin vận hành 10.1 Các trách nhiệm thủ tục vận hành Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.2 Quản lý chuyển giao dịch vụ bên thứ ba Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.3 Lập kế hoạch chấp nhận hệ thống Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.4 Bảo vệ chống lại mã độc mã di động 10.4.1 Quản lý chống lại mã độc hại Xem 9.4.1 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Thông tin nhận từ thành viên khác cộng đồng chia sẻ thông tin phải quét mã độc tại, bất chấp dịch vụ trao đổi thông tin thành viên cộng đồng có cung cấp quét tin bị nhiễm virus hay khơng 10.4.2 Kiểm sốt mã di động Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.5 Sao lưu Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.6 Quản lý an tồn mạng Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.7 Xử lý phương tiện Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.8 Trao đổi thơng tin 10.8.1 Các sách thủ tục trao đổi thơng tin Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.8.2 Các thỏa thuận trao đổi Xem 9.8.2 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Tất cộng đồng chia sẻ thông tin phải xác định thỏa thuận trao đổi thông tin cho phép thành viên tham gia cộng đồng thỏa thuận ký kết chấp nhận 10.8.3 Vận chuyển phương tiện vật lý Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.8.4 Thông điệp điện tử Xem 9.8.4 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Tất cộng đồng chia sẻ thông tin phải xác định quy tắc bảo vệ thông tin truyền tải cho phép thành viên tham gia cộng đồng quy tắc chấp nhận triển khai thành viên Mọi thực thể hỗ trợ phải triển khai quy tắc Các cộng đồng chia sẻ thông tin phải xem xét việc triển khai chế thay chia sẻ thông tin không dựa vào thông điệp điện tử cho phép thành viên xác định thông điệp cụ thể phổ biến đường khác 10.8.5 Các hệ thống thơng tin nghiệp vụ Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.9 Các dịch vụ thương mại điện tử Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.10 Giám sát 10.10.1 Ghi nhật ký đánh giá Xem 9.10.1 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Khi cộng đồng chia sẻ thông tin yêu cầu, thành viên phải ghi lại việc phổ biến nội thông tin chia sẻ 10.10.2 Giám sát sử dụng hệ thống Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.10.3 Bảo vệ thơng tin nhật ký Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.10.4 Nhật ký người điều hành người quản trị Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.10.5 Ghi nhật ký lỗi Không có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 10.10.6 Đồng thời gian Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 11 Quản lý truy nhập Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 12 Tiếp nhận, phát triển trì hệ thống thơng tin 12.1 u cầu đảm bảo an tồn cho hệ thống thơng tin Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 12.2 Xử lý ứng dụng Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 12.3 Quản lý mã hóa 12.3.1 Chính sách sử dụng biện pháp quản lý mã hóa Xem 11.3.1 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Các kỹ thuật mã hóa sử dụng để triển khai quy tắc phân tán chia sẻ thơng tin, ví dụ thơng qua quản lý quyền thông tin 12.3.2 Quản lý khóa Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 12.4 An tồn cho tệp tin hệ thống Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 12.5 Bảo đảm an tồn quy trình hỗ trợ phát triển Khơng có thêm thơng tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 12.6 Quản lý điểm yếu kỹ thuật Khơng có thêm thông tin cụ thể cho trao đổi thông tin liên tổ chức, liên ngành 13 Quản lý cố an tồn thơng tin 13.1 Báo cáo kiện an tồn thơng tin điểm yếu 13.1.1 Báo cáo kiện an tồn thơng tin Xem 12.1.1 TCVN ISO/IEC 27002:2011 bổ sung thêm hướng dẫn sau: Hướng dẫn triển khai Các thành viên cộng đồng chia sẻ thông tin phải xem xét kiện phát nên báo cáo cho thành viên khác cộng đồng hay không Cộng đồng phải đồng ý phát hành hướng dẫn loại cố mà thành viên khác quan tâm Các thành viên cần phải cân nhắc để đảm bảo có kiện mà thành viên khác quan tâm báo cáo Xu hướng chung cố giữ bí mật thành viên cộng đồng không tiết lộ thơng tin cố để bảo vệ uy tín tổ chức Tuy nhiên, việc trao đổi thông tin cố đến thành viên khác khuyến khích hợp tác phối hợp việc ngăn ngừa cố, phản ứng nhanh trước cố cải tiến an tồn thơng tin tổng thể cộng đồng Các kiện cố báo cáo mà không cần tiết lộ tất hậu chúng Các thành viên phải nhanh chóng kiểm tra tất kiện báo cáo để xem xét chúng ảnh hưởng tới hoạt động riêng họ Ví dụ, thơng báo thường lệ thành viên cung cấp dịch vụ bảo trì theo kế hoạch u cầu thành viên khác sốt xét độ tin cậy nhà cung cấp thay trước bắt đầu hoạt động bảo trì tiêu chí độc giả đích, thuộc tính thông tin phân phát, kênh tiếp cận tần suất, chi phí Ví dụ kênh trao đổi thơng tin thơng điệp điện tử, site công cộng cho thành viên, gọi điện thoại hội nghị hai chiều, thư tay qua dịch vụ bưu cơng cộng họp trực tiếp Ảnh hưởng trao đổi thơng tin đến độc giả đích phụ thuộc vào hiệu lực kênh tiếp cận độc giả, độ tin cậy với độc giả thích