Sự phân loại dữ liệu và lựa chọn các kiểm soát bảo mật là một phần của chƣơng trình bảo mật thông tin cho việc quản lý các rủi ro. Những rủi ro này liên quan tới sự ảnh hƣởng lên các tài sản và các hoạt động của hệ thống thông tin. Chƣơng trình bảo mật thông tin để quản lý rủi ro giống nhƣ mô tả trong hình 2.3. Các bƣớc sẽ đƣợc giải thích ngắn gọn và chủ yếu tập trung vào hai bƣớc đầu tiên.
Hình 2.3. Framework quản lý rủi ro (NIST) Nội dung framework của NIST bao gồm các bƣớc sau đây [11]:
Bƣớc 1: Phân loại hệ thống thông tin
Với việc sử dụng cơ sở kiến trúc của các hệ thống thông tin và dữ liệu đầu vào của các tổ chức nhƣ là mục tiêu kinh doanh, một tổ chức cần phải phân loại các dữ liệu của mình và hệ thống thông tin. Các phân loại dựa trên mức độ ảnh hƣởng của dữ liệu đƣợc xử lý, lƣu trữ và truyền bởi các hệ thống thông tin và là bắt buộc trong FIPS 199 [5] và hƣớng dẫn trong các khuyến nghị SP 800-60 [7].
Bƣớc 2: Lựa chọn kiểm soát bảo mật
Với các phân loại của hệ thống thông tin, các kiểm soát bảo mật đƣợc lựa chọn phải thích hợp để bảo vệ các hệ thống thông tin và dữ liệu. Việc lựa chọn các kiểm soát bảo mật bắt đầu với một tập hợp cơ bản các điều kiện sao cho phù hợp với mức độ ảnh hƣởng của hệ thống thông tin, sau khi việc lựa chọn ban đầu này đƣợc hình thành thì cần thiết kế và bổ sung để đáp ứng các yêu cầu cụ thể. Việc lựa chọn kiểm soát bảo mật đƣợc quy định trong FIPS 200 [6] và đƣợc hƣớng dẫn trong các khuyến nghị SP 800-53 [11].
Bƣớc 3: Thực hiện việc kiểm soát bảo mật
Các thiết lập kiểm soát bảo mật đã lựa chọn trong bƣớc 2 sẽ đƣợc thực hiện trong hệ thống thông tin, cùng với việc tạo ra các đặc điểm kỹ thuật của các kiểm soát đƣợc thực hiện nhƣ thế nào và ở đâu. Những đặc điểm bày là cần thiết trong các giai đoạn khác nhau của nội dung framework quản lý rủi ro.
Bƣớc 4: Đánh giá kiểm soát bảo mật
Việc thực hiện các kiểm soát bảo mật phải đƣợc đánh giá để có một cái nhìn tổng quát, rõ ràng về phạm vi mà các kiểm soát đã thực hiện nhƣ quy trình trong các yêu cầu bảo mật. Việc đánh giá có thể đƣợc thực hiện bằng cách triển khai cụ thể, bằng các bài test hay ngƣời kiểm tra nội bộ hoặc bên ngoài. Hƣớng dẫn đánh giá kiểm soát bảo mật có thể tham khảo tại SP 800-53a [8].
Bƣớc 5: Phân quyền cho hệ thống thông tin
Trƣớc khi một hệ thống thông tin và kiểm soát bảo mật hoạt động, nó phải đƣợc cấp quyền để sẵn sàng cho việc triển khai. Các thực thể chịu trách nhiệm cấp quyền cho một hệ thống thông tin, điều này đƣợc chấp nhận nếu các rủi ro cho tài sản của các tổ chức và công ty ở mức độ chấp nhận đƣợc. Hƣớng dẫn việc cấp quyền cho hệ thống thông tin có trong NIST(2004a) [5].
Bƣớc 6: Giám sát các kiểm soát bảo mật
Sau khi triển khai các hệ thống thông tin, hệ thống sẽ liên tục theo dõi hiệu quả của kiểm soát bảo mật và những thay đổi trong môi trƣờng máy tính hoặc hệ thống thông tin của chính nó, điều này có thể dẫn đến những thay đổi cần thiết trong kế hoạch bảo mật của hệ thống. Kết quả của giai đoạn giám sát đƣợc sử dụng nhƣ là đầu vào trong giai đoạn phân loại của framework. Hƣớng dẫn giám sát các kiểm soát bảo mật có thể tìm thấy trong NIST(2008c) [8].