Nội dung · 2020-02-19 · 1 BÀI 6. XÂY DỰNG CHÍNH SÁCH AN TOÀN BẢO MẬT Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa

1

BÀI 6.XÂY DỰNG CHÍNH SÁCH AN TOÀN BẢO MẬT

Bùi Trọng Tùng,

Viện Công nghệ thông tin và Truyền thông,

Đại học Bách khoa Hà Nội

1

Nội dung

• Các khái niệm cơ bản

• Phân loại chính sách ATBM

• Quy trình xây dựng và triển khai chính sách ATBM

2

1

2

2

Chính sách ATBM là gì?

• Khái niệm(theo nghĩa rộng): là tập các quy định cách thức sử dụng và bảo vệ tài nguyên của hệ thống thông tin

• Cụ thể hóa bằng các mô tả về hoạt động phải thực hiện, được phép, hoặc không được chấp nhận của chủ thể nào đó thực hiện trên tài nguyên hệ thống

• Là cơ sở để xây dựng kế hoạch, thiết kế và triển khai các giải pháp ATBM

• Nâng cao khả năng quản trị ATBM của tổ chức

• Yêu cầu đối với chính sách ATBM:• Không vi phạm quy định phát luật

• Nên có cơ chế ATBM để thi hành

• Phải được quản trị và trở thành quy tắc làm việc của tổ chức

3

Một số văn bản pháp luật ở Việt Nam

• Luật An toàn thông tin mạng 2015

• Luật Công nghệ thông tin 2006

• Nghị định số 72/2013/NĐ-CP về Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng

• Nghị định số 85/2016/NĐ-CP về Bảo đảm an toàn hệ thống thông tin theo cấp độ

4

3

4

3

Các khái niệm liên quan

• Tiêu chuẩn ATBM(Security Standard): mô tả chi tiết cách thức thực hiện chính sách như thế nào• Là sự mở rộng của chính sách khi triển khai: công nghệ, hạ tầng

CNTT, cách vận hành

• Cơ sở để đảm bảo các chính sách được triển khai

• Quy trình thủ tục ATBM (Security Procedure): mô tả chi tiết các bước cần thực hiện khi triển khai, tuân thủ theo tiêu chuẩn ATBM

• Hướng dẫn cơ bản (Security Guideline): danh sách các hoạt động người dùng nên thực hiện để tuân thủ đúng theo các chính sách đã ban hành

5

Ví dụ

• Yêu cầu: Dữ liệu trên ổ cứng của hệ thống máy chủ phải được sao lưu

• Chính sách ATBM: mô tả sự cần thiết phải sao lưu dữ liệu và bảo vệ các bản sao lưu

• Tiêu chuẩn ATBM: mô tả phần mềm sao lưu được sử dụng và các thông số cài đặt phần mềm, thiết bị lưu trữ được sử dụng để sao lưu

• Thủ tục ATBM mô tả:• Cách thức sử dụng phần mềm

• Thời gian sao lưu

• Cách thức sử dụng bản sao lưu

6

5

6

4

Enterprise Information Security Policy

• EISP: chính sách có tính chất tổng quát, định hướng, mô tả yêu cầu ATBM và xác định phạm vi các tài nguyên cần bảo vệ

• Phù hợp với chính sách và chiến lược của tổ chức

• Có tính bền vững:• Không phụ thuộc vào việc các nguy cơ mới xuất hiện

• Chỉ thay đổi khi chính sách chung của tổ chức thay đổi

• Phải được viết một cách ngắn gọn (<10 trang)

7

Các thành phần của tài liệu EISP

• Tóm tắt nội dung của tài liệu

• Các thuật ngữ về an toàn bảo mật trong tổ chức

• Giải thích sự cần thiết và mức độ quan trọng của ATBM thông tin trong tổ chức

• Vai trò và trách nhiệm của các bên liên quan

• Các tài liệu liên quan (quy định pháp luật, chính sách khác, tiêu chuẩn, hướng dẫn…)

8

7

8

5

Ví dụ: Một số chính sách EISP cơ bản

1. Nắm giữ, truy cập và sử dụng thông tin

Chính sách Thông tin là tài sản quan trọng của công ty và mọi hành động truy cập và xử lý thông tin của công ty phải tuân thủ theo chính sách và tiêu chuẩn ATBM

Áp dụng Toàn bộ nhân viên

2. Mục đích sử dụng thông tin

Chính sách Hệ thống thông tin của công ty chỉ được sử dụng cho nhu cầu công việc theo đúng quyền hạn mà người quản lý đã quy định

Áp dụng Toàn bộ nhân viên

3. Bảo vệ thông tin

Chính sách Thông tin phải được bảo vệ tùy thuộc theo tính quan trọng, nhạy cảm và giá trị của thông tin đó