hợp vấn đề chủ đề thơng tin Không phải tất thông tin yêu cầu trao đổi thời gian thực; vài thông tin chia sẻ tốt thơng qua cách liên lạc thường lệ Các ví dụ thơng tin phân phát đến thành viên cộng đồng báo cáo tức cố phát phù hợp hồ sơ xác định trước, báo cáo thường xuyên thời điểm, phản hồi yêu cầu thông tin từ thành viên khác Các ví dụ thuộc tính phổ biến bảo vệ liệu yêu cầu che dấu nguồn gốc thông tin, độ nhạy cảm thông tin đánh giá bên khởi tạo tin cậy thơng tin Một ví dụ quy tắc nhằm giải thích thuộc tính phổ biến bảo vệ liệu Giao thức đèn giao thông (TLP) - xem Phụ lục C Các thuộc tính khác tùy thuộc vào kênh trao đổi thông tin sử dụng Ví dụ, thuộc tính bắt buộc dành cho phát hành bưu khác so với thư điện tử Với giải pháp kỹ thuật lựa chọn triển khai, chúng phải phù hợp với loại thông tin chia sẻ cộng đồng thích hợp với mục tiêu xác định cộng đồng Tiếp xúc trực tiếp xây dựng tin cậy cách cần thiết để phát triển cộng đồng cách mời thành viên Tuy nhiên, tồn tảng tin cậy cấu trúc chia sẻ khác khuyến khích thành viên A.6 Các thỏa thuận trao đổi thông tin Cộng đồng chia sẻ thông tin nên xác định thỏa thuận trao đổi thông tin, chế quy trình quản trị phương tiện trao đổi thơng tin cộng đồng Thơng tin trao đổi thư tay, lời nói họp trực tiếp, thư điện tử Thơng tin trao đổi thức, sử dụng dạng cho trước giao thức, khơng thức qua cách phi cấu trúc Thơng tin trao đổi thường xun theo tình huống.Thơng tin trao đổi phương tiện trao đổi thông tin ngang hàng, phân cấp thông qua thực thể hỗ trợ tập trung TICE WARP Thỏa thuận trao đổi thơng tin cho phép thơng tin chia sẻ với thành viên lựa chọn cộng đồng chia sẻ thông tin, thực chia sẻ ẩn danh Tương tự vậy, kể có phương tiện báo cáo tập trung, cho phép chuyển thơng tin trực tiếp thành viên cách trực tiếp Thỏa thuận trao đổi thông tin nên loại thơng tin trao đổi thành viên cộng đồng, để đảm bảo hiểu biết chung thành viên cộng đồng thông tin trao đổi đảm bảo thành viên thiết kế triển khai biện pháp an ninh phù hợp với mức độ nhạy cảm thông tin chia sẻ Ví dụ loại thơng tin truyền: - “Các thơng báo”, tương ứng với kiện có giải thích thơng tin; - “Các cảnh báo báo động”, tương ứng với kiện liên quan đến IT vật lý không giải thích thơng tin, cơng từ chối dịch vụ, quét giả mạo; - “Xử lý cố”, tương ứng với việc phân tích, hỗ trợ ứng phó điều phối ứng phó liên quan đến cố thực tế; - “Các yêu cầu thông tin", tương ứng với việc yêu cầu thông tin từ thành viên cộng đồng tới tất vài thành viên khác cộng đồng - “Các dự đoán chất lượng dịch vụ”, cung cấp thông tin hiệu lực độ tin cậy dự đoán kênh trao đổi thông tin cộng đồng Chia sẻ nhiều q thơng tin khơng tốt; trừ có phương pháp lọc liệu thích hợp Nếu việc xây dựng xu hướng thông tin xem lợi ích việc chia sẻ phải có phương pháp phân biệt thông tin “hành động ngay” có ưu tiên cao với thơng tin “dành cho mục đích lưu trữ” có ưu tiên thấp A.7 Các yếu tố thành công Các cộng đồng hiệu có lợi ích chia sẻ thực sự, tất thành viên quan tâm đến khía cạnh Ví dụ, cơng ty viễn thơng cố định không quan tâm đến vấn đề không dây, quan tâm công ty di động việc xác định gọi giả Các thành viên cộng đồng hiệu sử dụng quyền đại diện để xử lý việc nội Cộng đồng hiệu giới hạn khơng hạn chế thành viên, ví dụ để đảm bảo đại diện công việc định A.8 Phạm vi hệ thống quản lý an tồn thơng tin cộng đồng chia sẻ thông tin Phạm vi hệ thống quản lý an tồn thơng tin cộng đồng chia sẻ thông tin nên bao gồm: - Tất quy trình sử dụng cho trao đổi thơng tin thành viên cộng đồng, bao gồm thành viên trung gian; - Việc lưu trữ thông tin có liên quan suốt quy trình trao đổi thơng tin; - Các quy trình triển khai thành viên có liên quan để gửi nhận thơng tin chia sẻ; Các quy trình triển khai thành viên cộng đồng việc loại bỏ thông tin chia sẻ Phạm vi không nên bao gồm quy trình quản lý an tồn thơng tin triển khai thành viên cộng đồng có liên quan để quản lý an tồn thơng tin họ, bao phủ hệ thống quản lý an tồn thơng tin khác, ngoại trừ hạn chế đặt cho chất thông tin chia sẻ giao diện hệ thống chia sẻ thơng tin Hệ thống quản lý an tồn thơng tin quản lý tập trung thực thể hỗ trợ TICE WARP, quản lý hợp tác thành viên cộng đồng PHỤ LỤC B (Tham khảo) Thiết lập tin cậy trao đổi thông tin B.1 Độ tin cậy thông báo Độ tin cậy bên nhận thông báo nhận chủ yếu dựa mức độ tin cậy nguồn gốc thông điệp, mức độ tin cậy nguồn thơng báo Điều đóng gói mơ “5-5" sử dụng thực thi luật cộng đồng thông tin: - {A - E} Mức giảm dần độ tin cậy nguồn gốc; - {1 - 5} Mức giảm dần độ tin cậy nguồn vào thông tin Như thông tin “A-1” xem tin cậy tuyệt đối, thông tin “E-5” thường bị loại bỏ Nhưng tất nhiên thực tế có thơng tin “A-1” Có lẽ ví dụ biết đến tốt nhất, nguồn thông tin xem tin cậy tuyệt đối đơi có lỗi, việc sử dụng hệ thống định vị vệ tinh tồn cầu GPS, có trường hợp hệ thống lập kế hoạch tuyến ánh xạ bị lỗi vơ tình khiến phương tiện vận chuyển lớn bị dẫn sai xuống đường hẻm nhỏ Vấn đề xa liên quan tới độ tin cậy thông báo rủi ro tăng cường bề ngồi Có khuynh hướng nội - giả định - nhiều trường hợp thông tin giống từ nguồn khác khẳng