iso17799 an ninh thong tin
DESCRIPTION
tetTRANSCRIPT
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
1
CHUẨN AN NINH THÔNG TIN
ISO 17799(Bản tiếng Việt do Hoàng Xuân Thịnh, EVNIT, thực hiện)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
2
GIỚI THIỆU .........................................................................................................................................7Tại sao an ninh thông tin là cần thiết? ..............................................................................................7Xác định các yêu cầu an ninh nhưthế nào? ......................................................................................7Đánh giá rủi ro an ninh (Assessing security risks) ...........................................................................8Chọn lựa các kiểm soát (Selecting controls) .....................................................................................8Điểm khởi đầu an ninh thông tin (Information security starting point) ............................................9Các yếu tố thành công quyết định (Critical success factors) ............................................................9Xây dựng các nguyên tắc riêng của tổ chức ...................................................................................10
NỘI DUNG CHUẨN ISO 17799 .......................................................................................................111. Phạm vi (Scope) ..........................................................................................................................112. Khái niệm và định nghĩa (Terms and definitions) ......................................................................11
2.1. An ninh thông tin (Information security).............................................................................112.2. Đánh giá rủi ro (Risk assessment) .......................................................................................112.3. Quản lý rủi ro (Risk management) .......................................................................................11
3. Chính sách an ninh thông tin (Security policy) ..........................................................................113.1. Chính sách an ninh thông tin (Information security policy) ................................................11
3.1.1. Tài liệu chính sách an ninh thông tin (Information security policy document) ............113.1.2. Soát xét và đánh giá (Review and evaluation)..............................................................12
4. An ninh tổ chức (Organizational security) ..................................................................................124.1. Hạ tầng an ninh thông tin (Information security infrastructure) ..........................................12
4.1.1. Diễn đàn an ninh thông tin của cấp quản lý (Management information security forum).................................................................................................................................................134.1.2. Đồng điều phối an ninh thông tin (Information security co-ordination) ......................134.1.3. Chỉ định các trách nhiệm an ninh thông tin (Allocation of information securityresponsibilities) .......................................................................................................................134.1.4. Tiến trình cấp phép cho các thiết bị xử lý thông tin (Authorization process for information processing facilities) ...........................................................................................144.1.5. Tưvấn an ninh thông tin từ các chuyên gia (Specialist information security advice) ..144.1.6. Đồng phối hợp giữa các tổ chức (Co-operation between organizations)......................154.1.7. Soát xét độc lập về an ninh thông tin (Independent review of information security) ...15
4.2. An ninh đối với các truy nhập của bên thứ ba (Security of third party access) ...................154.2.1. Định danh các rủi ro từ truy nhập của bên thứ ba .........................................................15
4.2.1.1. Kiểu truy nhập (Types of access) ...........................................................................154.2.1.2. Lý do truy nhập (Reasons for access) ....................................................................154.2.1.3. Các nhà cung cấp tại chỗ (On-site contractors) .....................................................15
4.2.2. Các yêu cầu an ninh trong hợp đồng với bên thứ ba ....................................................164.3. Chuyển giao công việc cho tổ chức khác (Outsourcing) .....................................................17
4.3.1. Các yêu cầu an ninh trong các hợp đồng chuyển giao công việc .................................175. Kiểm soát và phân loại tài sản (Asset classification and control) ...............................................18
5.1. Trách nhiệm giải trình về tài sản (Accountability for assets) ..............................................185.1.1. Kiểm kê tài sản ( Inventory of assets) ...........................................................................18
5.2. Phân loại tài sản thông tin (Information classification) .......................................................185.2.1. Hướng dẫn phân loại (Classification guidelines) ..........................................................185.2.2. Gán nhãn và xử lý thông tin (Information labelling and handling) ..............................19
6. An ninh cá nhân (Personnel security) .........................................................................................196.1. An ninh trong định nghĩa công việc và nguồn lực ...............................................................19
6.1.1. Gắn kết an ninh trong trách nhiệm đối với công việc ...................................................206.1.2. Thẩm tra hồ sơcá nhân và chính sách (Personnel screening and policy) .....................206.1.3. Các thoả thuận về tính tin cậy (Confidentiality agreements) ........................................206.1.4. Điều kiện sử dụng lao động (Terms and conditions of employment) ...........................20
6.2. Đào tạo người dùng (User training) .....................................................................................206.2.1. Đào tạo an ninh thông tin (Information security education and training) .....................21
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
3
6.3. Phản ứng lại các sự cố an ninh và sai hỏng chức năng ........................................................216.3.1. Báo cáo các sự cố an ninh (Reporting security incidents) ............................................216.3.2. Báo cáo các yếu kém an ninh (Reporting security weaknesses) ...................................216.3.3. Báo cáo các sai hỏng chức năng của phần mềm (Reporting software malfunctions) ...226.3.4. Học hỏi từ các sự cố (Learning from incidents) ...........................................................226.3.5. Quyđịnh về kỷ luật (Disciplinary process) .................................................................22
7. An ninh môi trường và an ninh vật lý (Physical and environmental security) ...........................227.1. Vùng an ninh (Secure areas) ................................................................................................22
7.1.1. Vànhđai an ninh vật lý (Physical security perimeter) ..................................................227.1.2. Kiểm soát vào ra vật lý (Physical entry controls) .........................................................237.1.3. Các nhân viên an ninh, phòng làm việc và thiết bị (Securing offices, rooms and facilities) .................................................................................................................................237.1.4. Làm việc trong vùng an ninh (Working in secure areas)..............................................247.1.5. Tách biệt vùng giao nhận (Isolated delivery and loading areas) ..................................24
7.2. An ninh thiết bị (Equipment security) .................................................................................257.2.1. Lựa chọn vị trí thiết bị và bảo vệ (Equipment siting and protection) ...........................257.2.2. Cung cấp năng lượng (Power supplies) ........................................................................257.2.3. An ninh đường cáp (Cabling security) ..........................................................................257.2.4. Bảo trì thiết bị (Equipment maintenance) .....................................................................267.2.5. An ninh của các thiết bị bên ngoài vành đai an ninh (Security of equipment off-premises) .................................................................................................................................267.2.6. Loại bỏ các biện pháp an ninh hoặc sử dụng lại thiết bị (Secure disposal or re-use ofequipment) ..............................................................................................................................26
7.3. Các kiểm soát chung (General controls) ..............................................................................267.3.1. Chính sách mặt bàn sạch và màn hình sạch (Clear desk and clear screen policy) .......267.3.2. Di rời tài sản (Removal of property) .............................................................................27
8. Quản lý giao tiếp và quản lý vận hành........................................................................................278.1. Các thủ tục vận hành và trách nhiệm vận hành ...................................................................27
8.1.1. Tài liệu hoá các thủ tục vận hành (Documented operating procedures) .......................278.1.2. Kiểm soát thay đổi vận hành (Operational change control) .........................................288.1.3. Các thủ tục quản lý sự cố (Incident management procedures) .....................................288.1.4. Phân chia trách nhiệm (Segregation of duties) .............................................................298.1.5. Tách biệt các hoạt động phát triển và vận hành ............................................................298.1.6. Quản lý các thiết bị từ bên ngoài (External facilities management) .............................30
8.2. Lập kế hoạch hệ thống và chấp thuận (System planning and acceptance) ..........................308.2.1. Lập kế hoạch năng lực của hệ thống (Capacity planning) ............................................308.2.2. Chấp thuận hệ thống (System acceptance) ...................................................................30
8.3. Bảo vệ chống lại các phần mềm phá hoại (Protection against malicious software) ............318.3.1. Kiểm soát chống lại các phần mềm phá hoại (Protection against malicious software)31
8.4. Công việc thực hiện thường nhật tại tổ chức (Housekeeping) .............................................328.4.1. Sao lưu thông tin (Information back-up) ......................................................................328.4.2. Nhật ký vận hành (Operator logs).................................................................................328.4.3. Báo cáo lỗi (Fault logging) ...........................................................................................33
8.5. Quản trị mạng (Network management) ...............................................................................338.5.1. Các kiểm soát trên mạng (Network controls) ...............................................................33
8.6. An ninh của thiết bị lưu trữ (Media handling and security) .................................................338.6.1. Quản lý các phương tiện có thể di chuyển (Management of removable computer media) .....................................................................................................................................338.6.2. Hủy bỏ phương tiện, thiết bị lưu trữ (Disposal of media) ............................................338.6.3. Các thủ tục xử lý thông tin (Information handling procedures) ...................................348.6.4. An ninh của tài liệu hệ thống (Security of system documentation) ..............................35
8.7. Traođổi thông tin và phần mềm (Exchanges of information and software) .......................35
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
4
8.7.1. Các thoả thuận trao đổi thông tin và phần mềm (Information and software exchange agreements) .............................................................................................................................358.7.2. An ninh của thiết bị lưu trữ khi di chuyển (Security of media in transit) .....................368.7.3. An ninh thương mại điện tử (Electronic commerce security) .......................................368.7.4. An ninh thưđiện tử (Security of electronic mail) .........................................................37
8.7.4.1. Rủi ro an ninh (Security risks) ...............................................................................378.7.4.2. Chính sách với thưđiện tử (Policy on electronic mail) .........................................37
8.7.5. An ninh của hệ thống văn phòng điện tử (Security of electronic office systems) ........388.7.6. Các hệ thống xuất bản công khai (Publicly available systems) ....................................38
9. Kiểm soát truy nhập (Access control) .........................................................................................399.1. Các yêu cầu nghiệp vụ đối với kiểm soát truy nhập ............................................................39
9.1.1. Chính sách kiểm soát truy nhập (Access control policy) ..............................................399.1.1.1. Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and business requirements).............................................................................................................................................399.1.1.2. Các quy tắc kiểm soát truy nhập (Access control rules) ........................................39
9.2. Quản lý truy nhập của người dùng (User access management) ...........................................409.2.1. Đăng ký người dùng (User registration) .......................................................................409.2.2. Quản lý ưu tiên (Privilege management) ......................................................................409.2.3. Quản lý mật khẩu người dùng (User password management) ......................................419.2.4. Soát xét các quyền của người dùng (Review of user access rights) .............................41
9.3. Trách nhiệm của người dùng (User responsibilities) ...........................................................419.3.1. Sử dụng mật khẩu (Password use) ................................................................................429.3.2. Các thiết bị không người giám sát (Unattended user equipment) .................................42
9.4. Kiểm soát truy nhập mạng (Network access control) ..........................................................429.4.1. Chính sách về việc sử dụng các dịch vụ mạng (Policy on use of network services) ....439.4.2. Đường ép buộc (Enforced path) ...................................................................................439.4.3. Chứng thực người dùng từ các kết nối ngoài ................................................................449.4.4. Chứng thực nút mạng (Node authentication)................................................................449.4.5. Bảo vệ cổng chẩn đoán từ xa (Remote diagnostic port protection) ..............................449.4.6. Chia tách mạng (Segregation in networks) ...................................................................449.4.7. Kiểm soát kết nối mạng (Network connection control) ................................................459.4.8. Kiểm soát tìm đường trên mạng (Network routing control) .........................................45
9.5. Kiểm soát truy nhập hệ điều hành (Operating system access control) ................................459.5.1. Định danh thiết bị đầu cuối tự động (Automatic terminal identification) ....................469.5.2. Các thủ tục đăng nhập thiết bị đầu cuối (Terminal log-on procedures)........................469.5.3. Định danh và chứng thực người dùng (User identification and authentication)...........479.5.4. Hệ thống quản lý mật khẩu (Password management system) .......................................479.5.5. Sử dụng các tiện ích của hệ thống (Use of system utilities) .........................................479.5.6. Thiết bị cảnh báo người dùng (Duress alarm to safeguard users) ................................489.5.7. Ngừng thiết bị đầu cuối sau một khoảng thời gian không hoạt động (Terminal time-out) ..........................................................................................................................................489.5.8. Giới hạn thời gian kết nối (Limitation of connection time) ..........................................48
9.6. Kiểm soát truy nhập ứng dụng (Application access control) ...............................................489.6.1. Giới hạn truy nhập thông tin (Information access restriction)......................................499.6.2. Cô lập các hệ thống nhạy cảm (Sensitive system isolation) .........................................49
9.7. Giám sát truy nhập hệ thống và giám sát sử dụng hệ thống ................................................499.7.1. Ghi lại các sự kiện (Event logging) ..............................................................................499.7.2. Giám sát sử dụng hệ thống (Monitoring system use) ...................................................50
9.7.2.1. Thủ tục rủi ro và lĩnh vực rủi ro (Procedures and areas of risk) ............................509.7.2.2. Các yếu tố rủi ro (Risk factors) ..............................................................................509.7.2.3. Ghi lại và soát xét các sự kiện (Logging and reviewing events) ...........................50
9.7.3. Đồng bộ hoá đồng hồ (Clock synchronization) ............................................................51
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
5
9.8. Tính toán diđộng và làm việc di động (Mobile computing and teleworking) ....................519.8.1. Tính toán diđộng (Mobile computing) .........................................................................519.8.2. Làm việc từ xa (Teleworking) ......................................................................................52
10. Phát triển và bảo trì hệ thống (Systems development and maintenance) .................................5210.1 Yêu cầu an ninh đối với các hệ thống (Security requirements of systems) ........................52
10.1.1. Phân tích và đặc tả các yêu cầu an ninh ..................................................................5310.2. An ninh trong các hệ thống ứng dụng (Security in application systems) ..........................53
10.2.1. Kiểm tra tính hợp lệ của dữ liệu đầu vào (Input data validation) ...............................5310.2.2. Kiểm soát các tiến trình bên trong (Control of internal processing)...........................54
10.2.2.1. Các lĩnh vực rủi ro (Areas of risk) ......................................................................5410.2.2.2. Kiểm tra và kiểm soát (Checks and controls) ......................................................54
10.2.3. Chứng thực thông báo (Message authentication) .......................................................5510.2.4. Kiểm tra tính hợp lệ của dữ liệu đầu ra () ..................................................................55
10.3. Các kiểm soát bằng mật mã (Cryptographic controls).......................................................5510.3.1. Chính sách về việc sử dụng các kiểm soát bằng mật mã ............................................5510.3.2. Mã hoá (Encryption) ...................................................................................................5610.3.3. Chữ ký số (Digital signatures) ....................................................................................5610.3.4. Các dịch vụ không thể từ chối (Non-repudiation services) ........................................5710.3.5. Quản lý khoá (Key management) ...............................................................................57
10.3.5.1. Bảo vệ các khoá mã hoá (Protection of cryptographic keys)...............................5710.3.5.2. Các tiêu chuẩn, thủ tục và phương pháp (Standards, procedures and methods)..57
10.4. An ninh của các hồ sơhệ thống (Security of system files) ................................................5810.4.1. Kiểm soát của phần mềm điều hành (Control of operational software) .....................5810.4.2. Bảo vệ dữ liệu kiểm thử hệ thống (Protection of system test data) ............................5810.4.3. Kiểm soát truy nhập thưviện nguồn của chương trình...............................................59
10.5. An ninh trong quá trình phát triển và trợ giúp ...................................................................5910.5.1. Các thủ tục kiểm soát thay đổi (Change control procedures) .....................................5910.5.2. Soát xét kỹ thuật đối với các thay đổi hệ thống vận hành ..........................................6010.5.3 Hạn chế các thay đổi đối với các gói phần mềm .........................................................6010.5.4. Các kênh ngầm và mã Trojan (Covert channels and Trojan code) .............................6110.5.5. Phát triển các phần mềm gia công (Outsourced software development) ....................61
11. Quản lý liên tục nghiệp vụ (Business continuity management) ...............................................6111.1. Các tính chất của quản lý liên tục nghiệp vụ.....................................................................61
11.1.1. Quy trình quản lý liên tục nghiệp vụ (Business continuity management process) .....6211.1.2. Quản lý liên tục nghiệp vụ và phân tích ảnh hưởng của nó ........................................6211.1.3. Viết và thực hiện kế hoạch liên tục nghiệp vụ............................................................6211.1.4. Sự thống nhất của các kế hoạch liên tục nghiệp vụ....................................................6311.1.5. Kiểm thử, bảo trì và táiđánh giá các kế hoạch liên tục nghiệp vụ.............................63
11.1.5.1 Kiểm thử các kế hoạch (Testing the plans) ...........................................................6311.1.5.2. Bảo trì và tái đánh giá các kế hoạch (Maintaining and re-assessing the plans) ...64
12. Sự tuân thủ (Compliance) .........................................................................................................6412.1. Tuân thủ các quy định của luật pháp (Compliance with legal requirements)....................64
12.1.1. Xác định các luật liên quan (Identification of applicable legislation) ........................6412.1.2. Luật sở hữu trí tuệ (Intellectual property rights (IPR))...............................................65
12.1.2.1. Bản quyền (Copyright) ........................................................................................6512.1.2.2. Bản quyền phần mềm (Software copyright) ........................................................65
12.1.3. Bảo vệ sổ sách của tổ chức (Safeguarding of organizational records) ......................6512.1.4. Bảo vệ dữ liệu và tính riêng tưcủa thông tin cá nhân ................................................6612.1.5. Tránh lạm dụng các thiết bị xử lý thông tin ................................................................6612.1.6. Quyđịnh về các kiểm soát bằng mật mã (Regulation of cryptographic controls) ......6612.1.7. Tập hợp chứng cứ (Collection of evidence) ...............................................................67
12.1.7.1. Các quyđịnh về chứng cứ (Rules for evidence) ..................................................67
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
6
12.1.7.2. Tính có thể thừa nhận của chứng cứ (admissibility of evidence): .......................6712.1.7.3. Chất luợng và tính đầy đủ của chứng cứ..............................................................67
12.2. Soát xét sự tuân thủ chính sách an ninh và tiêu chuẩn kỹ thuật.........................................6712.2.1. Sự tuân thủ chinh sách an ninh (Compliance with security policy) ...........................6812.2.2. Kiểm tra sự tuân thủ kỹ thuật (Technical compliance checking) ...............................68
12.3. Các lưu ý khi kiểm soát nội bộ hệ thống (System audit considerations) ...........................6812.3.1. Các công cụ kiểm soát nội bộ hệ thống (System audit controls) ................................6812.3.2. Bảo vệ các công cụ kiểm soát nội bộ hệ thống (Protection of system audit tools) .....69
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
7
GIỚI THIỆU
An ninh thông tin là gì?
Thông tin là một loại tài sản giống nhưmọi tài sản khác của tổchức, vì vậy cần được bảo vệsao cho
trong mọi trường hợp các hoạt động nghiệp vụvẫn diễn ra bình thường. Thông tin có thểtồn tại dưới
nhiều hình thức: trên giấy, các phương tiện lưu trữtừ, được truyền dẫn đi xa, ... An ninh thông tin
được định nghĩa qua ba yêu cầu sau:
a) Tính tin cậy (confidentiality): đảm bảo thông tin chỉcó thểđược truy nhập bởi những người
được cấp quyền sửdụng (ensuring that information is accessible only to those authorized to have
access);
b) Tính toàn vẹn (integrity): bảo vệsựchính xác và đầy đủcủa thông tin và các phương pháp xử
lý (safeguarding the accuracy and completeness of information and processing methods).
c) Tính sẵn sàng (availability): đảm bảo những người được cấp quyền có thểtruy nhập thông tin
và các tài sản liên quan ngay khi có nhu cầu (ensuring that authorized users have access to
information and associated assets when required).
Tại sao an ninh thông tin là cần thiết?
Thông tin và các quá trình trợgiúp, các hệthống và các mạng là các tài sản quan trọng của tổchức.
Tính tin cậy, tính toàn vẹn và tính sẵn sàng của thông tin là yêu cầu cơbản đểđảm bảo sựhoạt động
bình thường của tổchức. Tổchức và các hệthống thông tin của nó luôn phải đối mặt với các nguy
cơan ninh (security threats) từmôi trường nhưhacker, viruses, tấn công từchối dịch vụ, các sai lỗi
của người dùng, cháy nổ, lũlụt… Các điểm đểtừđó các nguy cơbên ngoài và bên trong tổchức có
thểthâm nhập làm hỏng hệthống thông tin được gọi là các điểm dễtổn thương (vulnerabilities). Vì
vậy cần phải bịt cácđiểm dễtổn thương này bằng các kiểm soát (controls). Các kiểm soát này có thể
là các biện pháp kỹthuật, biện pháp hành chính phù hợp với tổchức. Đểthực hiện các kiểm soát
này, tổchức cần sựtham gia của tất cảnhân viên và các nhà quản lý trong tổchức, các khách hàng,
các nhà cung cấp của tổchức, các cổđông (stakeholders) của tổchức.
Xácđịnh các yêu cầu an ninh nhưthếnào?
Tổchức cần phải xác định được các yêu cầu an ninh của mình, có ba nguồn có thểgiúp đưa ra các
yêu cầu an ninh nhưsau:
Thứnhất, là các rủi ro phát sinh trong tổchức (assessing risks to the organization). Thông qua
việc đánh giá rủi ro, các nguy cơđối với tài sản được xác định, các điểm dễtổn thương và khả
năng xuất hiện của nó cũng được đánh giá, các ảnh hưởng tiềm tàng được ước lượng.
Thứhai, là các rủi ro phát sinh từsựkhông tuân thủcác yêu cầu của luật pháp (luật bảo vệthông
tin cá nhân, luật sởhữu trí tuệ, …), các yêu cầu vềhợp đồng, … mà một tổchức và các đối tác
của nó phải đáp ứng.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
8
Thứba, là rủi ro phát sinh từcác nguyên tắc, thủtục, tiêu chuẩn xửlý thông tin mà tổchức xây
dựng đểphục vụcho các hoạt động của nó.
Đánh giá rủi ro an ninh (Assessing security risks)
Các yêu cầu an ninh được định danh bởi một phương pháp luận đánh giá rủi ro an ninh (methodical
assessment of security risks). Sựđánh giá này là cơsởđểxác định và mua sắm, xây dựng các kiểm
soát, vì vậy đòi hỏi phải đúng đắn, chính xác. Các kỹthuật đánh giá có thểáp dụng cho toàn bộtổ
chức, một phần tổchức, các thành phần của hệthống hoặc chỉriêng một dịch vụ. Đánh giá rủi ro
một cách hệthống bao gồm hai điểm sau:
a) Đánh giá các thiệt hại nghiệp vụ(business harm) là hậu quảcủa một sựcốan ninh (security
failure), có xét đến các hậu quảtiềm tàng từviệc mất tính tin cậy, tính toàn vẹn và tính sẵn sàng của
thông tin và các tài sản khác.
b) Đánh giá khảnăng hiện thực xảy ra một sựcốnhưvậy trong sựphối hợp của các nguy cơ
(threats), cácđiểm dễbịtổn thương (vulnerabilities) và các kiểm soát (controls) đã được thực hiện.
Các kết quảđánh giá này sẽgiúp cho việc hướng dẫn và xác định các biện pháp quản lý thích
hợp, xác định các ưu tiên đối với việc quản lý rủi ro an ninh thông tin, xác định các các kiểm soát
được chọn lựa đểchống lại các rủi ro. Tiến trình đánh giá rủi ro và chọn lựa các kiểm soát có thể
phải lặp đi lặp lại một sốlần.
Thực hiện soát xét định kỳcác rủi ro an ninh và các kiểm soát được cài đặt nhằm:
a) Kiểm tra sựthích hợp của các biện pháp an ninh thông tin đối với các thay đổi yêu cầu nghiệp vụ
và các ưu tiên.
b) Xác định các nguy cơvà các điểm dễ tổn thương mới.
c) Kiểm tra tính hiệu quảvà tính thích hợp của các kiểm soát hiện tại.
Việc soát xét này được thực hiện dựa trên kết quảcủa đánh giảrủi ro đã làm gần đây nhất và
thường căn cứtrên mức rủi ro cao, đểtập trung nguồn lực đối phó với các rủi ro này.
Chọn lựa các kiểm soát (Selecting controls)
Ngay khi các yêu cầu an ninh được xác định, các kiểm soát phải được chọn lựa và được cài đặt để
đảm bảo các rủi ro được giảm bớt tới mức có thểchấp nhận. Các kiểm soát có thểđược chọn lựa từ
tài liệu này hoặc từnơi khác, hoặc các kiểm soát mới có thểđược thiết kếđểđáp ứng cho các yêu
cầu cụthểmột cách thích hợp. Có nhiều cách khác nhau đểquản lý rủi ro và tài liệu này cung cấp
một sốví dụ. Tuy nhiên, điều cần thiết là phải nhận biết được kiểm soát nào thích hợp đối với các hệ
thống thông tin hoặc đối với tổchức của bạn.
Ví dụ, phần 8.1.4 mô tảviệc phân chia trách nhiệm đểngăn chặn các gian lận và sai phạm có
thể. Tuy nhiên, cách này có thểkhông phù hợp với các tổchức quy mô nhỏ, vì vậy các tổchức loại
này có thểdùng các kiểm soát khác thích hợp hơn.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
9
Hay trong phần 9.7 và 12.1 mô tảviệc giám sát hệthống đểtập hợp các chứng cứ. Các công cụ
dùng ởđây có thểvi phạm các quy định của pháp luật vềbảo vệquyền riêng tưcủa thông tin cá
nhân, vì vậy việc sửdụng nó ởmức độnào đó là phải cân nhắc. Đồng thời chi phí cho các kiểm soát
này cũng cần tính đến, nhưng không chỉcác yếu tốtài chính, các yếu tốphi tài chính nhưviệc mất
mát danh tiếng của tổchức cần được xét đến khi chọn lựa các kiểm soát.
Một sốkiểm soát trong tài liệu này có thểđược coi nhưcác nguyên tắc hướng dẫn việc quản lý
an ninh thông tin và có thểứng dụng cho phần lớn tổchức. Các kiểm soát này sẽđược nói đến chi
tiết ngay dưới đây trong mục “Điểm khởi đầu an ninh thông tin”.
Điểm khởi đầu an ninh thông tin (Information security starting point)
Một số kiểm soát có thể được coi nhưlà các nguyên tắc hướng dẫn để khởi đầu việc thực hiện an
ninh thông tin. Chúng có thể dựa trên các yêu cầu pháp luật hoặc có thể là sự đúc kết kinh nghiệm từ
thực tế.
Các kiểm soát từquan điểm pháp luật:
a) Bảo vệdữliệu và quyền riêng tưcủa thông tin cá nhân (xem 12.1.4).
b) Bảo vệsốsách của tổchức (xem 12.1.3);
c) Tuân thủcác quyền sởhữu trí tuệ(xem 12.1.2);
Các kiểm soát đúc kết từkinh nghiệm:
a) Tài liệu vềchính sách an ninh thông tin (xem 3.1);
b) Chỉđịnh trách nhiệm vềan ninh thông tin (xem 4.1.3);
c) Đào tạo vềan ninh thông tin (xem 6.2.1);
d) Báo cáo các sựcốan ninh thông tin (xem 6.3.1);
e) Quản lý liên tục nghiệp vụ(xem 11.1).
Các kiểm soát này có thểứng dụng được cho phần lớn các tổchức và môi trường khác nhau. Cần
phải nhấn mạnh rằng mọi kiểm soát trong tài liệu này đều quan trọng, nhưng sự thích hợp của bất cứ
kiểm soát nào cũng phải được xác định trong hoàn cảnh các rủi ro cụ thể mà tổ chức phải đối mặt.
