Tải bản đầy đủ (.doc) (47 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Tài liệu OSSIM (Open Source Security Information Management)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.07 MB, 47 trang )

MỤC LỤC
Chương 0 – Giới thiệu chung
Chương I – Quản lý an toàn thông tin
Chương II – Tổng quan TCVN 7562:2005 và ISO/IEC 17799:2005
Chương III – Phân tích đánh giá khả năng áp dụng và chọn
lựa biện pháp phù hợp, cần thiết phải tuân thủ trong việc
quản lý an toàn của các hệ thống thông tin ở Việt Nam.
Chương IV - Một số cơ quan đã tham khảo ý kiến
Phụ lục 1 – Bảng phân tích đánh giá khả năng áp dụng và chọn
lựa qui tắc phù hợp, cần thiết phải tuân thủ
Phụ lục 2 - Bảng lựa chọn quy tắc quản lý an toàn thông tin

Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Danh mục từ viết tắt
ATTT: An toàn thông tin
QLATTT: Quản lý an toàn thông tin
BASE: Basic Analysis and Security Engine
HIDS: Host Intrusion Detection System
IDS: Intrusion Detection System
NIDS: Network Intrusion Detection System
OSSIM: Open Source Security Information Management
PADS: Passive Asset Detection System
2
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Chương 0. Giới thiệu chung
Sau các vấn đề đã xảy ra do mất an toàn thông tin trong thời gian vừa qua,
các cơ quan đơn vị phần nào đã coi trọng hơn công tác bảo vệ, phòng ngừa và
ngăn chặn các sự cố an toàn thông tin có thể xảy ra. Tuy nhiên trên thực tế việc
thiết lập các biện pháp bảo vệ hệ thống thông tin một cách hiệu quả là rất khó
đối với hầu hết các cơ quan cũng như doanh nghiệp. Qua tham khảo các nước đã
có kinh nghiệm và thành công trong việc bảo đảm an toàn thông tin thì việc nhà


nước xây dựng và ban hành các tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật, hướng
dẫn đảm bảo an toàn thông tin đóng vai trò rất quan trọng. Đặc biệt đối với các
cơ quan nhà nước, nhiều nước đã ban hành các hướng dẫn dưới cả hai hình thức
bắt buộc và khuyến khích áp dụng.
Tại Việt nam vào năm 2005, tổng cục tiêu chuẩn đo lường chất lượng đã
ban hành TCVN 7562:2005 với tên gọi “Mã thực hành quản lý an ninh thông
tin”. Nội dung tiêu chuẩn đã đưa ra các quy tắc thực hành đảm bảo an toàn
thông tin chấp thuận nguyên bản tiêu chuẩn ISO 17799:2000. Tuy nhiên việc áp
dụng hoàn toàn tiêu chuẩn TCVN 7562:2005 là rất khó với điều kiện Việt Nam
hiện nay, do đó Trung tâm VNCERT có được Bộ BCVT có đặt ra đề tài nghiên
cứu TCVN 7562:2005 để chọn lọc ra các quy tắc quản lý an toàn thông tin cần
thiết nhất bắt buộc áp dụng. Tuy nhiên sau quá trình nghiên cứu kỹ TCVN
7562:2005 cũng như tình hình áp dụng tiêu chuẩn ATTT trên thế giới, nhóm
nghiên cứu thấy tồn tại các vấn đề sau:
- Tiêu chuẩn ISO 17799:2000 chính là tài liệu gốc của TCVN 7562:2005
nay đã không còn phù hợp với tình hình thực tế do đó đã được tổ chức
ISO/IEC biên soạn lại và ban hành phiên bản thay thế là ISO 17799:2005.
Cấu trúc của ISO 17799:2005 và TCVN 7562 cũng như ISO 17799:2000
có những thay đổi lớn được trình bày chi tiết trong phần phục lục của báo
cáo này. Về cơ bản ISO 17799:2000 không đáp ứng được các yêu cầu thực
3
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
tế do sự phát triển nhanh của các dịch vụ thương mại điện tử, xác thực
người sử dụng và bảo mật trước các kỹ thuật tấn công mới của tin tặc.
- Nội dung tiêu chuẩn TCVN 7562:2005 có nhiều điểm dịch không được
chính xác nên gây khó hiểu cho người thực hiện.
- Các hệ thống thông tin tại Việt Nam rất đa dạng, việc đáp ứng được nhu
cầu cho tất cả các loại hệ thống thông tin tại Việt Nam là rất khó khăn. Do
đó đề tài tập trung chính vào đối tượng là các cơ quan nhà nước.
Trên cơ sở này nhóm đề tài đã thu thập, biên dịch nghiên cứu tiêu chuẩn