định Trong số chừng mực, điều hiển nhiên đúng, độ tin cậy lấy cách dập khuôn, cụ thể, mơ hình tốn học độ tin cậy khơng nên gán trọng số tuyến tính cho trường hợp bổ sung B.2 Hỗ trợ kỹ thuật B.2.1 Giới thiệu Có vài kỹ thuật gần phát triển để hỗ trợ độ tin cậy thơng tin cung cấp hình thức điện tử tạo thực thể chưa biết không quen thuộc Các kỹ thuật phù hợp với khái niệm “Web 2.0” [4] Web 2.0 tập hợp kỹ thuật- mà khái niệm liên quan đến trao đổi thông tin xã hội kết hợp ý tưởng sử dụng Web tảng, sử dụng để thu thập Hai khía cạnh Web 2.0 đặc biệt liên quan đến tiêu chuẩn này: - Giả ẩn danh; - Các hệ thống uy tín, gọi cấu uy tín B.2.2 Ẩn danh giả ẩn danh Các nguồn bên nhận thơng tin mong muốn trì ẩn danh với nhiều lý Hiệu lực ẩn danh thực đạt phụ thuộc vào hiểu biết bối cảnh ví dụ mức độ hiểu rõ tồn hệ thống thơng điệp Trong hệ thống lớn, phân tán, số người tham gia đầy đủ hệ thống thông điệp, nhiều trường hợp bối cảnh thông điệp thay đổi theo thời gian Khái niệm ẩn danh gắn chặt với với khái niệm khơng có khả liên kết, hạng mục quan tâm khơng liên kết nhiều so với chúng liên kết từ hiểu biết suy diễn Mối quan hệ ẩn danh ngụ ý mức độ truy vết để xem trao đổi thông tin với người khơng có khả liên kết bên khởi tạo với nhiều bên nhận Không có khả quan sát khơng thể quan sát bên khởi tạo gửi bên nhận nhận Khơng có khả quan sát mối quan hệ nghĩa quan sát trao đổi thông tin bên khởi tạo bên nhận Ký biệt hiệu liên quan đến thay tên cá nhân đặc tính định danh khác nhãn, để bảo vệ danh tính của đối tượng liệu để khó xác định Ký biệt hiệu trạng thái sử dụng biệt hiệu nhãn định danh Đối với khía cạnh mức độ khả liên kết, có vài loại biệt hiệu sau: a) Biệt hiệu cá nhân: Biệt hiệu cá nhân thay cho tên chủ sở hữu coi đại diện cho số định danh chủ sở hữu Nó dùng tất bối cảnh, ví dụ số chứng minh thư nhân dân, số an ninh xã hội, DNA, nickname, nghệ danh diễn viên, số điện thoại b) Biệt hiệu vai trò: sử dụng biệt hiệu vai trò giới hạn vai trò cụ thể, ví dụ: biệt hiệu khách tài khoản Internet sử dụng cho nhiều thuyết minh vai trò “người dùng internet” Cùng biệt hiệu vai trò sử dụng với đối tác trao đổi thông tin khác c) Biệt hiệu quan hệ: ứng với đối tác trao đổi thơng tin sử dụng biệt hiệu khác Điều có nghĩa đối tác trao đổi thơng tin khác khơng thể nói họ trao đổi thông tin với người dùng d) Biệt hiệu vai trò-quan hệ: ứng với vai trò với đối tác trao đổi thơng tin sử dụng biệt hiệu vai trò-quan hệ khác Điều có nghĩa đối tác trao đổi thơng tin khơng cần biết có hai biệt hiệu sử dụng cho vai trò khác thuộc chủ sở hữu Mặt khác, hai đối tác trao đổi thông tin khác tương tác với người dùng vai trò khơng biết biệt hiệu người VÍ DỤ: Giả sử nguồn thông tin thường sử dụng tên “Wool” trao đổi thông tin không miền công cộng tới Bernstein “Touched” trao đổi thông tin đến Woolward Bernstein sau nhận thơng tin chủ đề từ “Deep Throat” Woolward từ “Watergate" Bernstein Woolward “Deep Throat" “Watergate” có phải người hay khơng khơng biết “Deep Throat" có phải “Wool" hay “Touched", hai e) Biệt hiệu giao dịch: Đối với giao dịch, biệt hiệu giao dịch khơng có khả liên kết đến nhiều biệt hiệu giao dịch khác khơng thể bắt đầu liên kết với biệt hiệu giao dịch sử dụng, ví dụ số giao dịch tạo ngẫu nhiên cho ngân hàng trực tuyến Do đó, biệt hiệu giao dịch sử dụng để nhận độ mạnh ẩn danh Nói chung, ẩn danh biệt hiệu vai trò biệt hiệu quan hệ tốt ẩn danh biệt hiệu cá nhân Độ mạnh ẩn danh tăng lên với việc áp dụng ẩn danh vai trò-quan hệ, việc sử dụng ẩn danh hạn chế cho vai trò mối quan hệ Ẩn danh mạnh liệu cá nhân chủ sở hữu biệt hiệu liên kết đến biệt hiệu B.2.3 Cơ chế đánh giá uy tín Khái niệm cơng cụ danh tiếng hình thành nên sở nhiều phương tiện truyền thông xã hội mạng xã hội Web Các công cụ danh tiếng dùng để lọc thơng tin có liên quan chúng trở nên thích hợp số lượng đa dạng thông tin tăng lên đáng kể Một cơng cụ danh tiếng định nghĩa tập thức sách thủ tục sử dụng để tính điểm danh tiếng cho cá nhân dựa hoạt động khứ họ Trong giới trực tuyến, công cụ danh tiếng gắn với ý tưởng dấu chân số Dấu chân số lần theo hoạt động mơi trường số Báo cáo tín nhiệm chế khác cung cấp công cụ để định lượng danh tiếng so sánh chế Web danh tiếng (như hệ số đánh giá Internet) với báo cáo tín nhiệm truyền thống đáng quan tâm Khi giao dịch web (mua, bán, mượn, trả lại) tạo liệu số Dữ liệu chụp lại người khác (như quan đánh giá hệ số tín nhiệm) thuộc - “được sở hữu” quan đánh giá hệ số tín nhiệm (và thực phải trả phí để tiếp cận đến nó) Có nhiều hình thức cơng cụ danh tiếng làm tinh tế công cụ danh tiếng eBay Công cụ eBay khác điểm tín nhiệm minh bạch Mọi thông tin phản hồi (bao gồm thông tin phản hồi tiêu cực) phản hồi tới cá nhân người viết bình luận đưa hội để phản kháng Một cơng cụ danh tiếng sử dụng để tăng độ tin cậy cách kết hợp nhận thức từ nguồn gốc cộng đồng rộng lớn thông qua nhiệm vụ xác nhận hợp lệ nguồn thông tin mới, xác nhận nguồn nội dung, cảnh báo thời gian thực tìm kiếm Twitter cảnh báo Google, củng cố độ tin cậy từ nguồn vô danh, bổ sung tìm kiếm quan niệm bên ngồi, mang ý kiến