iso17799 an ninh thong tin

C:\TaiLieuChuyenMon\3-ChuanBiTTCuoc\7-ANTT\1-ISO17799\Ban dich\ISO17799(Vietnamese) 20051206.doc

1

CHUẨN AN NINH THÔNG TIN

ISO 17799(Bản tiếng Việt do Hoàng Xuân Thịnh, EVNIT, thực hiện)


2

GIỚI THIỆU .........................................................................................................................................7Tại sao an ninh thông tin là cần thiết? ..............................................................................................7Xác định các yêu cầu an ninh nhưthế nào? ......................................................................................7Đánh giá rủi ro an ninh (Assessing security risks) ...........................................................................8Chọn lựa các kiểm soát (Selecting controls) .....................................................................................8Điểm khởi đầu an ninh thông tin (Information security starting point) ............................................9Các yếu tố thành công quyết định (Critical success factors) ............................................................9Xây dựng các nguyên tắc riêng của tổ chức ...................................................................................10

NỘI DUNG CHUẨN ISO 17799 .......................................................................................................111. Phạm vi (Scope) ..........................................................................................................................112. Khái niệm và định nghĩa (Terms and definitions) ......................................................................11

2.1. An ninh thông tin (Information security).............................................................................112.2. Đánh giá rủi ro (Risk assessment) .......................................................................................112.3. Quản lý rủi ro (Risk management) .......................................................................................11

3. Chính sách an ninh thông tin (Security policy) ..........................................................................113.1. Chính sách an ninh thông tin (Information security policy) ................................................11

3.1.1. Tài liệu chính sách an ninh thông tin (Information security policy document) ............113.1.2. Soát xét và đánh giá (Review and evaluation)..............................................................12

4. An ninh tổ chức (Organizational security) ..................................................................................124.1. Hạ tầng an ninh thông tin (Information security infrastructure) ..........................................12

4.1.1. Diễn đàn an ninh thông tin của cấp quản lý (Management information security forum).................................................................................................................................................134.1.2. Đồng điều phối an ninh thông tin (Information security co-ordination) ......................134.1.3. Chỉ định các trách nhiệm an ninh thông tin (Allocation of information securityresponsibilities) .......................................................................................................................134.1.4. Tiến trình cấp phép cho các thiết bị xử lý thông tin (Authorization process for information processing facilities) ...........................................................................................144.1.5. Tưvấn an ninh thông tin từ các chuyên gia (Specialist information security advice) ..144.1.6. Đồng phối hợp giữa các tổ chức (Co-operation between organizations)......................154.1.7. Soát xét độc lập về an ninh thông tin (Independent review of information security) ...15

4.2. An ninh đối với các truy nhập của bên thứ ba (Security of third party access) ...................154.2.1. Định danh các rủi ro từ truy nhập của bên thứ ba .........................................................15

4.2.1.1. Kiểu truy nhập (Types of access) ...........................................................................154.2.1.2. Lý do truy nhập (Reasons for access) ....................................................................154.2.1.3. Các nhà cung cấp tại chỗ (On-site contractors) .....................................................15

4.2.2. Các yêu cầu an ninh trong hợp đồng với bên thứ ba ....................................................164.3. Chuyển giao công việc cho tổ chức khác (Outsourcing) .....................................................17

4.3.1. Các yêu cầu an ninh trong các hợp đồng chuyển giao công việc .................................175. Kiểm soát và phân loại tài sản (Asset classification and control) ...............................................18

5.1. Trách nhiệm giải trình về tài sản (Accountability for assets) ..............................................185.1.1. Kiểm kê tài sản ( Inventory of assets) ...........................................................................18

5.2. Phân loại tài sản thông tin (Information classification) .......................................................185.2.1. Hướng dẫn phân loại (Classification guidelines) ..........................................................185.2.2. Gán nhãn và xử lý thông tin (Information labelling and handling) ..............................19

6. An ninh cá nhân (Personnel security) .........................................................................................196.1. An ninh trong định nghĩa công việc và nguồn lực ...............................................................19

6.1.1. Gắn kết an ninh trong trách nhiệm đối với công việc ...................................................206.1.2. Thẩm tra hồ sơcá nhân và chính sách (Personnel screening and policy) .....................206.1.3. Các thoả thuận về tính tin cậy (Confidentiality agreements) ........................................206.1.4. Điều kiện sử dụng lao động (Terms and conditions of employment) ...........................20

6.2. Đào tạo người dùng (User training) .....................................................................................206.2.1. Đào tạo an ninh thông tin (Information security education and training) .....................21


3

6.3. Phản ứng lại các sự cố an ninh và sai hỏng chức năng ........................................................216.3.1. Báo cáo các sự cố an ninh (Reporting security incidents) ............................................216.3.2. Báo cáo các yếu kém an ninh (Reporting security weaknesses) ...................................216.3.3. Báo cáo các sai hỏng chức năng của phần mềm (Reporting software malfunctions) ...226.3.4. Học hỏi từ các sự cố (Learning from incidents) ...........................................................226.3.5. Quyđịnh về kỷ luật (Disciplinary process) .................................................................22

7. An ninh môi trường và an ninh vật lý (Physical and environmental security) ...........................227.1. Vùng an ninh (Secure areas) ................................................................................................22

7.1.1. Vànhđai an ninh vật lý (Physical security perimeter) ..................................................227.1.2. Kiểm soát vào ra vật lý (Physical entry controls) .........................................................237.1.3. Các nhân viên an ninh, phòng làm việc và thiết bị (Securing offices, rooms and facilities) .................................................................................................................................237.1.4. Làm việc trong vùng an ninh (Working in secure areas)..............................................247.1.5. Tách biệt vùng giao nhận (Isolated delivery and loading areas) ..................................24

7.2. An ninh thiết bị (Equipment security) .................................................................................257.2.1. Lựa chọn vị trí thiết bị và bảo vệ (Equipment siting and protection) ...........................257.2.2. Cung cấp năng lượng (Power supplies) ........................................................................257.2.3. An ninh đường cáp (Cabling security) ..........................................................................257.2.4. Bảo trì thiết bị (Equipment maintenance) .....................................................................267.2.5. An ninh của các thiết bị bên ngoài vành đai an ninh (Security of equipment off-premises) .................................................................................................................................267.2.6. Loại bỏ các biện pháp an ninh hoặc sử dụng lại thiết bị (Secure disposal or re-use ofequipment) ..............................................................................................................................26

7.3. Các kiểm soát chung (General controls) ..............................................................................267.3.1. Chính sách mặt bàn sạch và màn hình sạch (Clear desk and clear screen policy) .......267.3.2. Di rời tài sản (Removal of property) .............................................................................27

8. Quản lý giao tiếp và quản lý vận hành........................................................................................278.1. Các thủ tục vận hành và trách nhiệm vận hành ...................................................................27

8.1.1. Tài liệu hoá các thủ tục vận hành (Documented operating procedures) .......................278.1.2. Kiểm soát thay đổi vận hành (Operational change control) .........................................288.1.3. Các thủ tục quản lý sự cố (Incident management procedures) .....................................288.1.4. Phân chia trách nhiệm (Segregation of duties) .............................................................298.1.5. Tách biệt các hoạt động phát triển và vận hành ............................................................298.1.6. Quản lý các thiết bị từ bên ngoài (External facilities management) .............................30

8.2. Lập kế hoạch hệ thống và chấp thuận (System planning and acceptance) ..........................308.2.1. Lập kế hoạch năng lực của hệ thống (Capacity planning) ............................................308.2.2. Chấp thuận hệ thống (System acceptance) ...................................................................30

8.3. Bảo vệ chống lại các phần mềm phá hoại (Protection against malicious software) ............318.3.1. Kiểm soát chống lại các phần mềm phá hoại (Protection against malicious software)31

8.4. Công việc thực hiện thường nhật tại tổ chức (Housekeeping) .............................................328.4.1. Sao lưu thông tin (Information back-up) ......................................................................328.4.2. Nhật ký vận hành (Operator logs).................................................................................328.4.3. Báo cáo lỗi (Fault logging) ...........................................................................................33

8.5. Quản trị mạng (Network management) ...............................................................................338.5.1. Các kiểm soát trên mạng (Network controls) ...............................................................33

