10. Quản lý truy cập.
10.7.1. Tính toán và truyền thông qua thiết bị di động
Biện pháp kiểm soát
Một chính sách chính thức cần được chuẩn bị và các biện pháp an toàn thông tin thích hợp cần được chấp nhận nhằm bảo vệ khỏi các rủi ro khi sử dụng tính toán và truyền thông di động. Hướng dẫn triển khai
Khi sử dụng các thiết bị tính toán và truyền thông di động, ví dụ sổ ghi chép, máy tính xách tay, thẻ thông minh, và điện thoại di động, cần quan tâm đặc biệt đến chúng nhằm đảm bảo rằng thông tin nghiệp vụ không bị tổn hại. Chính sách về việc tính toán qua thiết bị di động cần quan tâm đến những rủi ro do làm việc với thiết bị tính toán di động trong những môi trường không được bảo vệ.
Chính sách về việc tính toán qua thiết bị di động cần bao gồm các yêu cầu cho các biện pháp quản lý truy cập, bảo vệ vật lý, các kỹ thuật mã hóa, các bản sao lưu, và việc bảo vệ chống vi rút. Chính sách này cũng cần bao gồm các quy tắc và hướng dẫn kết nối các thiết bị di động tới các mạng và hướng dẫn sử dụng các thiết bị này tại nơi công cộng.
Cũng cần quan tâm khi sử dụng các thiết bị tính toán di động ở những nơi công cộng, phòng họp và các khu vực không được bảo vệ khác nằm ngoài trụ sở của tổ chức. Việc bảo vệ nên phù hợp để tránh truy nhập trái phép tới hoặc tiết lộ thông tin được lưu trữ và được xử lý bởi các thiết bị này, ví dụ sử dụng kỹ thuật mật mã (xem 11.3).
Người sử dụng các thiết bị tính toán di động tại những nơi công cộng nên lưu ý đến việc tránh rủi ro do những cá nhân không được phép. Các thủ tục chống lại các phần mềm độc hại cần sẵn sàng và được cập nhật (xem 9.4).
Cần định kỳ sao chép lại các thông tin nghiệp vụ quan trọng. Thiết bị cần sẵn sàng để cho phép sao lưu thông tin nhanh chóng và dễ dàng. Các bản sao lưu này cần được bảo vệ phù hợp chống lại, ví dụ sự đánh cắp hay mất mát thông tin.
Việc sử dụng các thiết bị di động được kết nối mạng cũng cần được bảo vệ phù hợp. Truy cập từ xa qua mạng công cộng tới thông tin nghiệp vụ bằng các thiết bị tính toán di động chỉ được thực hiện sau khi nhận dạng và xác thực thành công, và có áp dụng các cơ chế quản lý truy nhập phù hợp (xem 10.4).
Các thiết bị tính toán di động cũng phải được bảo vệ vật lý chống lại trộm cắp đặc biệt khi được để, ví dụ, trong ô tô hoặc các phương tiện vận tải khác, phòng khách sạn, trung tâm hội nghị, và các nơi hội họp. Một thủ tục cụ thể về các yêu cầu pháp lý, bảo hiểm và các yêu cầu an toàn khác của tổ chức cần được thiết lập đối với những trường hợp bị mất cắp hoặc làm mất thiết bị tính toán di động. Thiết bị mang thông tin nghiệp vụ quan trọng, nhạy cảm, và/hoặc trọng yếu không được để tự do, và nếu có thể phải được để ở nơi có khóa, hoặc sử dụng các loại khóa đặc biệt để bảo vệ thiết bị (xem 8.2.5).
Cần thu xếp đào tạo các nhân viên sử dụng tính toán di động để làm tăng nhận thức của họ về những rủi ro của cách làm việc này và triển khai các biện pháp quản lý.
Thông tin khác
Các kết nối không dây trong mạng di động cũng tương tự như các dạng kết nối mạng khác, nhưng có các điểm khác biệt quan trọng cần được lưu ý khi xác định các biện pháp quản lý. Các điểm khác biệt gồm:
a) một số giao thức an toàn trong mạng không dây vẫn chưa hoàn thiện và được coi là các điểm yếu;
b) thông tin lưu trữ trên các máy tính di động có thể không được sao lưu do băng tần mạng hạn chế và/hoặc do thiết bị di động có thể không được kết nối tại các những thời điểm đã được lập lịch để thực hiện sao lưu.