TCVN TIÊU CHUẨN QUỐC GIA TCVN xxx:2014 ISO/IEC 27010:2012 Xuất lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TỒN – QUẢN LÝ AN TỒN THƠNG TIN CHO TRUYỀN THÔNG LIÊN TỔ CHỨC, LIÊN NGÀNH Information technology – Security techniques – infomation security management for inter-sector and inter-organizational communications HÀ NỘI – 2014 Mục lục Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Các khái niệm giải thích 4.1 Giới thiệu 4.2 Cộng đồng chia sẻ thông tin 4.3 Quản lý cộng đồng 4.4 Các thực thể hỗ trợ 4.5 Truyền thông liên ngành 4.6 Tính phù hợp 4.7 Mơ hình truyền thơng .10 Chính sách an tồn thơng tin 11 5.1 Chính sách an tồn thơng tin 11 5.1.1 Tài liệu sách an tồn thơng tin 11 5.1.2 Sốt xét lại sách an tồn thơng tin 11 Tổ chức đảm bảo an tồn thơng tin 11 6.1 Tổ chức nội .11 6.2 Các bên tham gia bên 11 6.2.1 Xác định rủi ro liên quan đến bên tham gia bên 11 6.2.2 Giải an toàn làm việc với khách hàng 11 6.2.3 Giải an toàn thỏa thuận với bên thứ ba 12 Quản lý tài sản 12 7.1 Trách nhiệm tài sản 12 7.1.1 Kiểm kê tài sản 12 7.1.2 Quyền sở hữu tài sản 12 7.1.3 Sử dụng hợp lý tài sản 12 7.2 Phân loại thông tin 12 7.2.1 Hướng dẫn phân loại 12 7.2.2 Gắn nhãn xử lý thông tin 13 7.3 Bảo vệ trao đổi thông tin 13 7.3.1 Phổ biến thông tin 13 7.3.2 Lưu ý sử dụng thông tin 14 7.3.3 Độ tin cậy thông tin 14 7.3.4 Giảm tính nhạy cảm thơng tin 14 7.3.5 Bảo vệ nguồn ẩn danh 14 7.3.6 Bảo vệ người nhận ẩn danh 15 7.3.7 Quyền phát hành tiếp 15 Đảm bảo an tồn thơng tin từ nguồn nhân lực .16 8.1 Trước tuyển dụng .16 8.1.1 Các vai trò trách nhiệm 16 8.1.2 Thẩm tra 16 8.1.3 Điều khoản điều kiện tuyển dụng 16 8.2 Trong thời gian làm việc 16 TCVN XXX:2014 8.3 Chấm dứt thay đổi công việc 16 Đảm bảo an toàn vật lý môi trường .16 10 Quản lý truyền thông vận hành 16 10.1 Các trách nhiệm thủ tục vận hành 16 10.2 Quản lý chuyển giao dịch vụ bên thứ ba 16 10.3 Lập kế hoạch chấp nhận hệ thống 16 10.4 Bảo vệ chống lại mã độc mã di động .16 10.4.1 Quản lý chống lại mã độc hại .16 10.4.2 Kiểm soát mã di động 17 10.5 Sao lưu 17 10.6 Quản lý an toàn mạng 17 10.7 Xử lý phương tiện 17 10.8 Trao đổi thông tin 17 10.8.1 Các sách thủ tục trao đổi thông tin 17 10.8.2 Các thỏa thuận trao đổi .17 10.8.3 Vận chuyển phương tiện vật lý 17 10.8.4 Thông điệp điện tử 17 10.8.5 Các hệ thống thông tin nghiệp vụ .17 10.9 Các dịch vụ thương mại điện tử 18 10.10 Giám sát .18 10.10.1 Ghi nhật ký đánh giá 18 10.10.2 Giám sát sử dụng hệ thống 18 10.10.3 Bảo vệ thông tin nhật ký .18 10.10.4 Nhật ký người điều hành người quản trị .18 10.10.5 Ghi nhật ký lỗi 18 10.10.6 Đồng thời gian 18 11 Quản lý truy nhập 18 12 Tiếp nhận, phát triển trì hệ thống thông tin .18 12.1 Yêu cầu đảm bảo an toàn cho hệ thống thông tin .18 12.2 Xử lý ứng dụng 18 12.3 Quản lý mã hóa 19 12.3.1 Chính sách sử dụng biện pháp quản lý mã hóa 19 12.3.2 Quản lý khóa .19 12.4 An toàn cho tệp tin hệ thống 19 12.5 Bảo đảm an toàn quy trình hỗ trợ phát triển 19 12.6 Quản lý điểm yếu kỹ thuật 19 13 Quản lý cố an tồn thơng tin 19 13.1 Báo cáo kiện an tồn thơng tin điểm yếu .19 13.1.1 Báo cáo kiện an tồn thơng tin .19 13.1.2 Báo cáo điểm yếu an toàn thông tin .20 13.1.3 Hệ thống cảnh báo sớm .20 13.2 Quản lý cố an tồn thơng tin cải thiện 20 13.2.1 Các trách nhiệm thủ tục 20 13.2.2 Rút học kinh nghiệm từ cố an tồn thơng tin 20 13.2.3 Thu thập chứng 20 14 Quản lý liên tục hoạt động nghiệp vụ .21 14.1 Các khía cạnh an tồn thông tin quản lý liên tục hoạt động nghiệp vụ 21 14.1.1 Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ 21 14.1.2 Đánh giá rủi ro liên tục hoạt động tổ chức .21 14.1.3 Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin 21 14.1.4 Khung hoạch định liên tục hoạt động nghiệp vụ 21 14.1.5 Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ 21 15 Sự tuân thủ 21 15.1 Sự tuân thủ quy định pháp lý 21 15.1.1 Xác định điều luật áp dụng 21 15.1.2 Quyền sở hữu trí tuệ (IPR) 22 15.1.3 Bảo vệ hồ sơ tổ chức 22 15.1.4 Bảo vệ liệu riêng tư thông tin cá nhân 22 15.1.5 Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin 22 15.1.6 Quy định quản lý mã hóa .22 15.1.7 Trách nhiệm với cộng đồng chia sẻ thông tin .22 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật .22 15.3 Xem xét việc đánh giá hệ thống thông tin 23 15.3.1 Các biện pháp quản lý đánh giá hệ thống thông tin 23 15.3.2 Bảo vệ công cụ đánh giá hệ thống thông tin .23 15.3.3 Chức đánh giá cộng đồng 23 Thư mục tài liệu tham khảo 41 TCVN XXX:2014 Lời nói đầu TCVN xxx:2014 hồn toàn tương đương với ISO/IEC 27010:2012 TCVN ISO/IEC xxx:2014 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TCVN XXX:2014 TIÊU CHUẨN QUỐC GIA TCVN xxx:2014 Công nghệ thông tin – Các kỹ thuật an tồn - Quản lý an tồn thơng tin cho truyền thông liên tổ chức, liên ngành Information technology – Security