mới/bên đến miền chia sẻ tin cậy, dự báo hội nguy từ nguồn bên Tuy nhiên, nhiều kỹ thuật Web 2.0 (giống wiki) có giới hạn việc xây dựng độ tin cậy chúng khơng có mơ hình nội tin cậy đủ mạnh B.3 Truy nhập thông tin tin cậy Các khái niệm làm trụ cột cho tin cậy thực chất có chất chủ quan khách quan, không cần thiết tuân theo biểu diễn máy móc Tuy nhiên, cách tiếp cận Pareto [5] dùng để giải vấn đề: giải pháp phần lớn kết mong đợi đạt với khối lượng nỗ lực tương đối nhỏ, cố gắng để hồn thiện mơ hình u cầu khối lượng nỗ lực khơng cân xứng Các thành phần cách tiếp cận là: a) Bên khởi tạo thơng tin nên gán mức độ tin cậy cho thông tin họ phát hành Sự hữu dụng cách tiếp cận xác nhận hợp lệ Trung tâm bảo vệ sở hạ tầng quốc gia Vương quốc Anh, phương thức sử dụng để tự động mô tả sơ lược phổ biến thơng tin cảnh báo tới nhiều hình thức cộng đồng chia sẻ thông tin khác b) Tất thông tin xác định rõ ràng với nguồn gốc nó, lý tưởng sử dụng định dạng liệu có cấu trúc c) Mặc dù có khái niệm định danh nguồn gốc, nên hỗ trợ báo cáo ẩn danh, kinh nghiệm từ giới an toàn cung cấp ẩn danh làm tăng cách đáng kể việc chia sẻ thông tin d) Khái niệm Đối tượng Biên sử dụng để đóng gói nội dung thông tin trao đổi Các Đối tượng Biên tập hợp có cấu trúc thơng tin có mức độ cơng nhận lẫn cộng đồng quan tâm, cho phép trao đổi thông tin thông qua biên giới miền ngôn ngữ: thành công sáng kiến thông báo Liệt kê điểm yếu chung (CVE) Mitre đóng góp phần cho việc chấp nhận thực tế Đối tượng Biên Khóa: W.n phán bên khởi tạo độ tin cậy thông tin tin W.n’ phán bên nhận độ tin cậy thông tin tin Hình B.1 - Đánh giá độ tin cậy nội dung tin e) Cả bên khởi tạo bên nhận trao đổi thông tin tin cậy nên cung cấp đánh giá việc có hay khơng, lần, thông tin hỗ trợ cho nội dung nhận trước đó: có vài khả tự động phân tích cú pháp thơng tin cho mục đích này, cần phải nhận thấy tự động phân tích cú pháp cho tin cho mục đích trình độ kỹ thuật không đáng tin Để giảm thiểu rủi ro việc tăng cường bề ngoài, cần áp dụng Hàm Phân bố Tích lũy trả kết giảm dần để áp dụng đếm số lượng trường hợp trước đó, có nghĩa giá trị trọng số thông tin bổ sung giảm số đếm tăng f) Nguồn bên nhận gắn cờ để xem thơng tin có xác nhận độc lập hay không, để bảo vệ chống lại cất giữ thơng tin có ích Sự cất giữ làm tăng thêm hồi nghi thơng tin nhận g) Bên nhận thông tin nên gán đánh giá chủ quan cho nguồn gốc, dựa quy tắc mô hình “5- 5” (xem B.1) Khi gắn trọng số phù hợp, tiêu chí cho phép thành viên cộng đồng chia sẻ thông tin định lượng độ tin cậy họ thông tin mà họ nhận từ thành viên khác cộng đồng Điều minh họa Hình B.1 PHỤ LỤC C (Tham khảo) Giao thức đèn giao thông Phụ lục mô tả giao thức đèn giao thông, chế sử dụng rộng rãi cộng đồng chia sẻ thông tin để thị việc phổ biến thông tin cho phép Mặc dù khái niệm hiểu rộng rãi, có số biến thể với khác biệt nhỏ sử dụng Mô tả thực theo Hướng dẫn thực hành tốt cho trao đổi thông tin bảo mật mạng phát hành Cơ quan an tồn mạng thơng tin Châu Âu (ENISA) [6] Khái niệm ban đầu phát triển Trung tâm bảo vệ sở hạ tầng quốc gia Vương quốc Anh (CPNI) Giao thức đèn giao thông (TLP) tạo để khuyến khích chia sẻ nhiều thơng tin nhạy cảm tổ chức Bên khởi tạo cần báo hiệu họ muốn thông tin họ phân phát tới đối tượng nhận trung gian cách rộng rãi TLP dựa khái niệm thông tin ghi nhãn bên khởi tạo với bốn màu để thị việc phổ biến thơng tin, có, xử lý bên nhận Bên nhận phải tham khảo ý kiến bên khởi tạo yêu cầu phổ biến rộng rãi Bốn màu ý nghĩa chúng sau: - Màu Đỏ - Chỉ cho cá nhân bên nhận có tên Ví dụ bối cảnh họp, thông tin màu Đỏ giới hạn cho người có mặt họp Trong phần lớn trường hợp, thông tin màu Đỏ truyền lời nói cho bên nhận - Màu Vàng - Phổ biến giới hạn Bên nhận chia sẻ thông tin màu Vàng với người khác tổ chức họ, sở “cần phải biết” Bên khởi tạo phải giới hạn nhắm tới cho việc chia sẻ - Màu Xanh - Cộng đồng rộng Thơng tin thuộc thể loại phát hành rộng rãi cộng đồng cụ thể Tuy nhiên, thơng tin khơng phát hành đăng Internet, phát hành bên ngồi cộng đồng - Màu Trắng - Khơng giới hạn Tùy theo quy định chuẩn quyền, thông tin màu Trắng tự phổ biến mà không bị hạn chế Thông tin nhạy cảm cung cấp bên khởi tạo nên đánh dấu thời điểm tiết lộ thông tin phù hợp với TLP Tất thông tin nhạy cảm xem thông tin màu Vàng trừ trường hợp phát biểu viết khác Tuy nhiên, theo mặc định trừ có quy định khác cụ thể thời điểm tiết lộ thông tin, định danh nguồn gốc thông tin nhạy cảm màu Đỏ TLP tương thích để sử dụng tổ chức, ví dụ nơi có vài cá nhân cấp phép truy nhập đầy đủ tới tất thơng tin chia sẻ Xem Hình PHỤ LỤC D (Tham khảo) Các mơ hình tổ chức cộng đồng chia sẻ thông tin D.1 Giới thiệu Có vài cách tổ chức cộng đồng chia sẻ thông tin, từ kết hợp lỏng lẻo đối tác ngang hàng đến tổ chức có pháp nhân quản lý tập trung cấu trúc mức cao Phụ lục mô tả hai dạng tổ chức cộng đồng gặp thực tế hỗ trợ quản lý an tồn thơng tin có hiệu D.2 Thực thể truyền thông thông tin tin cậy D.2.1 Giới thiệu Thực thể truyền thông thông tin tin cậy tổ chức tự trị hỗ trợ trao đổi thông tin thành viên cộng đồng chia sẻ thông tin cách