CHƯƠNG 3 BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BỘ ĐÀM KỸ THUẬT SỐ APCO25
3.2. Các chính sách bảo mật thông tin
3.2.1. Định nghĩa & giới thiệu:
Chính sách bảo mật thông tin (ISP) là một bộ quy tắc đƣợc ban hành bởi một tổ chức để đảm bảo rằng tất cả người dùng hoặc mạng của cấu trúc CNTT trong miền tổ chức tuân thủ các quy định liên quan đến bảo mật dữ liệu được lưu trữ kỹ thuật số trong phạm vi mà tổ chức mở rộng.
3.2.2. Mục đích
- Để thiết lập một cách tiếp cận chung về bảo mật thông tin
- Để phát hiện và kiểm tra sự thỏa hiệp của bảo mật thông tin nhƣ lạm dụng dữ liệu, mạng, hệ thống máy tính và ứng dụng.
- Để bảo vệ danh tiếng của công ty liên quan đến trách nhiệm đạo đức và pháp lý của nó.
- Quan sát quyền lợi của khách hàng; cung cấp các cơ chế hiệu quả để trả lời các khiếu nại và truy vấn liên quan đến việc không tuân thủ thực tế hoặc nhận thức về chính sách là một cách để đạt đƣợc mục tiêu này.
3.2.3 Mục tiêu bảo mật thông tin
Một tổ chức cố gắng soạn một ISP hoạt động cần phải có các mục tiêu đƣợc xác định rõ liên quan đến bảo mật và chiến lƣợc mà quản lý đã đạt đƣợc thỏa thuận.
Bất kỳ sự bất đồng nào hiện có trong bối cảnh này có thể khiến dự án chính sách bảo mật thông tin bị rối loạn. Điều quan trọng nhất mà một chuyên gia bảo mật nên nhớ là việc anh ta biết các thực hành quản lý bảo mật sẽ cho phép anh ta kết hợp chúng vào các tài liệu mà anh ta đƣợc ủy thác để soạn thảo, và đó là sự đảm bảo cho sự hoàn thiện, chất lƣợng và khả năng làm việc.
Đơn giản hóa ngôn ngữ chính sách là một điều có thể làm dịu đi sự khác biệt và đảm bảo sự đồng thuận giữa các nhân viên quản lý. Do đó, cần tránh những biểu hiện mơ hồ. Cẩn thận với ý nghĩa chính xác của các thuật ngữ hoặc các từ phổ biến.
Chẳng hạn, có thể thương lượng được các cơ hội khác, trong khi đó thì nên sử dụng một số mức độ tùy ý. Lý tưởng nhất, chính sách nên được xây dựng ngắn gọn đến điểm. Sự dƣ thừa của từ ngữ chính sách (ví dụ, sự lặp lại vô nghĩa trong văn bản) nên tránh cũng nhƣ nó sẽ làm cho các tài liệu trở nên dài dòng và không đồng bộ, với sự bất hợp pháp làm cản trở sự tiến hóa. Cuối cùng, hàng tấn chi tiết có thể cản trở sự tuân thủ hoàn toàn ở cấp chính sách.
Vì vậy, cách quản lý xem bảo mật CNTT dường như là một trong những bước đầu tiên khi một người có ý định thực thi các quy tắc mới trong bộ phận này.
66
Hơn nữa, một chuyên gia bảo mật nên đảm bảo rằng ISP có trọng lực thể chế tương đương như các chính sách khác được ban hành trong tập đoàn. Trong trường hợp một tổ chức có cấu trúc lớn, các chính sách có thể khác nhau và do đó đƣợc tách riêng để xác định các giao dịch trong tập hợp con dự định của tổ chức này.
Bảo mật thông tin được coi là bảo vệ ba mục tiêu chính:
- Bảo mật - tài sản thông tin và dữ liệu phải được giới hạn cho những người được ủy quyền truy cập và không được tiết lộ cho người khác;
- Tính toàn vẹn - giữ cho dữ liệu nguyên vẹn, đầy đủ và chính xác và hệ thống CNTT hoạt động;
- Tính khả dụng - một mục tiêu chỉ ra rằng thông tin hoặc hệ thống đƣợc xử lý bởi người dùng được ủy quyền khi cần thiết.
3.2.4. Chính sách kiểm soát truy cập
Thông thường, một chính sách bảo mật có một mô hình phân cấp. Điều đó có nghĩa là nhân viên kém hơn thường bị ràng buộc không chia sẻ lượng thông tin ít ỏi họ có trừ khi được ủy quyền rõ ràng. Ngược lại, người quản lý cấp cao có thể có đủ thẩm quyền để đƣa ra quyết định dữ liệu nào có thể đƣợc chia sẻ và với ai, điều đó có nghĩa là họ không bị ràng buộc bởi các điều khoản chính sách bảo mật thông tin tương tự. Vì vậy, logic đòi hỏi ISP phải giải quyết mọi vị trí cơ bản trong tổ chức với các thông số kỹ thuật sẽ làm rõ trạng thái có thẩm quyền của họ.