Mặc dù cách tiếp cận trên được coi nhưmột điểm khởi đầu tốt nhưng nó không thay thếcho sựlựa
chọn các kiểm soát dựa trên đánh giảrủi ro.
Các yếu tố thành công quyết định (Critical success factors)
Kinh nghiệm đã thể hiện rằng các yếu tố sau thường đóng vai trò rất quan trọng đối với sự thành
công của một tổ chức trong việc thực hiện an ninh thông tin:
a) Chính sách an ninh tốt được soạn thảo dựa trên việc đạt được các mục đích nghiệp vụcủa tổchức;
b) Cách tiếp cận đểthực thi các yêu cầu an ninh nhất quán với văn hoá của tổchức;
c) Các trợ giúp hiệu quảvà sự cam kết từcác cấp quản lý;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
10
d) Một sự hiểu biết tốt về các yêu cầu an ninh, về đánh giá rủi ro và quản lý rủi ro
e) Phổ biến vấn đề an ninh thông tin tới tất cả các nhà quản lý và các nhân viên;
f) Phổ biến các nội dung nội dung của chinh sách an ninh thông tin và các tiêu chuẩn của nó tới mọi
nhân viên và những người liên quan với tổchức;
g) Tổchức thích hợp các khoá học vềan ninh thông tin;
h)Đánh giá thường xuyên vềhiệu quảcủa chinh sách và các thực thi an ninh thông tin từđó rút kinh
nghiệm và cải tiến liên tục;
Xây dựng các nguyên tắc riêng của tổchức
(Developing your own guidelines)
Tài liệu này chỉcó thểcoi nhưđiểm khởi đầu đểxây dựng chinh sách an ninh thông tin. Không phải
tất cảcác hướng dẫn trong đây đều có thểứng dụng. Hơn nữa, các kiểm soát thực tếcó thểkhác
nhiều so với ởđây. Vì vậy chỉnên coi tài liệu này nhưmột tài liệu khung vềan ninh thông tin.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
11
NỘI DUNG CHUẨN ISO 17799
1. Phạm vi (Scope)
Tiêu chuẩn này đưa ra các gợi ý vềquản lý an ninh thông tin cho một tổ chức, tổ chức tự khởi đầu,
tự cài đặt và tự bảo trì an ninh. Tài liệu chú trọng cung cấp một cơsởđểxây dựng các tiêu chuẩn an
ninh thông tin và hướng dẫn thực thi hiệu quảcác tiêu chuẩn đó. Tài liệu cũng nhấn mạnh các biện
pháp bảo đảm an ninh thông tin thông qua sựphối hợp của nhiều tổchức. Các khuyến cáo ởđây cần
được lựa chọn và sửdụng phù hợp với các quy định của luật pháp và theo thông lệ.
2. Khái niệm và định nghĩa (Terms and definitions)
Phù hợp với mục đích của tài liệu này, ta có các định nghĩa sau.
2.1. An ninh thông tin (Information security)
Là sự duy trì tính tin cậy, tính toàn vẹn và tính sẵn sàng của thông tin.
d) Tính tin cậy (confidentiality): đảm bảo thông tin chỉcó thểđược truy nhập bởi những người
được cấp quyền sửdụng;
e) Tính toàn vẹn (integrity): bảo vệsựchính xác và đầy đủcủa thông tin và các phương pháp xửlý;
f) Tính sẵn sàng (availability): đảm bảo những người được cấp quyền có thểtruy nhập thông tin và
các tài sản liên quan ngay khi có nhu cầu.
2.2. Đánh giá rủi ro (Risk assessment)
Đánh giá về các nguy cơvà ảnh hưởng của nó, các điểm dễ tổn thương của hệthống thông tin và các
thiết bị xử lý, đánh giá khả năng xuất hiện của các nguy cơ.
2.3. Quản lý rủi ro (Risk management)
Quá trình xác định, kiểm soát, tối thiểu hoá hoặc loại bỏ các rủi ro an ninh có thể ảnh hưởng tới hệ
thống thông tin với chi phí có thể chấp nhận.
3. Chính sách an ninh thông tin (Security policy)
3.1. Chính sách an ninh thông tin (Information security policy)
Mục đích: cung cấp các phương hướng và trợ giúp vềmặt quản lýđối với an ninh thông tin.
Các cấp quản lý cần thiết lập một chính sách rõ ràng với các quy định vềtrợgiúp hiệu quả, chính
sách là cam kết của cấp quản lý vềan ninh thông tin, chính sách được duy trì thường xuyên và cập
nhật định kỳ.
3.1.1. Tài liệu chính sách an ninh thông tin (Information security policy document)
Một tài liệu phải được phê chuẩn, được xuất bản và được quảng bá thích hợp tới tất cả mọi người.
Nó tuyên bố các cam kết của cấp quản lý và thiết lập một cách tiếp cận quản lý an ninh thông tin phù
hợp đối với tổchức. Tối thiểu, tài liệu phải bao hàm các nội dung sau:
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
12
a) Một định nghĩa về an ninh thông tin, định nghĩa phải bao hàm các mục tiêu và phạm vi, tầm quan
trọng của an ninh thông tin, và cuối cùng, nhưlà một cơchế cho phép chia sẻ thông tin (xem phần
giới thiệu);
b) Một báo cáo về mục đích quản lý, trợ giúp các mục tiêu và nguyên lý của an ninh thông tin;
c) Một diễn giải vắn tắt về các chính sách an ninh, các nguyên lý, các tiêu chuẩn và các tuân thủ yêu
cầu, ví dụ:
1) Tuân thủ các yêu cầu luật pháp và các yêu cầu ký kết hợp đồng;
2) Các yêu cầu đào tạo về an ninh;
3) Ngăn ngừa và phát hiện viruses và các phần mềm nguy hiểm;
4) Quản lý liên tục nghiệp vụ;
5) Hậu quả của các vi phạm chính sách an ninh;
d) Một định nghĩa về trách nhiệm chung và riêng đối với quản lý an ninh thông tin, và trách nhiệm
báo cáo các sựcốan ninh;
e) Tham chiếu tới các tài liệu trợ giúp chính sách, ví dụ, các chính sách an ninh chi tiết hơn, các thủ
tục đối với các hệ thống thông tin cụ thể hoặc các quy tắc an ninh mà người dùng phải tuân thủ.
Cuối cùng chính sách phải được phổ biến tới tất cả mọi người trong tổ chức.
3.1.2. Soát xét và đánh giá (Review and evaluation)
Phải có người chịu trách nhiệm về việc bảo trì chính sách và soát xét tài liệu theo một quy định rõ
ràng. Tiến trình soát xét phải đảm bảo chính sách an ninh luôn luôn đáp ứng bất cứ thay đổi nào từ
các đánh giá rủi ro hoặc các thay đổi hạ tầng kỹthuật. Việc soát xét phải được lập lịch thực hiện
định kỳ với nội dung nhưsau:
a) Hiệu quả của chính sách, được làm sảng tỏbởi bản chất, số lượng và ảnh hưởng của các sự cố an
ninh đã ghi chép lại được;
b) Chi phí và ảnh hưởng của các kiểm soát đối với hiệu quả nghiệp vụ;
c) Hiệu quả của chính sách trước các thay đổi công nghệ.
4. An ninh tổ chức (Organizational security)
4.1. Hạ tầng an ninh thông tin (Information security infrastructure)
Mục đích: Để quản lý an ninh thông tin bên trong tổ chức.
Một khung quản lý được thiết lập để khởi đầu và kiểm soát sự thực thi an ninh thông tin bên trong tổ
chức. Các kênh thông tin với lãnh đạo được thiết lập để phê chuẩn chính sách an ninh thông tin, để
bổ nhiệm các vai trò an ninh và cùng điều phối sự thực thi an ninh trong tổ chức. Nếu cần thiết, một
bộ phận tưvấn về an ninh thông tin được thiết lập và luôn sẵn sàng trong tổ chức, phối hợp với các
chuyên gia an ninh bên ngoài để kịp thời nắm bắt các khuynh hướng công nghiệp, giám sát các tiêu
chuẩn và đánh giá các phương pháp, liên lạc các bên phối hợp khi giải quyết các sự cố an ninh. Một
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
13
cách tiếp cận đa chiều đối với an ninh thông tin được khuyến khích nhằm giải quyết vấn đề này từ
nhiều góc độ.
4.1.1. Diễn đàn an ninh thông tin của cấp quản lý (Management information security forum)
An ninh thông tin là một trách nhiệm nghiệp vụ được chia sẻ giữa tất cả các thành viên của cấp quản
lý. Một diễn đàn đảm bảo mỗi thành viên có thể chia sẻ vấn đề này với các thành viên khác, đồng
thời thấu hiểu ý tưởng và suy nghĩ của những thành viên khác. Diễn đàn phải xúc tiến an ninh trong
tổ chức thông qua việc huy động các nguồn lực với một sự cam kết thích hợp. Diễn đàn là một thành
phần của cơcấu quản lý của tổ chức. Một cách điển hình, diễn đàn phải thoả mãn:
a) Xét duyệt và chấp thuận chính sách an ninh thông tin, đồng thời đưa ra các trách nhiệm tổng thể;
b) Giám sát các diễn biến của tài sản thông tin trước các nguy cơnghiêm trọng;
c) Soát xét và giám sát các sự cố an ninh thông tin;
d) Chấp thuận các khởi động chính để tăng cường an ninh thông tin.
Một nhà quản lý phải chịu trách nhiệm chính về tất cả các hoạt động liên quan đến an ninh thông tin,
ví dụ, một giámđốc thông tin (CIO).
4.1.2. Đồng điều phối an ninh thông tin (Information security co-ordination)
Trong một tổ chức lớn, một diễn đàn đa chức năng (cross-functional forum) gồm các đại diện quản
lý từ các thành phần liên quan của tổ chức có thể là cần thiết để đồng điều phối sự thực thi các chính
sách an ninh thông tin. Một cách điển hình, một diễn đàn nhưvậy phải:
a) Thoả thuận các trách nhiệm và vai trò cụ thể về an ninh thông tin trong tổ chức;
b) Thoả thuận các phương pháp luận và tiến trình thực hiện cụ thể về an ninh thông tin, ví dụ, các
phương pháp đánh giá rủi ro, các hệ thống phân loại an ninh;
c) Thoả thuận và trợ giúp các hành động an ninh thông tin trên toàn bộ tổ chức;
d)Đảm bảo an ninh là một thành phần của tiến trình lập kế hoạch thông tin;
e) Đánh giá sự thích hợp và đồng phối hợp thực thi các kiểm soát an ninh thông tin cụ thể đối với
các hệ thống mới hoặc các dịch vụ mới;
f) Soát xét các sự cố an ninh thông tin;
g) Quảng bá các trợ giúp an ninh thông tin trên toàn thểtổ chức.
4.1.3. Chỉ định các trách nhiệm an ninh thông tin (Allocation of information security
responsibilities)
Trách nhiệm bảo vệ các tài sản và thực hiện các tiến trình an ninh cụ thể phải được định nghĩa rõ
ràng. Chính sách an ninh thông tin (xem mục 3) phải cung cấp sự hướng dẫn tổng quan về việc chỉ
định các vai trò an ninh và trách nhiệm tương ứng trong tổ chức. Đồng thời nó phải đưa ra, khi cần
thiết, một hướng dẫn cụ thể hơn đối với các lĩnh vực, các hệ thống và các dịch vụ riêng biệt. Các
trách nhiệm cục bộ về các tài sản và thông tin cá nhân, về các tiến trình an ninh, nhưlập kế hoạch
liên tục nghiệp vụ, phải được định nghĩa rõ ràng. Trong nhiều tổ chức, một nhà quản lý an ninh
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
14
thông tin được bổ nhiệm để chịu toàn bộ tránh nhiệm về việc xây dựng, thực thi các chính sách an
ninh và lựa chọn các kiểm soát. Tuy nhiên, trách nhiệm cung cấp các nguồn lực và thực thi các kiểm
soát thường được dành cho các nhà quản lý cụthểkhác. Những ai là chủ sử dụng tài sản thông tin
nào thì sẽ chịu tránh nhiệm hàng ngày về an ninh của tài sản đó.
Chủ sử dụng các tài sản thông tin có thể uỷ nhiệm trách nhiệm đảm bảo an ninh cho các nhà
quản lý cấp dưới hoặc cho các nhà cung cấp dịch vụ. Tuy nhiên, trách nhiệm cuối cùng về an ninh
vẫn phải do chủ sử dụng tài sản chịu. Điều cơbản là các lĩnh vực mà mỗi nhà quản lý chịu trách
nhiệm phải được xác định rõ ràng:
a) Các tài sản khác nhau và các tiến trình an ninh liên quan với mỗi hệ thống cụthểphải được xác
định rõ ràng;
b) Nhà quản lý chịu trách nhiệm về mỗi tài sản và mỗi tiến trình an ninh phải được chỉđịnh và chi
tiết trách nhiệm phải được tài liệu hoá.
c) Mức cấp phép (authorization level) phải được định nghĩa rõ ràng và được tài liệu hoá (xem vềcấp
phép ngay mục dưới đây).
4.1.4. Tiến trình cấp phép cho các thiết bị xử lý thông tin (Authorization process for
information processing facilities)
Một tiến trình cấp phép cho các thiết bị xử lý thông tin được thiết lập. Các kiểm soát sau được cân
nhắc.
a) Các thiết bị mới phải được phê chuẩn người sử dụng, được cấp phép đúng với mục đích sử dụng.
Sự phê chuẩn này cũng phải được nhà quản lý bộphận (chịu trách nhiệm an ninh thông tin tại bộ
phận thiết bịđược sửdụng) thông qua để đảm bảo chính sách an ninh và các yêu cầu liên quan đều
được đáp ứng.
b) Nếu cần thiết, thiết bịphải được kiểm tra để đảm bảo (phần cứng và phần mềm của thiết bị) tính
tương thích với các thành phần khác của hệ thống.
c) Sử dụng các thiết bịthông tin cá nhân để xử lý các thông tin nghiệp vụ và các kiểm soát kèm theo
thiết bịphải được cấp phép.
d) Sử dụng các thiết bị thông tin cá nhân tại nơi làm việc có thể gây ra các điểm dễ tổn thương mới,
vì thế phải được đánh giá và cấp phép. Các kiểm soát này là đặc biệt quan trọng trong môi trường
mạng.
4.1.5. Tưvấn an ninh thông tin từ các chuyên gia (Specialist information security advice)
Trường hợp tốt nhất là tổ chức có sẵn một nhà tưvấn an ninh thông tin có kinh nghiệm trong chính
tổchức của mình. Nhưng không phải tất cả các tổ chức đều có thểđáp ứng điều này. Trong trường
hợp này, một nhân viên được chỉ định đóng vai trò đồng phối hợp các tri thức và kinh nghiệm trong
tổ chức nhằm đảm bảo sự nhất quán trong các quyết định về an ninh. Người này cũng có thể tham
vấn các nhà tưvấn bên ngoài vềcác vấn đềcủa tổchức.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
15
4.1.6. Đồng phối hợp giữa các tổ chức (Co-operation between organizations)
Sựphối hợp với các nhà tưvấn luật, các nhà cung cấp dịch vụthông tin, viễn thông và các đối tác
khác cần được thực hiện thường xuyên đểđảm bảo xửlý nhanh nhất các sựcốan ninh. Tương tự,
quan hệvới các nhà tưvấn an ninh và các diễn đàn công nghiệp cũng nên được thiết lập.
Sựtrao đổi với các đối tác này cần được giới hạn trong sốnhững người có trách nhiệm đểtránh
lộthông tin.
4.1.7. Soát xétđộc lập về an ninh thông tin (Independent review of information security)
Tài liệu chính sách an ninh thông tin (xem 3.1) thiết lập chính sách và trách nhiệm thực thi an ninh
thông tin.
Sựthi hành các vấn đềan ninh thông tin phải được soát xét một cách độc lập nhằm đảm bảo các
thực thi này phản ánh đúng chính sách và đảm bảo tính khả thi và hiệu quả của nó (xem 12.2). Sự
soát xét nhưvậy phải được thực hiện bởi bộ phận kiểm soát nội bộ của tổ chức, bởi một nhà quản lý
độc lập hoặc một bên thứ ba.
4.2. An ninhđối với các truy nhập của bên thứ ba (Security of third party access)
Mục đích: đảm bảo an ninh các thiết bị xử lý thông tin của tổ chức và các thông tin được truy nhập
từbên thứ ba.
Truy nhập của bên thứ ba phải được kiểm soát. Khi bên thứ ba có nhu cầu truy nhập, một đánh
giá rủi ro được thực hiện để xác định tình trạng an ninh của việc truy nhập và xác định các yêu cầu
kiểm soát. Các kiểm soát được thoả thuận và được định nghĩa trong một hợp đồng với bên thứ ba.
Bên thứ ba có thể bao gồm sự tham gia của nhiều đối tác khác nhau.
4.2.1. Định danh các rủi ro từ truy nhập của bên thứ ba
(Identification of risks from third party access)
4.2.1.1. Kiểu truy nhập (Types of access)
Xác định kiểu truy nhập của bên thứ ba có tầm quan trọng đặc biệt. Ví dụ, rủi ro truy nhập qua một
kết nối mạng là khác với các rủi ro từ sự truy nhập trực tiếp. Có các kiểu truy nhập sau:
a) Truy nhập vật lý, ví dụ, bên thứba đến các văn phòng, các phòng máy tính,…;
b) Các truy nhập logic, ví dụ, truy nhập một CSDL, một hệ thống thông tin.
4.2.1.2. Lý do truy nhập (Reasons for access)
Một số lý do để bên thứ ba truy nhập vào hệ thống được kê ra dưới đây.
a) Các nhân viên hỗ trợ phần cứng hoặc phần mềm cần phải truy nhập vào hệ thống để bảo trì;
b) Các đối tác nghiệp vụ cần truy nhập vào hệ thống để trao đổi thông tin hoặc sử dụng chung
CSDL. Thông tin có thể bị nguy hiểm khi truy nhập nhưvậy. Khi bên thứ ba có nhu cầu truy nhập,
một đánh giá rủi ro được thực hiện để xác định tình trạng an ninh của việc truy nhập và xácđịnh các
yêu cầu kiểm soát, đồng thời xét kiểu truy nhập, giá trịcủa thông tin.
4.2.1.3. Các nhà cung cấp tại chỗ (On-site contractors)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
16
Bên thứba cũng có thểlà các nhà cung cấp dịch vụtại chỗ, những người này, thông qua hành động
của họ, cũng có thểlàm giảm an ninh của hệthống. Các ví dụvềbên thứba tại chỗ:
a) Các nhân viên trợp giúp và bảo trì phần cứng và phần mềm;
b) Những người làm vệsinh, cung cấp thực phẩm, nhân viên bảo vệvà những người làm dịch vụdo
tổchức thuê từbên ngoài khác;
c) Sinh viên thực tập và những người làm thời vụkhác;
d) Các nhà tưvấn.
Điều quan trọng là xác định các kiểm soát cần thiết đối với những người này nếu họcó nhu cầu truy
nhập hoặc sửdụng các thiết bịthông tin. Thông thường, các kiểm soát đối với hoạt động của bên
thứba được ghi ngay trong hợp đồng của họ(xem 4.2.2, 6.1.3). Bên thứba sẽkhông được truy nhập
cho đến khi tất cảcác hợp đồng ký kết với họđã hoàn tất, khi tất cảcác kiểm soát đã được thiết lập.
4.2.2. Các yêu cầu an ninh trong hợp đồng với bên thứba
(Security requirements in third party contracts)
Nhưđã nói ởtrên, các yêu cầu an ninh cần được xác định ngay trong hợp đồng tổchức ký kết với
bên thứba, các yêu cầu này phải tuân thủchính sách an ninh của tổchức, trong hợp đồng không có
điểm nào mù mờvềtrách nhiệm. Hợp đồng xác định rõ trong trường hợp nào tổchức có thểyêu cầu
bên thứba bồi thường thiệt hại khi các yêu cầu an ninh bịvi phạm. Các nội dung sau cần được ghi
trong hợp đồng:
a) Chính sách chung vềan ninh thông tin của tổchức;
b) Trách nhiệm bảo vệtài sản, bao gồm:
1) Các thủtục bảo vệtài sản của tổchức, gồm thông tin và phần mềm;
2) Các thủtục đểxác định liệu có sựdàn xếp vềtài sản hay không trong trường hợp, ví dụ, mất
hoặc sửa dữliệu;
3) Các kiểm soát đảm bảo bên thứba trảlại hoặc huỷbỏtài sản hoặc thông tin khi kết thúc hợp
đồng hoặc khi đến một thời điểm đã được thoảthuận;
4) Đảm bảo tính toàn vẹn và tính sẵn sàng của thông tin;
5) Các hạn chếđối với hoạt động của bên thứba đểtránh sao chép hoặc đểlộthông tin;
c) Mô tảvềcác dịch vụbên thứba cung cấp;
d) Điều kiện đểdịch vụcung cấp được chấp nhận và điều kiện đểdịch vụcung cấp không được
chấp nhận;
e) Giúp đỡnhân viên di chuyển một cách thích hợp (provision for the transfer of staff where
appropriate);
f) Trách nhiệm pháp lý tương ứng của bên thứba;
g) Nếu sựhợp tác với bên thứba ởmột nước khác thì hợp đồng phải xét đến sựkhác nhau của các
quyđịnh luật pháp vềcùng một vấn đề, từđó đưa đến cách hiểu thống nhất (xem 12.1);
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
17
h) Xem xét sựtuân thủluật sởhữu trí tuệ(IPRs) và quyền lợi vềbản quyền (xem 12.1.2), luật bảo
vệsựhợp tác (xem 6.1.3);
i) Thoảthuận các truy nhập, gồm:
1) Các phương pháp truy nhập được phép, kiểm soát việc sửdụng các user IDs và các mật khẩu;
2) Các quy trình cấp phép cho người dùng và các ưu tiên;
3) Duy trì một danh sách các cá nhân đã được cấp phép sửdụng dịch vụ, các quyền và ưu tiên của
mỗi người;
j) Định nghĩa các tiêu chuẩn kiểm tra tính hiệu quảcủa dịch vụdo bên thứba cung cấp, giám sát và
báo cáo;
k) Quyđịnh vềcác quyền giám sát và bác bỏcác hoạt động của người dùng;
l) Quyền kiểm soát trách nhiệm thực hiện hợp đồng, quyền này có thểgiao cho một bên thứba
khác thực hiện;
m) Trách nhiệm cài đặt và bảo trì các phần cứng và phần mềm;
n) Một quy trình sáng sủa đểquản lý thay đổi;
o) Các kiểm soát cần thiết và cơchếđảm bảo các kiểm soát đó được thực hiện;
p) Đào tạo người quản trị, người dùng vềcác thủtục an ninh;
q) Các kiểm soát chống lại các phần mềm phá hoại (xem 8.3);
r) Các báo cáo vềcác sựcốvà vi phạm an ninh;
s) Có thểký các hợp đồng con với bên thứba.
4.3. Chuyển giao công việc cho tổchức khác (Outsourcing)
Mục đích: đảm bảo an ninh thông tin khi chuyển giao việc xửlý thông tin cho một tổchức khác.
4.3.1. Các yêu cầu an ninh trong các hợpđồng chuyển giao công việc
(Security requirements in outsourcing contracts)
Các yêu cầu an ninh khi chuyển giao việc xửlý thông tin cho một tổchức khác cần được ghi nhận
trong hợp đồng với các lưu ý chính nhưsau:
a) Tuân thủcác yêu cầu của luật pháp, ví dụ, tuân thủcác yêu cầu của luật bảo vệdữliệu;
b) Cácđiều khoản trong hợp đồng đểđảm bảo các đối tác thực hiện trách nhiệm an ninh của họ;
c) Tính toàn vẹn và tính tin cậy của tài sản của tổchức được thực hiện nhưthếnào;
d) Các kiểm soát logic và vật lý nào được sửdụng đểgiới hạn truy nhập các thông tin nghiệp vụ
nhạy cảm của tổchức từcác đối tác (tất nhiên là những người được cấp phép của đối tác);
e) Tính sẵn sàng của dịch vụđược thực hiện nhưthếnào trong trường hợp xảy ra tai nạn hoặc sự
cố;
f) Mức an ninh vật lý nào được thực hiện đối với các thiết bịđược chuyển giao;
g) Các quyền kiểm soát;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
18
Các vấn đềđược xem xét trong 4.2.2 cũng được xét đến trong hợp đồng. Hợp đồng cũng đặt vấn đề
cho phép các yêu cầu an ninh được mởrộng thành một kế hoạch quản lý an ninh (security
management plan) giữa hai tổchức. Các hợp đồng chuyển giao có thểđặt ra nhiều vấn đềan ninh
phức tạp, nhưng các kiểm soát trong tài liệu này cũng có thểcoi là một khởi đầu tốt cho một kế
hoạch quản lý an ninh.
5. Kiểm soát và phân loại tài sản (Asset classification and control)
5.1. Trách nhiệm giải trình vềtài sản (Accountability for assets)
Mục đích: đảm bảo sựbảo vệthích hợp đối với tài sản của tổchức.
Tất cảcác tài sản thông tin đều phải được giải trình lý do tồn tại và phải được chỉđịnh một chủsử
dụng. Trách nhiệm giải trình này nhằm tạo điều kiện bảo vệvà bảo trì tài sản một cách thích hợp.
Chủsửdụng được xác định và chịu trách nhiệm hoàn toàn trong việc bảo trì và kiểm soátđối với tài
sản. Trách nhiệm giải trình được chỉđịnh cho chủsửdụng tài sản.
5.1.1. Kiểm kê tài sản ( Inventory of assets)
Kiểm kê tài sản là công việc quan trọng đểquản lý rủi ro. Một tổchức cần phải định danh các tài
sản, tầm quan trọng và giá trịtương đối của các tài sản của tổchức. Căn cứthông tin này, tổchức có
thểđưa ra các mức bảo vệphù hợp với giá trịvà tầm quan trọng của tài sản. Mỗi tài sản phải được
định danh rõ ràng, chủsửdụng và phân loại an ninh được tài liệu hoá, vịtrí của tài sản được xác
định. Các ví dụ về tài sản:
a) Các tài sản thông tin: CSDL và các tệp dữ liệu, các tài liệu hệ thống, các sách hướng dẫn người sử
dụng, các phương tiện đào tạo, các thủ tục trợ giúp và vận hành, các kế hoạch ngiệp vụ,…
b) Các tài sản phần mềm: phần mềm ứng dụng, phần mềm hệthống, các công cụ và tiện ích phát
triển;
c) Các tài sản vật lý: thiết bịmáy tính (bộxửlý, màn hình, laptops, modems), thiết bịtruyền thông
(routers, PABXs, máy fax), thiết bịtừ(băng và đĩa), các thiết bịkỹthuật khác (ổn áp, máy điều
hoà),…
d) Các dịch vụ: các dịch vụmáy tính và truyền thông, ...
5.2. Phân loại tài sản thông tin (Information classification)
Mục đích: đảm bảo tài sản thông tinđược gán mức bảo vệthích hợp.
Tài sản thông tin được phân loại đểxác định nhu cầu sửdụng, các ưu tiên và mức bảo vệ. Tài sản
thông tin cũng được xác định mức nhạy cảm và mức quyết định (critical) đối với tổchức. Một số
mục thông tin có thểyêu cầu các mức bảo vệphụhoặc cách xửlý đặc biệt (special handling). Hệ
thống phân loại thông tin được sửdụng đểđịnh nghĩa mức bảo vệthích hợp cho mỗi tài sản thông
tin.
