Security in Development and support process Phan Tấn Long Nguyễn Đăng Khương Nguyễn Tiến Dũng Du Chí Nhuệ  Mục đích.  Control A.12.5.1.Thay đổi thủ tục kiểm soát (control procedures)  Control A.12.5.2.Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều hành.  Control A.12.5.3.Hạn chế thay đổi gói phần mềm (software packages).  Control A.12.5.4. Rò rỉ thông tin (Information leakage).  Control A.12.5.5.Thuê gia công phần mềm (Outsourced software). Outlines  Duy trì an ninh thông tin và hệ thống phần mềm.  Các dự án và môi trường hỗ trợ phải được theo dõi chặt chẽ. Security in Development and support process  Control A.12.5.1 đòi hỏi tổ chức phải tổ chức chặt chẽ để kiểm soát những thay đổi bằng cách sử dụng ‘những thủ tục kiểm soát thay đổi’ chính thức để giảm thiểu khả năng hư hỏng của hệ thống.  Tất cả những thay đổi trên hệ thống, ngay cả những người đã được cấp quyền có thể làm mất tính sẵn sàng, toàn vẹn, bảo mật của hệ thống. Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures)  Duy trì hồ sơ về các mức cấp phép đã được chấp thuận.  Các đề xuất thay đổi hệ thống nên được thông qua bởi những người đã được cấp quyền và phải lưu vết quá trình này.  Các kiểm soát và các thủ tục đã tồn tại nên thường xuyên xem xét để đảm bảo chúng không tác động đến những thay đổi được đề xuất. Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures): Hướng dẫn triển khai  Xác định tất cả phần mềm, phần cứng, tài sản thông tin và CSDL có yêu cầu sửa đổi.  Thay đổi mã của ứng dụng nhạy cảm nên được kiểm tra bởi người thứ hai.  Việc triển khai các thay đổi nên được thực hiện vào thời điểm giảm thiểu quá trình kinh doanh. Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures): Hướng dẫn triển khai  Các tài liệu hệ thống và thủ tục nên được cập nhật ngay sau khi việc triển khai hoàn thành.  Duy trì việc quản lý phiên bản của phần mềm.  Cần dự trù và quay trở lại phiên bản trước đó khi việc triển khai thất bại.  Phải có văn bản đồng ý trước khi triển khai. Việc này được thực hiện bởi các cố vấn an ninh, đảm bảo các vấn đề an ninh đã được đánh giá rủi ro và cách giải quyết. Những thay đổi hoặc phần mềm sẽ chạy tốt trên hệ thống với các phần mềm khác trên mạng. Control A.12.5.1 Thay đổi thủ tục kiểm soát (control procedures): Hướng dẫn triển khai Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều hành Quy định khi hệ thống điều hành thay đổi, các ứng dụng nghiệp vụ quan trọng cần được soát xét và kiểm tra lại nhằm đảm bảo không xảy ra các ảnh hưởng bất lợi tới hoạt động cũng như an toàn của tổ chức.  Soát xét biện pháp quản lý ứng dụng và toàn bộ các thủ tục nhằm đảm bảo rằng chúng không bị ảnh hưởng bởi các thay đổi của hệ thống điều hành .  Đảm bảo rằng kế hoạch hỗ trợ và ngân sách hàng năm sẽ dành cho cả hoạt động soát xét và kiểm tra hệ thống sau các thay đổi của hệ thống điều hành  Đảm bảo rằng thông báo về các thay đổi hệ thống điều hành được đưa ra đúng thời điểm để cho phép thực hiện các kiểm tra và soát xét phù hợp trước khi triển khai Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều hành: Hướng dẫn triển khai  Đảm bảo rằng những thay đổi phù hợp được triển khai cho các kế hoạch về sự liên tục của hoạt động nghiệp vụ : (Control 14 ISO/IEC 27002 : 2005) Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm họa và đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc. Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều hành: Hướng dẫn triển khai [...]... tính Control 12.5.4 Rò rỉ thông tin (information leakage): Về kênh ẩn Kênh ẩn: tồn tại trong hệ thống (mạng)  Khó ngăn chặn sự tồn tại các kênh ẩn  Một số biện pháp: + Ngăn chặn mã Trojan + Cấm truy cập mạng trái phép + Hạn chế lạm dụng dịch vụ thông tin cá nhân Control 12.5.4 Rò rỉ thông tin (information leakage): một số khuyến nghị kỹ thuật Control 12.5.4 Rò rỉ thông tin (information leakage): một... sự truyền thông với mục đích che giấu thông tin Ngụy trang, điều chỉnh biến đổi hệ thống và phương thức truyền thông nhằm làm giảm khả năng mà bên thứ ba có thể luận ra thông tin từ phương thức truyền thông đó Tận dụng các hệ thống và phần mềm được đánh giá là có tính toàn vẹn cao, ví dụ như: sử dụng các sản phẩm đã được kiểm chứng (xem thêm ISO/IEC 15408) Control 12.5.4 Rò rỉ thông tin (information... cần được thực hiện nhằm đảm bảo rằng hầu hết các bản vá và cập nhật gần nhất thì được chấp thuận và các cập nhật ứng dụng đã được cài đặt đối với tất cả phần mềm thìđược cấp phép (Control 12.6 ISO/IEC 27002 : 2005 ) Control 12.5.4 Rò rỉ thông tin (information leakage)  Kiểm soát: các cơ hội dẫn đến việc rò rỉ (lộ) thông tin nên được ngăn chặn Control 12.5.4 Rò rỉ thông tin (information leakage): Hướng... ra mã thực thi (cũng có gói chứa mã nguồn)  Các thông tin liên quan (meta-information): mô tả (description), phiên bản (version), danh sách các gói cần có (dependencies), file cấu hình, file hướng dẫn (man), thông tin bản quyền, số kiểm tra checksum, …  Được đóng gói theo một định dạng đóng gói nào đó (deb, rpm, v.v…) và phân phối ( software packaging and distribution archive format) ; để có thể tìm... sự cố phá hoại, và đảm bảo rằng thông tin được yêu cầu cho các quá trình nghiệp vụ là sẵn sàng Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ thống điều hành: Hướng dẫn triển khai  Giám sát các điểm yếu và các phiên bản của các bản vá và phần mềm của nhà cung cấp (Control 12.6 ISO/IEC 27002 : 2005 ) o Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác các điểm... và khôi phục lại sau khi mất mát các tài sản thông tin (ví dụ, tài sản có thể bị mất do các thảm họa tự nhiên, các tai nạn, lỗi thiết bị, và các hoạt động cố ý) đến một mức độ có thể chấp nhận bằng cách phối hợp các biện pháp quản lý ngăn ngừa và khôi phục o Các kế hoạch về sự liên tục trong hoạt động nghiệp vụ cần được phát triển và triển khai nhằm đảm bảo sự tiếp tục của các hoạt động cần thiết đúng... tin cá nhân Control 12.5.4 Rò rỉ thông tin (information leakage): một số khuyến nghị kỹ thuật Control 12.5.4 Rò rỉ thông tin (information leakage): một số khuyến nghị kỹ thuật Control 12.5.4 Rò rỉ thông tin (information leakage): một số khuyến nghị kỹ thuật Control 12.5.5 Thuê gia công phần mềm (Outsourced software)   Việc phát triển các phần mềm thuê gia công cần được quản lý và giám sát bởi tổ chức... nhận được sự cho phép của nhà cung cấp không o Khả năng nhận được các thay đổi được yêu cầu từ nhà cung cấp dưới dạng các cập nhật chương trình chuẩn o tác động nếu tổ chức phải có trách nhiệm trong việc bảo hành phần mềm trong tương lai do xảy ra các thay đổi Control A.12.5.3 Hạn chế thay đổi các gói phần mềm (software packages): Hướng dẫn triển khai   Nếu những thay đổi là cần thiết thì phần mềm gốc . rò rỉ (lộ) thông tin nên được ngăn chặn. Control 12.5.4 Rò rỉ thông tin (information leakage)  Rà quét các môi trường bên ngoài và sự truyền thông với mục đích che giấu thông tin.  Ngụy. packages).  Control A.12.5.4. Rò rỉ thông tin (Information leakage).  Control A.12.5.5.Thuê gia công phần mềm (Outsourced software). Outlines  Duy trì an ninh thông tin và hệ thống phần mềm.  Các. nguồn)  Các thông tin liên quan (meta-information): mô tả (description), phiên bản (version), danh sách các gói cần có (dependencies), file cấu hình, file hướng dẫn (man), thông tin bản quyền,