NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI KHOA AN TOÀN THÔNG TIN

91 983 3
NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI KHOA AN TOÀN THÔNG TIN

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

MỤC LỤC MỤC LỤC II DANH MỤC TỪ VIẾT TẮT V DANH MỤC HÌNH VẼ VI LỜI NÓI ĐẦU VII CHƯƠNG 1: TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 1 1.1. Khái niệm về an toàn thông tin 1 1.2. Tình hình an ninh thông tin hiện nay 3 1.2.1. Tình hình an ninh thông tin trên thế giới 3 1.2.2. Tình hình an ninh thông tin tại Việt Nam 7 1.3. Khái quát về chính sách an toàn thông tin 9 1.3.1. Khái niệm chính sách an toàn thông tin 9 1.3.2. Tầm quan trọng của chính sách an toàn thông tin 10 CHƯƠNG 2: GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH VỰC QUẢN LÝ AN TOÀN THÔNG TIN 13 2.1. Giới thiệu chung 13 2.2. Các tiêu chuẩn của bộ tiêu chuẩn ISOIEC 27000 15 2.3. Tiêu chuẩn ISOIEC 27001: 2005 17 2.3.1. Giới thiệu chung 17 2.3.2. Lợi ích và tình hình ứng dụng của tiêu chuẩn ISOIEC 27001 18 2.3.3. Nội dung của tiêu chuẩn ISOIEC 27001 19 2.3.3.1. Phạm vi áp dụng 19 2.3.3.2. Thuật ngữ và định nghĩa 20 2.3.3.3. Cấu trúc của bộ tiêu chuẩn 22 2.3.4. Xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISOIEC 27001 (Information Security Management System ISMS) 25 2.3.4.1. Lợi ích khi triển khai áp dụng hệ thống quản lý an toàn thông tin (ISMS) 25 2.3.4.2. Quy trình thực hiện ISMS 26 2.3.5. Quá trình chứng nhận ISOIEC 27001 30 2.4. Tiêu chuẩn ISOIEC 27002: 2005 32 2.4.1. Giới thiệu chung 32 2.4.2. Tình hình ứng dụng ISOIEC 27002 33 2.4.2.1. Tình hình ứng dụng ISOIEC 27002 trên thế giới 33 2.4.2.2. Tình hình ứng dụng ISOIEC 27002 tại Việt Nam 34 2.4.3. Phạm vi áp dụng 35 2.4.4. Nội dung của bộ tiêu chuẩn 35 2.5. Sự khác biệt giữa ISOIEC 27001: 2005 với ISOIEC 27002: 2005 37 CHƯƠNG 3: XÂY DỰNG CHÍNH SÁCH QUẢN LÝ AN TOÀN THÔNG TIN CHO KHOA AN TOÀN THÔNG TIN CỦA HỌC VIỆN KỸ THUẬT MẬT MÃ 38 3.1. Khảo sát và xác định nhu cầu 39 3.1.1. Sơ lược về Khoa An toàn thông tin của Học viện Kỹ thuật Mật mã 39 3.1.2. Hiện trạng triển khai an toàn thông tin tại Khoa 40 3.1.3. Mục tiêu an toàn của Khoa An toàn thông tin 41 3.2. Phân tích nguy cơ đe dọa đến hệ thống mạng của Khoa An toàn thông tin 41 3.2.1. Nguy cơ từ thiên nhiên, môi trường vật lý 41 3.2.2. Nguy cơ từ bên ngoài 42 3.2.3. Nguy cơ từ bên trong 42 3.3. Xây dựng chính sách quản lý an toàn thông tin cho Khoa An toàn thông tin 43 3.3.1. Cơ sở xây dựng chính sách 43 3.3.2. Chi tiết chính sách đề xuất đảm bảo an toàn thông tin cho Khoa an toàn thông tin 44 3.3.2.1. Chính sách an toàn 44 3.3.2.2. Tổ chức đảm bảo an toàn thông tin 45 3.3.2.3. Quản lý tài sản 49 3.3.2.4. Đảm bảo an toàn tài nguyên con người 51 3.3.2.5. Đảm bảo an toàn vật lý và môi trường 52 3.3.2.6. Quản lý truyền thông và vận hành 57 3.3.2.7. Quản lý truy cập 67 3.3.2.8. Tiếp nhận, phát triển và duy trì các hệ thống thông tin 73 3.3.2.9. Quản lý các sự cố an toàn thông tin 78 3.3.2.10. Quản lý sự liên tục của hoạt động nghiệp vụ 79 3.3.2.11. Tuân thủ chính sách và các yêu cầu pháp lý khác 80 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 83