techniques – Infomation security management for intersector and inter-organizational communications Phạm vi áp dụng Tiêu chuẩn cung cấp thêm hướng dẫn đưa tiêu chuẩn ISO/IEC 27000 để triển khai quản lý an tồn thơng tin cộng đồng chia sẻ thông tin Tiêu chuẩn cung cấp biện pháp quản lý hướng dẫn cụ thể liên quan đến việc khởi tạo, triển khai, trì cải thiện an tồn thơng tin truyền thơng liên tổ chức liên ngành Tiêu chuẩn áp dụng cho tất hình thức trao đổi chia sẻ thông tin nhạy cảm, công khai lẫn riêng tư, phạm vi quốc gia lẫn quốc tế, lĩnh vực ngành nghề thị trường ngành nghề Đặc biệt, tiêu chuẩn áp dụng để trao đổi chia sẻ thông tin liên quan đến việc hỗ trợ, trì vào bảo vệ sở hạ tầng quan trọng tổ chức quốc gia Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) [1] ISO/IEC 27000:2009, Information technology - Security techniques - Information security manegerment systems – Overview and vocabulary [2] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các u cầu [3] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa ISO/IEC 27000 thuật ngữ định nghĩa sau: 3.1 Cộng đồng chia sẻ thông tin (information sharing community) Nhóm tổ chức đồng ý chia sẻ thơng tin CHÚ THÍCH: Một tổ chức cá nhân 3.2 Thực thể truyền thông thông tin đáng tin cậy (trusted information communication entity) Tổ chức độc lập hỗ trợ trao đổi thông tin cộng đồng chia sẻ thông tin TCVN XXX:2014 Các khái niệm giải thích 4.1 Giới thiệu Hướng dẫn hệ thống quản lý an tồn thơng tin cụ thể cho truyền thông liên ngành liên tổ chức đề cập điều từ điều đến điều 15 tiêu chuẩn TCVN ISO/IEC 27002:2011 đưa biện pháp quản lý bao gồm việc trao đổi thông tin song phương tổ chức biện pháp quản lý việc phổ biến thơng tin sẵn sàng cơng khai nói chung Tuy nhiên, số trường hợp cần chia sẻ thông tin cộng đồng tổ chức, nơi thông tin nhạy cảm cung cấp công cộng trừ thành viên cộng đồng Thông thường thông tin sẵn sàng sử dụng cho cá nhân định tổ chức thành viên có u cầu an tồn thông tin khác ẩn danh thông tin Tiêu chuẩn bổ sung số biện pháp quản lý tiềm năng, cung cấp hướng dẫn bổ sung giải thích tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 để đáp ứng yêu cầu an toàn trao đổi thông tin liên tổ chức, liên ngành 4.2 Cộng đồng chia sẻ thông tin Để đạt hiệu quả, cộng đồng chia sẻ thơng tin phải có lợi ích chung mối quan hệ khác để xác định phạm vi thông tin nhạy cảm chia sẻ Ví dụ, cộng đồng thị trường cụ thể giới hạn thành viên tổ chức ngành Ngồi ra, cịn dựa vào lợi ích chung khác vị trí địa lý quyền sở hữu chung 4.3 Quản lý cộng đồng Cộng đồng chia sẻ thông tin tạo từ tổ chức độc lập phận tổ chức Nên khơng rõ ràng khơng thống cấu tổ chức chức quản lý áp dụng cho tất thành viên Để quản lý an tồn thơng tin đạt hiệu lực cần có cam kết ban quản lý Do đó, cấu tổ chức chức quản lý áp dụng cho quản lý an toàn thông tin cộng đồng phải định nghĩa rõ ràng Sự khác tổ chức thành viên cộng đồng chia sẻ thông tin phải xem xét Sự khác bao gồm: - Liệu tổ chức thành viên vận hành hệ thống quản lý an tồn thơng tin riêng họ chưa, - Các quy tắc tổ chức thành viên việc bảo vệ tài sản tiết lộ thông tin 4.4 Các thực thể hỗ trợ Các cộng đồng chia sẻ thông tin lựa chọn thiết lập định thực thể hỗ trợ tập trung để tổ chức hỗ trợ chia sẻ thông tin Thực thể cung cấp nhiều biện pháp quản lý hỗ trợ ẩn danh nguồn gốc người nhận dễ dàng hiệu lực so với thành viên truyền thơng trực tiếp Có số mơ hình tổ chức khác sử dụng để tạo thực thể hỗ trợ Phụ lục D tiêu chuẩn mơ tả hai mơ hình phổ biến thực thể truyền thông thông tin đáng tin cậy (TICE) điểm báo cáo, tư vấn cảnh báo (WARP) TCVN XXX:2014 4.5 Truyền thông liên ngành Nhiều cộng đồng chia sẻ thông tin ngành, đương nhiên có phạm vi lợi ích chung Tuy nhiên, thông tin chia sẻ cộng đồng có lợi cho cộng đồng chia sẻ thông tin khác thiết lập ngành khác Trong trường hợp vậy, thiết lập cộng đồng chia sẻ thông tin cộng đồng chia sẻ thông tin dựa vài lợi ích chung chất thơng tin chia sẻ Đó truyền thơng liên ngành Truyền thông liên ngành tạo điều kiện thuận lợi lớn thực thể hỗ trợ tồn cộng đồng chia sẻ thơng tin, sau biện pháp quản lý thỏa thuận trao đổi thơng tin cần thiết thiết lập thực thể hỗ trợ thành viên tất cộng đồng Một số truyền thông liên ngành yêu cầu ẩn danh tổ chức nguồn gốc tổ chức nhận, điều đạt cách sử dụng thực thể hỗ trợ 4.6 Tính phù hợp Bất kỳ hệ thống quản lý an tồn thơng tin (ISMS) thiết lập, vận hành tuân theo TCVN ISO/IEC 27001:2009 sử dụng biện pháp quản lý theo TCVN ISO/IEC 27002:2011, tiêu chuẩn nguồn khác đánh giá phù hợp với TCVN ISO/IEC 27001:2009 mà không cần sửa đổi bổ sung tiêu chuẩn Tuy nhiên, có số điểm TCVN ISO/IEC 27001:2009 cần giải thích áp dụng cho cộng đồng chia sẻ thông tin (hoặc cho truyền thông liên ngành, cộng đồng cộng đồng) Điểm cần giải thích định nghĩa tổ chức