Áp dụng Nhân viên kỹ thuật9

Ví dụ: Một số chính sánh EISP cơ bản

4. Từ chối chịu trách nhiệm

Chính sách Công ty không có trách nhiệm và nghĩa vụ với bất kỳ sự thiệt hại nào về dữ liệu hoặc phần mềm phát sinh từ việc bảo vệ tính bí mật, toàn vẹn và khả dụng của thông tin trên các hệ thống máy tính và mạng

Áp dụng Người dùng cuối

5. Tính hợp pháp

Chính sách Mọi chính sách an toàn bảo mật của công ty được soạn thảo đều tuân thủ theo các quy định pháp luật hiện hành và bất kỳ chính sách nào có mâu thuẫn với các quy định pháp luật phải được báo cáo ngay lập tức tới bộ phận quản trị ATTT của công ty


10

9

10

6


11

6. Ngoại lệ

Chính sách Các ngoại lệ nằm ngoài quy định chính sách bảo mật chỉ giới hạn trong trường hợp đánh giá rủi ro của hệ thống. Khi đó, các rủi ro có thể phát sinh cần phải được báo cáo bởi các bên liên quan và được phê duyệt, kiểm soát bởi bộ phận quản trị ATTT

Áp dụng Quản trị viên hệ thống

7. Tính liên tục khi thi hành chính sách

Chính sách Mọi trường hợp không đảm bảo thi hành yêu cầu của một chính sách nào đó không kéo theo sự đồng ý cho phép nhân viên trong công ty không tuân thủ chính sách đó



12

8. Các hành vi vi phạm pháp luật

Chính sách Bộ phận quản trị phải xem xét và chuẩn bị một cách nghiêm túc việc khởi kiện tất cả các hành vi vi phạm phát luật có liên quan

Áp dụng Quản trị viên hệ thống

9. Thu hồi quyền truy cập

Chính sách Công ty có quyền thu hồi quyền hạn trên hệ thống thông tin của người dùng bất cứ khi nào

Áp dụng Mọi nhân viên

10. Các tiêu chuẩn công nghiệp về an toàn bảo mật thông tin

Chính sách Hệ thống thông tin của công ty phải triển khai các tiêu chuẩn công nghiệp về an toàn bảo mật thông tin

Áp dụng Nhân viên kỹ thuật

11

12

7


11. Sử dụng các tài liệu về chính sách bảo mật

Chính sách Tất cả các tài liệu về vấn đề bảo mật thông tin của công ty bao gồm, nhưng không giới hạn, chính sách, quy trình thủ tục, hướng dẫn phải được phân loại là “Chỉ sử dụng nội bộ”, trừ những tài liệu chỉ định dành cho hoạt động nghiệp vụ bên ngoài với đối tác

Áp dụng Mọi nhân viên

12. Thi hành chính sách

Chính sách Tất cả các chính sách thi hành phải có khả năng thực thi trước khi được chấp nhận như là một phần của quy trình thủ tục

Áp dụng Quản trị viên và nhân viên kỹ thuật

13

Issue Specific Security Policy

• ISSP: là các chính sách cụ thể hóa, chi tiết hóa quy định vận hành, sử dụng tài nguyên

• Nội dung ISSP thể hiện những hoạt động người dùng có thể/không được phép thực hiện• Tránh để người dùng nhầm lẫn ISSP là thủ tục hành chính

• Một số chính sách ISSP điển hình:• Sử dụng mật khẩu

• Sử dụng email

• Truy cập dịch vụ Web

• Sử dụng kết nối WLAN

• Truy cập Internet

• Cài đặt và sử dụng phần cứng, phần mềm

• …

• Nên có hướng dẫn, gợi ý sử dụng(best practice) đính kèm với ISSP

14

13

14

8

Các thành phần của ISSP

• Mô tả chung:• Phạm vi áp dụng

• Đối tượng tài nguyên, dịch vụ được áp dụng

• Bộ phận chịu trách nhiệm triển khai và giám sát

• Hoạt động được cho phép

• Hoạt động bị cấm, thông thường là những hoạt động sau:• Sử dụng tài nguyên cho mục đích cá nhân

• Lạm dụng

• Tấn công hoặc gây rối

• Xâm phạm bản quyền, sở hữu trí tuệ

• Sử dụng cho các hành vi phạm pháp khác

15

Các thành phần của ISSP

• Thông tin của quản trị viên hệ thống

• Điều khoản về vi phạm chính sách:• Hình phạt và hậu quả

• Cách thức báo cáo các hành vi vi phạm

• Lịch sử thay đổi và phê duyệt chính sách

• Giới hạn về trách nhiệm pháp lý của công ty

16

15

16

9

System-Specific Security Policies

• SysSP: Chính sách phát biểu về các tiêu chuẩn và thủ tục được sử dụng khi triển khai, cấu hình và bảo trì hệ thống

