Hiện nay, do nhu cầu của việc sử dụng Internet trong doanh nghiệp, công ty là vô cùng cần thiết, nhưng đi kèm theo đó là các vấn đề liên quan đến bảo mật thông tin. Các vấn đề này nên được ưu tiên hàng đầu trong việc kiểm soát. Bên cạnh đó thì tình trạng thất thoát dữ liệu cũng là một mối đe dọa lớn đối với an toàn thông tin trong doanh nghiệp. Dưới đây là thống kê những phương thức có khả năng gây mất mát dữ liệu của Proofpoint năm 2010.
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG BÁO CÁO ĐỒ ÁN QUẢN LÝ RỦI RO AN TỒN THƠNG TIN TRONG DOANH NGHIỆP MƠN HỌC: QUẢN LÝ RỦI RO AN TỒN THƠNG TIN TRONG DOANH NGHIỆP MÃ LỚP: NT207.I11.ANTT GVHD: Nguyễn Duy & Trần Tuấn Dũng Các thành viên nhóm: Huỳnh Tấn Duy – 14520214 Đỗ Bá Tứ Mỹ – 14520541 Bùi Minh Thái – 14520812 Nguyễn Hoàng Thanh – 14520842 Ngày tháng 12 năm 2017 Mục 10 11 12 13 14 15 16 17 18 19 20 21 Tổng quan lục 22 Hiện nay, nhu cầu việc sử dụng Internet doanh nghiệp, công ty vô cần thiết, kèm theo vấn đề liên quan đến bảo mật thông tin Các vấn đề nên ưu tiên hàng đầu việc kiểm sốt 23 Bên cạnh tình trạng thất liệu mối đe dọa lớn an tồn thơng tin doanh nghiệp Dưới thống kê phương thức có khả gây mát liệu Proofpoint năm 2010 24 25 26 27 Ở Việt Nam, vấn đề doanh nghiệp quan tâm Nhận thức vấn đề này, nghiên cứu đưa giải pháp Mơ hình mạng điểm yếu 28 29 Công ty sử dụng mơ hình mạng cho 100 nhân viên 30 31 Các thông tin chi tiết hệ thống: - Quản trị theo mơ hình Domain - Router Cisco tích hợp firewall - Thiết bị cân tải kết nối internet - Khơng có phần mềm antivirus, firewall chuyên dụng sách bảo mật khác - Chưa có hệ thống lưu trữ liệu tập trung - Hệ thống email sử dụng hosting internet - Chưa có hệ thống backup liệu - Chưa có sách vận hành hệ thống an tồn thơng tin hệ thống - Chưa có sách lưu phục hồi liệu - Tất máy chủ đặt văn phòng cơng ty - Bảng thống kê thiết bị có hệ thống: 32 33 Mô tả thiết bị ST T 36 37 Thiết bị Load balancing Draytek 2925 40 41 Thiết bị Router tích hợp Firewall Cisco 1921 44 45 Thiết bị chuyển mạch Switch 2960 48 49 Server HP DL 380G8 (CPU cores, RAM 16G, x 900GB) 34 Số lượng 35 Ghi 38 39 42 43 Đặt văn phòng DC 46 47 Đặt văn phòng DC 50 51 Primary Domain Controler 54 Additional Domain Controler 55 VMWare vSPhere 6.0 chứa máy chủ ảo: Fille, Web Application 52 53 Server HP DL280G8 (CPU 12 cores, RAM 128G, x 300 GB x 1200GB) 56 57 Có thể dễ dàng nhận mơ hình chứa nhiều nguy an tồn liệu cơng ty Cụ thể trình bày bên 58 2.1 Tính bảo mật yếu 59 Nhìn tổng thể, chế bảo mật thông tin công ty không đáng kể, nguy mát liệu cao - Khơng có CSDL tập trung dễ thất liệu, bên cạnh việc gây khó khăn cho việc quản lý - Khơng có firewall chun dụng khiến cho mã độc lây nhiễm vào máy tính công ty dễ dàng lấy cắp liệu từ mà ngăn cản - Khơng có antivirus nên virus lây nhiễm máy tính có khả phá hoại liệu 2.2 Tính sẵn sàng khơng đáp ứng u cầu 60 Cơ chế bảo mật hệ thống không an tồn khó tránh khỏi việc bị hư hại liệu hệ thống Điều dẫn đến số hệ lụy khác: - Chưa có hệ thống backup liệu sách lưu, phục hồi làm khả xử lý hệ thống bị ngưng trệ có xự cố xảy - Tất máy chủ đặt văn phòng cơng ty nên thiên tai hỏa hoạn chẳng may xảy khơng thể đảm bảo tính sẵn sàng - Khơng có thiết bị phát xâm nhập nên bị cơng từ chối dịch vụ khơng thể giữ tình trạng sẵn sàng hệ thống Phân tích đánh giá rủi ro 61 Các máy chủ ảo File, Web Application sử dụng công ty tiềm ẩn rủi ro mát cao (đánh giá cụ thể miêu tả bên dưới) Những rủi ro điều tránh khỏi, giảm thiểu thiệt hại xuống mức thấp phân tích xác rủi ro có khả xảy 62 Để phân tích rõ ràng rủi ro xảy ra, xét đến tiêu chí về: Asset (tài sản), Vulnerabirity (lỗ hỏng), Threat (mối đe dọa) Nhưng để cụ thể, sử dụng công thức để quy điểm rủi ro dựa tác động (Impact) khả (Likelihood) xảy 63 Sau xếp hạng rủi ro để đưa đến độ ưu tiên giải rủi ro cụ thể Vì khơng thể xử lý hồn tồn rủi ro xảy đến, nên giảm thiểu rủi ro đến mức thấp nhất, chấp nhận rủi ro số trường hợp định - Impact mức tác động rủi ro xảy dựa tính bí mật (Confidentiality, viết tắt C), tính tồn vẹn (Integrity, viết tắt I), tính sẵn sàng (Availability, viết tắt A) Chúng ta có công thức: Impact Score = Max (C, I, A) - Likelihood khả mà rủi ro xảy dựa tính phơi bày (Exposure, viết tắt E), tần số rủi ro xảy (Frequency, viết tắt F), khả điều khiển (Control, viết tắt C) - Trong điểm F xác định dựa theo bảng: 64 Frequency (F) 65 Score 68 66 Descrip tion 69 Rất thường xuyên 67 Criteri a 70 Hằng ngày 71 74 77 80 - 72 Thường 73 Hàng xuyên 75 Thi thoảng 78 Ít gặp 81 Hiếm tuần 76 Hàng tháng 79 1-2 năm 82 5-10 năm 83 Chúng ta có cơng thức: Likelihood Score = (E + F)/2*R với R(Reverse) ngược lại Control, xác định theo bảng: 84 85 C R 87 86 89 88 91 90 93 92 94 95 1 96 - Điểm rủi ro tính theo cơng thức: Risk Score = Impact * Likelihood - Dựa vào Risk Score, xếp lại thứ tự ưu tiên giải rủi ro 3.1 File Server 97 Hệ thống File Server nơi lưu trữ liệu quan trọng cơng ty Vì mà việc bảo mật File Server phải xem xét 98 Theo sau bảng Impact, phân tích tác động rủi ro xảy file server: 99 Impact 100 Threat (Agent and Action) 106 N g i s d ụ n g h ệ t h ố n g 134 T ự n h i ê n 141 T h i ế t b ị 148 D ữ 107 Upload file không rõ nguồn gốc 114 Xâm nhập hệ thống, truy cập trái phép 121 Tác động vật lý 128 Cố ý làm lộ thông tin 101 Vulnerability 108 Các file upload chứa mã độc 115 Rời khỏi không log out, cho phép người khác sử dụng quyền truy cập trái phép 122 Do đặt máy chủ văn phòng nên nhân viên tự tác động vật lý đến server 129 Chưa có quy trình quy trách nhiệm 102 103 104 C I A 109 110 111 5 116 117 118 5 123 124 125 5 130 131 132 0 137 138 139 0 144 145 146 151 152 153 0 105 Imp act Score 112 119 126 133 136 Dữ liệu 135 Hỏa hoạn, thiên tai 142 Khơng có firewall IPS 149 Lưu trữ bị đánh cắp cố xảy 140 143 Không chặn truy cập trái phép từ ngồi 150 Dữ liệu có kích thước lớn 147 154 l i ệ u liệu không cần thiết đến công việc như: phim, nhạc… l u t r ữ 155 N g i t ấ n 156 Tấn công mật làm chậm trình xử lý 157 Mật yếu, dễ bị vét cạn 158 159 160 5 c ô n g 162 - Người dùng tương tác đến hệ thống nhiều nên ảnh hưởng người dùng lớn là: trình sử dụng upload file chứa mã độc, truy cập trái phép (sử dụng tài khoản người khác), cố ý làm lộ thông tin (do nhiều nguyên nhân liên quan khác), tác động vật lý (do máy chủ đặt văn phòng) Những rủi ro ảnh hưởng lớn đến tính bí mật liệu phần có tác động đến tính sẵn sàng toàn vẹn - Yếu tố tự nhiên ý muốn rủi ro khơng phải khơng có, tác động lớn đến tính sẵn sàng liệu - Một yếu tố quan trọng ảnh hưởng đến hệ thống trang thiết bị không đầy đủ Vì firewall lẫn IDS-IPS khơng có lắp đặt khiến cho công từ bên ngồi gói tin đưa liệu từ khơng bị kiểm sốt gây an tồn Điều ảnh hưởng lớn đến tính bí mật tồn vẹn 161 - • Hỗ trợ URL Hardening để kiểm sốt truy cập người dùng • Tích hợp cân tải • Tích hợp IPS, QoS Email protection (Bảo vệ máy chủ mail): Cũng Web application Firewall, tính bảo vệ mail server trước mối đe dọa từ người hay cơng từ tin tặc • Hỗ trợ giao thức SMTP, IMAP, POP • Ngăn chặn spam, phần mềm độc hại • Kiểm sốt theo định dạng, dung lượng, nội dung, tập tin đính kèm • Lưu trữ Email • Mã hóa email với cơng nghệ SPX Sophos • Công cụ DLP với chức quét email tự động tệp đính kèm cho liệu nhạy cảm - VPN: hỗ trợ đầy đủ công nghệ kết nối VPN site-to-site, client-to-site - Reporting and Logging (Ghi log/ báo cáo log): • Lưu trữ log thiết bị • Quản lý log tập trung với Sophos iVew • Kiểm sốt đăng nhập Xây dựng sách: 5.1 Chính sách dành cho File Server 5.1.1 Tổng quan 771 File server chứa nhiều thông tin quan trọng công ty Tuy nhiên, chưa có sách cụ thể để quản lý giảm thiểu xuống mức thấp rủi ro file server Điều đặt yêu cầu thiết yếu sách riêng để đảm bảo an tồn thơng tin (ATTT) file server 5.1.2 Mục đích 772 Chính sách dành riêng cho file server giảm thiểu nguy mát thông tin công ty Điều giảm thiểu tối đa mức thiệt hại rủi ro không may xảy đến 5.1.3 Phạm vi 773 Các sách file server áp dụng tồn thể nhân viên cơng ty, người trực tiếp sử dụng file server 5.1.4 Chính sách 774 Đối với nhân viên văn phòng: - Khơng upload file khơng có nguồn gốc - Khơng lưu trữ tài liệu, tệp tin không liên quan đến công việc phim, nhạc… - Chỉ truy cập tài khoản cá nhân cấp - Chịu trách nhiệm tài khoản Rời khỏi máy phải log out - Yêu cầu mật có kí tự đặc biệt phải thay đổi tháng (không dùng lại mật sử dụng 775 Đối với nhân viên IT: - Chịu trách nhiệm giám sát việc thi hành sách nhân viên văn phòng - Điều tra kỹ thuật số có cố xảy 776 Chính sách cơng nghệ: - Tắt FTP không sử dụng - Tạo file log 5.1.5 Thi hành - Giám sát thi hành: Nhân viên IT - Ngoại lệ: Các ngoại lệ thông qua nhân viên IT - 5.2 Biện pháp xử lý: Các biện pháp xử lý tùy mức độ sai phạm mà cảnh cáo, kỷ luật sa thải Chính sách dành cho Web Server 5.2.1 Tổng quan 777 Web Server có nhiều rủi ro gây mát liệu công ty trình sử dụng lưu