8.6. An ninh của thiết bị lưu trữ (Media handling and security) .................................................338.6.1. Quản lý các phương tiện có thể di chuyển (Management of removable computer media) .....................................................................................................................................338.6.2. Hủy bỏ phương tiện, thiết bị lưu trữ (Disposal of media) ............................................338.6.3. Các thủ tục xử lý thông tin (Information handling procedures) ...................................348.6.4. An ninh của tài liệu hệ thống (Security of system documentation) ..............................35

8.7. Traođổi thông tin và phần mềm (Exchanges of information and software) .......................35


4

8.7.1. Các thoả thuận trao đổi thông tin và phần mềm (Information and software exchange agreements) .............................................................................................................................358.7.2. An ninh của thiết bị lưu trữ khi di chuyển (Security of media in transit) .....................368.7.3. An ninh thương mại điện tử (Electronic commerce security) .......................................368.7.4. An ninh thưđiện tử (Security of electronic mail) .........................................................37

8.7.4.1. Rủi ro an ninh (Security risks) ...............................................................................378.7.4.2. Chính sách với thưđiện tử (Policy on electronic mail) .........................................37

8.7.5. An ninh của hệ thống văn phòng điện tử (Security of electronic office systems) ........388.7.6. Các hệ thống xuất bản công khai (Publicly available systems) ....................................38

9. Kiểm soát truy nhập (Access control) .........................................................................................399.1. Các yêu cầu nghiệp vụ đối với kiểm soát truy nhập ............................................................39

9.1.1. Chính sách kiểm soát truy nhập (Access control policy) ..............................................399.1.1.1. Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and business requirements).............................................................................................................................................399.1.1.2. Các quy tắc kiểm soát truy nhập (Access control rules) ........................................39

9.2. Quản lý truy nhập của người dùng (User access management) ...........................................409.2.1. Đăng ký người dùng (User registration) .......................................................................409.2.2. Quản lý ưu tiên (Privilege management) ......................................................................409.2.3. Quản lý mật khẩu người dùng (User password management) ......................................419.2.4. Soát xét các quyền của người dùng (Review of user access rights) .............................41

9.3. Trách nhiệm của người dùng (User responsibilities) ...........................................................419.3.1. Sử dụng mật khẩu (Password use) ................................................................................429.3.2. Các thiết bị không người giám sát (Unattended user equipment) .................................42

9.4. Kiểm soát truy nhập mạng (Network access control) ..........................................................429.4.1. Chính sách về việc sử dụng các dịch vụ mạng (Policy on use of network services) ....439.4.2. Đường ép buộc (Enforced path) ...................................................................................439.4.3. Chứng thực người dùng từ các kết nối ngoài ................................................................449.4.4. Chứng thực nút mạng (Node authentication)................................................................449.4.5. Bảo vệ cổng chẩn đoán từ xa (Remote diagnostic port protection) ..............................449.4.6. Chia tách mạng (Segregation in networks) ...................................................................449.4.7. Kiểm soát kết nối mạng (Network connection control) ................................................459.4.8. Kiểm soát tìm đường trên mạng (Network routing control) .........................................45

9.5. Kiểm soát truy nhập hệ điều hành (Operating system access control) ................................459.5.1. Định danh thiết bị đầu cuối tự động (Automatic terminal identification) ....................469.5.2. Các thủ tục đăng nhập thiết bị đầu cuối (Terminal log-on procedures)........................469.5.3. Định danh và chứng thực người dùng (User identification and authentication)...........479.5.4. Hệ thống quản lý mật khẩu (Password management system) .......................................479.5.5. Sử dụng các tiện ích của hệ thống (Use of system utilities) .........................................479.5.6. Thiết bị cảnh báo người dùng (Duress alarm to safeguard users) ................................489.5.7. Ngừng thiết bị đầu cuối sau một khoảng thời gian không hoạt động (Terminal time-out) ..........................................................................................................................................489.5.8. Giới hạn thời gian kết nối (Limitation of connection time) ..........................................48

9.6. Kiểm soát truy nhập ứng dụng (Application access control) ...............................................489.6.1. Giới hạn truy nhập thông tin (Information access restriction)......................................499.6.2. Cô lập các hệ thống nhạy cảm (Sensitive system isolation) .........................................49

9.7. Giám sát truy nhập hệ thống và giám sát sử dụng hệ thống ................................................499.7.1. Ghi lại các sự kiện (Event logging) ..............................................................................499.7.2. Giám sát sử dụng hệ thống (Monitoring system use) ...................................................50

9.7.2.1. Thủ tục rủi ro và lĩnh vực rủi ro (Procedures and areas of risk) ............................509.7.2.2. Các yếu tố rủi ro (Risk factors) ..............................................................................509.7.2.3. Ghi lại và soát xét các sự kiện (Logging and reviewing events) ...........................50

9.7.3. Đồng bộ hoá đồng hồ (Clock synchronization) ............................................................51


5

9.8. Tính toán diđộng và làm việc di động (Mobile computing and teleworking) ....................519.8.1. Tính toán diđộng (Mobile computing) .........................................................................519.8.2. Làm việc từ xa (Teleworking) ......................................................................................52

10. Phát triển và bảo trì hệ thống (Systems development and maintenance) .................................5210.1 Yêu cầu an ninh đối với các hệ thống (Security requirements of systems) ........................52

10.1.1. Phân tích và đặc tả các yêu cầu an ninh ..................................................................5310.2. An ninh trong các hệ thống ứng dụng (Security in application systems) ..........................53

10.2.1. Kiểm tra tính hợp lệ của dữ liệu đầu vào (Input data validation) ...............................5310.2.2. Kiểm soát các tiến trình bên trong (Control of internal processing)...........................54

10.2.2.1. Các lĩnh vực rủi ro (Areas of risk) ......................................................................5410.2.2.2. Kiểm tra và kiểm soát (Checks and controls) ......................................................54

10.2.3. Chứng thực thông báo (Message authentication) .......................................................5510.2.4. Kiểm tra tính hợp lệ của dữ liệu đầu ra () ..................................................................55

10.3. Các kiểm soát bằng mật mã (Cryptographic controls).......................................................5510.3.1. Chính sách về việc sử dụng các kiểm soát bằng mật mã ............................................5510.3.2. Mã hoá (Encryption) ...................................................................................................5610.3.3. Chữ ký số (Digital signatures) ....................................................................................5610.3.4. Các dịch vụ không thể từ chối (Non-repudiation services) ........................................5710.3.5. Quản lý khoá (Key management) ...............................................................................57

10.3.5.1. Bảo vệ các khoá mã hoá (Protection of cryptographic keys)...............................5710.3.5.2. Các tiêu chuẩn, thủ tục và phương pháp (Standards, procedures and methods)..57

10.4. An ninh của các hồ sơhệ thống (Security of system files) ................................................5810.4.1. Kiểm soát của phần mềm điều hành (Control of operational software) .....................5810.4.2. Bảo vệ dữ liệu kiểm thử hệ thống (Protection of system test data) ............................5810.4.3. Kiểm soát truy nhập thưviện nguồn của chương trình...............................................59

10.5. An ninh trong quá trình phát triển và trợ giúp ...................................................................5910.5.1. Các thủ tục kiểm soát thay đổi (Change control procedures) .....................................5910.5.2. Soát xét kỹ thuật đối với các thay đổi hệ thống vận hành ..........................................6010.5.3 Hạn chế các thay đổi đối với các gói phần mềm .........................................................6010.5.4. Các kênh ngầm và mã Trojan (Covert channels and Trojan code) .............................6110.5.5. Phát triển các phần mềm gia công (Outsourced software development) ....................61

11. Quản lý liên tục nghiệp vụ (Business continuity management) ...............................................6111.1. Các tính chất của quản lý liên tục nghiệp vụ.....................................................................61

11.1.1. Quy trình quản lý liên tục nghiệp vụ (Business continuity management process) .....6211.1.2. Quản lý liên tục nghiệp vụ và phân tích ảnh hưởng của nó ........................................6211.1.3. Viết và thực hiện kế hoạch liên tục nghiệp vụ............................................................6211.1.4. Sự thống nhất của các kế hoạch liên tục nghiệp vụ....................................................6311.1.5. Kiểm thử, bảo trì và táiđánh giá các kế hoạch liên tục nghiệp vụ.............................63

11.1.5.1 Kiểm thử các kế hoạch (Testing the plans) ...........................................................6311.1.5.2. Bảo trì và tái đánh giá các kế hoạch (Maintaining and re-assessing the plans) ...64