5.2.1. Hướng dẫn phân loại (Classification guidelines)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
19
Phân loại thông tin và thực hiện các kiểm soát liên quan phản ánh nhu cầu nghiệp vụchia sẻhoặc
hạn chếsửdụng thông tin và các ảnh hưởng nghiệp vụliên quan đến nhu cầu ấy. Nói chung, việc
phân loại và gán nhãn cho tài sản thông tin là phương pháp nhanh chóng xác định các thông tin đó
được xửlý và bảo vệnhưthếnào.
Thông tin và các kết quảxửlý của hệthống được gán nhãn theo hai tiêu chí là giá trị (value) và
độnhạy cảm (sensitivity) đối với tổchức. Có thểsửdụng thêm một tiêu chí nữa độquyết định
(critical) của thông tin đối với tổchức. Thông tin, sau một thời gian nhất định, sẽmất độnhạy cảm
hoặc hết hạn, ví dụ, khi thông tin đã được công khai. Các hướng dẫn phân loại phải tiên đoán và
tính đến một thực tếlà sựphân loại thông tin không cốđịnh theo thời gian mà có thểthay đổi cho
phù hợp với sựthayđổi của chính sách (xem 9.1).
Trách nhiệm đưa ra cách phân loại thông tin, ví dụ, phân loại một tài liệu, một báo cáo, một tệp
dữliệu, … trách nhiệm soát xét định kỳcách phân loại cần được giao cho một hoặc một nhóm
người.
5.2.2. Gán nhãn và xử lý thông tin (Information labelling and handling)
Thiết lập các thủtục đểgán nhãn thông tin phù hợp với sơđồphân loại. Các thủtục này xét đến tất
cảtài sản dưới dạng vật lý hoặc dạng phi vật lý. Với mỗi sựphân loại, các thủtục xửlý phải được
định nghĩa đểbao quát tất cảcác hoạt động xửlý thông tin sau:
a) Sao chép;
b) Lưu trữ;
c) Truyền tin theo đường bưu điện, fax, và email;
d) Truyền tin bằng giọng nói (mobile, voicemail, …);
e) Huỷthông tin;
Thông tin từkết quảxửlý của hệthống có thểđược phân loại theo độnhạy cảm hoặc độquyết định
và được gán nhãn thích hợp với nội dung trong 5.2.1. Các mục thông tin được gán nhãn là các báo
cáo được in từhệthống, các thiết bịlưu trữ(CD, băng từ, …), các tệp dữliệu, … Lưu ý tài sản
thông tin nói chung chỉtồn tại dưới hai dạng, dạng vật lý và dạng phi vật lý, vì vậy cần các loại nhãn
thích hợp.
6. An ninh cá nhân (Personnel security)
6.1. An ninh trongđịnh nghĩa công việc và nguồn lực
(Security in job definition and resourcing)
Mục đích: giảm bớt rủi ro do sai lỗi của con người.
Trách nhiệm an ninh phải được xác định rõ ngay khi tuyển nhân viên mới, trách nhiệm được ghi
trong hợp đồng, được giám sát trong công việc của mỗi người. Các nhân viên mới được giám sátđầy
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
20
đủ(xem 6.1.2) đặc biệt đối với các công việc nhạy cảm. Tất cảcác nhân viên và người sửdụng bên
thứba các thiết bịxửlý thông tin phải ký cam kết đảm bảo an ninh thông tin.
6.1.1. Gắn kết an ninh trong trách nhiệm đối với công việc
(Including security in job responsibilities)
Vai trò và trách nhiệm an ninh, nhưđã được quy định trong chính sách an ninh của tổchức (xem
3.1) được tài liệu hoá một cách thích hợp. Tài liệu quy định thực hiện an ninh gắn kết trong trách
nhiệm với công việc.
6.1.2. Thẩm tra hồsơcá nhân và chính sách (Personnel screening and policy)
Thực hiện các kiểm soát sau đểthẩm tra hồsơcá nhân:
a) Kiểm tra tính cách cá nhân có đáp ứng yêu cầu công việc;
b) Kiểm tra tính đầy đủvà tính chính xác của hồsơ;
c) Xác nhận văn bằng và phẩm chất nghềnghiệp;
d) Kiểm tra CMT, hộchiếu, …
Đối với nhân viên tại vịtrí công việc được tiếp xúc với các thông tin nhạy cảm thì tổchức phải thực
hiện kiểm tra lòng tin (credit check) của người thực hiện việc đó, việc kiểm tra lòng tin này cần được
thực hiện định kỳ. Một quy trình thẩm tra tương tựcũng được áp dụng đối với các nhà cung cấp
(contractors) và các nhân viên tạm thời (temporary staff).
6.1.3. Các thoả thuận về tính tin cậy (Confidentiality agreements)
Các nhân viên khi mới gia nhập tổchức thường ký kết các thoảthuận vềtính tin cậy hoặc không để
lộbí mật thông tin nhạy cảm của tổchức, các thoảthuận này được coi nhưlà một phần trong điều
kiện làm việc tại tổchức. Các nhân viên thời vụ(casual staff) và nhưng người dùng bên thứba
không bịràng buộc bởi những thoảthuận này thì cần ký kết tuân thủcác điều kiện tin cậy khác đểcó
thểtruy nhập thông tin của tổchức. Các thoảthuận vềtính tin cậy cần được soát xét khi có các thay
đổi vềđiều kiện sửdụng lao động hoặc các hợp đồng, đặc biệt khi các nhân viên rời khỏi tổchức
hoặc các hợp đồngđã hết hạn.
6.1.4. Điều kiện sửdụng lao động (Terms and conditions of employment)
Điều kiện sửdụng lao động cần xác định chính xác trách nhiệm của nhân viên đối với an ninh thông
tin. Ởnhững vịtrí nhất định, trách nhiệm đó cần được tiếp tục một thời gian sau khi nhân viên đã
thôi công việc. Các hành động thích hợp sẽđược áp dụng nếu nhân viên không đếm xỉa gì tới các
yêu cầu an ninh, quy định vềcác hành động nhưvậy cần được soạn thảo. Trách nhiệm pháp lý của
nhân viên và các quyền của họ, ví dụ, đối với các luật bản quyền hoặc luật bảo vệdữliệu, cần được
làm sáng tỏtrong điều kiện sửdụng lao động. Trách nhiệm quản lý dữliệu của người sửdụng lao
động cần được đưa vào đây. Khi thích hợp, điều kiện sửdụng lao động được mởrộng ra các hình
thức lao động bên ngoài tổchức nhưlao động tại nhà chẳng hạn (xem thêm 7.2.5 và 9.8.1).
6.2. Đào tạo người dùng (User training)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
21
Mục đích: đểngười dùng hiểu các nguy cơan ninh và các vấn đềliên quan.
Cần tổchức các khoá đào tạo vềchính sách an ninh của tổchức cho tất cảmọi người trong tổchức,
đồng thời đào tạo các thủtục an ninh và cách thức sửdụng đúng đắn các thiết bịxửlý thông tin để
tối thiếu hoá các rủi ro an ninh.
6.2.1. Đào tạo an ninh thông tin (Information security education and training)
Tất cảcác nhân viên của tổchức và những người liên quan, nhưcác nhân viên của tổchức thứba,
cần được đào tạo thích hợp vềchính sách và các thủtục an ninh của tổchức. Nội dung đào tạo gồm
các yêu cầu an ninh, trách nhiệm pháp lý và các kiểm soát nghiệp vụ, cách sửdụng đúng đắn các
thiết bịxửlý thông tin, ví dụthủtục đăng nhập, sửdụng phần mềm.
6.3. Phản ứng lại các sựcốan ninh và sai hỏng chức năng
(Responding to security incidents and malfunctions)
Mục đích: đểtối thiếu hoá thiệt hại do các sựcốan ninh và do làm sai chức năng, đểgiám sát và học
hỏi, rút kinh nghiệm từcác sựcốđó.
Các sựcốan ninh cần được tổng hợp thông qua một kênh quản lý thích hợp và phải nhanh đến
mức có thể. Tất cảcác nhân viên và nhà cung cấp cần biết thủtục báo cáo các loại sựcốkhác nhau
(vi phạm an ninh, nguy cơ, làm sai chức năng,…) có thểảnh hưởng đến an ninh thông tin của tổ
chức. Họcũng báo cáo tất cảcác sựcốmà họ thấy, hoặc họnghi ngờmột cách nhanh nhất đến điểm
liên lạc đã chỉđịnh. Tổchức cũng thiết lập các quy định kỷluật đối với các trường hợp vi phạm các
yêu cầu an ninh. Cần tìm cách tập hợp nhanh nhất các bằng chứng vềsựcốngay sau khi sựcốxảy
ra (xem 12.1.7).
6.3.1. Báo cáo các sự cố an ninh (Reporting security incidents)
Các sự cố an ninh cần đuợc tổng hợp thông qua một kênh quản lý thích hợp nhanh đến mức có thể.
Thiết lập thủtục báo cáo hình thức (formal reporting procedure), cùng với thủtục giải quyết sựcố
(incident response procedure) đểcó thểnhanh chóng giải quyết sựcố. Tất cảcác nhân viên và các
nhà cung cấp cần hiểu biết vềthủtục báo cáo sựcốan ninh và báo cáo các sựcốđó nhanh nhất có
thể. Các quy trình phản hồi phù hợp được thực hiện để thông báo nhanh chóng thông tin vềsựcố
sau khi đã giải quyết.
Các sựcốnhưvậy cần được tổng kết lại đểlàm tài liệu đào tạo nhân viên (xem 6.2), hướng dẫn
cách giải quyết sựcốvà làm thếnào đểtránh xảy ra các sựcốnhưvậy trong tương lai (xem 12.1.7).
6.3.2. Báo cáo các yếu kém an ninh (Reporting security weaknesses)
Người dùng các dịch vụthông tin được yêu cầu chú ý và báo cáo bất cứyếu kém an ninh nào mà họ
quan sát được hoặc họnghi ngờ, hoặc các nguy cơcó thểcó đối với hệthống hoặc dịch vụ. Các báo
cáo nhưvậy cần gửi tới cấp quản lý của họhoặc tới nhà cung cấp dịch vụ nhanh nhất có thể. Người
dùng được khuyến cáo trong bất cứhoàn cảnh nào cũng không nên tìm cách chứng minh các yếu
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
22
kém mà họnghi ngờcó thực sựlà một điểm yếu an ninh hay không, vì điều này có thểbịlạm dụng
đểcan thiệp vào hệthống.
6.3.3. Báo cáo các sai hỏng chức năng của phần mềm (Reporting software malfunctions)
Thiết lập các thủtục báo cáo các sai hỏng chức năng của phần mềm. Các hành động sau cần được
thực hiện.
a) Các triệu chứng của vấn đềvà bất cứthông báo nghi ngờnào xuất hiện trên màn hình cũng cần
phải chú ý.
b) Các máy tính cần được cô lập nếu có thểvà ngừng sửdụng. Các hành động cảnh báo được thực
hiện tức thì. Nếu máy tính được kiểm tra thì cần tách nó ra khỏi mạng của tổchức trước khi khởi
động lại thiết bị. Các đĩa mềm của máy tính này không nên chuyển cho máy tính khác.
c) Vấn đềcần được báo cáo ngay cho người quản lý an ninh thông tin.
Người dùng không được xoá (remove) các phần mềm bịnghi ngờtrừkhi được phép làm như
vậy. Các nhân viên được đào tạo và có kinh nghiệm thích hợp sẽthực hiện các công việc này.
6.3.4. Học hỏi từ các sự cố (Learning from incidents)
Cần thiết lập các phương pháp cho phép phân loại, xác định độlớn, xác định chi phí của các sựcố
và sai hỏng chức năng. Kết quả thực hiện được ghi nhận lại và được sửdụng đểsửa hoặc nâng cấp
các kiểm soát, các chính sách an ninh nhằm giới hạn ởmức thấp nhất các sựcốtương tựtrong tương
lai.
6.3.5. Quy định về kỷ luật (Disciplinary process)
Cần soạn thảo các quy định vềkỷluật đối với các nhân viên vi phạm chính sách an ninh và thủtục
an ninh của tổchức (xem 6.1.4, vềlưu giữbằng chứng xem trong 12.1.7). Các quy định nhưvậy có
thểcoi nhưsựngăn ngừa từtrước các nhân viên coi thường yêu cầu an ninh của tổchức. Hơn nữa,
điều này đảm bảo sự công bằng khi xử lý kỷ luật các nhân viên bị nghi ngờ vi phạm chính sách an
ninh của tổ chức.
7. An ninh môi trường và an ninh vật lý (Physical and environmental security)
7.1. Vùng an ninh (Secure areas)
Mục đích: đểtránh các truy nhập không được cấp phép, các phá hoại vô ý hoặc cốý đến hệthống.
Các thiết bịxửlý thông tin nhạy cảm hoặc quan trọng cần phải được cất trong nhà, trong các vùng
an ninh (security areas), được bảo vệbởi một vành đai an ninh (security perimeter) có sựkiểm tra
vào ra, được bảo vệtránh các truy nhập không được phép. Sựbảo vệphải tương ứng với các rủi ro
đã được đánh giá.
7.1.1. Vành đai an ninh vật lý (Physical security perimeter)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
23
Vành đai an ninh được thiết lập xung quanh các điểm chứa thông tin nhạy cảm. Vịtrí và độcẩn
trọng của vành đai an ninh phụthuộc vào kết quảcủa bản đánh giá rủi ro. Các kiểm soát sau cần
được quan tâm:
a) Vành đai an ninh phải được xác định rõ ràng vềmặt ranh giới;
b) Vành đai phải vững chắc vềmặt vật lý;
c) Kiểm soát vào ra vành đai an ninh được thực hiện cẩn trọng, vào ra chỉgiới hạn với các cá nhân
được cấp phép.
d) Các vành đai, nếu cần thiết, phải được mởrộng từsàn nhà đến trần nhà đểtránh các truy nhập
không hợp pháp và tránh các tai hoạnhưlửa cháy hoặc lũlụt.
e) Mọi cửa vào ra vành đai đều phải có còi báo động.
7.1.2. Kiểm soát vào ra vật lý (Physical entry controls)
Thực hiện sựkiểm soát đểđảm bảo chỉnhững người được cấp quyền mới được phép vào vùng an
ninh. Các kiểm soát sau phải được thực hiện.
a) Khách thăm (visitor) vùng an ninh được làm rõ nhân thân và được giám sát, thời gian và hành
trình của họđược ghi nhận lại. Họchỉđược phép vào với mục đích cụthểvà được cấp phép theo các
yêu cầu an ninh hoặc theo các thủtục khẩn cấp.
b) Truy nhập các thông tin nhạy cảm, các thiết bịxửlý thông tin được kiểm soát và bịgiới hạn và
chỉdành cho những người được cấp phép. Các kiểm soát xác thực, ví dụkiểm soát chứng minh thư,
được sửdụng đểcấp phép khi truy nhập. Vết truy nhập được ghi nhận lại.
c) Tất cảmọi người phải có thẻnhận dạng khi vào ra.
d) Quyền truy nhập các vùng an ninh được duyệt và cập nhật đều đặn.
7.1.3. Các nhân viên an ninh, phòng làm việc và thiết bị (Securing offices, rooms and facilities)
Vùng an ninh và các phòng làm việc cần được khoá, các ngăn kéo và két sắt cũng được khoá. Lựa
chọn và thiết kếmột vùng an ninh cần tính đến các khảnăng xảy ra cháy, lụt, hoặc các tai biến khác.
Các vấn đềliên quan đến sức khoẻcon người, các tiêu chuẩn an toàn làm việc cũng cần lưu tâm.
Ngoài ra, cần đểý đến ảnh hưởng của các vùng đai an ninh bên cạnh, ví dụ, rò rỉnước từvùng an
ninh bên cạnh sang. Các kiểm soát sau cần được thực hiện.
a) Các thiết bịchính được quy định vịtrí đểtránh các truy nhập tựdo.
b) Các toà nhà cần kín đáo và không phô trương mục đích của nó, không có dấu hiệu nào rõ ràng,
bên trong cũng nhưbên ngoài toà nhà đểcó thểnhận biết các hoạt động xửlý thông tin.
c) Các thiết bịtrợgiúp, ví dụ, máy phôtô, máy fax, … được đặt trong vùng an ninh đểtránh sửdụng
tựdo.
d) Cửa ra vào và cửa sổphải được khoá khi không có người, bảo vệbên ngoài cần được quan tâm,
đặc biệt đối với các cửa sổsát mặt đất.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
24
e) Hệ thống phát hiện đột nhập được cài đặt quang vùng an ninh. Các vùng không có người kiểm
soát thì phải được gắn còi báo động suốt ngày đêm.
f) Cần quy định rõ ràng vềviệc bảo trì các thiết bịxửlý thông tin của tổchức với bên thứba.
g) Danh mục tài liệu và danh sách điện thoại nội bộliên quan đến việc quản lý các thiết bịxửlý
thông tin nhạy cảm phải được đểtại một vịtrí cốđịnh và được công khai trong tổchức.
h) Các thiết bịdễcháy, dễbắt lửa phải được đặt tại vịtrí có khoảng cách an toàn đối với vùng an
ninh. Các vật dụng văn phòng (giấy, bút, …) không được lưu trữtrong vùng an ninh.
i) Các thiết bịdựtrữvà phương tiện sao lưu phải được đặt tại vịtrí có khoảng cách an toàn so với vị
trí chính.
7.1.4. Làm việc trong vùng an ninh (Working in secure areas)
Các kiểm soát phụvà hướng dẫn có thểđược yêu cầu nhằm tăng cường an ninh cho vùng an ninh.
Các kiểm soát này cần tính đến các cá nhân và bên thứba làm việc tại vùng an ninh. Các kiểm soát
sau cần đuợc thực hiện.
a) Mỗi cá nhân chỉđược biết những thông tin cơbản nhất vềvùng an ninh khi làm việc trong đó.
b) Tránh đểbất cứai làm việc trong vùng an ninh mà không có giám sát vì cảlý do an toàn và để
tránh các cơhội cốý gây lỗi.
c) Các vùng an ninh chưa sửdụng cần được khoá và kiểm tra định kỳ.
d) Các bên thứba bịgiới hạn truy nhập vào vùng an ninh hoặc truy nhập các thiết bịxửlý thông tin
nhạy cảm, họchỉđược truy nhập khi có yêu cầu. Các truy nhập này được cấp phép và giám sát. Các
vành đai phụđểkiểm soát các truy nhập vật lý có thểlà cần thiết giữa các vùng với các yêu cầu an
ninh khác nhau trong cùng một vành đai an ninh.
e) Máy chụp ảnh, máy quay phim, máy ghi âm hoặc các thiết bịghi khác không được sửdụng trong
vành đai an ninh, trừkhi được cho phép.
7.1.5. Tách biệt vùng giao nhận (Isolated delivery and loading areas)
Vùng giao và nhận thiết bịcần được kiểm soát và, nếu có thể, cần cách ly với các thiết bịxửlý
thông tin đểtránh các truy nhập không được phép. Các yêu cầu an ninh cho vùng này cần được xác
định bằng một đánh giá rủi ro. Các kiểm soát sau được thực hiện.
a) Truy nhập vùng lưu trữ(access to a holding area) từbên ngoài toà nhà chỉđược giới hạn đối với
những người xác định và được cấp phép;
b) Nhập thiết bịchỉđược thực hiện khi có mặt nhân viên giao nhận (delivery staff);
c) Cửa ra vào bên ngoài (external door) vùng lưu trữđược đóng lại nếu cửa bên trong (internal door)
mở;
d) Các thiết bịnhập vùng lưu trữ(incoming material) được kiểm tra lỗi (xem 7.2.1 d) trước khi được
chuyển từvùng an ninh ra vịtrí sửdụng;
e) Các thiết bịnhập vùng an ninh cần được đăng ký thích hợp (xem 5.1).
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
25
7.2. An ninh thiết bị(Equipment security)
Mục đích: đểtránh mất mát, lỗi hoặc các sựcốkhác liên quan đến tài sản gây ảnh hưởng tới các hoạt
động nghiệp vụ. Các thiết bịđược bảo vệtránh các nguy cơan ninh và các rủi ro từmôi trường,
giảm bớt rủi ro từcác truy nhập không được phép có thểlàm hỏng hoặc làm mất dữliệu.
7.2.1. Lựa chọn vị trí thiết bị và bảo vệ (Equipment siting and protection)
Thiết bịđược lựa chọn vịtrí lắp đặt và được bảo vệtránh các rủi ro môi trường và các truy nhập
khôngđược phép. Các kiểm soát sau được cân nhắc.
a) Thiết bịđược đặt tại vịtrí cho phép tối thiểu hoá các truy nhập không cần thiết từcác vùng làm
việc khác;
b) Các thiết bịlưu trữvà xửlý thông tin liên quan đến thông tin nhạy cảm được đặt tại các vịtrí cho
phép tránh bị“săm soi”;
c) Các yêu cầu bảo vệđặc biệt đối với các thiết bịđược tách biệt đối với các yêu cầu bảo vệchung;
d) Các kiểm soát được thực hiện để tối thiểu hoá các nguy cơtiềm tàng sau: ăn cắp, cháy nổ, nước,
bụi, rung lắc, các hiệu ứng hoá học, … ;
e) Trong chính sách an ninh thông tin có điều khoản quy định không cho mọi người ăn uống, hút
thuốc gần các thiết bịxửlý thông tin;
f) Các điều kiện môi trường được giám sát đểkhông ảnh hưởng đến sựhoạt động an toàn của các
thiết bịxửlý thông tin;
g) Sửdụng các phương pháp bảo vệđặc biệt, ví nhưmàng bàn phím, đối với thiết bịlàm việc trong
môi trường công nghiệp;
h) Ảnh hưởng của các sựcốxảy ra gần vành đai an ninh cần được lưu ý, ví dụlửa cháy gần, nước
tràn gần đó…
7.2.2. Cung cấp năng lượng (Power supplies)
Thiết bịđược bảo vệtrước các sựcốnăng lượng và các biến đổi điện không bình thường, cần cung
cấp điện hợp lý theo chỉdẫn của nhà sản xuất thiết bị. Các lưu ý vềnăng lượng nhưsau.
a) Nhiều đường dẫn điện đểnếu sựcốđiện xảy ra thì luôn có nguồn thay thế;
b) Có các UPS;
c) Có máy phát điện dựphòng.
7.2.3. An ninhđường cáp (Cabling security)
Cáp truyền thông và cáp năng lượng cần được bảo vệ. Các kiểm soát sau được cân nhắc.
a) Đường cáp năng lượng và truyền thông nối với các thiết bịxửlý thông tin phải đặt ngầm, nếu có
thể, hoặc được bảo vệtheo cách khác thích hợp;
b) Cáp mạng được bảo vệtránh các truy nhập không phép, ví dụcác truy nhập “lái” dòng dữliệu từ
mạng công cộng;
c) Cáp năng lượng được đặt cách ly với cáp truyền thông đểtránh nhiễu loạn;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
26
d)Đối với các hệthống quan trọng hoặc nhạy cảm thì cần lưu ý các kiểm soát:
1) Sửdụng cáp bọc sắt và các phòng có khoá hoặc đóng hộp tại các điểm kết nối;
2) Sửdụng các routings có thểthay thếlẫn nhau hoặc các thiết bịtruyền dẫn;
3) Sửdụng cáp quang;
4) Không gắn vào cáp các thiết bịkhông đăng ký;
7.2.4. Bảo trì thiết bị (Equipment maintenance)
Các thiết bịđược bảo trì hợp lý đểđảm bảo tính sẵn sàng và tính toàn vẹn. Các kiểm soát sau phải
đươc cân nhắc.
a) Thiết bịphải được bảo trì theo đúng yêu cầu của nhà cung cấp;
b) Chỉnhững người bảo trì được cấp phép mới được sửa chữa các thiết bị;
c) Sổsách ghi chép vềviệc bảo trì được lưu trữ;
d) Các kiểm soát thích hợp được thực hiện khi gửi các thiết bịra ngoài vành đai an ninh đểbảo trì
(xem 7.2.6).
7.2.5. An ninh của các thiết bị bên ngoài vành đai an ninh (Security of equipment off-premises)
Không kểchủsởhữu, sửdụng bất kỳthiết bịnào bên ngoài tổchức cũng phải được cấp phép. An
ninh đối với thiết bịnày cũng tương tựnhưcác thiết bịcùng loại đang hoạt động trong vành đai an
ninh được sửdụng cho mục đích tương tự, có xét đến các rủi ro khi thiết bịởbên ngoài tổchức. Các
kiểm soát sau được cân nhắc.
a) Thiết bịđược đưa ra khỏi vành đai an ninh phải luôn có người giám sát;
b) Các chỉdẫn của nhà sản xuất vềviệc bảo vệthiết bịphải được tuân thủđầy đủ, đặc biệt là bảo vệ
thiết bịtrong môi trường điện từ;
c) Các kiểm soát làm việc tại nhà (home-working controls) được xác định bằng một đánh giá rủi ro
và được ứng dụng phù hợp, ví dụ, các ngăn kéo có khóa, chính sách “bàn làm việc sạch” và các
kiểm soát truy nhập máy tính;
d) Thực hiện bảo hiểm đầy đủcác thiết bị. Vềviệc bảo vệcác thiết bịdi động, xem 9.8.1.
7.2.6. Loại bỏ các biện pháp an ninh hoặc sử dụng lại thiết bị (Secure disposal or re-use of
equipment)
Thông tin có thểbịtổn thương do việc loại bỏcác biện pháp an ninh hoặc do việc sửdụng lại thiết bị
(xem 8.6.4). Các thiết bịlưu trữthông tin nhạy cảm cần bịphá huỷ(vềmặt vật lý) hoặc được ghi đè,
không nên sửdụng các biện pháp xoá dữliệu thông thường. Tất cảthiết bịlưu trữđược kiểm tra để
đảm bảo các thông tin nhạy cảm và các phần mềm đã được gỡ. Các thiết bịlưu trữbịhỏng có chứa
thông tin nhạy cảm cần được đánh giá rủi ro đểxác định nên phảhuỷ, nên sửa chữa hoặc loại bỏ.
7.3. Các kiểm soát chung (General controls)
Mục đích:đểtránh các dàn xếp bất lợi hoặc ăn cắp thông tin và các thiết bịxửlý thông tin.
7.3.1. Chính sách mặt bàn sạch và màn hình sạch (Clear desk and clear screen policy)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
27
Các tổchức nên thực hiện chính sách mặt bàn sạch đối với giấy tờ, thiết bịlưu trữ(có thểgỡbỏ
thông tin), chính sách màn hình sạch đối với các thiết bịxửlý thông tin nhằm giảm bớt rủi ro từcác
truy nhập không được phép và các rủi ro khác. Chính sách phải xétđến các lớp an ninh (information
security classifications) (xem 5.2), các rủi ro tương ứng và các khía cạnh văn hoá của tổchức.
Thông tin (trong tài liệu) trên mặt bàn cũng có thểbịphá huỷbởi các tai hoạnhưcháy, lụt, … Các
kiểm soát sau cần được cân nhắc.
a) Giấy tờ, các thiết bị, máy tính được lưu trữtrong ngăn kéo hoặc tủcó khoá trong thời gian không
sửdụng;
b) Các thông tin nghiệp vụnhạy cảm hoặc quan trọng phải được lưu trữtrong các vịtrí được khoá
thường xuyên khi không có yêu cầu sửdụng;
c) Máy tính cá nhân phải có mật khẩu;
d) Cácđiểm truy nhập email, máy fax, máy telex phải được bảo vệ;
e) Máy photocopy được khoá ngoài giờlàm việc.
f) Khi in các thông tin nhạy cảm hoặc đã được phân loại thì cần mang ra khỏi máy in ngay sau khi
in.
7.3.2. Di rời tài sản (Removal of property)
Không được di rời tài sản trong vùng an ninh khi không được phép. Nếu phải di rời thì cần ghi nhận
lại việc di rời này.
8. Quản lý giao tiếp và quản lý vận hành
(Communications and operations management)
8.1. Các thủtục vận hành và trách nhiệm vận hành
(Operational procedures and responsibilities)
Mục đích: để đảm bảo vận hành đúng và an toàn các thiết bị xử lý thông tin.
Trách nhiệm, thủ tục quản lý vận hành các thiết bị xử lý thông tin được thiết lập. Sựphân chia trách
nhiệm (xem 8.1.4) được thực hiện nghiêm túc đểgiảm bớt các rủi ro do sựcẩu thảvà thiếu thận
trọng.
8.1.1. Tài liệu hoá các thủ tục vận hành (Documented operating procedures)
Các thủtục vận hành được quy định bởi chính sách an ninh và được viết thành tài liệu, được thường
xuyên soát xét. Các thủtục vận hành được coi nhưcác tài liệu chính thức và các thay đổi được cấp
quản lý có thẩm quyền duyệt. Các thủtục vận hành xác định các bước cụthểđểthực hiện công việc:
a) Các bước xử lý công việc;
b) Các yêu cầu về lịch biểu, có tính đến sự phụ thuộc thời gian của các hệ thống khác, công việc bắt
đầu sớm nhất và công việc hoàn thành muộn nhất;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
28
c) Các chỉthịxửlý lỗi hoặc các tình thếđặc biệt có thểxuất hiện khi thực hiện công việc trên thực
tế, và các giới hạn sửdụng các tiện ích hệthống. (xem 9.5.5)
d) Cácđầu mối liên lạc đểgiải quyết các khó khăn kỹthuật nảy sinh;
e) Các chỉ thị xử lý đầu ra đặc biệt, ví dụ, các kết quảin ra bịsai thì phải cho giấy in vào máy nghiền
giấy đểtriệt đểloại bỏ.
f) Các thủtục khởi động lại hệthống hoặc khôi phục lại hệthống sau khi hệthống bịsựcố.
Các thủtục thành văn cũng được chuẩn bịcho các hoạt động quản trịhệthống nội bộ(system
housekeeping activities) có liên quan tới các thiết bịtruyền thông và xửlý thông tin, nhưcác thủtục
khởi động máy tính và kết thúc hoạt động, sao lưu, bảo trì thiết bị,…
8.1.2. Kiểm soát thay đổi vận hành (Operational change control)
Các thay đổi của thiết bịxửlý thông tin và hệthống phải được kiểm soát. Kiểm soát không đầy đủ
các thayđổi này thường dẫn tới các sựcốhệthống hoặc sựcốan ninh. Thủtục và trách nhiệm quản
lý chính thức cần đầy đủđểquản lý thoảđáng các thay đổi của thiết bị, phần mềm. Các chương trình
vận hành được kiểm soát thay đổi một cách chặt chẽ. Khi các chương trình thay đổi, một nhật ký
(audit log) lưu trữlại các thông tin liên quan. Thay đổi của môi trường vận hành cũng có thểảnh
hưởng đến các ứng dụng. Các thủtục kiểm soát thay đổi ứng dụng và môi trường vận hành phải
được tích hợp lại (xem 10.5.1). Đặc biệt các kiểm soát sau phải được xem xét:
a) Định danh và ghi lại các thayđổi quan trọng;
b)Đánh giá ảnh hưởng tiềm tàng của các thayđổi đó;
c) Thủtục chấp nhận chính thức đối với các thay đổi được đềnghị;
d) Thông báo các thay đổi chi tiết tới tất cảnhững người có liên quan;
e) Thủtục xác định trách nhiệm cho việc bỏqua (aborting) và khôi phục lại (recovering) từcác thay
đổi không thành công;
8.1.3. Các thủ tục quản lý sự cố (Incident management procedures)
Trách nhiệm và thủtục quản lý sựcốđược thiết lập đểgiải quyết nhanh, hiệu quảđối với các sựcố
an ninh (xem 6.3.1). Các kiểm soát sau cần được lưu tâm:
a) Các thủtục bao quát tất cảcác kiểu sựcốan ninh tiềm tàng, bao gồm:
1) Các trục trặc của hệthống thông tin và mất dịch vụ(IS failures and loss of service);
2) Từchối dịch vụ;
3) Kết quảsai do dữliệu nghiệp vụkhông chính xác và không đầyđủ;
4) Các lỗhổng bảo mật;
b) Các thủtục xửlý sựcố, gồm:
1) Phân tích và xácđịnh nguyên nhân của sựcố;
2) Lập kếhoạch và thực hiện các phương án tránh sựtái diễn các sựcốnếu có thể;
3) Tập hợp các bằng chứng của sựcố;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
29
4) Liên lạc với những người bịảnh hưởng bởi sựcốhoặc những người có liên quan đến việc khôi
phục sau sựcố;
5) Báo cáo hành động giải quyết với cấp có thẩm quyền thích hợp;
c) Bằng chứng của sựcốđược tập hợp (xem 12.1.7) và được gìn giữnhằm:
1) Phân tích các vấn đềnội bộ;
2) Sửdụng đểchứng minh các vi phạm tiềm tàng của hợp đồng (potential breach of contract), vi
phạm các yêu cầu điều chỉnh (breach of regulatory requirement) hoặc trong các vụkiện dân sựhoặc
hình sự;
3)Đàm phán vềcácđền bù từnhà cung cấp phần mềm hoặc dịch vụ.
d) Hành động khôi phục lại các sai lỗi và sửa chữa hỏng hóc hệthống phải được kiểm soát một cách
cẩn thận. Các thủtục sau phải đảm bảo:
1) Chỉcác nhân viên được cấp phép và chỉđịnh rõ ràng mới được truy nhập các hệthống và dữliệu
đang hoạt động (xem 4.2.2 vềsựtruy nhập của bên thứba);
2) Tất cảcác hành động khẩn cấp phải được tài liệu hoá chi tiết;
3) Hành động khẩn cấp được báo cáo với cấp quản lý;
4) Sự toàn vẹn của các hệthống nghiệp vụ và các kiểm soát phải được xác nhận trong thời gian tối
thiểu.
8.1.4. Phân chia trách nhiệm (Segregation of duties)
Phân chia trách nhiệm tốt sẽlàm giảm bớt hoặc triệt tiêu một sốrủi ro, làm giảm bớt các cơhội tuỳý
thayđổi (modification) hệthống hoặc lạm dụng thay đổi hệthống. Các tổchức nhỏthường khó khăn
trong việc phân chia trách nhiệm, nhưng nguyên tắc phân chia thì nên áp dụng. Nếu khó khăn khi
phân chia trách nhiệm thì nên tăng cường sửdụng các kiểm soát khác nhưgiám sát thực thi, ghi vết
và quản lý sát sao. Điều quan trọng là các hoạt động kiểm soát an ninh nội bộ(security audit) phải
độc lập. Cần thực hiện các biện pháp kiểm soát sao cho không một cá nhân nào có thểphạm sai lầm
mà lại không bịphát hiện. Các kiểm soát sau cần được cân nhắc.
a) Tách biệt các hoạt động có thểbịdàn xếp nhằm thực hiện sai công việc, ví dụ, tách việc ra quyết
định mua hàng và việc kiểm tra hàng mua được.
b) Nếu có nguy cơxảy ra sựdàn xếp công việc thì cần sửdụng các kiểm soát sao cho hai hoặc nhiều
người cùng thực hiện nhằm giảm bớt khảnăng dàn xếp.
8.1.5. Tách biệt các hoạt động phát triển và vận hành
(Separation of development and operational facilities)
Theo mục a) trên thì cần tách biệt các hoạt động phát triển, kiểm thửvà vận hành đểphân chia các
trách nhiệm tương ứng. Các quy tắc chuyển giao phần mềm từnơi phát triển sang nơi vận hành phải
được định nghĩa và ghi thành văn bản. Các hoạt động phát triển và kiểm thửcó thểgây ra các vấn đề
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
30
nghiêm trọng, ví dụ, gây ra các thay đổi không mong muốn trong các tệp dữliệu hoặc trong môi
trường hệthống. Các kiểm soát sau cần được cân nhắc.
a) Các phần mềm phát triển và vận hành phải chạy trên các máy tính khác nhau, hoặc các domains
khác nhau;
b) Các hoạt động phát triển và kiểm thửphải được tách biệt càng nhiều càng tốt;
c) Compilers, editors và các tiện ích khác không thểđược truy nhập từmôi trường vận hành;
d) Các thủtục log-on khác nhau phải được sửdụng cho vận hành và kiểm thửđểgiảm bớt lỗi;
e) Nhân viên phát triển nếu muốn truy nhập hệthống thì phải truy nhập với tưcách nhân viên vận
hành. Các kiểm soát phải đảm bảo mật khẩu mà nhân viên phát triển đã sửdụng phải được thay đổi
sauđó;
8.1.6. Quản lý các thiết bị từbên ngoài (External facilities management)
Hợp đồng với các nhà thầu bên ngoài đểquản lý các thiết bịxửlý thông tin có thểgây ra nhiều vấn
đềtiềm tàng vềan ninh. Các nguy cơđó phải được xác định rất cụthểvà được đưa vào bản hợp
đồng ký kết với nhà thầu (xem thêm 4.2.2 và 4.3). Đặc biệt các vấn đềsau cần được lưu ý:
a) Tổchức cần xác định trước các ứng dụng nhạy cảm và quan trọng;
b) Cần sựchấp thuận của chủsửdụng các ứng dụng nghiệp vụ;
c) Không ảnh hưởng đến kếhoạch liên tục nghiệp vụ;
d) Các tiêu chuẩn an ninh được xác định rõ và tiến trình đo lường sựtuân thủ(measuring
compliance) cũng phải chỉra;
e) Phân trách nhiệm cụthểvà các thủtục giám sát các hoạt động an ninh liên quan;
f) Trách nhiệm và thủtục báo cáo các sựcốan ninh (xem 8.1.3).
8.2. Lập kếhoạch hệthống và chấp thuận (System planning and acceptance)
Mục đích: đểtối thiểu hoá các rủi ro xảy ra sựcốhệthống.
Cần lập kếhoạch đảm bảo tính sẵn sàng của năng lực hệthống và các tài nguyên cần thiết trong
tương lai đểgiảm bớt rủi ro tràn hệthống (systemoverload). Các yêu cầu vận hành của hệthống mới
được xây dựng, thiết lập và kiểm thửđểđạt được sựchấp thuận của tổchức.
8.2.1. Lập kế hoạch năng lực của hệthống (Capacity planning)
Yêu cầu vềnăng lực của hệthống gồm năng lực xửlý và năng lực lưu trữ. Việc lập kếhoạch năng
lực dựa trên dựđoán vềkhảnăng tăng trưởng của tổchức trong tương lai.
Khi lập kếhoạch cần chú ý đến các máy tính lớn (mainframe), bởi cần chi phí rất cao đểnâng
cấp năng lực tính toán của nó. Các nhà quản lý phải giám sát sựhoạt động của các tài nguyên hệ
thống chính, bao gồm các bộvi xửlý, các thiết bịlưu trữ, các máy in và các thiết bịvào ra khác, kết
hợp với dựđoán sựtăng trưởng của tổchức đểđưa ra kếhoạch nâng cấp hệthống hợp lý.
8.2.2. Chấp thuận hệ thống (System acceptance)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
31
Cần thiết lập các tiêu chuẩn chấp thuận khi đưa vào sửdụng các hệ thống thông tin mới, các nâng
cấp phần cứng hệthống và các phiên bản mới của phần mềm. Các yêu cầu và tiêu chuẩn đểchấp
thuận phải được định nghĩa rõ ràng, được tài liệu hoá và được kiểm thửkỹcàng. Các kiểm soát sau
cần được cân nhắc.
a) Các yêu cầu vềhiệu quả(performance) và năng lực của máy tính (computer capacity) được đềra;
b) Các thủtục khôi phục lỗi và khởi tạo lại hệthống, kếhoạch đối phó với các sựcố.
c) Chuẩn bịvà kiểm thửcác thủtục vận hành hàng ngày theo các tiêu chuẩn được định nghĩa;
d) Thiết lập các kiểm soát an ninh;
e) Chuẩn bịcác thủtục thực hiện bằng tay;
f) Các thảo luận vềtính liên tục của hoạt động nghiệp vụnhưyêu cầu bởi 11.1;
g) Việc cài đặt hệthống mới không được ảnh hưởng bất lợi đến các hệthống hiện tại, đặc biệt là vào
các thời gian cao điểm nhưcuối tháng chẳng hạn;
h) Các quan tâm đối với hệthống mới phải tính đến yêu cầu an ninh tổng thểđối với tổchức;
i) Đào tạo vận hành và sử dụng hệ thống.
8.3. Bảo vệchống lại các phần mềm phá hoại (Protection against malicious software)
Mục đích: đểbảo vệsựtoàn vẹn của phần mềm và thông tin.
Đối với các phần mềm phá hoại thì nguyên tắc phòng hơn chống được đềcao. Phần mềm và các
thiết bịxửlý thông tin dễbịtổn thương đối với viruses, sâu mạng, ngựa Trojan (xem 10.5.4) và bom
logic. Cần đềra các biện pháp kiểm soát nhằm phát hiện hoặc ngăn ngừa tác hại của phần mềm phá
hoại.
8.3.1. Kiểm soát chống lại các phần mềm phá hoại (Protection against malicious software)
Càiđặt các kiểm soát và thủtục bảo vệhệ thống chống lại phần mềm phá hoại nhưsau:
a) Chính sách an ninh thông tin yêu cầu tổchức tuân thủluật bản quyền phần mềm, đồng thời ngăn
cản sửdụng các phần mềm không được cấp phép (xem 12.1.2.2);
b) Chính sách yêu cầu các kiểm soát chống lại rủi ro từviệc thu thập các tệp và phần mềm từcác
mạng bên ngoài (xem 10.5, đặc biệt 10.5.4 và 10.5.5);
c) Cài đặt và cập nhật định kỳcác phần mềm chống virus;
d) Kiểm tra định kỳcác hệthống trợgiúp quan trọng đểxem có phần mềm và dữliệu nghi ngờ
không. Sựhiện diện của bất cứphần mềm và tệp khôngđược cấp phép nào cũng phải được điều tra;
e) Kiểm tra virus bất cứtệp nào trên các thiết bịđiện tửcó nguồn gốc không rõ ràng;
f) Kiểm tra virus bất cứemail đáng nghi ngờnào, việc kiểm tra được thực hiện tại các vịtrí khác
nhau, ví dụ, tại mail servers, tại các PCs hoặc ngay khi truy nhập vào mạng của tổchức;
g) Các thủtục quản lý và trách nhiệm diệt virus trên các hệthống, đào tạo sửdụng các phần mềm
diệt virus, báo cáo và khôi phúc lại sau các cuộc tấn công của virus (xem 6.3 và 8.1.3);
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
32
h) Các kếhoạch liên tục nghiệp vụthích hợp đểkhôi phục hệthống sau các cuộc tấn công của virus,
gồm việc sao lưu tất cảcác dữliệu cần thiết và khôi phục lại hệthống từcác dữliệu sao lưu này
(xem 11);
i) Các thủtục kiểm tra mọi thông tin liên quan đến các phần mềm phá hoại và đảm bảo các bản tin
cảnh báo (warning bulletins) là chính xác và đầy đủ. Các nhà quản lý phải có đầy đủthông tin từcác
nguồn tin cậy (báo chí, Internet, các nhà cung cấp phần mềm diệt virus) đểphân biệt sựkhác nhau
giữa các trò “chơi khăm” và virus thực sự.
8.4. Công việc thực hiện thường nhật tại tổchức (Housekeeping)
Mục đích: đảm bảo tính toàn vẹn và tính sẵn sàng của các dịch vụtruyền thông và xửlý thông tin.
Các thủtục thực hiện hàng ngày được thiết lập đểthực hiện chiến lược sao lưu dữliệu (xem 11.1),
ghi lại các lỗi và các sựkiện và trong chừng mực có thể, thực hiện giám sát môi trường của thiết bị.
8.4.1. Sao lưu thông tin (Information back-up)
Các bản sao lưu thông tin nghiệp vụcơbản và phần mềm được thực hiện thường ngày. Các thiết bị
sao lưu thích hợp được cung cấp đểđảm bảo mọi thông tin nghiệp vụcơbản và phần mềm có thể
được khôi phục sau những tai nạn hoặc hỏng hóc thiết bị. Sao lưu các hệ thống cá nhân được kiểm
thử định kỳ để đảm bảo chúng đáp ứng các yêu cầu của kế hoạch liên tục nghiệp vụ (xem điều khoản
11). Các kiểm soát sau cần được quan tâm.
a) Sao luu thông tin ở mức tối thiểu, các sổ sách ghi chép đầy đủvà chính xác vềcác bản sao lưu,
các thủtục khôi phục được tài liệu hoá, tất cảđược lưu trữởmột vịtrí xa, trong một khoảng cách
vừa đủđểcó thểtránh tất cảcác đe doạtừvịtrí chính thức. Với các ứng dụng quan trọng, ít nhất
phải lưu trữ3 bản sao lưu;
b) Thông tin sao lưu cũng được bảo vệvềmặt môi trường và vật lý ởmức thích hợp (xem điều
khoản 7) giống với các tiêu chuẩn đang dùng cho vịtrí chính. Các kiểm soát đang dùng tại vịtrí
chính cũng được dùng cho vịtrí sao lưu;
c) Các thiết bịsao lưu được kiểm tra thường xuyên đểđảm bảo chúng có thểđáp ứng đúng các điều
kiện khẩn cấp khi cần thiết;
d) Các thủtục khôi phục được kiểm tra và kiểm thửthường xuyên đểđảm bảo chúng hoạt động hiệu
quảvà có thểthực hiện trọn vẹn việc khôi phục trong thời gian đã được quy định trong thủtục. Thời
gian lưu trữcác thông tin nghiệp vụcơbản, cũng nhưbất cứyêu cầu nào khác đối với các bản sao
lưu phải được xác định (xem 12.1.3).
8.4.2. Nhật ký vận hành (Operator logs)
Các nhân viên vận hành phải ghi chép nhật ký vềhoạt động của họ. Nội dung nhật ký bao gồm:
a) Thời điểm bắt đầu và kết thúc hệthống;
b) Các lỗi phát sinh và các lỗi đã được sửa chữa;
c) Xác nhận các kết quảtính toán của máy tính là chính xác;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
33
d) Tên của người ghi nhật ký;
Nhật ký vận hành được ghi thường xuyên và việc kiểm trađộc lập với các thủtục vận hành.
8.4.3. Báo cáo lỗi (Fault logging)
Thực hiện các báo cáo lỗi phát sinh và các lỗi đã được sửa chữa theo các chú ý sau:
a) Soát xét các ghi chép lỗi đểđảm bảo chúng đã được giải quyết thấu đáo;
b) Kiểm tra đểđảm bảo rằng các kiểm soát không bịdàn xếp, các sửa chữa đã được cấp phép.
8.5. Quản trịmạng (Network management)
Mục đích: đảm bảo an toàn thông tin trên mạng và bảo vệcơsởhạtầng kỹthuật.
8.5.1. Các kiểm soát trên mạng (Network controls)
Một tập hợp các kiểm soát được yêu cầu đểđảm bảo an ninh trên mạng máy tính. Các nhân viên
mạng thực hiện các kiểm soát đểđảm bảo an ninh dữliệu trên mạng, bảo vệcác dịch vụđược kết
nối từcác truy nhập được cấp phép. Các kiểm soát sau cần được cân nhắc.
a) Trách nhiệm vận hành mạng được tách rời với trách nhiệm vận hành máy tính một cách thích hợp
(xem 8.1.4);
b) Trách nhiệm và thủtục quản lý thiết bịđược thiết lập;
c) Nếu cần thiết, các kiểm soát đặc biệt được thiết lập đểđảm bảo tính tin cậy, tính toàn vẹn của dữ
liệu lưu thông trên mạng, đồng thời bảo vệcác hệthống kết nối vào mạng (xem 9.4 và 10.3). Các
kiểm soát đặc biệt cũng được sửdụng đểđảm bảo tính sẵn sàng của các dịch vụmạng và các máy
tính kết nối;
d) Các hoạt động quản lý được phối hợp đồng bộđểtối ưu hoá các dịch vụvà xửlý nghiệp vụ, đồng
thời đảm bảo các kiểm soát được sửdụng nhất quán trên cơsởhạtầng xửlý thông tin.
8.6. An ninh của thiết bịlưu trữ(Media handling and security)
Mục đích: tránh hưhại tài sản và tránh gián đoạn các hoạt động nghiệp vụ. Thiết bịlưu trữđược
kiểm soát và được bảo vệvềmặt vật lý.
Các thủtục vận hành thích hợp được thiết lập đểbảo vệtài liệu, thiết bịlưu trữ(tapes, disks,
cassettes), dữliệu vào/ra và tài liệu hoá các hưhỏng, các truy nhập không được phép.
8.6.1. Quản lý các phương tiện có thể di chuyển (Management of removable computer media)
Cần thủtục quản lý các phương tiện có thểdi chuyển nhưbăng từ, đĩa, băng cát sét và các bản báo
cáo. Các kiểm soát sau cần được cân nhắc.
a) Nếu không có yêu cầu nào lâu dài hơn thì có thểxoá bỏdữliệu trước đó chứa trong các thiết bịcó
thểsửdụng lại;
b) Cấp phép sửdụng đối với mọi thiết bịdi động và thực hiện các ghi chép giám sát (xem 8.7.2).
c) Mọi thiết bịđược cất giữ tại vịtrí an toàn và phù hợp với yêu cầu của nhà sản xuất. Mức cấp phép
và thủtục cấp phép đuợc định nghĩa rõ ràng và đuợc tài liệu hoá.
8.6.2. Hủy bỏ phương tiện, thiết bịlưu trữ(Disposal of media)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
34
Thiết bịđược huỷbỏvì các lý do an ninh nếu không có yêu cầu gì đặc biệt. Thông tin nhạy cảm có
thểbịtiết lộnếu việc huỷbỏđược thực hiện một cách cẩu thả, vì vậy, cần thiết lập các thủtục huỷ
bỏmột cách an ninh đểtối thiếu hoá nguy cơ. Các kiểm soát sau được cân nhắc.
a) Phương tiện chứa thông tin nhạy cảm phải được cất giữvà huỷbỏmột cách an ninh, ví dụ, bằng
cách đốt ra tro, nghiền vụn hoặc làm sạch dữliệu đểsửdụng cho các ứng dụng khác trong tổchức;
b) Danh sách sau liệt kê các phương tiện, thiết bịcần sựhuỷbỏan toàn:
1) Tài liệu giấy;
2) Các phương tiện lưu trữtiếng nói và lưu trữkhác;
3) Giấy carbon;
4) Các báo cáo;
5) Dải mực máy in dùng một lần;
6) Băng từ;
7) Các phương tiện lưu trữdi động;
8) Phương tiện lưu trữ quang học;
9) Danh sách chương trình;
10) Dữliệu kiểm thử;
11) Tưliệu vềhệthống.
c) Sẽdễdàng hơn nếu tập hợp các thiết bịlại và huỷbỏ, hơn là phân loại đểchỉhuỷbỏcác thiết bị
chứa thông tin nhạy cảm;
d) Nhiều tổ chức cung cấp dịch vụ huỷbỏ giấy tờ, thiết bị và phương tiện. Tổchức có thểchọn một
nhà cung cấp dịch vụhuỷbỏvới các kiểm soát thích hợp công việc của họ;
e) Việc huỷbỏmột phương tiện nhạy cảm được ghi chép lại và cất giữ. Khi tập hợp các phương tiện
đểhuỷbỏcó thểphát sinh vấn đềlà một sốlượng lớn các thông tin không phân loại sẽtrởnên nhạy
cảm hơn một lượng nhỏthông tin được phân loại.
8.6.3. Các thủ tục xử lý thông tin (Information handling procedures)
Thiết lập các thủtục xửlý và lưu trữđểbảo vệthông tin khỏi sựphá hoại cốý hoặc vô ý. Thủtục
cần thích hợp với sựphân loại thông tin (xem 5.2) theo tài liệu, các hệthống tính toán, các mạng,
tính toán di động, truyền thông di động, mail, voice mail, truyền thông voice nói chung, multimedia,
các thiết bịvà dịch vụbưu chính, … Các kiểm soát sau cần được cân nhắc (xem 5.2 và 8.7.2):
a) Xửlý và gán nhãn mọi thiết bịlưu trữ(xem 8.7.2a);
b) Giới hạn truy nhập đểdễdàng định danh những cá nhân không được cấp phép;
c) Ghi lại những người được cấp phép nhận dữ liệu;
d)Đảm bảo dữliệu đầu vào đầy đủ, xửlý trọn vẹn và kiểm tra dữliệu đầu ra (output validation);
e) Bảo vệdữliệu đầu ra phù hợp với độnhạy cảm của nó;
f) Cất giữcác thiết bịlưu trữtrong môi trường phù hợp với các yêu cầu của nhà sản xuất;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
35
g) Hạn chếphân phối dữliệu ởmức thấp nhất;
h)Đánh dấu rõ ràng tất cảcác bản sao dữliệu đểgây sựchú ý của người nhận được cấp phép;
i) Soát xét định kỳdanh sách phân phối dữliệu và danh sách những người nhận dữliệu được cấp
phép;
8.6.4. An ninh của tài liệu hệ thống (Security of system documentation)
Tài liệu hệthống có thểchứa các thông tin nhạy cảm, ví dụ, các mô tảquy trình ứng dụng, các thủ
tục, cấu trúc dữliệu, các quy trình cấp phép (xem 9.1). Vì vậy, cần tránh các tiếp cận không cấp
phép đối với tài liệu hệthống.
a) Tài liệu hệthống phải được lưu trữan ninh;
b) Danh sách những người tiếp cận tài liệu hệthống phải ởmức tối thiểu và được cấp phép bởi
người có thẩm quyền;
c) Tài liệu hệthống lưu trữtrên mạng công cộng (public network), hoặc được trợgiúp thông qua
mạng công cộng phải được bảo vệthích hợp.
8.7. Trao đổi thông tin và phần mềm (Exchanges of information and software)
Mục đích: tránh mất mát, sửa đổi hoặc làm sai lệch thông tin được trao đổi giữa các tổchức.
Việc trao đổi thông tin và phần mềm giữa các tổchức phải được kiểm soát, phải tuân thủcác quy
định của pháp luật (xem điều khoản 12). Trao đổi được thực hiện trên cơsởcác thoảthuận bằng hợp
đồng. Thủtục và tiêu chuẩn bảo vệthông tin và thiết bịlưu trữtrong quá trình trao đổi được thiết
lập.