ISO 17799:2005 và sử dụng đây như là tài liệu gốc để xây dựng quy chuẩn kỹ
thuật “quy tắc quản lý an toàn thông tin” chứ không sử dụng TCVN 7562:2005
như trong đề cuơng đã nêu.
Để đảm khả năng áp dụng thành công và linh hoạt cho từng đối tượng, kết
quả đề tài đưa ra hai sản phẩm:
+ Bản dự thảo quy chuẩn kỹ thuật “Quy tắc quản lý an toàn thông tin”
để áp dụng trong các cơ quan nhà nước. Nội dung quy chuẩn bao gồm các
quy tắc cần thiết nhất mà các CQNN đều phải tuân thủ để đảm bảo hệ
thống thông tin đạt được mức an toàn tối thiểu.
+ Bản dự thảo các biện pháp quản lý an toàn thông tin khuyến khích
áp dụng trong các cơ quan nhà nước. Nội dung bản dự thảo đưa ra thêm
một số quy tắc quản lý an toàn thông tin so với bản quy chuẩn kỹ thuật, để
các cơ quan nhà nước cũng như các tổ chức có thể xem xét áp dụng trong
điều kiện có thể để có thể nâng cao mức độ an toàn cho hệ thống thông tin.
4
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Chương I. Quản lý an toàn thông tin
I. Nhiệm vụ của quản lý ATTT (QLATTT)
Nhiệm vụ của quản lý ATTT là quản lý được các đặc tính bí mật, toàn vẹn
và sẵn sàng của các hệ thống thông tin phục vụ các hoạt động của một tổ chức.
Hình 1 – Tam giác an toàn thông tin
1.1. Đặc tính bí mật – C (Confidentiality)
Đặc tính bí mật đảm bảo thông tin chỉ cung cấp cho những người có thẩm
quyền. Như vậy confidentiality là biện pháp ngăn ngừa các hành vi cố ý hay vô
ý xem thông tin không được cấp phép.
Ví dụ: một ngân hàng thì rất cần giữ bí mật thông tin cá nhân, số tiền trong
tài khoản, lịch sử giao dịch,… của khách hàng. Do yêu cầu hiện đại hoá các hoạt
động nên ngân hàng đã xây dựng một website ngân hàng trực tuyến nhằm cho
phép khách hàng có thể đăng ký tài khoản và thực hiện các giao dịch thông qua
website này. Website do đội ngũ cán bộ CNTT của ngân hàng thiết kế và phát

triển. Tuy nhiên do một số giới hạn về kiến thức và quy trình phát triển an toàn
ứng dụng nên website này mắc lỗi trong quản lý phiên làm việc (session
5
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
management), điều này dẫn đến việc bất kỳ người dùng nào của hệ thống cũng
có thể đăng nhập và truy vấn tài khoản của các tài khoản khác, kể cả các tài
khoản không đăng ký sử dụng website để giao dịch.
Hình 2 – Website ngân hàng trực tuyến
Trong Hình 3 thì user A sau khi đăng nhập thì hoàn toàn có khả năng truy
vấn các tài khoản của các user B,…,X
Hình 3 – Minh hoạ lỗi quản lý phiên làm việc làm mất tính bí mật thông tin
Tin tặc đã lợi dụng lỗi này để truy vấn thông tin của tất cả tài khoản thuộc
6
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
ngân hàng này.
Các nguyên nhân dẫn đến sự cố mất an toàn về bí mật thông tin trên là:
1. Ngân hàng tự phát triển phần mềm không tuân thủ các yêu cầu về an
toàn trong ứng dụng ngân hàng trực tuyến cụ thể là bỏ qua các biện pháp kiểm
soát phiên làm việc;
2. Không giám sát đầy đủ quá trình hoạt động của hệ thống để có thể phát
hiện dấu hiệu bất thường của việc usert A truy vấn tài khoản của các usert khác;
Để bảo vệ đặc tính bí mật cho dịch vụ ngân hàng trực tuyến trên cần thực
hiện nhiều giải pháp và kèm theo là các chi phí liên quan:
1. Cần tuân thủ đầy đủ các yêu cầu về an toàn trong các quá trình phát
triển, triển khai và vận hành hệ thống. Chi phí: mất thêm thời gian cho giai đoạn
phát triển ứng dụng, nhân sự cần được đào tạo về kỷ năng phát triển an toàn ứng
dụng,…
2. Giám sát thường xuyên và rà soát hệ thống định kỳ. Chi phí: chi phí xây
dựng vào bảo trì các hệ thống giám sát, chi phí giám sát, nhân sự, …
1.2. Đặc tính toàn vẹn – I (Integrity)

