Các đối tượng liên quan trong phát triển chính sách an tồn thơng

Một phần của tài liệu NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN (Trang 49 - 55)

CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN

3.2. Các đối tượng liên quan trong phát triển chính sách an tồn thơng

thơng tin

3.2.1. Cộng đồng người dùng

Cộng đồng người dùng cho bất kỳ tổ chức nào bao gồm các cá nhân (và nhóm cá nhân) thực hiện nhiều chức năng đa dạng.Có thể làm việc với người dùng để xác định mức độ thành cơng của chính sách bảo mật hiện tại và từ đó xác định các chính sách có thể cần được thay đổi để làm cho nó dễ sử dụng hơn . Bất kể mối quan tâm của người dùng có thể là gì, sự đồng thuận trong tài liệu là người dùng cuối hoặc Cộng đồng người dùng xem xét trong quá trình phát triển là cực kỳ quan trọng vì thực tế là rất nhiều sự cố bảo mật được gây ra, cố ý hoặc không chủ ý, bởi các nhân viên trong tổ chức.

3.2.2. Pháp lý & Quy định

Một trong những lý do mà các tổ chức có những pháp lý và quy định để là để giảm thiểu các rủi ro bảo mật khác nhau mà các tổ chức phải đối mặt . Về cơ bản, họ đang tự bảo vệ mình khỏi những người muốn khai thác những lỗ hổng của họ, khi làm như vậy, có thể vi phạm pháp luật hoặc có vi phạm những quy định của tổ chức. Do đó, nhiều tổ chức nhận được tư vấn pháp lý để đảm bảo rằng chính sách của họ là một văn bản ràng buộc về mặt pháp lý và có hiệu lực thi hành. Ví dụ, nhiều quốc gia đã ban hành luật nhằm bảo vệ quyền riêng tư của các cá nhân hoặc cố gắng làm cho thư rác trở thành bất hợp pháp. Vì những lý do này, việc đưa Pháp lý & Quy định vào quá trình phát triển là điều tối quan trọng.

50

3.2.3. Chuyên gia CNTT

Chuyên gia CNTT thường là đội ngũ định hướng cho quá trình phát triển chính sách ATTT. Do đó, vai trị của chuyên gia CNTT được thể hiện rất rõ trong tài liệu phát triển. Trên thực tế, chuyên gia CNTT có thể đảm nhận một số vai trị khác nhau liên quan đến việc quản lý cơ sở hạ tầng máy tính của một tổ chức. Những vai trị này bao gồm: Chuyên gia kỹ thuật máy tính, Nhà thiết kế hệ thống, Chuyên gia CNTT, Quản trị viên hệ thống, Nhân sự Phòng CNTT. Việc sử dụng một hoặc nhiều bên liên quan này trong quá trình phát triển là rất quan trọng vì họ có kiến thức kỹ thuật về các hệ thống mà đang được thiết kế để bảo vệ cũng như kiến thức bảo mật của các hệ thống này .

3.2.4. Chuyên gia bảo mật

Chuyên gia bảo mật trong một tổ chức thường được một người trong ngành CNTT đảm nhận như một phần bổ trợ cho vai trị chính của họ. Tuy nhiên, các tổ chức vừa đến lớn đang sử dụng những người có vai trị chun mơn tập trung vào việc bảo vệ thông tin của tổ chức và phát triển các chính sách bảo mật. Việc sử dụng những người trong những vai trị này trong q trình phát triển chính sách bao gồm từ việc quản lý q trình hồn chỉnh cho đến việc tham khảo ý kiến và lời khuyên của họ về các sáng kiến bảo mật.

3.2.5. Quản lý điều hành

Cũng như bất kỳ sáng kiến nào ở cấp chiến lược, điều quan trọng là phải có sự tham gia của quản lý cấp cao vào sáng kiến đó để sáng kiến đó thành cơng. Đặc biệt, trong q trình phát triển chính sách, sự tham gia của quản lý cấp cao là yếu tố thành công then chốt trong việc xây dựng và thực hiện chính sách.

3.2.6. Đại diện đơn vị kinh doanh

Ở cấp đơn vị kinh doanh của một tổ chức, quyền sở hữu hệ thống và thông tin thường được họ quản lý. Họ cần tham gia vào q trình phát triển chính sách vì họ hiểu rõ nhất về tài nguyên đang được bảo vệ và có trách nhiệm đảm bảo rằng việc bảo mật thơng tin của họ có hiệu quả.

3.2.7. Quan hệ cơng chúng

Một vai trị liên quan mà các tổ chức đang bắt đầu tham gia vào q trình phát triển chính sách là nhóm quan hệ công chúng trong tổ chức. Khi an ninh trở

51

thành một vấn đề đối với một tổ chức, các bên liên quan.Về phía quan hệ cơng chúng cần phải cho công chúng thấy rằng tổ chức đã cam kết bảo mật. Điều này cực kỳ quan trọng nếu tổ chức xảy ra sự cố bảo mật.

3.2.8. Các đối tượng bên ngoài tổ chức

Trong nhiều trường hợp đối với các tổ chức, đơi khi cần có sự tham gia của những người nằm ngồi tổ chức. Ví dụ, có thể cần sự tham gia của khách hàng, nhà cung cấp và các tổ chức bên ngoài khác. Các khách hàng bên ngoài phụ thuộc vào hệ thống tổ chức nên tham gia vào quá trình phát triển chính sách. Ngồi ra, khi có các liên kết chiến lược chặt chẽ giữa các tổ chức, tổ chức thứ hai có thể cần được tham vấn trong q trình phát triển. Ví dụ: một nhà bán lẻ lớn có thể phát triển một chính sách có thể tác động đến tất cả các nhà cung cấp của họ, những người liên kết trực tiếp với hệ thống máy tính của nhà bán lẻ để mua hàng, lưu kho và phân phối theo đơn đặt hàng. Việc không tham khảo ý kiến với các nhà cung cấp của họ có thể gây ra các vấn đề trong các mối quan hệ chiến lược đang diễn ra giữa các tổ chức.

3.3. Vịng đời của chính sách

Thơng thường, trong mọi quy trình quan trọng chúng ta đều sử dụng một vòng đời để giảm thiểu lỗi và đảm bảo tất cả các yêu cầu đều được tuân thủ. Điều đó đặc biệt quan trọng trong chính sách ATTT. Chính sách ATTT sử dụng những phương thức tiếp cận cơ bản nhằm đơn giản hóa việc xây dựng và giảm thiểu rủi ro cho cơng việc. Một vịng đời căn bản được chia ra làm nhiều hạng mục nhỏ hơn để dễ dàng triển khai. Tổ chức Information Systems Audit and Control Association (ISACA) đã đưa ra chuẩn được hợp pháp hóa trên tồn cầu. Và chuẩn đó được gọi là Control Objectives for Information and related Technology (COBIT), được ra đời vào năm 1996, phiên bản mới nhất 5.0 được ra đời vào tháng Tư năm 2012.

COBIT khơng chỉ là một dạng vịng đời, mà cịn là chuẩn để quản lý các tiến trình liên quan đến cơng nghệ thơng tin. Những chuẩn này giúp tổ chức thu được kết quả mà họ và khách hàng mong muốn. Vịng đời của chính sách ATTT bao gồm 4 phần:

● Tính tốn, lên kế hoạch và tổ chức ● Xây dựng, tiếp nhận và thực thi

52 ● Cung cấp, dịch vụ và hỗ trợ ● Giám sát, gia tăng và đánh giá

Vịng đời của chính sách ATTT được xây dựng lên từ 4 thành phần trên. Sự thất bại của 1 trong 4 thành phần đều sẽ tạo ra điểm yếu hay lỗ hổng trong tổ chức. Chuẩn COBIT sẽ đi sâu hơn và chia 4 thành phần trên thành những tác vụ nhỏ hơn, các tổ chức sẽ dùng chuẩn COBIT này để điều hướng chính sách của họ để phù hợp với tổ chức đó.

