1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng

85 47 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 85
Dung lượng 1,72 MB

Nội dung

Hiện nay, với sự phát triển như nhanh chóng của các lĩnh vực công nghệ, xuất hiện nhiều cuộc tấn công mạng, cuộc tấn công từ hacker, các nguy cơ gây mất an toàn thông tin xảy ra với tần xuất nhiều hơn, nghiêm trọng hơn. Bên cạnh đó các doanh nghiệp trên thế giới nói chung và Việt Nam nói riêng đang phát triển đa dạng các ngành nghề lĩnh vực. Mỗi ngành nghề lĩnh vực đòi hỏi thông tin trong đó cần phải được bảo mật, xác thực và toàn vẹn, vừa giúp cho doanh nghiệp đó phát triển, thông tin được bảo vệ, hạn chế tấn công, vừa giúp cho doanh nghiệp đó có được hình ảnh uy tín cũng như được các bên đối tác đánh giá và tin tưởng khi hợp tác với các doanh nghiệp có được sự bảo vệ thông tin một cách an toàn. Như vậy vấn đề an toàn thông tin lại càng quan trọng và là nhu cầu cấp thiết đối với các doanh nghiệp. Vậy làm thế nào để giúp các doanh nghiệp thực hiện được điều đó. Để trả lời cho câu hỏi này, trong bài tiểu luận “Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng” tìm hiểu cách xây dựng một hệ thống an toàn thông tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thông tin của mình một cách an toàn và hiệu quả nhất. Bài tiểu luận của em được chia làm 3 chương: Chương 1: Tổng quan bộ tiêu chuẩn TCVN 10541. Trong chương này em trình bày các kỹ thuật an toàn và hướng dẫn triển khai hệ thống quản lý an toàn thông tin. Chương 2: Tổng quan bộ tiêu chuẩn TCVN 10542. Trong chương này em trình bày các kỹ thuật an toàn và quản lý an toàn thông tin đo lường. Chương 3: Tổng quan bộ tiêu chuẩn TCVN 10543. Trong chương này em trình bày các kỹ thuật an toàn và quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành.

MỤC LỤC A PHẦN MỞ ĐẦU Hiện nay, với phát triển nhanh chóng lĩnh vực cơng nghệ, xuất nhiều công mạng, cơng từ hacker, nguy gây an tồn thông tin xảy với tần xuất nhiều hơn, nghiêm trọng Bên cạnh doanh nghiệp giới nói chung Việt Nam nói riêng phát triển đa dạng ngành nghề lĩnh vực Mỗi ngành nghề lĩnh vực địi hỏi thơng tin cần phải bảo mật, xác thực toàn vẹn, vừa giúp cho doanh nghiệp phát triển, thơng tin bảo vệ, hạn chế công, vừa giúp cho doanh nghiệp có hình ảnh uy tín bên đối tác đánh giá tin tưởng hợp tác với doanh nghiệp có bảo vệ thơng tin cách an tồn Như vấn đề an tồn thơng tin lại quan trọng nhu cầu cấp thiết doanh nghiệp Vậy làm để giúp doanh nghiệp thực điều Để trả lời cho câu hỏi này, tiểu luận “Tìm hiểu tiêu chuẩn TCVN hệ thống quản lý an tồn thơng tin ( TCVN 10541, 10542, 10543 ) thực tiễn áp dụng” tìm hiểu cách xây dựng hệ thống an tồn thơng tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thơng tin cách an toàn hiệu Bài tiểu luận em chia làm chương: Chương 1: Tổng quan tiêu chuẩn TCVN 10541 Trong chương em trình bày kỹ thuật an tồn hướng dẫn triển khai hệ thống quản lý an tồn thơng tin Chương 2: Tổng quan tiêu chuẩn TCVN 10542 Trong chương em trình bày kỹ thuật an tồn quản lý an tồn thơng tin đo lường Chương 3: Tổng quan tiêu chuẩn TCVN 10543 Trong chương em trình bày kỹ thuật an tồn quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành B PHẦN NỘI DUNG Chương 1: Tổng quan tiêu chuẩn TCVN 10541 Phạm vi áp dụng Tiêu chuẩn tập trung vào khía cạnh then chốt để thiết kế triển khai thành cơng hệ thống quản lý an tồn thơng tin (ISMS) theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) Tiêu chuẩn mơ tả quy trình đặc tả thiết kế ISMS từ lúc khởi đầu đến đưa kế hoạch triển khai Tiêu chuẩn mô tả quy trình để ban quản lý phê chuẩn cho triển khai ISMS, xác định dự án triển khai ISMS (trong tiêu chuẩn gọi dự án ISMS), đưa hướng dẫn lập kế hoạch dự án ISMS để có kế hoạch triển khai dự án ISMS thức Tiêu chuẩn dành cho tổ chức triển khai ISMS Tiêu chuẩn áp dụng cho tất tổ chức loại hình (ví dụ, doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) với đủ loại quy