liên quan TCVN ISO/IEC 27001:2009 yêu cầu ISMS thiết lập tổ chức vận hành bối cảnh hoạt động nghiệp vụ nói chung tổ chức rủi ro mà tổ chức phải đối mặt (4.1 TCVN ISO/IEC 27001:2009) Trong bối cảnh này, tổ chức liên quan cộng đồng chia sẻ thông tin Tuy nhiên, thành viên cộng đồng chia sẻ thông tin tự tổ chức – xem Hình Ak tổ chức thành viên k cộng đồng (k= 1…n), bao gồm thực thể hỗ trợ Hình – Các cộng đồng tổ chức Thứ hai, nhiều cộng đồng chia sẻ thông tin, tất người tổ chức thành viên phép truy nhập vào thông tin nhạy cảm chia sẻ thành viên Trong trường hợp này, phần tổ chức thành viên nằm phạm vi hệ thống quản lý an tồn thơng tin cộng TCVN XXX:2014 đồng phần nằm Phần nằm phạm vi cộng đồng truy nhập vào thông tin cộng đồng thơng tin đánh dấu để phát hành diện rộng – xem Hình Hình – Một phần thành viên cộng đồng phạm vi chia sẻ thông tin Các thành viên cộng đồng chia sẻ thơng tin có hệ thống quản lý an tồn thơng tin riêng số quy trình nằm trong phạm vi hệ thống quản lý thành viên lẫn cộng đồng Trong trường hợp này, có khả lý thuyết xảy u cầu khơng tương thích mâu thuẫn theo quy trình Đây trường hợp bị loại bỏ khỏi phạm vi hệ thống quản lý an tồn thơng tin thành viên lý giải – xem 4.2.1 a) TCVN ISO/IEC 27001:2009 Khi xác định phương pháp đánh giá rủi ro (4.2.1 c TCVN ISO/IEC 27001:2009), cộng đồng chia sẻ thông tin cần thấy tác động rủi ro khác thành viên khác cộng đồng Do đó, cộng đồng cần lựa chọn phương pháp đánh giá rủi ro để xử lý tác động khơng đồng nhất, tiêu chí đánh giá rủi ro Việc đo hiệu lực biện pháp quản lý lựa chọn (4.2.3 c TCVN ISO/IEC 27001:2009) cần tham gia tất thành viên cộng đồng chia sẻ thông tin Tất thành viên cần cung cấp phản hồi thường xuyên cho nhà cung cấp thơng tin cộng đồng tất liên quan đến hiệu lực biện pháp quản lý mơi trường riêng họ 4.7 Mơ hình truyền thơng Truyền thơng thơng tin nhạy cảm nói đến tiêu chuẩn hình thức – văn bản, lời nói điện tử - cung cấp để đáp ứng yêu cầu quản lý lựa chọn Trong phần lại tiêu chuẩn này, truyền thông nhạy cảm cá nhân mô tả dạng bên tham gia sau: - Nguồn gốc danh mục thông tin cá nhân tổ chức tạo danh mục thông tin đó; - nguồn gốc khơng thiết thành viên cộng đồng Người khởi tạo thành viên cộng đồng chia sẻ thông tin mà khởi đầu phổ biến thơng tin cộng đồng Người khởi tạo phổ biến thơng tin trực tiếp, gửi thông tin tới thực thể hỗ trợ để phổ biến Người khởi tạo nguồn gốc thông tin không thiết phải một; người khởi tạo che giấu nhận dạng nguồn gốc Các cộng đồng 10 TCVN XXX:2014 - “Các yêu cầu thông tin”, tương ứng với việc yêu cầu thông tin xử lý từ thành viên - cộng đồng tới tất vài thành viên khác cộng đồng “Chất lượng dịch vụ dự đốn”, cung cấp thơng tin hiệu lực độ tin cậy dự đoán kênh truyền thông cộng đồng khác Chia sẻ nhiều q thơng tin khơng tốt; trừ có phương pháp lọc liệu thích hợp Nếu xây dựng xu hướng thông tin xem lợi ích chia sẻ , phải có phương pháp để phân biệt thông tin ưu tiên cao “hành động ngay” với thông tin ưu tiên thấp “dành cho mục đích lưu trữ” A.7 Các yếu tố thành cơng Cộng đồng hiệu có lợi ích chia sẻ thực sự, tất thành viên quan tâm đến khía cạnh Ví dụ, công ty viễn thông cố định không quan tâm đến vấn đề không dây, quan tâm quan tâm công ty di động việc xác định gọi giả Các thành viên cộng đồng hiệu sử dụng quyền đại diện để xử lý việc nội Cộng đồng hiệu giới hạn khơng hạn chế thành viên, ví dụ đảm bảo đại diện công định đánh dấu A.8 Phạm vi hệ thống quản lý an tồn thơng tin cộng đồng chia sẻ thông tin Phạm vi hệ thống quản lý an tồn thơng tin cộng đồng chia sẻ thông tin nên bao gồm: - Tất quy trình sử dụng phương tiện truyền thông thành viên cộng đồng, bao - gồm thành viên trung gian; Lưu thơng tin có liên quan suốt quy trình truyền thơng; Triển khai quy trình thành viên có liên quan để gửi nhận thơng tin chia sẻ; Triển khai quy trình thành viên cộng đồng việc loại bỏ thông tin chia sẻ Phạm vi khơng nên bao gồm triển khai quy trình quản lý an tồn thơng tin thành viên cộng đồng có liên quan quản lý an tồn thơng tin họ, bảo đảm hệ thống quản lý an tồn thơng tin khác, ngồi từ việc đặt hạn chế cho tính chất tự nhiên thông tin đến chia sẻ giao diện hệ thống chia sẻ thông tin Hệ thống quản lý an tồn thơng tin quản lý tập trung thực thể hỗ trợ TICE WARP, quản lý hợp tác thành viên cộng đồng 28 TCVN XXX:2014 Phụ lục B (Tham khảo) Thiết lập tin cậy trao đổi thông tin B.1 Độ tin cậy thông báo Độ tin cậy người nhận thông báo nhận chủ yếu dựa độ tin cậy nguồn gốc thông điệp, độ tin cậy nguồn thơng báo Điều đóng gói mơ “5-5” sử dụng thực thi luật cộng đồng thông tin: - {A - E} Mức độ giảm độ tin cậy nguồn gốc; {1 - 5} Mức độ giảm độ tin cậy nguồn đặt thông tin Như thông tin “A – 1” xem tin cậy mong muốn, thông tin “E – 5” thường bị loại bỏ Nhưng tất nhiên, thưc tế có thơng tin “A – 