hành động cổng thông tin điều phối tập trung Nó trở thành thành phần cốt lỗi hệ thống quản lý an tồn thơng tin hiệu lực cho trao đổi thông tin liên tổ chức, liên ngành TICE đảm bảo trao đổi thơng tin an toàn hiệu lực thành viên cộng đồng chia sẻ thông tin trợ giúp cho họ việc giám sát, phân tích quản lý hiệu phản ứng với cố rủi ro Thực thể truyền thông thông tin tin cậy (TICE) bao gồm nhóm đối tượng chuyên gia có nghiệp vụ là: - Đảm bảo trao đổi thơng tin thích hợp TICE thành viên cộng đồng; - Phân tích ứng phó với cố an tồn thơng tin; - Xử lý cố hỗ trợ thành viên cộng đồng khôi phục từ vi phạm; - Cung cấp cho thành viên cộng đồng nhận thức an tồn thơng tin có liên quan đến cách: • Đưa tư vấn điểm yếu thiết bị sử dụng, • Thơng báo cho đại diện thành viên cộng đồng lỗ hổng virus lợi dụng lỗi này, thành viên phép thực hiệu phần cập nhật vá lỗi TICE hành động trung gian tin cậy để ẩn danh nguồn người nhận thông tin chia sẻ Điều cho phép thành viên giữ bí mật thơng tin từ nguồn đáng tin, mà không cần che giấu danh tính họ đặt tin tưởng vào thành viên khác ẩn danh TICE dựa phát triển từ tổ chức tồn phục vụ cộng đồng liên quan Nhóm ứng phó cố an tồn thơng tin (ISIRT) Tuy nhiên, ISIRT cần mở rộng để cung cấp chủ động dịch vụ TICE dịch vụ tương tác nói chung cung cấp ISIRT D.2.2 Xem xét việc tổ chức TICE D.2.2.1 Các đối tượng chuyên gia Cấu trúc nên bao gồm chuyên môn ngành công cộng để đảm bảo tham gia người với kỹ thích hợp, để đảm bảo chuyên gia định phù hợp thông tin trao đổi bối cảnh hạ tầng thông tin liên quan Các chuyên gia sử dụng để thực phân tích, đặc biệt lĩnh vực sau (nhưng không giới hạn): - Quản lý nghiệp vụ; - Cơ sở hạ tầng an toàn IT; - Vận hành; - Quy định nội bộ; - Quy định pháp lý Các chuyên gia làm việc bán thời gian tồn thời gian làm khu vực trung tâm, khu vực vận hành nơi kết hợp D.2.2.2 Cấu trúc tổ chức Một TICE điển hình nên bao gồm tối thiểu chức sau: - Ban điều hành (cần thiết, chịu trách nhiệm quản lý chiến lược TICE mối quan hệ với thành viên cộng đồng) - Nhóm kỹ thuật vận hành (cần thiết, chịu trách nhiệm phân tích vấn đề rủi ro chuyên môn kỹ thuật định áp dụng thích hợp cho vá thay đổi) - Chuyên viên kỹ thuật vận hành (tùy chọn, khuyến nghị có để cải tiến hiểu biết TICE môi trường hoạt động tài nguyên liên quan đến mức độ tập hợp thiết bị (khu vực nội bộ)) - Chuyên gia pháp lý (tùy chọn, khuyến nghị có đặc biệt giai đoạn bắt đầu TICE để giảm nhẹ vấn đề pháp lý) - Chuyên gia truyền thông (tùy chọn, khuyến nghị có để tập trung vào khó khăn truyền đạt liên quan đến vấn đề kỹ thuật để đưa thơng điệp hiểu tốt cho thành viên) Các chuyên gia truyền thông cung cấp thơng tin phản hồi từ thành viên cộng đồng đến nhóm kỹ thuật vận hành, hành động nhân viên hỗ trợ hai nhóm D.2.2.3 Quản lý thành viên cộng đồng TICE nên hỗ trợ để xác thực, đánh giá, tiếp tục hiểu quản lý thành viên cộng đồng đại diện họ để đảm bảo mối quan hệ tin cậy đầy đủ D.2.2.4 Mơ hình tổ chức Mơ hình tổ chức thích hợp cho TICE phụ thuộc nhiều vào kiến trúc tại, chất thành viên cộng đồng tiềm mở rộng hỗ trợ đầy đủ dịch vụ TICE Nó phụ thuộc vào khả truy nhập đối tượng chuyên gia th khơng thời hạn theo thời vụ Có tối thiểu ba mơ hình sau: - Mơ hình độc lập: TICE độc lập hành động tổ chức độc lập với người quản lý nhân viên - Mơ hình lồng ghép; TICE lồng ghép thiết lập tổ chức sử dụng tài nguyên để cung cấp dịch vụ Số lượng tài nguyên cấp phát khác để hỗ trợ hoạt động điều kiện bình thường tình đặc biệt - Mơ hình tự nguyện: TICE tự nguyện bao gồm chuyên gia tư vấn hỗ trợ tổ chức khác dựa sở tự nguyện Nó nên xem xét cộng đồng chuyên gia, phụ thuộc nhiều vào động lực người tham gia D.2.3 Dịch vụ cốt lõi tùy chọn TICE Lựa chọn dịch vụ cung cấp TICE cho thành viên cộng đồng giai đoạn quan trọng nên dựa vào yếu tố sau: - Phạm vi rủi ro tương ứng trao đổi thông tin thành viên cộng đồng chia sẻ thông tin; - Phạm vi, tổ chức TICE chất cộng đồng chia sẻ thơng tin Ngồi ra, phụ thuộc nhiều vào vai trò giả định TICE bối cảnh cộng đồng (hoạt động nhân viên hỗ trợ người khởi đầu chia sẻ thông tin thành viên) Các dịch vụ cốt lỗi tiềm TICE là: - Dịch vụ phản ứng: Dịch vụ phản ứng thiết kế để phát khả công thiết bị hạ tầng thông tin, phân tích báo cáo cơng ảnh hưởng nguy cơ, đáp ứng với yêu cầu hỗ trợ, báo cáo cố đến thành viên cộng đồng, - Dịch vụ chủ động: Dịch vụ chủ động thiết kế để đảm bảo tạo điều kiện thuận lợi cho trao đổi thông tin đầy đủ cách cải tiến quy trình an ninh cộng đồng chia sẻ thông tin hạ tầng thông tin liên quan trước cố xuất bị phát Ngoài ra, số dịch vụ chủ động thiết kế để cải tiến ngăn ngừa cố thông qua nhận thức thành viên, giảm ảnh hưởng phạm vi chúng xuất Các dịch vụ TICE tùy chọn tiềm là: - Dịch vụ khảo sát mã độc: Dịch vụ khảo sát mã độc thiết kế để: • Phân tích tệp tin đối tượng tìm thấy thiết bị liên quan đến hoạt động độc hại • Xử lý phổ biến kết cho thành viên cộng đồng, nhà cung cấp đối tác liên quan khác Để ngăn chặn sớm việc lây lan mã độc giảm bớt rủi ro - Dịch vụ quản lý chất lượng an tồn thơng tin: Dịch vụ quản lý chất lượng an toàn thông