Controls against mobile code

Một phần của tài liệu Tiểu luận bảo mật thông tin CONTROLS AGAINST MALICIOUS SOFTWARE AND BACK UPS (Trang 50)

- Nên có một chính sách bảo vệ các tổ chức chống lại những rủi ro của phần mềm độc hại lây lan qua ổ đĩa, các tập tin hoặc phần mềm

Controls against mobile code

Controls against mobile code

 Mã di động được định nghĩa trong từ điển Internet

Security, như là một chương trình "có thể thực hiện trên địa điểm từ xa với bất kỳ sửa đổi trong các mã. Nó có thể được truyền đi và thực thi từ máy này sang máy khác trên mạng trong suốt quá trình tồn tại của nó”.

 Mã di động bao gồm ActiveX, Java, JavaScript,

VBScript, macro MS Word và PostScript. Các mã này có thể được sử dụng để thu thập thông tin từ một hệ thống mục tiêu, giới thiệu các mã độc hại, hoặc Trojan, hoặc sửa đổi hoặc phá hủy thông tin

 Tiêu chuẩn của Control A.10.4.2 đòi hỏi thực thi mã

điện thoại di động nên được giới hạn trong một môi trường nhằm mục đích để nó sẽ không vi phạm các chính sách an ninh thông tin.

Controls against mobile code

 Cách đơn giản nhất để đối phó với mã điện thoại di

động là có một chính sách cấm nó và cài đặt phần mềm ngăn chặn trên các bức tường lửa để dừng lại tất cả các mã điện thoại di động đã bị chết và không hoạt động

 Tổ chức cần phải soạn thảo một chính sách (trong bối

cảnh của việc đánh giá rủi ro và tư vấn kỹ thuật hiện hành) cho phép người dùng truy cập vào các trang web và làm giảm những rủi ro các mã di động nguy hiểm đựợc thực hiện

Controls against mobile code

 Nên có một liên kết giữa cách mà tổ chức kiểm soát lướt

web và các chính sách mã điện thoại di động

 Đào tạo nâng cao nhận thức người sử dụng sẽ là cần

thiết, và sẽ cần phải được lên kế hoạch giám sát tài nguyên hệ thống để phát hiện và loại bỏ bất kỳ mã lừa đảo điện thoại di động đã vượt qua được các kiểm soát.

Back-up

 Tiêu chuẩn của Control A.10.5 đòi hỏi các tổ chức phải

có các bản sao thường xuyên thông tin kinh doanh quan trọng và phần mềm. Đây là một trong những phần cơ bản và quan trọng nhất của tất cả các kiểm soát.

 Điều quan trọng là không chỉ vì nó cho phép một tổ chức

để khôi phục lại từ một thảm họa hay thất bại phương tiện truyền thông, mà nó còn cho phép người dùng cá nhân để phục hồi từ các lỗi thong thường. Trường hợp back-up không được thực hiện, sẽ không thể phục hồi từ thảm họa.

 Một bước quan trọng đầu tiên trong việc đưa ra các

chính sách back-up là phải đảm bảo rằng thông tin được lưu giữ trên các máy chủ của tổ chức, chứ không phải trên các ổ đĩa cá nhân.

Back-up

 Cần phải đào tạo nhân viên trong việc bảo mật dữ liệu bằng cách thường xuyên sao lưu dữ liệu từ các thiết bị di dộng lên máy chủ và phải ưu tiên sử dụng các tập tin lấy về từ máy chủ hơn là từ ổ cứng cá nhân

 Càng ngày, các tổ chức càng sử dụng nhiều dịch vụ của nhà cung cấp dịch vụ ứng dụng (ASP), và điều này dẫn đến dữ liệu được lưu trữ bên ngoài chu vi an toàn của tổ chức, và có thể tổ chức đã không có kiểm soát trực tiếp đối với sự an toàn của thông tin của mình. Tiêu chuẩn Control A.6.2.3 đã xem xét điều này rất cẩn thận:

 Tất cả các dữ liệu lưu trữ kỹ thuật số và dữ liệu lưu trên giấy đều cần được xem xét. Những tài liệu được đánh giá là quan trọng đối với tổ chức cần được sao lưu theo một cách nào đó

 Mỗi phương pháp sao lưu và lưu trữ dữ liệu phải được đánh

giá rủi ro trong cấp độ bảo mật cao nhất có thể được gán cho các dữ liệu được lưu trữ hoặc một tập tin cụ thể hoặc thiết bị

Back-up

 Một khi đã quyết định được những dữ liệu cần bảo vệ,

và mức độ cần thiết của thông tin sao lưu thì các điều khiển mà SO27002 sẽ xem xét như sau:

 Mức tối thiểu của thông tin sao lưu, cùng với hồ sơ

chính xác và đầy đủ của những gì đã được sao lưu và một bản sao của các thủ tục thu hồi dữ liệu, phải được lưu trữ tại một địa điểm từ xa. Hồ sơ chính xác của những gì đã được sao lưu sẽ cần thiết cho việc tìm kiếm và khôi phục lại hoạt động. Các thông tin tối thiểu sẽ cung cấp được chi tiết và chính xác những máy chủ đã được sao lưu và ngày và thời gian sao lưu.

Back-up

 Các ứng dụng quan trọng nên được sao lưu qua 3 vòng.

Một chu kỳ điển hình sao lưu các phương tiện truyền thông kỹ thuật số dung băng ghi âm kỹ thuật số (DAT), được gọi là ông nội, cha, con trai. Con trai: sao lưu mỗi ngày trong tuần vào một tệp và sẽ được ghi đè trong cùng một ngày trong tuần sau; Cha: sao lưu mỗi tuần một lần trong tháng vào một tệp và sẽ được ghi đè trong cùng tuần trong tháng sau. Ông nội: sao lưu mỗi tháng một lần trong năm và sẽ được ghi đè trong cùng tháng trong năm sau.

 Các thông tin sao lưu cần được cung cấp cùng một mức

độ bảo mật vật lý và môi trường như các dữ liệu ban

đầu. Trong trường hợp cần thiết, back-up phải được bảo vệ bằng mật mã.

Back-up

 Việc sao lưu nên được thực hiện đều đặn trong vòng

24 giờ, tùy vào tổ chức. Và phải được thực hiện vào lúc mạng ít được sử dụng nhất, bởi vì việc sao lưu sẽ chậm, và user không thể sử dụng các phần được sao lưu trong thời gian đó.

 Thủ tục phục hồi cần được ghi nhận trong ISMS và

cần được thường xuyên kiểm tra. Kiểm tra các nhân viên chịu trách nhiệm thực hiện việc khôi phục, để đảm bảo việc khôi phục được thực hiện và hoàn tất trong vòng thời gian quy định. Các kết quả kiểm tra và mục tiêu đạt được nên được ghi nhận vào ISMS như là một qui trình kinh doanh liên tục.

Back-up

Một phần của tài liệu Tiểu luận bảo mật thông tin CONTROLS AGAINST MALICIOUS SOFTWARE AND BACK UPS (Trang 50)

Tải bản đầy đủ (PPT)

(65 trang)