1” Có thể ví dụ, nguồn thông tin xem đáng tin, lỗi xảy sử dụng hệ thống định vị toàn cầu GPS, trường hợp hệ thống ánh xạ quy hoạch tuyến xảy lỗi vơ tình gây hiểu lầm, khiến phương tiện truyền tải lớn bị sai hướng xuống đường hẻm nhỏ Vấn đề xa đề cập đến độ tin cậy thơng báo tăng cường rủi ro bề ngồi Có xu hướng nội – giả định – nhiều trường hợp thông tin giống từ nguồn khác xác định Trong mức độ, điều điều hiển nhiên, độ tin cậy không tầm thường, thực tế, mơ hình tốn học độ tin cậy không nên gán trọng số tuyến tính cho trường hợp bổ sung B.2 Hỗ trợ kỹ thuật B.2.1 Giới thiệu Có vài kỹ thuật gần phát triển để hỗ trợ độ tin cậy thông tin cung cấp hình thức điện tử tạo thực thể chưa biết không quen thuộc Các kỹ thuật phù hợp với khái niệm “Web 2.0” [4] Web 2.0 tập hợp kỹ thuật- mà khái niệm liên quan đến truyền thông xã hội kết hợp ý tưởng sử dụng Web tảng, sử dụng để thu thập Hai khía cạnh Web 2.0 đặc biệt liên quan đến tiêu chuẩn này: - Giả ẩn danh; Các hệ thống uy tín, gọi cấu uy tín B.2.2 Ẩn danh giả ẩn danh Các nguồn người nhận thơng tin mong muốn trì ẩn danh với nhiều lý Hiệu lực ẩn danh thực đạt phụ thuộc vào hiểu biết nội dung ví dụ mức độ hiểu rõ hệ thống thông điệp Tổng quát, phân cấp hệ thống thơng điệp khơng biết đầy đủ người tham gia bất kỳ, số trường hợp nội dung thông điệp thay đổi theo thời gian Khái niệm ẩn danh gắn với với khái niệm khả khơng liên kết, mục quan tâm sau quan sát khơng nhiều mục biết trước 29 TCVN XXX:2014 Mối quan hệ ẩn danh ngụ ý mức độ truy vấn tới người truyền thơng với người khơng có liên kết người khởi tạo với nhiều người nhận Khơng có khả quan sát quan sát người khởi tạo gửi người nhận nhận Mối quan hệ khơng có khả quan sát nghĩa quan sát truyền thông người khởi tạo người nhận Ký biệt hiệu liên quan đến thay tên cá nhân đặc tính nhận dạng khác nhãn, để bảo vệ danh tính của đối tượng liệu để khó xác định Ký biệt hiệu trạng thái sử dụng biệt hiệu nhãn xác định Đối với khía cạnh mức độ khả kết nối, có vài loại biệt hiệu sau: a) Biệt hiệu cá nhân: Biệt hiệu cá nhân thay cho tên chủ sở hữu coi đại diện cho số nhận dạng chủ sở hữu Nó dùng tất bối cảnh, ví dụ số chứng minh thư nhân dân, số an ninh xã hội, DNA, nickname, nghệ danh diễn viên, số điện thoại b) Biệt hiệu vai trò: sử dụng biệt hiệu vai trò giới hạn vai trò cụ thể, ví dụ biệt hiệu khách tài khoản Internet sử dụng cho vài thuyết minh vai trò giống “người dùng internet” Biệt hiệu vai trò giống sử dụng với đối tác truyền thông khác c) Biệt hiệu quan hệ: Đối với đối tác truyền thông sử dụng biệt hiệu khác Điều có nghĩa đối tác truyền thơng khác khơng thể nói họ truyền thông với người dùng d) Biệt hiệu vai trò-quan hệ: Đối với vai trò đối tác truyền thông, sử dụng biệt hiệu vai trị-quan hệ khác Điều có nghĩa đối tác truyền thơng khơng cần biết có hai biệt hiệu sử dụng thuộc chủ sở hữu Mặt khác, hai đối tác truyền thông khác tương tác với người dùng vai trị khơng biết biệt hiệu người Ví dụ: Giả sử nguồn thơng tin thường xuyên sử dụng tên “Wool” truyền thông thông tin miền công cộng tới Bernstein “Touched” truyền thông thông tin đến Woolward Bernstein sau nhận thông tin tên từ “Deep Throat” Woolward từ “Watergate” Bernstein Woolward “Deep Throat” “Watergate”là người “Deep Throat” “Wool” “Touched” hai e) Biệt hiệu giao dịch: Đối với giao dịch, biệt hiệu giao dịch liên kết đến nhiều biệt hiệu giao dịch khác bắt đầu liên kết với biệt hiệu giao dịch sử dụng, ví dụ số giao dịch phát ngẫu nhiên ngân hàng trực tuyến Do đó, biệt hiệu giao dịch dùng để nhận độ mạnh ẩn danh Nói chung, ẩn danh biệt hiệu vai trò biệt hiệu quan hệ tốt ẩn danh biệt hiệu cá nhân Độ mạng ẩn danh tăng lên với ứng dụng ẩn danh vai trò-quan hệ, sử dụng chúng cho trường hợp vai trò mối quan hệ Ẩn danh mạnh liệu cá nhân chủ sở hữu biệt hiệu liên kết đến biệt hiệu B.2.3 Cơ chế đánh giá uy tín 30 TCVN XXX:2014 Khái niệm cơng cụ danh tiếng hình thành sở truyền thông xã hội mạng xã hội Web Các công cụ danh tiếng dùng để lọc thông tin liên quan chúng trở nên thích hợp chất lượng đa dạng thông tin tăng lên đáng kể Cơng cụ danh tiếng định nghĩa tập thức sách thủ tục sử dụng để tính tốn phạm vi danh tiếng cá nhân dựa hoạt động khứ họ Trong giới trực tuyến, công cụ danh tiếng gắn với ý tưởng dấu chân số Dấu chân số lần theo hoạt động mơi trường số Báo cáo tín dụng chế khác cung cấp phương tiện để định lượng danh tiếng – so sánh chế Web danh tiếng (đánh giá người xem Internet) để báo cáo tín dụng truyền thống đáng quan tâm Do giao dịch web (mua, bán, mượn, trả lại) tạo liệu số Dữ liệu chụp lại người khác (giống quan đánh giá tín dụng) thuộc – Nó “được sở hữu” quan đánh giá tín dụng (và thực thay đổi truy nhập đến nó) Có nhiều hình thức chỉnh sửa công cụ danh tiếng công cụ danh tiếng eBay Công cụ eBay khác nợ tín dụng suốt Mọi