11. Tiếp nhận, phát triển và duy trì các hệ thống thông tin
11.3.1. Chính sách sử dụng các biện pháp quản lý mã hóa
Biện pháp quản lý
dựng và triển khai. Hướng dẫn triển khai
Khi xây dựng chính sách mã hóa cần lưu ý những điều sau đây:
a) phương thức quản lý về việc sử dụng các biện pháp quản lý mật mã trên toàn tổ chức, bao gồm các nguyên tắc chung mà theo đó thông tin nghiệp vụ cần được bảo vệ (xem 4.1.1);
b) dựa trên quá trình đánh giá rủi ro, mức bảo vệ yêu cầu cần được xác định có lưu ý đến loại, năng lực và chất lượng của thuật toán mã hóa được yêu cầu;
c) sử dụng mã hóa để bảo vệ thông tin nhạy cảm được truyền bởi các thiết bị, phương tiện di động hoặc phương tiện có thể di dời, hoặc qua các đường truyền thông;
d) phương thức quản lý khóa, bao gồm các phương pháp bảo vệ khóa mã hóa và khôi phục thông tin đã được mã hóa trong trường hợp bị mất, bị tổn hại hoặc hỏng khóa;
e) các vai trò và trách nhiệm, ví dụ ai phải chịu trách nhiệm về: 1) triển khai chính sách;
2) quản lý khóa, bao gồm cả tạo khóa (xem thêm 11.3.2);
f) các tiêu chuẩn sẽ được chấp nhận để triển khai hiệu quả trên toàn tổ chức (giải pháp nào sẽ được sử dụng cho các quy trình nghiệp vụ nào);
g) ảnh hưởng của việc sử dụng thông tin mã hóa lên các biện pháp quản lý dựa trên điều tra nội dung (ví dụ phát hiện virus).
Khi triển khai chính sách mã hóa của tổ chức thì cần quan tâm đến các quy định và những hạn chế của quốc gia có thể áp dụng cho việc sử dụng các kỹ thuật mã hóa ở các khu vực khác nhau trên thế giới và áp dụng đối với các vấn đề về luồng thông tin mã hóa qua biên giới giữa các quốc gia (xem thêm 14.1.6)
Các biện pháp quản lý bằng mã hóa có thể được sử dụng để đạt được các mục tiêu an toàn khác nhau, ví dụ:
a) tính bí mật: sử dụng mã hóa thông tin để bảo vệ thông tin nhạy cảm hoặc quan trọng khi lưu trữ hoặc truyền đi;
b) tính toàn vẹn/tính xác thực: sử dụng chữ ký số hoặc mã xác thực thông điệp để bảo vệ tính xác thực và tính toàn vẹn của thông tin nhạy cảm hoặc quan trọng được lưu trữ hay truyền đi.
c) tính không thể chối bỏ: sử dụng kỹ thuật mã hóa để thu chứng cứ về sự có mặt hoặc không có mặt của một sự kiện hoặc một hoạt động.
Thông tin khác
Việc đưa ra quyết định xem một giải pháp mã hóa nào đó có phù hợp không cần được xem như là một phần của quá trình đánh giá rủi ro và lựa chọn biện pháp quản lý rộng hơn. Vì vậy, sự đánh giá này có thể được sử dụng để xác định xem một biện pháp quản lý mã hóa có phù hợp không, loại biện pháp quản lý nào cần được sử dụng và được sử dụng cho mục đích và quá trình nghiệp vụ nào. Một chính sách về việc sử dụng các biện pháp quản lý mã hóa là cần thiết nhằm tối đa lợi ích và giảm thiểu rủi ro khi sử dụng kỹ thuật mã hóa, và tránh việc sử dụng không chính xác hoặc không thích hợp. Khi sử dụng chữ ký số, cần quan tâm đến các quy định pháp lý liên quan, cụ thể là các quy định mô tả những điều kiện ràng buộc về mặt pháp lý của chữ ký số (xem 14.1).
Cần tìm tư vấn của các chuyên gia khi xác định mức bảo vệ thích hợp và khi xác định các chỉ tiêu kỹ thuật phù hợp sẽ cung cấp sự bảo vệ cần thiết và hỗ trợ việc triển khai hệ thống quản lý khóa an toàn (xem thêm 11.3.2).
ISO/IEC JTC1 SC27 đã phát triển một số tiêu chuẩn liên quan tới các biện pháp quản lý mã hóa. Thông tin sâu hơn cũng có thể tìm thấy trong IEEE1363 và các hướng dẫn của OECD về mã hóa.