Quản lý truyền thông và vận hành

Một phần của tài liệu Triển khai chiến lược bảo mật hệ thống (Trang 41)

4/ Xây dựng chính sách an toàn thông tin để phối hợp với các công nghệ được sử dụng

4.6/ Quản lý truyền thông và vận hành

4.6.1/ Sao lưu dự phòng

Mục tiêu: Nhằm duy trì sự toàn vẹn và sẵn sàng của thông tin cũng như các phương tiện

xử lý thông tin.

4.6.2/ Quản lý an toàn mạng

Mục tiêu: Nhằm đảm bảo an toàn cho thông tin trên mạng và an toàn cho cơ sở hạ tầng

hỗ trợ.

 Kiểm soát mạng

 An toàn cho các dịch vụ mạng Sử dụng các công nghệ sau:

 Quản lý việc sử dụng email: Email Activity (Spector 360)  Quản lý việc duyệt web: Web Sites Visited (Spector 360)

 Quản lý việc sao chép dữ liệu: Document Tracking (Spector 360)

 Quản lý việc truyền tải dữ liệu trên mạng: Files Transferred và Network Activity Recorder ( Spector 360)

4.6.3/ Quản lý phương tiện

Mục tiêu: Nhằm ngăn ngừa sự tiết lộ, sửa đổi, xoá bỏ hoặc phá hoại bất hợp pháp các tài

sản và sự gián đoạn các hoạt động nghiệp vụ.  Quản lý các phương tiện có thể di dời  Loại bỏ phương tiện

 Các thủ tục xử lý thông tin  An toàn cho các tài liệu hệ thống

42

4.7/ Kiểm soát truy cập 4.7.1/ Mục đích 4.7.1/ Mục đích

Trong lĩnh vực an ninh, thuật ngữ kiểm soát truy cập (access control) ám chỉ đến các thi hành nhằm hạn chế sự thâm nhập vào một tòa nhà, một phòng làm việc, hoặc một tập tin dữ liệu nào đó, chỉ cho phép những người đã được ủy quyền tiếp cận mà thôi.

Hầu hết các công ty đều cung cấp nhiều đặc quyền cho người dùng hơn so với cần thiết. Việc giám sát truy cập dữ liệu của người dùng và theo dõi việc truy cập không xác định đối với các dữ liệu nhạy cảm là cực kỳ quan trọng và không thể thiếu.

Việc tạo ra các chính sách truy cập nhằm giới hạn quyền truy cập dữ liệu của người dùng một cách chặt chẽ là cần thiết trong vấn đề bảo mật thông tin. Các quy định này chỉ cho phép nhân viên truy cập những dữ liệu tương ứng cần thiết với công việc của họ, đồng thời thiết lập các điều khiển nhằm bắt buộc nhân viên trong công ty phải tuân thủ quy định nội bộ đã xây dựng. Ví dụ: Ra cảnh báo khi ai đó vốn bình thường chỉ làm việc với 10 tập tài liệu mỗi ngày, đột nhiên bắt đầu truy cập dữ liệu với số lượng lớn hơn.

4.7.2/ Các chính sách

4.7.2.1/ Trách nhiệm truy cập người dùng

Ban hành một thông báo có nội dung rằng mỗi nhân viên cần phải nhận thức được chính sách của công ty về an ninh thông tin. Đặc biệt, sự chú ý của nhân viên nên được tập trung vào trách nhiệm bảo vệ tài sản khỏi những truy cập trái phép, bị tiết lộ, sửa đổi, phá hủy hoặc can thiệp, phân loại thông tin và xử lý các quy tắc, điều khiển truy cập (cả về vật lý và logic), các thủ tục báo cáo sự cố, và thực tế là người lao động phải chịu trách nhiệm đối với hành vi thiếu sót của mình. Mô tả công việc cần chỉ ra rõ rằng hành vi vi phạm kiểm soát an ninh thông tin có thể được coi là một tội theo chính sách kỷ luật của công ty và khi họ vi phạm , trong trường hợp nặng, có thể dẫn đến sa thải.

4.7.2.2/ Quản lý truy cập người dùng

Điều khiển truy cập là khả năng để chúng ta có thể cho phép hoặc từ chối một chủ thể (một người, một quy trình – mang tính chủ động) sử dụng một đối tượng (một hệ thống, một tập tin, ... - mang tính bị động) nào đấy trong hệ thống.

Để quản lý truy cập người dùng có thể sự dụng các biện pháp sau:

43 1. URL Filtering: Ngăn chặn truy cập các website đã được liệt kê.

2. Block những website đã được khai báo trước

Chú ý: sau khi áp đặt hành động block đối với các website thuộc loại bị cấm. Nhà quản trị cần khai báo cho phép truy cập tất cả các trang web để có thể truy cập các thể loại website không bị cấm.