12. Sự tuân thủ (Compliance) .........................................................................................................6412.1. Tuân thủ các quy định của luật pháp (Compliance with legal requirements)....................64

12.1.1. Xác định các luật liên quan (Identification of applicable legislation) ........................6412.1.2. Luật sở hữu trí tuệ (Intellectual property rights (IPR))...............................................65

12.1.2.1. Bản quyền (Copyright) ........................................................................................6512.1.2.2. Bản quyền phần mềm (Software copyright) ........................................................65

12.1.3. Bảo vệ sổ sách của tổ chức (Safeguarding of organizational records) ......................6512.1.4. Bảo vệ dữ liệu và tính riêng tưcủa thông tin cá nhân ................................................6612.1.5. Tránh lạm dụng các thiết bị xử lý thông tin ................................................................6612.1.6. Quyđịnh về các kiểm soát bằng mật mã (Regulation of cryptographic controls) ......6612.1.7. Tập hợp chứng cứ (Collection of evidence) ...............................................................67

12.1.7.1. Các quyđịnh về chứng cứ (Rules for evidence) ..................................................67


6

12.1.7.2. Tính có thể thừa nhận của chứng cứ (admissibility of evidence): .......................6712.1.7.3. Chất luợng và tính đầy đủ của chứng cứ..............................................................67

12.2. Soát xét sự tuân thủ chính sách an ninh và tiêu chuẩn kỹ thuật.........................................6712.2.1. Sự tuân thủ chinh sách an ninh (Compliance with security policy) ...........................6812.2.2. Kiểm tra sự tuân thủ kỹ thuật (Technical compliance checking) ...............................68

12.3. Các lưu ý khi kiểm soát nội bộ hệ thống (System audit considerations) ...........................6812.3.1. Các công cụ kiểm soát nội bộ hệ thống (System audit controls) ................................6812.3.2. Bảo vệ các công cụ kiểm soát nội bộ hệ thống (Protection of system audit tools) .....69


7

GIỚI THIỆU

An ninh thông tin là gì?

Thông tin là một loại tài sản giống nhưmọi tài sản khác của tổchức, vì vậy cần được bảo vệsao cho

trong mọi trường hợp các hoạt động nghiệp vụvẫn diễn ra bình thường. Thông tin có thểtồn tại dưới

nhiều hình thức: trên giấy, các phương tiện lưu trữtừ, được truyền dẫn đi xa, ... An ninh thông tin

được định nghĩa qua ba yêu cầu sau:

a) Tính tin cậy (confidentiality): đảm bảo thông tin chỉcó thểđược truy nhập bởi những người

được cấp quyền sửdụng (ensuring that information is accessible only to those authorized to have

access);

b) Tính toàn vẹn (integrity): bảo vệsựchính xác và đầy đủcủa thông tin và các phương pháp xử

lý (safeguarding the accuracy and completeness of information and processing methods).

c) Tính sẵn sàng (availability): đảm bảo những người được cấp quyền có thểtruy nhập thông tin

và các tài sản liên quan ngay khi có nhu cầu (ensuring that authorized users have access to

information and associated assets when required).

Tại sao an ninh thông tin là cần thiết?

Thông tin và các quá trình trợgiúp, các hệthống và các mạng là các tài sản quan trọng của tổchức.

Tính tin cậy, tính toàn vẹn và tính sẵn sàng của thông tin là yêu cầu cơbản đểđảm bảo sựhoạt động

bình thường của tổchức. Tổchức và các hệthống thông tin của nó luôn phải đối mặt với các nguy

cơan ninh (security threats) từmôi trường nhưhacker, viruses, tấn công từchối dịch vụ, các sai lỗi

của người dùng, cháy nổ, lũlụt… Các điểm đểtừđó các nguy cơbên ngoài và bên trong tổchức có

thểthâm nhập làm hỏng hệthống thông tin được gọi là các điểm dễtổn thương (vulnerabilities). Vì

vậy cần phải bịt cácđiểm dễtổn thương này bằng các kiểm soát (controls). Các kiểm soát này có thể

là các biện pháp kỹthuật, biện pháp hành chính phù hợp với tổchức. Đểthực hiện các kiểm soát

này, tổchức cần sựtham gia của tất cảnhân viên và các nhà quản lý trong tổchức, các khách hàng,

các nhà cung cấp của tổchức, các cổđông (stakeholders) của tổchức.

Xácđịnh các yêu cầu an ninh nhưthếnào?

Tổchức cần phải xác định được các yêu cầu an ninh của mình, có ba nguồn có thểgiúp đưa ra các

yêu cầu an ninh nhưsau:

Thứnhất, là các rủi ro phát sinh trong tổchức (assessing risks to the organization). Thông qua

việc đánh giá rủi ro, các nguy cơđối với tài sản được xác định, các điểm dễtổn thương và khả

năng xuất hiện của nó cũng được đánh giá, các ảnh hưởng tiềm tàng được ước lượng.

Thứhai, là các rủi ro phát sinh từsựkhông tuân thủcác yêu cầu của luật pháp (luật bảo vệthông

tin cá nhân, luật sởhữu trí tuệ, …), các yêu cầu vềhợp đồng, … mà một tổchức và các đối tác

của nó phải đáp ứng.


8

Thứba, là rủi ro phát sinh từcác nguyên tắc, thủtục, tiêu chuẩn xửlý thông tin mà tổchức xây

dựng đểphục vụcho các hoạt động của nó.

Đánh giá rủi ro an ninh (Assessing security risks)

Các yêu cầu an ninh được định danh bởi một phương pháp luận đánh giá rủi ro an ninh (methodical

assessment of security risks). Sựđánh giá này là cơsởđểxác định và mua sắm, xây dựng các kiểm

soát, vì vậy đòi hỏi phải đúng đắn, chính xác. Các kỹthuật đánh giá có thểáp dụng cho toàn bộtổ

chức, một phần tổchức, các thành phần của hệthống hoặc chỉriêng một dịch vụ. Đánh giá rủi ro

một cách hệthống bao gồm hai điểm sau:

a) Đánh giá các thiệt hại nghiệp vụ(business harm) là hậu quảcủa một sựcốan ninh (security

failure), có xét đến các hậu quảtiềm tàng từviệc mất tính tin cậy, tính toàn vẹn và tính sẵn sàng của

thông tin và các tài sản khác.

b) Đánh giá khảnăng hiện thực xảy ra một sựcốnhưvậy trong sựphối hợp của các nguy cơ

(threats), cácđiểm dễbịtổn thương (vulnerabilities) và các kiểm soát (controls) đã được thực hiện.

Các kết quảđánh giá này sẽgiúp cho việc hướng dẫn và xác định các biện pháp quản lý thích

hợp, xác định các ưu tiên đối với việc quản lý rủi ro an ninh thông tin, xác định các các kiểm soát

được chọn lựa đểchống lại các rủi ro. Tiến trình đánh giá rủi ro và chọn lựa các kiểm soát có thể

phải lặp đi lặp lại một sốlần.

Thực hiện soát xét định kỳcác rủi ro an ninh và các kiểm soát được cài đặt nhằm:

a) Kiểm tra sựthích hợp của các biện pháp an ninh thông tin đối với các thay đổi yêu cầu nghiệp vụ

và các ưu tiên.

b) Xác định các nguy cơvà các điểm dễ tổn thương mới.

c) Kiểm tra tính hiệu quảvà tính thích hợp của các kiểm soát hiện tại.

Việc soát xét này được thực hiện dựa trên kết quảcủa đánh giảrủi ro đã làm gần đây nhất và

thường căn cứtrên mức rủi ro cao, đểtập trung nguồn lực đối phó với các rủi ro này.

Chọn lựa các kiểm soát (Selecting controls)

Ngay khi các yêu cầu an ninh được xác định, các kiểm soát phải được chọn lựa và được cài đặt để

đảm bảo các rủi ro được giảm bớt tới mức có thểchấp nhận. Các kiểm soát có thểđược chọn lựa từ

tài liệu này hoặc từnơi khác, hoặc các kiểm soát mới có thểđược thiết kếđểđáp ứng cho các yêu

cầu cụthểmột cách thích hợp. Có nhiều cách khác nhau đểquản lý rủi ro và tài liệu này cung cấp

một sốví dụ. Tuy nhiên, điều cần thiết là phải nhận biết được kiểm soát nào thích hợp đối với các hệ

thống thông tin hoặc đối với tổchức của bạn.

