Chọn lọc hợp lý các sản phẩm ATAN

Một phần của tài liệu Nghiên cứu giải pháp an toàn an ninh thông tin cho các cơ quan tổ chức dựa trên chuẩn ISO - 17799 (Trang 35)

Một chương trình về ATAN dù ở cấp độ nào cũng cần có một tổng thể các biện pháp kiểm soát ATAN bao gồm: quản lý, vận hành và kỹ thuật. Các biện pháp quản lý thường đề cập tới việc quản lý chương trình ATAN và quản lý rủi ro. Các biện pháp kiểm soát vận hành thường do con người thực hiện, thao tác hệ thống cũng như công nghệ. Các biện pháp kiểm soát về kỹ thuật là các biện pháp kiểm soát an ninh do hệ thống vi tính thực hiện và các biện pháp này phải luôn được gắn liền, thực hiện song song với các biện pháp kiểm soát quản lý cũng như vận hành hệ thống.

Chỉ có các biện pháp kỹ thuật đơn thuần thì không đủ, nó luôn cần được giám sát và điều phối bởi các biện pháp về vận hành và quản lý. Cũng giống như một cơ quan/tổ chức trang bị cho mình một hệ thống phòng chống virus rất tân tiến, hiện đại nhưng chính sách quản lý và vận hành lại lỏng lẻo, không thống nhất, cho phép nhiều máy tính truy cập Internet không có phần mềm phòng chống virus thì nguy cơ tấn công sẽ bắt nguồn từ những máy tính thiếu sự quản lý này. Nguy cơ đó đi đôi với những điểm yếu của hệ điều hành, các ứng dụng và dịch vụ nếu bị kẻ tấn công khai thác cũng sẽ gây tổn thất cho cơ quan/tổ chức đó, mức độ thiệt hại cao thấp khi đó sẽ tùy thuộc vào độ nghiêm trọng của điểm yếu bị khai thác và khả năng của kẻ tấn công. Số lượng và chủng loại của các biện pháp ATAN cũng như các sản phẩm ATAN tương ứng sẽ thay đổi, chuyển biến tùy theo từng hệ thống cụ thể và vòng đời phát triển của hệ thống đó. Sự pha trộn các biện pháp ATAN thường liên quan tới tiêu chí của một cơ quan/tổ chức và vai trò của hệ thống trong cơ quan/tổ chức đó.

Quản lý rủi ro là một quy trình đánh giá tính hiệu quả của tổ hợp các biện pháp ATAN về quản lý, vận hành và kỹ thuật. Mục tiêu của việc quản lý rủi ro nhằm góp phần giảm nhẹ rủi ro tới một mức cho phép, xác định bởi nhà quản lý cấp cao. Việc này không chỉ đơn giản là chọn lấy một thiết bị ATAN, mua nó và cài đặt trong hệ thống mà nó còn cho thấy cách nhìn nhận đúng đắn, chuyên nghiệp của một tổ chức đối với vấn đề ATAN hệ thống thông tin.

34

Một phần của tài liệu Nghiên cứu giải pháp an toàn an ninh thông tin cho các cơ quan tổ chức dựa trên chuẩn ISO - 17799 (Trang 35)

Tải bản đầy đủ (PDF)

(111 trang)