3. Block truy cập những website cụ thể: khai báo trong mục Additional URLs/sites to block: VD: www.zing.vn.

4. Xác định những users/groups không bị áp đặt chính sách cấm.

Xác định thời gian áp đặt chính sách cũng nhưng những users/group : (ở trong mục web filtering profile->Filter ). Ở đây có 3 tham số chính để xác định:

 Users/group: chính sách được áp đặt cho những ai (lưu ý mode xác thực với gateway phải giống nhau mới gom nhóm được).

 Time period: xác định khoảng thời gian thi hành chính sách.  Filter Action: xác định hành động nếu user vi phạm chính sách.

5. Application control rule: block hay allow những luồng traffic của ứng dụng xác định. Mặc định thì tất cả những luồng của tất cả những ứng dụng đểu được cho phép.

Tổ chức quản lý tài khoản của hệ thống thông tin, bao gồm: tạo mới một tài khoản, kích hoạt tài khoản đã tạo, sửa đổi thông tin tài khoản, vô hiệu hóa và loại bỏ tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và sử dụng các phần mềm để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.

Quản lý giới hạn số lần đăng nhập sai 03 lần liên tiếp của một tài khoản. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.

Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, qua mạng Internet…) tới hệ thống thông tin bao gồm cả sự truy cập có chức năng đặc quyền. Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy cập từ xa và chỉ những người được phép mới có thể truy cập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển truy cập từ xa.

Cần thiết lập phương pháp hạn chế truy cập mạng không dây (Wifi), giám sát và điều khiển truy cập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.

44 Hệ thống thông tin trong máy chủ cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống, ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.

Tổ chức quản lý định danh, phân quyền người sử dụng theo nhóm (phòng, ban). Quy định về quyền hạn, giới hạn về thời gian truy cập vào hệ thống thông tin của người sử dụng.

Hệ thống thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy cập công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.

45

4.8/ Phát triển và duy trì hệ thống

Tính đúng đắn trong xử lý của các ứng dụng

Mục tiêu: Nhằm ngăn chặn các lỗi, mất mát, sửa đổi hoặc sử dụng trái phép thông

tin trong các ứng dụng.

 Kiểm tra tính hợp lệ của dữ liệu nhập vào  Kiểm soát việc xử lý nội bộ

 Tính toàn vẹn thông điệp

 Kiểm tra tính hợp lệ của dữ liệu đầu ra

Quản lý mã hóa

Mục đích: Nhằm bảo vệ tính bí mật, xác thực hoặc toàn vẹn của thông tin bằng các

biện pháp mã hóa.

 Chính sách sử dụng các biện pháp quản lý mã hóa  Quản lý khóa

An toàn cho các tệp tin hệ thống

46  Quản lý các phần mềm điều hành

 Bảo vệ dữ liệu kiểm tra hệ thống

 Quản lý truy cập đến mã nguồn của chương trình

Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển

Mục tiêu: Nhằm duy trì an toàn của thông tin và các phần mềm hệ thống ứng dụng

 Các thủ tục quản lý thay đổi

 Kiểm soát kỹ thuật các ứng dụng sau thay đổi của hệ thống điều hành.  Hạn chế thay đổi các gói phần mềm

 Sự rò rỉ thông tin

 Phát triển phần mềm thuê khoán

Quản lý các điểm yếu về kỹ thuật

Mục tiêu: Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác

các điểm yếu kỹ thuật đã được công bố.

Quản lý sự cố bảo mật thông tin

Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng, tin (traffic) tăng lên bất ngờ, hệ thống hoạt động chậm khác thường, cần thực hiện các bước cơ bản sau:

1. Ngắt kết nối ra khỏi mạng.

2. Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ.

3. Phối hợp với các cơ quan, tổ chức chuyên trách về an ninh mạng để tìm ra nguyên nhân và cách khắc phục.

4. Khôi phục hệ thống bằng cách chuyển dữ liệu sao lưu mới nhất để hệ thống hoạt động.

4.9/ Quản lý sự liên tục trong kinh doanh

Mục tiêu: Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quy

trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm hoạ và đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.

Tính đến an toàn thông tin trong các quy trình quản lý sự liên tục của hoạt động nghiệp vụ

47  Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức

 Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm vấn đề bảo đảm an toàn thông tin.

 Khung hoạch định sự liên tục trong hoạt động nghiệp vụ

 Kiểm tra, bảo trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động của tổ chức

49

4.10/ Sự tuân thủ

Mục tiêu: Nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng

đã ký kết, các yêu cầu về bảo đảm an toàn thông tin.

 Xác định các điều luật hiện đang áp dụng được  Quyền sở hữu trí tuệ (IPR)

 Bảo vệ các hồ sơ tổ chức

 Bảo vệ dữ liệu và sự riêng tư của thông tin cá nhân  Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin  Quy định về quản lý mã hóa

Một phần của tài liệu Triển khai chiến lược bảo mật hệ thống (Trang 41)

Tải bản đầy đủ (PDF)

(49 trang)