Vào năm 2012 COBIT 5.0 được ra đời. nó giúp tổ chức làm những công việc sau:

● Cung cấp giá trị bên trong và bên ngoài cho các bên liên quan ● Đạt được mục đích chung

● Quản lý vịng đời : xây dựng, bảo trì, hỗ trợ và cách sử dụng tài sản ● Học hỏi để đạt được kết quả cao nhất trong lĩnh vực

COBIT 5.0 khác với các chuẩn khác ở việc nó nhấn mạnh việc làm thế nào để các quy trình của nó hoạt động hiệu quả. Ví dụ như khi một nhân viên thu ngân thực hiện thanh toán. Ngân hàng sẽ phải so khớp, lên kế hoạch và tổ chức như thế nào để đạt được hiệu quả cho cả các bên tham gia? Rõ ràng là ngân hàng sẽ muốn khách hàng (bên tham gia trực tiếp) có được đầy đủ quyền lợi để có thế xây dựng được lòng tin của khách hàng.

53

3.3.1. Tính tốn, lên kế hoạch và tổ chức

Trong mục này sẽ bao gồm tất cả những thông tin cơ bản của tổ chức và mục tiêu của tổ chức. Mục này sẽ trả lời cho câu hỏi “Tổ chức cần gì?” và “Phải làm thế nào để đạt được nó?”. Thơng tin ở mục này vẫn cịn ở mức khái quát, nhưng kể cả như vậy thì vẫn cần phải hiểu rõ được rủi ro và lỗ hổng của nó. Người làm chính sách cần phải suy xét đến việc làm thế nào để có thể quản lý thơng tin bằng việc lập ra các ý tưởng về chính sách, các thỏa thuận theo cấp độ dịch vụ ( service level agreements ‘SLAs’). Ví dụ, SLA sẽ cho biết tần suất nhà cung cấp cung cấp dịch vụ, hay đối với việc quản lý dịch vụ, SLA sẽ đặt ra tiêu chuẩn cho tính sẵn sàng của dịch vụ đó. Và cũng cần phải nhìn nhận về cách thức hoạt động của hệ thống để định nghĩa lên SLA. SLAs rất quan trọng để đảm bảo rằng các bên tham gia biết được nghĩa vụ của mình. Ngày nay có nhiều cấp độ dịch vụ được áp dụng trong hợp đồng mà người viết chính sách cần phải đối mặt và mục “Cung cấp, dịch vụ và hỗ trợ” sẽ giúp họ trong việc tạo nên SLAs. Còn ở mục này, mối quan tâm lớn nhất của người viết chính sách là những yêu cầu và dịch vụ mà tổ chức cần và làm thế nào để đạt được chúng.

Một chính sách ATTT cần mang lại sự rõ ràng trong việc thực thi và giám sát. Ví dụ, từ 27 tháng 11 đến 15 tháng 12 năm 2013, hacker đã đánh cắp thông tin thẻ của hơn 40 triệu khách hàng, sau đó lại phát hiện thêm thông tin của 17 triệu khách hàng bị đánh cắp. Theo báo cáo hacker cải trang thành nhân viên của bên bảo trì và truy cập thơng qua bảo trì hệ thống thơng gió của tổ chức.

Chìa khóa của việc hiểu được mục này chính là việc hiểu rõ được những nguy cơ, rủi ro và lỗ hổng.

● Nguy cơ - do con người hay thảm họa tự nhiên có thể ảnh hưởng đến hệ thống

● Lỗ hổng - là điểm yếu của hệ thống có thể bị khai thác

● Rủi ro - là khả năng có thể xảy ra của những sự kiện có thể ảnh hưởng xấu đến hệ thống

Ví dụ dễ hiểu thì nguy cơ là việc hacker có thể xâm nhập vào hệ thống, lỗ hổng là một lỗi trong q trình cấu hình nhờ đó mà hacker có thể xâm nhập vào, rủi ro là sự tổng hợp các khả năng của việc lỗ hổng xảy ra trong q trình cấu hình và hacker dùng nó để tấn cơng.

54

3.3.2. Xây dựng, tiếp nhận và thực thi

Xây dựng là khi chúng ta tạo ra được lớp bảo vệ, chính sách và hỗ trợ chung. Phần xây dựng này dựa trên những yêu cầu của phần lên kế hoạch, tinh chỉnh và tổ chức. Chất lượng của lớp bảo vệ được xây dựng dựa trên hiểu biết về nguy cơ, lỗ hổng và rủi ro. Phần lên kế hoạch càng chi tiết thì phần xây dựng càng trở nên dễ dàng. SLAs trở nên rất quan trọng ở phần này vì nó sẽ quyết định giải pháp nào sẽ được sử dụng.

Ngoài ra khả năng mở rộng, thay đổi hay update là rất quan trọng ở phần này. Việc update cần phải khơng được ảnh hưởng đến sự hoạt động bình thường của hệ thống, nên diễn ra ở vào những lúc mà hệ thống không hoạt động như cuối tuần hay các ngày lễ tết. Phải cần có một phiên bản dự phịng để có thể hủy bỏ những thay đổi khi có lỗi diễn ra.

Kết thúc phần này, tổ chức đã có được một chính sách, thủ tục và hướng dẫn để xây dựng tổ chức và đào tạo nhân viên.

3.3.3. Cung cấp, dịch vụ và hỗ trợ

Ở phần này người viết chính sách sẽ tiến hành chỉnh sửa để giảm thiểu rủi ro bằng cách áp dụng thử chính sách để xem cái gì cần giữ lại và cái gì cần loại bỏ. Đây là lúc người viết cần so sánh giữa kế hoạch và thực tế triển khai. Có thể sử dụng cả việc kiểm thử từ cả bên trong lẫn bên ngoài để đánh giá hệ thống và thay đổi SLAs nếu cần thiết.

Ở phần này việc trao đổi thường xuyên với các bên sử dụng để có thể biết được các vấn đề một cách nhanh chóng nhất. Báo cáo và đối chiếu với chính sách của tổ chức để kịp thời thay đổi cho phù hợp.

3.3.4. Giám sát, gia tăng và đánh giá

Ở phần này sẽ trả lời cho câu hỏi “Chính sách đã phù hợp với sự thay đổi của tổ chức hay chưa?”. Nhìn trực tiếp vào những yêu cầu, hướng đi của tổ chức và quyết định xem chính sách cịn phù hợp hay khơng.

Nhìn nhận từ cả bên trong và bên ngồi để đưa ra phỏng đốn, nhìn nhận cả về các phần trước để xem có đáp ứng các u cầu trước đó hay khơng. Việc kiểm thử có thể diễn ra thông qua một bên thứ ba tin cậy và mức độ kiểm thử sẽ tùy thuộc vào độ phức tạp của hệ thống.

55

Gắn kết tất cả các phần với nhau là chìa khóa dẫn đến thành cơng. Việc giám sát và đánh giá sẽ dẫn đến phần lên kế hoạch và tính tốn lại các rủi ro => bắt đầu 1 vịng đời mới của chính sách.

Giúp người viết chính sách có cái nhìn thực tế, cơng bằng và hiệu quả thì có những đánh giá sau:

● Tự đánh giá - đảm bảo chất lượng của chính sách đối với tổ chức ● Đánh giá từ bên trong - báo cáo từ nhân viên, các phịng ban

● Đánh giá từ bên ngồi - thực hiện bởi các tổ chức có thẩm quyền trong việc đánh giá chính sách

● Phù hợp với luật pháp - chính sách của tổ chức phải tuân thủ luật pháp

Một phần của tài liệu NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN (Trang 49 - 55)

Tải bản đầy đủ (PDF)

(61 trang)