Ví dụ, phần 8.1.4 mô tảviệc phân chia trách nhiệm đểngăn chặn các gian lận và sai phạm có

thể. Tuy nhiên, cách này có thểkhông phù hợp với các tổchức quy mô nhỏ, vì vậy các tổchức loại

này có thểdùng các kiểm soát khác thích hợp hơn.


9

Hay trong phần 9.7 và 12.1 mô tảviệc giám sát hệthống đểtập hợp các chứng cứ. Các công cụ

dùng ởđây có thểvi phạm các quy định của pháp luật vềbảo vệquyền riêng tưcủa thông tin cá

nhân, vì vậy việc sửdụng nó ởmức độnào đó là phải cân nhắc. Đồng thời chi phí cho các kiểm soát

này cũng cần tính đến, nhưng không chỉcác yếu tốtài chính, các yếu tốphi tài chính nhưviệc mất

mát danh tiếng của tổchức cần được xét đến khi chọn lựa các kiểm soát.

Một sốkiểm soát trong tài liệu này có thểđược coi nhưcác nguyên tắc hướng dẫn việc quản lý

an ninh thông tin và có thểứng dụng cho phần lớn tổchức. Các kiểm soát này sẽđược nói đến chi

tiết ngay dưới đây trong mục “Điểm khởi đầu an ninh thông tin”.

Điểm khởi đầu an ninh thông tin (Information security starting point)

Một số kiểm soát có thể được coi nhưlà các nguyên tắc hướng dẫn để khởi đầu việc thực hiện an

ninh thông tin. Chúng có thể dựa trên các yêu cầu pháp luật hoặc có thể là sự đúc kết kinh nghiệm từ

thực tế.

Các kiểm soát từquan điểm pháp luật:

a) Bảo vệdữliệu và quyền riêng tưcủa thông tin cá nhân (xem 12.1.4).

b) Bảo vệsốsách của tổchức (xem 12.1.3);

c) Tuân thủcác quyền sởhữu trí tuệ(xem 12.1.2);

Các kiểm soát đúc kết từkinh nghiệm:

a) Tài liệu vềchính sách an ninh thông tin (xem 3.1);

b) Chỉđịnh trách nhiệm vềan ninh thông tin (xem 4.1.3);

c) Đào tạo vềan ninh thông tin (xem 6.2.1);

d) Báo cáo các sựcốan ninh thông tin (xem 6.3.1);

e) Quản lý liên tục nghiệp vụ(xem 11.1).

Các kiểm soát này có thểứng dụng được cho phần lớn các tổchức và môi trường khác nhau. Cần

phải nhấn mạnh rằng mọi kiểm soát trong tài liệu này đều quan trọng, nhưng sự thích hợp của bất cứ

kiểm soát nào cũng phải được xác định trong hoàn cảnh các rủi ro cụ thể mà tổ chức phải đối mặt.

Mặc dù cách tiếp cận trên được coi nhưmột điểm khởi đầu tốt nhưng nó không thay thếcho sựlựa

chọn các kiểm soát dựa trên đánh giảrủi ro.

Các yếu tố thành công quyết định (Critical success factors)

Kinh nghiệm đã thể hiện rằng các yếu tố sau thường đóng vai trò rất quan trọng đối với sự thành

công của một tổ chức trong việc thực hiện an ninh thông tin:

a) Chính sách an ninh tốt được soạn thảo dựa trên việc đạt được các mục đích nghiệp vụcủa tổchức;

b) Cách tiếp cận đểthực thi các yêu cầu an ninh nhất quán với văn hoá của tổchức;

c) Các trợ giúp hiệu quảvà sự cam kết từcác cấp quản lý;


10

d) Một sự hiểu biết tốt về các yêu cầu an ninh, về đánh giá rủi ro và quản lý rủi ro

e) Phổ biến vấn đề an ninh thông tin tới tất cả các nhà quản lý và các nhân viên;

f) Phổ biến các nội dung nội dung của chinh sách an ninh thông tin và các tiêu chuẩn của nó tới mọi

nhân viên và những người liên quan với tổchức;

g) Tổchức thích hợp các khoá học vềan ninh thông tin;

h)Đánh giá thường xuyên vềhiệu quảcủa chinh sách và các thực thi an ninh thông tin từđó rút kinh

nghiệm và cải tiến liên tục;

Xây dựng các nguyên tắc riêng của tổchức

(Developing your own guidelines)

Tài liệu này chỉcó thểcoi nhưđiểm khởi đầu đểxây dựng chinh sách an ninh thông tin. Không phải

tất cảcác hướng dẫn trong đây đều có thểứng dụng. Hơn nữa, các kiểm soát thực tếcó thểkhác

nhiều so với ởđây. Vì vậy chỉnên coi tài liệu này nhưmột tài liệu khung vềan ninh thông tin.


11

NỘI DUNG CHUẨN ISO 17799

1. Phạm vi (Scope)

Tiêu chuẩn này đưa ra các gợi ý vềquản lý an ninh thông tin cho một tổ chức, tổ chức tự khởi đầu,

tự cài đặt và tự bảo trì an ninh. Tài liệu chú trọng cung cấp một cơsởđểxây dựng các tiêu chuẩn an

ninh thông tin và hướng dẫn thực thi hiệu quảcác tiêu chuẩn đó. Tài liệu cũng nhấn mạnh các biện

pháp bảo đảm an ninh thông tin thông qua sựphối hợp của nhiều tổchức. Các khuyến cáo ởđây cần

được lựa chọn và sửdụng phù hợp với các quy định của luật pháp và theo thông lệ.

2. Khái niệm và định nghĩa (Terms and definitions)

Phù hợp với mục đích của tài liệu này, ta có các định nghĩa sau.

2.1. An ninh thông tin (Information security)

Là sự duy trì tính tin cậy, tính toàn vẹn và tính sẵn sàng của thông tin.

d) Tính tin cậy (confidentiality): đảm bảo thông tin chỉcó thểđược truy nhập bởi những người

được cấp quyền sửdụng;

e) Tính toàn vẹn (integrity): bảo vệsựchính xác và đầy đủcủa thông tin và các phương pháp xửlý;

f) Tính sẵn sàng (availability): đảm bảo những người được cấp quyền có thểtruy nhập thông tin và

các tài sản liên quan ngay khi có nhu cầu.

2.2. Đánh giá rủi ro (Risk assessment)

Đánh giá về các nguy cơvà ảnh hưởng của nó, các điểm dễ tổn thương của hệthống thông tin và các

thiết bị xử lý, đánh giá khả năng xuất hiện của các nguy cơ.

2.3. Quản lý rủi ro (Risk management)

Quá trình xác định, kiểm soát, tối thiểu hoá hoặc loại bỏ các rủi ro an ninh có thể ảnh hưởng tới hệ

thống thông tin với chi phí có thể chấp nhận.

3. Chính sách an ninh thông tin (Security policy)

3.1. Chính sách an ninh thông tin (Information security policy)

Mục đích: cung cấp các phương hướng và trợ giúp vềmặt quản lýđối với an ninh thông tin.

Các cấp quản lý cần thiết lập một chính sách rõ ràng với các quy định vềtrợgiúp hiệu quả, chính

sách là cam kết của cấp quản lý vềan ninh thông tin, chính sách được duy trì thường xuyên và cập

nhật định kỳ.

3.1.1. Tài liệu chính sách an ninh thông tin (Information security policy document)

Một tài liệu phải được phê chuẩn, được xuất bản và được quảng bá thích hợp tới tất cả mọi người.

Nó tuyên bố các cam kết của cấp quản lý và thiết lập một cách tiếp cận quản lý an ninh thông tin phù

hợp đối với tổchức. Tối thiểu, tài liệu phải bao hàm các nội dung sau:


12

a) Một định nghĩa về an ninh thông tin, định nghĩa phải bao hàm các mục tiêu và phạm vi, tầm quan

trọng của an ninh thông tin, và cuối cùng, nhưlà một cơchế cho phép chia sẻ thông tin (xem phần

giới thiệu);

b) Một báo cáo về mục đích quản lý, trợ giúp các mục tiêu và nguyên lý của an ninh thông tin;

c) Một diễn giải vắn tắt về các chính sách an ninh, các nguyên lý, các tiêu chuẩn và các tuân thủ yêu

cầu, ví dụ:

1) Tuân thủ các yêu cầu luật pháp và các yêu cầu ký kết hợp đồng;

2) Các yêu cầu đào tạo về an ninh;

3) Ngăn ngừa và phát hiện viruses và các phần mềm nguy hiểm;

4) Quản lý liên tục nghiệp vụ;

5) Hậu quả của các vi phạm chính sách an ninh;

d) Một định nghĩa về trách nhiệm chung và riêng đối với quản lý an ninh thông tin, và trách nhiệm

báo cáo các sựcốan ninh;

e) Tham chiếu tới các tài liệu trợ giúp chính sách, ví dụ, các chính sách an ninh chi tiết hơn, các thủ

tục đối với các hệ thống thông tin cụ thể hoặc các quy tắc an ninh mà người dùng phải tuân thủ.

Cuối cùng chính sách phải được phổ biến tới tất cả mọi người trong tổ chức.

3.1.2. Soát xét và đánh giá (Review and evaluation)

Phải có người chịu trách nhiệm về việc bảo trì chính sách và soát xét tài liệu theo một quy định rõ

ràng. Tiến trình soát xét phải đảm bảo chính sách an ninh luôn luôn đáp ứng bất cứ thay đổi nào từ

các đánh giá rủi ro hoặc các thay đổi hạ tầng kỹthuật. Việc soát xét phải được lập lịch thực hiện

định kỳ với nội dung nhưsau:

a) Hiệu quả của chính sách, được làm sảng tỏbởi bản chất, số lượng và ảnh hưởng của các sự cố an

ninh đã ghi chép lại được;

b) Chi phí và ảnh hưởng của các kiểm soát đối với hiệu quả nghiệp vụ;

c) Hiệu quả của chính sách trước các thay đổi công nghệ.

4. An ninh tổ chức (Organizational security)

4.1. Hạ tầng an ninh thông tin (Information security infrastructure)

Mục đích: Để quản lý an ninh thông tin bên trong tổ chức.

Một khung quản lý được thiết lập để khởi đầu và kiểm soát sự thực thi an ninh thông tin bên trong tổ

chức. Các kênh thông tin với lãnh đạo được thiết lập để phê chuẩn chính sách an ninh thông tin, để

bổ nhiệm các vai trò an ninh và cùng điều phối sự thực thi an ninh trong tổ chức. Nếu cần thiết, một

bộ phận tưvấn về an ninh thông tin được thiết lập và luôn sẵn sàng trong tổ chức, phối hợp với các

chuyên gia an ninh bên ngoài để kịp thời nắm bắt các khuynh hướng công nghiệp, giám sát các tiêu

chuẩn và đánh giá các phương pháp, liên lạc các bên phối hợp khi giải quyết các sự cố an ninh. Một


13

cách tiếp cận đa chiều đối với an ninh thông tin được khuyến khích nhằm giải quyết vấn đề này từ

nhiều góc độ.

4.1.1. Diễn đàn an ninh thông tin của cấp quản lý (Management information security forum)

An ninh thông tin là một trách nhiệm nghiệp vụ được chia sẻ giữa tất cả các thành viên của cấp quản

lý. Một diễn đàn đảm bảo mỗi thành viên có thể chia sẻ vấn đề này với các thành viên khác, đồng

thời thấu hiểu ý tưởng và suy nghĩ của những thành viên khác. Diễn đàn phải xúc tiến an ninh trong

tổ chức thông qua việc huy động các nguồn lực với một sự cam kết thích hợp. Diễn đàn là một thành

phần của cơcấu quản lý của tổ chức. Một cách điển hình, diễn đàn phải thoả mãn:

a) Xét duyệt và chấp thuận chính sách an ninh thông tin, đồng thời đưa ra các trách nhiệm tổng thể;

b) Giám sát các diễn biến của tài sản thông tin trước các nguy cơnghiêm trọng;

c) Soát xét và giám sát các sự cố an ninh thông tin;

d) Chấp thuận các khởi động chính để tăng cường an ninh thông tin.

Một nhà quản lý phải chịu trách nhiệm chính về tất cả các hoạt động liên quan đến an ninh thông tin,

ví dụ, một giámđốc thông tin (CIO).

4.1.2. Đồng điều phối an ninh thông tin (Information security co-ordination)

Trong một tổ chức lớn, một diễn đàn đa chức năng (cross-functional forum) gồm các đại diện quản

lý từ các thành phần liên quan của tổ chức có thể là cần thiết để đồng điều phối sự thực thi các chính

sách an ninh thông tin. Một cách điển hình, một diễn đàn nhưvậy phải:

a) Thoả thuận các trách nhiệm và vai trò cụ thể về an ninh thông tin trong tổ chức;

b) Thoả thuận các phương pháp luận và tiến trình thực hiện cụ thể về an ninh thông tin, ví dụ, các

phương pháp đánh giá rủi ro, các hệ thống phân loại an ninh;

c) Thoả thuận và trợ giúp các hành động an ninh thông tin trên toàn bộ tổ chức;

d)Đảm bảo an ninh là một thành phần của tiến trình lập kế hoạch thông tin;

e) Đánh giá sự thích hợp và đồng phối hợp thực thi các kiểm soát an ninh thông tin cụ thể đối với

các hệ thống mới hoặc các dịch vụ mới;

f) Soát xét các sự cố an ninh thông tin;

g) Quảng bá các trợ giúp an ninh thông tin trên toàn thểtổ chức.

4.1.3. Chỉ định các trách nhiệm an ninh thông tin (Allocation of information security

responsibilities)

Trách nhiệm bảo vệ các tài sản và thực hiện các tiến trình an ninh cụ thể phải được định nghĩa rõ

ràng. Chính sách an ninh thông tin (xem mục 3) phải cung cấp sự hướng dẫn tổng quan về việc chỉ

định các vai trò an ninh và trách nhiệm tương ứng trong tổ chức. Đồng thời nó phải đưa ra, khi cần

thiết, một hướng dẫn cụ thể hơn đối với các lĩnh vực, các hệ thống và các dịch vụ riêng biệt. Các

trách nhiệm cục bộ về các tài sản và thông tin cá nhân, về các tiến trình an ninh, nhưlập kế hoạch

liên tục nghiệp vụ, phải được định nghĩa rõ ràng. Trong nhiều tổ chức, một nhà quản lý an ninh


14

thông tin được bổ nhiệm để chịu toàn bộ tránh nhiệm về việc xây dựng, thực thi các chính sách an

ninh và lựa chọn các kiểm soát. Tuy nhiên, trách nhiệm cung cấp các nguồn lực và thực thi các kiểm

soát thường được dành cho các nhà quản lý cụthểkhác. Những ai là chủ sử dụng tài sản thông tin

nào thì sẽ chịu tránh nhiệm hàng ngày về an ninh của tài sản đó.

Chủ sử dụng các tài sản thông tin có thể uỷ nhiệm trách nhiệm đảm bảo an ninh cho các nhà

quản lý cấp dưới hoặc cho các nhà cung cấp dịch vụ. Tuy nhiên, trách nhiệm cuối cùng về an ninh

vẫn phải do chủ sử dụng tài sản chịu. Điều cơbản là các lĩnh vực mà mỗi nhà quản lý chịu trách

nhiệm phải được xác định rõ ràng:

a) Các tài sản khác nhau và các tiến trình an ninh liên quan với mỗi hệ thống cụthểphải được xác

định rõ ràng;

b) Nhà quản lý chịu trách nhiệm về mỗi tài sản và mỗi tiến trình an ninh phải được chỉđịnh và chi

tiết trách nhiệm phải được tài liệu hoá.

c) Mức cấp phép (authorization level) phải được định nghĩa rõ ràng và được tài liệu hoá (xem vềcấp

phép ngay mục dưới đây).

4.1.4. Tiến trình cấp phép cho các thiết bị xử lý thông tin (Authorization process for

information processing facilities)

Một tiến trình cấp phép cho các thiết bị xử lý thông tin được thiết lập. Các kiểm soát sau được cân

nhắc.

a) Các thiết bị mới phải được phê chuẩn người sử dụng, được cấp phép đúng với mục đích sử dụng.

Sự phê chuẩn này cũng phải được nhà quản lý bộphận (chịu trách nhiệm an ninh thông tin tại bộ

phận thiết bịđược sửdụng) thông qua để đảm bảo chính sách an ninh và các yêu cầu liên quan đều

được đáp ứng.

b) Nếu cần thiết, thiết bịphải được kiểm tra để đảm bảo (phần cứng và phần mềm của thiết bị) tính

tương thích với các thành phần khác của hệ thống.

c) Sử dụng các thiết bịthông tin cá nhân để xử lý các thông tin nghiệp vụ và các kiểm soát kèm theo

thiết bịphải được cấp phép.

d) Sử dụng các thiết bị thông tin cá nhân tại nơi làm việc có thể gây ra các điểm dễ tổn thương mới,

vì thế phải được đánh giá và cấp phép. Các kiểm soát này là đặc biệt quan trọng trong môi trường

mạng.

4.1.5. Tưvấn an ninh thông tin từ các chuyên gia (Specialist information security advice)

Trường hợp tốt nhất là tổ chức có sẵn một nhà tưvấn an ninh thông tin có kinh nghiệm trong chính

tổchức của mình. Nhưng không phải tất cả các tổ chức đều có thểđáp ứng điều này. Trong trường

hợp này, một nhân viên được chỉ định đóng vai trò đồng phối hợp các tri thức và kinh nghiệm trong

tổ chức nhằm đảm bảo sự nhất quán trong các quyết định về an ninh. Người này cũng có thể tham

vấn các nhà tưvấn bên ngoài vềcác vấn đềcủa tổchức.


15

4.1.6. Đồng phối hợp giữa các tổ chức (Co-operation between organizations)

Sựphối hợp với các nhà tưvấn luật, các nhà cung cấp dịch vụthông tin, viễn thông và các đối tác

khác cần được thực hiện thường xuyên đểđảm bảo xửlý nhanh nhất các sựcốan ninh. Tương tự,

quan hệvới các nhà tưvấn an ninh và các diễn đàn công nghiệp cũng nên được thiết lập.

Sựtrao đổi với các đối tác này cần được giới hạn trong sốnhững người có trách nhiệm đểtránh

lộthông tin.

4.1.7. Soát xétđộc lập về an ninh thông tin (Independent review of information security)

Tài liệu chính sách an ninh thông tin (xem 3.1) thiết lập chính sách và trách nhiệm thực thi an ninh

thông tin.

Sựthi hành các vấn đềan ninh thông tin phải được soát xét một cách độc lập nhằm đảm bảo các

thực thi này phản ánh đúng chính sách và đảm bảo tính khả thi và hiệu quả của nó (xem 12.2). Sự

soát xét nhưvậy phải được thực hiện bởi bộ phận kiểm soát nội bộ của tổ chức, bởi một nhà quản lý

độc lập hoặc một bên thứ ba.

4.2. An ninhđối với các truy nhập của bên thứ ba (Security of third party access)

Mục đích: đảm bảo an ninh các thiết bị xử lý thông tin của tổ chức và các thông tin được truy nhập

từbên thứ ba.

Truy nhập của bên thứ ba phải được kiểm soát. Khi bên thứ ba có nhu cầu truy nhập, một đánh

giá rủi ro được thực hiện để xác định tình trạng an ninh của việc truy nhập và xác định các yêu cầu

kiểm soát. Các kiểm soát được thoả thuận và được định nghĩa trong một hợp đồng với bên thứ ba.

Bên thứ ba có thể bao gồm sự tham gia của nhiều đối tác khác nhau.

4.2.1. Định danh các rủi ro từ truy nhập của bên thứ ba

(Identification of risks from third party access)

4.2.1.1. Kiểu truy nhập (Types of access)

Xác định kiểu truy nhập của bên thứ ba có tầm quan trọng đặc biệt. Ví dụ, rủi ro truy nhập qua một

kết nối mạng là khác với các rủi ro từ sự truy nhập trực tiếp. Có các kiểu truy nhập sau:

a) Truy nhập vật lý, ví dụ, bên thứba đến các văn phòng, các phòng máy tính,…;

b) Các truy nhập logic, ví dụ, truy nhập một CSDL, một hệ thống thông tin.

4.2.1.2. Lý do truy nhập (Reasons for access)

Một số lý do để bên thứ ba truy nhập vào hệ thống được kê ra dưới đây.

a) Các nhân viên hỗ trợ phần cứng hoặc phần mềm cần phải truy nhập vào hệ thống để bảo trì;

b) Các đối tác nghiệp vụ cần truy nhập vào hệ thống để trao đổi thông tin hoặc sử dụng chung

CSDL. Thông tin có thể bị nguy hiểm khi truy nhập nhưvậy. Khi bên thứ ba có nhu cầu truy nhập,

một đánh giá rủi ro được thực hiện để xác định tình trạng an ninh của việc truy nhập và xácđịnh các

yêu cầu kiểm soát, đồng thời xét kiểu truy nhập, giá trịcủa thông tin.

4.2.1.3. Các nhà cung cấp tại chỗ (On-site contractors)


16

Bên thứba cũng có thểlà các nhà cung cấp dịch vụtại chỗ, những người này, thông qua hành động

của họ, cũng có thểlàm giảm an ninh của hệthống. Các ví dụvềbên thứba tại chỗ:

a) Các nhân viên trợp giúp và bảo trì phần cứng và phần mềm;

b) Những người làm vệsinh, cung cấp thực phẩm, nhân viên bảo vệvà những người làm dịch vụdo

tổchức thuê từbên ngoài khác;

c) Sinh viên thực tập và những người làm thời vụkhác;

d) Các nhà tưvấn.

Điều quan trọng là xác định các kiểm soát cần thiết đối với những người này nếu họcó nhu cầu truy

nhập hoặc sửdụng các thiết bịthông tin. Thông thường, các kiểm soát đối với hoạt động của bên

thứba được ghi ngay trong hợp đồng của họ(xem 4.2.2, 6.1.3). Bên thứba sẽkhông được truy nhập

cho đến khi tất cảcác hợp đồng ký kết với họđã hoàn tất, khi tất cảcác kiểm soát đã được thiết lập.

4.2.2. Các yêu cầu an ninh trong hợp đồng với bên thứba

(Security requirements in third party contracts)

Nhưđã nói ởtrên, các yêu cầu an ninh cần được xác định ngay trong hợp đồng tổchức ký kết với

bên thứba, các yêu cầu này phải tuân thủchính sách an ninh của tổchức, trong hợp đồng không có

điểm nào mù mờvềtrách nhiệm. Hợp đồng xác định rõ trong trường hợp nào tổchức có thểyêu cầu

bên thứba bồi thường thiệt hại khi các yêu cầu an ninh bịvi phạm. Các nội dung sau cần được ghi

trong hợp đồng:

a) Chính sách chung vềan ninh thông tin của tổchức;

b) Trách nhiệm bảo vệtài sản, bao gồm:

1) Các thủtục bảo vệtài sản của tổchức, gồm thông tin và phần mềm;

2) Các thủtục đểxác định liệu có sựdàn xếp vềtài sản hay không trong trường hợp, ví dụ, mất

hoặc sửa dữliệu;

3) Các kiểm soát đảm bảo bên thứba trảlại hoặc huỷbỏtài sản hoặc thông tin khi kết thúc hợp

đồng hoặc khi đến một thời điểm đã được thoảthuận;

4) Đảm bảo tính toàn vẹn và tính sẵn sàng của thông tin;

5) Các hạn chếđối với hoạt động của bên thứba đểtránh sao chép hoặc đểlộthông tin;

c) Mô tảvềcác dịch vụbên thứba cung cấp;

d) Điều kiện đểdịch vụcung cấp được chấp nhận và điều kiện đểdịch vụcung cấp không được

chấp nhận;

e) Giúp đỡnhân viên di chuyển một cách thích hợp (provision for the transfer of staff where

appropriate);

f) Trách nhiệm pháp lý tương ứng của bên thứba;

g) Nếu sựhợp tác với bên thứba ởmột nước khác thì hợp đồng phải xét đến sựkhác nhau của các

quyđịnh luật pháp vềcùng một vấn đề, từđó đưa đến cách hiểu thống nhất (xem 12.1);


17

h) Xem xét sựtuân thủluật sởhữu trí tuệ(IPRs) và quyền lợi vềbản quyền (xem 12.1.2), luật bảo

vệsựhợp tác (xem 6.1.3);

i) Thoảthuận các truy nhập, gồm:

1) Các phương pháp truy nhập được phép, kiểm soát việc sửdụng các user IDs và các mật khẩu;

2) Các quy trình cấp phép cho người dùng và các ưu tiên;

3) Duy trì một danh sách các cá nhân đã được cấp phép sửdụng dịch vụ, các quyền và ưu tiên của

mỗi người;

j) Định nghĩa các tiêu chuẩn kiểm tra tính hiệu quảcủa dịch vụdo bên thứba cung cấp, giám sát và

báo cáo;

k) Quyđịnh vềcác quyền giám sát và bác bỏcác hoạt động của người dùng;

l) Quyền kiểm soát trách nhiệm thực hiện hợp đồng, quyền này có thểgiao cho một bên thứba

khác thực hiện;

m) Trách nhiệm cài đặt và bảo trì các phần cứng và phần mềm;

n) Một quy trình sáng sủa đểquản lý thay đổi;

o) Các kiểm soát cần thiết và cơchếđảm bảo các kiểm soát đó được thực hiện;

p) Đào tạo người quản trị, người dùng vềcác thủtục an ninh;

q) Các kiểm soát chống lại các phần mềm phá hoại (xem 8.3);

r) Các báo cáo vềcác sựcốvà vi phạm an ninh;

s) Có thểký các hợp đồng con với bên thứba.

4.3. Chuyển giao công việc cho tổchức khác (Outsourcing)

Mục đích: đảm bảo an ninh thông tin khi chuyển giao việc xửlý thông tin cho một tổchức khác.

4.3.1. Các yêu cầu an ninh trong các hợpđồng chuyển giao công việc

(Security requirements in outsourcing contracts)

Các yêu cầu an ninh khi chuyển giao việc xửlý thông tin cho một tổchức khác cần được ghi nhận

trong hợp đồng với các lưu ý chính nhưsau:

a) Tuân thủcác yêu cầu của luật pháp, ví dụ, tuân thủcác yêu cầu của luật bảo vệdữliệu;

b) Cácđiều khoản trong hợp đồng đểđảm bảo các đối tác thực hiện trách nhiệm an ninh của họ;

c) Tính toàn vẹn và tính tin cậy của tài sản của tổchức được thực hiện nhưthếnào;

d) Các kiểm soát logic và vật lý nào được sửdụng đểgiới hạn truy nhập các thông tin nghiệp vụ

nhạy cảm của tổchức từcác đối tác (tất nhiên là những người được cấp phép của đối tác);

e) Tính sẵn sàng của dịch vụđược thực hiện nhưthếnào trong trường hợp xảy ra tai nạn hoặc sự

cố;

f) Mức an ninh vật lý nào được thực hiện đối với các thiết bịđược chuyển giao;

g) Các quyền kiểm soát;


18

Các vấn đềđược xem xét trong 4.2.2 cũng được xét đến trong hợp đồng. Hợp đồng cũng đặt vấn đề

cho phép các yêu cầu an ninh được mởrộng thành một kế hoạch quản lý an ninh (security

management plan) giữa hai tổchức. Các hợp đồng chuyển giao có thểđặt ra nhiều vấn đềan ninh

phức tạp, nhưng các kiểm soát trong tài liệu này cũng có thểcoi là một khởi đầu tốt cho một kế

hoạch quản lý an ninh.

5. Kiểm soát và phân loại tài sản (Asset classification and control)

5.1. Trách nhiệm giải trình vềtài sản (Accountability for assets)

Mục đích: đảm bảo sựbảo vệthích hợp đối với tài sản của tổchức.

Tất cảcác tài sản thông tin đều phải được giải trình lý do tồn tại và phải được chỉđịnh một chủsử

dụng. Trách nhiệm giải trình này nhằm tạo điều kiện bảo vệvà bảo trì tài sản một cách thích hợp.

Chủsửdụng được xác định và chịu trách nhiệm hoàn toàn trong việc bảo trì và kiểm soátđối với tài

sản. Trách nhiệm giải trình được chỉđịnh cho chủsửdụng tài sản.

5.1.1. Kiểm kê tài sản ( Inventory of assets)

Kiểm kê tài sản là công việc quan trọng đểquản lý rủi ro. Một tổchức cần phải định danh các tài

sản, tầm quan trọng và giá trịtương đối của các tài sản của tổchức. Căn cứthông tin này, tổchức có

thểđưa ra các mức bảo vệphù hợp với giá trịvà tầm quan trọng của tài sản. Mỗi tài sản phải được

định danh rõ ràng, chủsửdụng và phân loại an ninh được tài liệu hoá, vịtrí của tài sản được xác

định. Các ví dụ về tài sản:

a) Các tài sản thông tin: CSDL và các tệp dữ liệu, các tài liệu hệ thống, các sách hướng dẫn người sử

dụng, các phương tiện đào tạo, các thủ tục trợ giúp và vận hành, các kế hoạch ngiệp vụ,…

b) Các tài sản phần mềm: phần mềm ứng dụng, phần mềm hệthống, các công cụ và tiện ích phát

triển;

c) Các tài sản vật lý: thiết bịmáy tính (bộxửlý, màn hình, laptops, modems), thiết bịtruyền thông

(routers, PABXs, máy fax), thiết bịtừ(băng và đĩa), các thiết bịkỹthuật khác (ổn áp, máy điều

hoà),…

d) Các dịch vụ: các dịch vụmáy tính và truyền thông, ...

5.2. Phân loại tài sản thông tin (Information classification)

Mục đích: đảm bảo tài sản thông tinđược gán mức bảo vệthích hợp.

Tài sản thông tin được phân loại đểxác định nhu cầu sửdụng, các ưu tiên và mức bảo vệ. Tài sản

thông tin cũng được xác định mức nhạy cảm và mức quyết định (critical) đối với tổchức. Một số

mục thông tin có thểyêu cầu các mức bảo vệphụhoặc cách xửlý đặc biệt (special handling). Hệ

thống phân loại thông tin được sửdụng đểđịnh nghĩa mức bảo vệthích hợp cho mỗi tài sản thông

tin.

5.2.1. Hướng dẫn phân loại (Classification guidelines)


19

Phân loại thông tin và thực hiện các kiểm soát liên quan phản ánh nhu cầu nghiệp vụchia sẻhoặc

hạn chếsửdụng thông tin và các ảnh hưởng nghiệp vụliên quan đến nhu cầu ấy. Nói chung, việc

phân loại và gán nhãn cho tài sản thông tin là phương pháp nhanh chóng xác định các thông tin đó

được xửlý và bảo vệnhưthếnào.

Thông tin và các kết quảxửlý của hệthống được gán nhãn theo hai tiêu chí là giá trị (value) và

độnhạy cảm (sensitivity) đối với tổchức. Có thểsửdụng thêm một tiêu chí nữa độquyết định

(critical) của thông tin đối với tổchức. Thông tin, sau một thời gian nhất định, sẽmất độnhạy cảm

hoặc hết hạn, ví dụ, khi thông tin đã được công khai. Các hướng dẫn phân loại phải tiên đoán và

tính đến một thực tếlà sựphân loại thông tin không cốđịnh theo thời gian mà có thểthay đổi cho

phù hợp với sựthayđổi của chính sách (xem 9.1).

Trách nhiệm đưa ra cách phân loại thông tin, ví dụ, phân loại một tài liệu, một báo cáo, một tệp

dữliệu, … trách nhiệm soát xét định kỳcách phân loại cần được giao cho một hoặc một nhóm

người.

5.2.2. Gán nhãn và xử lý thông tin (Information labelling and handling)

Thiết lập các thủtục đểgán nhãn thông tin phù hợp với sơđồphân loại. Các thủtục này xét đến tất

cảtài sản dưới dạng vật lý hoặc dạng phi vật lý. Với mỗi sựphân loại, các thủtục xửlý phải được

định nghĩa đểbao quát tất cảcác hoạt động xửlý thông tin sau:

a) Sao chép;

b) Lưu trữ;

c) Truyền tin theo đường bưu điện, fax, và email;

d) Truyền tin bằng giọng nói (mobile, voicemail, …);

e) Huỷthông tin;

Thông tin từkết quảxửlý của hệthống có thểđược phân loại theo độnhạy cảm hoặc độquyết định

và được gán nhãn thích hợp với nội dung trong 5.2.1. Các mục thông tin được gán nhãn là các báo

cáo được in từhệthống, các thiết bịlưu trữ(CD, băng từ, …), các tệp dữliệu, … Lưu ý tài sản

thông tin nói chung chỉtồn tại dưới hai dạng, dạng vật lý và dạng phi vật lý, vì vậy cần các loại nhãn

thích hợp.