mơ Mỗi tổ chức có tính phức tạp rủi ro riêng, yêu cầu cụ thể tổ chức chi phối việc triển khai ISMS Các tổ chức có quy mơ nhỏ nhận thấy hoạt động đưa tiêu chuẩn áp dụng cho họ đơn giản hóa Các tổ chức phức hợp quy mơ lớn nhận thấy cần phải có hệ thống quản lý tổ chức theo phân cấp để quản lý hoạt động tiêu chuẩn cách hiệu Tuy nhiên, hai loại tổ chức áp dụng tiêu chuẩn để lập kế hoạch cho hoạt động phù hợp Tiêu chuẩn đưa khuyến nghị giải thích, khơng rõ u cầu cụ thể Tiêu chuẩn sử dụng phối hợp với TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), không chủ ý thay đổi và/hoặc giảm bớt yêu cầu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) khuyến nghị TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) Không cần thiết hợp chuẩn theo tiêu chuẩn Cấu trúc tiêu chuẩn 2.1 Cấu trúc chung điều Triển khai ISMS hoạt động quan trọng nhìn chung thực dự án tổ chức Tiêu chuẩn giải thích q trình triển khai ISMS tập trung vào việc khởi động, lập kế hoạch xác định dự án Quy trình lập kế hoạch triển khai ISMS thức gồm năm giai đoạn giai đoạn thể điều Tất điều có cấu trúc giống mô tả Năm giai đoạn bao gồm: a) Phê chuẩn cho khởi động dự án ISMS (Điều 5); b) Xác định phạm vi ISMS sách ISMS (Điều 6); c) Tiến hành phân tích u cầu an tồn thơng tin (Điều 7); d) Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro (Điều 8); e) Thiết kế ISMS (Điều 9) Hình mơ tả năm giai đoạn quy trình lập kế hoạch dự án ISMS theo tiêu chuẩn ISO/IEC tài liệu đầu Hình - Các giai đoạn dự án ISMS 2.2 Cấu trúc chung điều Mỗi điều bao gồm: a) Một nhiều mục tiêu thể nội dung cần đạt, ghi hộp văn phần đầu điều b) Một nhiều hoạt động cần thiết để đạt (các) mục tiêu giai đoạn Mỗi hoạt động mô tả điều nhỏ Các mô tả hoạt động điều nhỏ cấu trúc sau: Hoạt động: Phần hoạt động xác định điều cần thỏa mãn để đạt toàn phần mục tiêu giai đoạn Đầu vào: Phần đầu vào mơ tả xuất phát điểm, ví dụ định có văn đầu từ hoạt động khác mô tả tiêu chuẩn Các đầu vào tham chiếu tới toàn đầu từ hoạt động liên quan thơng tin cụ thể từ hoạt động bổ sung sau điều tham chiếu Hướng dẫn: Phần hướng dẫn cung cấp thông tin chi tiết cho phép thực hoạt động Một số hướng dẫn khơng phù hợp cho trường hợp có cách khác phù hợp để đạt kết dự kiến Đầu ra: Phần đầu mô tả (các) kết (các) sản phẩm thu hoạt động hoàn thành; ví dụ, văn Các đầu giống không phụ thuộc vào quy mô tổ chức phạm vi ISMS Thông tin khác: Phần thông tin khác cung cấp thông tin bổ sung hỗ trợ việc triển khai hoạt động, ví dụ thơng tin tham chiếu đến tiêu chuẩn khác Chú thích: Các giai đoạn hoạt động mô tả tiêu chuẩn bao gồm chuỗi hoạt động thực đề xuất dựa phụ thuộc xác định qua mô tả “đầu vào” “đầu ra” Tuy nhiên, tùy thuộc vào nhiều yếu tố khác (ví dụ, hiệu lực hệ thống quản lý hành, hiểu biết tầm quan trọng an tồn thơng tin, lý triển khai ISMS), tổ chức lựa chọn hoạt động theo thứ tự cần thiết để chuẩn bị cho việc thiết lập triển khai ISMS 2.3 Biểu đồ Các dự án thường mô tả dạng biểu đồ đồ họa tổng quan hoạt động đầu Hình thể thích cho biểu đồ nằm điều nhỏ tổng quan giai đoạn Các biểu đồ đưa thông tin tổng quan hoạt động giai đoạn Hình - Chú thích luồng cơng việc Trong hình trên, vng phía thể giai đoạn lập kế hoạch dự án ISMS Giai đoạn đề cập điều sau nhấn mạnh với tài liệu đầu giai đoạn Ơ vng phía (các hoạt động giai đoạn) bao gồm hoạt động thuộc giai đoạn nhấn mạnh vng phía trên, tài liệu đầu hoạt động Trục thời gian ô vuông phía tương ứng với trục thời gian vng phía Hoạt động A hoạt động B thực đồng thời Hoạt động C nên bắt đầu sau hoạt động A B kết thúc Phê chuẩn cho khởi động dự án ISMS 3.1 Tổng quan cách thức để phê chuẩn cho khởi động dự án ISMS Khi định triển khai ISMS, nên xem xét số yếu tố Để xác định yếu tố này, ban quản lý nên hiểu tình nghiệp vụ dự án triển khai ISMS phê chuẩn tình Do vậy, mục tiêu giai đoạn là: Mục tiêu: Được ban quản lý phê chuẩn cho khởi động dự án ISMS thông qua việc xác định tình nghiệp vụ kế hoạch dự án Để ban quản lý phê chuẩn, tổ chức nên xây dựng tình nghiệp vụ bao gồm ưu tiên mục tiêu triển khai ISMS cấu tổ chức cho ISMS Cũng nên xây dựng kế hoạch ban đầu cho dự án ISMS Công việc thực giai đoạn giúp tổ chức hiểu tính xác đáng ISMS, làm rõ vai trị trách nhiệm an tồn thơng tin tổ chức cần thiết cho dự án ISMS Đầu mục tiêu giai đoạn phê chuẩn sơ bộ, cam kết triển khai ISMS thực hoạt động mô tả tiêu chuẩn ban quản lý Các sản phẩm điều gồm tình nghiệp vụ dự thảo kế hoạch dự án ISMS với mốc thời gian Hình mơ tả quy trình để ban quản lý phê chuẩn cho khởi động dự án ISMS Hình - Tổng quan cách thức để ban quản lý phê chuẩn cho khởi động dự án ISMS 3.2 Làm rõ ưu tiên tổ chức cho phát triển ISMS Hoạt động: Xác định ưu tiên u cầu an tồn thơng tin tổ chức, có quan tâm đến mục tiêu triển khai ISMS Đầu vào: a) Các mục tiêu chiến lược tổ chức b) Tổng quan hệ thống quản lý có c) Danh sách u cầu an tồn thơng tin theo luật pháp, qui định, hợp đồng áp dụng cho tổ chức Hướng dẫn: Để khởi động dự án ISMS, cần có phê chuẩn ban quản lý Do vậy, hoạt động nên thực thu thập thông tin liên quan thể giá trị ISMS tổ chức Tổ chức nên làm rõ lại cần có ISMS định mục tiêu triển khai ISMS khởi động dự án ISMS Các yêu cầu ưu tiên an tồn thơng tin tổ chức làm rõ yếu tố sau: a) Các phạm vi tổ chức nghiệp vụ trọng yếu: 1) Các phạm vi tổ chức hoạt động nghiệp vụ trọng yếu? 2) Các phạm vi tổ chức liên quan đến hoạt động nghiệp vụ tập trung vào hoạt động nghiệp vụ nào? 3) Tổ chức có mối quan hệ thỏa thuận với bên thứ ba? 4) Các dịch vụ thực theo hình thức thuê khốn? b) Thơng tin nhạy cảm có giá trị: 1) Thông tin quan trọng tổ chức? 2) Hậu xảy thơng tin bị tiết lộ cho bên khơng có thẩm quyền (ví dụ, lợi cạnh tranh, thiệt hại đến thương hiệu danh tiếng, hành động pháp lý ) c) Các điều luật đề cập đến biện pháp an tồn thơng tin: 1) Các điều luật liên quan đến việc xử lý rủi ro an tồn thơng tin áp dụng cho tổ chức? 2) Tổ chức có phải phận tổ chức cơng tồn cầu u cầu có báo cáo tài ngồi tổ chức khơng? 10 b) Đặc tả đo lường bao gồm: 1) Cấu trúc đo lường chung cho tổ chức; 2) Cấu trúc đo lường riêng cho tổ chức; 3) Định nghĩa dải giá trị thủ tục cho việc thu thập phân tích liệu; c) Kế hoạch thời gian để thực hoạt động đo lường; d) Các ghi tạo thông qua thực hoạt động đo, bao gồm liệu thu thập ghi phân tích; e) Các định dạng báo cáo kết đo báo cáo tới ban quản lý/ bên liên quan (xem ISO/IEC 27001:2005 Điều “Soát xét ban quản lý”), Hoạt động đo lường 6.1 Giới thiệu chung Hoạt động đo lường an toàn thông tin liên quan tới hoạt động cần thiết để đảm bảo kết đo triển khai cung cấp thơng tin xác liên quan đến hiệu lực ISMS triển khai, biện pháp quản lý hay nhóm biện pháp quản lý cần thiết hành động cải tiến phù hợp Các hoạt động bao gồm: a) Tích hợp thủ tục đo lường vào tất hoạt động ISMS; b) Thu thập, lưu trữ xác minh liệu 6.2 Tích hợp thủ tục Chương trình đo lường an tồn thơng tin cần tích hợp tồn diện vào ISMS sử dụng ISMS Các thủ tục đo lường cần kết hợp với hoạt động ISMS bao gồm: a) Định nghĩa tài liệu vai trò, thẩm quyền trách nhiệm, xu phát triển, khả triển khai việc trì đo lường an tồn thơng tin; b) Thu thập liệu, cần hiệu chỉnh hoạt động hành ISMS liên quan đến hoạt động tạo thu thập liệu; 71 c) Trao đổi thay đổi hoạt động thu thập liệu cho bên liên quan; d) Việc trì khả Bộ phận thu thập thơng tin hiểu biết loại liệu yêu cầu, công cụ thu thập liệu trình tự thu thập liệu; e) Việc phát triển sách thủ tục xây dựng quy định việc sử dụng phép đo tổ chức, việc công bố thông tin đo lường, việc đánh giá sốt sét Chương trình đo lường an tồn thơng tin; f) Tích hợp phân tích liệu lập báo cáo đo vào quy trình liên quan để đảm bảo hoạt động diễn theo khả năng; g) Việc giám sát, soát xét ước lượng kết đo; h) Việc thiết lập quy trình cho lần đo bổ sung lần đo để đảm bảo đợt đo thực tổ chức; i) Việc thiết lập quy trình nhằm xác định thời hạn hữu dụng liệu khứ để làm sở cho xác định xu hướng phân tích giai đoạn 6.3 Thu thập, lưu trữ xác minh liệu Thu thập, lưu trữ xác minh liệu bao gồm hoạt động sau: a) Thu thập liệu yêu cầu khoảng thời gian đặn sử dụng phương pháp đo định; b) Lập tài liệu thu thập liệu, bao gồm: 1) Ngày tháng, thời gian vị trí thu thập liệu; 2) Bộ phận thu thập thông tin; 3) Người sở hữu thông tin; 4) Thông tin tranh cãi hữu dụng nảy sinh q trình thu thập liệu; 5) Thơng tin dùng cho việc xác minh liệu tính hợp lệ đo lường c) Xác minh liệu thu thập dựa tiêu chí lựa chọn số đo tiêu chí hợp lệ cấu trúc phép đo 72 Dữ liệu thu thập thông tin bối cảnh cần thiết nên kết hợp lưu trữ báo cáo đo để làm sở cho phân tích liệu Phân tích liệu lập báo cáo kết đo 7.1 Giới thiệu chung Dữ liệu thu thập nên phân tích để phát triển kết đo kết đo phát triển nên thông báo tới bên liên quan Hành động bao gồm sau: a) Phân tích liệu việc phát triển kết đo; b) Thông báo kết đo tới bên liên quan 7.2 Phân tích liệu phát triển kết đo Dữ liệu thu thập nên phân tích chuyển sang dạng tiêu chí định Dữ liệu gộp lại, chuyển đổi giải mã trước phân tích Trong trình này, liệu nên xử lý để xuất báo Một số kỹ thuật phân tích áp dụng Độ sâu phân tích nên định chất liệu nhu cầu thông tin Các kết phán tích liệu nên diễn giải Người phân tích kết (bộ phận trao đổi thơng tin) nên có khả đưa số kết luận bước đầu dựa kết đo Tuy nhiên, phận trao đổi thơng tin khơng trực tiếp liên quan vào quy trình quản lý kỹ thuật, kết luận cần soát xét bên liên quan khác Tất diễn giải nên tính đến bối cảnh đo lường Việc phân tích liệu nên xác định khác biệt kết đo thực tế kết mong muốn hệ thống ISMS triển khai Những khác biệt xác định điểm cần thiết cho việc cải tiến ISMS triển khai, bao gồm phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục Những báo thể không tuân thủ hay khả thực cần nhận phân loại sau: 73 a) Kế hoạch xử lý rủi ro không thực thực khơng thích đáng, hoạt động quản lý biện pháp quản lý hay quy trình ISMS (ví dụ biện pháp quản lý quy trình ISMS bỏ qua cảnh báo); b) Lỗi đánh giá rủi ro: 1) Các biện pháp quản lý hay quy trình ISMS khơng hiệu chúng khơng đủ để đối phó với nguy ước tính cảnh báo (ví dụ khả xảy nguy đánh giá thấp); đối phó với nguy mới; 2) Các biện pháp quản lý hay quy trình ISMS khơng thực thi, cảnh báo không nhận thấy Những báo cáo sử dụng để thông báo kết đo lường tới bên liên quan nên chuẩn bị sử dụng định dạng báo cáo phù hợp tuân theo kế hoạch triển khai Chương trình đo lường an tồn thơng tin Những kết luận việc phân tích cần sốt xét bên liên quan để đảm bảo diễn giải phù hợp với liệu đo Các kết việc phân tích liệu cần lập thành tài liệu để thông báo tới bên liên quan 7.3 Trao đổi kết đo Bộ phận trao đổi thông tin nên định cách thức thơng báo kết đo an tồn thông tin, sau: - Những kết đo thơng báo nội hay ngồi; - Lập danh sách số đo tương ứng với bên liên quan, bên quan tâm; - Các kết đo cụ thể cần cung cấp thể thức trình bày theo nhu cầu nhóm; - Cách thức thu nhận thông tin phản hồi từ bên liên quan sử dụng cho việc ước lượng tính hiệu dụng kết đo hiệu lực Chương trình đo lường an tồn thông tin 74 Các kết đo lường nên thông báo tới nhiều bên liên quan nội bộ, bao gồm không hạn chế trong: - Những người yêu cầu đo ; - Những người sở hữu thông tin; - Người phụ trách quản lý rủi ro an tồn thơng tin, đặc biệt nơi lỗi đánh giá rủi ro xác định; - Người có trách nhiệm khu vực xác định có nhu cầu cải tiến Tổ chức số trường hợp yêu cầu phân phát báo cáo kết đo tới đối tác bên ngoài, bao gồm quan quản lý, bên liên quan, khách hàng nhà cung cấp Khuyến nghị rằng, báo cáo kết đo phân phát chứa liệu phù hợp cho việc phát hành bên đồng ý ban quản lý bên liên quan trước phát hành Ước lượng cải tiến Chương trình đo lường an tồn thông tin 8.1 Giới thiệu chung Tổ chức nên ước lượng thời điểm định kế hoạch nội dung sau: a) Hiệu lực Chương trình đo lường an tồn thơng tin để đảm bảo nó: 1) Đưa kết đo theo cách hiệu quả; 2) Đã thực theo kế hoạch; 3) Chỉ thay đổi ISMS triển khai và/hoặc biện pháp quản lý; 4) Chỉ thay đổi môi trường (như yêu cầu, quy định pháp lý công nghệ) b) Sự hữu ích kết đo phát triển đảm bảo chúng thỏa mãn nhu cầu thông tin có liên quan Các hành động liên quan bao gồm: 1) Xác định tiêu chí ước lượng cho Chương trình đo lường an tồn thơng tin 2) Giám sát, soát xét ước lượng đo lường ; 75 3) Thực cải tiến 8.2 Xác định tiêu chí ước lượng cho chương trình đo lường an tồn thơng tin Tổ chức nên định rõ tiêu chí cho việc ước lượng hiệu lực chương trình đo lường an tồn thơng tin tính hiệu dụng kết ước lượng phát triển Các tiêu chí nên xác định từ lúc bắt đầu triển khai chương trình đo lường an tồn thơng tin, có tính đến bối cảnh mục tiêu kỹ thuật nghiệp vụ tổ chức Những tiêu chí phù hợp tổ chức ước lượng cải tiến chương trình đo lường an tồn thơng tin triển khai là: - Những thay đổi mục tiêu nghiệp vụ tổ chức; - Những thay đổi để phù hợp với yêu cầu sách, luật pháp ràng buộc an tồn thơng tin; - Những thay đổi yêu cầu tổ chức an tồn thơng tin; - Những thay đổi rủi ro an tồn thơng tin tới tổ chức; - Việc gia tăng khả cần có liệu tinh phù hợp và/hoặc phương pháp thu thập liệu cho mục đích đo lường; - Những thay đổi để phù hợp với đối tượng đo thuộc tính Tiêu chí sau áp dụng để ước lượng kết đo phát triển: a) Các kết đo là: 1) Dễ hiểu; 2) Được thông báo thời gian; 3) Khách quan, có tính so sánh tái sử dụng b) Các quy trình thiết lập để phát triển kết đo là: 1) Được định nghĩa tốt; 2) Dễ dàng để vận hành hoạt động; 3) Việc phù hợp 76 c) Các kết đo hữu dụng cho việc nâng cao an tồn thơng tin; d) Các kết đo đáp ứng nhu cầu thông tin tương ứng tổ chức 8.3 Giám sát, soát xét ước lượng chương trình Tổ chức nên giám sát, sốt xét ước lượng Chương trình đo lường an tồn thơng tin dựa vào tiêu chí thiết lập Tổ chức nên xác định nhu cầu tiềm để cải tiến ISMP triển khai, bao gồm: a) Soát xét hay sửa đổi cấu trúc đo lường chấp nhận khơng cịn thích hợp; b) Phân bổ lại nguồn lực để hỗ trợ cho Chương trình đo lường an tồn thơng tin Tổ chức cần xác định nhu cầu tiềm để cải tiến ISMS, bao gồm phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục; sách quản lý thành văn phép so sánh phân tích xu hướng suốt q trình sốt xét tiếp sau Các kết việc ước lượng nhu cầu tiềm nhận thấy cho việc cải tiến nên thông báo tới bên liên quan phép tạo định cần thiết cho điểm cải tiến cần thiết Tổ chức cần đảm bảo thu nhận phản hồi thông tin từ bên liên quan kết việc ước lượng nhu cầu tiềm nhận thấy cho cải tiến Tổ chức cần hiểu thông tin phản hồi thông tin đầu vào quan trọng Chương trình đo lường an tồn thơng tin 8.4 Thực cải tiến chương trình Tổ chức cần đảm bảo bên liên quan nhận cải tiến cần thiết Chương trình đo lường an tồn thơng tin Những cải tiến nhận thấy cần chấp thuận ban quản lý Những kế hoạch chấp thuận cần chuyển thành tài liệu gửi tới bên liên quan 77 Tổ chức cần bảo đảm cải tiến chấp thuận Chương trình đo lường an tồn thơng tin triển khai theo kế hoạch Tổ chức áp dụng kỹ thuật quản lý dự án đề hoàn thành cải tiến Chương 3: Tổng quan tiêu chuẩn TCVN 10543 Phạm vi áp dụng Tiêu chuẩn cung cấp thêm hướng dẫn đưa tiêu chuẩn ISO/IEC 27000 để triển khai quản lý an tồn thơng tin cộng đồng chia sẻ thông tin Tiêu chuẩn cung cấp biện pháp quản lý hướng dẫn cụ thể liên quan đến việc khởi tạo, triển khai, trì cải tiến an tồn thơng tin trao đổi thông tin liên tổ chức liên ngành Tiêu chuẩn áp dụng cho tất hình thức trao đổi chia sẻ thông tin nhạy cảm, công khai lẫn riêng tư, phạm vi quốc gia lẫn quốc tế, lĩnh vực ngành nghề thị trường ngành nghề Đặc biệt, tiêu chuẩn áp dụng để trao đổi chia sẻ thông tin liên quan đến việc hỗ trợ, trì vào bảo vệ sở hạ tầng quan trọng tổ chức quốc gia Các khái niệm giải thích 2.1 Giới thiệu Hướng dẫn cụ thể hệ thống quản lý an toàn thông tin cho trao đổi thông tin liên tổ chức liên ngành đề cập điều từ điều đến điều 15 tiêu chuẩn TCVN ISO/IEC 27002:2011 đưa biện pháp quản lý bao gồm việc trao đổi thông tin song phương tổ chức, biện pháp quản lý việc phát tán thơng tin sẵn có cơng khai nói chung Tuy nhiên, số trường hợp cần chia sẻ thông tin cộng đồng tổ chức, nơi thông tin nhạy cảm cung cấp công khai ngoại trừ cho thành viên cộng đồng Thông thường, thông tin sẵn sàng sử dụng cho cá nhân 78 định tổ chức thành viên, có u cầu an tồn thơng tin khác ẩn danh thông tin Tiêu chuẩn bổ sung số biện pháp quản lý tiềm năng, cung cấp hướng dẫn bổ sung giải thích tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 để đáp ứng yêu cầu 2.2 Cộng đồng chia sẻ thông tin Để đạt hiệu quả, cộng đồng chia sẻ thông tin phải có lợi ích chung mối quan hệ khác để xác định phạm vi thông tin nhạy cảm chia sẻ Ví dụ, cộng đồng thị trường cụ thể giới hạn thành viên tổ chức ngành Ngồi ra, cịn dựa vào lợi ích chung khác vị trí địa lý quyền sở hữu chung 2.3 Quản lý cộng đồng Cộng đồng chia sẻ thông tin tạo từ tổ chức độc lập phận tổ chức Do khơng có cấu tổ chức chức quản lý rõ ràng đồng áp dụng cho tất thành viên Để quản lý an tồn thơng tin đạt hiệu lực cần có cam kết ban quản lý Do đó, cấu tổ chức chức quản lý áp dụng cho quản lý an tồn thơng tin cộng đồng phải xác định rõ ràng Sự khác tổ chức thành viên cộng đồng chia sẻ thông tin phải xem xét Sự khác bao gồm: - Các tổ chức thành viên vận hành hệ thống quản lý an tồn thơng tin riêng hay chưa, - Các quy tắc tổ chức thành viên việc bảo vệ tài sản tiết lộ thông tin 2.4 Các thực thể hỗ trợ Các cộng đồng chia sẻ thông tin lựa chọn thiết lập định thực thể hỗ trợ tập trung để tổ chức hỗ trợ chia sẻ thơng tin Thực thể cung cấp nhiều biện pháp quản lý hỗ trợ ẩn danh nguồn gốc bên nhận dễ dàng hiệu lực so với thành viên trao đổi thông tin trực tiếp Có số mơ hình tổ chức khác sử dụng để tạo thực thể hỗ trợ Phụ lục D 79 tiêu chuẩn mơ tả hai mơ hình phổ biến Thực thể truyền thông thông tin tin cậy (TICE) Điểm báo cáo, tư vấn cảnh báo (WARP) 2.5 Trao đổi thông tin liên ngành Nhiều cộng đồng chia sẻ thông tin ngành, đương nhiên có phạm vi lợi ích chung Tuy nhiên, thơng tin chia sẻ cộng đồng có lợi cho cộng đồng chia sẻ thơng tin khác thiết lập ngành khác Trong trường hợp vậy, thiết lập cộng đồng chia sẻ thông tin cộng đồng chia sẻ thông tin dựa vài lợi ích chung chất thơng tin chia sẻ Đó trao đổi thông tin liên ngành Trao đổi thông tin liên ngành có thuận lợi lớn thực thể hỗ trợ tồn cộng đồng chia sẻ thơng tin, sau biện pháp quản lý thỏa thuận trao đổi thông tin cần thiết thiết lập thực thể hỗ trợ thành viên tất cộng đồng Một số trao đổi thông tin liên ngành yêu cầu ẩn danh tổ chức nguồn tổ chức nhận, điều đạt cách sử dụng thực thể hỗ trợ 2.6 Tính phù hợp Bất kỳ hệ thống quản lý an tồn thơng tin (ISMS) thiết lập, vận hành tuân theo TCVN ISO/IEC 27001:2009 sử dụng biện pháp quản lý TCVN ISO/IEC 27002:2011, tiêu chuẩn nguồn khác đánh giá phù hợp với TCVN ISO/IEC 27001:2009 mà không cần sửa đổi bổ sung thêm Tuy nhiên, có số điểm TCVN ISO/IEC 27001:2009 cần giải thích áp dụng cho cộng đồng chia sẻ thông tin (hoặc cho trao đổi thông tin liên ngành, cộng đồng cộng đồng) Điểm cần giải thích định nghĩa tổ chức liên quan TCVN ISO/IEC 27001:2009 yêu cầu ISMS thiết lập tổ chức vận hành bối cảnh hoạt động nghiệp vụ tổ chức nói chung rủi ro mà tổ chức phải đối mặt (4.1 TCVN ISO/IEC 27001:2009) Trong bối cảnh 80 này, tổ chức liên quan cộng đồng chia sẻ thông tin Tuy nhiên, thành viên cộng đồng chia sẻ thơng tin tự tổ chức - xem Hình Ak tổ chức thành viên k cộng đồng (k= n), bao gồm thực thể hỗ trợ Hình - Các cộng đồng tổ chức Thứ hai, nhiều cộng đồng chia sẻ thông tin, tất người tổ chức thành viên phép truy nhập vào thông tin nhạy cảm chia sẻ thành viên Trong trường hợp này, phần thành viên tổ chức nằm phạm vi hệ thống quản lý an tồn thơng tin cộng đồng phần nằm ngồi Phần nằm phạm vi cộng đồng truy nhập vào thơng tin cộng đồng thơng tin đánh dấu để phát hành diện rộng - xem Hình Hình - Thành viên có phần nằm phạm vi chia sẻ thông tin 81 Các thành viên cộng đồng chia sẻ thông tin có hệ thống quản lý an tồn thơng tin riêng, số quy trình nằm phạm vi hệ thống quản lý thành viên lẫn cộng đồng Trong trường hợp này, xảy khả lý thuyết u cầu khơng tương thích mâu thuẫn quy trình Đây trường hợp bị loại bỏ khỏi phạm vi hệ thống quản lý an tồn thơng tin thành viên TCVN ISO/IEC 27001:2009 Khi xác định phương pháp đánh giá rủi ro TCVN ISO/IEC 27001:2009), cộng đồng chia sẻ thông tin cần thấy tác động rủi ro khác thành viên khác cộng đồng Do đó, cộng đồng cần lựa chọn phương pháp đánh giá rủi ro để xử lý tác động khơng đồng nhất, tiêu chí đánh giá rủi ro Việc đo hiệu lực biện pháp quản lý lựa chọn (TCVN ISO/IEC 27001:2009) cần tham gia tất thành viên cộng đồng chia sẻ thông tin Tất thành viên cần cung cấp phản hồi thường xuyên cho nhà cung cấp thông tin cộng đồng tất liên quan đến hiệu lực biện pháp quản lý môi trường riêng họ 2.7 Mô hình trao đổi thơng tin Trao đổi thơng tin nhạy cảm nêu tiêu chuẩn hình thức - văn bản, lời nói điện tử - miễn đáp ứng yêu cầu quản lý lựa chọn Trong phần lại tiêu chuẩn này, trao đổi thông tin nhạy cảm cá nhân mô tả theo dạng bên tham gia sau: - Nguồn gốc danh mục thông tin cá nhân tổ chức tạo danh mục thơng tin đó; nguồn gốc khơng thiết thành viên cộng đồng - Bên khởi tạo thành viên cộng đồng chia sẻ thông tin thực khởi đầu phổ biến thông tin cộng đồng Bên khởi tạo phổ biến thông tin trực tiếp, gửi thông tin tới thực thể hỗ trợ để phổ biến Bên khởi tạo nguồn gốc thông tin không thiết phải một; bên khởi tạo che giấu định danh nguồn gốc Các cộng đồng cung cấp phương tiện phép thành viên che giấu định danh riêng họ bên khởi tạo 82 - Bên nhận bên nhận thông tin phổ biến cộng đồng Bên nhận không thiết thành viên cộng đồng thông tin định danh sẵn sàng để phổ biến diện rộng Các cộng đồng cung cấp phương tiện phép bên nhận che giấu định danh họ từ thơng tin bên khởi tạo Chính sách an tồn thơng tin 3.1 Chính sách an tồn thơng tin 3.1.1 Tài liệu sách an tồn thơng tin Hướng dẫn triển khai: Tài liệu sách an tồn thơng tin phải xác định cách thành viên cộng đồng làm việc để thiết lập sách quản lý an tồn thơng tin định hướng cho cộng đồng chia sẻ thông tin Tài liệu phải sẵn sàng cho tất nhân viên tham gia vào việc chia sẻ thông tin cộng đồng Chính sách hạn chế phổ biến tài liệu tới nhân viên khác thành viên cộng đồng Tài liệu sách an tồn thơng tin phải xác định sách phổ biến đánh dấu thông tin sử dụng cộng đồng 3.1.2 Sốt xét sách an tồn thơng tin Hướng dẫn triển khai: Đầu vào quy trình sốt xét ban quản lý phải bao gồm thông tin thay đổi đáng kể toàn thành viên cộng đồng chia sẻ thông tin 83 C PHẦN KẾT LUẬN Trên tồn trình bày em tiểu luận “ Tìm hiểu tiêu chuẩn TCVN hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) thực tiễn áp dụng” Bài tiểu luận nêu kỹ thuật an toàn hướng dẫn triển khai hệ thống quản lý an tồn thơng tin cách thức quản lý an tồn thơng tin đo lường quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành Trong trình nghiên cứu, tìm hiểu hoàn thành tiểu luận em vãn cịn nhiều thiếu sót Em mong nhận nhận xét thầy cô tiểu luận em hoàn thiện Em xin chân thành cảm ơn ! 84 TÀI LIỆU THAM KHẢO https://hethongphapluat.com/tieu-chuan-quoc-gia-tcvn-10541-2014-iso-iec- 27003-2010-ve-cong-nghe-thong-tin-cac-ky-thuat-an-toan-huong-dan-trien-khaihe-thong-quan-ly-an-toan-thong-tin.html https://hethongphapluat.com/tieu-chuan-quoc-gia-tcvn-10542-2014-iso-iec- 27004-2009-ve-cong-nghe-thong-tin-cac-ky-thuat-an-toan-quan-ly-an-toan-thongtin-do-luong.html https://hethongphapluat.com/tieu-chuan-quoc-gia-tcvn-10543-2014-iso-iec- 27010-2012-ve-cong-nghe-thong-tin-cac-ky-thuat-an-toan-quan-ly-an-toan-traodoi-thong-tin-lien-to-chuc-lien-nganh.html 85 ... luận ? ?Tìm hiểu tiêu chuẩn TCVN hệ thống quản lý an tồn thơng tin ( TCVN 10541, 10542, 10543 ) thực tiễn áp dụng? ?? tìm hiểu cách xây dựng hệ thống an tồn thông tin cho doanh nghiệp, giúp cho doanh... 27001:200 5) “Các mục tiêu quản lý biện pháp quản lý? ?? TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:200 5) sử dụng để lựa chọn mục tiêu quản lý biện pháp quản lý cho xử lý rủi ro Nếu khơng tìm mục tiêu quản lý. .. phần đầu vào để ban quản lý đánh giá đưa định Việc chuẩn bị cho Thông báo áp dụng (SoA) thuộc nỗ lực quản lý an tồn thơng tin Mức độ chi tiết thông tin mô tả biện pháp quản lý phải ? ?áp ứng yêu

Ngày đăng: 10/01/2022, 18:37

HÌNH ẢNH LIÊN QUAN

Hình 1- Các giai đoạn của dự án ISMS 2.2. Cấu trúc chung của từng điều - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 1 Các giai đoạn của dự án ISMS 2.2. Cấu trúc chung của từng điều (Trang 5)
Hình 2- Chú thích luồng công việc - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 2 Chú thích luồng công việc (Trang 7)
Hình 3- Tổng quan về cách thức để được ban quản lý phê chuẩn cho khởi động dự án ISMS - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 3 Tổng quan về cách thức để được ban quản lý phê chuẩn cho khởi động dự án ISMS (Trang 9)
Hình 4- Tổng quan về xác định phạm vi, các giới hạn và chính sách ISMS - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 4 Tổng quan về xác định phạm vi, các giới hạn và chính sách ISMS (Trang 19)
Hình 5– Tổng quan về giai đoạn tiến hành phân tích các yêu cầu an toàn thông tin - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 5 – Tổng quan về giai đoạn tiến hành phân tích các yêu cầu an toàn thông tin (Trang 26)
Hình 6- Tổng quan về giai đoạn đánh giá rủi ro - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 6 Tổng quan về giai đoạn đánh giá rủi ro (Trang 32)
Hình 7- Tổng quan về giai đoạn thiết kế ISMS - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 7 Tổng quan về giai đoạn thiết kế ISMS (Trang 38)
Hình 1 mô tả mối quan hệ giữa đầu và o- đầu ra theo chu kỳ của các hoạt động đo lường theo mô hình Lập kế hoạch - Thực hiện - Kiểm tra - Hành động (PDCA: Plan-Do-Check-Act), như quy định trong tiêu chuẩn TCVN ISO/IEC 27001:2009 - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 1 mô tả mối quan hệ giữa đầu và o- đầu ra theo chu kỳ của các hoạt động đo lường theo mô hình Lập kế hoạch - Thực hiện - Kiểm tra - Hành động (PDCA: Plan-Do-Check-Act), như quy định trong tiêu chuẩn TCVN ISO/IEC 27001:2009 (Trang 51)
3.4. Mô hình đo lường an toàn thông tin 3.4.1. Tổng quan về mô hình đo lường - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
3.4. Mô hình đo lường an toàn thông tin 3.4.1. Tổng quan về mô hình đo lường (Trang 54)
Bảng 1- Ví dụ về số đo cơ bản và phương pháp đo - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Bảng 1 Ví dụ về số đo cơ bản và phương pháp đo (Trang 57)
Một ví dụ về mối quan hệ của các thành phần khác của việc ứng dụng mô hình đo lường an toàn thông tin như số đo cơ bản, hàm đo lường và các số đo dẫn xuất được trình bày trong Bảng 2. - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
t ví dụ về mối quan hệ của các thành phần khác của việc ứng dụng mô hình đo lường an toàn thông tin như số đo cơ bản, hàm đo lường và các số đo dẫn xuất được trình bày trong Bảng 2 (Trang 58)
Bảng 3- Ví dụ về chỉ báo và mô hình phân tích - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Bảng 3 Ví dụ về chỉ báo và mô hình phân tích (Trang 59)
Bảng 4– Ví dụ về kết quả đo và mô hình phân tích - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Bảng 4 – Ví dụ về kết quả đo và mô hình phân tích (Trang 60)
Hình 2- Thành viên có một phần nằm trong phạm vi chia sẻ thông tin. - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 2 Thành viên có một phần nằm trong phạm vi chia sẻ thông tin (Trang 81)
Hình 1- Các cộng đồng và các tổ chức - Tìm hiểu bộ tiêu chuẩn TCVN về hệ thống quản lý an toàn thông tin ( TCVN 10541, 10542, 10543 ) và thực tiễn áp dụng
Hình 1 Các cộng đồng và các tổ chức (Trang 81)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w