thơng tin phản hồi (bao gồm thông tin phản hồi tiêu cực) phản hồi tới cá nhân viết bình luận – đưa hội để phản kháng Cơng cụ danh tiếng sử dụng để tăng độ tin cậy cách kết hợp nhận thức từ nguồn gốc cộng đồng rộng lớn thông qua nhiệm vụ giống xác nhận hợp lệ nguồn thông tin mới, xác nhận nguồn nội dung, cảnh báo thời gian thực tìm kiếm Twitter cảnh báo Google, củng cố độ tin cậy từ nguồn vơ danh, hồn thành tìm kiếm quan niệm bên ngoài, mang ý kiến mới/bên đến miền chia sẻ đáng tin cậy, dự báo hội nguy từ nguồn bên Tuy nhiên, số kỹ thuật Web 2.0 (giống wiki) có giới hạn việc xây dựng độ tin cậy chúng khơng có mơ hình nội đáng tin cậy đủ mạnh B.3 Truy nhập thông tin đáng tin cậy Các khái niệm độ tin cậy cơ sở chất chủ thể đối tượng tự nhiên, không cần thiết tuân theo chế đại diện Tuy nhiên, cách tiếp cận Pareto [5] thực vấn đề: cách giải kết mong muốn đạt với số lượng cố gắng tương đối nhỏ, cố gắng để hồn thiện mơ hinh yêu cầu số lượng khô gắng không tương xứng Các thiết bị tiếp cận là: a) Người khởi tạo thông tin nên gán mức độ tin cậy cho thông tin họ phát hành Sự hữu dụng cách tiếp cận xác nhận hợp lệ Trung tâm bảo vệ sở hạ tầng quốc gia Vương quốc Anh, phương thức sử dụng để tự động mô tả sơ lược phổ biến thơng tin cảnh báo tới nhiều hình thức cộng đồng chia sẻ thông tin khác b) Tất thơng tin xác định rõ ràng với nguồn gốc nó, lý tưởng sử dụng định dạng liệu có cấu trúc c) Tuy nhiên khái niệm nhận dạng nguồn gốc, nên hỗ trọ báo cáo ẩn danh, kinh nghiệm từ giới an toàn cung cấp ẩn danh quan trọng tăng cường chia sẻ thông tin 31 TCVN XXX:2014 d) Khái niệm đối tượng biên sử đụng dể đóng gói nội dung thông tin trao đổi Các đối tượng biên tập hợp có cấu trúc thơng tin có mức độ cơng nhận lẫn quan tâm cộng đồng, cho phép phương tiện truyền thông thông qua ngôn ngữ miền biên: sáng kiến thành công thông báo liệt kê điểm yếu chung Mitre (CVE) cho phần đề nghị họ đối tượng biên Hình B.1 – Đánh giá độ tin cậy nội dung thông điệp e) Cả người khởi tạo người nhận trao đổi thông tin đáng tin cậy nên cung cấp đánh giá việc đó, lần, thông tin hỗ trợ bối cảnh nhận trước đó: có vài khoảng tự động phân tích cú pháp thơng tin cho mục đích này, cơng nhận thơng điệp tự động phân tích cú pháp cho mục đích trạng thái kỹ thuật không đáng tin Để giảm thiểu rủi ro việc tăng cường đặc biệt, giảm trả Chức phổ biến 32 TCVN XXX:2014 tích lũy cần áp dụng để tính tốn số trường hợp trước đó, có nghĩa giá trị trọng số thơng tin bổ sung giảm f) Nguồn gốc người nhận gắn với cờ để xem thơng tin có xác nhận độc lập hay không để bảo vệ chống lại cất giữ thơng tin có ích Sự cất giữ làm tăng thêm hồi nghi thơng tin nhận g) Bên nhận thông tin nên gán đánh giá chủ quan cho nguồn gốc, dựa quy tắc mơ hình “5-5” (xem B.1) Trọng số phù hợp, tiêu chuẩn cho phép thành viên cộng đồng chia sẻ thông tin định lượng độ tin cậy họ nên đặt thông tin mà họ nhận từ thành viên khác Điều minh họa Hình B.1 33 TCVN XXX:2014 Phụ lục C (Tham khảo) Giao thức đèn giao thông Phụ lục mô tả giao thức đèn giao thông, kỹ thuật sử dụng rộng rãi cộng đồng chia sẻ thông tin để biểu thị phổ biến thông tin cho phép Mặc dù khái niệm hiểu rộng rãi, có số biến thể sử dụng Mô tả thực theo Hướng dẫn thực hành tốt cho trao đổi thông tin bảo mật mạng phát hành Cơ quan an toàn mạng thông tin Châu Âu (ENISA) [6] Khái niệm ban đầu phát triển Trung tâm bảo vệ sở hạ tầng quốc gia Vương quốc Anh (CPNI) Giao thức đèn giao thông (TLP) tạo để khuyến khích chia sẻ thơng tin nhạy cảm tổ chức nhiều Người khởi tạo muốn báo hiệu rộng rãi muốn thông tin họ lưu thông nhận TLP dựa khái niệm thông tin ghi nhãn người khởi tạo với bốn màu biết thơng tin người nhận phổ biến rộng hơn, có, thực Người nhận phải tham khảo ý kiến người khởi tạo yêu cầu phổ biến rộng rãi Bốn màu ý nghĩa chúng sau: - Màu Đỏ - Chỉ cho cá nhân người nhận có tên Ví dụ nội dung họp, thông tin màu Đỏ giới hạn cho người có mặt họp Trong phần lớn trường - hợp, thông tin màu Đỏ truyền lời nói Màu Vàng - Phổ biến giới hạn Người nhận chia sẻ thơng tin màu Vàng với người khác tổ chức họ, sở “cần phải biết” Người khởi tạo phải giới hạn - dự kiến cho việc chia sẻ Màu Xanh – Cộng đồng rộng Thông tin mục lưu thơng rộng rãi cộng đồng cụ thể Tuy nhiên, thông tin phát hành đăng Internet, phát - hành bên ngồi cộng đồng Màu Trắng – Khơng giới hạn Tùy theo quy định quyền tiêu chuẩn, thông tin màu Trắng tự phổ biến mà khơng bị hạn chế Thông tin nhạy cảm dù cung cấp bỏi người khởi tạo phải đánh dấu thời điểm tiết lộ thông tin phù hợp với TLP Tất thông tin nhạy cảm xem thông tin màu Vàng trừ trường hợp định rõ viết Tuy nhiên, theo mặc định trừ có quy định khác cụ thể thời điểm tiết lộ thông tin, nguồn gốc xác định thông tin nhạy cảm ln màu Đỏ TLP tương thức để sử dụng tổ chức, ví dụ nơi có vài cá nhân cấp phép truy nhập đầy đủ tất thông tin chia sẻ Xem Hình 34 TCVN XXX:2014 Phụ lục D (Tham khảo) Mơ hình tổ chức cộng đồng chia sẻ thơng tin D.1 Giới thiệu Có vài cách tổ chức cộng đồng chia sẻ thông tin, từ kết hợp rời rạc đối tác ngang hàng đến hình thức pháp nhân quản lý có cấu trúc tập trung mức cao Phụ lục mô tả hai dạng tổ chức cộng đồng thực tế hỗ trợ hiệu lực quản lý an tồn thơng tin D.2 Thực thể truyền thông thông tin đáng tin cậy D.2.1 Giới thiệu Thực thể truyền thông thông thông tin đáng tin cậy tổ chức lớn hỗ trợ trao đổi thông tin thành viên cộng đồng chia sẻ thông tin cách hành động động cổng thông tin truyền thơng phối hợp tập trung Nó trở thành yếu tố cốt lõi hệ thống quản lý an tồn thơng tin hiệu lực cho truyền thơng liên ngành liên tổ chức TICE đảm bảo trao đổi thơng tin an tồn hiệu lực thành viên cộng đồng chia sẻ thông tin trợ giúp cho họ viiệc giám sát, phân tích quản lý hiệu lực phản hồi cố rủi ro Thực thể truyền thông thông tin đáng tin cậy (TICE) bao gồm nhóm đối tượng chun gia có nghiệp vụ để: - Đảm bảo trao đổi thơng tin thích hợp TICE thành viên cộng đồng; Phân tích phản ứng với cố an tồn thơng tin; Xử lý cố hỗ trợ thành viên cộng đồng phục hồi từ vi phạm; Cung cấp nhận thức an tồn thơng tin có kênh quan đến thành viên cộng đồng cách: • Đưa tư vấn điểm yếu thiết bị sử dụng, • Thơng báo cho đại diện thành viên cộng đồng virus việc lợi dụng lỗi này, thành viên phép thực hiệu phần cập nhật vá lỗi TICE hành động trung gian đáng tin cậy để ẩn danh nguồn người nhận thông tin chia sẻ Điều cho phép thành viên giữ bí mật thơng tin từ nguồn đáng tin, mà khơng cần che giấu danh tính họ đặt tin tưởng vào thành viên khác ẩn danh TICE dựa phát triển từ, tôt chức tồn Nhóm phản ứng cố an tồn thơng tin (ISIRT), phục vụ cộng đồng liên quan Tuy nhiên, ISIRT cần mở rộng để cung cấp chủ động dịch vụ TICE dịch vụ tương tác nói chung cung cấp ISIRT D.2.2 Xem xét việc tổ chức TICE D.2.2.1 Các đối tượng chuyên gia Cấu trúc nên bao gồm chuyên môn ngành công cộng để đảm bảo người với kỹ thích hợp tham gia, để đảm bảo định mức độ phù hợp thông tin nội dung liên lạc với hạ tầng thông tin liên quan Các chuyên gia sử dụng phải phân tích tư cách, đặc biệt lĩnh vực sau (nhưng không giới hạn): - Quản lý nghiệp vụ; 35 TCVN XXX:2014 - Cơ sở hạ tầng bảo mật IT; Vận hành; Điều chỉnh nội bộ; Bộ pháp chế Các chuyên gia làm việc bán thời gian tồn thời gian làm khu vực trung tâm, khu vực vận hành nơi kết hợp D.2.2.2 Cấu trúc tổ chức Một TICE điển hình nên bao gồm tối thiểu chức sau: - Ban điều hành (cần thiết, chịu trách nhiệm quản lý chiến lực TICE mối quan hệ - với thành viên cộng đồng) Nhóm kỹ thuật vận hành (cần thiết, chịu trách nhiệm phân tích vấn đề rủi ro chun mơn - kỹ thuật định áp dụng thích hợp cho vá thay đổi) Chuyên viên kỹ thuật vận hành (tùy chọn, yêu cầu để cải thiện hiểu biết TICE môi - trường hoạt động tài nguyên liên quan đến mức độ tập hợp thiết bị (khu vực nội bộ) ) Chuyên gia pháp lý (tùy chọn, yêu cầu đặc biệt suốt giai đoạn bắt đầu TICE để giảm - nhẹ vấn đề pháp lý) Chuyên gia truyền thơng (tùy chọn, u cầu tập trung vào khó khăn chuyển đổi vấn đề kỹ thuật liên quan để chuẩn bị thơng điệp hiểu đc cho thành viên) Các chuyên gia truyền thông cung cấp thơng tin phản hồi từ thành viên cộng đồng đến nhóm kỹ thuật vận hành , hành động nhân viên hỗ trợ hai nhóm D.2.2.3 Quản lý thành viên cộng đồng Hỗ trợ nên cung cấp TICE phép, đánh giá, tiếp tục hiểu quản lý thành viên cộng đồng đại diện họ để đảm bảo mối quan hệ đáng tin đầy đủ D.2.2.4 Mơ hình tổ chức Mơ hình tổ chức thích hợp cho TICE phụ thuộc nhiều vào kiến trúc tại, tính chất tự nhiên thành viên tiềm mở rộng hỗ trợ đầy đủ dịch vụ TICE Nó phụ thuộc vào khả truy nhập đối tượng chuyên gia thuê không thời hạn sở ad-hoc Có tối thiểu ba mơ hình sau: - Mơ hình độc lập: TICE độc lập hành động tổ chức độc lập với người quản lý nhân - viên Mơ hình lồng ghép: TICE lồng ghép thiết lập tổ chức sử dung tài nguyên cho cá dịch vụ cung cấp Số lượng tài nguyên cấp phát khác để hỗ trợ hoạt - động điều kiện bình thường tình đặc biệt Mơ hình tự nguyện: TICE tự nguyện bao gồm chuyên gia tư vấn hỗ trợ tổ chức khác dựa sở tự nguyện.Nó nên xem xét cộng đồng chuyên gia, phụ thuộc nhiều vào động lực người tham gia D.2.3 Dịch vụ cốt lõi tùy chọn TICE Lựa chọn dịch vụ cung cấp TICE đê thành viên cộng đồng giai đoạn quan trọng nên dựa vào yếu tố sau: 36 - Phạm vi rủi ro tương ứng với đề suất truyền thông thành viên cộng đồng chia - sẻ thông tin; Phạm vi TICE, tổ chức tính chất tự nhiên cộng đồng chia sẻ thông tin TCVN XXX:2014 Ngồi ra, phụ thuộc nhiều vào vai trị giả định TICE bối cảnh cộng đồng (hoạt động nhân viên hỗ trợ người khởi đầu chia sẻ thông tin thành viên) Tiềm dịch vụ TICE cốt lõi: - Dịch vụ phản ứng: Dịch vụ phản ứng thiết kế để phát khả công thiết bị hạ tầng thơng tin, phân tích báo cáo công ảnh hưởng nguy cơ, đáp ứng - yêu cầu hỗ trợ, báo cáo cố đến thành viên cộng đồng, Dịch vụ chủ động: Dịch vụ chủ động thiết kể để đảm bảo tạo điều kiện thuận lợi cho trao đổi thông tin đầy đủ cáh cải thiện quy trình an ninh cộng đồng chia sẻ thông tin hạ tầng thông tin liên quan trước cố xuất bị phát Ngoài ra, số dịch vụ chủ động thiết kế để cảu thiện ngăn ngừa cố thông qua nhận thức thành viên, giảm ảnh hưởng phạm vi chúng xuất Tiềm dịch vụ TICE tùy chọn: - Dịch vụ khảo sát mã độc: Dịch vụ khảo sát mã độc thiết kế để: • Phân tích tệp tin đối tượng tìm thấy thiết bị liên quan đến hoạt • - động độc hại Xử lý phổ biến kết cho thành viên cộng đồng, nhà cung cấp đối tác liên quan khác Để ngăn chặn sớm việc lây lan mã độc giảm bớt rủi ro Dịch vụ quản lý chất lượng an tồn thơng tin: Dịch vụ quản lý chất lượng an toàn thông tin thiết kế để hỗ trợ thành viên cộng đồng phân tích, quản lý nghiệp vụ liên tục nhận - thức an tồn thơng tin với mục tiêu dài hạn Dịch vụ ẩn danh: Dịch vụ ẩn danh thiết kế phép thành viên cộng đồng gửi nhận thông tin đến thành viên khác mà khơng cần che giấu danh tính D.2.4 Kết luận Mơ hình TICE cung cấp tồn điện mơ hình điều khiển cấu trúc cho thơng tin chia sẻ tổ chức Nó đặc biệt thích hợp cho môi trường quan trọng nơi cần nhắc nhở ưu tiên chia sẻ thơng tin phân tích quan trọng để thành viên phủ trợ giá cho yêu cầu hạ tầng trung tâm D.3 Điểm cảnh báo, tư vấn báo cáo D.3.1 Giới thiệu Mơ hình điểm cảnh báo, tư vấn báo cáo (WARP) [7] dùng từ năm 2003 cung cấp chế chứng minh để chia sẻ thông tin nhạy cảm tổ chức ngành công cộng tư nhân WARP chia sẻ thông tin cá nhân tổ chức có quan tâm giống nhau, thường sở tự nguyện WARP dựa mối quan hệ cá nhân đại diện thành viên cộng đồng chia sẻ thơng tin WARP điển hình gồm nhà điều hành có hiểu biết chút đối tượng liên quan, chủ yếu lựa chọn để truyền thơng với thành viên Thơng thường có khoảng 20 đến 100 thành viên, WARP bị liên lạc cá nhân thành viên thuộc cộng đồng chia sẻ đáng quan tâm (kinh doanh nhỏ, quyền địa phương, nhà cung cấp dịch vụ, nhóm liên quan khác) 37 TCVN XXX:2014 Thành viên WARP đồng ý làm việc với phần cộng đồng chia sẻ thông tin để giảm thiểu rủi ro hệ thống thông tin họ thỏa hiệp giảm rủi ro cho tổ chức họ Cộng đồng chia sẻ dựa ngàng cơng nghiệp thương mại, vị trí địa lý, tiêu chuẩn kỹ thuật, nhóm liên quan, nhóm rủi ro, bât nghiệp vụ liên quian khác Điển hỉnh, WARP nhỏ, cá nhân “phi lợi nhuận” D.3.2 Các chức WARP Nhà điều hành WARP sử dụng website, email, điện thoại, SMS, họp (bất nơi có thể) để gửi cảnh báo tư vấn dịch vụ cá nhân đến thành viên Điều thường lời tư vấn bảo mật IT (bởi thay đổi nhanh), bao gồm vấn đề khác (nguy khác, tội phạm công nghệ cao, kế hoạch dự phòng) Nhà khai thác Khai thác kiến thức thành viên để giúp đỡ thành viên khác sử dụng bảng thiing tin, hội họp kỹ truyền thông chung Xây dựng thành cơng WARP đủ tin cậy để khuyến khích thành viên nói cố vấn đề họ, ẩn danh, lợi ích phần lại ( giống kiểu “theo dõi hàng xóm”) D.3.3 Các dịch vụ WARP D.3.3.1 Tổng quan WARP thông thường cung cấp ba dịch vụ cốt lõi: - Dịch vụ cảnh báo chọn lọc – thành viên nhận thông tin bảo mật mà họ - muốn, chọn thông qua danh sách đánh dấu trực tuyến; Dịch vụ tư vấn môi giới – thành viên học sáng kiên kinh nghiệm từ - thành viên khác thông qua bảng thông tin thành viên; Dịch vụ chia sẻ đáng tin cậy – báo cáo ẩn danh để thành viên học từ cố công thành viên, mà không sợ bị phản kháng lúng túng D.3.3.2 Cảnh báo chọn lọc Dịch vụ cảnh báo chọn lọc cho phép thành viên WARP nhận cảnh báo khuyến cáo lọc dựa khu vực liên quan Phần mềm ứng dụng cảnh báo chọn lọc sử dụng danh sách lựa chọn thuê bao cho phép thành viên WARP thay đổi dễ dàng trì lựa chọn họ Phần mềm giúp nhà khai thác WARP dễ dàng phân loại phổ biến cảnh báo khuyến cáo kịp thời Dịch vụ cung cấp phần cảnh báo cho WARP D.3.3.3 Tư vấn môi giới Dịch vụ cho phép thành viên cộng đồng WARP thảo luận vấn đề an tồn thơng tin thực hành tốt mơi trường an tồn thông tin Dịch vụ cho phép thành viên cung cấp kinh nghiệm kỹ cho thành viên khác sở trao đổi, người làm việc người khác theo dõi Dịch vụ cung cấp phần tư vấn cho WARP D.3.3.4 Chia sẻ đáng tin cậy Dịch vụ cung cấp môi trường đáng tin cậy mà thành viên WARP chia sẻ thơng tin nhạy cảm, liệu cố nguy cơ,các kiến thức không gây hại gây tự nhiên Báo cáo đạt thông qua điện thoại, thư điện tử trực tiếp, với bảo vệ an ninh thích hợp Một lần làm ẩn danh phù hợp, thông tin cố thơng qua 38 TCVN XXX:2014 WARP khác tồn mối quan hệ đáng tin với phủ, đối chiếu giám sát xu hướng quốc gia Dịch vụ cung cấp phần báo cáo cho WARP D.3.3.5 Các dịch vụ khác Các WARP cung cấp dịch vụ khác có lợi cho thành viên cộng đồng Tuy nhiên, dịch vụ thông thường thực đơn giản, để tối ưu thời gian tài nguyên cần thiết từ nhà khai thác WARP để hỗ trợ họ D.3.4 Các lợi ích WARP cung cấp an tồn thơng tin hiệu qua chi phí thấp cho thành vên cách cung cấp: - Môi trường đáng tin cậy; Lọc thơng tin an tồn; Thêm lời khuyên chuyên gia; Cảnh báo sớm nguy cơ; Hỗ trợ định chiến lược; Cải thiện nhận thức an tồn thơng tin Một vài số lợi ích kết hợp với việc thiết lập WARP là: - Năng lực làm việc: WARP thúc đẩy chia sẻ thông tin phối hợp với nhiệm vụ chung, lần lượt, giảm trùng lặp công việc Điều có lợi cho doanh nghiệp - phủ để cải thiện hiệu lực Tránh thiệt hại danh tiếng: tổ chức chuyển sang tiếp cận trực tuyến để tương tác công khai, diện web trở thành yếu tố then chốt Nếu khơng có website hoăc bị phá hoại, điều gây vấn đề danh tiếng ngăn cản hiểu biết dịch vụ web - Cộng đồng phục vụ tốt bảo vệ thành viên WARP Cảnh báo sớm: Tìm kiếm vấn đề cách giải chúng cách có kinh nghiệm, chia sẻ cộng đồng WARP tạo điều kiện thuận lợi cho dịch vụ cá nhân nhất, mà - nhà cung cấp thương mại so sánh Hỗ trợ phủ WARP khác: lợi thuộc cộng đồng tập trung có nghĩa khat chia sẻ phổ biến lời khun có ích từ nguồn đáng tin cậy Hỗ trợ vận hành từ WARP khác thiết lập tốt thông qua Diễn đàn nhà khai thác WARP Cũng hợp tác ngang hàng thông qua Ứng dụng cảnh báo chọn lọc cho phép phổ - biến cảnh báo lời khuyên cho WARP khác cách dễ dàng Chi phí thấp: Mơ hình thiết kế để hạ thấp chi phí, thơng qua mức độ biên chế tối thiểu - (hoặc nhóm ảo) Bộ cơng cụ tồn miễn phí tồn diện: Nhà cung cấp WARP truy nhập công cụ WARP tạo từ kinh nghiệm tồn WARP Nó bao gồm thông tin nền, cách để bắt đầu, cách để xây dựng chạy WARP, danh sách tải xuống mở rộng, từ sản phẩm - báo chí đến tài liệu tiếp thị Bền vững: Các WARP đươch thiết lập rộng rãi, với số tổ chức đượng tơn trọng - thích ứng thành cơng cho cách tiếp cận bền vững chứng minh Phần mềm: Các nhà cung cấp WARP truy nhập phần mềm đặc biệt phát triển để - hỗ trợ ba dịch vụ WARP Tăng độ tin tưởng: Tính chất “phi lợi nhuận”, phù hợp thực tốt nhất, giúp đạt tin cậy cộng đồng hỗ trợ đô tin tưởng tổ chức,đặc biệt nbội dung hoạt động “Công cộng tốt” 39 TCVN XXX:2014 - Tuân thủ: Thành viên WARP phải giúp đỡ tổ chức thành viên đáp ứng biện pháp quản - lý liên lạc mang tính tổ chức xác định TCVN ISO/IEC 27002:2011 Tiềm tăng trưởng: Một vài nhà cung cấp WARP quy trình thiết lập thêm WARP, dần xây dựng sở hạ tầng chuyên môn mà hỗ trợ chi phí thấp lẫn bền - vững Các WARP xuất số ngành nay, lan rộng toàn giới Trách nhiệm xã hội doanh nghiệp: Là thành viên WARP phải nânng cao trách nhiệm xã hội tổ chức thành viên nhờ thu độ tin cậy có khả hỗ trợ chiến lược kinh doanh nhà khai thác lẫn thành viên D.3.5 Kết luận Mô hình WARP mơ hình cộng tác, đơn giản việc chia sẻ thơng tin tổ chức có định hướng Nó đặc biệt thích hợp với trường hợp vốn vay bị giới hạn hạ tầng trung tâm cung cấp hoạt động sở tự nguyện 40 TCVN XXX:2014 Thư mục tài liệu tham khảo [1] ISO/IEC Guide 2:1996, Standardization and related activities General vocabulary [2] ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in standards [3] ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management [4] ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security [5] ISO/IEC 13888-1:1997, Information technology Security techniques Non-repudiation -Part 1: General [6] ISO/IEC 11770-1:1996, Information technology Security techniques Key management -Part 1: Framework [7] ISO/IEC 9796-2:2002, Information technology Security techniques Digital signature schemes giving message recovery Part 2: Integer factorization based mechanisms [8] ISO/IEC 9796-3:2000, Information technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms [9] ISO/IEC 14888-1:1998, Information technology Security techniques Digital signatures with appendix Part 1: General [10] ISO/IEC 15408-1:1999, Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model [11] ISO/IEC TR 14516:2002, Information technology Security techniques Guidelines for the use and management of Trusted Third Party services [12] BS ISO 15489-1:2001, Information and documentation - Records management – Part 1: General [13] ISO 10007:2003, Guidelines for Configuration Management [14] ISO/IEC 12207:1995, Information technology Software life cycle processes [15] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [16] OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security [17] OECD Guidelines for Cryptography Policy, 1997 [18] IEEE P1363 – 2000, Standard Specifications for Public-Key Cryptography [19] ISO/IEC 18028-4, Information technology Security techniques – IT Netwwork security - Part 41 TCVN XXX:2014 4: Securing remote access [20] ISO/IEC TR 18044, Information security incident management 42 technology – Security techniques – Information