trữ Điều yêu cầu cấp thiết phải có sách để quản lý vận hành web server 5.2.2 Mục đích 778 Chính sách quản lý vận hành web server giúp giảm thiểu thiệt hại nhiều hết mức Qua bảo đảm web server vận hành tốt 5.2.3 Phạm vi 779 Chính sách áp dụng nhân viên công ty đối tác 5.2.4 Chính sách 780 Đối với nhân viên văn phòng: - Chỉ phép truy cập hệ thống tài khoản cấp - Chịu trách nhiệm toàn quyền tài khoản thân - Rời khỏi máy phải log out - Không phép nhập nội dung truy xuất đến sở liệu 781 Đối với nhân viên IT: - Đảm bảo việc vận hành web server - Kiểm soát traffic truy cập đến web server 782 Chính sách cơng nghệ: - Chặn tất gói tin ICMP có đích web server - Phải thông qua Sandbox gói tin nghi ngờ Kiểm sốt gói tin vào hệ thống - 783 Đối với đối tác bên ngồi: Chỉ truy cập web server thơng qua VPN 5.2.5 Thi hành - Giám sát thi hành: Nhân viên IT - Ngoại lệ: Các ngoại lệ thông qua IT - Biện pháp xử lý: Các biện pháp xử lý tùy thuộc vào mức độ sai phạm mà cảnh cáo, kỷ luật sa thải 5.3 Chính sách dành cho Application Server 5.3.1 Tổng quan 784 Application Server thành phần quan trọng, thiếu hệ thống mạng cơng ty Vì nên u cầu có sách để đảm bảo việc hành khơng bị q nhiều rủi ro đe dọa 5.3.2 Mục đích 785 Chính sách dành cho Application Server giảm thiểu đến mức thấp nguy gây hại cho Application Server 5.3.3 Phạm vi 786 Chính sách áp dụng lên tồn thể nhân viên cơng ty 5.3.4 Chính sách 787 Đối với nhân viên văn phòng: - Phải xác thực ID trước sử dụng dịch vụ chịu trách nhiệm hoàn toàn với việc làm khoản thời gian xác thực hiệu lực - Khơng phép sử dụng ứng dụng mail mục đích cá nhân 788 Đối với nhân viên IT: - Theo dõi việc vận hành Application Server Kiểm soát traffic vào Application Server - 789 790 Chính sách cơng nghệ: - Ứng dụng mail: Phải mã hóa mail gửi mạng; cho phép nhận mail từ địa locate; ngăn chặn hành vi spam; đưa cảnh báo chạm ngưỡng 80% khả lưu trữ - Các ứng dụng trước cài đặt phải trải qua Sandbox kiểm tra 5.3.5 Thi hành - Giám sát thi hành: Nhân viên IT - Ngoại lệ: Thông qua IT - Biện pháp xử lý: Tùy mức độ sai phạm mà có biện pháp khác cảnh cáo, kỷ luật, sa thải 5.4 Chính sách quản lý truy cập 5.4.1 Tổng quan 791 Vấn đề người ln ảnh hưởng lớn đến tính an tồn hệ thống mạng Nếu kiểm sốt việc truy cập cá nhân tham gia hệ thống giảm thiểu khả rủi ro xảy Điều đặt u cầu sách quản lý truy cập 5.4.2 Mục đích - Kiểm sốt truy cập trái phép có thơng tin đến người quản trị - Giới hạn quyền truy cập người dùng, đảm bảo người dùng phép truy cập vào thông tin cho phép - Đảm bảo an tồn việc truy cập từ xa - Có thể truy tìm đến tài khoản gây cố cố tình truy cập trái phép vào vùng không cho phép để quy trách nhiệm - Đảm bảo việc rò rỉ thơng tin giảm thiểu cách tối đa 5.4.3 Phạm vi 792 Chính sách quản lý truy cập áp dụng lên tất nhân viên cá nhân tham gia vào hệ thống mạng cơng ty 5.4.4 Chính sách - Disable port không sử dụng để tránh truy cập trái phép - Cây dựng hệ thống chứng