Security in Development
and support process
Phan Tấn Long
Nguyễn Đăng Khương
Nguyễn Tiến Dũng
Du Chí Nhuệ

Mục đích.

Control A.12.5.1.Thay đổi thủ tục kiểm soát (control
procedures)

Control A.12.5.2.Soát xét kỹ thuật các ứng dụng sau
khi thay đổi hệ thống điều hành.

Control A.12.5.3.Hạn chế thay đổi gói phần mềm
(software packages).

Control A.12.5.4. Rò rỉ thông tin (Information leakage).

Control A.12.5.5.Thuê gia công phần mềm
(Outsourced software).
Outlines

Duy trì an ninh thông tin và hệ thống phần
mềm.

Các dự án và môi trường hỗ trợ phải
được theo dõi chặt chẽ.
Security in Development and support
process


Control A.12.5.1 đòi hỏi tổ chức phải tổ chức chặt chẽ
để kiểm soát những thay đổi bằng cách sử dụng
‘những thủ tục kiểm soát thay đổi’ chính thức để giảm
thiểu khả năng hư hỏng của hệ thống.

Tất cả những thay đổi trên hệ thống, ngay cả những
người đã được cấp quyền có thể làm mất tính sẵn
sàng, toàn vẹn, bảo mật của hệ thống.
Control A.12.5.1 Thay đổi thủ tục kiểm
soát (control procedures)

Duy trì hồ sơ về các mức cấp phép đã được chấp
thuận.

Các đề xuất thay đổi hệ thống nên được thông
qua bởi những người đã được cấp quyền và phải
lưu vết quá trình này.

Các kiểm soát và các thủ tục đã tồn tại nên
thường xuyên xem xét để đảm bảo chúng không
tác động đến những thay đổi được đề xuất.
Control A.12.5.1 Thay đổi thủ tục kiểm soát (control
procedures): Hướng dẫn triển khai

Xác định tất cả phần mềm, phần cứng, tài sản
thông tin và CSDL có yêu cầu sửa đổi.

Thay đổi mã của ứng dụng nhạy cảm nên được
kiểm tra bởi người thứ hai.


Việc triển khai các thay đổi nên được thực hiện
vào thời điểm giảm thiểu quá trình kinh doanh.
Control A.12.5.1 Thay đổi thủ tục kiểm soát (control
procedures): Hướng dẫn triển khai

Các tài liệu hệ thống và thủ tục nên được cập nhật
ngay sau khi việc triển khai hoàn thành.

Duy trì việc quản lý phiên bản của phần mềm.

Cần dự trù và quay trở lại phiên bản trước đó khi
việc triển khai thất bại.

Phải có văn bản đồng ý trước khi triển khai. Việc này
được thực hiện bởi các cố vấn an ninh, đảm bảo các
vấn đề an ninh đã được đánh giá rủi ro và cách giải
quyết. Những thay đổi hoặc phần mềm sẽ chạy tốt
trên hệ thống với các phần mềm khác trên mạng.
Control A.12.5.1 Thay đổi thủ tục kiểm soát (control
procedures): Hướng dẫn triển khai
Control A.12.5.2 Soát xét kỹ thuật các ứng
dụng sau khi thay đổi hệ thống điều hành
Quy định khi hệ thống điều hành thay đổi, các ứng
dụng nghiệp vụ quan trọng cần được soát xét và
kiểm tra lại nhằm đảm bảo không xảy ra các ảnh
hưởng bất lợi tới hoạt động cũng như an toàn của tổ
chức.

Soát xét biện pháp quản lý ứng dụng và toàn bộ các

thủ tục nhằm đảm bảo rằng chúng không bị ảnh
hưởng bởi các thay đổi của hệ thống điều hành .

