- Nên có một chính sách bảo vệ các tổ chức chống lại những rủi ro của phần mềm độc hại lây lan qua ổ đĩa, các tập tin hoặc phần mềm
Controls against mobile code
Controls against mobile code
Mã di động được định nghĩa trong từ điển Internet
Security, như là một chương trình "có thể thực hiện trên địa điểm từ xa với bất kỳ sửa đổi trong các mã. Nó có thể được truyền đi và thực thi từ máy này sang máy khác trên mạng trong suốt quá trình tồn tại của nó”.
Mã di động bao gồm ActiveX, Java, JavaScript,
VBScript, macro MS Word và PostScript. Các mã này có thể được sử dụng để thu thập thông tin từ một hệ thống mục tiêu, giới thiệu các mã độc hại, hoặc Trojan, hoặc sửa đổi hoặc phá hủy thông tin
Tiêu chuẩn của Control A.10.4.2 đòi hỏi thực thi mã
điện thoại di động nên được giới hạn trong một môi trường nhằm mục đích để nó sẽ không vi phạm các chính sách an ninh thông tin.
Controls against mobile code
Cách đơn giản nhất để đối phó với mã điện thoại di
động là có một chính sách cấm nó và cài đặt phần mềm ngăn chặn trên các bức tường lửa để dừng lại tất cả các mã điện thoại di động đã bị chết và không hoạt động
Tổ chức cần phải soạn thảo một chính sách (trong bối
cảnh của việc đánh giá rủi ro và tư vấn kỹ thuật hiện hành) cho phép người dùng truy cập vào các trang web và làm giảm những rủi ro các mã di động nguy hiểm đựợc thực hiện
Controls against mobile code
Nên có một liên kết giữa cách mà tổ chức kiểm soát lướt
web và các chính sách mã điện thoại di động
Đào tạo nâng cao nhận thức người sử dụng sẽ là cần
thiết, và sẽ cần phải được lên kế hoạch giám sát tài nguyên hệ thống để phát hiện và loại bỏ bất kỳ mã lừa đảo điện thoại di động đã vượt qua được các kiểm soát.
Back-up
Tiêu chuẩn của Control A.10.5 đòi hỏi các tổ chức phải
có các bản sao thường xuyên thông tin kinh doanh quan trọng và phần mềm. Đây là một trong những phần cơ bản và quan trọng nhất của tất cả các kiểm soát.
Điều quan trọng là không chỉ vì nó cho phép một tổ chức
để khôi phục lại từ một thảm họa hay thất bại phương tiện truyền thông, mà nó còn cho phép người dùng cá nhân để phục hồi từ các lỗi thong thường. Trường hợp back-up không được thực hiện, sẽ không thể phục hồi từ thảm họa.
Một bước quan trọng đầu tiên trong việc đưa ra các
chính sách back-up là phải đảm bảo rằng thông tin được lưu giữ trên các máy chủ của tổ chức, chứ không phải trên các ổ đĩa cá nhân.
Back-up
Cần phải đào tạo nhân viên trong việc bảo mật dữ liệu bằng cách thường xuyên sao lưu dữ liệu từ các thiết bị di dộng lên máy chủ và phải ưu tiên sử dụng các tập tin lấy về từ máy chủ hơn là từ ổ cứng cá nhân
Càng ngày, các tổ chức càng sử dụng nhiều dịch vụ của nhà cung cấp dịch vụ ứng dụng (ASP), và điều này dẫn đến dữ liệu được lưu trữ bên ngoài chu vi an toàn của tổ chức, và có thể tổ chức đã không có kiểm soát trực tiếp đối với sự an toàn của thông tin của mình. Tiêu chuẩn Control A.6.2.3 đã xem xét điều này rất cẩn thận:
Tất cả các dữ liệu lưu trữ kỹ thuật số và dữ liệu lưu trên giấy đều cần được xem xét. Những tài liệu được đánh giá là quan trọng đối với tổ chức cần được sao lưu theo một cách nào đó
Mỗi phương pháp sao lưu và lưu trữ dữ liệu phải được đánh
giá rủi ro trong cấp độ bảo mật cao nhất có thể được gán cho các dữ liệu được lưu trữ hoặc một tập tin cụ thể hoặc thiết bị
Back-up
Một khi đã quyết định được những dữ liệu cần bảo vệ,
và mức độ cần thiết của thông tin sao lưu thì các điều khiển mà SO27002 sẽ xem xét như sau:
Mức tối thiểu của thông tin sao lưu, cùng với hồ sơ
chính xác và đầy đủ của những gì đã được sao lưu và một bản sao của các thủ tục thu hồi dữ liệu, phải được lưu trữ tại một địa điểm từ xa. Hồ sơ chính xác của những gì đã được sao lưu sẽ cần thiết cho việc tìm kiếm và khôi phục lại hoạt động. Các thông tin tối thiểu sẽ cung cấp được chi tiết và chính xác những máy chủ đã được sao lưu và ngày và thời gian sao lưu.
Back-up
Các ứng dụng quan trọng nên được sao lưu qua 3 vòng.
Một chu kỳ điển hình sao lưu các phương tiện truyền thông kỹ thuật số dung băng ghi âm kỹ thuật số (DAT), được gọi là ông nội, cha, con trai. Con trai: sao lưu mỗi ngày trong tuần vào một tệp và sẽ được ghi đè trong cùng một ngày trong tuần sau; Cha: sao lưu mỗi tuần một lần trong tháng vào một tệp và sẽ được ghi đè trong cùng tuần trong tháng sau. Ông nội: sao lưu mỗi tháng một lần trong năm và sẽ được ghi đè trong cùng tháng trong năm sau.
Các thông tin sao lưu cần được cung cấp cùng một mức
độ bảo mật vật lý và môi trường như các dữ liệu ban
đầu. Trong trường hợp cần thiết, back-up phải được bảo vệ bằng mật mã.
Back-up
Việc sao lưu nên được thực hiện đều đặn trong vòng
24 giờ, tùy vào tổ chức. Và phải được thực hiện vào lúc mạng ít được sử dụng nhất, bởi vì việc sao lưu sẽ chậm, và user không thể sử dụng các phần được sao lưu trong thời gian đó.
Thủ tục phục hồi cần được ghi nhận trong ISMS và
cần được thường xuyên kiểm tra. Kiểm tra các nhân viên chịu trách nhiệm thực hiện việc khôi phục, để đảm bảo việc khôi phục được thực hiện và hoàn tất trong vòng thời gian quy định. Các kết quả kiểm tra và mục tiêu đạt được nên được ghi nhận vào ISMS như là một qui trình kinh doanh liên tục.
Back-up