IV. Hạn chế
1. An ninh tổ chức
1.2 Chính sách an toàn thông tin
a, Quyền sở hữu các chính sách về an toàn thông tin - Vị trí (SH): có các quy tắc sau
• Giám đốc IT (IT manager) là người quản lý các chính sách về ATTT. (SH1)
• Giám đốc về ATTT (Chief Security Officer - CSO) là người quản lý các chính sách về ATTT. (SH2)
• Giám đốc về an ninh (Chief Security Officer - CSO) sẽ quản lý các chính sách, tiêu chuẩn, quy trình và hướng dẫn an toàn thông tin của cơ quan (bao gồm cả hướng dẫn thực hiện an toàn thông tin) .(SH3)
Trong trường hợp này, đây là các hành vi độc lập và không phụ thuộc, việc lựa chọn sẽđược chọn ra từ các hành vi trên, tùy thuộc vào cách bố trị của từng tổ chức
Gọi y_sh là hàm logic của quy tắc SH, x_sh1, x_sh2, x_sh3 là các biến thành phần
Ta có
y_sh = x_sh1 + x_sh2 + x_sh3
Điểm theo công thức (4)
P(y_sh) =P( x_sh1) +P( x_sh2) + P( x_sh3)
b, Phê chuẩn các chính sách về an toàn thông tin - Quản lý tổ chức (PC): có các quy tắc sau
• Các chính sách về ATTT phải được nhóm các cán bộ điều hành phê chuẩn hàng năm (PC1).
• Các chính sách về ATTT phải được cấp quản lý phê chuẩn hàng năm.(PC2)
• Các chính sách về ATTT phải được ban giám đốc phê chuẩn theo từng năm (PC3)
Các hành vi trong việc phê chuẩn các chính sách là các sự kiện độc lập ở
chuẩn ở các cấp cao, các chính sách được phê chuẩn theo thứ tự vị trí lãnh
đạo của tổ chức.
Gọi y_pc là hàm logic của quy tắc PC, x_pc1, x_pc2, x_pc3 là các biến thành phần. Ta có y_pc = x_pc1 + x_pc2 + x_pc3 Điểm theo công thức (2) P(y_pc) = P(x_pc1)+. P(x_pc2) + P(x_pc3) - P(x_pc1). P(x_pc2) – P(x_pc1). P(x_pc3)- P(x_pc2)+. P(x_pc3)+ P(x_pc1) . P(x_pc2) . P(x_pc3)
c, Ngôn ngữ của các chính sách ATTT (NN): có các quy tắc sau • Các chính sách an toàn thông tin phải được soạn thảo bởi các nhân viên am hiểu lĩnh vực kỹ thuật tương ứng (NN1)
• Các chính sách an toàn thông tin phải sử dụng ngôn ngữ dùng chung trong toàn bộ hoạt động kinh doanh của tổ chức. (NN2)
• Các chính sách an toàn thông tin chỉ được thể
hiện dưới một ngôn ngữ chính thức của cơ quan.(NN3) Các hành vi trên là các hành vi độc lập và không phụ thuộc, khi chọn lựa ta chỉ chọn một trong các hành vi trên để thực hiện quy tắc NN
Gọi y_nn là hàm logic của quy tắc NN, x_nn, x_nn, x_nn là các biến thành phần. Ta có y_nn = x_nn1 + x_nn2 + x_nn3 Điểm theo công thức (4) P(y_nn) = P(x_nn1) +P( x_nn2) + P(x_nn3)
d,Phân tích mối quan hệ giữa các quy tắc trong chính sách an toàn thông tin: có các quy tắc sau
• Quyền sở hữu các chính sách về an toàn thông tin
- Vị trí (SH)
• Phê chuẩn các chính sách về an toàn thông tin -
Quản lý tổ chức (PC)
• Ngôn ngữ của các chính sách ATTT (NN)
Đây là các hành vi thuộc lĩnh vực chính sách an toàn, các hành vi này xét ở
trường hợp độc lập, chúng không phụ thuộc vào nhau
Gọi y_cs là hàm logic của của lĩnh vực con CS, x_sh, x_pc, x_nn là các biến thành phần. Ta có y_cs = x_sh + x_pc + x_nn Điểm theo công thức (2) P(y_cs) = P(x_sh) P( _pc) P(x_nn)- P(x_sh).P(x_pc)-P( x_pc).P( x_nn)- P( x_sh) .P( x_nn) + P(x_sh).P( x_pc). P( x_nn)