• SysSP thường có 2 dạng:• Tài liệu hướng dẫn: tài liệu chỉ dẫn cách thức triển khai, cấu hình

giải pháp công nghệ, cũng như cách sử dụng, vận hành hệ thống để hỗ trợ cho việc thi hành các chính sách ISSP và EISP

• Tài liệu đặc tả kỹ thuật: tài liệu mô tả các trình tự cấu hình, thông số cụ thể dành cho quản trị viên khi triển khai, cấu hình thiết bị, chương trình để đảm bảo việc thi hành các chính sách khác

17

Ví dụ 1: EISP vs ISSP vs SysSP

• EISP: Hệ thống CNTT của công ty chỉ được sử dụng để truy cập dịch vụ của công ty

• ISSP 1: Tất cả các email có địa chỉ gửi và nhận không phải là địa chỉ email của công ty bị chặn

• ISSP 2: Tất cả các truy cập tới dịch vụ Web bên ngoài bị cấm

• SysSP(Tài liệu hướng dẫn): • Cấu hình firewall chặn các lưu lượng HTTP, HTTPS đi ra ngoài hệ

thống mạng của công ty

• Hệ thống email chuyển các email sử dụng địa chỉ ngoài công ty vào thư mục cách ly để xử lý

18

17

18

10

Ví dụ 2: EISP vs ISSP vs SysSP

• EISP: Hệ thống thông tin của công ty chỉ được sử dụng cho nhu cầu công việc theo đúng quyền hạn mà người quản lý đã quy định

• ISSP: Máy chủ quản lý người dùng phải triển khai hệ thống xác thực dựa trên mật khẩu một cách tin cậy

• SysSP(Tài liệu hướng dẫn): Mật khẩu được sử dụng phải có độ dài tối thiểu 8 ký tự và thay đổi sau mỗi 6 tháng

• SysSP(Tài liệu kỹ thuật): Hướng dẫn cấu hình quản trị chính sách mật khẩu trên HĐH Windows Server 2008

19

Quy trình xây dựng và triển khai

• Giai đoạn 0: Lập kế hoạch

• Giai đoạn 1: Khảo sát• Xác định phạm vi áp dụng của chính sách

• Khảo sát, lấy ý kiến của những bộ phận chịu trách nhiệm thi hành chính sách

• Xác định các yêu cầu đối với chính sách, chi phí, thời gian để triển khai chính sách

• Lấy ý kiến tư vấn từ đội ngũ quản lý cấp cao

• Giai đoạn 2: Phân tích• Phân tích quy trình nghiệp vụ tại các bộ phận chịu trách nhiệm thi

hành chính sách

• Phân tích, đánh giá nguy cơ và rủi ro an toàn bảo mật

• Phân tích các văn bản, chính sách pháp luật liên quan

• Tham chiếu tới tác động tích cực, tiêu cực của các chính sách tương tự

20

19

20

11

Quy trình xây dựng và triển khai

• Giai đoạn 4: Soạn thảo• Thành lập đội ngũ nhân lực soạn thảo

• Tham khảo các chính sách từ chính phủ, chuyên gia, các tổ chức khác trong cùng lĩnh vực

• Giai đoạn 5: Triển khai và công bố• Công bố chính sách tới người dùng

• Triển khai các giải pháp để thi hành chính sách

• Đào tạo người dùng

• Giai đoạn 6: Vận hành và bảo trì• Theo dõi, giám sát việc thi hành chính sách

• Phân tích, đánh giá lại nguy cơ nếu chính sách được thi hành

• Điều chỉnh, sửa đổi, hoàn thiện chính sách

21

Phân tích và đánh giá rủi ro ATBM

• Rủi ro ATBM(Security risk): khả năng mà một sự kiện, hành động nào đó xảy ra gây mất an toàn cho hệ thống

• Quản trị rủi ro (Risk management): là quá trình bao gồm:• Risk Analysis: Xác định, đánh giá và phân loại rủi ro

• Risk Control: phối hợp sử dụng các tài nguyên để giám sát, kiểm soát và giảm thiểu rủi ro