thực, đảm bảo user đối tác trai đổi từ xa với cách an toàn, tránh giả mạo - Quản lý phiên đăng nhập vào hệ thống (thời gian, địa điểm, thời gian phiên truy cập, hành động…) - Quy định rõ quyền hạ truy cập cho người dùng, phòng ban Giới hạn quyền truy cập user account khác - Trước giao account cho người dùng, phải đảm bảo giới hạn quyền truy cập phù hợp với đối tượng giao account Account sử dụng đổi mật lần nhằm quy trách nhiệm có sai phạm mà account gây - Trước giao ID cho người dùng, phải phổ biến quy định sử dụng account cho người dùng Nêu rõ trách nhiệm có xảy sai phạm - Nếu có thay đổi vị trí nhân (chuyện vị trí cơng tác), phải thay đổi quyền phù hợp với vị trí - Có chế log out sau khoản thời gian định user khơng hoạt động - Nếu đăng nhập sai lần, account bị khóa tạm thời ghi nhận lại Chỉ mở khóa có xác nhận từ người cấp quyền account - Nếu user đăng nhập từ thiết bị bất thường cảnh báo cho người dùng điều - Cấp quyền user phép truy cập từ xa vào hệ thống giám đốc, phó giám đốc, người có thẩm quyền cao 5.4.5 Thi hành - Giám sát thi hành: Nhân viên IT - Ngoại lệ: Phải cho phép IT - Biện pháp xử lý: Tùy thuộc vào mức động sai phạm cảnh cáo, kỷ luật sa thải 5.5 Chính sách quản lý thiết bị in ấn thiết bị ngoại vi 5.5.1 Tổng quan 793 Các thiết bị in ấn thiết bị ngoại vi chứa nhiều thông tin, liệu quan trọng công ty Chính nên cần sách cụ thể để quản lý thiết bị để giảm thiểu khả mất liệu 5.5.2 Mục đích - Kiểm soát việc sử dụng thiết bị ngoại vi nhằm giảm nguy mát liệu - Hạn chế việc in, phôt tài liệu trái phép khơng nhằm mục đích làm việc cho cơng ty 5.5.3 Phạm vi 794 Chính sách áp dụng lên tất nhân viên cơng ty 5.5.4 Chính sách - Khi sử dụng thiết bị in ấn, phải đăng nhập account cấp để tiến hành in ấn Máy in hoạt động xác định ID cụ thể - Sử dụng thiết bị in ấn mục đích - Khơng sử dụng thiết bị để chép liệu USB, CD, ổ đĩa… - Không sử dụng thiết bị quay phim, chụp ảnh cơng ty - Khơng có phận khơng đến gần khu vực in ấn 5.5.5 Thi hành - Giám sát thi hành: Trưởng phòng phòng ban - Ngoại lệ: Phải cho phép trưởng phòng Biện pháp xử lý: Cảnh cáo kỷ luật tùy mức độ sai phạm - 5.6 Chính sách bảo vệ vật lý 5.6.1 Tổng quan 795 Các tác động vật lý có khả ảnh hưởng lớn đến tính sẵn sàng hệ thống, sách bảo vệ vật lý thiết bị mạng 5.6.2 Mục đích 796 Nhằm ngăn chặn hạn chế tác động vật lý gây thiệt hại cho Data center, thiết bị mạng,tránh việc bị đánh cắp liệu, cơng mặt vật lý, có phương án phải đổi mặt với thiên tai, giảm thiểu thiệt hại phục hồi hệ thống cách nhanh nhất, đảm bảo hệ thống vận hành cách an toàn mức tối đa 5.6.3 Phạm vi 797 Chính sách áp dụng lên tất nhân viên cơng ty 5.6.4 Chính sách - Data center, thiết bị quan trọng phải đặt nơi an tồn có kiểm sốt nghiêm ngặt an ninh (Bảo vệ, CCTV ln có người túc trực, hệ thống phát đột nhập, quét vân tay, hệ thống cảnh báo nhiệt độ, cảnh báo cháy…) - Chỉ có người có trách nhiệm liên quan phép tiếp cận, vào - Phải có lịch thời gian