tin thiết kế để hỗ trợ thành viên cộng đồng phân tích, quản lý nghiệp vụ liên tục nhận thức an tồn thơng tin với mục tiêu dài hạn - Dịch vụ ẩn danh: Dịch vụ ẩn danh thiết kế phép thành viên cộng đồng gửi nhận thông tin đến thành viên khác mà khơng cần che giấu danh tính D.2.4 Kết luận Mơ hình TICE mơ hình tồn diện có cấu trúc kiểm sốt cho chia sẻ thơng tin tổ chức Nó đặc biệt thích hợp cho mơi trường quan trọng nơi việc phân tích chia sẻ thơng tin có phân định ưu tiên nhanh chóng quan trọng thành viên phủ hỗ trợ chi phí hạ tầng trung tâm D.3 Điểm cảnh báo, tư vấn báo cáo D.3.1 Giới thiệu Mô hình Điểm cảnh báo, tư vấn báo cáo (WARP) [7] dùng từ năm 2003 cung cấp chế chứng minh để chia sẻ thông tin nhạy cảm tổ chức ngành công cộng tư nhân WARP chia sẻ thông tin cá nhân tổ chức có quan tâm giống nhau, thường sở tự nguyện WARP dựa mối quan hệ cá nhân đại diện thành viên cộng đồng chia sẻ thơng tin Một WARP điển hình bao gồm người điều hành có hiểu biết chút đối tượng quan tâm, chủ yếu người lựa chọn để truyền thông tốt với thành viên Thông thường có khoảng 20 đến 100 thành viên, ngược lại WARP bị khả liên lạc cá nhân, thành viên thuộc cộng đồng chia sẻ quan tâm mạnh (các doanh nghiệp nhỏ, quyền địa phương, nhà cung cấp dịch vụ, nhóm liên quan khác) Thành viên WARP đồng ý làm việc với phần cộng đồng chia sẻ thông tin để giảm thiểu rủi ro tổn hại hệ thống thông tin họ, giảm rủi ro cho tổ chức họ Cộng đồng chia sẻ dựa ngành cơng nghiệp thương mại, vị trí địa lý, tiêu chuẩn kỹ thuật, nhóm liên quan, nhóm rủi ro, nghiệp vụ chia sẻ khác Một cách điển hình WARP nhỏ, mang tính cá nhân “phi lợi nhuận" D.3.2 Các chức WARP Người điều hành WARP sử dụng website, email, điện thoại, SMS, họp (bất nơi có thể) để gửi cảnh báo tư vấn dịch vụ cá nhân đến thành viên Đây thường lời tư vấn an toàn IT (bởi tương đối nhiều thay đổi nhanh), bao gồm vấn đề khác (các nguy khác, tội phạm mạng, kế hoạch dự phòng) Người điều hành khai thác kiến thức thành viên để giúp đỡ thành viên khác sử dụng bảng thông tin, hội họp kỹ truyền thông chung Một WARP thành công xây dựng đủ tin cậy để khuyến khích thành viên nói cố vấn đề họ, cách ẩn danh, cho lợi ích người lại (hơi giống kiểu “theo dõi hàng xóm") D.3.3 Các dịch vụ WARP D.3.3.1 Tổng quan WARP thông thường cung cấp ba dịch vụ cốt lõi: - Dịch vụ cảnh báo chọn lọc - thành viên nhận thông tin bảo mật mà họ muốn, chọn thông qua danh sách đánh dấu trực tuyến; - Dịch vụ tư vấn môi giới - thành viên học sáng kiến kinh nghiệm từ thành viên khác thông qua bảng thông tin thành viên; - Dịch vụ chia sẻ tin cậy - báo cáo ẩn danh để thành viên học từ cố công thành viên, mà không sợ bị phản kháng lúng túng D.3.3.2 Cảnh báo chọn lọc Dịch vụ cảnh báo chọn lọc cho phép thành viên WARP nhận cảnh báo tư vấn lọc theo lĩnh vực quan tâm họ Phần mềm ứng dụng cảnh báo chọn lọc sử dụng danh sách lựa chọn đăng ký dạng cho phép thành viên WARP thay đổi dễ dàng trì lựa chọn họ Phần mềm giúp người điều hành WARP dễ dàng phân loại phổ biến cảnh báo tư vấn kịp thời Dịch vụ cung cấp phần cảnh báo cho WARP D.3.3.3 Tư vấn môi giới Dịch vụ cho phép thành viên cộng đồng WARP thảo luận vấn đề an tồn thơng tin thực hành tốt mơi trường an tồn thơng tin Dịch vụ cho phép thành viên cung cấp kinh nghiệm kỹ cho thành viên khác, sở trao đổi, người làm việc người khác theo dõi Dịch vụ cung cấp phần tư vấn cho WARP D.3.3.4 Chia sẻ tin cậy Dịch vụ cung cấp môi trường tin cậy mà thành viên WARP chia sẻ thông tin nhạy cảm, liệu cố nguy cơ, theo cách hiểu không gây hại gây bối rối Báo cáo thu qua điện thoại, thư điện tử trực tiếp, với bảo vệ an ninh thích hợp Khi làm ẩn danh phù hợp, thông tin cố gửi cho WARP khác có mối quan hệ tin cậy với Chính phủ để phục vụ đối chiếu giám sát xu hướng quốc gia Dịch vụ cung cấp phần báo cáo cho WARP D.3.3.5 Các dịch vụ khác Các WARP cung cấp dịch vụ khác có lợi cho thành viên cộng đồng Tuy nhiên, dịch vụ thường thực đơn giản để tối ưu thời gian tài nguyên cần thiết từ người hành WARP để hỗ trợ họ D.3.4 Các lợi ích WARP cung cấp an tồn thơng tin hiệu chi phí thấp cho thành viên cách cung cấp: - Môi trường tin cậy; - Lọc thơng tin an tồn; - Tiếp cận tới tư vấn chuyên gia; - Cảnh báo sớm nguy cơ; - Hỗ trợ định chiến lược; - Cải tiến nhận thức an tồn thơng tin Một số lợi ích tiềm gắn với việc thiết lập WARP là: - Hiệu công việc: WARP thúc đẩy chia sẻ thông tin việc phối hợp nhiệm vụ chung, dẫn đến giảm trùng lặp cơng việc Điều có lợi cho doanh nghiệp phủ thơng qua việc tăng hiệu cơng việc -Tránh thiệt hại danh tiếng: tổ chức chuyển sang hướng tiếp cận trực tuyến nhiều để tương tác với cộng đồng, diện web trở thành yếu tố then chốt Nếu website không hoạt động bị thay đổi diện mạo gây vấn đề danh tiếng làm nản lòng việc thực dịch vụ web Cộng đồng phục vụ bảo vệ tốt thành viên WARP - Cảnh báo sớm: việc tìm vấn đề cách giải chúng kinh nghiệm, việc chia sẻ kinh nghiệm cộng đồng WARP tạo điều kiện thuận lợi cho dịch vụ cá nhân hóa nhất, mà nhà cung cấp thương mại lớn so sánh - Hỗ trợ từ Chính phủ WARP khác: lợi thuộc cộng đồng tập trung có nghĩa khả chia sẻ phổ biến tư vấn hữu ích từ nguồn tin cậy Việc hỗ trợ vận hành từ WARP khác thiết lập tốt thông qua Diễn đàn nhà khai thác WARP Cũng có hợp tác ngang hàng thông qua ứng dụng cảnh báo chọn lọc, cho phép phổ biến cảnh báo tư vấn WARP khác cách dễ dàng - Chi phí thấp: Mơ hình thiết kế với chi phí thấp, với mức độ biên chế tối thiểu (hoặc nhóm ảo) - Bộ cơng cụ miễn phí tồn diện: Nhà cung cấp WARP truy nhập cơng cụ WARP tạo từ kinh nghiệm WARP hành Nó bao gồm thơng tin nền, cách để bắt đầu, cách để xây dựng chạy WARP, danh sách tải xuống rộng rãi, từ báo đến tài liệu tiếp thị - Bền vững: Các WARP thiết lập rộng rãi, nhiều tổ chức uy tín chấp nhận cách tiếp cận cách thành công với độ bền vững chứng minh - Phần mềm: Các nhà cung cấp WARP truy nhập phần mềm đặc biệt phát triển để hỗ trợ ba dịch vụ WARP - Tăng độ tin tưởng: Tính chất “phi lợi nhuận" kết hợp thông lệ tốt hành giúp đạt tin cậy cộng đồng hỗ trợ độ tin tưởng tổ chức, đặc biệt bối cảnh hoạt động “tốt cho công chúng” - Tuân thủ: thành viên WARP giúp tổ chức thành viên đáp ứng biện pháp quản lý liên lạc mang tính tổ chức xác định TCVN ISO/IEC 27002:2011 - Tiềm tăng trưởng: Nhiều nhà cung cấp WARP trình thiết lập thêm WARP nữa, sở hạ tầng chuyên môn tại, hỗ trợ chi phí thấp độ bền vững cao Các WARP xuất nhiều ngành, bắt đầu lan rộng toàn giới - Trách nhiệm xã hội doanh nghiệp: thành viên WARP nâng cao trách nhiệm xã hội tổ chức thành viên, qua thu độ tin cậy cộng đồng có khả hỗ trợ chiến lược kinh doanh người điều hành lẫn thành viên D.3.5 Kết luận Mô hình WARP mơ hình cộng tác, đơn giản việc chia sẻ thơng tin tổ chức có định hướng Nó đặc biệt thích hợp với trường hợp nguồn vốn bị giới hạn hạ tầng trung tâm phải cung cấp hoạt động sở tự nguyện THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO/IEC Guide 2:1996, Standardization and related activities - General vocabulary [2] ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards [3] ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and Communications technology security Part 1: Concepts and models for information and communications technology security management [4] ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security [5] ISO/IEC 13888-1:1997, Information technology Security techniques Non-repudiation -Part 1: General [6] ISO/IEC 11770-1:1996, information technology - Security techniques - Key management Part 1: Framework [7] ISO/IEC 9796-2:2002, Information technology - Security techniques - Digital signature schemes giving message recovery Part 2: Integer factorization based mechanisms [8] ISO/IEC 9796-3:2000, Information technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms [9] ISO/IEC 14888-1:1998, lnformation technology - Security techniques - Digital signatures with appendix - Part 1: General [10] ISO/IEC 15408-1:1999, Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model [11] ISO/IEC TR 14516:2002, lnformation technology Security techniques Guidelines for the use and management of Trusted Third Party services [12] BS ISO 15489-1:2001, Information and documentation - Records management - Part 1: General [13] ISO 10007:2003, Guidelines for Configuration Management [14] ISO/IEC 12207:1995, Information technology Software life cycle processes [15] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [16] OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security [17] OECD Guidelines for Cryptography Policy, 1997 [18] IEEE P1363 - 2000, Standard Specifications for Public-Key Cryptography [19] ISO/IEC 18028-4, Information technology Security techniques - IT Netwwork security Part 4: Securing remote access [20] ISO/IEC TR 18044, Information technology - Security techniques - Information security incident management MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Các khái niệm giải thích 4.1 Giới thiệu 4.2 Cộng đồng chia sẻ thông tin 4.3 Quản lý cộng đồng 4.4 Các thực thể hỗ trợ 4.5 Trao đổi thơng tin liên ngành 4.6 Tính phù hợp 4.7 Mơ hình trao đổi thơng tin Chính sách an tồn thơng tin 5.1 Chính sách an tồn thơng tin 5.1.1 Tài liệu sách an tồn thơng tin 5.1.2 Sốt xét sách an tồn thơng tin Tổ chức đảm bảo an tồn thơng tin 6.1 Tổ chức nội 6.2 Các bên tham gia bên 6.2.1 Xác định rủi ro liên quan đến bên tham gia bên 6.2.2 Giải an toàn làm việc với khách hàng 6.2.3 Giải an toàn thỏa thuận với bên thứ ba Quản lý tài sản 7.1 Trách nhiệm tài sản 7.1.1 Kiểm kê tài sản 7.1.2 Quyền sở hữu tài sản 7.1.3 Sử dụng hợp lý tài sản 7.2 Phân loại thông tin 7.2.1 Hướng dẫn phân loại 7.2.2 Gắn nhãn xử lý thông tin 7.3 Bảo vệ trao đổi thông tin 7.3.1 Phổ biến thông tin 7.3.2 Lưu ý sử dụng thông tin 7.3.3 Độ tin cậy thơng tin 7.3.4 Giảm tính nhạy cảm thơng tin 7.3.5 Bảo vệ nguồn ẩn danh 7.3.6 Bảo vệ bên nhận ẩn danh 7.3.7 Quyền phát hành tiếp Đảm bảo an tồn thơng tin từ nguồn nhân lực 8.1 Trước tuyển dụng 8.1.1 Các vai trò trách nhiệm 8.1.2 Thẩm tra 8.1.3 Điều khoản điều kiện tuyển dụng 8.2 Trong thời gian làm việc 8.3 Chấm dứt thay đổi công việc Đảm bảo an tồn vật lý mơi trường 10 Quản lý trao đổi thông tin vận