• Quản trị rủi ro và chính sách ATBM có mối quan hệ mật thiết:• Chính sách ATBM được xây dựng dựa trên phân tích, đánh giá về

rủi ro

• Chính sách ATBM là công cụ để kiểm soát, giảm thiểu rủi ro

22

21

22

12

Quy trình phân tích rủi ro

• Bước 1: Thiết lập các tiêu chí đánh giá rủi ro

• Bước 2: Lập hồ sơ tài nguyên của hệ thống

• Bước 3: Xác định các nguy cơ

• Bước 4: Xác định các rủi ro

• Bước 5: Đánh giá, phân loại rủi ro

23

Thiết lập các tiêu chí đánh giá

Các tiêu chí ước lượng khả năng xảy ra nguy cơ:

• Các tiêu chí đánh giá tác nhân đe dọa:• Trình độ và kỹ năng: Kỹ năng về kiểm thử ATBM(9), Kỹ năng mạng

và lập trình (6), Kỹ năng về máy tính(5), Một vài kỹ năng đơn giản(3), Không cần kỹ năng (1)

• Động cơ tấn công: Không có hoặc lợi ích nhỏ (1), Có thể thu được lợi ích(4), Thu được lợi ích cao(9)

• Mức độ yêu cầu tài nguyên(Điều kiện): Toàn quyền truy cập hoặc tài nguyên đắt giá(0), Yêu cầu truy cập đặc biệt và một số tài nguyên(4), Một số quyền truy cập của người dùng bên trong(7), Không cần yêu cầu truy cập đặc biệt(9)

• Nhóm có thể gây nguy cơ: Lập trình viên(2), Quản trị viên(2), Người dùng bên trong(4), Đối tác(5), Người dùng được xác thực(6), Người dùng ẩn danh(9)

24

https://www.owasp.org

23

24

13


Các tiêu chí ước lượng khả năng xảy ra nguy cơ :

• Các tiêu chí đánh giá lỗ hổng:• Tính dễ dàng để phát hiện: Không thể(1), Khó(3), Dễ(7), Có công

cụ tự động(9)

• Tính dễ dàng để khai thác: Không thể(1), Khó(3), Dễ(5), Có công cụ tự động(9)

• Mức độ phổ biến: Chưa biết đến(1), Tiềm ẩn(4), Rõ ràng(6), Rộng rãi(9)

• Khả năng phát hiện khi bị khai thác: Kích hoạt IDPS(1), Lưu trên log và được đánh giá(3), Lưu trên log và không được đánh giá(8), Không lưu trên log(9)

25



Các tiêu chí ước lượng mức độ ảnh hưởng

• Theo yêu cầu ATBM:• Giảm tính bí mật: Lượng dữ liệu nhỏ, không quan trọng(2), Lượng

dữ liệu nhỏ, quan trọng(6), Lượng dữ liệu lớn, không quan trọng(6), Lượng dữ liệu lớn, quan trọng(7), Toàn bộ dữ liệu(9)

• Giảm tính toàn vẹn: Lượng dữ liệu nhỏ không đáng kể(1), Lượng dữ liệu nhỏ quan trọng (3), Lượng lớn dữ liệu (5), Lượng lớn dữ liệu quan trọng(7), Toàn bộ dữ liệu(9)

• Giảm tính sẵn sàng: Một số dịch vụ thứ cấp(1), Một số dịch vụ chính(5), Phần lớn dịch vụ thứ cấp(5), Phần lớn dịch vụ chính(7), Toàn bộ dịch vụ(9)

• Giảm tính kiểm soát: Theo vết được hoàn toàn(1), Có thể theo vết(7), Hoàn toàn ẩn danh(9)

26


25

26

14


Các tiêu chí ước lượng mức độ ảnh hưởng

• Theo mức độ ảnh hưởng tới hoạt động của tổ chức• Tổn hại tại chính: Nhỏ hơn chi phí vá lỗ hổng(1), Ít ảnh hưởng tới

lợi nhuận(3), Ảnh hưởng lớn tới lợi nhuận(7), Phá sản(9)

• Tổn hại danh tiếng: Rất ít(1), Mất một số khách hàng chính(3), Mất tín nhiệm(5), Tổn hại thương hiệu(9)

• Thông tin cá nhân bị lộ: Một số người(3), Hàng trăm người(5), Hàng ngàn người(7), Hàng triệu người(9)

27


Lập hồ sơ tài nguyên của hệ thống

• Mức độ quan trọng của tài nguyên với tổ chức

• Tần suất sử dụng tài nguyên trong công việc

• Dạng tổn hại nào tới tài nguyên dẫn tới ảnh hướng đến hoạt động của hệ thống:• Mất tính bí mật

• Mất tính toàn vẹn

• Bị mất cắp, phá hủy

• Bị gián đoạn truy cập

• Các đối tượng sử dụng, quản lý tài nguyên

• Vị trí tài nguyên được lưu trữ xử lý

• Các luồng truy cập tới tài nguyên

• Các tài nguyên liên quan28

27

28

15

Xác định các nguy cơ

Xây dựng sơ đồ phân loại nguy cơ:

• Nguy cơ từ truy cập thông qua mạng:

29

Bên trong

Cố tình

Vô tình

Mất tính bí mật

Mất tính toàn vẹn

Phá hủy/Mất cắp

Gián đoạn

Bên ngoài

Mất tính bí mật

Mất tính toàn vẹn

Phá hủy/Mất cắp

Gián đoạn

Xác định các nguy cơ

Xây dựng sơ đồ phân loại nguy cơ:

• Nguy cơ từ các truy cập vật lý

• Các vấn đề kỹ thuật:• Lỗi phần mềm

• Lỗi hệ điều hành

• Lỗi phần cứng

• Lây nhiễm phần mềm độc hại

• Các vấn đề khác:• Nguồn điện

• Bên thứ 3

• Thiên tai

30

29

30

16

Xác định các rủi ro

Rủi ro = Nguy cơ + Ảnh hưởng

• Xây dựng các kịch bản nguy cơ xảy ra và những hậu quả để lại

• Xác định hậu quả theo những tiêu chí ảnh hưởng

• Ví dụ: Nguy cơ lây nhiễm ransomware Wanna Crypt0r trong tới máy tính người dùng tại phân vùng mạng chăm sóc khách hàng:• Giảm tính bí mật: 2

• Giảm tính toàn vẹn: 2

• Giảm tính sẵn sàng: 7

• Giảm khả năng kiểm soát: 1

• Tổn hại tài chính: 3

• Tổn hại danh tiếng: 3

• Thông tin cá nhân bị lộ: 0

31

Đánh giá và phân loại rủi ro

• Phân loại(https://www.owasp.org):• 0 tới <3: Thấp

• 3 tới <6: Trung bình

• 6 tới 9: Cao

• Tính toán các chỉ số:• Chỉ số khả năng xảy ra nguy cơ

• Chỉ số ảnh hưởng tới ATBM

• Chỉ số ảnh hưởng tới hoạt động của tổ chức

• Lưu ý: Thay đổi trọng số tùy theo mức độ quan tâm của tổ chức tới tiêu chí đó

32

Mứcđộ

ảnhhưởng

Cao TB Cao Nghiêmtrọng

TB Thấp TB Cao

Thấp Không Thấp TB

Thấp TB Cao

Khả năng xảy ra

31

32

17

Đánh giá và phân loại rủi ro

• Rủi ro khi phân vùng mạng chăm sóc khách hàng bị lây nhiễm Wanna Crypt0r

33

Tác nhân đe dọa Lỗ hổng

Trìnhđộ

Độngcơ

Điềukiện

Nhóm Phát hiện Khai thác

Phổbiến

Pháthiện

9 9 7 9 9 5 9 1

Chỉ số khả năng = 7.25

Ảnh hưởng ATBM Ảnh hưởng hoạt động

Bí mật Toànvẹn

Sẵnsàng

Kiểmsoát

Tài chính Danhtiếng

Thông tin cá nhân

2 2 7 1 3 3 0

Chỉ số ảnh hưởng ATBM: 3 Chỉ số ảnh hưởng HĐ: 2

Xếp loại rủi ro: Thấp đến trung bình

Một số mô hình phân tích rủi ro

• SNA(Survivable Network Analysis) Phân tích khả năng “sống sót” của mạng• Phân tích, đánh giá qua kịch bản tấn công giả định

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

• AS/NZS 4360:2004 Risk Management

• HB 167:2006 Security risk management

• CVSS(Common Vulnerability Scoring System)

• FAIR(Factor Analysis of Information Risk)

• Mô hình đánh giá nguy cơ: STRIDE, DREAD

34

33

34

18

Soạn thảo chính sách

Chính sách về Chấp nhận sử dụng tài nguyên:

• Mô tả tài nguyên phải được sử dụng đúng đắn như thế nào

• Thường là phần mở đầu trong các chính sách

• Mục đích: nâng cao nhận thức người dùng• Giải thích sự cần thiết

• Giải thích lợi ích của chính sách

35


Chính sách với extranet và truy cập từ bên thứ ba:

• Extranet: phân vùng mạng riêng được thiết lập như là một phân vùng mở rộng cho đối tác của tổ chức

• Chỉ chấp nhận truy cập cho mục đích công việc

• Xác định các biện pháp giám sát

• Truy cập từ bên thứ 3 nên được giám sát ở mức độ cao hơn

• Thời hạn truy cập và cách thức dừng truy cập

• Hình phạt kỷ luật và hậu quả khi vi phạm

36

35

36

19


• Mật khẩu:• Độ dài tối thiểu của mật khẩu

• Các dạng ký tự phải sử dụng

• Số lần xác thực thất bại tối đa

• Thời gian sử dụng mật khẩu tối đa

• …

• Tài khoản người dùng và phân quyền• Người dùng không được phép truy cập tới vùng tài nguyên không

có quyền

• Người dùng không được phép ngăn chặn, cản trở người dùng khác truy cập tài nguyên

• Người dùng phải bảo vệ tài khoản cá nhân

• Người dùng không được chia sẻ tài khoản với người khác

37


• Truy cập từ xa và truy cập không dây WiFi• Sử dụng mô hình phân quyền theo vai (RBAC):

• Xác định rõ các vai trò trong hệ thống

• Gán quyền cho vai

• Gán tài khoản người dùng vào đúng vai

• Truy cập tới các tài nguyên quan trọng nên được xác thực bằng nhiều yếu tố

• Chính sách về VPN

• Chính sách về truy cập Internet và Email

• Chính sách về an toàn mạng

• Chính sách về an toàn truy cập vật lý

38

37

38

20


Chính sách về ATBM cho máy chủ:

• Đối tượng áp dụng: nhân viên có quyền truy cập trên hệ thống máy chủ

• Xác định tên, chức danh, vị trí công việc của nhân viên vận hành và bảo trì

• Tên các hệ thống máy chủ và dịch vụ đang cung cấp trên đó

• Yêu cầu về tài khoản, mật khẩu

• Yêu cầu về cấu hình (tham khảo Security Baseline cụ thể)

• Yêu cầu về kiểm tra, giám sát

• Yêu cầu về sao lưu, khôi phục

39

Một số lưu ý

• Nếu chính sách quá phức tạp, không ai thực hiện theo

• Nếu chính sách ảnh hưởng tới hoạt động của tổ chức, không được chấp nhận

• Rõ ràng và ngắn gọn. Hạn chế các câu phức hợp gây ra sự nhập nhằng

• Xác định rõ ràng các hành động có thể/không được phép

• Khẳng định sự quan trọng của chính sách

• Nêu rõ điều khoản xử lý vi phạm

• Thông báo rộng rãi bằng nhiều hình thức

• Đào tạo và huấn luyện, diễn tập

• Đánh giá và cập nhật chính sách một cách định kỳ

40

39

40

21

CASE STUDY

CHÍNH SÁCH BẢO MẬT THÔNG TIN TRONG TỔ CHỨC

Bùi Trọng Tùng,



41

Phân loại thông tin

• Bên cạnh các chính sách chung về bảo mật thông tin trong tổ chức, đối với mỗi loại thông tin cần được phân loại theo mức độ nhạy cảm và có chỉ dẫn cụ thể cách thức áp dụng chính sách cho loại thông tin đó

• Thông tin thường được phân thành 5 cấp độ:• Cấp độ 1: Công khai. Ví dụ:

• Lĩnh vực hoạt động

• Địa chỉ, Số điện thoại, Email để liên hệ

• Cơ cấu tổ chức

• Cấp độ 2: Thông tin mà tổ chức yêu cầu lưu hành nội bộ nhưng việc tiết lộ sẽ không gây ra thiệt hại. Ví dụ:

• Sơ đồ văn phòng

• Sơ đồ hệ thống mạng, điện, nước

• Vị trí lắp đặt thiết bị…42

41

42

22

Phân loại thông tin

• Cấp độ 3: Loại thông tin mà khi bị lộ có thể gây nguy cơ thiệt hại cho nhân viên hoặc tổ chức. Ví dụ:• Báo cáo tài chính nội bộ

• Hồ sơ nhân viên

• Cấp độ 4: Loại thông tin mà khi bị lộ sẽ gây thiệt hại nghiêm trọng cho nhân viên hoặc tổ chức. Ví dụ:• Tài khoản cá nhân truy cập hệ thống

• Tài khoản ngân hàng

• Các dự án phát triển sản phẩm chưa ra mắt

• Bí mật công nghệ

• Cấp độ 5: Loại thông tin mà khi bị lộ sẽ gây thiệt hại đặc biệt nghiêm trọng cho nhân viên hoặc tổ chức

43

Chính sách bảo mật thông tin trong tổ chức

1. Nguyên tắc chung:1.1. Trong quá trình làm việc, nhân viên sẽ tích lũy được các thông tin từ nhân viên và tổ chức khác. Nhân viên cần xác định mức độ quan trọng của các thông tin theo quy định đã công bố tại <chỉ dẫn tài liệu>. Chính sách này nhằm mục đích hướng dẫn cách thức bảo vệ an toàn bí mật cho các thông tin. Nếu có bất kỳ thắc mắc nào hãy liên hệ với các cấp quản lý.

1.2. Nhân viên được phép chia sẻ thông tin với các cấp quản lý

1.3. Nhân viên không được trao đổi thông tin cá nhân của nhân viên khác.

1.4. Nhân viên cần thận trọng khi bình luận về tổ chức hoặc các nhân viên khác trên các phương tiện thông tin đại chúng.

1.5. Không được tiết lộ cho bất cứ ai, trừ các cấp quản lý, các thông tin nhạy cảm mà không có sự đồng ý của người quản lý

44

43

44

23


1. Nguyên tắc chung(tiếp):1.6. Trong trường hợp cần chia sẻ thông tin với nhân viên khác mà họ không được phép tiếp cận để giải quyết các vấn đề trong công việc, cần phải có sự chấp thuận của người quản lý hoặc biết chắc chắn rằng điều này không vi phạm quy định của tổ chức.

1.7. Trong trường hợp phải thực hiện theo nghĩa vụ pháp lý, việc tiết lộ thông tin cần phải được báo cáo với các bên liên quan hoặc phải được đảm bảo miễn trừ pháp lý.

45


2. Truy cập thông tin:2.1. Đối với các thông tin nhạy cảm, có hạn chế truy cập, cần phải ghi nhãn “Bí mật” và nêu rõ những ai được phép truy cập thông tin.

2.2. Nhân viên được phép truy cập vào các thông tin theo thẩm quyền đã nêu ở mục 2.1. Nếu cần truy cập vào các thông tin không được phép, cần gửi yêu cầu bằng văn bản tới các cấp quản lý và phải được chấp thuận bằng chữ ký phê duyệt của người quản lý phù hợp.

2.3. Khi sao chụp hoặc làm việc với thông tin bí mật, nhân viên cần đảm bảo những người xung quanh không đọc được nó. Điều này áp dụng cho cả thông tin trên màn hình hiển bị bao gồm, nhưng không giới hạn, máy tính, máy chiếu.

46

45

46

24


3. Lưu trữ thông tin:

3.1. Các thông tin công khai được lưu trữ trong tủ hồ sơ và trên hệ thống máy tính được phép truy cập không giới hạn

3.2. Các thông tin hồ sơ nhân viên phải được lưu trữ trong tủ có khóa bảo vệ, hoặc phải được mã hóa nếu lưu trữ trong máy tính. Thông tin này chỉ được tiếp cận bởi phòng Nhân sự và Ban giám đốc.

3.3. Tủ hồ sơ hoặc file lưu trữ thông tin bí mật phải được dãn nhãn “Bí mật”

3.4. Việc đem phương tiện lưu trữ thông tin ra khỏi khu vực lưu trữ cần phải được chấp thuận bởi người quản lý. Các phương tiện này phải được đặt vào vị trí ban đầu sau khi sử dụng.

3.5. Việc tạo các bản sao lưu trữ cần phải được chấp thuận bởi người quản lý. Các bản sao này phải được hủy sau khi sử dụng.

3.6. Trong trường hợp khẩn cấp, các cấp quản lý từ Trưởng phòng hoặc tương đương trở lên có thể ủy quyền cho người khác truy cập tới hệ thống lưu trữ theo quy định cụ thể.

47


4. Quy định về các trường hợp cung cấp thông tin bí mật theo nghĩa vụ pháp lý

5. Quy định về các hình thức kỷ luật

6. Quy định về hiệu lực thi hành

48

47

48

25

CASE STUDY

CHÍNH SÁCH TOÀN VẸN

Bùi Trọng Tùng,



49

Các nguyên tắc chính

• Luôn đảm bảo ghi nhật ký (logging) tất cả các thao tác làm thay đổi trạng thái tài nguyên:• Cập nhật dữ liệu

• Thêm bản ghi dữ liệu

• Thay đổi cấu hình hoạt động của hệ thống

• Luôn thực hiện sao lưu, dự phòng trước các thao tác

• Thiết lập các biện pháp phát hiện tình trạng xâm phạm tính toàn vẹn của hệ thống: phần mềm AV, hệ thống phát hiện xâm nhập, phần mềm kiểm tra tính toàn vẹn của dữ liệu…

• Cẩn trọng với các thao tác xóa dữ liệu

50

49

50

26

Chính sách toàn vẹn của tổ chức

1. Xử lý lỗi phát sinh:1.1. Nhân viên vận hành hệ thống chịu trách nhiệm xác định, báo cáo, cung cấp thông tin chính xác về lỗi phát sinh

1.2. Nhân viên vận hành hệ thống chịu trách nhiệm lập hồ sơ về hệ thống, bao gồm phần cứng, hệ điều hành, phần mềm tác nghiệp, thống số cấu hình. Khi lỗi xảy ra, thông tin phải được ghi nhận vào thành phần tương ứng

1.3. Nhân viên quản trị chịu trách nhiệm cập nhật các bản vá lỗi phần mềm, thay thế sửa chữa thiết bị phần cứng. Trước khi thực hiện thay thế, cập nhật, các thành phần mới cần phải được kiểm thử đầy đủ tính tương thích với hệ thống hiện tại, các ảnh hưởng nếu có

1.4. Nhân viên quản trị ATBM chịu trách nhiệm lên kết hoạch và thực hiện hoạt động kiểm tra lỗ hổng bảo mật và vá lỗ hổng bảo mật một cách định kỳ. Các bản vá bảo mật cần phải được kiểm thử.

51


1. Xử lý lỗi phát sinh(tiếp):1.5. Nhân viên vận hành hệ thống chịu trách nhiệm theo dõi các thông báo về các bản cập nhật, nâng cấp phần mềm tác nghiệp và thực hiện cài đặt theo đúng quy trình

1.6. Nhân viên quản trị hệ thống chịu trách nhiệm theo dõi các thông báo cập nhật hệ điều hành và các phần mềm hệ thống theo quyền hạn và trách nhiệm

2. Bảo vệ hệ thống trước tấn công mã độc2.1. Nhân viên quản trị hệ thống chịu trách nhiệm lên kế hoạch và triển khai các tác vụ quét, rà soát phần mềm mã độc trên hệ thống, theo dõi và xử lý các hành vi tấn công bằng mã độc

2.2. Phần mềm phòng chống mã độc phải được cài đặt, cấu hình đầy đủ trên tất cả máy trạm làm việc và máy chủ. Phần mềm mã độc phải cung cấp đầy đủ các tính năng quét tự động khi kết nối máy tính với các thiết bị nhớ ngoài, quét theo yêu cầu, bảo vệ thời gian thực.

52

51

52

27


2. Bảo vệ hệ thống trước tấn công mã độc(tiếp)2.3. Phần mềm phòng chống mã độc phải được cập nhật đầy đủ và thường xuyên

2.4. Phần mềm phòng chống mã độc phải có khả năng phát hiện mã độc lây lan thông qua email, khai thác lỗ hổng phần mềm, tiện ích chia sử file

2.5. Thiết bị phải được quét rà soát mã độc trước khi sử dụng để khởi động hệ thống

2.6. Nhân viên quản trị hệ thống chịu trách nhiệm báo cáo và thông báo tới người dùng cuối khi xảy ra tấn công mã độc trong tổ chức, hướng dẫn cách thức xử lý khi phát hiện mã độc

53


3. Giám sát hệ thống3.1. Tất cả các sự kiện xảy ra trên hệ thống phải được ghi nhận

3.2. Nhận diện các hành vi sử dụng hệ thống trái phép

3.3. Các thiết bị, phần mềm giám sát phải được triển khai tại các vị trí quan trọng, chiến lược trong hệ thống thông tin.

3.4. Giám sát tất cả các lưu lượng mạng đi vào và đi ra khỏi hệ thống

3.5. Bằng chứng về các hành vi xâm nhập, sử dụng hệ thống trái phép phải được bảo quản và đảm bảo tính toàn vẹn như các thông tin khác trong hệ thống

3.6. Phải triển khai các phần mềm, thiết bị phát hiện tấn công, xâm nhập trong hệ thống, bao gồm cả các kết nối không dây

54

53

54

28


4. Phòng chống thư rác4.1. Nhân viên quản trị hệ thống chịu trách nhiệm triển khai các biện pháp chống phát tán thư rác. Các phần mềm sử dụng chống thư rác phải được cập nhật đầy đủ và thường xuyên

5. Kiểm soát dữ liệu đầu vào5.1. Dữ liệu đầu vào phải được kiểm tra đầy đủ: nguồn dữ liệu, kiểu dữ liệu, giá trị hợp lệ, định dạng và ngữ nghĩa

5.2. Nhân viên chỉ được phép đưa dữ liệu đầu vào hệ thống theo trách nhiệm và quyền hạn được quy định. Nhân viên phải chịu trách nhiệm kiểm soát tính hợp lệ của dữ liệu đầu vào

5.3. Nhân viên quản trị hệ thống chịu trách nhiệm lên kế hoạch và triển khai các biện pháp giám sát dữ liệu được đưa vào từ bên ngoài hệ thống thông tin của tổ chức

55

55

Documents

Nội dung · 2020-02-19 · 1 BÀI 6. XÂY DỰNG CHÍNH SÁCH AN TOÀN BẢO MẬT Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa