Xác định phân loại và quản lý tài nguyên

Một phần của tài liệu Sử dụng giải thuật cây lỗi để đánh giá rủi ro trong hệ thống thông tin (Trang 38)

IV. Hạn chế

2. Xác định phân loại và quản lý tài nguyên

2.1 Xử lý và đánh nhãn tài nguyên ( DN)

a, Bảo quản các tài liệu vật lý (BQ): có các quy tắc sau

• Các tài liệu bảo mật phải được bảo quản ở nơi có khóa bảo vệ (BQ1)

• Sau giờ làm việc, tài liệu chứa các thông tin cá nhân phải được cất giữ ở nơi có khóa. (BQ2)

• Trên bàn làm việc, các tài liệu mật phải được dọn sạch chậm nhất là vào cuối giờ làm việc mỗi ngày. (BQ3)

• Tài liệu có thể được để lại trên bàn làm việc với

điều kiện văn phòng phải được khóa. (BQ4)

• Không được để tài liệu một cách lộ liễu khi rời khỏi bàn làm việc. (BQ5)

Ta thấy rằng nếu hành vi BQ1 và hành vi BQ2 xảy ra thì hành vi BQ4 không xảy ra hoặc ngược lại, để tăng cường việc bảo quản các tài liệu thì sự

kết hợp giửa BQ3 và BQ5 là tối quan trọng trong hệ thống

Gọi y_bq là hàm logic của quy tắc BQ, x_bq1, x_bq2, x_bq3, x_bq4, x_bq5 là các biến thành phần.

Ta có

y_bq = ((x_bq1 . x_bq2) + x_bq4) . x_bq3 . x_bq5

Điểm theo công thức (1) & (2)

P(y_bq) = ((P(x_bq1) .P( x_bq2)) + P(x_bq4) ) . P(x_bq3) .P( x_bq5)

b, Xử lý các thông tin mật (XM): có các quy tắc sau

• Không được phép tiết lộ các thông tin mật khi chưa được sự đồng ý của chủ sử hữu thông tin

đó.(XM1)

• Có thể chuyển giao các tài liệu bảo mật nếu có các văn bản thỏa thuận về mức độ bảo mật được sử

dụng.(XM2)

• Thông tin mật không được chuyển cho bên thứ ba trong bất kỳ trường hợp nào nếu không có sự cho phép của chủ sở hữu các thông tin đó. Điều này cũng áp dụng cho cả các thông tin nhạy cảm và thông tin cá nhân. (XM3)

Gọi y_xm là hàm logic của quy tắc XM, x_xm1, x_xm2, x_xm3 là các biến thành phần.

Ta có

y_xm = ((x_xm1 . x_xm3) + x_xm2)

Điểm theo công thức (1) & (3)

P(y_xm) = ((P(x_xm1) . P(x_xm3)) + P(x_xm2)) – ((P(x_xm1) . P(x_xm3)) . P(x_xm2))

c, Thông tin mật ở nơi công cộng (CC): có các quy tắc sau

• Không được phép để lộ các thông tin mật dưới bất kỳ hình thức nào ở nơi công cộng.(CC1)

• Phải có cảnh báo khi trao đổi các thông tin mật ở

Gọi y_cc là hàm logic của quy tắc CC, x_cc1, x_cc2 là các biến thành phần. Ta có y_cc = x_cc1 . x_cc2 Điểm số theo công thức (3) P(y_cc) = P(x_cc1) . P(x_cc2)

d, Mối quan hệ giữa các quy tắc trong lĩnh vực DN: có các quy

tắc sau

• Bảo quản các tài liệu vật lý (BQ) • Xử lý các thông tin mật (XM)

• Thông tin mật ở nơi công cộng (CC)

Gọi y_dn là hàm logic của lĩnh vực con DN, x_bq, x_xm, x_cc là các biến thành phần. Ta có y_dn = x_bq + x_xm + x_cc Điểm theo công thức (2) P(y_dn) = P(x_bq) + P( x_xm)+ P( x_cc )- P(x_bq) . P( x_xm)- P( x_xm).+ P( x_cc ) - P(x_bq). P( x_cc ) + P(x_bq) .P( x_xm) .P( x_cc)

2.2 Phân loại thông tin (PL)

a, Thông tin phải được phân cấp như sau (TP): có các quy tắc sau

• Không phân cấp: Không giới hạn truy cập (TP1) • Thông tin nội bộ (TP2)

• Thông tin riêng tư (TP3) • Thông tin công khai (TP4) • Thông tin mật (TP5)

• Thông tin cá nhân (TP6)

Gọi y_tp là hàm logic của quy tắc TP, x_tp1 ….x_tp7 là các biến thành phần.

