Tính toàn vẹn

Một phần của tài liệu XÂY DỰNG GIẢI PHÁP ĐÁNH GIÁ AN NINH AN TOÀN MẠNG (Trang 27 - 101)

Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản. i. Rủi ro tồn đọng

Các rủi ro còn lại sau quá trình xử lý rủi ro. j. Sự chấp nhận rủi ro

Quyết định chấp nhận sự tồn tại một rủi ro. k. Phân tích rủi ro

Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc và đánh giá rủi ro.

l. Đánh giá rủi ro

Quá trình so sánh rủi ro đã được dự đoán với chỉ tiêu rủi ro đã có nhằm xác định mức độ nghiêm trọng của rủi ro.

m. Quản lý rủi ro

Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra.

n. Xử lý rủi ro

Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro. o. Thông báo áp dụng

Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức.

Các mục tiêu quản lý và biện pháp quản lý được xây dựng dựa trên các kết quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin.

p. Tổ chức

Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng nhau hành động vì mục tiêu chung. Các TC trong xã hội loài người được hình thành, đào thải, phát triển không ngừng theo tiến trình phát triển của xã hội với nhiều hình thức tập hợp, quy mô, nội dung và cách thức hoạt động khác nhau.

Các TC trong xã hội hiện đại rất phong phú, đa dạng, được hình thành trong tất cả các lĩnh vực của đời sống xã hội, ở từng ngành, từng địa phương, từng cơ sở, có quy mô cả nước, một số TC có yêu cầu và điều kiện thì tham gia hệ thống TC tương ứng trong khu vực và thế giới.

Có loại TC được liên kết chặt chẽ, hoạt động lâu dài (đảng chính trị, cơ quan nhà nước, tổ chức Liên hợp quốc, tổ chức ASEAN, vv.). Có loại TC chỉ có hình thức liên kết và nội quy hoạt động đơn giản, linh hoạt (hội quần chúng ở các địa phương và cơ sở như hội làm vườn, hội đồng hương, đồng khoa, vv.).

Phân loại các TC trong xã hội hiện đại thường là: TC chính trị (đảng chính trị, chính quyền nhà nước), TC chính trị - xã hội (công đoàn, đoàn thanh niên, hội phụ nữ, hội nông dân, hội cựu chiến binh, vv.), TC chính trị - xã hội - nghề nghiệp (hội nhà văn, hội nhà báo, vv.), TC xã hội (hội của những người cùng nghề nghiệp, sở thích, hoạt động nhân đạo, từ thiện, vv.),

TC tôn giáo (các giáo hội Thiên Chúa giáo, Tin Lành, Phật giáo, Hoà Hảo, Cao Đài, Hồi giáo, vv.), TC kinh tế (công ty, ngân hàng, hợp tác xã, vv.), TC văn hoá, thể thao (đoàn kịch, đoàn chèo, đội bóng, vv.), TC vũ trang.

Nhà nước tiến hành việc quản lí về TC và hoạt động của các TC trong xã hội bằng Hiến pháp và pháp luật. Các TC trong xã hội thường có điều lệ, nội quy hoạt động, quy định trách nhiệm, quyền hạn của các thành viên và mối quan hệ giữa các thành viên trong TC ấy.

2.3. Thiết lập và quản lý hệ thống quản lý an toàn thông tin.

Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ATTT) đã được tài liệu hóa trong bối cảnh toàn bộ hoạt động của tổ chức và những rủi ro đang phải đối mặt.

2.3.1. Thiết lập hệ thống quản lý ATTT

Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện như sau : 2.3.1.1. Phạm vi và giới hạn của hệ thống quản lý ATTT

Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng.

2.3.1.2. Chính sách triển khai hệ thống quản lý ATTT

Vạch rõ chính sách triển khai hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ mà trong đó:

Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho việc đảm bảo an toàn thông tin.

Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật.

Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng.

Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT như một phần trong chiến lược quản lý rủi ro của tổ chức.

Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra (xem 2.3.1.3). Được ban quản lý phê duyệt.

Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống quản lý ATTT được xem xét như là một danh mục đầy đủ các chính sách an toàn thông tin. Các chính sách này có thể được mô tả trong cùng một tài liệu.

2.3.1.3. Phương pháp tiếp cận đánh giá rủi ro

Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức

Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định.

Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được (xem 2.4.1.6).

Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo được.

Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. Ví dụ về các hệ phương pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC TR 13335-3 “Information technology- Guidelines for the management of IT Security – Techniques for the management of IT Security”[3].

2.3.1.4. Xác định các rủi ro

Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tượng quản lý các tài sản này.

Xác định các mối đe doạ có thể xảy ra đối với tài sản.

Xác định những tác động xấu tới các tính chất quan trọng của tài sảncần bảo đảm: bí mật, toàn vẹn và sẵn sàng. cần bảo đảm: bí mật, toàn vẹn và sẵn sàng.

2.3.1.5. Phân tích và đánh giá các rủi ro

Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản.

Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện.

Ước lượng các mức độ của rủi ro.

Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục 2.3.1.3.2.

2.3.1.6. Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro Các hoạt động có thể thực hiện :

Áp dụng các biện pháp quản lý thích hợp.

Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức (xem 2.3.1.3.2).

Tránh các rủi ro.

Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v...

2.3.1.7. Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro

Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro. Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro (xem 2.3.1.3.2) cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ.

Các mục tiêu quản lý và biện pháp quản lý trong phụ lục A có thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác định.

Các yêu cầu quản lý và biện pháp quản lý trong phụ lục A là chưa thực sự đầy đủ. Tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp quản lý cần thiết khác.

Phụ lục A bao gồm một danh sách bao gồm nhiều mục tiêu quản lý và biện pháp quản lý một cách toàn diện có khả năng thích hợp đối với nhiều tổ chức. Người sử dụng tiêu chuẩn quốc tế này có thể sử dụng phụ lục A như là điểm khởi đầu trong việc lựa chọn biện pháp quản lý để không có các biện pháp quan trọng bị bỏ sót.

Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.

Được ban quản lý cho phép cài đặt và vận hành hệ thống quản lý ATTT.

2.3.1.8. Chuẩn bị thông báo áp dụng

Thông báo áp dụng hệ thống quản lý ATTT bao gồm :

Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 2.3.1.7) và các cơ sở tiến hành lựa chọn.

Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện.

Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này.

Thông báo này cung cấp thông tin tóm tắt cho các quyết định liên quan đến việc xử lý rủi ro. Việc giải trình các biện pháp và mục tiêu quản lý trong phụ lục A không được sử dụng nhằm tránh khả năng bỏ sót.

2.3.2. Triển khai và điều hành hệ thống quản lý ATTT.

Quá trình triển khai và điều hành hệ thống quản lý ATTT đòi hỏi thực hiện như sau:

Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin (xem 2.4).

Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm.

Triển khai các biện pháp quản lý được lựa chọn trong 2.3.1.7 để thỏa mãn các mục tiêu quản lý.

Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được (xem 2.3.3.3).

Triển khai các chương trình đào tạo nâng cao nhận thức (xem 2.4.2.2). Quản lý hoạt động hệ thống quản lý ATTT.

Quản lý các tài nguyên dành cho hệ thống quản lý ATTT (xem 2.4.2). Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin (xem 2.3.3.1).

2.3.3. Giám sát và xem xét hệ thống quản lý ATTTTổ chức thực hiện các biện pháp sau đây: Tổ chức thực hiện các biện pháp sau đây:

1/. Tiến hành giám sát, xem xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm:

i. Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.ii. Nhanh chóng xác định các tấn công, lỗ hổng và sự cố ii. Nhanh chóng xác định các tấn công, lỗ hổng và sự cố

iii. Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không.

iv. Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết.

v. Xác định đúng hiệu quả của các hoạt động xử lý lỗhổng an toàn thông tin. hổng an toàn thông tin.

2/. Thường xuyên kiểm tra, xem xét hiệu quả của hệ thống quản lý ATTT (bao gồm việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và xem xét của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng như các thông tin phản hồi thu thập được.

3/. Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm ATTT.

4/. Xem xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được bỏ qua cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:

i. Tổ chức. ii. Công nghệ.

iii. Mục tiêu và các quá trình nghiệp vụ.

iv. Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định.

vi. Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội.

5/. Thực hiện việc kiểm tra nội bộ hệ thống quản lý ATTT một cách định kỳ. Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện.

6/. Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống quản lý ATTT để đánh giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp các và đã xác định các nâng cấp cần thiết cho hệ thống quản lý ATTT (xem 2.6.1).

7/. Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá.

8/. Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hưởng đến tính hiệu quả hoặc hiệu lực của hệ thống quản lý ATTT (xem 2.3.2.3).

2.3.4. Duy trì và nâng cấp hệ thống quản lý ATTT Tổ chức cần thường xuyên thực hiện:

1/. Triển khai các nâng cấp cho hệ thống quản lý ATTT đã xác định. 2/. Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp (xem 2.7.2 và 2.7.3). Chú ý vận dụng kinh nghiệm đã có và tham khảo từ các tổ chức khác.

3/. Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng cấp của hệ thống quản lý ATTT.

4/. Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.

2.3.5. Các yêu cầu về hệ thống tài liệu 2.3.5.1. Khái quát

Tài liệu bao gồm tập hợp các hồ sơ xử lý nhằm đảm bảo cho phép: truy lại được các quyết định xử lý, chính sách và đảm bảo rằng các kết quả ghi nhận là có thể tái tạo lại được. Điều quan trọng là cần nêu rõ được sự liên quan giữa các biện pháp quản lý đã chọn với kết quả của các quy trình đánh giá và xử lý rủi ro cũng như với các chính sách và mục tiêu của hệ thống quản lý ATTT đã được đặt ra.

Các tài liệu của hệ thống quản lý ATTT bao gồm:

1/. Các thông báo về chính sách và mục tiêu của hệ thống quản lý ATTT.

2/. Phạm vi của hệ thống quản lý ATTT (xem 2.3.1.1).

3/. Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống quản lý ATTT.

4/. Mô tả hệ phương pháp đánh giá rủi ro (xem 2.3.1.3). 5/. Báo cáo đánh giá rủi ro (xem 2.3.1.3 - 2.3.1.7). 6/. Kế hoạch xử lý rủi ro (xem 2.3.2.2).

7/. Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch, sự điều hành và quản lý các quy trình bảo đảm an toàn thông tin

Một phần của tài liệu XÂY DỰNG GIẢI PHÁP ĐÁNH GIÁ AN NINH AN TOÀN MẠNG (Trang 27 - 101)

Tải bản đầy đủ (DOC)

(101 trang)
w