hòa và các đường ống dẫn. Nếu cần hãy hỏi người phụ trách công nghệ lắp đặt các máy đo như nhiệt kế, báo động tự động có thể giúp bạn cảnh báo nếu phòng chứa máy chủ quan trọng và các thiết bị mạng trở nên quá nóng hay quá ẩm.
Xây dựng chính sách an toàn vật lý: Một khi đã xác định các mối nguy cơ và các điểm yếu mà tổ chức gặp phải, cần cân nhắc các bước cần thực hiện tiếp để tăng cường an ninh về mặt vật lý. Cần tạo một chính sách an ninh với các bước được ghi ra rõ ràng. Tài liệu đó sẽ được dùng làm hướng dẫn chung cho người dùng, cho các đồng nghiệp và các nhân viên mới của tổ chức, doanh nghiệp. Nó phải bao gồm liệt kê các hành động cần thực hiện trong mọi trường hợp có sự cố khẩn cấp về an ninh vật lý. Mọi người liên quan đều phải đọc, thực hiện và cập nhật các quy chuẩn này. Họ cần được khuyến khích để hỏi và đưa ra các ý kiến cải tiến tài liệu.
Các phương án khẩn cấp liên quan tới: Ai phải được thông báo nếu thông tin nhạy cảm bị dò rỉ hoặc ở không đúng chỗ? Cần liên hệ với ai trong trường hợp có cháy, ngập lụt hoặc các tai họa thiên nhiên khác xảy ra? Làm sao sửa chữa khẩn cấp một loại khóa? Làm sao có thể liên lạc với các công ty, tổ chức cung cấp dịch vụ như điện, nước và Internet?
6.1.2.4. Bảo vệ mức hệ điều hành
Bảo vệ mức hệ điều hành chính là đảm bảo cho các chương trình hoạt động một cách an toàn và bảo mật, các cơ chế của hệ điều hành hoạt động đúng đắn. Việc chia sẻ và điều phối các tài nguyên trong hệ thống thông tin theo đúng các tiêu chí: Các cơ chế truy cập tài nguyên phải xác định ranh giới và đảm bảo các thao tác với các tài nguyên không bị xung đột. Cơ chế điều phối tài nguyên phải đảm bảo tính sẵn sàng.
Bảo vệ an toàn mức hệ điều hành thường được xem xét dựa trên sự ràng buộc của hệ thống thông tin hay nói cách khác là đảm bảo các mục tiêu an toàn được thỏa mãn với mức độ cao; thứ hai là có ràng buộc và phân chia các tài nguyên dùng chung. Các hệ thống dùng chung hướng tới cung cấp các lựa chọn mềm dẻo, thân thiện với người dùng, dễ triển khai
và có hiệu năng cao nên cũng dễ dẫn đến nhiều thách thức với việc đảm bảo an toàn cho hệ thống thông tin.
Các mục tiêu bảo vệ thông thường là giới hạn các đối tượng có thể truy cập bằng cách giới hạn quyền tối thiểu cho người dùng, xác lập quyền cho người dùng, giảm thiểu các rủi ro có thể gặp phải của hệ thống thông tin. Đảm bảo tính toàn vẹn bằng cách hạn chế các đối tượng có thể thay đổi, cập nhật thông tin lên hệ thống. Đảm bảo tính sẵn sàng bằng cách hạn chế các quyền sử dụng tài nguyên của hệ thống thông tin.
6.2. CÁC KIẾN TRÚC AN TOÀN CHO HỆ THỐNG THÔNG TIN
Có rất nhiều kiến trúc an toàn để triển khai cho các hệ thống thông tin của các tổ chức, doanh nghiệp, tuy nhiên bộ tiêu chuẩn ISO27001 được coi là một trong các bộ tiêu chuẩn được sử dụng nhiều nhất trong cài đặt các mô hình an toàn và bảo mật cho các hệ thống thông tin.
Có thể bạn quan tâm!
-
Xu Hướng Công Nghệ Trong Đảm Bảo An Toàn Và Bảo Mật Thông Tin -
Nền Tảng Của Công Nghệ Blockchain Và An Toàn Thông Tin -
Bảo Vệ Hệ Thống Thông Tin Theo Nhiều Mức -
Một Số Tiêu Chuẩn Về Bảo Mật Và An Toàn Thông Tin Của Nist -
Các Bước Để Áp Dụng Khung An Ninh Mạng Của Nist Vào Thực Tế -
Bảo Mật Đối Với Các Cơ Chế Phân Quyền Người Dùng
Xem toàn bộ 194 trang tài liệu này.
6.2.1. Bộ ISO 27001 và mô hình an toàn cho HTTT (ISMS)
6.2.1.1. Vài nét về ISO 27001
Hệ thống quản lý an toàn thông tin (Information Security Management System - ISMS) là công cụ để các nhà lãnh đạo quản lý thực hiện việc giám sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ chức.
ISO 27001 là tiêu chuẩn quốc tế đặc tả cho các hệ thống quản lý ATTT (ISMS), nó cung cấp một mô hình thống nhất để thiết lập, vận hành, duy trì và cải tiến hệ thống quản lý ATTT cho các tổ chức, đơn vị. Việc tuân thủ theo một hệ thống quản lý ISMS chính là quyết định chiến lược của mỗi tổ chức trong đảm bảo an toàn thông tin cho hệ thống thông tin của tổ chức, đơn vị đó.
Phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000 là tiêu chuẩn BS 7799 được Viện Tiêu chuẩn Anh (Bristish Standards Institution - BSI) phát
triển và được xuất bản dưới dạng Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for Information Security Management) vào năm 1996. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I, còn phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II.
Phần I của chuẩn BS 7799 là một hướng dẫn thi hành dựa trên các đề nghị kiểm soát ATTT và là cơ sở để hình thành tiêu chuẩn quốc tế ISO 17799:2000, từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005.
Phần II của chuẩn BS 7799 là một “Hướng dẫn kiểm toán dựa trên các yêu cầu”, để được xác nhận chứng chỉ BS 7799, các tổ chức sẽ được kiểm toán dựa trên các điều kiện ở Phần II. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005.
Đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013.
Tiêu chuẩn ISO 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện pháp kiểm soát”, trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001.
Hiện nay ở Việt Nam tên tiêu chuẩn ISO 27001 là “Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu" và có ký hiệu của TCVN: TCVN XXXX:YYYY/BTTTT.
Hiện nay các tổ chức, đơn vị ở Việt Nam đều hướng tới vận hành ISMS theo tiêu chuẩn ISO/IEC 27001: 2013.
6.2.1.2. Hệ thống quản lý ATTT (ISMS)
Theo tiêu chuẩn ISO/IEC 27001: 2013, thông tin và các hệ thống, quy trình, nhân sự liên quan đều là tài sản của tổ chức, tất cả các tài sản đều có giá trị quan trọng trong hoạt động của tổ chức và cần được bảo vệ
thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau, nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.
Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thông tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ... Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.
Hệ thống quản lý ATTT (ISMS) sẽ giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT không bị sai sót, hoặc không đúng với đặc tả của hệ thống, hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.
Việc triển khai ISMS theo tiêu chuẩn ISO 27001: 2013 có thể đạt được các lợi ích sau:
- Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức luôn thông suốt và an toàn.
- Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày; Các sự cố ATTT do người dùng gây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.
- Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.
- Đảm bảo cho các hoạt động nghiệp vụ của tổ chức, đơn vị không bị gián đoạn, sai sót do các sự cố liên quan đến ATTT trong tổ chức, đơn vị gây ra.
- Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.
Một hệ thống ISMS sẽ gồm các thành phần được mô phỏng trong Hình 6.2 sau đây:
1. Nhận các hỗ trợ từ chính sách của tổ chức (Get management support)
2. Định nghĩa không gian sẽ bảo vệ (Define ISMS scope)
3. Đánh giá các thông tin quan trọng cần bảo vệ (Inventory information assets)
4. Đánh giá rủi ro (Risk assessment)
5. Chuẩn bị các kế hoạch để thực hiện (Prepare to do)
6. Xây dựng và lựa chọn các chương trình ứng dụng để thực hiện giải pháp (Develop ISMS implemention program)
7. Cài đặt các chương trình ứng dụng để thực hiện giải pháp (ISMS implemention program)
8. Thực hiện bảo mật (ISMS)
9. Thực hiện và khai thác các quy trình ISMS (ISMS operational artifacts)
10. Xem xét đánh giá (Compliance review)
11. Lựa chọn giải pháp phù hợp (Corrective actions)
12. Thực hiện tiền đánh giá dựa trên các tiêu chuẩn (Pre-certificate assessment)
13. Thực hiện kiểm toán (Certificate Audit)
14. Kết thúc
Hình 6.2: Các thành phần trong hệ thống ISMS
Các hoạt động của ISMS chủ yếu hoạt động dựa trên bộ tiêu chuẩn ISO 27001 và bốn pha là lập kế hoạch, thực hiện, kiểm tra và đánh giá.
6.2.1.3. Cấu trúc Tiêu chuẩn ISO 27001: 2013
Tiêu chuẩn quốc tế ISO/IEC 27001: 2013 cung cấp mô hình thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp Hệ thống ISMS. Xây dựng hệ thống ISMS như thế nào là quyết định chiến lược của mỗi tổ chức, đơn vị, việc thiết kế và triển khai hệ thống ISMS của tổ chức đó phụ thuộc vào mục tiêu, các yêu cầu về ATTT cần phải đạt được, các quy trình đang vận hành, quy mô và cơ cấu của tổ chức đó. Hệ thống quản lý ISMS cũng đòi hỏi phải luôn được xem xét, cập nhật để phù hợp với những thay đổi của tổ chức và nâng cao mức độ an toàn với hệ thống lưu trữ, xử lý thông tin. Ngoài ra, tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT.
ISO/IEC 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành và giám sát hoạt động của ISMS; đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thực thi, duy trì và cải tiến ISMS. Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân thủ đối với các bộ phận bên trong tổ chức, xây dựng các yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ khi làm việc với tổ chức. Đây cũng là công cụ để các nhà lãnh đạo thực hiện giám sát, quản lý các hệ thống thông tin, giảm thiểu rủi ro và tăng cường mức độ an toàn, bảo mật cho các tổ chức.
Cấu trúc tiêu chuẩn ISO/IEC 27001: 2013 gồm có 07 điều khoản chính (từ phần 4 đến phần 10 của Tiêu chuẩn): đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống ISMS của các tổ chức. Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn:
Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp.
Điều khoản 5 - Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.
Điều khoản 6 - Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý, điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó cho các tổ chức, đơn vị.
Điều khoản 7 - Hỗ trợ: Yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin.
Điều khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra, đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.
Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức.
Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành động (P-D-C-A: Plan - Do - Check - Action), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của hệ thống ISMS.
Ngoài các điều khoản chính, bộ tiêu chuẩn còn có các phần phụ lục nhằm chi tiết hóa cách thức tiến hành khi cài đặt và triển khai hệ thống ISMS cho các tổ chức, đơn vị.
Phụ lục A - Các mục tiêu và biện pháp kiểm soát: Đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS. Các lĩnh vực đưa ra xem xét bao gồm từ chính sách của lãnh đạo tổ chức, tới việc đảm bảo ATTT trong quản lý tài sản, nhân sự, các nguyên tắc căn bản để đảm bảo ATTT trong việc vận hành, phát triển, duy trì các hệ thống CNTT, v.v... Mỗi lĩnh vực kiểm soát lại được cụ thể hóa với các mục tiêu kiểm soát cần đạt được và các biện pháp cụ thể để đạt được mục tiêu đó, các biện pháp kiểm soát này có thể được lựa chọn, loại bỏ hoặc bổ sung thêm để phù hợp với lĩnh vực hoạt động của mỗi tổ chức. Tuy nhiên, các loại bỏ chỉ được chấp nhận khi tổ chức đưa ra các lý giải phù hợp.