Đang tải... (xem toàn văn)
Bài giảng Tiêu chuẩn an toàn mạng biên soạn cung cấp các kiến thức về xác định phạm vi và ranh giới của hệ thống ISMS; chính sách của hệ thống bảo mật phù hợp; xác định cách thức đánh giá rủi ro của tổ chức; xác định các rủi ro; phân tích và đánh giá các rủi ro; xác định và đánh giá các phương án xử lý các rủi ro; chuẩn bị bản tuyên bố áp dụng.
TIÊU CHUẨN AN TỒN MẠNG An tồn thơng tin biện pháp nhằm đảm bảo tính bí mật (confidentiality), tính tồn vẹn (integrity) tính sẵn sàng (availability) thông tin ISO 17799: Mục tiêu BS7799 / ISO 17799 “tạo móng cho phát triển tiêu chuẩn ATTT biện pháp quản lý ATTT hiệu tổ chức , đồng thời tạo tin cậy giao dịch liên tổ chức” CuuDuongThanCong.com https://fb.com/tailieudientucntt ISO 17799 nhằm để thiết lập hệ thống quản lý bảo mật thông tin, gồm bước sau: a) Xác định phạm vi ranh giới hệ thống ISMS phù hợp với đặc điểm hoạt động kinh doanh, việc tổ chức, vị trí địa lý, tài sản cơng nghệ, bao gồm chi tiết chúng minh chứng cho loại trừ phạm vi áp dụng CuuDuongThanCong.com https://fb.com/tailieudientucntt b) Xác định sách hệ thống bảo mật phù hợp với đặc điểm hoạt động kinh doanh, việc tổ chức, vị trí địa lý, tài sản cơng nghệ mà: 1) Bao gồm cấu cho việc thiết lập mục tiêu xây dựng ý thức chung định hướng nguyên tắc hành động bảo mật thông tin CuuDuongThanCong.com https://fb.com/tailieudientucntt 2) Quan tâm đến hoạt động kinh doanh yêu cầu luật pháp lý, bổn phận bảo mật thõa thuận 3) Sắp xếp thực việc thiết lập trì hệ thống ISMS chiến lược tổ chức việc quản lý rủi ro 4) Thiết lập tiêu chuẩn để đánh giá rủi ro 5) Được duyệt lãnh đạo CuuDuongThanCong.com https://fb.com/tailieudientucntt c) Xác định cách thức đánh giá rủi ro tổ chức 1) Xác định phương pháp đánh giá rủi ro phù hợp với hệ thống mạng, thông tin hoạt động kinh doanh xác định, yêu cầu luật pháp chế 2) Xây dựng tiêu chuẩn chấp nhận rủi ro xác định mức độ chấp nhận CuuDuongThanCong.com https://fb.com/tailieudientucntt d) Xác định rủi ro 1) Xác định tài sản thuộc phạm vi hệ thống mạng chủ nhân tài sản 2) Xác định rủi ro cho tài sản 3) Xác định yếu điểm mà bị khai thác lợi dụng mối đe dọa 4) Xác định ảnh hưởng tác động làm tính bí mật, tồn vẹn sẳn có mà có tài sản CuuDuongThanCong.com https://fb.com/tailieudientucntt e) Phân tích đánh giá rủi ro 1) Đánh giá tác động ảnh hưởng đến hoạt động tổ chức có lỗi bảo mật, Quan tâm xem xét hậu việc tính bảo mật, tồn vẹn sẳn có tài sản 2) Đánh giá khả thực tế xãy lỗi bảo mật khinh suất mối đe dọa yếu điểm phổ biến thường gặp, CuuDuongThanCong.com https://fb.com/tailieudientucntt ảnh hưởng liên quan đến tài sản này, việc áp dụng biện pháp kiểm soát hành 3) Ước lượng mức độ rủi ro 4) Định rõ xem coi rủi ro chấp nhận hay cần thiết phải có xử lý cách sử dụng tiêu chuẩn chấp nhận rủi ro lập mục c–2 CuuDuongThanCong.com https://fb.com/tailieudientucntt f) Xác định đánh giá phương án xử lý rủi ro 1) Áp dụng biện pháp kiểm sốt thích hợp 2) Chủ tâm cách khách quan chấp nhận rủi ro, với điều kiện chúng thõa mãn cách rõ ràng sách tổ chức chuẩn mực chấp nhận rủi ro CuuDuongThanCong.com https://fb.com/tailieudientucntt 3) Tránh rủi ro 4) Chuyển công việc rủi ro liên đới cho tổ chức/cá nhân khác nhà bảo hiểm, nhà cung cấp CuuDuongThanCong.com https://fb.com/tailieudientucntt d) Xác định cách thức đo lường hiệu biện pháp kiểm soát chọn nhóm kiểm sốt xác định cách thức sử dụng cách đo để kiểm soát đánh giá cách hiệu kết so sánh tái thực nghiệm CuuDuongThanCong.com https://fb.com/tailieudientucntt e) Đào tạo áp dụng chương trình nhận thức f) Quản lý hoạt động hệ thống mạng g) Quản lý nguồn lực cho hệ thống mạng h) Áp dụng thủ tục quy trình biện pháp kiểm sốt khác để kích hoạt việc phát kịp thời kiện bảo mật đối phó với cố bảo mật CuuDuongThanCong.com https://fb.com/tailieudientucntt Giám sát tái xem xét hệ thống mạng theo ISO 17799, gồm bước sau: a) Thực giám sát xem xét thủ tục biện pháp kiểm soát khác để : 1) Phát kịp thời sai lỗi kết trình xử lý 2) Nhận biết kịp thời việc thử nghiệm đột nhập thành công lỗ hỗng cố bảo mật CuuDuongThanCong.com https://fb.com/tailieudientucntt 3) Để cho lãnh đạo xác định hoạt động bảo mật ủy thác cho người hay vận dụng công nghệ thông tin hoạt động có đạt mong đợi khơng 4) Giúp cho việc phát kiện bảo mật để ngăn ngừa cố bảo mật việc sử dụng số 5) Xác định hành động giải lỗ hỗng bảo mật có hiệu khơng CuuDuongThanCong.com https://fb.com/tailieudientucntt b) Thực việc xem xét định kỳ hiệu hệ thống ISMS (Bao gồm việc đạt sách bảo mật mục tiêu, xem xét biện pháp kiểm soát bảo mật) quan tâm đến kết việc đánh giá bảo mật, cố, kết đo lường hiệu quả, kiến nghị phản hồi từ bên quan tâm c) Đo lường hiệu biện pháp kiểm soát để xác minh yêu cầu bảo mật thõa mãn CuuDuongThanCong.com https://fb.com/tailieudientucntt d) Xem xét việc đánh giá rủi ro giai đoạn hoạch định xem xét rủi ro lại mức độ chấp nhận rủi ro xác định, quan tâm đến thay đổi đến 1) Cơ cấu tổ chức 2) Công nghệ 3) Mục tiêu kinh doanh trình CuuDuongThanCong.com https://fb.com/tailieudientucntt 4) Các mối đe dọa xác định 5) Hiệu quã việc áp dụng kiểm soát 6) Các kiện bên ngồi, luật hay mơi trường pháp lý thay đổi, càc bổn phận thõa thuận thay đổi, hoàn cảnh xã hội thay đổi CuuDuongThanCong.com https://fb.com/tailieudientucntt e) Thực đánh giá nội hệ thống ISMS theo chu kỳ hoạch định f) Thực việc xem xét lãnh đạo cho hệ thống mạng cách định kỳ nhằm đảm bảo phạm vi áp dụng đầy đủ cải tiến trình hệ thống mạng nhận biết CuuDuongThanCong.com https://fb.com/tailieudientucntt g) Cập nhật kế hoạch bảo mật nhằm quan tâm phát hoạt động giám sát xem xét h) Hồ sơ hành động kiện mà ảnh hưởng đến hiệu lực hệ thống mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Duy trì cải tiến hệ thống mạng theo ISO 17799, gồm bước sau: a) Áp dụng cải tiến nhận biết hệ thống mạng b) Thực hành động khắc phục phòng ngừa Áp dụng học kinh nghiệm từ cố bảo mật tổ chức khác tổ chức CuuDuongThanCong.com https://fb.com/tailieudientucntt c) Trao đổi hành động cải tiến cho tất bên quan tâm với mức độ chi tiết phù hợp với hồn cảnh và, thích hợp, thống cách thức thực d) Đảm bảo cải tiến đạt mục tiêu mong muốn cho chúng CuuDuongThanCong.com https://fb.com/tailieudientucntt Vài ví dụ rủi ro an tồn thơng tin : Bị Virus xâm nhập: hỏng liệu, ngừng hệ thống, … Bị Trojan, Spyware: ăn cắp thông tin, cài đặt cổng hậu, … Bị đánh cắp mật khẩu: dẫn đến bị giả mạo để truy nhập thông tin Bị Hacker (Tin tặc) xâm nhập qua mạng: để phá hoại hệ thống, lấy cắp hay sửa đổi thông tin, … CuuDuongThanCong.com https://fb.com/tailieudientucntt Bị “nghe trộm” (sniffer) thông tin truyền qua mạng: lộ bí mật kinh doanh (giá bỏ thầu, giá mua hàng…), bị sửa sai lệch thông tin,… Bị thông tin giả mạo gửi đến, dẫn đến định sai gây thiệt hại nghiêm trọng (vi phạm tính chống từ chối): PHISHING, … Bị sửa đổi trang Web, gây uy tín với KH, bạn hàng, … CuuDuongThanCong.com https://fb.com/tailieudientucntt Bị người dùng bên làm lộ thông tin cho đối thủ, …(information leakage) Bị người dùng bên phá hoại, … Bị lỗ hổng, back-door (vơ tình hay cố ý) ứng dụng th cơng ty bên ngồi phát triển …………… Bị công từ chối dịch vụ: gây ngừng trệ hệ thống (mất tính sẵn sàng) CuuDuongThanCong.com https://fb.com/tailieudientucntt THANKS CuuDuongThanCong.com https://fb.com/tailieudientucntt ... ro phù hợp với hệ thống mạng, thông tin hoạt động kinh doanh xác định, yêu cầu luật pháp chế 2) Xây dựng tiêu chuẩn chấp nhận rủi ro xác định mức độ chấp nhận CuuDuongThanCong.com https://fb.com/tailieudientucntt... thông tin CuuDuongThanCong.com https://fb.com/tailieudientucntt j) Chuẩn bị tuyên bố áp dụng 1) Các mục tiêu kiểm soát biện pháp kiểm soát lý chọn chúng 2) Các mục tiêu kiểm soát biện pháp... rủi ro lại mức độ chấp nhận rủi ro xác định, quan tâm đến thay đổi đến 1) Cơ cấu tổ chức 2) Công nghệ 3) Mục tiêu kinh doanh trình CuuDuongThanCong.com https://fb.com/tailieudientucntt 4)