IV. Hạn chế
1. An ninh tổ chức
1.3 Chiến lược về an toàn thông tin
a, Các trường hợp ngoại lệ đối với các yêu cầu về an toàn thông tin (NL): có các quy tắc sau
• Những hệ thống thông tin không phù hợp với các yêu cầu trong chính sách về ATTT phải được nâng cấp, cấu hình lại hoặc loại bỏ (NL1)
• Cho phép một số trường hợp ngoại lệ trong chính sách an toàn thông tin (NL2)
• Giám đốc an ninh (Chief Security Officer - CSO) có thể cho phép các trường hợp ngoại lệ khi Tuân thủ các qui tắc trong chính sách an toàn thông tin.( NL3)
• Các trường hợp ngoại lệ không phù hợp với chính sách ATTT chỉ có thể được thực hiện khi có các tài liệu và đánh giá rõ ràng của các chủ tài sản và sự đồng ý của cấp quản lý cao hơn. Từng trường hợp phải được rà soát lại ít nhất mỗi năm một lần. Người sở hữu sẽ liên đới chịu trách nhiệm cá nhân khi có bất cứ sự cố nào do các trường hợp ngoại lệ
này gây ra.(NL4)
Ta thấy rằng nếu NL1 xảy ra thì các trường hợp NL2, NL3, NL4 không xảy ra, vì khi NL1 xảy ra, các ngoại lệ sẽ được nâng cấp, cấu hình lại vì vậy sẽ
không xảy ra các ngoại lệ và ngược lại, chúng có mối quan hệ loại trừ nhau.
Gọi y_nl là hàm logic của quy tắc NL, x_nl1, x_nl2, x_nl3, x_nl4 là các biến thành phần.
Ta có
y_nl = x_nl1 + (x_nl2 . x_nl3 . x_nt4)
Điểm theo công thức (3) & (4)
P(y_nl) = P( x_nl1) + P(x_nl2) .P( x_nl3) .P( x_nt4))
b, Phân tích lợi ích kinh tế của các biện pháp an toàn thông tin (KT): có các quy tắc sau
• Khi triển khai các biện pháp an toàn thông tin cần phải cân nhắc chi phí triển khai với thiệt hại do rủi ro an toàn thông tin gây ra.(KT1)
• Việc cấp phát các tài nguyên an toàn thông tin phải được ghi nhận và chứng minh rõ các mức hiệu quả thu được (KT2)
• Các biện pháp ATTT phải tạo ra lợi nhuận thực cho cơ quan . Chi phí cho việc xác định, thiết kế, triển khai, vận hành, và bảo trì chính sách ATTT phải được tính toán với các hậu quả trực tiếp hoặc gián tiếp do các rủi ro ATTT gây ra.(KT3)
Nếu là các sự kiện độc lập, các hành vi này sẽ tác động đến lợi ích kinh tế
trong tổ chức khi thực hiện các chính sách về an toàn thông tin. Ta có mối quan hệ :
Gọi y_kt là hàm logic của quy tắc KT, x_kt1, x_kt2, x_kt3 là các biến thành phần.
Ta có
y_kt = x_kt1 . x_kt2 . x_kt3
Điểm theo công thức (3)
P(y_kt) =P( x_kt1) .P( x_kt2) .P( x_kt3)
c,Phân tích mối quan hệ trong chiến lược an toàn thông tin (CL): có các quy tắc sau
• Các trường hợp ngoại lệ đối với các yêu cầu về
an toàn thông tin (NL)
• Phân tích lợi ích kinh tế của các biện pháp an
toàn thông tin (KT)
Đây là 2 hành vi tác động có mối quan hệ trong chiến lược ATTT, chúng
độc lập và tác động, các quy tắc này tác động với nhau., có sự kết hợp cả 2 quy tắc trên làm tăng tính khả thi của chính sách ATTT cho hệ thống
Gọi y_cl là hàm logic của lĩnh vực con CL, x_nl, x_kt là các biến thành phần. Ta có y_cl = x_nl + x_kt Điểm theo công thức (1) P(y_cl) =P( x_nl) + P( x_kt) - P( x_nl) * P( x_kt)