4/ Xây dựng chính sách an toàn thông tin để phối hợp với các công nghệ được sử dụng
4.3/ Phân loại và kiểm soát tài nguyên
4.3.1/ Trách nhiệm đối với tài sản
Mục tiêu: Nhằm hoàn thành và duy trì các biện pháp bảo vệ thích hợp đối với tài sản của
tổ chức
Kiểm kê tài sản: Mọi tài sản cần được xác định rõ ràng và cần thực hiện, duy trì việc kiểm kê mọi tài sản quan trọng.
Quyền sở hữu tài sản: Mọi thông tin và tài sản gắn với phương tiện xử lý thông tin phải được quản lý, kiểm soát bởi bộ phận được chỉ định của tổ chức.
Sử dụng hợp lý tài sản: Các quy tắc cho việc sử dụng hợp lý thông tin và tài sản gắn với phương tiện xử lý thông tin phải được xác định, ghi thành văn bản và triển khai.
4.3.2/ Phân loại thông tin
Mục tiêu: Nhằm đảm bảo thông tin sẽ có mức độ bảo vệ thích hợp.
Phân loại thông tin :
Mức độ bảo mật của dữ liệu Các trạng thái của dữ liệu
4.4/ An toàn nhân sự
4.4.1/ Trước khi tuyển dụng:
Đảm bảo rằng các nhân viên, nhà thầu và các bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với vai trò được giao, đồng thời giảm thiểu các rủi ro về việc đánh cắp, gian lận hoặc lạm dụng chức năng, quyền hạn.
1. Các vai trò và trách nhiệm đảm bảo an toàn của các nhân viên, nhà thầu và bên thứ ba cần được xác định và ghi thành văn bản phù hợp với chính sách an toàn thông tin của tổ chức.
2. Sàng lọc: Việc xác minh lai lịch của mọi ứng viên tuyển dụng, nhà thầu và bên thứ ba phải được thực hiện phù hợp với pháp luật, quy định, đạo đức và phù hợp với các yêu cầu của công việc, phân loại thông tin được truy cập và các rủi ro có thể nhận thấy được.
39 3. Điều khoản và điều kiện tuyển dụng: Như một phần của các ràng buộc trong hợp đồng, các nhân viên, nhà thầu và bên thứ ba phải đồng ý và ký vào các điều khoản và điều kiện của hợp đồng tuyển dụng. Việc này làm rõ trách nhiệm của người được tuyển dụng và tổ chức tuyển dụng đối với an toàn thông tin.
4.4.2/ Trong thời gian làm việc:
Đảm bảo rằng mọi nhân viên của tổ chức, nhà thầu và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan tới an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra.
1. Trách nhiệm ban quản lý cần phải yêu cầu các nhân viên, nhà thầu và bên thứ ba chấp hành an toàn thông tin phù hợp với các các thủ tục và các chính sách an toàn thông tin đã được thiết lập của tổ chức.
2. Nhận thức, giáo dục và đào tạo về an toàn thông tin: Tất cả các nhân viên trong tổ chức, nhà thầu và các bên thứ ba cần phải được đào tạo nhận thức và cập nhật thường xuyên những thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức như một phần công việc bắt buộc.
3. Xử lý kỷ luật: Phải có hình thức xử lý kỷ luật đối với các nhân viên vi phạm về an toàn thông tin.
4.4.3/ Chấm dứt hoặc thay đổi công việc:
Nhằm đảm bảo rằng các nhân viên của tổ chức, nhà thầu và các bên thứ ba nghỉ việc hoặc thay đổi vị trí một cách có tổ chức.
1. Trách nhiệm kết thúc hợp đồng: Các bên có trách nhiệm thỏa thuận các điều khoản phù hợp với lợi ích của cả hai bên để kết thúc hợp đồng.