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI KHOA AN TOÀN THÔNG TIN Ngành: Công nghệ thông tin Chuyên ngành: An toàn thông tin Mã số: 52.48.02.01 Hà Nội, 2016 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI KHOA AN TOÀN THÔNG TIN Ngành: Công nghệ thông tin Chuyên ngành: An toàn thông tin Mã số: 52.48.02.01 Hà Nội, 2016 LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu, nghiên cứu thực đồ án tốt nghiệp nội dung: “Nghiên cứu vấn đề phát triển sách cho tổ chức áp dụng Khoa an toàn thông tin” hoàn thành Mục tiêu đề tài tập trung tìm hiểu tiêu chuẩn iso lĩnh vực quản lý an toàn thông tin, quy trình thiết lập tiêu chuẩn, bước triển khai ISMS, đồng thời đề xuất sách áp dụng Khoa an toàn thông tin Trong thời gian làm đồ án tốt nghiệp, em nhận nhiều quan tâm, giúp đỡ từ phía nhà trường, thầy cô, gia đình bạn bè Chính điều mang lại cho em động viên lớn để em hoàn thành tốt đồ án Trước tiên em xin gửi lời cảm ơn chân thành đến cô Nguyễn Thị Thu Thủy giảng viên Khoa an toàn thông tin người tận tình hướng dẫn, bảo em suốt trình làm đồ án Em xin chân thành cảm ơn thầy cô giáo trường Học viện Kỹ Thuật Mật Mã nói chung, thầy cô Khoa an toàn thông tin nói riêng tạo điều kiện, môi trường học tập truyền đạt cho em kiến thức, kinh nghiệm quý báu suốt thời gian qua Cuối cùng, em xin chân thành cảm ơn gia đình bạn bè, tạo điều kiện, quan tâm, giúp đỡ, động viên em suốt trình học tập hoàn thành đồ án tốt nghiệp MỤC LỤC DANH MỤC TỪ VIẾT TẮT Các cụm từ viết tắt Cụm từ cụ thể ATTT CNTT VNISA BSI (British Standards Institution) ISO (International Organization for Standardization) IEC (International Electrotechnical Commission) PDCA ISMS – Information Security Management System An toàn thông tin Công nghệ thông tin Hiệp hội an toàn thông tin Việt Nam Viện Tiêu Chuẩn Anh Quốc Tổ chức tiêu chuẩn quốc tế Hội đồng kỹ thuật quốc tế Plan-Do-Check-Act Hệ thống quản lý An toàn thông tin DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU Cùng với bùng nổ vô lớn kinh tế đại, kéo theo xã hội phát triển toàn diện Việc công nghệ thông tin phát triển mạnh mẽ không tổ chức, doanh nghiệp mà mặt đời sống xã hội Điều thay đổi sống người mặt khác nhau, giúp cải thiện, nâng cao trình độ, thúc đẩy phát triển toàn diện Tuy nhiên, bên cạnh mặt tích cực tiềm ẩn nhiều nguy rủi ro làm tê liệt hoạt động hệ thống Khi hệ thống công nghệ thông tin sở liệu gặp cố hoạt động đơn vị bị ảnh hưởng nghiêm trọng chí bị tê liệt hoàn toàn Chính cần trọng đến vấn đề đảm bảo an toàn thông tin nhằm tránh hiểm họa mát thông tin không lường trước đồng thời tạo thêm tin tưởng khách hàng đối tác Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin nhiệm vụ trọng tâm việc ứng dụng công nghệ thông tin quan nhà nước, Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước quy định quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin có cán phụ trách đảm bảo an toàn thông tin áp dụng, hướng dẫn kiểm tra định kỳ việc thực biện pháp bảo đảm cho hệ thống thông tin mạng đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin Trên thực tế hầu hết quan, tổ chức, doanh nghiệp nhận thức rõ cần thiết lợi ích việc chuẩn hóa công tác đảm bảo an toàn thông tin, nhiên việc triển khai lại hạn chế gặp nhiều vướng mắc hệ thống tiêu chuẩn kỹ thuật quốc gia an toàn thông tin không đầy đủ việc lựa chọn tiêu chuẩn áp dụng Vì đề tài chọn thực đồ án tốt nghiệp “Nghiên cứu vấn đề phát triển sách cho tổ chức áp dụng Khoa an toàn thông tin” Nội dung đồ án chia thành chương sau: Chương 1: Tổng quan sách an toàn thông tin Chương trình bày cách tổng quan sách an toàn thông tin, bao gồm khái niệm, đánh giá tình hình an toàn thông tin giới Việt Nam nêu rõ tầm quan trọng sách an toàn thông tin Chương 2: Giới thiệu tiêu chuẩn ISO lĩnh vực quản lý an toàn thông tin Chương giới thiệu sơ tiêu chuẩn ISO/IEC 27000, tiêu biểu tiêu chuẩn ISO/IEC 27001 ISO/IEC 27002 Nội dung chủ yếu tập trung trả lời câu hỏi: Tiêu chuẩn ISO/IEC gì? Việc ứng dụng nội dung tiêu chuẩn sao? Cũng trình bày bước triển khai tiêu chuẩn nào? Chương 3: Xây dựng sách quản lý an toàn thông tin cho Khoa an toàn thông tin Nội dung chương chủ yếu dựa tảng chương trước để áp dụng sở lý thuyết vào việc chuẩn hóa công tác đảm bảo an toàn thông tin Trong chương trước hết thực khảo sát trạng triển khai An toàn thông tin trung tâm thực hành Khoa an toàn thông tin đánh giá hiểm họa, nguy xảy đến hệ thống mạng Khoa an toàn thông tin Từ đó, lựa chọn biện pháp kiểm soát đề xuất sách đảm bảo an toàn thông tin cho Khoa Trong trình thực đồ án, mục tiêu đạt Tuy nhiên, thời gian thực đồ án có hạn kiến thức kinh nghiệm thực tiễn nhiều hạn chế nên chắn nhiều thiếu sót, em mong đánh giá, góp ý thầy cô bạn học viên để đồ án hoàn thiện Em xin chân thành cảm ơn! CHƯƠNG 1: TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN Với tình trạng an toàn thông tin việc xây dựng sách an toàn thông tin cho tổ chức, đơn vị… quan trọng cần thiết Tuy nhiên để có sách an toàn thông tin hiệu trước hết phải trả lời câu hỏi: An toàn thông tin sách an toàn thông tin ? Tình hình an ninh thông tin có xu hướng ? Cũng nắm bắt tầm quan trọng sách an toàn thông tin Ở chương làm rõ vấn đề để từ áp dụng triển khai sách vào thực tế tốt 1.1 Khái niệm an toàn thông tin Thông tin tài sản quan trọng tổ chức, cá nhân Thông tin tồn nhiều hình dạng khác như: in giấy, lưu trữ thành file, chuyển qua email phương tiện điện tử khác, chiếu thành film, nói họp… Trong môi trường cạnh tranh ngày nay, thông tin ngày bị đe dọa nhiều nguồn khác nội bộ, bên ngoài, tình cờ có chủ ý… với phát triển ứng dụng công nghệ ngày liên lạc, lưu trữ, chuyển đổi thông tin lại phải nhận nhiều số lượng chủng loại mối nguy khác mối nguy truyền thống An toàn thông tin nghĩa thông tin bảo vệ an toàn, giữ nguyên giá trị nó, hệ thống dịch vụ có khả tránh ngăn chặn, chống lại tai hoạ, lỗi tác động không mong đợi, phục hồi từ cố An toàn thông tin bao gồm nhiều yếu tố, mắt xích liên kết hai yếu tố chính: yếu tố công nghệ yếu tố người • Yếu tố công nghệ: Bao gồm sản phẩm Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm • Yếu tố người: Là người sử dụng máy tính, người làm việc với thông tin sử dụng máy tính công việc Hai yếu tố liên kết lại thông qua sách an toàn thông tin Như vậy, khái niệm an toàn thông tin bao hàm đảm bảo an toàn cho phần cứng phần mềm An toàn phần cứng bảo đảm hoạt động cho sở hạ tầng thông tin An toàn phần mềm gồm hoạt động quản lý, kỹ thuật nhằm bảo vệ hệ thống thông tin, đảm bảo cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác, tin cậy An toàn thông tin phải đảm bảo ba yếu tố: tính bí mật, toàn vẹn sẵn sàng hệ thống thông tin phục vụ hoạt động tổ chức Ba yếu tố mô tả Hình 1.1: Hình 1.1: Tam giác an toàn thông tin - CIA Tính bí mật - C (Confidentiality) Tính bí mật tâm điểm giải pháp an toàn cho sản phẩm/hệ thống công nghệ thông tin Một giải pháp an toàn tập hợp quy tắc xác định quyền truy cập đến với thông tin tìm kiếm, số lượng người sử dụng thông tin định số lượng thông tin tài sản định Trong trường hợp kiểm soát truy cập cục bộ, nhóm người truy cập kiểm soát xem họ truy cập số liệu Tính bí mật đảm bảo chức kiểm soát truy cập có hiệu lực Tính bí mật đảm bảo thông tin cung cấp cho người có thẩm quyền Như đảm bảo tính bí mật biện pháp ngăn ngừa hành vi cố ý hay vô ý xem thông tin không cấp phép 10 Các mật mặc định nhà cung cấp cần thay đổi sau cài đặt hệ thống phần mềm c Các trách nhiệm người dùng * Cách đặt mật Đặt mật mạnh, gồm yếu tố sau: • Độ dài ký tự • Gồm chữ hoa, chữ thường, số ký tự đặc biệt (a-z, AZ, 0-9, !@#$%^&* ) • Không đặt mật rỗng “ ” đặt mật trùng với username • Không sử dụng từ dễ đoán để dùng làm mật (tên người than, ngày, tháng, năm sinh, biển số xe…) • Không sử dụng chuỗi liên tục (abcde, 123456,…) để làm mật • Mật nên dễ liên tưởng, ko rườm rà dẫn đến quên mật * Bảo vệ mật • Với mật mức quản trị hệ thống (root, admin,…) cần phải thay đổi 30 ngày lần • Với mật mức người sử dụng cần phải thay đổi 45 ngày lần • Với mật quan trọng, cán quản trị chuyển mật cho người sử dụng không dùng email đường truyền giao tiếp không tin cậy • Không chia sẻ mật với • Tất mật phải coi thông tin nhạy cảm Do không viết lại mật lưu trữ văn phòng, file máy tính chưa mã hóa • Không nên chọn chức “Ghi nhớ mật khẩu” đăng nhập Không sử dụng tính tự động đăng nhập • Khi truy cập từ bên vào hệ thống thông tin Học viện cần phải sử dụng biện pháp xác thực mạnh như: OTP, khóa bí mật / công khai hạ tầng PKI • Khi nghi ngờ mật bị lộ bị kẻ khác đánh cắp, cần báo cáo cho cán quản trị để có biện pháp xử lý 77 * Thiết bị người dùng không sử dụng Đóng phiên làm việc hoàn tất Thoát máy tính lớn, máy tính văn phòng kết thúc buổi làm việc Với thiết bị không sử dụng thời gian dài đưa vào phòng riêng, khóa cửa, dán niêm phong * Chính sách hình bàn làm việc Chính sách bàn làm việc cho phương tiện xử lý thông tin cần thực hiện: • Thông tin quan trọng, nhạy cảm (trên giấy tờ hay thiết bị lưu trữ) cần cho vào tủ, khóa lại Lưu ý phòng làm việc bị bỏ trống • Thiết lập khóa hình không sử dụng 30s • Các tài liệu chứa thông tin nhạy cảm phải lấy khỏi máy in • Cấm việc sử dụng trái phép máy chụp, máy quét, máy ảnh kỹ thuật số… • Nếu sử dụng máy in có chức mã pin, người phép sử dụng nhận in họ họ đứng cạnh máy in d Kiểm soát truy cập mạng Truy cập tới dịch vụ kết nối mạng Khoa hay bên cần kiểm soát • Cán bộ, công nhân viên trước truy cập sử dụng dịch vụ mạng phải có định danh riêng xác định qua User-ID mật bí mật • Các vùng mạng bên mà lưu trữ thông tin nhạy cảm phải có hệ thống xác thực phải kiểm soát chặt chẽ • Các kết nối từ bên vào bên cần phải kiểm soát thông qua hệ thống kiểm soát truy cập phải giám sát cán quản trị mạng • Các kết nối từ bên hệ thống mạng Internet cần phải xác thực qua hệ thống kiểm soát truy cập trước thực kết nối e Quản lý truy cập hệ điều hành * Các thủ tục đăng nhập an toàn 78 Truy cập đến hệ thống điều hành cần kiểm soát thủ tục đăng nhập an toàn sau: • Không hiển thị nhận dạng ứng dụng trình đăng nhập thành công • Hiển thị cảnh báo chung người phép truy cập vào máy tính • Không hiển thị thông tin giúp đỡ hỗ trợ người dùng trái phép đăng nhập • Giới hạn số lần đăng nhập không thành công lần Sau lần không thành công thực hiện: - Khóa đăng nhập, yêu cầu đợi 60s thực tiếp - Ngắt kết nối liên kết liệu - Ghi lại lần cố gắng đăng nhập thất bại, thành công - Gửi thông điệp cảnh báo tới bảng điều khiển hệ thống số lần đăng nhập tối đa hết • Hiển thị thông tin ngày lần đăng nhập thành công trước sau hoàn thành đăng nhập • Ẩn mật biểu tượng “*” • Mã hóa mật truyền mạng * Định danh xác định người dùng Cán bộ, công nhân viên đăng ký tài khoản để đăng nhập vào Khoa Mỗi người dùng tương ứng với username không trùng nhau, username ID định danh người dùng để cán quản trị mạng quản lý, theo dõi Định danh người dùng yêu cầu không bộc lộ đặc điểm thấy vị trí hay tầm quan trọng người dùng ( nhãn hiệu cho biết người giám đốc, phó giám đốc Học viện) Xác định người dùng cách so sánh username, password mà người dùng nhập vào với username, password lưu trữ hệ thống Nếu khớp cho phép đăng nhập thành công, ngược lại bị từ chối đăng nhập * Hệ thống quản lý mật Hệ thống quản lý mật phải có khả tương tác đảm bảo chất lượng mật khẩu: 79 • Người dùng tự chọn thay đổi mật cho (nhưng phải tuân theo quy tắc đặt mật an toàn cán quản trị mạng thiết lập) • Có chế lấy lại mật người dùng quên mật • Không hiển thị mật hình nhập vào hệ thống mà phải chuyển thành ký tự “*” • Lưu giữ truyền mật theo đạng bảo vệ: mã hóa hàm băm * Thời gian giới hạn phiên làm việc Bật chức tạm ngừng phải xóa hình phiên, sau đóng ứng dụng phiên làm việc mạng sau phút không hoạt động * Giới hạn thời gian kết nối Chỉ cho phép kết nối tới mạng Học viện làm việc hành có yêu cầu làm Thường xuyên kiểm tra, xác thực lại thời gian kết nối f Điều khiển truy cập thông tin ứng dụng * Hạn chế truy cập thông tin Ngoài việc phòng ban, người dùng phép truy cập thông tin theo quyền phân hạn chế người truy cập vào thông tin nhạy cảm Hạn chế quyền sửa, xóa thông tin * Cách ly hệ thống nhạy cảm Ban quản xác định hệ thống ứng dụng nhạy cảm, lập thành văn Hệ thống nhạy cảm đặt cách ly phòng khác, có thiết bị bảo vệ an toàn khóa, camera giám sát Hệ thống ứng dụng hoạt động máy tính chuyên dụng chia sẻ tài nguyên với hệ thống ứng dụng tin cậy khác * Làm việc từ xa Khoa cần thực thi sách, kế hoạch bảo vệ thích hợp cho hoạt động làm việc từ xa nhằm chống lại cắp thiết bị thông tin, tiết lộ thông tin trái phép, truy cập từ xa trái phép đến hệ thống bên Khoa lạm dụng thiết bị Khoa cần quan tâm vấn đề sau: • Cung cấp trang thiết bị phù hợp cho hoạt động làm việc từ xa, không sử dụng thiết bị cá nhân mà Học viện không cho phép 80 • Xác định công việc phép, làm việc, phân loại thông tin lấy hệ thống, dịch vụ mà cán làm việc từ xa phép truy cập • Sử dụng thiết bị truyền thông phù hợp, đảm bảo an toàn mức vật lý • Yêu cầu bảo vệ chống virus tường lửa • Thu hồi quyền truy cập hoàn trả lại thiết bị chấm dứt hoạt động làm việc từ xa 3.3.2.8 Tiếp nhận, phát triển trì hệ thống thông tin a Yêu cầu đảm bảo an toàn cho hệ thống thông tin * Phân tích đặc tả yêu cầu an toàn Các yêu cầu cho việc phát triển hệ thống bao gồm tài liệu phân tích, đặc tả kiểm soát an toàn thông tin Đặc tả cần biện pháp tự động thủ công thực thi Các yêu cầu an ninh hệ thống cần phải: • Phản ánh độ nhạy cảm loại thông tin xử lý hệ thống • Bao hàm công việc phân tích rủi ro xảy đến với hệ thống • Yêu cầu an toàn thông tin cần phù hợp với tiêu chuẩn an toàn Khi viết yêu cầu an toàn thông tin vấn đề sau cần phải đề cập đến: • Kiểm soát truy nhập • Kiểm soát cán quản trị • Phân loại liệu • Mã hóa liệu • Truy nhập liệu đầu • Khôi phục liệu lưu trữ • Đảm bảo tin cậy lưu trữ liệu • An toàn mạng • Cấu hình hệ điều hành • An toàn vật lý cho thiết bị hệ thống • Cấu hình tài khoản người dùng • Nhận dạng người dùng Ban quản lý an toàn thông tin có trách nhiệm kiểm tra việc tuân thủ toàn cán bộ, công nhân viên theo sách nêu Trường hợp vi phạm bị xử lý theo quy định Học viện b An toàn thông tin cho hệ thống ứng dụng 81 Dữ liệu đầu vào ứng dụng cần kiểm tra tính hợp lệ nhằm đảm bảo tính xác phù hợp Dữ liệu đầu từ ứng dụng cần kiểm tra tính hợp lệ nhằm đảm bảo việc xử lý thông tin lưu trữ xác phù hợp Để quản lý truy nhập Khoa cần xác định rõ cán chịu trách nhiệm liệu Ứng dụng không phá vỡ kiểm soát an toàn thông tin áp dụng kể với mục đích làm cho việc truy nhập liệu thuận lợi c Quy định mã hóa liệu * Chính sách sử dụng biện pháp mã hóa Một sách việc sử dụng biện pháp quản lý mã hóa để bảo vệ thông tin cần xây dựng thực thi Khi xây dựng sách mã hóa cần lưu ý: • Dựa trình đánh giá rủi ro, mức bảo vệ yêu cầu cần xây dựng có lưu ý đến loại, chất lượng, hiệu thuật toán mã hóa • Sử dụng mã hóa để bảo vệ thông tin nhạy cảm truyền thiết bị, phương tiện di động phương tiện di dời qua đường truyền thông • Phương thức quản lý khóa, bao gồm phương pháp bảo vệ khóa mã hóa khôi phục thông tin mã hóa trường hợp bị mất, bị tổn hại hỏng khóa • Các vai trò trách nhiệm, ví dụ cán phải chịu trách nhiệm triển khai sách, quản lý khóa, bao gồm tạo khóa • Các tiêu chuẩn chấp nhận để triển khai hiệu Khoa (giải pháp sử dụng cho quy trình nghiệp vụ nào) • Ảnh hưởng việc sử dụng thông tin mã hóa lên biện pháp quản lý dựa điều tra nội dung (ví dụ: phát virus) • Các biện pháp quản lý mã hóa sử dụng để đạt mục tiêu an toàn khác nhau, ví dụ như: • Tính tin cậy: sử dụng mã hóa thông tin để bảo vệ thông tin nhạy cảm quan trọng lưu trữ truyền 82 • Tính toàn vẹn/tính xác thực: sử dụng chữ ký số mã xác thực thông điệp để bảo vệ tính xác thực, toàn vẹn thông tin nhạy cảm quan trọng lưu trữ hay truyền • Chống chối bỏ: sử dụng kỹ thuật mã hóa để thu chứng có mặt mặt kiện hoạt động Việc đưa định xem giải pháp mã hóa phù hợp cần xem phần trình đánh giá rủi ro Một sách việc sử dụng biện pháp quản lý mã hóa cần thiết nhằm tối đa lợi ích giảm thiểu rủi ro sử dụng kỹ thuật mã hóa Nếu sử dụng chữ ký số, cần quan tâm đến quy định pháp lý liên quan * Quản lý khóa Tất khóa bí mật cần bảo vệ nhằm khỏi sửa đổi, cắp phá hoại Hơn khóa an toàn khóa riêng cần bảo vệ khỏi tiết lộ trái phép Thiết bị sử dụng để tạo lưu trữ lấy khóa cần bảo vệ vật lý Hệ thống quản lý khóa phải đảm bảo an toàn thực tính nhằm: • Tạo khóa cho hệ thống mã hóa khác ứng dụng khác • Tạo nhận chứng khóa công khai • Phát khóa tới người dùng định, bao gồm kích hoạt khóa nhận khóa • Lưu trữ, thay đổi cập nhật khóa bao gồm nguyên tắc thời gian phải đổi khóa, cách đổi khóa • Xử lý khóa bị xâm phạm • Thu hồi khóa bị xâm phạm hay cán bộ, công nhân viên Học viện nghỉ việc chuyển công tác • Khôi phục lại khóa bị bị sửa đổi • Ghi nhật ký Để giảm khả xảy bị tổn hại ngày kích hoạt giải kích hoạt khóa cần xác định cho khóa sử dụng khoảng thời gian giới hạn d An toàn cho tệp tin hệ thống * Kiểm soát phần mềm vận hành Nhằm giảm thiểu rủi ro sửa đổi hệ thống điều hành Khoa nên thực biện pháp quan lý sau: 83 • Việc cập nhật phần mềm điều hành, ứng dụng thư viện chương trình thực cán quản trị • Các ứng dụng, phần mềm hệ thống điều hành triển khai sau kiểm tra kỹ Việc kiểm tra bao gồm kiểm tra tính tiện dụng, tính an toàn, tác động lên hệ thống khác thân thiện với người dùng • Chiến lược dự phòng cần thực trước triển khai thay đổi • Nhật ký kiểm toán phải trì cập nhật hệ điều hành • Các phiên cũ phần mềm cần lưu lại với tất thông tin, tham số, thủ tục, cấu hình chi tiết phần mềm hỗ trợ yêu cầu liệu lưu lại * Bảo vệ liệu kiểm tra hệ thống Khi sử dụng sở liệu điều hành cho mục đích kiểm tra thông tin cá nhân hay thông tin nhạy cảm phải xóa bỏ sửa đổi đến không nhận Khoa cần thực biện pháp sau để bảo vệ liệu điều hành chúng sử dụng cho mục đích kiểm tra: • Các thủ tục quản lý truy cập ứng dụng cho hệ thống ứng dụng điều hành phải áp dụng để kiểm tra hệ thống ứng dụng • Cần chấp thuận Ban giám đốc Học viện Ban quản lý thông tin điều hành chép vào hệ thống ứng dụng kiểm tra • Thông tin điều hành cần xóa khỏi hệ thống ứng dụng kiểm tra việc kiểm tra hoàn tất • Việc chép sử dụng thông tin điều hành cần ghi vào nhật ký e Đảm bảo an toàn thông tin cho quy trình hỗ trợ phát triển * Quy trình kiểm soát thay đổi Quy trình kiểm soát thay đổi cần lập thành văn bắt buộc thi hành để giảm thiểu thiệt hại cho hệ thống thông tin Việc đề xuất hệ thống thay đổi quan trọng cho hệ thống cần tuân theo quy trình lập văn bản, đặc tả, kiểm tra, quản lý chất lượng triển khai quản lý Ban quản lý Học viện 84 Quy trình cần bao gồm đánh giá rủi ro, phân tích ảnh hưởng thay đổi đặc tả biện pháp quản lý an toàn Khoa nên lưu ý: • Duy trì hồ sơ mức cấp phép Ban giám đốc Học viện chấp thuận • Đảm bảo thay đổi thực thi cán bộ, công nhân viên phép • Xem xét biện pháp quản lý đảm bảo chúng không bị ảnh hưởng thay đổi • Xác định tất phần mềm, thông tin, sở liệu, phần cứng có yêu cầu thay đổi • Đảm bảo tài liệu hệ thống cập nhật hoàn tất thay đổi tài liệu cũ lưu trữ loại bỏ an toàn • Đảm bảo việc triển khai thay đổi diễn thời điểm không bị ảnh hưởng đến hoạt động nghiệp vụ Học viện * Tái kiểm tra thay đổi hệ điều hành Khi hệ thống điều hành thay đổi, ứng dụng nghiệp vụ quan trọng cần kiểm tra lại nhằm đảm bảo không xảy ảnh hưởng bất lợi tới hoạt động an toàn Khoa Học viện Quá trình kiểm tra bao gồm: • Xem lại toàn biện pháp quản lý ứng dụng đảm bảo chúng không bị ảnh hưởng thay đổi hệ thống điều hành • Xem kế hoạch hỗ trợ ngân sách hàng năm mà Học viện dành cho hoạt động kiểm tra hệ thống sau thay đổi hệ thống điều hành • Kiểm tra, đảm bảo thông báo thay đổi hệ thống điều hành đưa thời điểm • Kiểm tra xem thay đổi có phù hợp cho kế hoạch liên tục hoạt động nghiệp vụ Khoa cần giao trách nhiệm cho nhóm cá nhân cán bộ, công nhân viên việc giám sát điểm yếu, phiên vá phần mềm nhà cung cấp * Hạn chế thay đổi gói phần mềm 85 Việc sửa đổi gói phần mềm cần hạn chế thực thay đổi cần thiết Nếu gói phần mềm cần sửa đổi nên quan tâm vấn đề sau: • Rủi ro biện pháp quản lý cài đặt sẵn toàn quy trình bị ảnh hưởng • Liệu có nhận cho phép nhà cung cấp • Khả nhận thay đổi yêu cầu từ nhà cung cấp dạng cập nhật chương trình chuẩn • Trách nhiệm Khoa việc bảo hành phần mềm tương lại xảy thay đổi • Phần mềm gốc cần lưu lại • Cập nhật phần mềm thường xuyên nhằm đảm bảo điểm yếu phần mềm loại bỏ 3.3.2.9 Quản lý cố an toàn thông tin a Phân loại cố gây an toàn thông tin Khi xuất cố an toàn thông tin không tự ý thực hoạt động mà báo cáo tất chi tiết quan trọng (ví dụ: loại không tuân thủ vi phạm cố, thông điệp hình, bất thường) cho lãnh đạo khoa phận quản lý ATTT khoa Quy trình quản lý cố gây an toàn thông tin cần phải đề cập tới loại cố sau: • Tính bí mật bị vi phạm • Hệ thống bị lỗi dịch vụ bị ngừng hoạt động • Phát thấy việc thăm dò mạng • Phát thấy virus Trojan horse hoạt động • Các lỗi liệu • Xuất lưu lượng mạng bất thường • Truy cập trái phép thực lặp lại nhiều lần • Email bị công Spam • Xuất hành động hệ thống không liên quan tới hoạt động xử lý nghiệp vụ thông thường b Các điều khoản quy trình quản lý cố Các điều khoản cụ thể quy trình quản lý cố mà Khoa cần có: • Kế hoạch đối phó với cố bất ngờ nhằm khôi phục kịp thời • Xác định, phân tích lập tài liệu nguyên nhân gây cố 86 • Lập kế hoạch thực thi giải pháp khắc phục để ngăn ngừa tái xảy cố • Thu thập dấu vết chứng tương tự để phân tích vấn đề, theo dõi cố • Thông báo cho phòng ban • Có kế hoạch ngăn ngừa cố không lây lan toàn hệ thống Học viện c Quy trình khôi phục Các hoạt động khôi phục cố an toàn cần phải kiểm soát để đảm bảo rằng: • Chỉ có cán bộ, công nhân viên phép xác định cách rõ ràng phép truy cập vào hệ thống liệu hoạt động Học viện • Tất hành động trường hợp khẩn cấp cần ghi lại cách chi tiết • Các quy trình khôi phục phải báo cáo kịp thời tới Ban lãnh đạo Học viện 3.3.2.10 Quản lý liên tục hoạt động nghiệp vụ a Đánh giá rủi ro liên tục hoạt động Học viện Các kiện gây gián đoạn hoạt động Khoa cố thiết bị, người, cắp, cháy thảm họa tự nhiên cần xác định Khoa cần đánh giá rủi ro kiện nhằm xác định khả xảy ảnh hưởng gián đoạn mặt thời gian, mức độ thiệt hại thời gian khôi phục Tùy thuộc vào kết trình đánh giá rủi ro mà Khoa đưa quy trình quản lý đảm bảo hoạt động Khoa không bị gián đoạn b Xây dựng triển khai đảm bảo tính liên tục Các kế hoạch phải phát triển triển khai nhằm trì khôi phục hoạt động điều hành đảm bảo tính sẵn sàng thông tin Quy trình lên kế hoạch đảm bảo tính tính liên tục nghiệp vụ, Khoa cần quan tâm vấn đề sau: • Hiểu rõ rủi ro mà Khoa phải đối mặt Từ định danh phân loại ưu tiên trình nghiệp vụ quan trọng • Xác định tài sản tham gia vào hoạt động nghiệp vụ quan trọng 87 • Xác định độ ảnh hưởng lên hoạt động nghiệp vụ gián đoạn cố thông tin có khả xảy Xác định độ mát thông tin dịch vụ mức chấp nhận • Triển khai thủ tục cho phép khôi phục phục hồi hoạt động nghiệp vụ tính sẵn sàng thông tin • Các thủ tục vận hành hoàn tất việc khôi phục phục hồi sau cố gây gián đoạn • Đảm bảo an toàn cho toàn cán bộ, công nhân viên bảo vệ phương tiện xử lý thông tin tài sản Khoa • Kiểm tra, trì đánh giá lại theo định kỳ kế hoạch đảm bảo liên tục hoạt động Khoa 3.3.2.11 Tuân thủ sách yêu cầu pháp lý khác a Tuân thủ quy định pháp lý Việc sử dụng, quản lý hệ thống thông tin phải tuân theo yêu cầu an toàn thông tin pháp luật Tất yêu cầu pháp lý, quy định, nghĩa vụ phải xác định rõ ràng, ghi thành văn cập nhật thường xuyên * Bảo vệ hồ sơ Khoa Các hồ sơ quan trọng cần bảo vệ khỏi mát, phá hủy làm sai lệch, phù hợp với pháp luật, quy định Các hồ sơ cần phân loại theo loại hồ sơ, ví dụ hồ sơ kế toán, hồ sơ sở liệu, thủ tục điều hành Mỗi hồ sơ chứa thông tin chi tiết giai đoạn sử dụng loại phương tiện lưu trữ, ví dụ giấy, phim, đĩa Cần xem xét khả hư hỏng thiết bị sử dụng để lưu trữ hồ sơ Nếu cần sử dụng thời gian dài nên sử dụng giấy Trường hợp lựa chọn thiết bị điện tử để lưu trữ cần đảm bảo khả truy cập liệu, bảo vệ an toàn trước mát thay đổi công nghệ tương lai * Bảo vệ liệu riêng tư thông tin cá nhân Chính sách bảo vệ liệu riêng tư Khoa cần phát triển triển khai Chính sách cần phổ biến cho tất cán bộ, công nhân viên toàn Khoa Việc tuân thủ sách tất yêu cầu pháp lý quy định bảo vệ liệu riêng tư đòi hỏi cấu phù hợp Tốt Khoa nên phân công tác cho cán chịu trách nhiệm bảo vệ liệu 88 b Kiểm tra việc tuân thủ sách an toàn thông tin Ban quản lý an toàn thông tin cần kiểm tra định kỳ tháng lần tuân thủ xử lý thông tin theo sách, tiêu chuẩn an toàn yêu cầu an toàn khác mà Khoa triển khai Nếu kiểm tra tìm thấy không tuân thủ Ban quản lý cần: • Xác định nguyên nhân không tuân thủ • Đánh giá nhu cầu cần phải có hoạt động để đảm bảo không tuân thủ không tái diễn • Xác định triển khai hoạt động phòng ngừa thích hợp • Xem xét lại hoạt động phòng ngừa thực Kết kiểm tra hoạt động phòng ngừa thực cần ghi lại, báo cáo cần giữ Ban quản lý báo cáo lại với Ban giám đốc Học viện 89 KẾT LUẬN Qua trình nghiên cứu nội dung “Nghiên cứu vấn đề phát triển sách cho tổ chức áp dụng Khoa an toàn thông tin” bước đầu tìm hiểu sơ nội dung tiêu chuẩn iso lĩnh vực quản lý ATTT, có nghiên cứu tiêu chuẩn ISO/IEC 27001 áp dụng tiêu chuẩn để đề xuất sách quản lý an toàn thông tin cho Khoa ATTT Cho đến thời điểm tại, đồ án hoàn thành nội dung sau : • Tìm hiểu tổng quan sách an toàn thông tin • Tìm hiểu rõ tiêu chuẩn ISO 27000 • Nghiên cứu, tìm hiểu khái niệm, thuật ngữ vấn đề có liên quan đến tiêu chuẩn ISO/IEC 27001, lợi ích áp dụng ISO/IEC 27001 vào triển khai hệ thống quản lý an toàn thông tin (ISMS) • Đồng thời, dựa vào tiêu chuẩn ISO/IEC 27001 để áp dụng, đề xuất số sách áp dụng cho khoa An toàn thông tin Tuy nhiên thời gian kiến thức nhiều hạn chế nên nhiều vấn đề mà đồ án chưa giải như: • Các sách đề xuất mang tính khái quát chưa cụ thể nên việc áp dụng vào thực tế chưa linh hoạt Trong thời gian tới, thời gian điều kiện cho phép, em hi vọng nghiên cứu sâu vấn đề để có nhìn rộng hệ thống quản lý an toàn thông tin Từ đó, áp dụng triển khai cho tổ chức, doanh nghiệp Việt Nam Nếu tham dự vào dự án triển khai Hệ thống Quản lý an toàn thông tin cho tổ chức, doanh nghiệp để nắm rõ khó khăn triển khai xây dựng mô hình quản lý ATTT, đồ án hoàn thiện tốt Và hướng phát triển tương lai đồ án 90 TÀI LIỆU THAM KHẢO  Tiếng Việt [1] Trần Ngọc Mai Tình hình an toàn thông tin quý I năm 2015 Tạp chí An toàn thông tin, ngày 28/05/2015 [2] Trần Ngọc Mai Tình hình an toàn thông tin quý II năm 2015 Tạp chí An toàn thông tin, ngày 01/09/2015 [3] Tạp chí An toàn thông tin (tổng hợp) Tình hình an toàn thông tin quý III năm 2015 Tạp chí An toàn thông tin, ngày 25/11/2015 [4] Lê Hoa Tiêu chuẩn ISO/IEC 27001 công nghệ thông tin Bản tin suất chất lượng, số 190 Trang (Năm 2010) [5] Luật sách An toàn thông tin [6] Nguyễn Hương Giang Xây dựng hệ thống quản lý An ninh thông tin theo Tiêu chuẩn ISO/IEC 27001: 2005 Tạp chí An toàn thông tin, Ban yếu phủ Ngày 05/04/2010 [7] Tư vấn ISO 27001, Tư vấn ISMS - Hệ thống quản lý an ninh thông tin  Tiếng Anh [8] Jones & Bartlett Learning Security Policies and Implementation Issues Information System Security & Assuarances Series (Năm 2011 91

Ngày đăng: 28/11/2016, 15:41

Từ khóa liên quan

Mục lục

  • MỤC LỤC

  • DANH MỤC TỪ VIẾT TẮT

  • DANH MỤC HÌNH VẼ

  • LỜI NÓI ĐẦU

  • CHƯƠNG 1: TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN

    • 1.1. Khái niệm về an toàn thông tin

    • 1.2. Tình hình an ninh thông tin hiện nay

      • 1.2.1. Tình hình an ninh thông tin trên thế giới

      • 1.2.2. Tình hình an ninh thông tin tại Việt Nam

    • 1.3. Khái quát về chính sách an toàn thông tin

      • 1.3.1. Khái niệm chính sách an toàn thông tin

      • 1.3.2. Tầm quan trọng của chính sách an toàn thông tin

  • CHƯƠNG 2: GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH VỰC QUẢN LÝ AN TOÀN THÔNG TIN

    • 2.1. Giới thiệu chung

    • 2.2. Các tiêu chuẩn của bộ tiêu chuẩn ISO/IEC 27000

    • 2.3. Tiêu chuẩn ISO/IEC 27001: 2005

      • 2.3.1. Giới thiệu chung

      • 2.3.2. Lợi ích và tình hình ứng dụng của tiêu chuẩn ISO/IEC 27001

      • 2.3.3. Nội dung của tiêu chuẩn ISO/IEC 27001

        • 2.3.3.1. Phạm vi áp dụng

        • 2.3.3.2. Thuật ngữ và định nghĩa

        • 2.3.3.3. Cấu trúc của bộ tiêu chuẩn

      • 2.3.4. Xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001 (Information Security Management System - ISMS)

        • 2.3.4.1. Lợi ích khi triển khai áp dụng hệ thống quản lý an toàn thông tin (ISMS)

        • 2.3.4.2. Quy trình thực hiện ISMS

      • 2.3.5. Quá trình chứng nhận ISO/IEC 27001

    • 2.4. Tiêu chuẩn ISO/IEC 27002: 2005

      • 2.4.1. Giới thiệu chung

      • 2.4.2. Tình hình ứng dụng ISO/IEC 27002

        • 2.4.2.1. Tình hình ứng dụng ISO/IEC 27002 trên thế giới

        • 2.4.2.2. Tình hình ứng dụng ISO/IEC 27002 tại Việt Nam

      • 2.4.3. Phạm vi áp dụng

      • 2.4.4. Nội dung của bộ tiêu chuẩn

    • 2.5. Sự khác biệt giữa ISO/IEC 27001: 2005 với ISO/IEC 27002: 2005

  • CHƯƠNG 3: XÂY DỰNG CHÍNH SÁCH QUẢN LÝ AN TOÀN THÔNG TIN CHO KHOA AN TOÀN THÔNG TIN CỦA HỌC VIỆN KỸ THUẬT MẬT MÃ

    • 3.1. Khảo sát và xác định nhu cầu

      • 3.1.1. Sơ lược về Khoa An toàn thông tin của Học viện Kỹ thuật Mật mã

      • 3.1.2. Hiện trạng triển khai an toàn thông tin tại Khoa

      • 3.1.3. Mục tiêu an toàn của Khoa An toàn thông tin

    • 3.2. Phân tích nguy cơ đe dọa đến hệ thống mạng của Khoa An toàn thông tin

      • 3.2.1. Nguy cơ từ thiên nhiên, môi trường vật lý

      • 3.2.2. Nguy cơ từ bên ngoài

      • 3.2.3. Nguy cơ từ bên trong

    • 3.3. Xây dựng chính sách quản lý an toàn thông tin cho Khoa An toàn thông tin

      • 3.3.1. Cơ sở xây dựng chính sách

      • 3.3.2. Chi tiết chính sách đề xuất đảm bảo an toàn thông tin cho Khoa an toàn thông tin

        • 3.3.2.1. Chính sách an toàn

        • 3.3.2.2. Tổ chức đảm bảo an toàn thông tin

        • 3.3.2.3. Quản lý tài sản

        • 3.3.2.4. Đảm bảo an toàn tài nguyên con người

        • 3.3.2.5. Đảm bảo an toàn vật lý và môi trường

        • 3.3.2.6. Quản lý truyền thông và vận hành

        • 3.3.2.7. Quản lý truy cập

        • 3.3.2.8. Tiếp nhận, phát triển và duy trì các hệ thống thông tin

        • 3.3.2.9. Quản lý các sự cố an toàn thông tin

        • 3.3.2.10. Quản lý sự liên tục của hoạt động nghiệp vụ

        • 3.3.2.11. Tuân thủ chính sách và các yêu cầu pháp lý khác

  • KẾT LUẬN

  • TÀI LIỆU THAM KHẢO

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan