4/ Xây dựng chính sách an toàn thông tin để phối hợp với các công nghệ được sử dụng
4.7.2/ Các chính sách
4.7.2.1/ Trách nhiệm truy cập người dùng
Ban hành một thông báo có nội dung rằng mỗi nhân viên cần phải nhận thức được chính sách của công ty về an ninh thông tin. Đặc biệt, sự chú ý của nhân viên nên được tập trung vào trách nhiệm bảo vệ tài sản khỏi những truy cập trái phép, bị tiết lộ, sửa đổi, phá hủy hoặc can thiệp, phân loại thông tin và xử lý các quy tắc, điều khiển truy cập (cả về vật lý và logic), các thủ tục báo cáo sự cố, và thực tế là người lao động phải chịu trách nhiệm đối với hành vi thiếu sót của mình. Mô tả công việc cần chỉ ra rõ rằng hành vi vi phạm kiểm soát an ninh thông tin có thể được coi là một tội theo chính sách kỷ luật của công ty và khi họ vi phạm , trong trường hợp nặng, có thể dẫn đến sa thải.
4.7.2.2/ Quản lý truy cập người dùng
Điều khiển truy cập là khả năng để chúng ta có thể cho phép hoặc từ chối một chủ thể (một người, một quy trình – mang tính chủ động) sử dụng một đối tượng (một hệ thống, một tập tin, ... - mang tính bị động) nào đấy trong hệ thống.
Để quản lý truy cập người dùng có thể sự dụng các biện pháp sau:
43 1. URL Filtering: Ngăn chặn truy cập các website đã được liệt kê.
2. Block những website đã được khai báo trước
Chú ý: sau khi áp đặt hành động block đối với các website thuộc loại bị cấm. Nhà quản trị cần khai báo cho phép truy cập tất cả các trang web để có thể truy cập các thể loại website không bị cấm.
3. Block truy cập những website cụ thể: khai báo trong mục Additional URLs/sites to block: VD: www.zing.vn.
4. Xác định những users/groups không bị áp đặt chính sách cấm.
Xác định thời gian áp đặt chính sách cũng nhưng những users/group : (ở trong mục web filtering profile->Filter ). Ở đây có 3 tham số chính để xác định:
Users/group: chính sách được áp đặt cho những ai (lưu ý mode xác thực với gateway phải giống nhau mới gom nhóm được).
Time period: xác định khoảng thời gian thi hành chính sách. Filter Action: xác định hành động nếu user vi phạm chính sách.
5. Application control rule: block hay allow những luồng traffic của ứng dụng xác định. Mặc định thì tất cả những luồng của tất cả những ứng dụng đểu được cho phép.
Tổ chức quản lý tài khoản của hệ thống thông tin, bao gồm: tạo mới một tài khoản, kích hoạt tài khoản đã tạo, sửa đổi thông tin tài khoản, vô hiệu hóa và loại bỏ tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và sử dụng các phần mềm để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
Quản lý giới hạn số lần đăng nhập sai 03 lần liên tiếp của một tài khoản. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, qua mạng Internet…) tới hệ thống thông tin bao gồm cả sự truy cập có chức năng đặc quyền. Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy cập từ xa và chỉ những người được phép mới có thể truy cập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển truy cập từ xa.
Cần thiết lập phương pháp hạn chế truy cập mạng không dây (Wifi), giám sát và điều khiển truy cập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.
44 Hệ thống thông tin trong máy chủ cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống, ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
Tổ chức quản lý định danh, phân quyền người sử dụng theo nhóm (phòng, ban). Quy định về quyền hạn, giới hạn về thời gian truy cập vào hệ thống thông tin của người sử dụng.
Hệ thống thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy cập công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.
45