bảo trì cụ thể, ghi chép lại lịch sử bảo trì… - Hệ thống cảnh báo cháy, thiết bị chữa cháy phải bảo trì thường xuyên nhằm tăng cường tính sẵn sàng với tình cháy nổ - Khi có báo động cháy phải có phương án đối phó cụ thể - Khu vực đặt data center thiết bị quan trọng phải hạn chế người qua lại, người có trách nhiệm liên quan phép vào - Ngăn ngừa nguồn dễ gây cháy nổ khỏi khu vực - Khi giao ca trực phải có xác nhận từ phận giám sát tránh giả mạo Xây dựng bước xử lí trước sau có thảm họa 5.6.5 Thi hành - Giám sát thi hành: Nhân viên IT, bảo vệ - Ngoại lệ: Phải nhân viên IT cho phép - Biện pháp xử lý: Tùy mức độ sai phạm mà xử lý cảnh cáo, kỷ luật sa thải 5.7 Chính sách quản lý thông tin 5.7.1 Tổng quan 798 Thông tin, liệu đóng vai trò quan trọng cơng ty Vì cấp bách cần phải có sách giải vấn đề an tồn dành cho thơng tin 5.7.2 Mục đích 799 Chính sách quản lý thơng tin giúp cho nhân viên nhận thức tầm quan trọng thơng tin, liệu, qua tự bảo đảm thơng tin cá nhân nói riêng cơng ty nói chung 5.7.3 Phạm vi 800 Chính sách quản lý thơng tin áp dụng tồn thể nhân viên cơng ty 5.7.4 Chính sách 801 Phân loại thơng tin: Việc phân loại thơng tin cần thiết quản lí công ty Phân loại thông tin để phù hợp với vị trí cơng việc đối tượng mà cho phép tiếp cận truy cập Qua giảm thiểu tối đa rủi ro, thiệt hại xảy cho cơng ty - Thơng tin bình thường: Là thơng tin bình thường diễn q trình làm việc cơng ty - Thơng tin có yếu tố quan trọng: Là thông tin liên quan đến hoạt động kinh doanh cty, (thông tin khách hàng, kế hoạch pr sản phẩm, cách tìm kiếm khác hàng tiềm năng,…) - Thông tin mật Thông tin tuyệt mật - 802 Chính sách: - Thơng tin có yếu tố quan trọng: Do trưởng phòng, nhân viên tiếp nhận lưu trữ Khi khơng sử dụng yêu cầu format nơi lưu trữ - Thông tin bảo mật: Phó giám đốc trở lên người ủy quyền lưu trữ Khi khơng sử dụng u cầu format nơi lưu trữ - Thông tin nhạy cảm: Cần phải có đồng ý cấp nhân viên sử dụng hay mang ngồi Khi khơng sử dụng u cầu format nơi lưu trữ - Thông tin mật: Cần đồng ý Phó giám đốc trở lên Khi khơng sử dụng xóa cho khơng khả khơi phục - Thơng tin tuyệt mật: Chỉ có Giám đốc trở lên định Khi khơng sử dụng tiêu hủy thiết bị lưu trữ 5.7.5 Thi hành - Giám sát thi hành: Trưởng phòng - Ngoại lệ: Khơng xem xét - Biện pháp xử lý: Tùy theo mức độ sai phạm mà cảnh cáo, kỷ luật sa thải 5.8 Chính sách người 5.8.1 Tổng quan 803 Ngày nguy mát liệu ATTT doanh nghiệp ngày lớn, Chúng ta sử dụng công nghệ, thiết bị để giảm thiểu mối đe dọa vơ ích người vận hành, người làm doanh nghiệp khơng có hành động nhập thức đắn ATTT Vì việc phải có Policy doanh nghiệp việc cấp bách thiết yếu 5.8.2 Mục đích 804 Mục đích sách ATTT doanh nghiệp giúp nhân viên doanh nghiệp có hành động nhận thức đắn, giúp doanh nghiệp có chuẩn bị đối mặt với rủi ro bất ngờ yếu tố chủ quan khác quan bất ngờ xảy Qua giảm thiểu rủi ro ATTT, giúp doanh nghiệp vận hành cách an toàn giảm thiểu thiệt hai cách tối đa 5.8.3 Phạm