8.7.1. Các thoảthuận trao đổi thông tin và phần mềm (Information and software exchange
agreements)
Một sốtrong các thoảthuận có thểmang tính pháp lý làm cơsởcho việc trao đổi thông tin và phần
mềm (qua mạng hay trực tiếp trao tay) giữa các tổchức. Mức an ninh của thoảthuận phải phù hợp
với tính nhạy cảm của thông tin. Cácđiều kiện an ninh sau cần được lưu tâm:
a) Trách nhiệm kiểm soát và thông báo truyền tin, phát và nhận tin (management responsibilities for
controlling and notifying transmission, despatch and receipt);
b) Các thủtục đểthông báo cho người gửi, truyền, phát và nhận tin;
c) Các tiêu chuẩn kỹthuật tối thiểu cho việc đóng gói và truyền tin;
d) Các tiêu chuẩn xácđịnh người đưa tin (courier identification standards);
e) Trách nhiệm và ràng buộc pháp luật nếu làm mất dữliệu;
f) Sửdụng một hệthống gán nhãn đểđánh giá các thông tin quan trọng và nhạy cảm, đảm bảo ý
nghĩa của nhãn được hiểu và thông tinđược bảo vệtương ứng;
g) Quyền sởhữu thông tin và phần mềm, trách nhiệm bảo vệdữliệu, sựtuân thủbản quyền phần
mềm và các quan tâm tương tựkhác (xem 12.1.2 và 12.1.4);
h) Các tiêu chuẩn kỹthuật đểghi và đọc thông tin và phần mềm;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
36
i) Bất cứ kiểm soát đặc biệt nào cũng có thể được yêu cầu để bảo vệ các thông tin nhạy cảm, ví như
các khoá mã (xem 10.3.5).
8.7.2. An ninh của thiết bịlưu trữ khi di chuyển (Security of media in transit)
Thông tin có thểbịtổn thương nếu truy nhập không phép (unauthorized access), bịlạm dụng trong
khi di chuyển, ví dụkhi gửi các thiết bịlưu trữqua đường bưu điện. Các kiểm soát sau được ứng
dụngđểđảm bảo an toàn cho thiết bịđược chuyển giao giữa các vịtrí.
a) Việc chuyển giao được thực hiện bởi những người người đáng tin cậy. Danh sách những người
này được cấp quản lý phê duyệt và một thủtục được thực hiện đểkiểm tra danh tính của người
chuyển giao;
b) Việc đóng gói phải bảo vệđược thiết bịtránh các va đập trong khi di chuyển và theo hướng dẫn
của nhà sản xuất;
c) Các kiểm soát đặc biệt được đáp ứng, nếu cần thiết, nhằm bảo vệthông tin nhạy cảm bịsửa. Các
ví dụgồm có:
1) Sửdụng các containers có khóa;
2) Giao hàng tận tay;
3) Đóng gói theo cách chống xem trộm (gói lưu lại bất cứsựcan thiệp nào bên ngoài có ý định xem
trộm);
4) Trong các trường hợp đặc biệt, một gói hàng có thểđược phân nhỏvà mỗi phần được chuyển giao
qua nhiều nơi nhận và nơi gửi;
5) Sửdụng chữkýđiện tửvà mã hoá, xem 10.3.
8.7.3. An ninh thương mại điện tử (Electronic commerce security)
Thương mại điện tửbao gồm trao đổi dữliệu điện tử(EDI), thưđiện tửvà giao dịch trực tuyến
thông qua các mạng công cộng nhưInternet. TMĐT có thểbịtổn thương từmột sốnguy cơtrên
mạng. Các kiểm soát sau được sửdụngđểbảo vệTMĐT khỏi các nguy cơnày.
a) Chứng thực (authentication). Mức tin cậy nào mà khách hàng và nhà thương mại yêu cầu mỗi
giao dịch giữa khách hàng và nhà thương mại?
b) Cấp phép (authorization). Ai được cấp phép đểthiết lập giá cả, phát hành hoặc ký các tài liệu
quan trọng? Đối tác thương mại nhận biết điều này nhưthếnào?
c) Tiến trình bỏ thầu và hợp đồng. Yêu cầu gì đối với tính tin cậy (confidentiality), tính toàn vẹn
(integrity), minh chứng việc gửi và nhận các tài liệu quan trọng và cácđiều khoản không thểtừchối
hợp đồng?
d) Thông tin giá cả. Mức tin cậy nào (what level of trust) đối với tính trung thực (integrity) của báo
giá được quảng cáo và sựtin cậy đối với các thông tin giảm giá nhạy cảm?
e) Các giao dịch đặt hàng. Sựtin cậy, tính trung thực của việc đặt hàng, thanh toán và giao hàng
được thực hiện nhưthếnào?
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
37
f) Kiểm tra tài khoản khách hàng (vetting). Mức độnào là thích hợp đểkiểm tra thông tin tài khoản
được cung cấp bởi khách hàng?
g) Giao tiền (Settlement). Hình thức nào là thích hợp nhất đểviệc trảtiền không bịlỗi?
h) Đặt hàng (Ordering). Cần làm gì đểđảm bảo sựtin cậy và tính toàn vẹn của thông tin đặt hàng và
tránh mất mát hoặc bịđúp các giao dịch?
i) Trách nhiệm pháp lý. Ai chịu trách nhiệm vềrủi ro của các giao dịch trên?
Nhiều thắc mắc trên có thểđược giải quyết bằng cách ứng dụng các kỹthuật mã hoá điện tửđược đề
cập tới trong 10.3, có xét đến các yêu cầu của pháp luật (xem 12.1, đặc biệt 12.1.6 vềluật mã hoá).
Các thoảthuận TMĐT giữa các đối tác thương mại cần sựtrợgiúp của các văn bản quy định của
pháp luật vềTMĐT. (Xem b) trên). Các thoảthuận khác vềdịch vụan ninh và các nhà cung cấp
dịch vụkhác cũng cần thiết.
8.7.4. An ninh thưđiện tử (Security of electronic mail)
8.7.4.1. Rủi ro an ninh (Security risks)
Thưđiện tửđược sửdụng trong các giao dịch nghiệp vụthay thếcác phương tiện liên lạc cổđiển
nhưtelex hoặc thưgiấy. Thưđiện tửkhác các phương tiện trên ởtốc độ, cấu trúc văn bản, mức độ
thông tin và tính dễbịtổn thương. Vì vậy vấn đềlà phải giảm thiểu các rủi ro an ninh đối với thư
điện tử. Rủi ro an ninh bao gồm:
a) Tính dễtổn thương đối với các truy nhập không phép hoặc các sửa đổi thông tin, từchối dịch vụ;
b) Tính dễtổn thương đối với các lỗi, ví dụ, không đúng địa chỉ, không đáng tin cậy và tính sẵn sàng
của dịch vụ;
c) Tác động của các thay đổi đối với hoạt động nghiệp vụdo thay đổi phương tiện liên lạc, ví dụ, tác
động của việc tăng tốc độgửi nhận thông tin, hoặc mất đi tính trang trọng do việc gửi nhận thông tin
giữa cá nhân với cá nhân thay cho việc gửi nhận giữa công ty với công ty;
d) Các quan tâm pháp lý khác, ví dụ, làm sao đểchứng minh nguồn gốc thực sựcủa thưđiện tửlà từ
chính đối tác chứkhông phải một kẻgiảdanh.
e) Rủi ro của việc công khai danh sách nhân viên thông qua thưđiện tử;
f) Rủi ro khi kiểm soát các truy nhập từxa bằng tài khoản thưđiện tử(email account).
8.7.4.2. Chính sách với thưđiện tử (Policy on electronic mail)
Tổchức cần thiết lập một chính sách liên quan đến việc sửdụng thưđiện tửnhưsau:
a) Các tấn công trên thưđiện tử, ví dụ, viruses, chặn thư;
b) Bảo vệcác tệp đính kèm thưđiện tử(attached files);
c) Các hướng dẫn khi nào thì không được dùng thưđiện tử;
d) Trách nhiệm của nhân viên là không làm tổn hại đến danh tiếng công ty, ví dụ, gửi các thưđiện tử
nặc danh công ty, thoá mạcông ty…
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
38
e) Sửdụng các kỹthuật mã hoá đểđảm bảo tính tin cậy và tính toàn vẹn của các thưđiện tử(xem
10.3);
f) Tránh việc lưu trữcác thưđiện tửmà nếu bịphát hiện có thểgây ra những kiện tụng rắc rối;
g) Các kiểm soát phụđối với các thưđiện tửvềviệc thanh toán mà các thưnày không được chứng
thực;
8.7.5. An ninh của hệ thống văn phòngđiện tử (Security of electronic office systems)
Các chính sách và hướng dẫn phải được chuẩn bịvà thực thi đểkiểm soát các rủi ro an ninh và
nghiệp vụliên quan đến hệthống văn phòng điện tử. Hệthống văn phòng điện tửtạo cơhội đểlộ
các thông tin nghiệp vụbằng cách sửdụng phối hợp các thiết bị: tài liệu, máy tính, thiết bịtính toán
di động, thiết bịliên lạc di động, email, voice mail, …
Các quan tâm vềan ninh của các thiết bịnày bao gồm:
a) Các điểm dễtổn thương trong văn phòng điện tửnhưcác cuộc gọi được ghi âm, các cuộc gọi hội
nghị, lưu trữfaxes, mởthư, phân phối thư…
b) Chính sách và các kiểm soát thích hợp đểquản lý việc chia sẻthông tin, ví dụ, việc sửdụng các
bảng tinđiện tửcủa công ty (xem 9.1);
c) Ngăn chặn các thông tin nghiệp vụnhạy cảm nếu hệthống không cung cấp mức bảo bảo vệthích
hợp (xem 5.2);
d) Giới hạn truy nhập thông tin ghi chép hàng ngày liên quan đến một sốcá nhân nhất định, ví dụ,
các nhân viên đang làm việc tại các dựán nhạy cảm;
e) Sựphù hợp của hệthống, hoặc ngược lại, trong việc trợgiúp các hoạt động nghiệp vụnhưliên hệ
đặt hàng hoặc cấp phép;
f) Các nhân viên, các nhà cung cấp hoặc cácđối tác được phép sửdụng hệthống và vịtrí từđó họcó
thểtruy nhập hệthống (xem 4.2);
g) Sửdụng các điều kiện chọn lọc đểphân loại những người dùng cụthể;
h) Xác định trạng thái của người dùng, ví dụ, sắp xếp nhân viên của tổchức hoặc các nhà cung cấp
theo thứtự(in directories) đểthuận lợi cho những người dùng khác;
i) Duy trì (retention) và sao lưu thông tin của hệthống (xem 12.1.3 và 8.4.1);
j) Các yêu cầu dựtrữvà sựchuẩn bị(xem 11.1) (fallback requirements and arrangements).
8.7.6. Các hệ thống xuất bản công khai (Publicly available systems)
Cần bảo vệsựtoàn vẹn của thông tin điện tửđược xuất bản công khai (trang Web) đểtránh các sửa
chữa không phép. Thông tin trên một hệthống xuất bản công khai phải tuân thủ các yêu cầu pháp
luật, ví dụ, thông tin trên một Web server có thểđược truy nhập thông qua Internet. Vì vậy, cần một
quy trình cấp phép hình thức đểduyệt tin trước khi tin được xuất bản công khai.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
39
Trên hệthống xuất bản công khai, phần mềm, dữliệu và các thông tin khác yêu cầu mức toàn
vẹn cao cần được bảo vệbởi một cơchếthích hợp, ví dụ, sửdụng chữký điện tửchẳng hạn (xem
10.3.3). Các kiểm soát đối với thông tin xuất bản công khai:
a) Thông tin phải tuân thủcác luật bảo vệdữliệu (xem 12.1.4);
b) Hệthống xuất bản xửlý thông tin đầu vào đầy đủvà chính xác trong một thời gian nhất định;
c) Thông tin nhạy cảm cần được bảo vệvà lưu trữthích hợp;
9. Kiểm soát truy nhập (Access control)
9.1. Các yêu cầu nghiệp vụđối với kiểm soát truy nhập
(Business requirement for access control)
Mục đích: đểkiểm soát truy nhập thông tin.
Truy nhập thông tin và các quy trình nghiệp vụcần được kiểm soát trên cơsởcác yêu cầu nghiệp vụ
và yêu cầu an ninh. Từđó đòi hỏi phải có chính sách vềphổbiến thông tin và cấp phép thông tin
(information dissemination and authorization).
9.1.1. Chính sách kiểm soát truy nhập (Access control policy)
9.1.1.1. Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and business requirements)
Các yêu cầu nghiệp vụ(business requirements) đối với kiểm soát truy nhập cần được định nghĩa và
tài liệu hoá. Quy tắc và quyền kiểm soát truy nhập (Access control rules and rights) cho mỗi người
dùng và nhóm người dùng được xác định rõ ràng trong chính sách an ninh. Yêu cầu nghiệp vụcủa
người dùng và của các nhà cung cấp dịch vụđược mô tảrõ ràng đểdễdàng cho việc kiểm soát truy
nhập. Chính sách an ninh vềvấn đềnày cần lưu ý các điểm sau:
a) Mô tảyêu cầu an ninh của các ứng dụng nghiệp vụcá nhân;
b) Xác định mọi thông tin liên quan đến các ứng dụng nghiệp vụ;
c) Mô tảchính sách vềphổbiến và cấp phép thông tin, ví dụ, nói rõ nguồn gốc và mức an ninh, sự
phân loại của thông tin;
d) Cần nhất quán giữa kiểm soát truy nhập và chính sách phân loại thông tin giữa các hệthống và
các mạng khác nhau;
e) Mô tảcác luật liên quan và các điều khoản hợp đồng vềviệc bảo vệtruy nhập dữliệu và các dịch
vụ(điều khoản 12);
f) Mô tảsơlược sựtruy nhập hệthống của người dùng theo sựphân loại công việc;
g) Quản lý quyền truy nhập trong một môi trường phân tán và nối mạng (distributed and networked
environment), môi trường này chấp nhận tất cảcác loại kết nối có thể.
9.1.1.2. Các quy tắc kiểm soát truy nhập (Access control rules)
Khi đặc tảcác quy tắc kiểm soát truy nhập cần chú ý:
a) Phân biệt giữa các quy tắc phải luôn tuân thủvà các quy tắc có thểchọn lựa và có điều kiện;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
40
b) Thiết lập các quy tắc dựa trên tiền đề“Tất cảđều bịcấm trừnhững điều cho phép” hơn là tiền đề
ngược lại “Tất cảđều được phép trừnhững điều bịcấm”;
c) Thayđổi nhãn thông tin (xem 5.2) được thực hiện theo quyđịnh;
d) Thay đổi các quyền truy nhập của người dùng (user permissions) được hệthống thực hiện tựđộng
theo sựđiều khiển của một người quản trị(administrator);
e) Các quy tắc cần cấp thẩm quyền xác nhận trước khi ban hành.
9.2. Quản lý truy nhập của người dùng (User access management)
Mục đích: đểtránh các truy nhập không được cấp phép vào hệthống.
Các thủtục hình thức được soạn thảo đểkiểm soát việc cấp quyền truy nhập hệthống thông tin và
dịch vụ. Các thủtục này bao quát tất cảcác yêu cầu vềkiểm soát truy nhập của người dùng, bắt đầu
từđăng ký người dùng mới tới việc huỷquyền truy nhập của một người dùng cũ. Chú ý tới các
quyền truy nhập ưu tiên trong một sốtrường hợp đặc biệt, quyền này có thểcho phép người dùng bỏ
qua sựkiểm soát của hệthống.
9.2.1. Đăng ký người dùng (User registration)
Cần một thủtục hình thức đểđăng ký người dùng mới và huỷđăng ký một người dùng cũ. Nội dung
thủtục gồm các yếu tốchính:
a) Sửdụng một ID duy nhất cho mỗi người dùng. Có thểnhóm các ID thành từng nhóm đểdễquản
lý;
b) Kiểm tra xem người dùng có được cấp phép từngười quản lý hệthống hay không. Một sốtrường
hợp có thểđược sựchấp thuận quyền truy nhập từcấp quản lý có thẩm quyền;
c) Kiểm tra mức độtruy nhập có phù hợp với mục đích nghiệp vụ(xem 9.1) và nhất quán với chính
sách an ninh của tổchức hay không (xem 8.1.4);
d) Cho người dùng biết vềquyền truy nhập của họbằng văn bản;
e) Yêu cầu người dùng ký vào văn bản đó đểđảm bảo họhiểu các điều kiện truy nhập;
f) Đảm bảo nhà cung cấp dịch vụkhông cấp quyền truy nhập cho đến khi các thủtục cấp phép đã
hoàn thành;
g) Ghi lại vào sổdanh sách tất cảnhững người đã đăng ký sửdụng dịch vụ;
h) Xoá ngay tức khắc quyền truy nhập của người dùngđã thay đổi công việc hoặc dời khỏi tổchức;
i) Kiểm tra định kỳvà loại bỏcác ID dưthừa;
j) Đảm bảo các ID dưthừa không được gán cho những người dùng khác;
Nội dung các vấn đềtrên phải tính đến các điều khoản trong hợp đồng công ty ký kết với nhân viên
và các hợp đồng dịch vụ(xem 6.1.4 và 6.3.5).
9.2.2. Quản lý ưu tiên (Privilege management)
Việc cấp và sửdụng cácưu tiên (bất cứđặc tính hoặc điều kiện nào mà một hệthống đa người dùng
cho phép người dùng vượt qua sựkiểm soát của hệthống) phải được giới hạn và kiểm soát chặt chẽ.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
41
Việc sửdụng không thích hợp các ưu tiên thường là một trong sốcác nguyên nhân gây ra các hỏng
hóc của hệthống. Việc cấp quyền ưu tiên phải theo một quy trình cấp phép hình thức. Các bước sau
được cân nhắc.
a) Xác định cácưu tiên liên quan đến phần mềm hệthống và ứng dụng;
b) Các ưu tiên được cấp cho các cá nhân theo nhu cầu thực tếhoặc theo diễn biến của tình hình thực
tế;
c) Một quy trình cấp phép (authorization process) và một danh sách tất cảcác ưu tiên đã cấp cần
được duy trì và cập nhật thường xuyên. Các ưu tiên chưa được chấp nhận cấp cho đến khi quy trình
cấp phép hoàn thành;
d) Mô tảcác công việc hàng ngày của hệthống và mục đích của nó cần được phổbiến rộng rãi để
tránh việc cấp các ưu tiên (quá rộng) cho người dùng;
9.2.3. Quản lý mật khẩu người dùng (User password management)
Mật khẩu là phương tiện thường được dùng đểxác nhận một người khi truy nhập một hệthống hoặc
một dịch vụ. Sựsửdụng mật khẩu cần được kiểm soát thông qua việc sửdụng một quy trình quản lý
hình thức:
a) Yêu cầu người dùng ký vào một biên bản cam kết giữbí mật mật khẩu cá nhân;
b) Yêu cầu người sửdụng thay đổi mật khẩu thường xuyên. Nếu người dùng quên mật khẩu, hệ
thống có thểcấp cho họmột mật khẩu khác dùng tạm thời, mật khẩu này cần thay đổi ngay sau khi
người dùng truy nhập hệthống;
c) Các mật khẩu tạm thời phải đảm bảo an ninh hệthống. Nơi lưu trữmật khẩu cần phải được đảm
bảo an ninh.
9.2.4. Soát xét các quyền của người dùng (Review of user access rights)
Đảm bảo kiểm soát hiệu quảcác truy nhập dữliệu và dịch vụthông tin.
Cần một quy trình hình thức đểsoát xét quyền của người dùng sao cho:
a) Các quyền của người dùng phải được soát xét định kỳ(nên 6 tháng 1 lần) và sau bất kỳsựthay
đổi nào (xem 9.2.1);
b) Với các quyền truy nhập được ưu tiên đặc biệt (xem 9.2.2) phải được soát xét thường xuyên hơn
(nên 3 tháng 1 lần);
c) Các quyền ưu tiên được kiểm tra định kỳđểđảm bảo các ưu tiên không cần thiết (unauthorized
privileges) sẽbịloại bỏ.
9.3. Trách nhiệm của người dùng (User responsibilities)
Mục đích: đểtránh các truy nhập của người dùng không được cấp phép (to prevent unauthorized
user access).
Sựphối hợp hoạt động (co-operation) của những người dùng được cấp phép (với những người
có trách nhiệm đảm bảo an ninh của hệthống) là yếu tốcơbản đảm bảo hiệu quảan ninh. Người
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
42
dùng cần hiểu biết vềtrách nhiệm của họtrong việc duy trì các kiểm soát truy nhập hiệu quả, đặc
biệt liên quan đến việc sửdụng mật khẩu và an ninh của các thiết bịcá nhân (user equipment).
9.3.1. Sử dụng mật khẩu (Password use)
Người dùng phải tuân theo các hướng dẫn an ninh khi chọn lựa và sửdụng mật khẩu. Người dùng
được cần:
a) Giữbí mật mật khẩu;
b) Tránh ghi mật khẩu ra giấy, trừkhi tờgiấy này được lưu trữtại một nơi an toàn;
c) Thayđổi mật khẩu ngay khi có bất kỳdấu hiệu nào thểhiện mật khẩu bịlộ;
d) Mật khẩu phải có ít nhất 6 ký tự;
1) Mật khẩu nên dễnhớ;
2) Không liên quan gì đến các thông tin của bản thân như: tên, sốđiện thoại, ngày sinh…;
3) Mật khẩu là một dãy ký tựliền nhau toàn chữsốhoặc toàn chữcái, hoặc xen lẫn sốvà chữcái;
e) Thay đổi mật khẩu định kỳdựa trên sốlần truy nhập (mật khẩu của các accounts ưu tiên phải thay
đổi với chu kỳngắn hơn), tránh sửdụng lại các mật khẩu cũtheo chu kỳ;
f) Thayđổi ngay mật khẩu tạm thời sau lần đăng nhập đầu tiên;
g) Không bao gồm mật khẩu trong các tiến trình đăng nhập tựđộng (do not include passwords in
any automated log-on process);
h) Không chia sẻcác mật khẩu cá nhân;
Nếu người dùng phải truy nhập nhiều dịch vụvà nền (platform) khác nhau thì nên dùng chung một
mật khẩu theo tiêu chuẩn (đã nói trong d)).
9.3.2. Các thiết bị không người giám sát (Unattended user equipment)
Cần đảm bảo các thiết bịkhông giám sát được bảo vệthích hợp khỏi các truy nhập không phép, đó
có thểlà các workstations hoặc các file servers. Người dùng và nhà cung cấp thiết bịphải nắm bắt
được các yêu cầu an ninh và các thủtục bảo vệcác thiết bịloại này, cũng nhưtrách nhiệm của họ
trong việc thực hiện các biện pháp bảo vệđó. Nguời dùng đuợc khuyên:
a) Tắt các phiên làm việc tích cực ngay sau khi kết thúc (terminate active sessions when finished),
trừkhi thiết bịđược bảo vệbằng một cơchếkhoá thích hợp, ví dụ, mật khẩu bảo vệmàn hình;
b)Đặt mainframe computers ở chế độ log – off ngay sau khi kết thúc phiên làm việc;
c) Tất cảcác PCs và các thiết bịđầu cuối đều phải có mật khẩu truy nhập;
9.4. Kiểm soát truy nhập mạng (Network access control)
Mục đích: bảo vệcác dịch vụmạng.
Truy nhập các dịch vụnối mạng bên trong hay bên ngoài tổchức (internal and external networked
services) đều phải được kiểm soát. Sựkiểm soát này là cần thiết đểtránh các việc làm ảnh hưởng
không tốt đến an ninh mạng bằng cách đảm bảo:
a) Có các giao diện thích hợp giữa các mạng của tổchức và các mạng ngoài tổchức;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
43
b) Có cơchếcấp phép thích hợp cho người dùng và các thiết bị;
c) Kiểm soát truy nhập của người dùng tới các dịch vụthông tin;
9.4.1. Chính sách về việc sử dụng các dịch vụ mạng (Policy on use of network services)
Kết nối mạng không an toàn có thể ảnh hưởng đến toàn bộ tổ chức. Người dùng chỉđược truy nhập
trực tiếp các dịch vụmà họđược cấp phép sửdụng. Kiểm soát này đặc biệt quan trọng khi kết nối từ
các ứng dụng quan trọng và nhạy cảm hoặc từnhững người dùng ởcác vịtrí rủi ro cao, ví dụ, kết
nối từvùng công cộng hoặc vùng bên ngoài sựkiểm soát an ninh của tổchức.
Một chính sách cần được trình bày có hệthống vềvấn đềsửdụng mạng hoặc sửdụng dịch vụ
mạng. Chính sách phải bao hàm:
a) Mạng và các dịch vụmạng chỉđược truy nhập khi được phép;
b) Cần các thủ tục cấp phép cho những ai được phép truy nhập mạng và các dịch vụmạng;
c) Các kiểm soát và thủtục bảo vệcác truy nhập mạng và dịch vụmạng. Nội dung này phải nhất
quán với các nội dung vềkiểm soát truy nhập nghiệp vụtrong chính sách an ninh (xem 9.1).
9.4.2. Đường ép buộc (Enforced path)
Đường kết nối từthiết bịđầu cuối của người dùng tới các dịch vụcần được kiểm soát. Các mạng
được thiết kếđểcho phép tối đa hóa phạm vi chia sẻtài nguyên và sựmềm dẻo của thuật toán tìm
đường (flexibility of routing). Các đặc tính này đồng thời cũng tạo điều kiện cho truy nhập không
phép tới các ứng dụng nghiệp vụ, sửdụng không phép thiết bịthông tin. Cần các kiểm soát phối hợp
(incorporating controls) đểgiới hạn các đường đi (routes) giữa một thiết bịđầu cuối tới các dịch vụ
mà người dùng (của thiết bịđầu cuối) được phép truy nhập, ví dụ, thiết lập một đường ép buộc
(enforced path) có thểgiảm bớt các rủi ro nhưvậy. Mục đích của một đường ép buộc là ngăn ngừa
người dùng chọn các đường đi ngoài đường (route) đã được ép buộc giữa thiết bịđầu cuối và dịch
vụđược cấp phép sửdụng. Đểđạt mục đích này, cần thực hiện một sốkiểm soát tại các điểm khác
nhau trên đường đi. Cách làm này nhằm giới hạn khảnăng tìm đường (routing ) rộng rãi tại mỗi
điểm trên mạng qua một sốlựa chọn đã định nghĩa.
Các ví dụtheo cách làm đó nhưsau:
a) Cấp các đường chuyên dụng (dedicated lines) hoặc các sốđiện thoại riêng;
b) Cấp các cổng kết nối tựđộng tới các hệthống dành riêng (specified application systems) hoặc các
gateways an ninh;
c) Tuỳbiến chọn menu đối với mỗi người dùng;
d) Ngăn ngừa chuyển mạng (network roaming) không giới hạn;
e) Tăng cường sửdụng các ứng dụng dành riêng và/hoặc các gateways an ninh đối với những người
sửdụng mạng bên ngoài;
f) Sửdụng các kiểm soát tính cực kết nối từnguồn tới đích (source to destination communications)
qua các gateways an ninh, ví dụ, dùng tường lửa;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
44
g) Giới hạn truy nhập mạng bằng việc thiết lập các logical domains riêng, ví dụ, các mạng riêng ảo
cho các nhóm người dùng trong tổchức (xem 9.4.6). Các yêu cầu đối với đường ép buộc phải dựa
trên chính sách kiểm soát truy nhập (xem 9.1).
9.4.3. Chứng thực người dùng từ các kết nối ngoài
(User authentication for external connections)
Các kết nối ngoài tạo điều kiện tiềm tàng cho các truy nhập không phép vào hệthống, ví dụ, cách
truy nhập bằng dial – up. Vì vậy, truy nhập từxa vào hệthống phải được chứng thực. Có nhiều cách
chứng thực, một vài trong sốđó là cấp một mức bảo vệcao hơn các mức khác, ví dụ, cách truy nhập
dựa trên kỹthuật mã hoá có thểlà một chứng thực khá tốt. Đểphù hợp nhất với thực tế, nên căn cứ
báo cáo đánh giá rủi ro đểxác định mức bảo vệtốt nhất, từđó đưa ra cách chứng thực thích hợp.
Chứng thực cho những người dùng truy nhập từxa có thểđược thực hiện dựa trên, ví dụ, sửdụng kỹ
thuật mã hoá, các thẻphần cứng (hardware tokens) hoặc một giao thức thách thức/đáp ứng
(challenge/response protocol). Các đường dành riêng chuyên dụng (dedicated private lines) hoặc
một thiết bịkiểm tra địa chỉngười dùng mạng (network user address checking facility) cũng có thể
đảm bảo an toàn các nguồn kết nối.
Các thủtục và các kiểm soát dial-back, ví dụ, sửdụng các dial-back modems có thểbảo vệcác
thiết bịxửlý thông tin của tổchức khỏi các kết nối không phép. Loại kiểm soát này chứng thực
người dùng thực hiện một kết nối từxa đến mạng máy tính của tổchức. Khi sửdụng loại kiểm soát
này, tổchức không nên sửdụng các dịch vụmạng nhưchuyển tiếp cuộc gọi (call forwarding) hoặc,
nếu có thể, thì nên cấm sửdụng các đặc tính nhưvậy đểtránh sựnhầm lẫn các truy nhập không phép
với các dịch vụđó.
9.4.4. Chứng thực nút mạng (Node authentication)
Một thiết bịkết nối tựđộng tới một máy tính ởxa có thểlà cách thuận lợi đểngười ngoài truy nhập
không phép vào hệthống. Vì thế, các kết nối tới máy tính ởxa cần được chứng thực. Điều này đặc
biệt quan trọng nếu kết nối đó sửdụng một mạng ởbên ngoài sựkiểm soát an ninh của tổchức.
Xem một sốví dụvềchứng thực và hoàn thành chứng thực tại 9.4.3.
Chứng thực nút mạng có thểđược coi nhưmột phương tiện có thểlựa chọn (an alternative
means) đểchứng thực những người dùng ởxa kết nối tới hệthống (xem 9.4.3).
9.4.5. Bảo vệ cổng chẩn đoán từ xa (Remote diagnostic port protection)
Truy nhập các cổng chẩn đoán (diagnostic ports) cần được kiểm soát an ninh. Nhiều hệthống có thể
được cài đặt cổng chẩn đoán từxa đểthực hiện công việc bảo trì. Nếu không được bảo vệ, các cổng
chẩn đoán có thểlà phương tiện cho các truy nhập không phép. Vì vậy, các cổng chẩn đoán cần
được bảo vệbằng một cơchếan ninh thích hợp.
9.4.6. Chia tách mạng (Segregation in networks)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
45
Các mạng thường được mởrộng theo biên giới của tổchức, ví dụ, các hiệp hội doanh nghiệp thường
kết nối mạng giữa các doanh nghiệp thành viên đểchia sẻtài nguyên và thông tin. Sựmởrộng như
vậy thường làm tăng nguy cơtừcác truy nhập không phép.
Trong hoàn cảnh ấy, cần hình thành các kiểm soát trên mạng đểchia tách các nhóm dịch vụ,
người dùng và hệthống thông tin. Một phương pháp kiểm soát an ninh của các mạng lớn là phân
chia mạng thành các logic domains, ví dụ, phân chia mạng thành các domain bên trong tổchức và
bên ngoài tổchức, mỗi vùng có các vành đai an ninh riêng. Một vành đai nhưvậy có thểđược thực
hiện bằng cách cài đặt một gateway an ninh giữa 2 vùng mạng đểkiểm soát thông tin lưu thông giữa
chúng và do đó có thểngăn chặn các truy nhập không phép phù hợp với chính sách an ninh (xem
9.1). Một hình thức của gateway kiểu này là tường lửa. Tiêu chuẩn đểchia tách các mạng thành các
domains cần dựa trên chính sách kiểm soát truy nhập và các yêu cầu truy nhập (xem 9.1), cũng phải
tính đến chi phí tương đối và ảnh hưởng đến hiệu suất làm việc của tổchức khi chia tách nhưvậy
(xem 9.4.7 và 9.4.8).
9.4.7. Kiểm soát kết nối mạng (Network connection control)
Chính sách kiểm soát truy nhập đối với các mạng dùng chung (shared networks), đặc biệt là liên
mạng giữa các tổchức, có thểcần sựphối hợp giữa các kiểm soát đểgiới hạn khảnăng kết nối của
người dùng. Các kiểm soát nhưvậy có thểđược thực hiện thông qua các gateways theo các quy tắc
nhất định, phù hợp với chính sách kiểm soát truy nhập và các yêu cầu đối với các ứng dụng nghiệp
vụ(xem 9.1). Các ví dụsau có thểứng dụng kiểm soát đó:
a) Thưđiện tử;
b) Truyền tệp một chiều;
b) Truyền tệp hai chiều;
d) Truy nhập lẫn nhau;
e) Ghi lại ngày, giờkết nối.
9.4.8. Kiểm soát tìm đường trên mạng (Network routing control)
Các mạng dùng chung, đặc biệt liên mạng giữa các tổchức có thểcần sựphối hợp các kiểm soát tìm
đường đi (routing controls) nhằm đảm bảo các kết nối máy tính và các luồng thông tin không vi
phạm chính sách kiểm soát truy nhập (xem 9.1). Kiểm soát tìm đường đi rất cần thiết đối với các
mạng có sựtham gia của thành phần thứba.
Kiểm soát tìm đường đi cần dựa trên cơchếkiểm tra địa chỉnguồn và đích rõ ràng. Dịch địa chỉ
mạng (network address translation) cũng là một cơchếthông thường đểngăn cách các mạng và
ngăn ngừa các đường đi từmạng của tổchức tới các mạng khác. Cơchếnày có thểđược thực hiện
dưới dạng phần mềm hoặc phần cứng. Những người thực hiện cần phải hiểu điểm mạnh, yếu của
một cơchếđược triển khai.
9.5. Kiểm soát truy nhập hệđiều hành (Operating system access control)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
46
Mục đích: tránh truy nhập vào các máy tính không được phép.
Các công cụan ninh mức HĐH phải đảm bảo hạn chếcác truy nhập tài nguyên của máy tính. Các
công cụđó cần phải có các khảnăng sau:
a) Xác định và kiểm tra định danh (ID) của người truy nhập, nếu cần thì có thểkiểm tra vịtrí hoặc
thiết bịđầu cuối của họ;
b) Ghi lại các truy nhập thành công và thất bại;
c) Cung cấp các phương tiện thích hợp đểchứng thực; nếu một hệthống quản lý mật khẩu được sử
dụng thì phải đảm bảo các mật khẩu đúng quy định (xem 9.3.1 d));
d) Khi thích hợp, hãy giới hạn thời gian kết nối của người dùng.
9.5.1. Định danh thiết bị đầu cuối tự động (Automatic terminal identification)
Định danh thiết bị đầu cuối tự động dùng để chứng thực các kết nối từ hệ thống tới những vị trí đặc
biệt (specific locations) hoặc kết nối tới các thiết bị di động. Một ID được gắn với thiết bịđầu cuối
đểbiểu thịthiết bịđầu cuối này có được phép khởi tạo (initiate) hoặc nhận các giao dịch đặc biệt
hay không. Các ID nhưthếcần được bảo vệbằng các phương pháp vật lý. Một sốkỹthuật khác có
thểđược dùng đểchứng thực người dùng (xem 9.4.3).
9.5.2. Các thủ tục đăng nhập thiết bị đầu cuối (Terminal log-on procedures)
Các dịch vụthông tin chỉcó thểđược truy nhập thông qua một tiến trình đăng nhập an ninh. Các thủ
tục đăng nhập cần được thiết kếsao cho tối thiếu hoá các cơhội truy nhập không phép. Một thủtục
đăng nhập tốt phải:
a) Không hiển thịID của hệthống hoặc của ứng dụng cho đến khi tiến trình đăng nhập đã thành
công hoàn toàn;
b) Hiển thịmột cảnh báo là máy tính chỉđược truy nhập bởi những người dùng đã cấp phép;
c) Không cung cấp trợgiúp trong các thủtục đăng nhập;
d) Kiểm tra sựđầy đủcủa các thông tin đăng nhập. Nếu thông tin nào không đầy đủ, hệthống chỉra
thông tin ấy;
e) Giới hạn sốlần đăng nhập không thành công (nên là 3), cụthểnhưsau:
1) Ghi lại sốlần đăng nhập không thành công;
2) Đối với các đăng nhập không thành công, càng vềsau càng tăng độtrễthời gian giữa 2 lần đăng
nhập hoặc từchối các đăng nhập không đúng tên người dùng;
3) Cắt kết nối khi sốlần đăng nhập sai vượt quá sốlần đăng nhập sai cho phép;
f) Giới hạn sốlần đăng nhập tối đa và tối thiểu. Nếu vượt quá sốlần đăng nhập, hệthống không cho
phép thực hiện thủtục đăng nhập;
g) Hiển thịcác thông tin sau mỗi khi đăng nhập thành công:
1) Ngày và giờcủa lần đăng nhập thành công trước đó;
2) Chi tiết vềcác lần đăng nhập không thành công từlần đăng nhập thành công cuối cùng.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
47
9.5.3. Định danh và chứng thực người dùng (User identification and authentication)
Mọi người dùng (nhân viên trợgiúp kỹthuật, nhân viên vận hành, nhân viên quản trịmạng, lập trình
viên, nhân viên quản trịCSDL) đều phải có một định danh duy nhất (user ID) nhằm kiểm soát các
hoạt động của họtrên hệthống. Mọi user IDs đều không có dấu hiệu nào vềcác mức ưu tiên của
người dùng (xem 9.2.2). Trong những trường hợp đặc biệt do đòi hỏi nghiệp vụ, có thểsửdụng một
user ID chung (shared user ID) cho một nhóm người dùng hoặc một công việc cụthể. Những trường
hợp nhưthếcần sựchấp thuận bằng văn bản của cấp quản lý có thẩm quyền. Các kiểm soát phụcó
thểđược thực hiện đểđảm bảo trách nhiệm giải trình (to maintain accountability). Có thểdùng các
thủtục chứng thực khác đểchứng minh sựhợp lệcủa người dùng. Mật khẩu (xem 9.3.1 và tiếp theo)
là cách thông dụng nhất đểđịnh danh và chứng thực (identification and authentication, I&A) dựa
trên thông tin bí mật chỉngười dùng biết. Tương tựkhi sửdụng các phương pháp mã hoá và các
giao thức chứng thực Có thểsửdụng thẻnhớhoặc thẻthông minh (memory tokens or smart cards)
đểthực hiện I & A cho mỗi người dùng. Các kỹthuật chứng thực sinh trắc học có thểđược dùng ở
đây. Thực tếcó thểdùng kết hợp các kỹthuật khác nhau đểtăng cường tính chặt chẽcủa chứng
thực.
9.5.4. Hệ thống quản lý mật khẩu (Password management system)
Mật khẩu là một trong các phương tiện cơbản đểchứng thực người dùng. Hệthống quản lý mật
khẩu phải đảm bảo các mật khẩu hợp lệmới được chấp nhận (xem nội dung 9.3.1 vềmật khẩu). Một
sốứng dụng yêu cầu các mật khẩu được thiết lập bởi một người độc lập. Trong phần lớn các trường
hợp, các mật khẩu được chọn lựa và duy trì bởi chính người dùng. Một hệthống quản lý mật khẩu
tốt cần phải:
a) Bắt buộc sửdụng mật khẩu cá nhân đểđảm bảo trách nhiệm giải trình;
b) Khi cần, hệthống đểngười dùng chọn và thay đổi mật khẩu của chính họ;
c) Bắt buộc các mật khẩu phải đúng tiêu chuẩn nhưtrong 9.3.1;
d) Khi người dùng duy trì mật khẩu của riêng họquá thời gian quy định, hệthống yêu cầu người
dùng thay đổi mật khẩu (xem 9.3.1);
e) Yêu cầu người dùng thayđổi mật khẩu sau lần đăng nhập đầu tiên (xem 9.2.3);
f) Lưu trữlại các mật khẩu trước đó của người dùng, ví dụtrong thời gian 1 năm trước, đểtránh
người dùng sửdụng lại mật khẩu đó;
g) Không hiển thịmật khẩu trên màn hình khi nhập;
h) Lưu trữmật khẩu tách khỏi CSDL của hệthống;
i) Lưu trữmật khẩu dưới dạng mã hoá;
j) Sửa lại mật khẩu ngầm định của nhà cung cấp sản phẩm sau khi đã cài đặt phần mềm của nhà
cung cấp.
9.5.5. Sử dụng các tiện ích của hệ thống (Use of system utilities)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
48
Phần lớn các hệthống chương trình có một hoặc một vài tiện ích cho phép “qua mặt” hệthống và
các kiểm soát. Vì vậy, các tiện ích đó cần phải được hạn chếsửdụng và được kiểm soát chặt chẽ.
Các kiểm soát sau có thểđược sửdụng:
a) Sửdụng các thủtục chứng thực đối với các tiện ích hệthống;
b) Tách các tiện ích hệthống khỏi phần mềm ứng dụng;
c) Giới hạn việc sửdụng các tiện ích ởsốngười nhỏnhất có thể;
d) Cấp phép cho việc sửdụng các tiện ích đặc biệt;
e) Giới hạn tính sẵn sàng sửdụng của các tiện ích hệthống, ví dụ, các tiện ích sẽtựđộng hết thời
hạn cấp phép sau một khoảng thời gian cốđịnh, nếu có nhu cầu thì phải cấp phép lại;
f) Ghi lại diễn biến sửdụng của mọi tiện ích hệthống;
g) Định nghĩa và ghi lại bằng văn bản các mức giấy phép đối với các tiện ích (authorization levels
for system utilities);
h) Loại bỏ tất cả các tiện ích không cần thiết;
9.5.6. Thiết bị cảnh báo người dùng (Duress alarm to safeguard users)
Trong một sốtrường hợp cần lắp đặt các thiết bịcảnh báo người dùng trước những những sai lỗi có
thểmắc phải. Quyết định lắp hay không phụthuộc vào mức độđánh giá rủi ro.
9.5.7. Ngừng thiết bị đầu cuối sau một khoảng thời gian không hoạt động (Terminal time-out)
Thiết bịđầu cuối hoạt động tại các địa điểm nhiều rủi ro (Inactive terminals in high risk locations) ở
ngoài tổchức hoặc ởnơi công cộng, hoặc khi trợgiúp các hệthống rủi ro cao, cần được tựđộng tắt
sau một khoảng thời gian không hoạt động đã định đểtránh các truy nhập không phép. Sau khoảng
thời gian không hoạt động đã định, thiết bịtựđóng tất cảcác ứng dụng, cắt tất cảcác phiên mạng và
xoá trắng màn hình, sau đó tựkết thúc phiên làm việc. Độdài của thời gian không hoạt động phụ
thuộc vào mức độđánh giá rủi ro tại vịtrí của thiết bị.
9.5.8. Giới hạn thời gian kết nối (Limitation of connection time)
Giới hạn thời gian kết nối cũng là một trong sốcác biện pháp an ninh được thực hiện nhằm hạn chế
các truy nhập không phép. Kiểm soát này thường được thực hiện đối với các ứng dụng nhạy cảm,
đặc biệt đối với các thiết bịđầu cuối tại các vịtrí nhiều rủi ro. Ví dụvềcác giới hạn này:
a) Sửdụng các khe thời gian đã định (predetermined time slots) đểtruyền tệp;
b) Giới hạn thời gian kết nối nếu không có yêu cầu đặc biệt nào vềnới rộng thời gian kết nối.
9.6. Kiểm soát truy nhập ứng dụng (Application access control)
Mục đích: tránh các truy nhập không đuợc cấp phép vào hệ thống.
Các biện pháp an ninh được sửdụng đểgiới hạn truy nhập các hệthống ứng dụng, tuy nhập chỉ
được thực hiện đối với các cá nhân được cấp phép. Các hệthống ứng dụng cần:
a) Kiểm soát truy nhập của người dùng phù hợp với nội dung chính sách kiểm soát truy nhập nghiệp
vụđã định nghĩa;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
49
b) Cung cấp các phương thức bảo vệhệthống trước các truy nhập không phép từbất cứtiện ích nào
có khảnăng "qua mặt” các kiểm soát;
c) Không thoảhiệp vềan ninh với các hệthống khác vềtài nguyên thông tin dùng chung;
d) Chỉdành quyền truy nhập thông tin cho chủsởhữu thông tin, các cá nhân được cấp phép đã chỉ
định (nominated authorized individuals) hoặc các nhóm người dùng đã định nghĩa.
9.6.1. Giới hạn truy nhập thông tin (Information access restriction)
Người dùng được truy nhập hệthống theo các nguyên tắc phù hợp chính sách kiểm soát truy nhập đã
định, theo các yêu cầu nghiệp vụcá nhân nhất quán với chính sách kiểm soát truy nhập thông tin của
tổchức (xem 9.1). Nội dung các kiểm soát giới hạn truy nhập:
a) Tạo các menus đểkiểm soát truy nhập ứng dụng;
b) Giới hạn cung cấp thông tin vềcác chức năng hệthống mà người dùng không có quyền truy nhập
thông qua việc soạn thảo tài liệu người dùng một cách thích hợp;
c) Kiểm soát quyền truy nhập của người dùng, ví dụ, quyền đọc, ghi, xoá, …;
d) Đảm bảo các thông tin đầu ra của hệthống không bao gồm thông tin nhạy cảm và chỉđược gửi
tới các thiết bịđầu cuối đã được cấp phép, các thông tin này định kỳđược soát xét đểloại bỏcác dư
thừa không cần thiết.
9.6.2. Cô lập các hệ thống nhạy cảm (Sensitive system isolation)
Các hệthống nhạy cảm cần được cô lập khỏi môi trường tính toán chung. Các hệthống này cần hoạt
động trên một máy tính bịcô lập và chỉchia sẻtài nguyên với các hệthống khác được tin cậy. Các
vấn đềsau cần được quan tâm:
a) Độnhạy cảm của một hệthống cần được xác định rõ ràng và được ghi lại thành văn bản (xem
4.1.3);
b) Khi một ứng dụng nhạy cảm làm việc trong môi trường chung thì hệthống và các tài nguyên của
nó cần được xác định và thoảthuận với chủsởhữu hệthống nhạy cảm.
9.7. Giám sát truy nhập hệthống và giám sát sửdụng hệthống
(Monitoring system access and use)
Mục đích: đểphát hiện các hoạt động không được cấp phép.
Các hệthống cần được giám sát đểphát hiện các vi phạm (deviation) chính sách kiểm soát truy nhập
và cần ghi chép lại các sựkiện có thểgiám sát nhằm cung cấp bằng chứng trong trường hợp xảy ra
các sựcốan ninh.
9.7.1. Ghi lại các sự kiện (Event logging)
Ghi chép lại các sựkiện cần được thực hiện thường xuyên và được lưu trữlại trong khoảng thời gian
nhất định. Các ghi chép bao gồm:
a) Tất cảuser IDs;
b) Ngày giờđăng nhập và đăng xuất hệthống;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
50
c) Định danh thiết bịđầu cuối hoặc địa điểm của thiết bịđầu cuối nếu có thể;
d) Các lần truy nhập thành công và không thành công;
e) Các lần truy nhập thành công và không thành công dữliệu và các tài nguyên khác.
9.7.2. Giám sát sử dụng hệ thống (Monitoring system use)
9.7.2.1. Thủ tục rủi ro và lĩnh vực rủi ro (Procedures and areas of risk)
Thủtục giám sát sửdụng các thiết bịxửlý thông tin cần được thiết lập. Các thủtục này đảm bảo
người dùng chỉthực hiện nhưng việc đã được cấp phép. Mức giám sát đối với các thiết bịcá nhân
được xácđịnh thông qua việc đánh giá rủi ro. Các lĩnh vực cần quan tâm bao gồm:
a) Các truy nhập được cấp phép, chi tiết nhưsau:
1) User ID;
2) Ngày giờxảy ra các sựkiện quan trọng (key events);
3) Loại sựkiện (the types of events);
4) Các tệp truy nhập;
5) Chương trình/tiện ích được sửdụng;
b) Các hoạt động được ưu tiên như:
1) Sửdụng các tài khoản giám sát (use of supervisor account);
2) Khởi động và kết thúc hệthống (system start-up and stop);
3) Gắn và tháo các thiết bịvào/ra (I/O device attachment/detachment);
c) Các truy nhập không được cấp phép như:
1) Các truy nhập bịhỏng (failed attempts);
2) Vi phạm chính sách truy nhập và các thông tin khai báo đểvượt qua tường lửa;
3) Các truy nhập bịhệthống phát hiện chống xâm nhập nghi nghờ;
d) Các báo động và các hỏng hóc như:
1) Báo động trên bảng điều khiển hoặc phát thông báo (console alerts or messages);
2) Các ngoại lệghi trong nhật ký hệthống (system log exceptions);
3) Các thiết bịbáo động quản lý mạng.
9.7.2.2. Các yếu tố rủi ro (Risk factors)
Kết quảcủa các hoạt động giám sát cần được soát xét định kỳ. Các yếu tốrủi ro cần quan tâm:
a) Tầm quan trọng quyết định của các tiến trình ứng dụng (the criticality of the application
processes);
b) Giá trị, độnhạy cảm hoặc tầm quan trọng quyết định của thông tin kèm theo (the value,
sensitivity or criticality of the information involved);
c) Kinh nghiệm quá khứvềxâm nhập hệthống và lạm dụng hệthống;
d) Sựmởrộng các kết nối hệthống (đặc biệt các kết nối với mạng công cộng).
9.7.2.3. Ghi lại và soát xét các sự kiện (Logging and reviewing events)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
51
Soát xét nhật ký hệthống (log review) bao gồm việc tìm hiểu các nguy cơmà hệthống phải đối mặt
và các cách thức theo đó nguy cơtăng lên. Ví dụvềcác sựkiện cần những tìm hiểu sâu hơn trong
trường hợp xảy ra các sựcốan ninh xin đọc trong 9.7.1. Các nhật ký hệthống thường chứa đựng
một lượng thông tin lớn, mà phần nhiều trong sốchúng chảliên quan gì đến việc giám sát an ninh.
Để trợ giúp định danh các sự kiện quan trọng đối với mục đích giám sát an ninh, cần sửdụng các
tiện ích thích hợp đểbóc tách từnhật ký các thông tin liên quan đến an ninh, việc này gọi là soát xét
các sựkiện. Khi giao trách nhiệm soát xét (review) cho người nào đó thì không được đểngười đó
đồng thời thực hiện trách nhiệm giám sát (monitor). Cần chú ý đặc biệt việc đảm bảo an ninh của
nhật ký hệthống (logging) vì chỉcần nhật ký bịcan thiệp thì sẽlàm giảm mức độgiám sát an ninh.
Các kiểm soát ởđây bao gồm:
a) Bảo vệcan thiệp không phép vào nhật ký hệthống;
b) Chọn lọc đối với các thông tin cần ghi lại;
c) Soạn thảo hoặc xoá (edited or deleted) tệp nhật ký;
d) Bảo vệthiết bịlưu trữnhật ký.
9.7.3. Đồng bộ hoá đồng hồ (Clock synchronization)
Thiết lập đúng đồng hồmáy tính là điều kiện quan trọng đểđảm bảo tính chính xác của nhật ký hệ
thống vềmặt thời gian xảy ra sựkiện. Sựthiếu chính xác của đồng hồmáy tính có thểgây ra các sai
lầm trong khi tìm kiếm bằng chứng cần thiết khi sựcốxảy ra. Có thểđồng bộhoá đồng hồtheo
đồng hồchuẩn trên máy chủ.
9.8. Tính toán di động và làm việc di động (Mobile computing and teleworking)
Mục đích: đểđảm bảo an ninh thông tin khi sửdụng các thiết bịtính toán và làm việc di động.
Đối với các thiết bịdi động thì rủi ro cao hơn các thiết bịtại văn phòng, vì vậy cần sựbảo vệtương
ứng.
9.8.1. Tính toán di động (Mobile computing)
Khi sửdụng các thiết bịtính toán di động nhưnotebooks, palmtops, laptops, mobile phones, … thì
cần đảm bảo các thông tin nghiệp vụkhông bịdàn xếp. Chính sách an ninh thông tin phải có các
điều khoản vềvấn đềnày. Ví dụ, phải có các yêu cầu vềbảo vệvật lý, kiểm soát truy nhập, các kỹ
thuật mã hoá, sao lưu và chống virus. Các quy tắc và lời khuyên vềkết nối các thiết bịdi động với
mạng, các hướng dẫn sửdụng các thiết bịdi động trong môi trường công cộng. Các biện pháp bảo
vệnày nhằm tránh các truy nhập không phép hoặc đểlộthông tin được lưu trữvà xửlý bởi các thiết
bịdi động (xem 10.3). Các thủtục chống phần mềm phá hoại cũng cần được soát xét và cập nhật
(xem 8.3). Thiết bịsao lưu phải luôn sẵn sàng và được bảo vệthích hợp. Các biện pháp bảo vệthích
hợp cần được sửdụng khi các thiết bịkết nối với mạng. Các truy nhập thông tin nghiệp vụtừxa
thông qua mạng công cộng sửdụng các thiết bịtính toán di động chỉđược thực hiện sau khi đã định
danh và chứng thực thành công, đồng thời phải phù hợp với cơchếkiểm soát truy nhập tại chỗ(xem
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
52
9.4). Các thiết bịtính toán di động cần được bảo vệvềmặt vật lý đểtránh bịăn trộm. Thiết bịlưu
trữthông tin quan trọng, nhạy cảm và/hoặc thông tin nghiệp vụmang tính quyết định cần phải được
trông coi và nếu có thểcần phải khoá bằng các khoá đặc biệt. Vềviệc bảo vệcác thiết bịcó thểxem
tại 7.2.5. Các nhân viên sửdụng các thiết bịtính toán di động cần phải được đào tạo vềcác cách
thức bảo vệthiết bị.
9.8.2. Làm việc từ xa (
Nhân viên có thểsửdụng công nghệtruyền thông đểlàm việc từxa tại một vịtrí cốđịnh bên ngoài
tổchức. Cần bảo vệcác thiết bịnày nhằm tránh bịắn cắp, tránh đểlộthông tin, tránh truy nhập
không phép,… Tổchức soạn thảo chính sách, các thủtục và các tiêu chuẩn đểkiểm soát hoạt động
làm việc từxa. Tổchức chỉcấp phép cho các hoạt động làm việc từxa nếu chúng đáp ứng các yêu
cầu chính sách an ninh của tổchức. Cần lưu ý:
a) Vấn đềan ninh vật lý của vịtrí diễn ra hoạt động làm việc từxa (physical security of the
teleworking site), ví dụan ninh của toà nhà và an ninh của môi trường.
b) Môi trường làm việc từxa;
c) Các yêu cầu an ninh truyền thông, độnhạy cảm thông tinđược truy nhập;
d) Nguy cơcủa việc truy nhập không phép thông tin và tài nguyên từnhững người thân thuộc của
nhân viên khi nhân viên truy nhập thông tin từnhà…
Các kiểm soát và thoảthuận sau cần được quan tâm:
a) Cung cấp các thiết bịphù hợp và các phương tiện lưu trữcho các hoạt động làm việc từxa;
b) Định nghĩa vềcác công việc được thực hiện từxa, giờlàm việc từxa, các thông tin được xửlý,
các dịch vụvà hệthống mà các nhân viên làm việc từxa có thểtruy nhập;
c) Cung cấp các thiết bị truyền thông thích hợp, kèm theo cách thức truy nhập từxa đảm bảo an
ninh;
d)Đảm bảo an ninh vật lý;
e) Quyđịnh và hướng dẫn vềcác khách thăm (visitor) truy nhập hệthống từxa;
f) Cung cấp các trợgiúp và bảo trì phần cứng và phần mềm;
g) Các thủtục sao lưu và liên tục công việc;
h) Kiểm soát và giám sát an ninh;
i) Huỷbỏquyền truy nhập khi các hoạt động làm việc từxa kết thúc.
10. Phát triển và bảo trì hệ thống (Systems development and maintenance)
10.1 Yêu cầu an ninh đối với các hệ thống (Security requirements of systems)
Mục đích: để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệthống.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
53
Yêu cầu an ninh bao gồm an ninh cơsởhạtầng (infrastructure), an ninh trình ứng dụng... Tất cảcác
yêu cầu an ninh cần được xác định ngay từkhi chuẩn bịdựán, chúng phải được nghiên cứu nhưmột
phần thiết yếu của tổng thểyêu cầu vềnghiệp vụcủa hệthống.
10.1.1. Phân tích vàđặc tả các yêu cầu an ninh
(Security requirements analysis and specification)
Mô tảcác yêu cầu nghiệp vụđối với các hệthống mới hoặc tăng cường tính năng của các hệthống
đã có thì cần xác định rõ các yêu cầu vềkiểm soát (requirements for controls), gồm đặc tảcác kiểm
soát tựđộng được tích hợp vào hệthống và các kiểm soát được thực hiện bằng các biện pháp hành
chính. Vềphía người dùng thì họmong muốn sửdụng các sản phẩm được đánh giá và cấp chứng chỉ
an ninh từnhững tổchức độc lập.
Các yêu cầu an ninh và các kiểm soát cần phản ánh giá trịnghiệp vụcủa các tài sản thông tin,
các thiệt hại nghiệp vụtiềm tàng có thểlà kết quảcủa các hỏng hóc hệthống hoặc kết quảcủa sự
thiếu vắng các biện pháp an ninh. Cơsởđểphân tích các yêu cầu an ninh và xácđịnh các kiểm soát
là các đánh giá rủi ro. Các kiểm soát được đưa vào hệthống ngay trong giai đoạn thiết kếsẽrẻhơn
và an ninh hơn khi đưa vào hệthống sau khi đã thực thi hệthống.
10.2. An ninh trong các hệthống ứng dụng (Security in application systems)
Mục đích: để tránh mất mát dữ liệu, sửa đổi hoặc gây ra lỗi dữliệu trong các hệthống ứng dụng.
Các kiểm soát thích hợp được đưa vào hệthống trong khi thiết kế, bao gồm kiểm tra sựhợp lệcủa
dữliệu đầu vào (validation of input data), xửlý bên trong và dữliệu đầu ra. Các kiểm soát đó dựa
trên báo cáo đánh giá rủi ro và yêu cầu an ninh.
10.2.1. Kiểm tra tính hợp lệ của dữ liệu đầu vào (Input data validation)
Dữliệu đầu vào của các hệthống ứng dụng cần được kiểm tra đểđảm bảo tính đúng đắn và tính
thích hợp. Các kiểm tra được áp dụng đối với đầu vào của các giao dịch nghiệp vụ, các dữliệu liên
quan đến con người (tên người và địa chỉ, giới hạn tín dụng, các sốtham chiếu khách hàng), các
bảng tham số(giá bán sản phẩm, tỷgiá, thuếsuất). Các kiểm soát sau có thể được sửdụng:
a) Kiểm tra dữliệu đầu vào đểphát hiện các lỗi sau:
1) Nằm ngoài giá trịcho phép ();
2) Các ký tựkhông hợp lệtrong dữliệu nhập vào (invalid characters in data fields);
3) Mất mát dữliệu hoặc dữliệu không đầy đủ(missing or incomplete data);
4) Vượt quá giới hạn của lượng dữliệu cho phép (exceeding upper and lower data volume limits);
5) Các dữliệu không được phép hoặc không nhất quán (unauthorized or inconsistent control data);
b) Soát xét định kỳnội dung của các dữliệu chính đểxác nhận tính hợp lệvà tính toàn vẹn của nó
(periodic review of the content of key fields or data files to confirm their validity and integrity);
c) Kiểm tra các tài liệu đầu vào dưới dạng bản sao đểtìm kiếm bất cứmột thay đổi không phép nào
(Mọi thayđổi dữliệu đầu vào phải được phép);
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
54
d) Các thủ tục đáp ứng các lỗi kiểm tra tính đúng đắn của dữ liệu (procedures for responding to
validation errors);
e) Các thủ tục để kiểm tra tính tin cậy của dữ liệu đầu vào (procedures for testing the plausibility of
the input data);
f) Chỉ rõ trách nhiệm của tất cả những người nhập dữ liệu đầu vào (defining the responsibilities of
all personnel involved in the data input process).
10.2.2. Kiểm soát các tiến trình bên trong (Control of internal processing)
10.2.2.1. Các lĩnh vực rủi ro (Areas of risk)
Dữliệu đầu vào có thểđược nhập đúng nhưng vẫn có thểbịsai do các lỗi xửlý hoặc các hành động
cốý. Vì vậy, các biện pháp kiểm tra tính hợp lệcủa nó cần phải được tích hợp vào hệthống đểphát
hiện các lỗi xửlý. Khi thiết kếcác ứng dụng cần đảm bảo các biện pháp giới hạn được thực hiện để
tối thiểu hoá nguy cơxửlý sai dẫn tới làm mất tính toàn vẹn của dữliệu. Các vấn đềcần quan tâm:
a) Chú ý đặc biệt tới các chức năng thêm, xoá dữliệu trong chương trình, vì đây là các chức năng có
khảnăng xửlý sai nhiều nhất;
b) Các thủtục đểtránh chương trình chạy theo thứtựsai hoặc vẫn chạy sau khi xuất hiện một lỗi xử
lý (the procedures to prevent programs running in the wrong order or running after failure of prior
processing) (xem 8.1.1);
c) Sửdụng các chương trình sửa chữa đểkhôi phục dữliệu sau khi xuất hiện các lỗi xửlý.
10.2.2.2. Kiểm tra và kiểm soát (Checks and controls)
Các kiểm soát cần thiết phụthuộc vào bản chất của ứng dụng và các ảnh hưởng nghiệp vụdo lỗi dữ
liệu. Ví dụvềcác biện pháp kiểm tra có thểđược thực hiện:
a) Các kiểm soát theo phiên hoặc theo lô đểđảm bảo sựcân bằng dữliệu sau khi đã cập nhật các
biện pháp giải quyết (session or batch controls, to reconcile data file balances after transaction
updates);
b) Các kiểm soát cân bằng để kiểm tra các cân bằng mở ngược lại các cân bằng đóng trước đây, như:
1) Các kiểm soát run-to-run (run-to-run controls);
2) file update totals;
3) Các kiểm soát program-to-program;
c) Kiểm tra sựhợp lệcủa các dữliệu do hệthống sinh ra (validation of system-generated data) (xem
10.2.1);
d) Kiểm tra tính toàn vẹn của dữliệu hoặc phần mềm đã download hoặc upload giữa các máy tính
trung tâm và máy tính từxa (xem 10.3.3);
e) hash totals of records and files;
f) Kiểm tra đảm bảo các trình ứng dụng chạy đúng thời gian (checks to ensure that application
programs are run at the correct time);
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
55
g) Kiểm tra đảm bảo các chương trình chạy đúng thứ tự và kết thúc trong trường hợp gặp lỗi, các xử
lý sau đó bị“treo” chođến khi các vấn đề được giải quyết (checks to ensure that programs are run in
the correct order and terminate in case of a failure, and that further processing is halted until the
problem is resolved).
10.2.3. Chứng thực thông báo (Message authentication)
Chứng thực thông báo là một kỹthuật được dùng đểphát hiện các thay đổi không phép, hoặc các
sửa chữa làm sai lạc nội dung của một thông báo được truyền qua mạng. Kỹthuật này có thểđược
cài đặt dưới dạng phần cứng hoặc phần mềm. Chứng thực thông báo được sửdụng trong các ứng
dụng có yêu cầu an ninh là kiểm tra tính toàn vẹn của nội dung một thông báo, ví dụcác hợp đồng,
các giao dịch tài chính trên mạng. Một đánh giá vềcác rủi ro an ninh cần được tiến hành đểxác
định liệu chứng thực thông báo được yêu cầu và xác định phương pháp cài đặt thích hợp nhất.
Chứng thực thông báo không được thiết kếđểbảo vệnội dung của thông báo không bịxem trộm.
Các kỹthuật mật mã (xem 10.3.2 và 10.3.3) có thểđược dùng nhưmột phương tiện thích hợp cho
mục đích chứng thực thông báo.
10.2.4. Kiểm tra tính hợp lệ của dữ liệu đầu ra ()
Dữ liệu đầu ra từ một hệ thống ứng dụng cần đuợc kiểm tra tính hợp lệ để đảm bảo quá trình xử lý
thông tin lưu trữ là đúng đắn và thích hợp. Các hệthống thường được xây dựng dựa trên tiền đềnếu
hệthống đã được xác nhận là xây dựng đúng thiết kế(verification), đáp ứng đúng yêu cầu của khách
hàng (validation) và đã được kiểm thử(testing) thì đầu ra sẽluôn luôn đúng. Nhưng thực tếlại
không phải luôn luôn nhưvậy. Kiểm tra tính hợp lệcủa đầu ra có thểbao gồm:
a) Kểm tra tính hợp lệđểxác nhận liệu dữliệu đầu ra có đúng hay không (plausibility checks to test
whether the output data is reasonable);
b) Kiểm soát đảm bảo xửlý mọi dữliệu (reconciliation control counts to ensure processing of all
data);
c) Cung cấp thông tin đầy đủcho hệthống xửlý kếtiếp đểxác định tính chính xác, tính đầy đủvà
phân loại được thông tin (providing sufficient information for a reader or subsequent processing
system to determine the accuracy, completeness, precision and classification of the information);
d) Thủ tục thực hiện kiểm thửtính hợp lệcủa đầu ra;
e) Chỉ rõ trách nhiệm của tất cả những nguời tham gia tiến trình xửlý dữ liệu đầu ra (defining the
responsibilities of all personnel involved in the data output process).
10.3. Các kiểm soát bằng mật mã (Cryptographic controls)
Mục đích: đểbảo vệtính tin cậy, tính xác thực hoặc tính toàn vẹn của thông tin (To protect the
confidentiality, authenticity or integrity of information). Các kỹthuật mật mã được dùng đểbảo vệ
thông tin tránh các rủi ro mà các cách bảo vệkhác không đảm bảo an toàn.
10.3.1. Chính sách về việc sử dụng các kiểm soát bằng mật mã
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
56
(Policy on the use of cryptographic controls)
Quyết định lựa chọn giải pháp mật mã nhưmột kiểm soát chỉlà một phần trong tiến trình đánh giá
rủi ro và lựa chọn kiểm soát. Một đánh giá rủi ro được thực hiện đểxác định mức bảo vệđối với
thông tin. Đánh giá này có thểđược sửdụng đểxác định liệu một kiểm soát bằng mật mã có thích
hợp hay không, loại kiểm soát nào có thểứng dụng cho mục đích nào và quy trình nghiệp vụnào.
Một tổchức nên xây dựng chính sách nói vềviệc sửdụng các kiểm soát bằng mật mã đểbảo vệ
thông tin của tổchức. Một chính sách nhưvậy phải tối đa hoá lợi ích và tối thiếu hoá rủi ro khi sử
dụng các kỹthuật mật mã, tránh việc sửdụng kỹthuật mật mã không đúng và không thích hợp. Khi
thiết kếmột chính sách nhưvậy cần chú ý:
a) Thiết lập các nguyên lý chung về bảo vệ các thông tin nghiệp vụ, dựa vào đó thiết kế việc sử dụng
các kiểm soát bằng mật mã (the management approach towards the use of cryptographic controls
across the organization, including the general principles under which business information should be
protected);
b) Thiết lập các phương pháp khôi phục thông tin đã mã hoá trong trường hợp mất thông tin, lỗi
thông tin, … (the approach to key management, including methods to deal with the recovery of
encrypted information in the case of lost, compromised or damaged keys);
c) Vai trò và trách nhiệm thực hiện công việc của mỗi người (roles and responsibilities, e.g. who is
responsible for);
d) Thực thi chính sách (the implementation of the policy);
e) Quản lý khoá (the key management) (Xem thêm dưới đểhiểu);
f) Xác định mức thích hợp khi bảo vệ bằng các kỹ thuật mật mã (how the appropriate level of
cryptographic protection is to be determined);
g) Các tiêu chuẩn nào tổ chức cần đáp ứng để thực hiện hiệu quảkỹthuật kiểm soát bằng mật mã
(the standards to be adopted for the effective implementation throughout the organization (which
solution is used for which business processes)).
10.3.2. Mã hoá (Encryption)
Mã hoá được dùng đểbảo vệtính tin cậy (confidentiality) của thông tin. Kỹthuật này được dùng để
bảo vệtính nhạy cảm của các thông tin mang tính quyết định (sensitive or critical information). Căn
cứbáo cáo đánh giá rủi ro, đưa ra mức bảo vệthích hợp theo hai tiêu chí loại và chất lượng của thuật
toán mã hoá (type and quality of the encryption algorithm) và độdài của khoá mã (cryptographic
keys).
10.3.3. Chữ ký số (Digital signatures)
Chữký sốcung cấp một phương tiện bảo vệtính trung thực và tính toàn vẹn của các tài liệu điện tử
(authenticity and integrity of electronic documents). Ví dụ, khi sửdụng TMĐT ta cần phải biết ai ký
vào tài liệu và liệu nội dung tài liệu có bịthay đổi sau khi ký hay không. Chữký sốcó thểđược
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
57
dùng cho bất kỳhình thức nào của tài liệu điện tử, có thểdùng cho các thanh toán điện tử, chuyển
tiền, hợp đồng và thoảthuận. Chữký sốcó thểđược thực hiện bằng cách sửdụng một kỹthuật mật
mã dựa trên một cặp khoá duy nhất liên quan đến nhau, khoá thứnhất được dùng đểtạo ra chữký
(khoá riêng tư) và khoá kia đểkiểm tra chữký (khóa công khai). Vậy quan trọng là phải bảo vệđược
tính tin cậy của khoá riêng tư() và bảo vệđược tính toàn vẹn của khoá công khai (integrity of the
public key). Việc bảo vệđược thực hiện bằng cách sửdụng một chứng chỉkhoá công khai (public
key certificate) (xem 10.3.5). Cần quan tâm đến loại và chất lượng của thuật toán tạo chữký sốvà
độdài của chữký số. Cần lưu ý là đểsửdụng chữký sốthì pháp luật phải có cácđiều khoản vềvấn
đềgiao dịch trên mạng.
10.3.4. Các dịch vụ không thể từ chối (Non-repudiation services)
10.3.5. Quản lý khoá (Key management)
10.3.5.1. Bảo vệ các khoá mã hoá (Protection of cryptographic keys)
Bảo vệcác khoá mã hoá là yêu cầu cơbản đểsửdụng hiệu quảcác kỹthuật mật mã. Bất cứsựdàn
xếp nào vềcác khoá mật mã hoặc khoá mật mã bịmất đều làm giảm tính tin cậy, tính trung thực
và/hoặc tính toàn vẹn của thông tin (confidentiality, authenticity and/or integrity of information).
Một hệthống quản lý khoá hữu hiệu cần trợgiúp hệthống sửdụng hai loại kỹthuật mật mã là:
a) Kỹthuật khoá bí mật, trong đó hai hoặc nhiều thành phần cùng sửdụng một khoá và khoá này
được dùng cảđểmã hoá và đểgiải mã. Khoá này cần được giữbí mật vì bất cứai dùng nó đều có
thểgiải mã thông tin được mã hoá với khoá này.
b) Kỹthuật khoá công khai, trong đó mỗi người dùng có một cặp khoá, một khoá công khai (ai cũng
có thểdùng) và một khoá riêng tư(phải giữbí mật). Kỹthuật khoá công khai được dùng đểmã hoá
(xem 10.3.2) và tạo chữký số(xem 10.3.3). Tất cảcác khoá đều phải được bảo vệđểtránh sửa đổi
hoặc phá huỷ, riêng khoá riêng tưcần được bảo vệđểkhông bịlộ. Kỹthuật mật mã cũng có thể
được dùng cho mục đích này. Các biện pháp bảo vệvật lý cần được áp dụng đối với các thiết bịsinh,
lưu trữkhoá.
10.3.5.2. Các tiêu chuẩn, thủ tục và phương pháp (Standards, procedures and methods)
Một hệthống quản lý khoá cần dựa trên một tập hợp các tiêu chuẩn, thủtục và phương pháp an ninh
như:
a) Sinh các khoá cho các hệthống mật mã và các ứng dụng khác nhau;
b) Sinh và đạt được chứng chỉkhoá công khai;
c) Cấp khoá cho những người dùng dựđịnh;
d) Lưu trữkhoá và hướng dẫn cách truy nhập cho người dùng;
e) Thay đổi hoặc cập nhật các khoá, các quy tắc khi nào thì các khoá phải thay đổi và thay đổi được
thực hiện nhưthếnào;
f) Ngăn cản việc dàn xếp các khoá;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
58
g) Các quy định khi nào thì khoá bịthu hồi, ví dụkhi khoá bịdàn xếp hoặc khi người dùng thôi làm
việc cho tổchức;
h) Khôi phục các khoá bịmất hoặc bịlỗi nhưlà một phần việc trong kếhoạch liên tục nghiệp vụ, ví
dụđểgiải mã các thông tin bịmã hoá trước đây;
i) Lưu trữcác khoá;
j) Phá huỷcác khoá;
k) Ghi lại và kiểm soát các hoạt động quản lý khoá (logging and auditing of key management related
activities).
Đểgiảm bớt khảnăng các khoá bịdàn xếp, cần xác định ngày kích hoạt và ngày huỷbỏcủa khoá
sao cho mỗi khoá chỉsửdụng được trong một giới hạn thời gian. Thời hạn này phụthuộc vào tình
huống các kiểm soát bằng mật mã đang được sửdụng và các rủi ro có thểnhận dạng được. Tồn tại
nguy cơai đó giảmạo chữký sốbằng cách thay thếmã khoá công khai của một người dùng bằng
khoá của họ. Nguy cơnày có thểgiải quyết bằng cách sửdụng một chứng chỉkhoá công khai
(public key certificate). Chứng chỉnày dựa trên thông tin ràng buộc duy nhất giữa cặp khoá công
khai/ khoá riêng tưcủa một người dùng chủsởhữu cặp khoá đó.
10.4. An ninh của các hồsơhệthống (Security of system files)
Mục đích: đảm bảo các dựán IT và các hoạt động trợgiúp được định hướng vềmặt an ninh.
Việc truy nhập các hồsơhệthống cần được kiểm soát. Đảm bảo tính toàn vẹn của hồsơhệthống
phải là trách nhiệm của người dùng và người phát triển.
10.4.1. Kiểm soát của phần mềm điều hành (Control of operational software)
Các phần mềm điều hành phải kiểm soát sựhoạt động của các phần mềm ứng dụng. Để tối thiểu hoá
rủi ro “sụp đổ” phần mềm điều hành, các kiểm soát sau cần được thực hiện:
a) Việc cập nhật các thưviện chương trình của phần mềm điều hành chỉđược thực hiện bởi những
người được cấp phép (xem 10.4.3);
b) Nếu có thể, các hệthống điều hành chỉtồn tại dưới dạng mã thực thi (executable code), không để
mã nguồn;
c) Mã thực thi chỉđược cài đặt trên hệđiều hành khi đã được kiểm thửtốt và các thưviện nguồn đã
được cập nhật;
d) Một nhật ký kiểm soát (audit log) vềcác cập nhật thưviện hệđiều hành cần được thực hiện
thường xuyên.
e) Các phiên bản trước của phần mềm cần được lưu trữlại;
10.4.2. Bảo vệ dữ liệu kiểm thử hệ thống (Protection of system test data)
Dữliệu kiểm thửcần đuợc bảo vệvà kiểm soát. Kiểm thửhệthống và kiểm thửchấp nhận (System
and acceptance testing) thường đòi hỏi một lượng lớn dữliệu chi tiết gần nhưdữliệu thật. Cần tránh
sửdụng các CSDL vận hành (operational databases) chứa các thông tin cá nhân. Nếu các thông tin
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
59
nhưvậy được sửdụng thì cần xoá các thông tin cá nhân trước khi dùng (it should be depersonalized
before use). Các kiểm soát sau cần được sửdụng đểbảo vệdữliệu vận hành khi sửdụng cho mục
đich kiểm thử.
a) Các thủtục kiểm soát truy nhập được ứng dụng đối với hệthống vận hành thì cũng được dùng
cho hệthống kiểm thử;
b) Cấp quyền riêng đểsao dữliệu từhệthống vận hành sang hệthống kiểm thử;
c) Thông tin vận hành cần được sàng lọc từmột hệthống ứng dụng kiểm thửngay sau khi quá trình
kiểm thửkết thúc;
d) Việc sao chép (copying) và sửdụng thông tin vận hành cần được ghi nhật ký kiểm soát.
10.4.3. Kiểm soát truy nhập thưviện nguồn của chương trình
(Access control to program source library)
Đểgiảm bớt khảnăng thực hiện sai chương trình, các kiểm soát nghiêm ngặt đối với việc truy nhập
thưviện nguồn của chương trình cần được thực hiện (xem 8.3).
a) Thưviện nguồn của chương trình không được lưu trữtrên các hệthống vận hành;
b) Chỉđịnh một người quản lý thưviện chương trình đểgiám sát việc này;
c) Các nhân viên trợgiúp IT chỉđược truy nhập giới hạn thưviện nguồn của chương trình;
d) Các chương trình đang được phát triển và bảo trì không được lưu trữtại thưviện nguồn của
chương trình vận hành;
c) Việc cập nhật các thưviện chương trình nguồn và cấp nguồn chương trình cho người lập trình chỉ
được người quản lý thưviện thực hiện;
f) Danh sách chương trình cần được lưu trữtrong một môi trường an ninh (xem 8.6.4).
g) Một nhật ký kiểm soát (audit log) về sửdụng thưviện chương trình nguồn cần được cập nhật
thường xuyên;
h) Tất cảcác phiên bản cũcủa chương trình cần được lưu trữcùng với tất cảcác tài liệu liên quan;
i) Xây dựng các thủtục kiểm soát nghiêm ngặt việc sao chép các thưviện chương trình nguồn (xem
10.4.1).
10.5. An ninh trong quá trình phát triển và trợgiúp
(Security in development and support processes)
Mục đích: đảm bảo an ninh của hệthống trong quá trình phát triển và vận hành sau này.
10.5.1. Các thủ tục kiểm soát thay đổi (Change control procedures)
Đểgiảm bớt các sai sót của hệthống, cần kiểm soát nghiêm ngặt sựthay đổi bằng các thủtục. Các
thay đổi của phần mềm ứng dụng có thểảnh hưởng tới môi trường vận hành. Các thủtục kiểm soát
thayđổi có các nội dung chính sau:
a) Ghi chép các mức cấp phép đã thoảthuận;
b)Đảm bảo các thay đổi được chấp nhận bởi người dùng (được cấp phép);
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
60
c) Soát xét các kiểm soát và các thủtục đểđảm bảo chúng không bịvô hiệu hoá bởi các thay đổi
(they will not be compromised by the changes);
d)Định danh tất cảcác phần mềm, thông tin, các CSDL và các thiết bịphần cứng cần sửa đổi;
e) Đạt được sựchấp thuận chính thức vềcác đềnghịchi tiết trước khi công việc bắt đầu;
f)Đảm bảo người dùng đã được cấp phép chấp nhận các thayđổi trước khi thực hiện chúng;
g)Đảm bảo các thay đổi ảnh hưởng tối thiểu đến nghiệp vụ;
h)Đảm bảo tài liệu vềcác thay đổi phải đầyđủtrong khi tài liệu cũvẫn được lưu trữ;
i) Gán một sốhiệu phiên bản đối với mọi bản cập nhật của phần mềm;
j) Ghi chép các vết kiểm soát đối với mọi yêu cầu thay đổi;
k)Đảm bảo các tài liệu vận hành (xem 8.1.1) và các thủtục người dùng thayđổi khi cần thiết;
l) Đảm bảo thực hiện các thay đổi vào thời gian thích hợp và không ảnh hưởng đến các tiến trình
nghiệp vụ. Nhiều tổchức tạo dựng một môi trường trong đó người dùng kiểm thửphần mềm mới,
môi trường này tách riêng sản phẩm và quá trình phát triển sản phẩm.
10.5.2. Soát xét kỹ thuật đối với các thay đổi hệ thống vận hành
(Technical review of operating system changes)
Thường cứsau mỗi khoảng thời gian hệthống vận hành lại thayđổi, ví dụkhi cài đặt các phiên bản
mới hoặc các miếng vá. Khi các thay đổi xuất hiện, hệthống ứng dụng cần được soát xét và kiểm
thửđểđảm bảo không có các ảnh hưởng bất lợi khi vận hành hoặc các bất lợi an ninh khác. Tiến
trình này phải bao hàm:
a) Soát xét các kiểm soát và các thủ tục đang được dùng để đảm bảo chúng không bị vô hiệu hoá bởi
các thayđổi vận hành (they have not been compromised by the operating system changes);
b) Đảm bảo kếhoạch trợgiúp thường niên và ngân sách cho việc soát xét và kiểm thửhệthống do
các thay đổi vận hành;
c) Đảm bảo khai báo các thay đổi vận hành được thực hiện đúng lúc đểcó thểsoát sét trước khi thực
hiện chúng;
d)Đảm bảo các thay đổi tương ứng thích hợp được thực hiện trong kếhoạch liên tục nghiệp vụ(xem
điều khoản 11).
10.5.3 Hạn chế các thay đổi đối với các gói phần mềm
(Restrictions on changes to software packages)
Việc sửa đổi các gói phần mềm cần được hạn chế. Các gói phần mềm có sựtrợgiúp của người bán
nên được sửdụng mà không sửa đổi gì. Nếu sửa đổi một gói phần mềm, các vấn đềsau cần được
quan tâm:
a) Rủi ro xuất hiện do các nội kiểm soát (built-in controls) và các tiến trình bảo đảm tính toàn vẹn
(integrity processes) bịdàn xếp;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
61
b) Liệu có đạt được sựchấp thuận của người bán;
c) Khảnăng có được các thay đổi theo yêu cầu đối với người bán coi nhưlà cập nhật chương trình
tiêu chuẩn;
d) Nảy sinh vấn đềvới tổchức vềtrách nhiệm bảo trì đối với phần mềm đã bịthayđổi.
10.5.4. Các kênh ngầm và mã Trojan (Covert channels and Trojan code)
Một kênh ngầm có thểlàm lộthông tin qua các cách thức gián tiếp hoặc ít người biết đến. Kênh
ngầm có thểđược tạo ra bằng cách thay đổi một tham sốtruy nhập của hệthống hoặc bằng cách cài
thêm các thông tin phụvào hệthống. Mã Trojan được tạo ra đểảnh hưởng tới hệthống theo cách
“qua mặt” người nhận thông tin hoặc người dùng hệthống. Kênh ngầm và mã Trojan hiếm khi xuất
hiện một cách tình cờ. Các vấn đềsau cần được quan tâm đểtránh các kênh ngầm và mã Trojan:
a) Chỉmua chương trình từnhững nguồn tin cậy;
b) Mua chương trình có thểkiểm tra được mã nguồn;
c) Sửdụng các sản phẩm đã được đánh giá;
d) Xem xét kỹtất cảmã nguồn trước khi sửdụng;
e) Kiểm soát truy nhập và sửa đổi mã trước mỗi lần cài đặt;
f) Sửdụng nhân viên tin cậy tại các hệthống chính (key systems).
10.5.5. Phát triển các phần mềm gia công (Outsourced software development)
Khi gia công phần mềm, cần lưu ý:
a) Thoảthuận vềlicence, người sởhữu mã nguồn và các vấn đềliên quan đến luật sởhữu trí tuệ
(xem 12.1.2);
b) Yêu cầu chứng nhận vềchất lượng và tính đúng đắn từngười gia công;
c) Thoảthuận vềứng xửnếu có lỗi xuất hiện từsản phẩm do bên thứba cung cấp;
d) Các quyền vềviệc truy nhập đểkiểm soát chất lượng và tính đúng đắn của công việc đã thực
hiện;
e) Các yêu cầu (được ghi trong hợp đồng) vềchất lượng của mã;
f) Kiểm thửtrước khi cài đặt đểphát hiện mã Trojan.
11. Quản lý liên tục nghiệp vụ (Business continuity management)
11.1. Các tính chất của quản lý liên tục nghiệp vụ
(Aspects of business continuity management)
Mục đích: đểtránh gián đoạn hoạt động nghiệp vụvà bảo vệcác tiến trình nghiệp vụmang tính
quyết định khi xảy ra lỗi lớn hoặc bịphá hoại. Một quy trình quản lý liên tục nghiệp vụđược soạn
thảo và thực hiện đểgiảm bớt các sai sót gây ra bởi tai nạn hoặc các lỗi an ninh (có thểlà kết quả
của, ví dụ, các tai hoạthiên nhiên, các tai nạn, lỗi thiết bị, …) thông qua sựkết hợp các kiểm soát
phòng ngừa và khôi phục (combination of preventative and recovery controls). Hậu quảcủa tai nạn,
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
62
lỗi an ninh và mất dịch vụcần được phân tích. Lập các kếhoạch ứng phó sựcố, sẵn sàng thực hiện
nhằm khôi phục hệthống trong một thời gian nhất định, đảm bảo sựliên tục của nghiệp vụkhi sựcố
xảy ra. Các kếhoạch nhưvậy cần được duy trì và thực hành đểtạo sựnhất quán với các quy trình
nghiệp vụkhác.
11.1.1. Quy trình quản lý liên tục nghiệp vụ (Business continuity management process)
Một quy trình quản lý liên tục nghiệp vụbao gồm các ý chính sau:
a) Tìm hiểu các rủi ro mà tổchức phải đối mặt, khảnăng xuất hiện và ảnh hưởng của nó, đồng thời
định danh và xácđịnh mức độưu tiên của các quy trình nghiệp vụmang tính quyết định;
b) Tìm hiểu các gián đoạn nghiệp vụnếu rủi ro xảy ra, qua đó đưa ra các giải pháp xửlý hậu quảcủa
mỗi rủi ro;
c) Tìm hiểu vềvấn đềbảo hiểm đối với hoạt động nghiệp vụ, coi vấn đềnày nhưmột công việc của
quy trình liên tục nghiệp vụ;
d) Trình bày thành văn một chiến lược liên tục nghiệp vụvà nhất quán với các nội dung trên;
e) Trình bày thành văn các kếhoạch liên tục nghiệp vụcăn cứtrên chiến lược liên tục nghiệp vụ;
f) Kiểm thửvà cập nhật định kỳcác kếhoạch và chiến lược trên;
g) Đảm bảo việc quản lý liên tục nghiệp vụđược tích hợp vào cấu trúc và các quy trình của doanh
nghiệp. Trách nhiệm điều phối các quy trình quản lý liên tục nghiệp vụcần được giao cụthểvà có
thểđược trao đổi thông qua diễn đàn an ninh thông tin (xem 4.1.1).
11.1.2. Quản lý liên tục nghiệp vụ và phân tích ảnh hưởng của nó
(Business continuity and impact analysis)
Quản lý liên tục nghiệp vụbắt đầu bằng việc định danh các sựkiện có thểgây ra các gián đoạn
nghiệp vụ, ví dụ, các sựcốthiết bị, lũlụt và hoảhoạn. Sự định danh này căn cứ trên báo cáo đánh
giá rủi ro, từ đó đánh giá ảnh hưởng của các gián đoạn đó (thiệt hại và thời gian khôi phục). Căn cứ
kết quảđánh giá rủi ro, một chiến lược được xây dựng đểđưa ra cách tiếp cận tổng thểđối với liên
tục nghiệp vụ.
11.1.3. Viết và thực hiện kế hoạch liên tục nghiệp vụ
(Writing and implementing continuity plans)
Kế hoạch được chuẩn bị để bảo trì và khôi phục các hoạt động nghiệp vụ trong một thời gian nhất
định sau khi xảy ra bất cứ sự cố gì. Khi viết kếhoạch cần quan tâm đến các vấn đềsau:
a) Xác định và thoảthuận vềtất cảtrách nhiệm và các thủtục khẩn cấp;
b) Thực thi các thủtục khẩn cấp đểkhôi phục lại hệthống trong thời gian hạn định. Đặc biệt chú ý
đánh giá các mối quan hệnghiệp vụvới các tổchức bên ngoài;
c) Tài liệu hoá các thủtục và quy trình;
d)Đào tạo nhân viên vềcác thủtục khẩn cấp;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
63
e) Kiểm thửvà cập nhật các kếhoạch, kếhoạch cần tập trung vào các đối tượng nghiệp vụquan
trọng, ví dụ, khôi phục các dịch vụđặc biệt dành cho khách hàng trong một thời gian hạn định. Các
tài nguyên đểthực hiện kếhoạch cần sẵn sàng.
11.1.4. Sự thống nhất của các kế hoạch liên tục nghiệp vụ
(Business continuity planning framework)
Sựthống nhất các kế hoạch liên tục nghiệp vụ cần được duy trì đểđảm bảo tất cảcác kếhoạch nhất
quán với nhau, đểxác định các ưu tiên kiểm thửvà bảo trì. Mỗi kếhoạch liên tục nghiệp vụcần xác
định rõ ràng các điều kiện khởi động, cũng nhưcác cá nhân chịu trách nhiệm thi hành mỗi thành
phần của kếhoạch. Khi các yêu cầu mới được xác định thì các thủtục khẩn cấp được thiết lập, ví
dụ, các thủtục di chuyển khẩn cấp, các thủtục khôi phục dữliệu cũcần được chỉnh sửa cho phù hợp
hơn. Đểđạt được sựthống nhất cần quan tâm các vấn đềsau:
a) Các điều kiện đểkhởi động kếhoạch cần được mô tảnhưmột quy trình (đánh giá tính huống như
thếnào, ai đánh giá, …);
b) Các thủ tục khẩn cấp mô tả trình tự các hoạt động phải thực hiện ngay sau khi xảy ra một sự cố
ảnh hưởng xấu đến các hoạt động nghiệp vụhoặc con người. Đểthực hiện việc này cần sựthoả
thuận từtrước với bộphận PR hoặc các cơquan công quyền khác nhưcơquan PCCC hoặc cơquan
cảnh sát;
c) Các thủtục rút lui (fallback procedures) mô tảcác hành động cần thực hiện đểdi chuyển tất cả
các hoạt động nghiệp vụtới một địa điểm tạm thời và khôi phục lại hệthống sau khi đã giải quyết sự
cố;
d) Các thủtục bắt đầu lại (resumption procedures) mô tảcác hành động cần thiết đểquay trởlại hoạt
động bình thường;
e) Một lịch biểu và quy trình bảo trì các kếhoạch cần được xác định và thực thiđịnh kỳ;
f) Phổbiến trong toàn bộtổchức vềcác quy trình liên tục nghiệp vụđểđảm bảo các quy trình này
được thực hiện hiệu quả;
g) Trách nhiệm của các cá nhân thực thi kếhoạch được mô tảđầyđủ.
11.1.5. Kiểm thử, bảo trì và tái đánh giá các kế hoạch liên tục nghiệp vụ
(Testing, maintaining and re-assessing business continuity plans)
11.1.5.1 Kiểm thử các kế hoạch (Testing the plans)
Các kếhoạch liên tục nghiệp vụcó thểbịtrục trặc khi kiểm thử, thường thì do sai bối cảnh, hoặc các
thay đổi nào đó ởthiết bịhoặc con người. Vì vậy, cần kiểm thửđịnh kỳcác kếhoạch đểđảm bảo
chúng hoạt động tốt. Các kiểm thửnhưvậy cũng đảm bảo tất cảcác thành viên hiểu thêm vềcác kế
hoạch. Lịch kiểm thửmỗi kếhoạch được lập và được thực hiện. Cần kiểm thửcác thành phần cá
nhân (individual components) của mỗi kếhoạch thường xuyên. Nhiều biện pháp được sửdụng khi
kiểm thửđểđảm bảo các kếhoạch được thực hiện nhưthật. Các biện pháp đó gồm:
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
64
a) Lập các kịch bản kiểm thửkhác nhau;
b) Thực hiện các mô phỏng (đặc biệt đểđào tạo nhân viên trong các vịtrí quản lý hậu khủng hoảng
và hậu sựcố);
c) Kiểm thửkhôi phục kỹ thuật (Đảm bảo các hệthống thông tin có thểđược khôi phục hiệu quả);
d) Kiểm thử khôi phục từ một vị trí dự phòng (thực hiện các quy trình nghiệp vụ song song với các
hoạt động khôi phục từ vị trí chính thức) (testing recovery at an alternate site (running business
processes in parallel with recovery operations away from the main site));
e) Kiểm thử các thiết bị và các dịch vụ trợ giúp (đảm bảo các dịch vụ và sản phẩm từ các nhà cung
cấp đáp ứng cam kết của hợp đồng);
f) Hoàn thành diễn tập (kiểm thửtổchức, con người, thiết bị,... có đương đầu được với các sựcốhay
không).
11.1.5.2. Bảo trì và táiđánh giá các kế hoạch (Maintaining and re-assessing the plans)
Các kế hoạch liên tục nghiệp vụ cần được bảo trì thông qua việc soát xét thường xuyên và cập nhật
định kỳ(xem 11.1.5.1 đến 11.1.5.3), qua đó tất cảcác thay đổi trong hoạt động nghiệp vụ, trong cơ
cấu, tổchức đều được phản ánh kịp thời trong các thủtục tương ứng. Trách nhiệm thực hiện các soát
xét định kỳcần được chỉđịnh cho các cá nhân cụthể.
Khi lắp đặt các thiết bị mới, khi nâng cấp thiết bịhiện có hoặc khi thay đổi các hệ thống vận
hành thì cần soát xét lại các thủ tục, ví dụ:
a) Thayđổi nhân sự;
b) Thayđổi địa chỉhoặc sốđiện thoại;
c) Thayđổi kếhoạch nghiệp vụ;
d) Thayđổi các vịtrí, thiết bịvà tài nguyên;
e) Sửa đổi luật pháp;
f) Thay đổi các nhà cung ứng, các khách hàng chính;
g) Thayđổi các quy trình;
h) Thayđổi rủi ro (rủi ro vận hành và thương mại).
12. Sự tuân thủ (Compliance)
12.1. Tuân thủcác quy định của luật pháp (Compliance with legal requirements)
Mục đích: tránh các vi phạm pháp luật (luật dân sự, luật hình sự, luật hợp đồng, …). Đểphù hợp các
quy định của luật pháp, tổchức cần sựtưvấn của các tổchức tưvấn luật chuyên nghiệp. Cần chú ý
đến sựkhác nhau của luật pháp giữa các nước khi thông tin trao đổi giữa hai nước khác nhau.
12.1.1. Xácđịnh các luật liên quan (Identification of applicable legislation)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
65
Soát xét và xác định các luật liên quan đến các yêu cầu của hoạt động đảm bảo an ninh hệthống, ghi
nhận lại tất cảcác luật này. Các kiểm soát cụthểvà trách nhiệm cá nhân đáp ứng các yêu cầu này
cần được định nghĩa và tài liệu hoá rõ ràng.
12.1.2. Luật sở hữu trí tuệ (Intellectual property rights (IPR))
12.1.2.1. Bản quyền (Copyright)
Các thủtục thích hợp cần được thực hiện đểđảm bảo sựtuân thủyêu cầu của các luật sởhữu trí tuệ
nhưluật bản quyền, quyền thiết kế, quyền nhãn hiệu. Vi phạm luật sởhữu trí tuệcó thểdẫn tới các
vụkiện dân sự.
12.1.2.2. Bản quyền phần mềm (Software copyright)
Các sản phẩm phần mềm thường được cung cấp kèm theo license sửdụng, các vấn đềsau cần được
quan tâm:
a) Trong chính sách an ninh cần có phần nói vềviệc tuân thủbản quyền phần mềm, phần này đưa ra
các quy định sửdụng hợp lệcác sản phẩm phần mềm và sản phẩm thông tin;
b) Viết các thủtục mua sắm các sản phẩm phần mềm;
c) Làm cho các nhân viên liên quan trong tổchức có được sựhiểu biết vềbản quyền phần mềm và
các chính sách mua sắm phần mềm đểtránh vi phạm các quy định của pháp luật vềvấn đềnày;
d) Đăng ký sửdụng các tài sản cần thiết (maintaining appropriate asset registers);
e) Cất giữcác chứng nhận vềlicenses, các đĩa cài đặt chính và các sổsách tương ứng,
…(maintaining proof and evidence of ownership of licenses, master disks, manuals, etc);
f) Cài đặt các kiểm soát đểđảm bảo sốlượng tối đa người dùng của một phần mềm không vượt quá
lượng cho phép;
g) Thực hiện các kiểm tra đểđảm bảo chỉcác phần mềm có licenses mới được cài đặt;
h) Soạn thảo chính sách vềviệc đạt được các licenses;
i) Soạn thảo chính sách vềviệc từchối sửdụng hoặc chuyển giao phần mềm cho bên khác
(providing a policy for disposing or transferring software to others);
j) Sửdụng các công cụkiểm soát nội bộthích hợp;
k) Tuân theo các điều kiện vềviệc sửdụng các phần mềm và thông tin từcác mạng công cộng (xem
8.7.6).
12.1.3. Bảo vệ sổ sách của tổ chức (Safeguarding of organizational records)
Các sổsách quan trọng của một tổchức cần được bảo vệđểtránh mất mát, bịphá huỷhoặc bịlàm
giả. Một sốsổsách cần được lưu trữđảm bảo an ninh đểđáp ứng các yêu cầu luật pháp cũng như
yêu cầu của hoạt động nghiệp vụ. Ví dụvềcác sổsách là bằng chứng vềsựhoạt động đúng luật
pháp của tổ chức, đểxác nhận tình trạng tài chính của tổchức với các cổđông, các đối tác và các
kiểm soát viên. Thời hạn và nội dung của thông tin cất giữ có thểtheo luật pháp của quốc gia sởtại.
Các sổsách cần được phân loại, ví dụ, sổsách kếtoán, các CSDL, nhật ký giao dịch, kiểm soát nội
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
66
bộvà các thủtục vận hành, mỗi trong sốchúng có thời hạn lưu trữvà cách lưu trữkhác nhau. Các
chìa khoá mật mã liên quan đến các tài liệu bịmã hoá hoặc các chữký số(xem 10.3.2 10.3.3) cần
được cất giữmột cách an ninh và chỉđược cấp cho những người liên quan khi cần thiết. Cần quan
tâm đến khảnăng suy giảm chất lượng của các thiết bịlưu trữsổsách. Các thủtục lưu trữvà xửlý
cần được thực hiện phù hợp với khuyến cáo của nhà sản xuất. Khi một thiết bịlưu trữđiện tửđược
chọn, thì cần lưu trữtất cảcác thủtục, phần mềm kèm theo đểđọc dữliệu lưu trữtrên thiết bịđó,
tránh trường hợp do sựthayđổi của kỹthuật, sau này không thểđọc được dữliệu lưu trữnữa.
Cần huỷbỏcác sổsách được lưu trữsau thời hạn đã định nếu các sốsách đó không cần thiết với
tổchức nữa. Các bước sau cần thực hiện trong tổchức đểbảo vệsổsách:
a) Các hướng dẫn vềviệc lưu trữ, xửlý và huỷbỏcác sổsách cần được ban hành;
b) Một lịch biểu được lập đểxác định các loại sổsách và thời hạn lưu trữtương ứng;
c) Một kho thông tin khoá (key information) được duy trì;
d) Các kiểm soát cần được thực thi đểbảo vệcác sổsách quan trọng tránh bịmất mát, bịhuỷbỏvà
bịlàm giả.
12.1.4. Bảo vệ dữ liệu và tính riêng tưcủa thông tin cá nhân
(Data protection and privacy of personal information)
Một sốnước có các luật bảo vệthông tin cá nhân khi xửlý trong các hệthống thông tin. Các luật
này hạn chếviệc tổng hợp, xửlý và làm lộthông tin cá nhân, vì vậy hạn chếkhảnăng truyền thông
tin giữa các nước. Đểtuân thủluật bảo vệdữliệu, yêu cầu các kiểm soát phù hợp. Thường thì người
ta bổnhiệm một nhân viên bảo vệdữliệu (data protection officer), người này hướng dẫn các nhà
quản lý, người dùng và nhà cung cấp dịch vụvềtrách nhiệm cá nhân của họvà các thủtục cụthểmà
họphải tuân theo.
12.1.5. Tránh lạm dụng các thiết bị xử lý thông tin
(Prevention of misuse of information processing facilities)
Các thiết bịxửlý thông tin của một tổchức được sửdụng cho các mục đích nghiệp vụ. Cấp quản lý
phải cấp phép đểsửdụng các thiết bịnày. Nếu các thiết bịđược sửdụng cho các mục đích không
nghiệp vụhoặc khdụngdwợc cấp phép thì đây là sựsửdụng không hợp lệvà phải được ngăn chặn.
Sửdụng các thiết bịcần được giám sát. Tính hợp pháp của sựgiám sát nhưvậy khác nhau qua mỗi
nước, vì vậy cần những điều chỉnh thích hợp. Các điều chỉnh đó được phản ánh trong các thủtục
giám sát (monitoring procedures). Nhiều nước có, hoặc đang xây dựng các luật đểchống lại sựlạm
dụng máy tính. Có thểphạm tội hình sựnếu sửdụng máy tính vào các mục đích không được cấp
phép. Vì vậy tất cảngười dùng đều cần có hiểu biết vềphạm vi chính xác các quyền truy nhập của
họ. Điều này có thểđược thực hiện bằng cách, ví dụ, cấp cho người dùng giấy phép vềcác quyền
truy nhập của họ, giấy phép này được người dùng ký xác nhận và được cất giữcẩn thận.
12.1.6. Quy định về các kiểm soát bằng mật mã (Regulation of cryptographic controls)
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
67
Một sốnước đã thực hiện các hiệp định (agreements), các luật và quy định vềviệc sửdụng các kiểm
soát bằng mật mã. Các kiểm soát đó có thểlà:
a) Nhập và/hoặc xuất các phần cứng và phần mềm thực hiện các chức năng liên quan đến mật mã
(cryptographic functions);
b) Nhập và/hoặc xuất các phần cứng và phần mềm được thiết kế để có thể thêm các chức năng mật
mã;
c) Các phương pháp bắt buộc hoặc tuỳchọn đểtruy nhập thông tin quốc gia, các thông tin này được
mã hoá bằng phần cứng hoặc phần mềm đểcung cấp nội dung đáng tin cậy. Các tưvấn luật cần
được cung cấp đềtuân thủluật quốc gia. Trước khi thông tin được mã hoá hoặc được kiểm soát bằng
mật mã được chuyển đến một quốc gia khác thì các tưvấn luật cũng phải được thayđổi tương ứng.
12.1.7. Tập hợp chứng cứ (Collection of evidence)
12.1.7.1. Các quy định về chứng cứ (Rules for evidence)
Khi xảy ra sựcốan ninh thì phải có các chứng cứđểghi nhận lại nguyên nhân của vụviệc. Việc thu
thập chứng cứphải tiuân theo các quy định của luật pháp. Nói chung, các quy định đó gồm:
a) Tính có thểthừa nhận của chứng cứ(admissibility of evidence): chứng cứcó thểđược sửdụng ở
toà án hay không;
b) Sức nặng của chứng cứ(weight of evidence): chất lượng và tính đầy đủ của chứng cứ;
c) Các quy định vềtính hợp pháp của chứng cứthu thập được trên hệthống thông tin.
12.1.7.2. Tính có thể thừa nhận của chứng cứ (admissibility of evidence):
Đểchứng cứđược thừa nhận, các tổchức cần đảm bảo thông tin phù hợp với các tiêu chuẩn hoặc
các luật được ban hành vềvấn đềnày.
12.1.7.3. Chất luợng và tính đầy đủ của chứng cứ
Đểchứng cứcó chất lượng và đầy đủ, cần một quá trình thu thập chứng cứ. Nói chung, một quá
trình thu thập cần được thực hiện trên cácđiều kiện sau.
a) Đối với các tài liệu giấy: nguyên bản của tài liệu được cất giữ, người tìm thấy tài liệu, nơi tìm,
thời điểm tìm thấy và người làm chứng. Bất kỳcuộc điều tra nào cũng không được làm xáo trộn tài
liệu đã có;
b) Đối với thông tin trên thiết bịlưu trữcủa máy tính: các bản sao từthiết bị, thông tin trên ổcứng
hoặc từbộnhớcần được đảm bảo an ninh. Nhật ký ghi lại các hành động thực hiện sao lưu cần được
lưu trữan ninh và có người làm chứng.
12.2. Soát xét sựtuân thủchính sách an ninh và tiêu chuẩn kỹthuật
(Reviews of security policy and technical compliance)
Mục đích: đảm bảo sựtuân thủcủa hệthống đối với các chính sách và tiêu chuẩn an ninh. An ninh
của các hệthống thông tin cần được soát xét định kỳ. Các soát xét nhưvậy cần được thực hiện để
kiểm tra sựtuân thủchính sách an ninh và các tiêu chuẩn kỹthuật.
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
68
12.2.1. Sự tuân thủ chinh sách an ninh (Compliance with security policy)
Các nhà quản lý cần đảm bảo mọi thủtục an ninh trong lĩnh vực quản lý của họđều phải được thực
hiện đúng đắn. Hơn nữa, tất cảcác lĩnh vực trong tổchức cần được soát xét định kỳđểđảm bảo hoạt
động của họtuân thủđúng chính sách an ninh. Các biện pháp soát xét gồm:
a) Các hệthống thông tin;
b) Các nhà cung cấp hệthống;
c) Chủsửdụng (owner) thông tin và tài sản thông tin;
d) Người dùng;
e) Cấp quản lý.
Chủsửdụng các tài sản thông tin (xem 5.1) cần trợgiúp cho việc soát xét định kỳnày. Sửdụng hệ
thống giám sát vận hành nói trong 9.7.
12.2.2. Kiểm tra sự tuân thủ kỹ thuật (Technical compliance checking)
Các hệthống thông tin cần được kiểm tra định kỳđối với việc tuân thủcác tiêu chuẩn an ninh với sự
trợgiúp kỹthuật của các chuyên gia, bao gồm kiểm tra vận hành của hệthống xem các kiểm soát
phần cứng và phần mềm có được thực hiện đúng hay không, kiểm tra sựthâm nhập hệthống (được
thực hiện bởi các chuyên gia độc lập đã ký hợp đồng với tổchức). Sau kiểm tra nếu phát hiện các
điểm dễtổn thương thì xem xét hiệu quảcủa các kiểm soát tương ứng. Cần thận trọng trong trường
hợp kiểm tra thâm nhập thành công, điều này có thểdẫn tới một sựdàn xếp vềan ninh của hệthống.
Kiểm tra sựtuân thủkỹthuật phải được thực hiện dưới sựgiám sát của những người có trách nhiệm.
12.3. Các lưu ý khi kiểm soát nội bộhệthống (System audit considerations)
Mục đích: đểtối đa hoá hiệu quảcủa hệthống và tối thiểu hoá sựcan thiệp đối với hệthống từcác
quy trình kiểm soát nội bộhệthống. Các kiểm soát phải đảm bảo an toàn vận hành của hệthống,
tránh ảnh hưởng đến tính toàn vẹn của hệthống. Tránh lạm dụng các công cụkiểm soát nội bộ.
12.3.1. Các công cụ kiểm soát nội bộ hệ thống (System audit controls)
Quá trình kiểm soát nội bộđược thực hiện khi hệthống đang vận hành, vì vậy cần lập kếhoạch kiểm
soát nội bộvà trao đổi đểtối thiểu hoá các rủi ro đến các tíến trình nghiệp vụ. Các lưu ý sau cần
được quan tâm:
a) Các yêu cầu kiểm soát nội bộcần được thảo thuận với các cấp quản lý thích hợp;
b) Phạm vi kiểm tra cần được thoảthuận và được kiểm soát;
c) Các kiểm tra chỉđược truy nhập read-only vào hệthống;
d) Các truy nhập khác read-only chỉđược thực hiện trên bản sao của dữliệu, bản sao được xoá ngay
khi các kiểm tra kết thúc;
e) Tài sản, thiết bịtham gia vào quá trình kiểm tra cần được định danh và ởtrạng thái sẵn sàng;
f) Các yêu cầu xửlý đặc biệt cần được xác định và thoảthuận;
g) Tất cảcác truy nhập cần được giám sát đểghi lại vết;
C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc
69
h) Tất cảcác thủtục, yêu cầu và trách nhiệm cần được tài liệu hoá.
12.3.2. Bảo vệ các công cụ kiểm soát nội bộ hệ thống (Protection of system audit tools)
Cần cấm truy nhập các công cụkiểm soát nội bộhệthống đểtránh các lạm dụng hoặc dàn xếp. Các
công cụnhưvậy cần được tách biệt giữa quá trình phát triển và quá trình vận hành. Không lưu trữ
công cụtrong thưviện dữliệu (tape libraries) hoặc các vùng của người dùng, trừkhi có một mức
bảo vệthích hợp.