Các Bước Để Áp Dụng Khung An Ninh Mạng Của Nist Vào Thực Tế

Một phần vì quy trình chặt chẽ, nên FIPS có thời gian phát triển lâu hơn. Các ấn phẩm SP được ban hành bởi NIST, với các thông báo được đăng trên trang web của Trung tâm Tài nguyên An toàn Máy tính, nên có thời gian phát triển ngắn hơn. Điều này cũng đúng với hầu hết các ấn phẩm NISTIR có liên quan đến an toàn máy tính mà NIST xuất bản.

6.2.2.4. Các bước để áp dụng Khung An ninh mạng của NIST vào thực tế

Việc áp dụng Khung An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ gồm 5 bước: Thiết lập các mục tiêu cần đạt được; Tạo bản hồ sơ chi tiết; Đánh giá tình trạng hiện tại của tổ chức; Lên kế hoạch hành động phân tích khoảng cách; Thực hiện kế hoạch hành động. Những trình bày dưới đây sẽ khuyến nghị việc ứng dụng Khung an ninh mạng trong thực tế sao cho phù hợp với nhu cầu nghiệp vụ của tổ chức.

Phiên bản đầu tiên của Khung An ninh mạng (Cybersecurity Framework - CSF) do Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology - NIST) Mỹ xuất bản năm 2014 nhằm cung cấp hướng dẫn cho các tổ chức củng cố các biện pháp an ninh mạng, hiện tại đã được cập nhật lên phiên bản 1.1. CSF được các chuyên gia an ninh mạng thuộc chính phủ, học viện, ban, ngành xây dựng, dưới sự chỉ đạo của Tổng thống Barack Obama (nay là cựu Tổng thống) và sau đó được chính quyền mới đưa vào chính sách chính phủ liên bang.

Trong khi phần lớn các tổ chức nhìn nhận giá trị của CSF như một nỗ lực phối hợp chung, được đề nghị phổ biến nhằm cải thiện an ninh mạng với mọi quy mô tổ chức, thì việc áp dụng và triển khai CSF là một vấn đề không đơn giản. Các bước giúp các tổ chức đưa CSF vào thực tế bao gồm 5 bước như sau:

Hình 6.3: Các bước triển khai NIST

Bước 1: Thiết lập các mục tiêu cần đạt được

Trước khi triển khai CSF, các tổ chức phải tập trung vào việc thiết lập các mục tiêu cần đạt được. Rào cản điển hình đầu tiên của bước này là đạt được sự nhất trí xuyên suốt tổ chức về các mức độ chấp nhận rủi ro. Thông thường, bộ phận công nghệ thông tin (IT) và cấp quản lý cao hơn sẽ thiếu đồng thuận trong việc xác định mức độ rủi ro chấp nhận được.

Có thể bạn quan tâm!

Xem toàn bộ 194 trang tài liệu này.

Để bắt đầu, cần phác thảo một bản thỏa thuận nhất quán để làm rõ chính xác đâu là mức độ rủi ro chấp nhận được. Trước khi tiến hành, tất cả mọi người đều phải đồng thuận với bản này. Thảo luận về vấn đề ngân sách, đặt ra các ưu tiên cao cho việc triển khai, đồng thời chọn ra những bộ phận muốn tập trung triển khai đều là những công việc quan trọng.

Tổ chức có thể bắt đầu với một bộ phận hoặc một nhóm bộ phận nhỏ trực thuộc. Tiến hành chương trình thí điểm để biết chương trình nào có thể khả thi, sau đó tìm ra những công cụ và giải pháp phù hợp cho việc triển khai rộng hơn. Điều này sẽ giúp xây dựng cho các triển khai sau này và ước tính chi phí một cách chính xác.

Bước 2: Tạo bản hồ sơ chi tiết

Bước tiếp theo là đi sâu hơn để điều chỉnh việc đưa CSF vào thực tế sao cho phù hợp với các nhu cầu nghiệp vụ cụ thể của tổ chức. Các Cấp độ Triển khai Khung (Framework Implementation Tiers) của NIST sẽ giúp tổ chức hiểu rõ hơn về tình trạng hiện tại và những gì cần đạt được, được chia thành 3 lĩnh vực:

Quá trình quản trị rủi ro;

Chương trình quản lý rủi ro tích hợp; Can thiệp từ bên ngoài.

Như hầu hết các khung CSF của NIST, những lĩnh vực này không cần thiết phải áp dụng một cách máy móc mà hoàn toàn có thể theo phương thức phù hợp với tổ chức. Có thể phân chia những lĩnh vực này thành các

thể loại như con người, quá trình, công cụ, hoặc tự thêm những thể loại riêng vào CSF.

Mỗi lĩnh vực được triển khai từ cấp độ 1 đến cấp độ 4:

Cấp độ 1 - Một phần: biểu thị quan điểm an ninh mạng không nhất quán và có tính phản ứng.

Cấp độ 2 - Rủi ro được nắm bắt: nhận thức các rủi ro, nhưng việc lên kế hoạch là nhất quán.

Cấp độ 3 - Có thể lặp lại: áp dụng các khung CSF trên toàn bộ tổ chức và chính sách nhất quán.

Cấp độ 4 - Thích ứng: đề cập đến việc chủ động phát hiện và dự đoán mối đe dọa.

Cấp độ càng cao thì sự triển khai khung CSF càng hoàn thiện hơn, tuy nhiên nên tùy chỉnh những cấp độ này để phù hợp với mục tiêu. Sử dụng những cấp độ đã được tùy chỉnh để đặt ra những mục tiêu nhưng hãy đảm bảo các cổ đông chủ chốt đều nhất trí trước khi tiến hành. Triển khai sẽ có hiệu quả nhất khi được tùy chỉnh sát với những nghiệp vụ cụ thể của tổ chức.

Bước 3: Đánh giá tình trạng hiện tại của tổ chức

Bước tiếp theo là tiến hành đánh giá rủi ro một cách chi tiết để biết được tình trạng hiện tại của tổ chức. Nên tiến hành cả đánh giá từ bên trong các lĩnh vực chức năng cụ thể và đánh giá độc lập xuyên suốt tổ chức. Tìm kiếm các phần mềm, công cụ mã nguồn mở và thương mại có thể giúp đánh giá được những lĩnh vực mục tiêu và đào tạo nhân viên sử dụng chúng, hoặc thuê một bên thứ ba giúp đánh giá rủi ro, ví dụ như các chương trình quét lỗ hổng, kiểm tra cho tiêu chuẩn của CIS (Center for Internet Security - Trung tâm An toàn thông tin), kiểm tra tấn công lừa đảo, phân tích hành vi,.... Đáng chú ý, không để những người tiến hành đánh giá rủi ro biết được những kết quả đánh giá của tổ chức.

Đội ngũ triển khai CSF cùng tập hợp và kiểm tra những kết quả đánh giá cuối cùng trước khi trình bày với các cổ đông chủ chốt. Mục tiêu sau cùng của quá trình này là giúp tổ chức hiểu rõ những rủi ro an ninh đối với quá trình vận hành tổ chức (bao gồm nhiệm vụ, chức năng, hình ảnh, uy tín), tài sản của tổ chức và các cá nhân. Các lỗ hổng và mối nguy cơ cần được xác định và báo cáo tài liệu đầy đủ.

Trong biểu đồ trên, tổ chức đã xác định 3 lĩnh vực chức năng: Chính sách, Mạng và Ứng dụng. Những lĩnh vực này có thể trải trên đám mây lai (hybrid cloud) hoặc chia nhỏ ra những môi trường khác nhau để có thể theo dõi với mức độ chi tiết hơn, trong đó có sự xem xét những sự chỉ đạo, hướng đi chức năng khác nhau sẽ chịu trách nhiệm cho giải pháp tại chỗ hay đám mây.

Hình 6.4: Đánh giá tình trạng hiện tại của tổ chức

(Nguồn: “The Cybersecurity Framework In Action: An Intel Usecase”)

Bên trái biểu đồ liệt kê các chức năng khác nhau của CSF và có thể được mở rộng tới các mức độ chi tiết hơn. Các chức năng được đánh giá trên thang điểm 4, màu xanh - đã tốt, màu vàng - cần làm việc thêm, màu đỏ - yêu cầu phân tích, sửa chữa kỹ càng. Ở đây, chức năng trọng tâm “Xác định” được chia nhỏ với mục đích so sánh kết quả đánh giá của từng chức năng với nhóm đơn vị hội tụ nghiệp vụ nòng cốt. Điểm cho bởi các chuyên gia của riêng 3 lĩnh vực (subject matter expert) và điểm cho bởi nhóm nòng

cốt (core group) được tính trung bình, so sánh với mục tiêu của tổ chức, sau đó tính toán khoảng cách rủi ro. Khoảng cách lớn hơn yêu cầu giải pháp nhanh hơn. Từ bảng cho thấy, lĩnh vực “Bảo vệ” và “Ứng phó” của tổ chức là yếu nhất.

Bước 4: Lên kế hoạch hành động phân tích khoảng cách

Khi đã được trang bị kiến thức sâu hơn về những rủi ro và nhân tố tiềm tàng ảnh hưởng tới nghiệp vụ, có thể tiến tới phân tích khoảng cách. Ý tưởng là so sánh kết quả đánh giá thực tế với mục tiêu đặt ra. Có thể sẽ cần tạo một biểu đồ nhiệt để minh họa kết quả một cách dễ hiểu và thấu đáo. Các khác biệt, khoảng cách lớn ngay lập tức sẽ nhấn mạnh những lĩnh vực mà tổ chức cần tập trung vào.

Tìm hiểu xem tổ chức cần thực hiện những hành động gì để xóa bỏ khoảng cách giữa kết quả đánh giá thực tế và mục tiêu đặt ra. Xác định các hành động có thể áp dụng để cải thiện tình trạng hiện tại và ưu tiên thảo luận chúng với các cổ đông chủ chốt. Những yêu cầu đề án chi tiết, quyết định chi tiêu, biên chế nhân viên đều có thể ảnh hưởng đến kế hoạch của tổ chức.

Bước 5: Thực hiện kế hoạch hành động

Với một bức tranh rõ ràng về tình trạng hiện tại về các giải pháp phòng vệ, một tập hợp các mục tiêu được sắp xếp có tổ chức, các phân tích khoảng cách một cách toàn diện và một tập hợp các giải pháp ứng phó, tổ chức sẽ sẵn sàng triển khai CSF của NIST. Lần đầu triển khai sẽ là cơ hội để lưu lại quá trình thực hiện và xây dựng các tài liệu đào tạo cho việc triển khai rộng hơn sau này.

Việc thực hiện kế hoạch hành động vẫn chưa phải là kết thúc. Tổ chức cần thiết lập thước đo để kiểm tra mức độ hiệu quả, đồng thời liên tục đánh giá lại CSF để đảm bảo đạt được kết quả mong đợi. Thước đo cần bao gồm quá trình lặp lại và xác nhận liên tục với những người ra quyết định chính. Để đạt được lợi ích tối đa, tổ chức cần ngày càng hoàn thiện quá trình thực

hiện và điều chỉnh hơn nữa việc triển khai CSF của NIST để phù hợp với yêu cầu nghiệp vụ của tổ chức.

6.3. MỘT SỐ BIỆN PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN

6.3.1. Phân quyền người sử dụng

6.3.1.1. Khái niệm

Người sử dụng (người dùng) là những người được quyền đăng nhập và sử dụng tài nguyên của hệ thống trong phạm vi quyền hạn của mình. Nếu chúng ta chỉ sử dụng máy tính riêng rẽ (ví dụ như các máy tính để bàn ở nhà) thì cả hệ thống (thường) sẽ chỉ có một người dùng duy nhất và người dùng này thường có luôn quyền quản trị cũng như mọi quyền khác đối với hệ thống.

Tuy nhiên, ngày nay trong công việc hàng ngày chúng ta thường xuyên làm việc trong môi trường làm việc với các hệ thống máy tính lớn được nối liên thông với nhau, ngoài ra ngay trên một máy cũng có thể có nhiều người dùng khác nhau. Vì vậy nếu chúng ta không có sự phân biệt rõ ràng về quyền hạn đối với những người dùng này thì sẽ gây ra tình trạng mất an toàn trong hệ thống đồng thời đánh mất tính riêng tư của những người dùng trong hệ thống.

Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống theo những yêu cầu khác nhau nhằm đảm bảo được sự an toàn của hệ thống cũng như đảm bảo tính riêng tư của mỗi người.

Trước khi tìm hiểu về các chính sách đối với những người dùng trong hệ thống chúng ta hãy cùng tìm hiểu về các loại người dùng và các quyền hạn mà người dùng có thể được sử dụng trong hệ thống.

6.3.1.2. Cơ chế phân quyền người dùng

Như đã đề cập ở phần trên, trong những mạng máy tính lớn hay đối với các tổ chức lớn, với mỗi máy tính của hệ thống không chỉ đơn thuần

dành cho một người dùng (cục bộ) mà còn có nhiều dạng người dùng khác nữa.

Người dùng cục bộ (Local User): là những người dùng của chính bản thân một máy tính, được tạo một tài khoản tại máy cục bộ. Những người dùng này sử dụng máy tính như là một máy tính riêng rẽ. Đặc điểm của người dùng này là có thể sử dụng máy tính ngay cả khi máy tính đã được ngắt ra khỏi mạng và chỉ được phép sử dụng các tài nguyên trong máy của mình.

Người dùng toàn cục (Global Account): là những người dùng được tạo ra trên một máy chủ và thông tin về tài khoản của người dùng này do Server quản lý. Tuy được tạo ra và quản lý thông tin trên máy chủ nhưng người dùng loại này có thể đăng nhập vào bất kỳ máy nào trong mạng LAN và sử dụng tài nguyên của các máy tính trong phạm vi quyền hạn mà người quản trị cho phép.

Tài khoản người dùng tạo sẵn (Built-in User Account): là những người dùng được tạo ra sau khi chúng ta tiến hành cài đặt hệ điều hành, với những người dùng này chúng ta không thể xóa. Có hai loại người dùng được tạo sẵn là Administrator và Guest.

Hình 6.5: Phân biệt người dùng toàn cục và người dùng cục bộ

6.3.1.3. Các quyền của người dùng

Quyền quản trị (Administrators): Đây là những người dùng có toàn quyền với hệ thống, có thể tiến hành các thao tác với hệ thống cũng như thay đổi các tham số về quyền sử dụng của mình cũng như của người dùng khác. Ứng với người dùng local và người dùng mạng chúng ta cũng có những nhóm Administrator của máy cục bộ và toàn cục.

Quyền sao lưu và khôi phục (Backup Operators): Đây là những người dùng có quyền thực hiện việc sao lưu và phục hồi đối với hệ thống tập tin trong máy tính. Những người dùng thuộc nhóm này được phép login vào máy tính và có quyền tắt máy nhưng không được quyền thay đổi các tham số về bảo mật của máy.

Quyền thêm người dùng (Power Users): Những người dùng được gán quyền này được phép tạo người dùng, thêm một người dùng cho hệ thống. Những người dùng thuộc nhóm này cũng có quyền tạo các nhóm người dùng cục bộ và được phép thêm bớt hay loại bỏ các người dùng thuộc các nhóm do mình tạo ra. Những người dùng thuộc nhóm này được phép thay đổi các thông tin liên quan đến những người dùng thuộc các nhóm Power User, User và Guest. Nhưng những người dùng thuộc nhóm này không được phép thay đổi thông tin cũng như thêm bớt người dùng vào nhóm administrator và backup operator, ngoài ra người dùng thuộc nhóm này không được thực hiện các thao tác sao lưu phục hồi hay các thao tác thêm bớt các thiết bị cũng như các tham số về bảo mật.

Người dùng (Users): Những người dùng thuộc nhóm này được phép thực hiện các thao tác thông thường như: chạy các ứng dụng, sử dụng máy in, đăng nhập, thoát hay tắt các máy trạm. Ngoài ra những người dùng thuộc nhóm này còn được phép tạo các nhóm người dùng trên máy cục bộ và được phép thêm bớt người dùng vào những nhóm do mình tạo ra. Những người dùng thuộc nhóm này không được phép chia sẻ thư mục.

Khách (Guest): Đây là người dùng do hệ thống tự động tạo ra sau khi chúng ta cài đặt hệ điều hành. Đặc điểm của người dùng này là không

Xem tất cả 194 trang.

Ngày đăng: 18/05/2023