Đảm bảo rằng kế hoạch hỗ trợ và ngân sách hàng
năm sẽ dành cho cả hoạt động soát xét và kiểm tra hệ
thống sau các thay đổi của hệ thống điều hành

Đảm bảo rằng thông báo về các thay đổi hệ thống
điều hành được đưa ra đúng thời điểm để cho phép
thực hiện các kiểm tra và soát xét phù hợp trước khi
triển khai
Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ
thống điều hành: Hướng dẫn triển khai


Đảm bảo rằng những thay đổi phù hợp được triển
khai cho các kế hoạch về sự liên tục của hoạt động
nghiệp vụ :
(Control 14 ISO/IEC 27002 : 2005)
Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo
vệ các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do
lỗi hệ thống thông tin hay các thảm họa và đảm bảo khả năng
khôi phục các hoạt động bình thường đúng lúc.
Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ
thống điều hành: Hướng dẫn triển khai


Sự liên tục của hoạt động nghiệp vụ (tt):
o
Quy trình quản lý sự liên tục của hoạt động nghiệp vụ cần được triển khai nhằm

hạn chế tối đa ảnh hưởng lên tổ chức và khôi phục lại sau khi mất mát các tài
sản thông tin (ví dụ, tài sản có thể bị mất do các thảm họa tự nhiên, các tai nạn,
lỗi thiết bị, và các hoạt động cố ý) đến một mức độ có thể chấp nhận bằng cách
phối hợp các biện pháp quản lý ngăn ngừa và khôi phục.
o
Các kế hoạch về sự liên tục trong hoạt động nghiệp vụ cần được phát triển và
triển khai nhằm đảm bảo sự tiếp tục của các hoạt động cần thiết đúng lúc.
o
Quản lý sự liên tục của hoạt động nghiệp vụ cần bao hàm các biện pháp quản lý
nhằm xác định và giảm thiểu rủi ro, bên cạnh quá trình đánh giá rủi ro chung, sẽ
làm hạn chế hậu quả do những sự cố phá hoại, và đảm bảo rằng thông tin được
yêu cầu cho các quá trình nghiệp vụ là sẵn sàng.
Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ
thống điều hành: Hướng dẫn triển khai


Giám sát các điểm yếu và các phiên bản của các bản
vá và phần mềm của nhà cung cấp
(Control 12.6 ISO/IEC 27002 : 2005 )
o
Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác
các điểm yếu kỹ thuật đã được công bố.
o
Đánh giá về các điểm yếu này và thực hiện các biện pháp thích hợp để
giải quyết các rủi ro liên quan.
o
Các hệ thống có mức rủi ro cao cần được tập trung xử lý trước tiên.
Control A.12.5.2 Soát xét kỹ thuật các ứng dụng sau khi thay đổi hệ
thống điều hành: Hướng dẫn triển khai


Control A.12.5.3 Hạn chế thay đổi các gói
phần mềm (software packages)

Gói phần mềm (Software Package):

Một phần mềm đã dịch ra mã thực thi (cũng có gói chứa mã nguồn)

Các thông tin liên quan (meta-information): mô tả (description), phiên
bản (version), danh sách các gói cần có (dependencies), file cấu hình, file
hướng dẫn (man), thông tin bản quyền, số kiểm tra checksum, …

Được đóng gói theo một định dạng đóng gói nào đó (deb, rpm, v.v…) và
phân phối ( software packaging and distribution archive format) ; để có
thể tìm kiếm, cài đặt, gỡ bỏ, cập nhật được bằng một hệ thống quản lý
gói phần mềm.

Nhằm cung cấp một ứng dụng hoặc một dịch vụ, ví dụ: một thư viện
(library) để xử lý dạng âm thanh mp3, một bộ font, v.v… Các ứng dụng nhỏ
có thể được đóng thành một gói, nhưng các ứng dụng lớn như OpenOffice
gồm rất nhiều gói.

Control A.12.5.3 quy định:

Việc sửa đổi các gói phần mềm là không được khuyến
khích.

Cần hạn chế và chỉ thực hiện đối với các thay đổi rất cần
thiết.

Thay đổi cần phải được quản lý chặt chẽ.

Control A.12.5.3 Hạn chế thay đổi các gói
phần mềm (software packages)

Nếu một gói phần mềm cần được sửa đổi thì phải
quan tâm:
o
Rủi ro của các biện pháp quản lý được cài đặt sẵn và toàn bộ các quy
trình đang bị ảnh hưởng
o
Có nhận được sự cho phép của nhà cung cấp không
o
Khả năng nhận được các thay đổi được yêu cầu từ nhà cung cấp dưới
dạng các cập nhật chương trình chuẩn.
o
tác động nếu tổ chức phải có trách nhiệm trong việc bảo hành phần
mềm trong tương lai do xảy ra các thay đổi.
Control A.12.5.3 Hạn chế thay đổi các gói phần
mềm (software packages): Hướng dẫn triển khai

Nếu những thay đổi là cần thiết thì phần mềm gốc
cần được lưu lại và những thay đổi phải được thực
hiện trên một bản sao đã được xác định rõ.

Tất cả các thay đổi cần được kiểm tra đầy đủ và
được lập thành tài liệu để chúng có thể được áp
dụng lại nếu cần thiết cho các nâng cấp phần mềm
trong tương lai
Control A.12.5.3 Hạn chế thay đổi các gói phần
mềm (software packages): Hướng dẫn triển khai


Một quy trình quản lý cập nhật phần mềm cần
được thực hiện nhằm đảm bảo rằng hầu hết các
bản vá và cập nhật gần nhất thì được chấp thuận
và các cập nhật ứng dụng đã được cài đặt đối với
tất cả phần mềm thìđược cấp phép
(Control 12.6 ISO/IEC 27002 : 2005 )
Control A.12.5.3 Hạn chế thay đổi các gói phần
mềm (software packages): Hướng dẫn triển khai

Kiểm soát: các cơ hội dẫn đến việc rò rỉ (lộ) thông
tin nên được ngăn chặn.
Control 12.5.4 Rò rỉ thông tin
(information leakage)

Rà quét các môi trường bên ngoài và sự truyền
thông với mục đích che giấu thông tin.

Ngụy trang, điều chỉnh biến đổi hệ thống và phương
thức truyền thông nhằm làm giảm khả năng mà bên
thứ ba có thể luận ra thông tin từ phương thức
truyền thông đó.

Tận dụng các hệ thống và phần mềm được đánh giá
là có tính toàn vẹn cao, ví dụ như: sử dụng các sản
phẩm đã được kiểm chứng (xem thêm ISO/IEC
15408)
Control 12.5.4 Rò rỉ thông tin (information
leakage): Hướng dẫn triển khai

Giám sát đều đặn các hoạt động của hệ thống và

cá nhân dưới sự cho phép theo luật pháp hay nội
quy hiện hành.

Giám sát tài nguyên sử dụng trong các hệ thống
máy tính.
Control 12.5.4 Rò rỉ thông tin (information
leakage): Hướng dẫn triển khai

Kênh ẩn: tồn tại trong hệ thống (mạng)

Khó ngăn chặn sự tồn tại các kênh ẩn
Một số biện pháp:
+ Ngăn chặn mã Trojan
+ Cấm truy cập mạng trái phép
+ Hạn chế lạm dụng dịch vụ thông tin cá
nhân
Control 12.5.4 Rò rỉ thông tin (information
leakage): Về kênh ẩn
Control 12.5.4 Rò rỉ thông tin (information leakage):
một số khuyến nghị kỹ thuật
Control 12.5.4 Rò rỉ thông tin (information leakage):
một số khuyến nghị kỹ thuật
Control 12.5.4 Rò rỉ thông tin (information leakage):
một số khuyến nghị kỹ thuật

Việc phát triển các phần mềm thuê gia công cần
được quản lý và giám sát bởi tổ chức.

Trường hợp quá trình phát triển phần mềm được
thuê gia công thì cần quan tâm tới các điểm sau

đây:
Control 12.5.5 Thuê gia công phần mềm
(Outsourced software)