Ta có

y_tp = x_tp1 + (x_tp2 + x_tp3 + x_tp4 + x_tp5 + x_tp6 + x_tp7)

Điểm theo công thức (1) & (2) & (4)

P(y_tp) = P(x_tp1) +( ( P( x_tp2) + P( x_tp3) - P( x_tp2).P( x_tp3)) +( P(x_tp4) + P( x_tp5 ) - P(x_tp4).P( x_tp5 ))+ (P(x_tp6) + P(x_tp7 ) - P(x_tp6). P(x_tp7 )) - ( P( x_tp2) + P( x_tp3) - ( x_tp2).P( x_tp3)).( P(x_tp4) + P( x_tp5 ) - P(x_tp4).P( x_tp5 )) - ( P( x_tp2) + P( x_tp3) - P( x_tp2).P( x_tp3)). (P(x_tp6) + P(x_tp7 ) - P(x_tp6). P(x_tp7 )) - ( P(x_tp4) + P( x_tp5 ) - P(x_tp4).P( x_tp5 )). (P(x_tp6) + P(x_tp7 ) - P(x_tp6). P(x_tp7 )) + ( P( x_tp2) + P( x_tp3) - P( x_tp2).P( x_tp3)).( P(x_tp4) + P( x_tp5 ) - P(x_tp4).P( x_tp5 ). (P(x_tp6) + P(x_tp7 ) - P(x_tp6). P(x_tp7 )))

b, Đánh dấu những thông tin đã phân cấp(DD): có các quy tắc sau

• Thông tin cần được đánh dấu rõ ràng để có thể

nhận ra mức phân cấp của chúng. Các văn bản giấy cần được đánh dấu trên từng trang.(DD1)

• Thông tin cần được đánh dấu rõ ràng để có thể

cần được đánh dấu trên từng trang. Các tập tin trên máy tính cần được đánh nhãn điện tử.(DD2)

Gọi y_dd là hàm logic của quy tắc DD, x_tp1, x_dd1, x_dd2 là các biến thành phần.

Ta có

y_dd = x_tp1 + ( x_dd1 + x_dd2)

Điểm số theo công thức (4)

P(y_dd) = P(x_tp1) + (P(x_dd1) +P( x_dd2) )

c, Quản lý các thông tin đã phân cấp. ( QC): có các quy tắc sau • Giám đốc An ninh (Chief Security Officer) có trách nhiệm xây dựng một bộ chính sách an ninh tổng quát, phù hợp để bảo vệ cho từng chủng loại thông tin. Đối với các thông tin kinh doanh tối quan trọng, khi bổ sung thêm một biện pháp an ninh, cần phải dựa trên một qui trình đánh giá rủi ro. ( QC1) Gọi y_qc là hàm logic của quy tắc QC, x_tp1, x_qc1 là các biến thành phần.

Ta có

y_qc = x_tp1 + x_qc1

Điểm theo công thức (4)

P(y_qc) = P(x_tp1) + P( x_qc1)

d, Mối quan hệ giữa các quy tắc trong lĩnh vực con PL: có các

quy tắc sau

• Thông tin phải được phân cấp (TP)

• Đánh dấu những thông tin đã phân cấp (DD) • Quản lý các thông tin đã phân cấp.(QC)

Gọi y_pl là hàm logic của lĩnh vực phân loại thông tin PL, x_tp1, x_tp, x_gs, x_dd, x_qc là các biến thành phần.

Ta có

y_pl = x_tp + x_gs + (x_tp1 + ( x_dd . x_qc))

Điểm theo công thức (1) & (2) & (3) & (4)

P(y_pl) = P(x_tp )+ P(x_gs)+(P(x_tp1)+P(x_dd). P( x_qc))-P(x_tp).P(x_gs)- P(x_tp).(P(x_tp1) + P(x_dd).P(x_qc))– P( x_gs).(P(x_tp1)+ P(x_dd).P( x_qc))+P(x_tp).P(x_gs).(P(x_t p1) + P(x_dd).P( x_qc)) 2.3 Chỉ định người quản lý hệ thống và dữ liệu (CD)

a, Người quản lý tài nguyên thông tin (NQ): có các quy tắc sau • Giám đốc thông tin (IT Manager) là người chịu trách nhiệm bảo trì và kiểm kê tất cả các tài nguyên công nghệ thông tin. Trong bản kiểm kê phải nêu rõ trách nhiệm an ninh của người sở hữu đối với từng loại tài nguyên (NQ1)

• Giám đốc An ninh (Chief Of Security) chịu trách nhiệm bảo quản bản kê khai của từng hệ thống thông tin. Trong bản kê khai này phải nêu rõ các thông tin về dữ liệu, hệ thống cùng với người quản lý tương ứng và trách nhiệm an ninh của họ (NQ2)

• Giám đốc thông tin (CIO) chịu trách nhiệm duy trì một bản liệt kê tất cả các hệ thống thông tin với quyền hạn và trách nhiệm an ninh tương ứng (NQ3)

Gọi y_nq là hàm logic của quy tắc NQ, x_nq1, x_nq2, x_nq3 là các biến thành phần. Ta có y_nq = x_nq1 + x_nq2 + x_nq3 Điểm theo công thức (4) P(y_nq) = P(x_nq1) + P( x_nq2) + P( x_nq3)

b, Chủ sở hữu các hệ thống tối quan trọng (CH): có các quy tắc sau • Tất cả những hoạt động tối quan trọng đòi hỏi phải có kiến thức, kỹ năng và kinh nghiệm đặc biệt. Những hoạt động trên phải được giao cho người có trách nhiệm và quyền hạn tương ứng (CH1)

• Những người chịu trách nhiệm chính về an toàn đối với các tài sản CNTT có liên quan trực tiếp đến những hệ thống tối quan trọng phải nhận thức một cách chính xác về trách nhiệm của họ . Những người quản lý trên phải có thâm niên cao và có quyền hạn, trách nhiệm đảm bảo an ninh nghiêm ngặt (CH2)

Gọi y_ch là hàm logic của quy tắc CH, x_ch1, x_ch2 là các biến thành phần.

Ta có

y_ch = x_ch1 + x_ch2

Điểm theo công thức (4)

d, Mối quan hệ giữa các quy tắc trong lĩnh vực CD: có các quy

tắc sau

• Người quản lý tài nguyên thông tin (NQ) • Chủ sở hữu các hệ thống tối quan trọng (CH) • Chỉ định người phụ trách hệ thống quản lý chất lượng(CP) • Bảo trì hệ thống quản lý chất lượng (BT) Gọi y_cd là hàm logic của lĩnh vực CD, x_nq, x_cp, x_bt, x_ch là các biến thành phần. Ta có y_cd = (x_cp + x_bt + x_nq ) . x_ch

Điểm theo công thức (2) & (3)

P(y_cd)=(P(x_cp)+P(x_bt)+P(x_nq)-

(P(x_cp).P( x_bt)-P(x_cp).P(x_nq)- P(x_bt).P(x_nq)+P(x_cp).

P(x_bt).P(x_nq)).P(x_ch)

2.4 Trách nhiệm đối với những hoạt động và quy trình tối quan trọng (TN): có các quy tắc sau

• Xác định các chức năng tối quan trọng.(XD) • Bảo vệ các chức năng tối quan trọng (BD)

• Những kế hoạch đột xuất cho các hoạt động tối

Gọi y_tn là hàm logic của lĩnh vực con TN, x_xd, x_bv, x_dx là các biến thành phần. Ta có y_tn = x_xd + x_bd + x_dx Điểm theo công thức (2) P(y_tn) = P(x_xd)+ P(x_bd)+P(x_dx)- P(x_xd).P(x_bd)- P(x_xd).P(x_dx) - P( x_bd).P(x_dx)+ P( x_xd) .P( x_bd). P(x_dx)

2.5 Tính toàn vẹn dữ liệu (DI): có các quy tắc sau

• Lưu giữ và xử lý (LG)

• Tính toàn vẹn của các dữ liệu khác (LK)

Gọi y_di là hàm logic của lĩnh vực con DI, x_lg, x_lk là các biến thành phần.

Ta có

y_di = x_lg + x_lk

Điểm theo công thức (1 )

P(y_di) = P( x_lg) + P( x_lk )- P( x_lg) .P( x_lk)

* Mối quan hệ giữa các lĩnh vực con trong lĩnh vực Xác định, phân loại và quản lý tài nguyên (XP)

• Xử lý và đánh nhãn tài nguyên (DN) • Phân loại thông tin (PL)

• Chỉ định người quản lý hệ thống và dữ liệu (CD) • Trách nhiệm đối với những hoạt động và quy trình tối quan trọng (TN) • Tính toàn vẹn dữ liệu (DI) Gọi y_xp là hàm logic của lĩnh vực XP, x_dn, x_pl, x_cd, x_tn, x_di là các biến thành phần. Ta có y_xp = x_dn + ( x_pl . x_cd . x_tn . x_di)

Điểm theo công thức (1) & (2) & (3)

P(y_xp) = P(x_dn)+(P(x_pl).P(x_cd).P(x_tn).P(x_di ))- P(x_dn).( P(x_pl).P(x_cd).P(x_tn).P(x_d i)) 3. An ninh nhân sự (NS)

3.1 Quy trình tuyển nhân viên (TV)

a, Thỏa thuận về bảo mật (TT): có các quy tắc sau

• Phải tuân thủ quy trình tiếp nhận nhân viên của cơ quan (TT1)

• Các nhân viên phải ký vào biên bản thoả thuận về

bảo mật ngay khi được nhận. Thoả thuận này được coi như một phần của hợp đồng lao động.(TT2)

• Các nhà tư vấn cần ký vào biên bản thoả thuận về

bảo mật trước khi bắt đầu công tác tư vấn. (TT3) • Các nhà tư vấn không cần phải ký vào các biên bản thỏa thuận về bảo mật, nhưng các điều khoản về bảo mật phải được coi là một phần của hợp đồng tư vấn (TT4)

Gọi y_tt là hàm logic của quy tắc TT, x_tt1, x_tt2, x_tt3, x_tt4, là các biến thành phần.

Ta có

y_tt = ( x_tt1 . x_tt2 ) . ( x_tt3 + x_tt4 )

Điểm theo công thức (3) & (4)

P(y_tt) = ( P(x_tt1) .P( x_tt2) ) . ( P(x_tt3) + P(x_tt4))

b, Xác minh các mối quan hệ (ZM): có các quy tắc sau

• Giấy giới thiệu và giấy chứng nhận của người lao

động phải được kiểm tra một cách độc lập (ZM1)

• Đối với các nhân viên được phép truy cập vào thông tin đã phân loại, cần phải kiểm tra giấy giới thiệu cá nhân, bằng cấp và chứng nhận trình độ. Bộ

phận nhân sự chịu trách nhiệm quyết định thông tin nào cần phải được xác minh (ZM2)

• Bộ phận nhân sự chịu trách nhiệm xác minh danh tánh người xin việc, các mối quan hệ và trình độ. Các tiêu chuẩn kiểm tra cao hơn sẽ được áp dụng đối với các vị trí có trách nhiệm cao hơn và có tính nhạy cảm.(ZM3)

Gọi y_zm là hàm logic quy tắc ZM, x_zm1, x_zm2, x_zm3, x_tp1, là các biến thành phần.

Ta có

y_zm = ( x_zm1 . x_zm3 ) . ( x_zm2 + x_tp1 )

Điểm theo công thức (3) & (4)

P(y_zm) = (P( x_zm1) . P(x_zm3) ) . ( P(x_zm2) + P(x_tp1))

c, Thu hồi quyền truy cập và các đặc quyền khi kết thúc hợp

đồng lao động (TQ): có các quy tắc sau

• Phải thường xuyên cập nhật quy trình thu hồi các

đặc quyền của nhân viên khi thôi việc (TQ1)

• Khi cho nhân viên thôi việc, kèm theo với quy trình thu hồi các đặc quyền phải có một danh sách các cá nhân và bộ phận có liên quan cần được thông báo (TQ2)

Gọi y_tq là hàm logic của quy tắc TQ, x_tq1, x_tq2 là các biến thành phần.

Ta có

y_tq = x_tq1 . x_tq2

Điểm theo công thức (3)

P(y_tq) = P( x_tq1) . P( x_tq2)

d, Mối quan hệ giữa các quy tắc trong lĩnh vực con Quy trình tuyển nhân viên: có các quy tắc sau

• Thỏa thuận về bảo mật (TT) • Xác minh các mối quan hệ (XM)

• Thu hồi quyền truy cập và các đặc quyền khi kết

thúc hợp đồng lao động (TQ)

Ta thấy rằng TT và ZM xày ra khi dó TQ mới có thể xảy ra có có mối quan hệ như sau :

TQ TQ2 TQ1 TT4 TT1 TT2 TT3 TT12 TT34 TT ZM1 ZM3 TP1 ZM2 ZM13 TP_ZM ZM TV Gọi y_tv là hàm logic của lĩnh vực TV, x_tt, x_zm, x_tq là các biến thành phần. Ta có y_tv = x_tt + x_zm + x_tq

Điểm theo công thức (1) & (2)

P(y_tv) = P(x_tt) .P( x_zm) . P(x_tq) - P(x_tt) .P( x_zm) - P(x_tt) . P(x_tq) - P( x_zm) . P(x_tq) + P(x_tt) .P( x_zm) . P(x_tq)

3.2 Xử lý kỷ luật và phản ứng xự cố (XK)

a, Vi phạm các chính sách an ninh (VP): có các quy tắc sau • Không cho phép bất kỳ hành động nào phá hoại hệ

thống an ninh (VP1)

• Không cho phép tiến hành bất cứ thử nghiệm trái phép nào trên hệ thống an ninh (VP2)

• Các trường hợp vi phạm của nhân viên sẽ được xử

lý theo quy định của cơ quan (VP3)

• Các hành vi cố ý phạm tội hoặc lặp lại nhiều lần cần phải bị xử lý sa thải thậm chí bị xử lý hình sự

theo pháp luật hiện hành (VP4)

Gọi y_vp là hàm logic của quy tắc VP, x_vp1, x_vp2, x_vp3, x_vp4 là các biến thành phần.

Ta có

y_vp = (x_vp1 . x_vp2) + (x_vp3 . x_vp4)

Điểm theo công thức (1) & (3)

P(y_vp) = (P(x_vp1) . P(x_vp2)) + (P(x_vp3) . P(x_vp4)) - (P(x_vp1) . P(x_vp2)) . ( P(x_vp3) . P(x_vp4))

b, Thông tin về phản ứng trước các sự cố (TX): có các quy tắc sau • Cơ quan phải thông báo về sự cố an ninh cho các bên bị tác động cả ở bên ngoài lẫn nội bộ. Giám đốc An ninh (COS) phải phê chuẩn các thông báo gửi ra bên ngoài (TX1)

• Cơ quan phải thông báo kèm theo các dữ liệu về sự

cố an ninh có thể xảy ra cho các bên bị tác động cả ở bên ngoài lẫn nội bộ. Giám đốc Thông tin (CIO) phải phê chuẩn các thông báo gửi ra bên ngoài. ( TX2)

• Cơ quan phải thông báo rộng rãi và trung thực cho các bên có liên quan trong nội bộ và bên ngoài về

các mối quan tâm có liên quan đến sự cố an ninh . Cán bộ truyền thông (Cummunications Officer) phải phê chuẩn các thông báo gửi ra bên ngoài (TX3)

Gọi y_tx là hàm logic của quy tắc TX, x_tx1, x_tx2, x_tx3 là các biến thành phần.

Ta có

y_tx = x_tx1 + x_tx2 + x_tx3

Điểm theo công thức (4)

c, Mối quan hệ giữa các quy tắc trong lĩnh vực con Xử lý kỷ luật và phản ứng xự cố (XK): có các quy tắc sau

• Vi phạm các chính sách an ninh (VP)

• Thông tin về phản ứng trước các sự cố (TX)

Gọi y_xk là hàm logic của lĩnh vực con XK, x_vp, x_tx là các biến thành phần. Ta có y_xk = x_vp + x_tx Điểm theo công thức (1) P(y_xk) = P(x_vp) + P(x_tx) - P(x_vp) . P(x_tx) 3.3 Huấn luyện và đào tạo (HL)

a, Đào tạo về chính sách an ninh (DT): có các quy tắc sau

• Tất cả các nhân viên mới phải được tiếp cận các chính sách an toàn thông tin của cơ quan vào ngày làm việc đầu tiên (DT1

• Tất cả các nhân viên phải được đào tạo về chính sách an toàn thông tin của cơ quan và các thông tin cơ bản cần thiết (DT2)

• Tất cả các người dùng IT phải được huấn luyện,

đào tạo về chính sách an toàn thông tin của cơ quan và các thông tin cần thiết có liên quan. (DT3)

• Ở các vị trí có sử dụng thiết bị IT, nhân viên khi ký hợp đồng phải ký tên và chấp thuận các điều khoản trong chính sách an ninh.(DT4)

• Tất cả các người sử dụng hệ thống công nghệ thông tin phải thường xuyên cập nhật các qui định trong chính sách an toàn thông tin của cơ quan. (DT5)

Gọi y_dt là hàm logic của quy tắc DT, x_dt1, x_dt2, x_dt3, x_dt4, x_dt5 là các biến thành phần. Ta có y_dt = x_dt1 . x_dt2 . x_dt3 . x_dt4 . x_dt5 Điểm theo công thức (3) P(y_dt)=P(x_dt1).P(x_dt2) .P(x_dt3).P( x_dt4). P(x_dt5)

b, Hướng dẫn cách phân cấp thông tin (HD): có các quy tắc sau • Tất cả các nhân viên phải được hướng dẫn cách phân cấp dữ liệu và tài liệu.(HD1)

• Tất cả các nhân viên phải được hướng dẫn cách phân loại và xử lý dữ liệu trong mọi quy trình hoạt

động của cơ quan.(HD2)

Gọi y_hd là hàm logic của quy tắc HD, x_hd1, x_hd2 là các biến thành phần.

Ta có

y_hd = x_hd1 + x_hd2

Điểm theo công thức (4)

P(y_hd) = P(x_hd1) + P( x_hd2 )

c, Mối quan hệ giữa các quy tắc trong lĩnh vực con Huấn luyện và đào tạo (HL): có các quy tắc sau

• Đào tạo về chính sách an ninh (DT) • Hướng dẫn cách phân cấp thông tin (HD)

Gọi y_hl là hàm logic của lĩnh vực con HL, x_dt, x_hd là các biến thành phần. Ta có y_hl = x_dt + x_hd Điểm theo công thức (1) P(y_hl) = P(x_dt) + P (x_hd) - P(x_dt) . P (x_hd) 3.4 Chính sách sử dụng Internet (IN)

a, Truy cập Internet (TI): có các quy tắc sau

• Hệ thống mạng không được dùng để truy cập Internet(TI1)

• Cho phép dùng hệ thống mạng để truy cập Internet (TI2)

• Chỉ cho phép dùng hệ thống mạng truy cập Internet khi có công việc cần thiết liên quan (TI3)

• Khi dùng kết nối Internet để duyệt web cần phải bảo

Một phần của tài liệu Sử dụng giải thuật cây lỗi để đánh giá rủi ro trong hệ thống thông tin (Trang 38)

Tải bản đầy đủ (PDF)

(175 trang)