4/ Xây dựng chính sách an toàn thông tin để phối hợp với các công nghệ được sử dụng
4.5/ Bảo vệ môi trường và vật lý
4.5.1/ An toàn khu vực
Mục tiêu của chính sách này là ngăn chặn truy cập vật lý trái phép vào cơ sở vật chất, gây thiệt hại đến thông tin hoặc cơ sở kinh doanh. Các hệ thống xử lý thông tin và thông tin quan trọng nên được đặt trong khu vực an toàn được bảo vệ bởi một vành đai an toàn được xác định, với các rào cản an ninh thích hợp (ví dụ như tường, sàn và trần nhà cố định, cửa có khóa mở bằng thẻ từ hay chìa khóa) và có người kiểm soát (ví dụ như nhân viên bàn an ninh/ bảo vệ).
Chính sách cần nêu rõ rằng: chỉ có những người có thẩm quyền hoặc những người được ủy quyền chính thức (bằng văn bản có chữ ký, đóng dấu) mới được quyền truy cập vào các khu vực an ninh này.
Trong một vài trường hợp cần thiết, các nhân viên an ninh có thể yêu cầu người ủy quyền xác nhận qua điện thoại để người truy cập được tiếp cận khu vực an ninh này. Trong khu vực bảo mật cao hơn, những người cần truy cập vào các khu vực này cần được sự thông qua từ những người quản lý cấp cao và có công văn chuyển trực tiếp đến bàn an ninh.
Nếu có du khách hoặc thợ sữa chữa cần vào những khu vực nhạy cảm này thì họ nên được đi kèm với một nhân viên có thẩm quyền ở khắp mọi nơi. Nếu cần thiết thì danh tính của họ phải được xác nhận và lưu lại trước khi họ tiếp cận vào các khu vực này. Ngoài ra, có thể họ phải gửi lại tất cả các thiết bị điện tử ( điện thoại, máy ảnh, usb, ...) tại bàn an ninh (hoặc tủ cá nhân) trước khi được tiếp cận các khu vực này.
4.5.2/ An toàn thiết bị
Tổ chức cần áp dụng các chính sách an ninh và kiểm soát để đảm bảo an toàn thông tin khi nhân viên sử dụng các thiết bị ngoài phạm vi của công ty. Đặc biệt, khi nhân viên sử dụng bất kỳ thiết bị cá nhân nào mà không phải của công ty (đem từ bên ngoài vào) phải được chính thức phê duyệt (đặc biệt là laptop, máy PDA, máy chụp hình, điện thoại di động, usb, các thiết bị xử lý và lưu trữ thông tin khác, ...) từ quản lý chuyên ngành hoặc từ quản lý cấp cao.
Ngoài ra, trong chính sách cần chú ý đến các vấn đề khác về sử dụng thiết bị như: Bảo vệ mật khẩu của thiết bị ( laptop, usb, ...)
41 Tắt các thiết bị sau khi sử dụng
...
4.6/ Quản lý truyền thông và vận hành4.6.1/ Sao lưu dự phòng 4.6.1/ Sao lưu dự phòng
Mục tiêu: Nhằm duy trì sự toàn vẹn và sẵn sàng của thông tin cũng như các phương tiện
xử lý thông tin.
4.6.2/ Quản lý an toàn mạng
Mục tiêu: Nhằm đảm bảo an toàn cho thông tin trên mạng và an toàn cho cơ sở hạ tầng
hỗ trợ.