2. Bàn giao tài sản: Bàn giao tài sản cho các bên sau khi đã kiểm tra kỹ lưỡng và đạt được thảo thuận phù hợp.
3. Hủy bỏ quyền truy cập: Hủy bỏ các quyền truy cập vào các khu vực an toàn vật lý cũng như quyền truy cập vào mạng nội bộ của công ty để tránh mất mát tài sản, dữ liệu.
40
4.5/ Bảo vệ môi trường và vật lý 4.5.1/ An toàn khu vực 4.5.1/ An toàn khu vực
Mục tiêu của chính sách này là ngăn chặn truy cập vật lý trái phép vào cơ sở vật chất, gây thiệt hại đến thông tin hoặc cơ sở kinh doanh. Các hệ thống xử lý thông tin và thông tin quan trọng nên được đặt trong khu vực an toàn được bảo vệ bởi một vành đai an toàn được xác định, với các rào cản an ninh thích hợp (ví dụ như tường, sàn và trần nhà cố định, cửa có khóa mở bằng thẻ từ hay chìa khóa) và có người kiểm soát (ví dụ như nhân viên bàn an ninh/ bảo vệ).
Chính sách cần nêu rõ rằng: chỉ có những người có thẩm quyền hoặc những người được ủy quyền chính thức (bằng văn bản có chữ ký, đóng dấu) mới được quyền truy cập vào các khu vực an ninh này.
Trong một vài trường hợp cần thiết, các nhân viên an ninh có thể yêu cầu người ủy quyền xác nhận qua điện thoại để người truy cập được tiếp cận khu vực an ninh này. Trong khu vực bảo mật cao hơn, những người cần truy cập vào các khu vực này cần được sự thông qua từ những người quản lý cấp cao và có công văn chuyển trực tiếp đến bàn an ninh.
Nếu có du khách hoặc thợ sữa chữa cần vào những khu vực nhạy cảm này thì họ nên được đi kèm với một nhân viên có thẩm quyền ở khắp mọi nơi. Nếu cần thiết thì danh tính của họ phải được xác nhận và lưu lại trước khi họ tiếp cận vào các khu vực này. Ngoài ra, có thể họ phải gửi lại tất cả các thiết bị điện tử ( điện thoại, máy ảnh, usb, ...) tại bàn an ninh (hoặc tủ cá nhân) trước khi được tiếp cận các khu vực này.
4.5.2/ An toàn thiết bị
Tổ chức cần áp dụng các chính sách an ninh và kiểm soát để đảm bảo an toàn thông tin khi nhân viên sử dụng các thiết bị ngoài phạm vi của công ty. Đặc biệt, khi nhân viên sử dụng bất kỳ thiết bị cá nhân nào mà không phải của công ty (đem từ bên ngoài vào) phải được chính thức phê duyệt (đặc biệt là laptop, máy PDA, máy chụp hình, điện thoại di động, usb, các thiết bị xử lý và lưu trữ thông tin khác, ...) từ quản lý chuyên ngành hoặc từ quản lý cấp cao.
Ngoài ra, trong chính sách cần chú ý đến các vấn đề khác về sử dụng thiết bị như: Bảo vệ mật khẩu của thiết bị ( laptop, usb, ...)
41 Tắt các thiết bị sau khi sử dụng
...
4.6/ Quản lý truyền thông và vận hành4.6.1/ Sao lưu dự phòng 4.6.1/ Sao lưu dự phòng
Mục tiêu: Nhằm duy trì sự toàn vẹn và sẵn sàng của thông tin cũng như các phương tiện
xử lý thông tin.
4.6.2/ Quản lý an toàn mạng
Mục tiêu: Nhằm đảm bảo an toàn cho thông tin trên mạng và an toàn cho cơ sở hạ tầng
hỗ trợ.
Kiểm soát mạng
An toàn cho các dịch vụ mạng Sử dụng các công nghệ sau:
Quản lý việc sử dụng email: Email Activity (Spector 360) Quản lý việc duyệt web: Web Sites Visited (Spector 360)
Quản lý việc sao chép dữ liệu: Document Tracking (Spector 360)
Quản lý việc truyền tải dữ liệu trên mạng: Files Transferred và Network Activity Recorder ( Spector 360)
4.6.3/ Quản lý phương tiện
Mục tiêu: Nhằm ngăn ngừa sự tiết lộ, sửa đổi, xoá bỏ hoặc phá hoại bất hợp pháp các tài
sản và sự gián đoạn các hoạt động nghiệp vụ. Quản lý các phương tiện có thể di dời Loại bỏ phương tiện
Các thủ tục xử lý thông tin An toàn cho các tài liệu hệ thống
42
4.7/ Kiểm soát truy cập 4.7.1/ Mục đích 4.7.1/ Mục đích
Trong lĩnh vực an ninh, thuật ngữ kiểm soát truy cập (access control) ám chỉ đến các thi hành nhằm hạn chế sự thâm nhập vào một tòa nhà, một phòng làm việc, hoặc một tập tin dữ liệu nào đó, chỉ cho phép những người đã được ủy quyền tiếp cận mà thôi.
Hầu hết các công ty đều cung cấp nhiều đặc quyền cho người dùng hơn so với cần thiết. Việc giám sát truy cập dữ liệu của người dùng và theo dõi việc truy cập không xác định đối với các dữ liệu nhạy cảm là cực kỳ quan trọng và không thể thiếu.
Việc tạo ra các chính sách truy cập nhằm giới hạn quyền truy cập dữ liệu của người dùng một cách chặt chẽ là cần thiết trong vấn đề bảo mật thông tin. Các quy định này chỉ cho phép nhân viên truy cập những dữ liệu tương ứng cần thiết với công việc của họ, đồng thời thiết lập các điều khiển nhằm bắt buộc nhân viên trong công ty phải tuân thủ quy định nội bộ đã xây dựng. Ví dụ: Ra cảnh báo khi ai đó vốn bình thường chỉ làm việc với 10 tập tài liệu mỗi ngày, đột nhiên bắt đầu truy cập dữ liệu với số lượng lớn hơn.
4.7.2/ Các chính sách
4.7.2.1/ Trách nhiệm truy cập người dùng
Ban hành một thông báo có nội dung rằng mỗi nhân viên cần phải nhận thức được chính sách của công ty về an ninh thông tin. Đặc biệt, sự chú ý của nhân viên nên được tập trung vào trách nhiệm bảo vệ tài sản khỏi những truy cập trái phép, bị tiết lộ, sửa đổi, phá hủy hoặc can thiệp, phân loại thông tin và xử lý các quy tắc, điều khiển truy cập (cả về vật lý và logic), các thủ tục báo cáo sự cố, và thực tế là người lao động phải chịu trách nhiệm đối với hành vi thiếu sót của mình. Mô tả công việc cần chỉ ra rõ rằng hành vi vi phạm kiểm soát an ninh thông tin có thể được coi là một tội theo chính sách kỷ luật của công ty và khi họ vi phạm , trong trường hợp nặng, có thể dẫn đến sa thải.
4.7.2.2/ Quản lý truy cập người dùng
Điều khiển truy cập là khả năng để chúng ta có thể cho phép hoặc từ chối một chủ thể (một người, một quy trình – mang tính chủ động) sử dụng một đối tượng (một hệ thống, một tập tin, ... - mang tính bị động) nào đấy trong hệ thống.
Để quản lý truy cập người dùng có thể sự dụng các biện pháp sau:
43 1. URL Filtering: Ngăn chặn truy cập các website đã được liệt kê.
2. Block những website đã được khai báo trước
Chú ý: sau khi áp đặt hành động block đối với các website thuộc loại bị cấm. Nhà quản trị cần khai báo cho phép truy cập tất cả các trang web để có thể truy cập các thể loại website không bị cấm.
3. Block truy cập những website cụ thể: khai báo trong mục Additional URLs/sites to block: VD: www.zing.vn.
4. Xác định những users/groups không bị áp đặt chính sách cấm.
Xác định thời gian áp đặt chính sách cũng nhưng những users/group : (ở trong mục web filtering profile->Filter ). Ở đây có 3 tham số chính để xác định:
Users/group: chính sách được áp đặt cho những ai (lưu ý mode xác thực với gateway phải giống nhau mới gom nhóm được).
Time period: xác định khoảng thời gian thi hành chính sách. Filter Action: xác định hành động nếu user vi phạm chính sách.
5. Application control rule: block hay allow những luồng traffic của ứng dụng xác định. Mặc định thì tất cả những luồng của tất cả những ứng dụng đểu được cho phép.
Tổ chức quản lý tài khoản của hệ thống thông tin, bao gồm: tạo mới một tài khoản, kích hoạt tài khoản đã tạo, sửa đổi thông tin tài khoản, vô hiệu hóa và loại bỏ tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và sử dụng các phần mềm để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
Quản lý giới hạn số lần đăng nhập sai 03 lần liên tiếp của một tài khoản. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, qua mạng Internet…) tới hệ thống thông tin bao gồm cả sự truy cập có chức năng đặc quyền. Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy cập từ xa và chỉ những người được phép mới có thể truy cập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển truy cập từ xa.
Cần thiết lập phương pháp hạn chế truy cập mạng không dây (Wifi), giám sát và điều khiển truy cập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.
44 Hệ thống thông tin trong máy chủ cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống, ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
Tổ chức quản lý định danh, phân quyền người sử dụng theo nhóm (phòng, ban). Quy định về quyền hạn, giới hạn về thời gian truy cập vào hệ thống thông tin của người sử dụng.
Hệ thống thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy cập công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.
45
4.8/ Phát triển và duy trì hệ thống
Tính đúng đắn trong xử lý của các ứng dụng
Mục tiêu: Nhằm ngăn chặn các lỗi, mất mát, sửa đổi hoặc sử dụng trái phép thông
tin trong các ứng dụng.
Kiểm tra tính hợp lệ của dữ liệu nhập vào Kiểm soát việc xử lý nội bộ
Tính toàn vẹn thông điệp
Kiểm tra tính hợp lệ của dữ liệu đầu ra
Quản lý mã hóa
Mục đích: Nhằm bảo vệ tính bí mật, xác thực hoặc toàn vẹn của thông tin bằng các
biện pháp mã hóa.
Chính sách sử dụng các biện pháp quản lý mã hóa Quản lý khóa
An toàn cho các tệp tin hệ thống
46 Quản lý các phần mềm điều hành
Bảo vệ dữ liệu kiểm tra hệ thống
Quản lý truy cập đến mã nguồn của chương trình
Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển
Mục tiêu: Nhằm duy trì an toàn của thông tin và các phần mềm hệ thống ứng dụng
Các thủ tục quản lý thay đổi
Kiểm soát kỹ thuật các ứng dụng sau thay đổi của hệ thống điều hành. Hạn chế thay đổi các gói phần mềm
Sự rò rỉ thông tin
Phát triển phần mềm thuê khoán
Quản lý các điểm yếu về kỹ thuật
Mục tiêu: Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác
các điểm yếu kỹ thuật đã được công bố.
Quản lý sự cố bảo mật thông tin
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng, tin (traffic) tăng lên bất ngờ, hệ thống hoạt động chậm khác thường, cần thực hiện các bước cơ bản sau:
1. Ngắt kết nối ra khỏi mạng.
2. Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ.
3. Phối hợp với các cơ quan, tổ chức chuyên trách về an ninh mạng để tìm ra nguyên nhân và cách khắc phục.
4. Khôi phục hệ thống bằng cách chuyển dữ liệu sao lưu mới nhất để hệ thống hoạt động.
4.9/ Quản lý sự liên tục trong kinh doanh
Mục tiêu: Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quy
trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm hoạ và đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.