hành 10.1 Các trách nhiệm thủ tục vận hành 10.2 Quản lý chuyển giao dịch vụ bên thứ ba 10.3 Lập kế hoạch chấp nhận hệ thống 10.4 Bảo vệ chống lại mã độc mã di động 10.4.1 Quản lý chống lại mã độc hại 10.4.2 Kiểm soát mã di động 10.5 Sao lưu 10.6 Quản lý an toàn mạng 10.7 Xử lý phương tiện 10.8 Trao đổi thông tin 10.8.1 Các sách thủ tục trao đổi thông tin 10.8.2 Các thỏa thuận trao đổi 10.8.3 Vận chuyển phương tiện vật lý 10.8.4 Thông điệp điện tử 10.8.5 Các hệ thống thông tin nghiệp vụ 10.9 Các dịch vụ thương mại điện tử 10.10 Giám sát 10.10.1 Ghi nhật ký đánh giá 10.10.2 Giám sát sử dụng hệ thống 10.10.3 Bảo vệ thông tin nhật ký 10.10.4 Nhật ký người điều hành người quản trị 10.10.5 Ghi nhật ký lỗi 10.10.6 Đồng thời gian 11 Quản lý truy nhập 12 Tiếp nhận, phát triển trì hệ thống thơng tin 12.1 Yêu cầu đảm bảo an toàn cho hệ thống thông tin 12.2 Xử lý ứng dụng 12.3 Quản lý mã hóa 12.3.1 Chính sách sử dụng biện pháp quản lý mã hóa 12.3.2 Quản lý khóa 12.4 An tồn cho tệp tin hệ thống 12.5 Bảo đảm an tồn quy trình hỗ trợ phát triển 12.6 Quản lý điểm yếu kỹ thuật 13 Quản lý cố an toàn thông tin 13.1 Báo cáo kiện an tồn thơng tin điểm yếu 13.1.1 Báo cáo kiện an tồn thơng tin 13.1.2 Báo cáo điểm yếu an tồn thơng tin 13.1.3 Hệ thống cảnh báo sớm 13.2 Quản lý cố an tồn thơng tin cải tiến 13.2.1 Các trách nhiệm thủ tục 13.2.2 Rút học kinh nghiệm từ cố an tồn thơng tin 13.2.3 Thu thập chứng 14 Quản lý liên tục hoạt động nghiệp vụ 14.1 Các khía cạnh an tồn thông tin quản lý liên tục hoạt động nghiệp vụ 14.1.1 Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ 14.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức 14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin 14.1.4 Khung hoạch định liên tục hoạt động nghiệp vụ 14.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ 15 Sự tuân thủ 15.1 Sự tuân thủ quy định pháp lý 15.1.1 Xác định điều luật hành 15.1.2 Quyền sở hữu trí tuệ (IPR) 15.1.3 Bảo vệ hồ sơ tổ chức 15.1.4 Bảo vệ liệu riêng tư thông tin cá nhân 15.1.5 Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin 15.1.6 Quy định quản lý mã hóa 15.1.7 Trách nhiệm với cộng đồng chia sẻ thông tin 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật 15.3 Xem xét việc đánh giá hệ thống thông tin 15.3.1 Các biện pháp quản lý đánh giá hệ thống thông tin 15.3.2 Bảo vệ công cụ đánh giá hệ thống thông tin 15.3.3 Chức đánh giá cộng đồng Phụ lục A (Tham khảo): Chia sẻ thông tin nhạy cảm Phụ lục B (Tham khảo): Thiết lập tin cậy trao đổi thông tin Phụ lục C (Tham khảo): Giao thức đèn giao thông Phụ lục D (Tham khảo): Mơ hình tổ chức cộng đồng chia sẻ thông tin Thư mục tài liệu tham khảo ... Non-repudiation -Part 1: General [6] ISO/IEC 1177 0-1 :1996, information technology - Security techniques - Key management Part 1: Framework [7] ISO/IEC 979 6-2 :2002, Information technology - Security... (ISMS) thiết lập, vận hành tuân theo TCVN ISO/IEC 27001:2009 sử dụng biện pháp quản lý TCVN ISO/IEC 27002:2011, tiêu chuẩn nguồn khác đánh giá phù hợp với TCVN ISO/IEC 27001:2009 mà không cần sửa... thơng tin khác ẩn danh thông tin Tiêu chuẩn bổ sung số biện pháp quản lý tiềm năng, cung cấp hướng dẫn bổ sung giải thích tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 để đáp ứng yêu

Ngày đăng: 06/02/2020, 05:09

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] ISO/IEC Guide 2:1996, Standardization and related activities - General vocabulary Khác
[4] ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security Khác
[5] ISO/IEC 13888-1:1997, Information technology -- Security techniques -- Non-repudiation -- Part 1: General Khác
[6] ISO/IEC 11770-1:1996, information technology - Security techniques - Key management - Part 1: Framework Khác
[7] ISO/IEC 9796-2:2002, Information technology - Security techniques - Digital signature schemes giving message recovery -- Part 2: Integer factorization based mechanisms [8] ISO/IEC 9796-3:2000, Information technology -- Security techniques -- Digital signature Khác
[9] ISO/IEC 14888-1:1998, lnformation technology - Security techniques - Digital signatures with appendix - Part 1: General Khác
[10] ISO/IEC 15408-1:1999, Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model Khác
[11] ISO/IEC TR 14516:2002, lnformation technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party services Khác
[12] BS ISO 15489-1:2001, Information and documentation - Records management - Part 1: General Khác
[13] ISO 10007:2003, Guidelines for Configuration Management Khác
[14] ISO/IEC 12207:1995, Information technology -- Software life cycle processes [15] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing Khác
[16] OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Khác
[18] IEEE P1363 - 2000, Standard Specifications for Public-Key Cryptography Khác
[19] ISO/IEC 18028-4, Information technology -- Security techniques - IT Netwwork security - Part 4: Securing remote access Khác
[20] ISO/IEC TR 18044, Information technology - Security techniques - Information security incident management Khác

TỪ KHÓA LIÊN QUAN