Sàng lọc chính sách diễn ra đồng thời với việc xác định kiểm soát hành chính, hoặc quyền hạn nói cách khác, mọi người trong tổ chức có. Về bản chất, đó là ủy quyền kiểm soát dựa trên hệ thống phân cấp, trong đó người ta có thể có thẩm quyền đối với công việc của mình, người quản lý dự án có thẩm quyền đối với các tệp dự án thuộc nhóm mà anh ta đƣợc chỉ định và quản trị viên hệ thống chỉ có thẩm quyền đối với các tệp hệ thống cấu trúc gợi nhớ đến sự phân chia quyền lực học thuyết. Rõ ràng, một người dùng có thể có những nhu cầu cần biết về một loại thông tin cụ thể. Do đó, dữ liệu phải có đủ thuộc tính chi tiết để cho phép truy cập đƣợc ủy quyền phù hợp. Đây là dòng tìm kiếm sự cân bằng tinh tế giữa việc cho phép truy cập vào những người cần sử dụng dữ liệu như một phần công việc của họ và từ chối nhƣ vậy đối với các thực thể trái phép.
Truy cập vào mạng và máy chủ của công ty, dù theo nghĩa vật lý của từ này, phải thông qua các thông tin đăng nhập duy nhất yêu cầu xác thực dưới dạng mật khẩu, sinh trắc học, thẻ ID hoặc mã thông báo, v.v. ghi lại các lần đăng nhập (cả những lần thành công và thất bại) và ngày giờ đăng nhập và đăng xuất chính xác.
67
Nói về sự tiến hóa ở điểm trước - khi chương trình bảo mật CNTT đáo hạn, chính sách có thể cần cập nhật. Mặc dù làm như vậy sẽ không nhất thiết phải tương đương với cải thiện về bảo mật, tuy nhiên nó vẫn là một khuyến nghị hợp lý.
3.2.5. Phân loại dữ liệu
Dữ liệu có thể có giá trị khác nhau. Các hạng trong chỉ số giá trị có thể áp đặt các chế độ / quy trình xử lý cụ thể cho từng loại. Do đó, một hệ thống phân loại thông tin có thể thành công trong việc chú ý đến việc bảo vệ dữ liệu có tầm quan trọng đáng kể đối với tổ chức và bỏ qua những thông tin không quan trọng có thể làm quá tải tài nguyên của tổ chức. Chính sách phân loại dữ liệu có thể sắp xếp toàn bộ bộ thông tin nhƣ sau:
Dữ liệu của Nhóm rủi ro cao đƣợc bảo vệ bởi luật pháp của tiểu bang và liên bang (Đạo luật bảo vệ dữ liệu, HIPAA, FERPA) cũng như tài chính, bảng lương và nhân sự (yêu cầu bảo mật) đƣợc bao gồm ở đây.
Lớp bảo mật - dữ liệu trong lớp này không được hưởng đặc quyền dưới quyền của pháp luật, nhƣng chủ sở hữu dữ liệu đánh giá rằng nó cần đƣợc bảo vệ chống lại tiết lộ trái phép.
Lớp công cộng - Thông tin này có thể đƣợc phân phối tự do.
Chủ sở hữu dữ liệu nên xác định cả phân loại dữ liệu và các biện pháp chính xác mà người quản lý dữ liệu cần thực hiện để duy trì tính toàn vẹn theo mức đó.
3.2.6. Chính sách bảo mật radio
Các cá nhân trái phép có thể sử dụng radio bị mất hoặc bị đánh cắp với các khóa mã hóa hợp lệ được tải trước đó. Thực hiện các hành động sau đây để ngăn chặn việc sử dụng này:
- Không bao giờ để radio không giám sát và lưu trữ chúng ở một vị trí an toàn khi không sử dụng, bất cứ khi nào thiết thực trong hậu cần kinh doanh của tổ chức của bạn.
- Lập kế hoạch để thực hiện loại bỏ nhanh và/hoặc thay đổi các khóa mã hóa hợp lệ trong khi cần bảo mật.
- OTAR-ức chế hoặc số không hóa các đơn vị bị xâm nhập hoặc ức chế thiết bị bằng Trình quản lý điều khiển vô tuyến (RCM).
- Sử dụng tính năng khóa để bảo vệ mật khẩu radio.
- Tắt yêu cầu cấp lại khóa và sử dụng tính năng Xóa tất cả các khóa khi tạm thời rời khỏi dịch vụ. Yêu cầu cấp lại khóa bằng giọng nói (xác thực người dùng cuối) khi quay lại dịch vụ.
- Nếu radio bị mất, bị đánh cắp hoặc mất tích, cấp lại khóa tất cả các radio sử dụng cùng khóa.
68