vi 805 Phạm vi sách phụ thuộc đối tác, nhà cung cấp nhân viên thuộc phòng ban khác nhau(sẽ đề cập cụ thể) mà có điều chi tiết sách thể để phù hợp áp dụng cách hiệu 5.8.4 Chính sách 806 Chính sách chung: - Các thành viên cơng ty phải có nhận thức trách nhiệm đảm bảo an toàn liệu, ATTT Công ty Tuyệt đối không chép, tiết lộ làm thất liệu cơng ty bên ngồi hình thức - Nhân viên không tự ý cài đặt phần mềm không rõ nguồn gốc, không liên quan đến công việc lên máy tính cá nhân sử dụng cho cơng việc cơng ty, máy tính cơng ty - Mỗi nhân viên công ty cấp account để đăng nhập vào máy tính hệ thống mạng cơng ty Nhân viên phải có trách nhiệm đảm bảo an tồn cho tài khoản khơng để lộ bên ngồi, (đặt password có độ phức tạp theo quy định công ty) Nếu tài khoản phải báo cho phận IT để xử lý kịp thời Nhân viên nghỉ việc tài khoản phải xóa khỏi hệ thống - Khơng làm việc nơi có nguy bị đánh cắp liệu cao (Quán café, nơi có mạng wifi cơng cộng…) 807 Chính sách nhân viên IT: - Có trách nhiệm giám sát, theo dõi hoạt động nhân viên khác công ty sử dụng máy tính vào cơng việc mà khơng làm chuyện riêng Đảm bảo liệu công ty bảo mật tránh thất ngồi - Khi xảy cố phải báo cáo tình hình mức độ thiệt hại cho cấp biết Phải khắc phục cố với thời gian nhanh để đảm bảo hệ thống hoạt động thông suốt - Chịu quản lý nghiêm chỉnh chấp hành yêu cầu cấp - Quản lý tài nguyên công ty, chịu trách nhiệm backup liệu công ty theo định kỳ - Nếu nhân viên IT nghỉ làm việc công ty phải thông báo trước với cấp công ty (theo luật lao động Việt Nam) bàn giao tồn cơng việc thời làm thiết bị quản lý cho nhân viên khác có chun mơn cho cấp - Cam kết sau nghỉ việc không tiết lộ thông tin liên quan đến hệ thống, mạng, thông tin… công ty vi phạm gây thiệt hại phải bồi thường chịu trách nhiệm tùy theo mức độ 808 Chính sách nhân viên hậu cần (lau công, bảo vệ): - Không xử dụng mạng internet công ty không phép - Không tự ý vào nơi cất dữ liệu quan trọng khơng có người giám sát chưa cho phép - Có trách nhiệm thực nghiêm túc quy định công ty 809 Chính sách nhân viên phòng ban: - Chỉ phép sử dụng máy tính cơng ty phục vụ cho công việc công ty, không sử dụng cho mục đích nhân (chat, mạng xã hội, xem phim, mua hàng…) - Chỉ phép truy cập vào vùng liệu, tài nguyên liên quan đến cơng việc, phòng ban làm việc (Có thể sử dụng account giới hạn quyền truy cập) - Khơng sử dụng máy tính cá nhân làm việc công ty không phép - Giới hạn thời gian truy cập - Nếu phát bất thường máy tính phải báo cho phận IT để kịp thời xử lý 810 Chính sách nhân viên nghỉ việc: Cam kết không tiết lộ thơng tin cơng ty bên ngồi 811 Chính sách phòng giám đốc: - Thực nghiêm túc sách ATTT cơng ty để làm gương cho cấp - Hiểu quan trọng account mình, bảo vệ cách chặt chẽ - Có trách nhiệm giám sát nhân viên cấp - Có trách nhiệm bảo vệ thơng tin quan trọng công ty, tài liệu quan trọng phải cất giữ bảo vệ an toàn tối đa tránh thất thoát liệu 5.8.5 Thi hành - Giám sát thi hành: Nhóm IT phụ trách policy xác minh tn thủ sách thơng qua nhiều phương pháp, khơng giới hạn, đánh giá định kì, giám sát video, sử dụng phần mềm chuyên dụng để giám sát, bao gồm nội bên ngồi cơng ty, phản hồi lại cho cấp - Ngoại lệ: Các trường hợp ngoại lệ sách phải nhóm IT phụ trách chấp thuận trước - Biện pháp xử lý: Tùy theo mức độ sai phạm xử lý cảnh cáo, kỷ luật đuổi việc 5.9 Chính sách giám sát quản lí truy cập internet 5.9.1 Giám sát sử dụng Internet - Bộ phận IT theo dõi việc sử dụng Internet từ tất máy tính thiết bị kết nối với mạng công ty Đối với tất lưu lượng mạng, hệ thống giám sát phải ghi lại Địa IP nguồn, ngày, thời gian, giao thức, trang đích máy chủ đích Nếu có thể, hệ thống nên ghi lại User ID người dùng tài khoản lưu lượng truy cập - Hồ sơ Sử dụng Internet phải bảo quản 180 ngày 5.9.2 Hệ thống lọc sử dụng Internet 812 Hệ thống chặn truy cập vào trang web giao thức Internet coi không phù hợp với môi trường công ty Các giao thức loại trang web nên bị chặn: 5.9.3 Quy o Tài liệu khiêu dâm / người lớn o Quảng cáo Cửa sổ bật lên o Chat Nhắn tin tức thời o Cờ bạc o Hacking o Ma túy Không hợp pháp o Trang phục duyên dáng Quần áo bơi o Peer to Peer File Sharing o Cá nhân Hẹn hò o Các dịch vụ mạng xã hội o SPAM, lừa đảo gian lận o Spyware o Bạo lực, khủng bố o Email dựa web o Các yếu tố lên quan đến trị khơng mang mục đích phục vụ cho Cty tắc thay đổi quy tắc sử dụng Internet 813 Bộ phận IT rà soát đề nghị thay đổi định kỳ quy tắc lọc web giao thức Nhân xem xét khuyến nghị định có thay đổi thực Thay đổi quy tắc lọc web giao thức ghi lại Chính sách Giám sát quản lý sử dụng truy cập Internet 5.9.4 Các trường hợp ngoại lệ lọc sử dụng Internet - Nếu trang web bị phân loại sai, nhân viên yêu cầu trang web bị bỏ chặn cách gửi yêu cầu đến Bộ phận IT, nhân viên IT xem xét yêu cầu bỏ chặn trang web bị chặn sai - Nhân viên truy cập trang web bị chặn với cho phép cần thiết phục vụ lợi ích cơng việc cty Nếu nhân viên cần truy cập vào trang web bị chặn phân loại hợp lý, phải gửi yêu cầu đến đại diện Bộ phận Nhân nhân viên Bộ phận nhân trình bày lý do, phê duyệt yêu cầu ngoại lệ truy cập ngoại lệ Email đến IT Bộ phận IT bỏ chặn trang web danh mục theo yêu cầu Bộ phận IT theo dõi trường hợp ngoại lệ chấp thuận báo cáo Bộ phận nhân theo yêu cầu 814 815 816 817 818 819 820 821 822 823 824 ... điểm rủi ro dựa tác động (Impact) khả (Likelihood) xảy 63 Sau xếp hạng rủi ro để đưa đến độ ưu tiên giải rủi ro cụ thể Vì khơng thể xử lý hồn tồn rủi ro xảy đến, nên giảm thiểu rủi ro đến mức... kèm theo vấn đề liên quan đến bảo mật thông tin Các vấn đề nên ưu tiên hàng đầu việc kiểm sốt 23 Bên cạnh tình trạng thất thoát liệu mối đe dọa lớn an tồn thơng tin doanh nghiệp Dưới thống kê phương... lấy thơng tin 508 509 Ng i t ấ n 510 Tấn công vét cạn mật 511 Mật yếu, không thay đổi thường xuyên 514 c ô n g 516 515 Risk Rank 517 Ta thấy giá trị rủi ro web server 126.5 Trong có rủi ro cao như: