7. Vòng đi ca chính sách An ninh thông tin
7.2 Xây d ng chính sách An ninh thông tin
Vi c xây d ng m t chính sách an ninh thông tin liên quan t i: (1) v ch ra đ nh h ng chính sách; (2) thi t l p t ch c an ninh thông tin và xác đ nh
trách nhi m c ng nh vai trò c a nó; (3) k t n i khuôn kh chính sách an ninh
thông tin; (4) xây d ng và/ho c s a l i lu t pháp giúp t o cho chúng s thích
h p v i chính sách; và (5) phân b m t ngu n ngân sách cho vi c th c hi n
120 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c
1. Thi t l p đ nh h ng chính sách và đ y m nh ti n v phía tr c
Trong h u h t các tr ng h p, vi c theo đu i chính sách an ninh thông tin c n đ c đi đ u b i chính ph h n là đ cho khu v c t nhân. c bi t, chính ph
c n thi t l p chính sách, đóng vai trò trong vi c d n đ u đ a c s h t ng t i
ch và cung c p s h tr dài h n. Khu v c t nhân tham gia vào d án giai đo n này, c th là tham gia vào nghiên c u, phát tri n và xây d ng h th ng.
Vi c l p k ho ch cho khu v c t nhân tham gia bao g m các ho t đ ng nâng
cao nh n th c bên c nh vi c xây d ng và t ng c ng c s h t ng thông tin
– truy n thông. N u chính ph nh m t i khuy n khích khu v c t nhân ch p
nh n chi n l c thông tin, chính ph c n đóng vai trò h tr h n là vai trò
đi u khi n. i u này bao g m vi c phân phát các ch d n an ninh thông tin.
2. S thành l p c a t ch c an ninh thông tin, vi c xác đ nh các vai trò và trách nhi m54
M t khi đ nh h ng cho chính sách an ninh thông tin đã đ c đ t ra, vi c xây
d ng t ch c c n đ c ti n hành. Hình 21 cho th y c u trúc c a m t t ch c
an ninh thông tin qu c gia nói chung.
54 c trích t i Sinclair Community College, “Information Security Organization - Roles and Responsibilities,”
http://www.sinclair.edu/about/information/usepolicy/pub/infscply/Information_Security_Organization_- _Roles_and_Responsibilities.htm.
H c ph n 6An toàn, an ninh thông tin và m ng l i 121
Hình 21. Hình m u c a t ch c an ninh qu c gia
Các t ch c an ninh thông tin qu c gia thì khác đôi chút tùy theo đ c tr ng và v n hóa c a m i n c. Tuy nhiên, m t nguyên t c c b n là đ m b o r ng các
vai trò và trách nhi m đ c v ch ra m t cách rõ ràng.
T ch c qu n tr
Ban phó ch t ch có trách nhi m chính đ i v i thông tin đ c thu th p, duy
trì và/ho c đ c xác đ nh nh là vi c t n d ng hay ‘s h u’ b i t ng đ n v
riêng bi t. H có th ch đ nh m t Cán b an ninh thông tin (Information
Security Officer) và các cá nhân khác h tr cho Cán b an ninh thông tin
trong vi c th c thi chính sách an ninh thông tin. i ng nhân viên đ c ch đ nh này ph i đ m b o r ng nh ng tài s n thông tin trong vòng ki m soát c a
h đ c đ nh rõ ch s h u, các đánh giá r i ro đ c th c hi n, và các quy trình gi m nh đ i v i nh ng r i ro đó đ c th c thi. Ch t ch CISO Ban c v n Ban phó ch t ch Phòng chính sách Phòng k thu t Khác
Nhóm an ninh thông tin h th ng qu n tr
Nhóm phn ng s c an ninh máy tính (CSIRT)
Phòng dch v công ngh thông tin (ITSD)
Các h th ng phát tri n và b o trì (SDM)
Các nhân viên truy c p thông tin i ng nhân viên t m th i
Nhân viên t v n Các nhà cung c p d ch v Các thành viên c ng đ ng
122 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c
Nh ng ng i giám sát (Giám đ c, Ch t ch, Ng i qu n lý…) qu n lý
nhân viên truy c p thông tin và các h th ng thông tin đ ng th i xác đ nh, thi
hành và tuân th vi c ki m soát an ninh thông tin đ i v i các l nh v c t ng ng c a mình. H ph i đ m b o r ng t t c nh ng nhân viên hi u rõ trách nhi m cá nhân c a mình đ i v i an ninh thông tin đ ng th i đ m b o r ng các
nhân viên có quy n truy c p c n thi t đ th c hi n công vi c c a h . Ng i
giám sát c n đ nh k xem xét t t c nh ng c p đ truy c p c a ng i s d ng
nh m đ m b o r ng h thích h p và có hành đ ng thích h p đ hi u ch nh
nh ng s khác bi t c ng nh s thi u h t.
Giám đ c an ninh thông tin (Chief Information Security Officer - CISO) có trách nhi m đi u ph i và quan sát chính sách an ninh thông tin. C ng tác m t
cách ch t ch v i nhi u phòng ban, CISO có th khuy n ngh r ng nh ng ng i
giám sát c a các phòng ban c th ch đ nh ng i đ i di n khác đ quan sát và
đi u ph i nh ng y u t đ c bi t trong chính sách. CISO c ng tr giúp nh ng ch
s h u thông tin v i nh ng th c ti n an ninh thông tin t t nh t trong:
• Thi t l p và ph bi n các quy t c có th thi hành v ti p c n và s d ng
h p lý nh ng tài nguyên thông tin;
• Ch đ o/ i u ph i vi c phân tích và đánh giá r i ro an ninh thông tin;
• Xây d ng các bi n pháp và ch d n an ninh h p lý nh m b o v d li u và các h th ng;
• H tr vi c qu n lý và giám sát cá kh n ng t n công an ninh h th ng;
• Ch đ o/ i u ph i công tác ki m tra an ninh thông tin;
• H tr vi c đi u tra/gi i quy t các v n đ và/ho c nh ng vi ph m đ i v i
an ninh thông tin qu c gia.
T ch c k thu t
Nhóm An ninh Thông tin H th ng Qu n tr (Administrative System Information Security Team) phát tri n và th c hi n nh ng bi n pháp nh m đ m b o r ng vi c ki m soát an ninh ng d ng qu n tr cho phép các bên liên quan kh n ng truy c p thích h p t i thông tin trong khi th a mãn lu t pháp
qu c gia và các ngh a v b o v thông tin phê bình, nh y c m và riêng t .
Nhóm phát tri n các tiêu chu n và quy trình nh m cung c p tính s n sàng, tính toàn di n và tính tin c n c a thông tin h th ng qu n tr , bao g m các quy
trình dành cho ng i dùng yêu c u đ i v i truy c p ban đ u và thay đ i quy n
truy c p; tài li u đ i v i truy c p ng i dùng đ c phép, c ng nh quy n và ngh a v c a ng i giám sát/ng i dùng; gi i pháp cho các v n đ c ng nh xung đ t có liên quan đ n an ninh.
H c ph n 6An toàn, an ninh thông tin và m ng l i 123
Nhóm g m có Phòng Cán b An ninh Thông tin (Division Information Security Officers) và CISO. Nhóm đ c ch d n b i C c Cán b An ninh thông tin và i u hành viên h th ng qu n tr (Department Information
Security Officers and Administrative Systems Administrators).
CSIRT cung c p thông tin và h tr các bên liên quan trong vi c th c hi n
các bi n pháp tiên phong nh m làm gi m r i ro đ i v i các s c an ninh
thông tin, c ng nh trong vi c ki m tra, đ i phó nh m gi m thi u thi t h i t
nh ng s c này khi chúng x y ra. CSIRT c ng xác đ nh và khuy n ngh các hành đ ng ti p sau. CSIRT hai l p bao g m m t nhóm ho t đ ng ph trách
vi c nh n đ nh ban đ u, đ i phó, phân lo i và xác đ nh nh ng yêu c u leo
thang, và m t nhóm qu n lý ph trách vi c đi đ u qu c gia trong vi c đ i phó
v i nh ng s c chính hay quan tr ng. CISO và các thành viên đ i ng IT đ c y thác t b ph n Phát tri n và B o trì các h th ng, d ch v công ngh
thông tin (Information Technology Services and Systems Development and Maintenance) là thành ph n c a nhóm CSIRT ho t đ ng. Nhóm qu n lý
CSIRT bao g m Ph trách Thông tin (Chief Information Officer), Ph trách Giám sát (Chief of Police), Giám đ c Thông tin công (Director of Public Information), Giám đ c D ch v Công ngh thông tin (Director of
Information Technology Services), Giám đ c H th ng phát tri n và b o trì (Director of Systems Development and Maintenance), CISO, nhà qu n lý
m ng l i và h th ng, c v n pháp lu t, c v n ngu n nhân l c, và các đ i
bi u có chuyên môn k thu t đ c b nhi m m t cách đ c bi t b i các Phó
Ch t ch.
Các thành viên c a Phòng d ch v Công ngh thông tin (Information Technology Services Department) bao g m các k s và đi u hành viên m ng l i và h th ng, các nhà cung c p d ch v k thu t nh IT Help Desk,
các k thu t viên h tr ng i dùng, và nh ng nhà qu n tr truy n thanh. H
chu trách nhi m đ i v i vi c tích h p các công c an ninh thông tin v m t
k thu t, công tác qu n tr c ng nh các th c ti n trong môi tr ng m ng. H
ti p nh n nh ng báo cáo v các s c hay th t b i an ninh thông tin đ c nghi
ng t phía ng i dùng cu i.
Các thành viên H th ng phát tri n và b o trì bao g m nh ng nhà phát tri n
và nhà qu n tr c s d li u. H phát tri n, rén luy n, tích h p và th c thi các
th c ti n an ninh t t nh t v các ng d ng qu c gia, đ ng th i đào t o cho các
nhà phát tri n ng d ng Web trong vi c s d ng nh ng nguyên t c an ninh
124 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c
Các đ i t ng khác
Các nhân viên có quy n truy c p thông tin và h th ng thông tin ph i tuân
theo nh ng th t c và chính sách qu c gia có th đ c áp d ng, c ng nh b t
k các th t c hay th c ti n nào đ c xây d ng b i nh ng đ n v d n đ u hay đ n v đ nh h ng c a h . i u này bao g m vi c b o v m t mã tài kho n
c a h và báo cáo nghi ng l m d ng thông tin hay các s c an ninh thông
tin cho các bên thích h p (thông th ng là ng i giám sát c a h ).
i ng nhân viên t m th i đ c coi là các nhân viên và có cùng trách nhi m nh m t nhân viên toàn th i (full-time) hay bán th i (part-time) chính th c v i quy n truy c p t i thông tin và các h th ng thông tin.
Các nhà t v n, nhà cung c p d ch v và các bên tham gia th ba khác
đ c c p quy n truy c p thông tin v m t ‘nhu c u n m b t’ c b n. M t tài kho n m ng đ c yêu c u b i m t bên th ba ph i đ c đ a ra b i ‘ng i
b o tr ’ trong t ch c mà ng i đó s đ m b o r ng ng i s d ng bên th ba
hi u rõ các trách nhi m cá nhân có liên quan đ n tài kho n m ng, và đ c
ch p thu n b i giám đ c hay phó ch t ch thích h p. Ng i s d ng ph i gi
bí m t (các) m t kh u c a anh/cô ta đ ng th i ch u trách nhi m đ i v i b t k
ho t đ ng đ a l i k t qu nào t vi c s d ng (các) ID c a anh/cô ta trong
ph m vi ki m soát h p lý c a anh/cô ta.
3. Thi t l p khuôn kh cho chính sách an ninh thông tin
Khuôn kh an ninh thông tin
Khuôn kh an ninh thông tin đ ra nh ng tham s đ i v i chính sách an ninh thông tin. Nó đ m b o r ng chính sách đ a vào các tài nguyên IT (con ng i,
tài li u thông tin, ph n c ng, ph n m m, các d ch v ); ph n ánh các quy t c
và pháp lu t qu c t ; và th a mãn các nguyên t c v tính s n sàng, tính tin c n, tính toàn di n, trách nhi m gi i trình và s đ m b o c a thông tin. Hình 22 th hi n m t khuôn kh an ninh thông tin.
H c ph n 6An toàn, an ninh thông tin và m ng l i 125
Hình 22. Khuôn kh an ninh thông tin
Chính sách an ninh thông tin là b ph n quan tr ng nh t c a khuôn kh an
ninh thông tin. Chính sách bao g m 5 l nh v c, đ c th o lu n d i đây.
a. K ho ch và t ch c: Khía c nh này bao g m an ninh cho vi c v n hành và t ch c, ki m soát và phân lo i tài s n.
An ninh đ i v i vi c v n hành và t ch c bao g m-
• T ch c và h th ng c a t ch c an ninh thông tin qu c gia
• Th t c cho m i t ch c an ninh thông tin
• Thi t l p và qu n lý an ninh thông tin c a qu c gia
• C ng tác v i các c quan qu c t có liên quan • C ng tác v i m t nhóm chuyên gia
Chính sách An ninh Thông tin
Khuôn kh An ninh thông tin
Tính s n sàng Tính tin c n Tính toàn v n Trách nhigi i trình m S đ m b o Bo v bí m t riêng t H th ng/ Lu t pháp qu c gia H th ng/ Lu t pháp qu c t Con ng i Thông tin Tài li u Phc ngn Phm mn Dv ch Ngu n l c IT K ho ch/
T ch c Tht đc thic/ mBt riêng to 1v bí VHn h trành/ Giám sát/ ánh giá
Ho t đ ng/t ch c an ninh Tìm kim các h thng thông tin và phát trin an ninh Kim soát/ phân loi tài sn Qun lý an
ninh tài khon
đ c quy n An ninh v m t v t lý Kim tra an ninh Qun lý và đ i phó s c an ninh An ninh ngu n nhân l c Hot đ ng/t ch c an ninh Qun lý an ninh và v n hành h thng thông tin
126 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c
Ki m soát và phân lo i tài s n bao g m-
• C p quy n s h u và tiêu chu n phân lo i đ i v i nh ng tài s n thông tin
quan tr ng
• G i ch d n và đánh giá r i ro v nh ng tài s n thông tin quan tr ng
• Qu n lý các đ c quy n truy c p đ i v i nh ng tài s n thông tin quan
tr ng
• Công b nh ng tài s n thông tin quan tr ng
• ánh giá l i và t n d ng các tài s n thông tin quan tr ng
• Qu n lý b o m t tài li u
b. Thu nh n và th c thi: Khía c nh này bao g m an ninh ngu n nhân l c,
thu nh n các h th ng an ninh và phát tri n an ninh.
An ninh ngu n nhân l c liên quan đ n vi c xác đ nh m t ph ng pháp
qu n lý cho vi c thuê m n nh ng ng i làm thuê m i, nó bao g m:
• Các bi n pháp đ i phó an ninh ngu n nhân l c và đào t o an ninh
• X lý vi ph m các quy đ nh và pháp lu t an ninh
• Qu n lý an ninh đ i v i vi c truy c p c a bên th ba
• Qu n lý an ninh đ i v i vi c truy c p c a các cá nhân thuê ngoài
• Ho t đ ng và qu n lý đ i v i các bên th ba c ng nh nhân viên thuê
ngoài
• Qu n lý an ninh đ i v i thi t b và phòng máy tính • Truy c p t i nh ng công trình và ph ng ti n ch y u
• X lý các s c an ninh
Thu nh n các h th ng an ninh và phát tri n an ninh bao g m-