Trong phần này sẽ mô tả quá trình lựa chọn kiểm soát, bắt đầu bằng việc mô tả lớp kiểm soát bảo mật và các nhóm bảo mật, sau đó sẽ mô tả quá trình lựa chọn kiểm soát, giới thiệu kiểm soát cơ bản đƣợc đề nghị cho mỗi mức bảo mật ảnh hƣởng tới hệ thống thông tin. Nội dung này cũng chỉ ra cách các kiểm soát cơ bản đƣợc cải tiến cho phù hợp với yêu cầu cụ thể của các tổ chức và kết quả đƣa ra là những danh sách yêu cầu kỹ thuật phù hợp với các yêu cầu bảo mật của hệ thống thông tin.
Quy trình chọn lựa kiểm soát bảo mật đƣợc đề cập đến trong SP NIST 800- 53 và các khuyến nghị kiểm soát bảo mật cho các ở quan an ninh Mỹ [11]. Hệ thống kiểm soát bảo mật khi đƣợc sử dụng một cách chính xác có thể hạn chế hoặc ngăn chặn mối đe dọa tiềm ẩn cho tổ chức. Vấn đề kiểm soát bảo mật đƣợc xếp vào 3 loại:
Kiểm soát kỹ thuật
Các kiểm soát kỹ thuật có thể đƣợc sử dụng để chống lại các mối đe dọa. Những kiểm soát này có thể dao dộng từ đơn giản cho đến biện pháp phức tạp và bao gồm kết hợp phần cứng, phần mềm và firmware. Bên cạnh các kiểm soát độc lập, các kiểm soát kỹ thuật cũng hỗ trợ các kiểm soát quản lý và kiểm soát điều hành đƣợc mô tả dƣới đây.
Kiểm soát quản lý
Các kiểm soát quản lý bảo mật đƣợc triển khai để thực hiện quản lý và giảm thiểu các rủi ro và bảo vệ hoạt động cho tổ chức. Kiểm soát quản lý bảo mật có thể đƣợc xem là kiểm soát ở mức cao nhất, nó tập trung vào các quy định về chính sách, tiêu chuẩn và hƣớng dẫn, đƣợc thực hiện bởi các quy trình điều hành để đáp ứng các mục tiêu và nhiệm vụ của tổ chức.
Kiểm soát điều hành
Các kiểm soát điều hành đƣợc sử dụng để sửa chữa hoạt động bị lỗi và bị khai thác bởi những kẻ tấn công tiềm ẩn. Những kiểm soát này đƣợc thực hiện trong ngành công nghiệp với quy trình rõ ràng và chuẩn hóa, đƣợc thiết lập dựa vào các yêu cầu trong kiểm soát kỹ thuật. Các quy trình và các cơ chế bảo vệ vật lý là những ví dụ về hoạt động kiểm soát bảo mật.
Trong 3 loại kiểm soát này có 17 nhóm tổ hợp kiểm soát đƣợc xác định bởi NIST- 2009b, trình bày trong bảng 3.2. Do phạm vi nghiên cứu của luận văn, tôi muốn tập trung vào các kiểm soát kỹ thuật. Các kiểm soát vận hành chi phối việc bảo vệ vật lý và quản lý nhân sự, sẽ không khác nhau nhiều trong môi trƣờng đám mây với môi trƣờng điện toán thông thƣờng. Trong phần này không trình bày các kiểm soát quản lý vì chúng hoặc là không khác nhau nhiều trong môi trƣờng truyền thống hoặc là chúng đã đƣợc mô tả trong phần 3.1 ,3.2 và 3.3. Do vậy tôi bỏ qua các loại kiểm soát điều hành và kiểm soát quản lý trong phần còn lại của nội dung này.
Ký
hiệu Nhóm
Loại kiểm soát
AC Access Control Kiểm soát truy cập Kỹ thuật
AT Awareness and Training Nhận thức và Đào tạo Điều hành AU Audit and Accountability Kiểm tra và giải trình Kỹ thuật CA Certification, Accreditation
and Security Assessments
Chứng nhận và đánh giá
bảo mật Quản lý
CM Configuration Management Quản lý cấu hình Điều hành CP Contingency Planning Lập kế hoạch dự phòng Điều hành IA Identification and
Authentication Nhận dạng và xác thực Kỹ thuật
IR Incident Response Đối phó sự cố Điều hành
MA Maintenance Bảo trì Điều hành
MP Media Protection Bảo vệ truyền thông Điều hành
PE Physical and Environmental Protection
Bảo vệ vật lý và môi
trƣờng Điều hành
PL Planning Lập kế hoạch Quản lý
PS Personnel Security Bảo mật cá nhân Điều hành
RA Risk Assessment Đánh giá rủi ro Quản lý
SA System and Services Acquisition
Hệ thống và dịch vụ đạt
đƣợc Quản lý
SC System and Communications Protection
Bảo vệ hệ thống và truyền
thông Kỹ thuật
SI System and Information Integrity
Bảo toàn hệ thống và
thông tin Điều hành
Bảng 3.2. Các nhóm kiểm soát bảo mật
Các nhóm kiểm soát kỹ thuật mà tôi đang tập trung vào là kiểm soát truy cập (AC), kiểm tra và giải trình (AU), nhận dạng và xác thực (IA), bảo vệ hệ thống và truyền thông (SC). Bốn nhóm có có một mối quan hệ mật thiết với ba loại giải pháp mật trong mục 2.1.3. Trong khi xem xét, nghiên cứu các khía cạnh liên quan đến bảo mật chúng tôi xác định khía cạnh bảo vệ dữ liệu nhƣ là một thành phần của framework. Bốn nhóm kiểm soát kỹ thuật có mối liên hệ tƣơng đƣơng với giải pháp bảo vệ dữ liệu trừ trƣờng hợp ngoại lệ là kiểm soát truy cập và kiểm tra & giải trình. Cả hai đều tƣơng tự nhƣ các giải pháp hành vi (xem bảng 3.3).
Nhóm kiểm soát kỹ thuật Khía cạnh bảo vệ dữ liệu
Kiểm soát truy cập Các giải pháp hành vi Kiểm tra và giải trình Các giải pháp hành vi Nhận dạng và xác thực Các giải pháp lai Bảo vệ hệ thống và thông tin Giải pháp cơ sở
Bảng 3.3. Ánh xạ các nhóm kiểm soát kỹ thuật với các giải pháp bảo vệ dữ liệu Khi tổ chức bắt đầu qua trình lựa chọn cần thực hiện tuần tự theo 3 bƣớc sau: 1. Lựa chọn kiểm soát bảo mật cở sở (mục 3.4.1.)
2. Điều chỉnh các kiểm soát bảo mật cơ sở (mục 3.4.2.) 3. Bổ sung kiểm soát bảo mật cho phù hợp (mục 3.4.3. )
Các bƣớc này đƣợc mô tả trong hình 3.4, quá trình lựa chọn kiểm soát bảo mật và các phần sau đây sẽ đƣợc thảo luận theo từng bƣớc chi tiết hơn.
Hình 3.4. Quy trình lựa chọn kiểm soát bảo mật