Đặc tính toàn vẹn đảm bảo chỉ có những người có thẩm quyền mới có thể
thay đổi các thông tin trên hệ thống.
Ví dụ: Website của Bộ GDĐT mắc một số điểm yếu về bảo mật. Học sinh
Bùi Minh Trí nhiều lần cảnh báo nhưng không có tiến triển nên đã quyết định
thay hình bộ trưởng bằng hình của mình để chứng minh. Sự việc làm tốn khá
nhiều giấy mực của báo chí suốt một thời gian dài.
Đôi khi các điểm yếu rất dễ lợi dụng nhưng lại có thể gây ra các hậu quả rất
lớn cho sự toàn vẹn thông tin của một tổ chức nếu không có các biện pháp bảo
vệ đúng đắn.
Các nguyên nhân dẫn đến sự cố mất an toàn về toàn vẹn thông tin trên là:
1. Website có điểm yếu, được thông báo nhưng không khắc phục kịp thời;
7
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
2. Thiếu cán bộ chuyên trách đủ năng lực, xử lý sự cố không đúng quy
trình.
Hình 4 – Giao diện trang chủ của website Bộ GDĐT khi bị hacker tấn công
Trong thực tế các lỗi bảo mật rất dễ khai thác, các hacker có thể dựa trên
các hướng dẫn có sẵn để tấn công vào các hệ thống mắc lỗi. Ví dụ: có rất nhiều
website có phần đăng nhập dành cho người dùng và người quản trị hệ thống,
phần đăng nhập thường bao gồm trường username (hay ID) và trường password.
Khi người dùng cung cấp đúng cặp username/password có trong cơ sở dữ liệu
của hệ thống thì họ sẽ được phép truy cập trang nội bộ của hệ thống, nếu sai họ
sẽ được dẫn đến trang thông báo lỗi.
Về mặt logic khi người dùng nhập giá trị name=‘admin’ và pass=‘wrong’
(một password không chính xác), hệ thống sẽ kiểm tra theo câu lệnh:
SELECT * FROM users WHERE (name=‘admin’ AND pass=‘wrong’)
Câu lệnh này sẽ kiểm tra hai giá trị người dùng nhập vào bằng biểu thức
8
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
logic (name= ‘admin’ AND pass=‘wrong’), nếu biểu thức này có giá trị là

TRUE người dùng sẽ được phép đăng nhập (do trong cơ sở dữ liệu users có
username admin và passord tương ứng là wrong), nếu biểu thức này có giá trị là
FALSE người dùng sẽ được báo lỗi đăng nhập. Trong trường hợp này người
dùng sẽ nhận được thông báo lỗi.
Hình 5 – Logic xử lý đăng nhập của các hệ thống
Lợi dụng logic này hacker có thể đơn giản nhập cặp giá trị:
name=‘’ or ‘a’= ‘a’ và pass==‘’ or ‘a’= ‘a’
Khi đó biểu thức logic kiểm tra quá trình đăng nhập sẽ là:
(name=‘’ or ‘a’= ‘a’ AND pass=‘’ or ‘a’= ‘a’)
Ta có thể viết lại biểu thức này thành biểu thức tương đương như sau:
(((name=‘ ’) or (‘a’= ‘a ’) ) AND ((pass=‘ ’) or (‘a’= ‘a ’)) )
Đây là mệnh đề AND của hai mệnh đề con giống nhau ((pass=‘’) or (‘a’=
‘a’)). Có thể dẽ dàng nhận thấy giá trị của mệnh đề con này luôn là TRUE do
(‘a’= ‘a’) là một mệnh đề TRUE.
Như vậy toàn bộ biểu thức logic sẽ cho giá trị là TRUE và điều này có
9
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
nghĩa là hacker được phép đăng nhập vào hệ thống. Bất cứ hacker nào cũng có
thể copy cụm giá trị ’ or ‘a’= ‘a để thử đăng nhập vào các hệ thống khi không hề
biết username và password hợp lệ. Đây là một trong các kỹ thuật vượt hệ thống
kiểm soát đăng nhập (authentication bypass).
Hình 6 – Hacker đăng nhập hệ thống không cần username và password
Sau khi đăng nhập hệ thống hacker có thể dễ dàng dùng một chức năng tải
file lên hệ thống (upload) đưa một file mã độc vào hệ thống (Hình 7). Mã độc
này có đầy đủ chức năng để hacker nắm quyền điều khiển toàn bộ hệ thống
(Hình 8).
Nguyên nhân chính dẫn đến lỗi bảo mật trên là do các lập trình viên khi lập
trình phát triển hệ thống đã bỏ qua một bước quan trọng, đó là kiểm tra dữ liệu
đầu vào. Tất cả dữ liệu do người dùng nhập vào trước khi xử lý phải được kiểm
tra tính hợp lệ. Trong ví dụ trên nếu hệ thống có bước kiểm tra dữ liệu người

dùng nhập vào không được phép chứa các ký tự đặc biệt như ‘ hay ’ hay khoảng
trắng thì hacker đã không thể đăng nhập vào hệ thống. Các lập trình viên có thể
thực hiện việc kiểm tra rất dễ dàng bằng cách thêm vài dòng lệnh trước khi thực
10
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
hiện kiểm tra về logic quá trình đăng nhập.
Hình 7 – Hacker lợi dụng chức năng upload của hệ thống
Hình 8 – Mã độc hacker dùng để điều khiển hệ thống
1.3. Đặc tính sẵn sàng – A (Availability)
11
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Availability đảm bảo các người dùng hợp lệ có thể truy xuất vào hệ thống
đúng như thiết kế
Hình 9 – Minh hoạ tính sẵn sàng của hệ thống cung cấp nước cứu hoả
Ví dụ: hệ thống phòng thử tên lửa đạn đạo NMD của Mỹ (Hình 10) là một
hệ thống cần tính sẵn sàng rất cao. Phần lõi của hệ thống NMD là một hệ thống
thông tin tiếp nhận các thông tin theo dõi tên lửa trên không phận của Mỹ từ các
rada hay các vệ tinh theo dõi, ngay khi phát hiện tên lửa xâm nhập không phận
hệ thống thông tin sẽ tính toán và điều khiển tên lửa đánh chặn. Do đặc thù ảnh
hưởng đến an ninh quốc gia nên hệ thống thông tin của hệ thống NMD phải có
độ sẵn sàng rất cao để luôn ứng phó với các tình huống khẩn cấp nhất.
Một ví dụ khác là hệ thống thông tin cung cấp dịch vụ hành chính công
phục vụ hàng triệu người dân cho các công việc như cấp giấy khai sinh, đăng ký
kinh doanh,… Nếu hệ thống này ngưng hoạt động trong vài ngày thì sẽ ảnh
hưởng rất lớn đến chất lượng của các dịch vụ công và hoạt động thường ngày
của người dân và doanh nghiệp.
12
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Hình 10 – Sơ đồ minh hoạ hoạt động hệ thống phòng thử tên lửa đạn đạo
Để bảo vệ đặc tính sẵn sàng cần thực hiện nhiều giải pháp và kèm theo là

các chi phí liên quan:
1. Đầu tư chuẩn bị cho tất cả các trường hợp xảy ra có thể làm ảnh hưởng
đến độ sẵn sàng của hệ thống như: mất điện, thiết bị hỏng hóc, tấn công từ chối
dịch vụ (DDOS),…
2. Xây dựng quy trình và đào tạo nhân sự vận hành, …
13
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
II. Tổng quan về quản lý an toàn thông tin (QLATTT):
2.1 Tiên đề B-T-S (C-I-A)
Mỗi hệ thống thông tin tuỳ theo mục đích sử dụng sẽ có các nhu cầu bảo vệ
các đặc tính khác nhau và với độ ưu tiên khác nhau
Tuỳ theo mục đích của hệ thống, khả năng và nguồn lực của tổ chức, nhà
quản lý ATTT sẽ phải tính toán lộ trình bảo vệ các đặc tính bí mật, toàn vẹn và
sẵn sàng (B-T-S).
Để bảo vệ mỗi đặc tính nhà quản lý cần triển khai các biện pháp quản lý
ATTT.
2.2. Biện pháp quản lý ATTT
Biện pháp quản lý ATTT là các biện pháp về quản lý, vận hành hay kỹ
thuật nhằm quản lý các rủi ro ATTT có thể ảnh hưởng đến các đặc tính bí mật,
toàn vẹn và sẵn sàng của một tổ chức.
Có rất nhiều biện pháp quản lý ATTT cần thiết cho một tổ chức như:
- Khắc phục các điểm yếu trên hệ thống.
- Chống mã độc hại.
- Sao lưu hệ thống.
- Nâng cao ý thức an toàn thông tin.
- …
2.3. Một số khái niệm trong quản lý ATTT
Tập lý tưởng
Là tập hợp các biện pháp QLATTT về phương diện lý thuyết (lý tưởng)
nên thực hiện để bảo vệ sự an toàn của hệ thống thông tin gọi là tập lý tưởng. Để

thực hiện tất cả các biện pháp QLATTT đòi hỏi rất nhiều tài nguyên, nguồn lực
của tổ chức và đôi khi dẫn đến việc thực hiện các biện pháp QLATTT chưa thật
sự cần thiết.
Tập lý tưởng là một tập có thể thay đổi theo thời gian. Các mối nguy mới
xuất hiện theo thời gian sẽ làm phát sinh các biện pháp QLATTT mới cần bổ
14
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
sung.
Hình 11 – Tập lý tưởng và Tập thực tế
Tập thực tế
Mỗi tổ chức tuỳ theo từng giai đoạn sẽ cần thực hiện một số biện pháp
QLATTT thật sự cần thiết cho tổ chức để quản lý các rủi ro an toàn thông tin –
tập hợp các biện pháp này gọi là tập thực tế.
Khi có sự thay đổi ở tổ chức như xuất hiện dịch vụ mới, nhân sự thay đổi
hay hạ tầng mạng thay đổi,… sẽ làm thay đổi số lượng và mức độ rủi ro cho hệ
thống. Do đó tập thực tế thay đổi theo các thay đổi trên hệ thống của tổ chức.
2.4. Nhiệm vụ của QLATTT
Dựa trên tập lý tưởng mà tổ chức đã chọn theo một mô hình quản lý an
toàn thông tin và tập thực tế có được do quá trình đánh giá rủi ro an toàn thông
tin tổ chức sẽ thực hiện các hoạt động quản lý an toàn thông tin, các hoạt động
này bao gồm các bước sau:
1. Khảo sát hiện trạng và nhu cầu của tổ chức để xác định đúng và đủ tập
thực tế.
2. Lên kế hoạch triển khai các biện pháp QLATTT đã xác định được trong
tập thực tế.
15
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
3. Triển khai các biện pháp QLATTT trong tập thực tế.
4. Rà soát và đánh giá quá trình triển khai các biện pháp QLATTT.
5. Giám sát sự thay đối và cập nhật tập thực tế.

2.5. Mô hình QLATTT
Thông thường các tổ chức chọn và thực hiện các biện pháp quản lý an toàn
thông tin do một mô hình QLATTT có sẵn. Có rất nhiều mô hình QLATTT trên
thế giới nhưng nhìn chung các mô hình này bao gồm các nội dung sau:
1. Xác định tập lý tưởng phù hợp thực tế và cập nhật thường xuyên theo
định kỳ.
2. Hướng dẫn tổ chức lựa chọn hình thành tập thực tế rõ ràng và đầy đủ.
3. Hướng dẫn lên kế hoạch thực hiện các biện pháp quản lý an toàn thông
tin trong tập thực tế.
4. Hướng dẫn chi tiết cho quá trình thực hiện các biện pháp quản lý an toàn
thông tin trong tập thực tế.
5. Cung cấp phương pháp rà soát đánh giá quá trình thực hiện các bước trên
hiệu quả và khoa học.
6. Cung cấp quy trình quản lý thay đổi trên hệ thống thông tin và cập nhật
các thay đổi này .
Hình 12 – Mô hình quản lý rủi ro an toàn thông tin
16
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Tập lý tưởng trong mô hình quản lý rủi ro an toàn thông tin thường được
đúc kết từ kinh nghiệm thực tế và ý kiến các chuyên gia. Tập này được cập nhật
hàng năm.
Hiện trên thế giới có nhiều mô hình quản lý rủi ro an toàn thông tin sử
dụng tập lý tưởng chuẩn. Tập này là tương đối thống nhất giữa các mô hình và
bao gồm trên 130 biện pháp quản lý ATTT được chia thành 10 nhóm, mỗi nhóm
đề cập đến một mảng rủi ro ATTT cần quản lý.
Hình 13 – Các nhóm biện pháp quản lý an toàn thông tin
Tập thực tế của các mô hình thường gồm ba thành phần:
- Tập nền: là tập các biện pháp quản lý an toàn thông tin mà bất cứ tổ
chức nào cũng nên thực hiện. VD: biện pháp phòng chống virus.
- Tập khảo sát: là tập các biện pháp quản lý an toàn thông tin cần phải

thực hiện để đối phó với các rủi ro phát hiện được từ quá trình đánh giá rủi ro an
toàn thông tin. VD: hệ thống thông tin nằm ở khu vực hay có sấm sét, cần thực
hiện các biện pháp chống sét.
- Tập đặc thù: là tập các biện pháp quản lý an toàn thông tin đặc thù và
gắn liền với từng tổ chức, các biện pháp quản lý an toàn thông tin trong tập đặc
thù không nhất thiết phải nằm trong tập lý tưởng. VD: để kích hoạt chức năng
chuyển tiền xuyên quốc gia thì cần sử dụng ba mật khẩu khác nhau do ba người
nắm giữ đề đề phòng bất trắc.
17
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Hình 14 – Các thành phần của tập thực tế
Một số mô hình QLATTT thực tế
- BS 7799.
- ISO 17799.
- Mô hình QLATTT của các quốc gia Mỹ, Úc, Singapore,
Chuẩn ISO 17799
• Tập lý tưởng: 17799:2005
• Hướng dẫn lựa chọn-hiện thực-kiểm tra: 27001:2005
Hình 15 - tài liệu mô tả tập lý tưởng của chuẩn ISO 17799
18
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Hình 16 – tài liệu mô tả cách thức chọn lựa và thực hiện tập thực tế
Ví dụ: biện pháp quản lý 5.1.1 - Quy định an toàn thông tin có nội dung
hướng dẫn xây dựng quy định an toàn thông tin trong tổ chức, cụ thể là:
Mô tả: Cần có một quy định an toàn thông tin được cấp quản lý ban hành,
phổ biến đến mọi nhân sự của tổ chức và các đối tượng khác có liên quan.
Hướng dẫn hiện thực:
Quy định an toàn thông tin phải bao gồm:
a) một định nghĩa của an toàn thông tin, các mục tiêu toàn cục và tầm
quan trọng của an toàn thông tin đối với hoạt động của tổ chức;

b) công bố kỳ vọng của cấp quản lý, mức độ ủng hộ các mục tiêu và các
nguyên tắc an toàn thông tin trong tổ chức;
c) có hướng dẫn cách thức thiết lập các biện pháp quản lý an toàn thông
tin, bao gồm cách thức đánh giá rủi ro và quản lý rủi ro;
d) có các giải thích tổng quan về các quy định, các nguyên tắc, các tiêu
chuẩn và các yêu cầu tuân thủ cần thiết cho một tổ chức bao gồm:
1) tuân thủ với luật pháp, các quy định và các yêu cầu trong các hợp đồng;
2) các yêu cầu về giáo dục, đào tạo và nâng cao nhận thức an toàn thông
tin;
19
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
3) quản lý liên tục hoạt động;
4) hậu quả của việc vi phạm các quy định an toàn thông tin;
e) định nghĩa các trách nhiệm tổng quan và cụ thể liên quan đến quản lý
sự cố an toàn thông tin;
f) các tham khảo đến các tài liệu khác như các quy định và quy trình chi
tiết cho một hệ thống nào đó hoặc các quy tắc an toàn dành cho những đối tượng
sử dụng hệ thống
Tài liệu quy định an toàn thông tin cần được phổ biến rộng rãi đến mọi
đối tượng của tổ chức.
Ví dụ: biện pháp quản lý 12.2.1 - Kiểm tra dữ liệu đầu vào có nội dung
hướng dẫn kiểm tra các dữ liệu đầu vào của ứng dụng, cụ thể là:
Mô tả:
Dữ liệu đầu vào của các ứng dụng phải được kiểm tra để chắc chắn dữ liệu
này là đúng đắn và chính xác.
Hướng dẫn hiện thực:
Quá trình kiểm tra phải áp dụng cho các dữ liệu đầu vào của các giao dịch,
thông tin người dùng và các bảng tham số. Lưu ý các hướng dẫn sau:
• Kiểm tra dữ liệu biên hoặc giới hạn giá trị của các trường, chú ý các
lỗi:

o Giá trị nằm ngoài giới hạn (out-of-range);
o Các ký tự không hợp lệ trong trường dữ liệu;
o Dữ liệu thiếu hoặc không hoàn chỉnh;
o Vượt quá giới hạn trên hoặc dưới về lượng dữ liệu;
o Dữ liệu không được phép hoặc không nhất quán.
• Kiểm tra định kỳ tính hợp lệ và toàn vẹn nội dung các trường và các
file dữ liệu;
• Xem xét khả năng các bản tài liệu (hardcopy) nhập liệu bị thay đổi
không hợp lệ;
20
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
• Các quy trình xử lý các lỗi kiểm tra dữ liệu;
• Các quy trình kiểm tra tính hợp lý của dữ liệu đầu vào;
• Xác định trách nhiệm của các cá nhân liên quan đến quá trình xử lý dữ
liệu đầu vào;
• Ghi nhận các hành vi liên quan đến quá trình xử lý dữ liệu đầu vào.
2.6. Tổng kết
- Nhiệm vụ của quản lý ATTT là quản lý được các đặc tính bí mật, toàn
vẹn và sẵn sàng của các hệ thống thông tin của tổ chức.
- Năm nhiệm vụ chính của quản lý rủi ro ATTT là:
1. Khảo sát hiện trạng và nhu cầu của tổ chức để xác định đúng và đủ tập
thực tế.
2. Lên kế hoạch triển khai các biện pháp QLATTT đã xác định được trong
tập thực tế.
3. Triển khai các biện pháp QLATTT trong tập thực tế.
4. Rà soát và đánh giá quá trình triển khai các biện pháp QLATTT.
5. Giám sát sự thay đối và cập nhật tập thực tế.
- Tuân thủ mô hình QLATTT là cách tốt nhất để QLATTT.
21
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin

Chương II. Tổng quan TCVN 7562:2005 và
ISO/IEC 17799:2005
2.1 Tiêu chuẩn Việt Nam TCVN 7562 và tiêu chuẩn chuẩn ISO
17799:2000
2.1.1 Giới thiệu chung
Tiêu chuẩn Việt Nam Mã thực hành quản lý an ninh thông tin – TCVN
7562 do Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố dữ liệu
và tài liệu trong thương mại, công nghiệp và hành chính” biên soạn, Tổng cục
Đo lường chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành năm 2005.
Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC
17799:2000 có tên “Code of practice for information security management”và
hoàn toàn tương đương với tiêu chuẩn quốc tế này.
2.1.2 Tóm tắt nội dung
Nội dung tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về
công tác quản lý an ninh thông tin cho những người có trách nhiệm cài đặt, thực
thi hoặc duy trì an ninh trong tổ chức của họ. Tiêu chuẩn này nhằm cung cấp
một cơ sở chung để xây dựng các tiêu chuẩn an ninh trong tổ chức và thực hành
quản lý an toàn thông tin một cách hiệu quả và tạo sự tin cậy trong các giao dịch
liên tổ chức. Các khuyến nghị rút ra từ tiêu chuẩn này được lựa chọn và sử dụng
phù hợp với các luật và quy định liên quan.
Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm:
1. Phạm vi áp dụng;
2. Thuật ngữ và định nghĩa;
3. Chính sách an ninh;
4. An ninh tổ chức;
5. Phân loại và kiểm soát tài sản;
22
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
6. An ninh cá nhân;
7. An ninh môi trường vật lý;

8. Quản lý truyền thông và hoạt động;
9. Kiểm soát truy cập;
10. Phát triển và duy trì hệ thống;
11. Quản lý liên tục trong kinh doanh;
12. Sự tuân thủ.
Tiêu chuẩn đã đưa ra 127 hướng dẫn đảm bảo an toàn thông tin được phân
thành 10 vấn đề chính, bao gồm:
- Chính sách an ninh
Mục tiêu là cung cấp phương hướng quản lý và hỗ trợ an ninh thông tin.
Ban quản lý an toàn thông tin (BQL) nên thiết lập một phương hướng chính
sách rõ ràng, công khai hỗ trợ và cam kết ANTT thông qua việc phát hành và
duy trì một chính sách an ninh (CSAN) thông tin trong toàn tổ chức.
Việc xây dựng các chính sách an ninh bao gồm hai nội dung cơ bản:
a Các cơ quan tổ chức cần tự xây dựng tài liệu CSAN phù hợp với hoạt
động thực tiễn trong đó bao gồm các nội dung:
 Định nghĩa về an ninh thông tin (ANTT), đối tượng, phạm vi, tầm
quan trọng
 Mục đích quản lý, hỗ trợ các mục tiêu và nguyên tắc về ANTT
 Giải thích các chính sách, nguyên tắc, tiêu chuẩn, yêu cầu đặc biệt của
tổ chức quy định.
 Xác định trách nhiệm cho việc quản lý và báo cáo
 Danh mục các tài liệu có thể hỗ trợ
b Các cơ quan tổ chức cần thường xuyên soát xét đánh giá hiệu quả của
CSAN đã có.
- An ninh tổ chức
a Hạ tầng an ninh thông tin
23
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
Mục tiêu : Quản lý an ninh thông tin trong tổ chức
Khuôn khổ quản lý nên được thiết lập để khởi đầu và kiểm soát việc thực

hiện an ninh thông tin trong tổ chức.
Các diễn đàn quản lý phù hợp với khả năng lãnh đạo của ban quản lý nên
được thành lập để thông qua CSAN, ấn định các vai trò an ninh và phối hợp
thực hiện an ninh trong toàn bộ tổ chức. Nếu cần thiết, một tập hợp các khuyến
nghị về an ninh thông tin nên được thiết lập và sẵn dùng trong tổ chức. Nên phát
triển việc cộng tác với các chuyên gia an ninh bên ngoài để theo kịp các xu
hướng công nghiệp, các tiêu chuẩn giám sát, phương pháp đánh giá và cung cấp
các điểm liên lạc phù hợp khi xử lý sự cố an ninh. Nên khuyến khích sử dụng
cách tiếp cận an ninh thông tin đã chiều, ví dụ bao gồm sự phối hợp và hợp tác
của các nhà quản lý, người sử dụng, nhà quản trị, người thiết kế ứng dụng, kiểm
toán viên, nhân viên an ninh và các chuyên gia có kỹ năng chuyên môn trong
nhiều lĩnh vực như bảo hiểm và quản lý rủi ro.
Xây dựng một hạ tầng an ninh thông tin cần thực hiện
 Xây dựng diễn đàn quản lý ANTT
 Hợp tác về ANTT (Phối hợp thực hiện đảm bảo ANTT giữa các bộ
phận, chuyên gia)
 Phân định trách nhiệm về ANTT
 Quyền xử lý phương tiện xử lý thông tin
 Khuyến nghị của chuyên gia ATTT
 Hợp tác giữa các tổ chức
 Soát xét ANTT một cách độc lập
b An ninh đối với sự truy cập bên thứ ba
Mục tiêu : Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức
và các tài sản thông tin do các bên thứ ba truy cập.
 Xác định các rủi ro từ việc truy cập của bên thứ ba
 Các yêu cầu an ninh trong hợp đồng với bên thứ ba
24
Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin
c Cung ứng bên ngoài
Mục tiêu : Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức

và các tài sản thông tin do các bên thứ ba truy cập
 Xác định các rủi ro từ việc truy cập của bên thứ ba
 Các yêu cầu an ninh trong hợp đồng với bên thứ ba
- Phân loại và kiểm soát tài sản
a Trách nhiệm giải trình các tài sản
Mục tiêu : Duy trì bảo vệ thích hợp các tài sản của tổ chức
 Tài sản: Thông tin; thiết bị; phần mềm; dịch vụ
 Toàn bộ tài sản chính nên được giải trình và có người quản lý được bổ
nhiệm.
 Thường xuyên kiểm kê, kiểm soát đảm bảo an ninh cho tài sản.
b Phân loại thông tin
Mục tiêu : Đảm bảo tài sản thông tin có mức bảo vệ thích hợp
 Hướng dẫn phân loại thông tin
 Dán nhãn quản lý thông tin
- An ninh cá nhân
a An ninh theo định nghĩa và nguồn công việc
Mục tiêu : Giảm rủi ro do các hành vi sai sót, đánh cắp, gian lận hoặc lạm
dụng các phương tiện
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
 An ninh theo trách nhiệm công việc
 Chính sách và kiểm tra nhân sự
 Thỏa thuận về tính bảo mật
 Các điều khoản và điều kiện tuyển dụng
b Đào tạo người sử dụng (NSD)
Mục tiêu : Đảm bảo NSD nhận thức được các mối đe dọa và các vấn đề
liên quan đến ANTT.
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×