Kiểm soát mạng
An toàn cho các dịch vụ mạng Sử dụng các công nghệ sau:
Quản lý việc sử dụng email: Email Activity (Spector 360) Quản lý việc duyệt web: Web Sites Visited (Spector 360)
Quản lý việc sao chép dữ liệu: Document Tracking (Spector 360)
Quản lý việc truyền tải dữ liệu trên mạng: Files Transferred và Network Activity Recorder ( Spector 360)
4.6.3/ Quản lý phương tiện
Mục tiêu: Nhằm ngăn ngừa sự tiết lộ, sửa đổi, xoá bỏ hoặc phá hoại bất hợp pháp các tài
sản và sự gián đoạn các hoạt động nghiệp vụ. Quản lý các phương tiện có thể di dời Loại bỏ phương tiện
Các thủ tục xử lý thông tin An toàn cho các tài liệu hệ thống
42
4.7/ Kiểm soát truy cập 4.7.1/ Mục đích 4.7.1/ Mục đích
Trong lĩnh vực an ninh, thuật ngữ kiểm soát truy cập (access control) ám chỉ đến các thi hành nhằm hạn chế sự thâm nhập vào một tòa nhà, một phòng làm việc, hoặc một tập tin dữ liệu nào đó, chỉ cho phép những người đã được ủy quyền tiếp cận mà thôi.
Hầu hết các công ty đều cung cấp nhiều đặc quyền cho người dùng hơn so với cần thiết. Việc giám sát truy cập dữ liệu của người dùng và theo dõi việc truy cập không xác định đối với các dữ liệu nhạy cảm là cực kỳ quan trọng và không thể thiếu.
Việc tạo ra các chính sách truy cập nhằm giới hạn quyền truy cập dữ liệu của người dùng một cách chặt chẽ là cần thiết trong vấn đề bảo mật thông tin. Các quy định này chỉ cho phép nhân viên truy cập những dữ liệu tương ứng cần thiết với công việc của họ, đồng thời thiết lập các điều khiển nhằm bắt buộc nhân viên trong công ty phải tuân thủ quy định nội bộ đã xây dựng. Ví dụ: Ra cảnh báo khi ai đó vốn bình thường chỉ làm việc với 10 tập tài liệu mỗi ngày, đột nhiên bắt đầu truy cập dữ liệu với số lượng lớn hơn.
4.7.2/ Các chính sách
4.7.2.1/ Trách nhiệm truy cập người dùng
Ban hành một thông báo có nội dung rằng mỗi nhân viên cần phải nhận thức được chính sách của công ty về an ninh thông tin. Đặc biệt, sự chú ý của nhân viên nên được tập trung vào trách nhiệm bảo vệ tài sản khỏi những truy cập trái phép, bị tiết lộ, sửa đổi, phá hủy hoặc can thiệp, phân loại thông tin và xử lý các quy tắc, điều khiển truy cập (cả về vật lý và logic), các thủ tục báo cáo sự cố, và thực tế là người lao động phải chịu trách nhiệm đối với hành vi thiếu sót của mình. Mô tả công việc cần chỉ ra rõ rằng hành vi vi phạm kiểm soát an ninh thông tin có thể được coi là một tội theo chính sách kỷ luật của công ty và khi họ vi phạm , trong trường hợp nặng, có thể dẫn đến sa thải.
4.7.2.2/ Quản lý truy cập người dùng
Điều khiển truy cập là khả năng để chúng ta có thể cho phép hoặc từ chối một chủ thể (một người, một quy trình – mang tính chủ động) sử dụng một đối tượng (một hệ thống, một tập tin, ... - mang tính bị động) nào đấy trong hệ thống.
Để quản lý truy cập người dùng có thể sự dụng các biện pháp sau:
43 1. URL Filtering: Ngăn chặn truy cập các website đã được liệt kê.
2. Block những website đã được khai báo trước
Chú ý: sau khi áp đặt hành động block đối với các website thuộc loại bị cấm. Nhà quản trị cần khai báo cho phép truy cập tất cả các trang web để có thể truy cập các thể loại website không bị cấm.
3. Block truy cập những website cụ thể: khai báo trong mục Additional URLs/sites to block: VD: www.zing.vn.
4. Xác định những users/groups không bị áp đặt chính sách cấm.
Xác định thời gian áp đặt chính sách cũng nhưng những users/group : (ở trong mục web filtering profile->Filter ). Ở đây có 3 tham số chính để xác định:
Users/group: chính sách được áp đặt cho những ai (lưu ý mode xác thực với gateway phải giống nhau mới gom nhóm được).
Time period: xác định khoảng thời gian thi hành chính sách. Filter Action: xác định hành động nếu user vi phạm chính sách.
5. Application control rule: block hay allow những luồng traffic của ứng dụng xác định. Mặc định thì tất cả những luồng của tất cả những ứng dụng đểu được cho phép.
Tổ chức quản lý tài khoản của hệ thống thông tin, bao gồm: tạo mới một tài khoản, kích hoạt tài khoản đã tạo, sửa đổi thông tin tài khoản, vô hiệu hóa và loại bỏ tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và sử dụng các phần mềm để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
Quản lý giới hạn số lần đăng nhập sai 03 lần liên tiếp của một tài khoản. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, qua mạng Internet…) tới hệ thống thông tin bao gồm cả sự truy cập có chức năng đặc quyền. Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy cập từ xa và chỉ những người được phép mới có thể truy cập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển truy cập từ xa.
Cần thiết lập phương pháp hạn chế truy cập mạng không dây (Wifi), giám sát và điều khiển truy cập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.
44 Hệ thống thông tin trong máy chủ cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống, ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
Tổ chức quản lý định danh, phân quyền người sử dụng theo nhóm (phòng, ban). Quy định về quyền hạn, giới hạn về thời gian truy cập vào hệ thống thông tin của người sử dụng.
Hệ thống thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy cập công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.
45
4.8/ Phát triển và duy trì hệ thống
Tính đúng đắn trong xử lý của các ứng dụng
Mục tiêu: Nhằm ngăn chặn các lỗi, mất mát, sửa đổi hoặc sử dụng trái phép thông
tin trong các ứng dụng.
Kiểm tra tính hợp lệ của dữ liệu nhập vào Kiểm soát việc xử lý nội bộ
Tính toàn vẹn thông điệp
Kiểm tra tính hợp lệ của dữ liệu đầu ra
Quản lý mã hóa
Mục đích: Nhằm bảo vệ tính bí mật, xác thực hoặc toàn vẹn của thông tin bằng các
biện pháp mã hóa.
Chính sách sử dụng các biện pháp quản lý mã hóa Quản lý khóa
An toàn cho các tệp tin hệ thống
46 Quản lý các phần mềm điều hành
Bảo vệ dữ liệu kiểm tra hệ thống
Quản lý truy cập đến mã nguồn của chương trình
Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển
Mục tiêu: Nhằm duy trì an toàn của thông tin và các phần mềm hệ thống ứng dụng
Các thủ tục quản lý thay đổi
Kiểm soát kỹ thuật các ứng dụng sau thay đổi của hệ thống điều hành. Hạn chế thay đổi các gói phần mềm
Sự rò rỉ thông tin
Phát triển phần mềm thuê khoán
Quản lý các điểm yếu về kỹ thuật
Mục tiêu: Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác
các điểm yếu kỹ thuật đã được công bố.
Quản lý sự cố bảo mật thông tin
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng, tin (traffic) tăng lên bất ngờ, hệ thống hoạt động chậm khác thường, cần thực hiện các bước cơ bản sau:
1. Ngắt kết nối ra khỏi mạng.
2. Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ.
3. Phối hợp với các cơ quan, tổ chức chuyên trách về an ninh mạng để tìm ra nguyên nhân và cách khắc phục.
4. Khôi phục hệ thống bằng cách chuyển dữ liệu sao lưu mới nhất để hệ thống hoạt động.
4.9/ Quản lý sự liên tục trong kinh doanh
Mục tiêu: Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quy
trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm hoạ và đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.
Tính đến an toàn thông tin trong các quy trình quản lý sự liên tục của hoạt động nghiệp vụ
47 Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức
Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm vấn đề bảo đảm an toàn thông tin.
Khung hoạch định sự liên tục trong hoạt động nghiệp vụ
Kiểm tra, bảo trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động của tổ chức
49
4.10/ Sự tuân thủ
Mục tiêu: Nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng
đã ký kết, các yêu cầu về bảo đảm an toàn thông tin.
Xác định các điều luật hiện đang áp dụng được Quyền sở hữu trí tuệ (IPR)
Bảo vệ các hồ sơ tổ chức
Bảo vệ dữ liệu và sự riêng tư của thông tin cá nhân Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin Quy định về quản lý mã hóa