6. An ninh cá nhân (Personnel security)

6.1. An ninh trongđịnh nghĩa công việc và nguồn lực

(Security in job definition and resourcing)

Mục đích: giảm bớt rủi ro do sai lỗi của con người.

Trách nhiệm an ninh phải được xác định rõ ngay khi tuyển nhân viên mới, trách nhiệm được ghi

trong hợp đồng, được giám sát trong công việc của mỗi người. Các nhân viên mới được giám sátđầy


20

đủ(xem 6.1.2) đặc biệt đối với các công việc nhạy cảm. Tất cảcác nhân viên và người sửdụng bên

thứba các thiết bịxửlý thông tin phải ký cam kết đảm bảo an ninh thông tin.

6.1.1. Gắn kết an ninh trong trách nhiệm đối với công việc

(Including security in job responsibilities)

Vai trò và trách nhiệm an ninh, nhưđã được quy định trong chính sách an ninh của tổchức (xem

3.1) được tài liệu hoá một cách thích hợp. Tài liệu quy định thực hiện an ninh gắn kết trong trách

nhiệm với công việc.

6.1.2. Thẩm tra hồsơcá nhân và chính sách (Personnel screening and policy)

Thực hiện các kiểm soát sau đểthẩm tra hồsơcá nhân:

a) Kiểm tra tính cách cá nhân có đáp ứng yêu cầu công việc;

b) Kiểm tra tính đầy đủvà tính chính xác của hồsơ;

c) Xác nhận văn bằng và phẩm chất nghềnghiệp;

d) Kiểm tra CMT, hộchiếu, …

Đối với nhân viên tại vịtrí công việc được tiếp xúc với các thông tin nhạy cảm thì tổchức phải thực

hiện kiểm tra lòng tin (credit check) của người thực hiện việc đó, việc kiểm tra lòng tin này cần được

thực hiện định kỳ. Một quy trình thẩm tra tương tựcũng được áp dụng đối với các nhà cung cấp

(contractors) và các nhân viên tạm thời (temporary staff).

6.1.3. Các thoả thuận về tính tin cậy (Confidentiality agreements)

Các nhân viên khi mới gia nhập tổchức thường ký kết các thoảthuận vềtính tin cậy hoặc không để

lộbí mật thông tin nhạy cảm của tổchức, các thoảthuận này được coi nhưlà một phần trong điều

kiện làm việc tại tổchức. Các nhân viên thời vụ(casual staff) và nhưng người dùng bên thứba

không bịràng buộc bởi những thoảthuận này thì cần ký kết tuân thủcác điều kiện tin cậy khác đểcó

thểtruy nhập thông tin của tổchức. Các thoảthuận vềtính tin cậy cần được soát xét khi có các thay

đổi vềđiều kiện sửdụng lao động hoặc các hợp đồng, đặc biệt khi các nhân viên rời khỏi tổchức

hoặc các hợp đồngđã hết hạn.

6.1.4. Điều kiện sửdụng lao động (Terms and conditions of employment)

Điều kiện sửdụng lao động cần xác định chính xác trách nhiệm của nhân viên đối với an ninh thông

tin. Ởnhững vịtrí nhất định, trách nhiệm đó cần được tiếp tục một thời gian sau khi nhân viên đã

thôi công việc. Các hành động thích hợp sẽđược áp dụng nếu nhân viên không đếm xỉa gì tới các

yêu cầu an ninh, quy định vềcác hành động nhưvậy cần được soạn thảo. Trách nhiệm pháp lý của

nhân viên và các quyền của họ, ví dụ, đối với các luật bản quyền hoặc luật bảo vệdữliệu, cần được

làm sáng tỏtrong điều kiện sửdụng lao động. Trách nhiệm quản lý dữliệu của người sửdụng lao

động cần được đưa vào đây. Khi thích hợp, điều kiện sửdụng lao động được mởrộng ra các hình

thức lao động bên ngoài tổchức nhưlao động tại nhà chẳng hạn (xem thêm 7.2.5 và 9.8.1).

6.2. Đào tạo người dùng (User training)


21

Mục đích: đểngười dùng hiểu các nguy cơan ninh và các vấn đềliên quan.

Cần tổchức các khoá đào tạo vềchính sách an ninh của tổchức cho tất cảmọi người trong tổchức,

đồng thời đào tạo các thủtục an ninh và cách thức sửdụng đúng đắn các thiết bịxửlý thông tin để

tối thiếu hoá các rủi ro an ninh.

6.2.1. Đào tạo an ninh thông tin (Information security education and training)

Tất cảcác nhân viên của tổchức và những người liên quan, nhưcác nhân viên của tổchức thứba,

cần được đào tạo thích hợp vềchính sách và các thủtục an ninh của tổchức. Nội dung đào tạo gồm

các yêu cầu an ninh, trách nhiệm pháp lý và các kiểm soát nghiệp vụ, cách sửdụng đúng đắn các

thiết bịxửlý thông tin, ví dụthủtục đăng nhập, sửdụng phần mềm.

6.3. Phản ứng lại các sựcốan ninh và sai hỏng chức năng

(Responding to security incidents and malfunctions)

Mục đích: đểtối thiếu hoá thiệt hại do các sựcốan ninh và do làm sai chức năng, đểgiám sát và học

hỏi, rút kinh nghiệm từcác sựcốđó.

Các sựcốan ninh cần được tổng hợp thông qua một kênh quản lý thích hợp và phải nhanh đến

mức có thể. Tất cảcác nhân viên và nhà cung cấp cần biết thủtục báo cáo các loại sựcốkhác nhau

(vi phạm an ninh, nguy cơ, làm sai chức năng,…) có thểảnh hưởng đến an ninh thông tin của tổ

chức. Họcũng báo cáo tất cảcác sựcốmà họ thấy, hoặc họnghi ngờmột cách nhanh nhất đến điểm

liên lạc đã chỉđịnh. Tổchức cũng thiết lập các quy định kỷluật đối với các trường hợp vi phạm các

yêu cầu an ninh. Cần tìm cách tập hợp nhanh nhất các bằng chứng vềsựcốngay sau khi sựcốxảy

ra (xem 12.1.7).

6.3.1. Báo cáo các sự cố an ninh (Reporting security incidents)

Các sự cố an ninh cần đuợc tổng hợp thông qua một kênh quản lý thích hợp nhanh đến mức có thể.

Thiết lập thủtục báo cáo hình thức (formal reporting procedure), cùng với thủtục giải quyết sựcố

(incident response procedure) đểcó thểnhanh chóng giải quyết sựcố. Tất cảcác nhân viên và các

nhà cung cấp cần hiểu biết vềthủtục báo cáo sựcốan ninh và báo cáo các sựcốđó nhanh nhất có

thể. Các quy trình phản hồi phù hợp được thực hiện để thông báo nhanh chóng thông tin vềsựcố

sau khi đã giải quyết.

Các sựcốnhưvậy cần được tổng kết lại đểlàm tài liệu đào tạo nhân viên (xem 6.2), hướng dẫn

cách giải quyết sựcốvà làm thếnào đểtránh xảy ra các sựcốnhưvậy trong tương lai (xem 12.1.7).

6.3.2. Báo cáo các yếu kém an ninh (Reporting security weaknesses)

Người dùng các dịch vụthông tin được yêu cầu chú ý và báo cáo bất cứyếu kém an ninh nào mà họ

quan sát được hoặc họnghi ngờ, hoặc các nguy cơcó thểcó đối với hệthống hoặc dịch vụ. Các báo

cáo nhưvậy cần gửi tới cấp quản lý của họhoặc tới nhà cung cấp dịch vụ nhanh nhất có thể. Người

dùng được khuyến cáo trong bất cứhoàn cảnh nào cũng không nên tìm cách chứng minh các yếu


22

kém mà họnghi ngờcó thực sựlà một điểm yếu an ninh hay không, vì điều này có thểbịlạm dụng

đểcan thiệp vào hệthống.

6.3.3. Báo cáo các sai hỏng chức năng của phần mềm (Reporting software malfunctions)

Thiết lập các thủtục báo cáo các sai hỏng chức năng của phần mềm. Các hành động sau cần được

thực hiện.

a) Các triệu chứng của vấn đềvà bất cứthông báo nghi ngờnào xuất hiện trên màn hình cũng cần

phải chú ý.

b) Các máy tính cần được cô lập nếu có thểvà ngừng sửdụng. Các hành động cảnh báo được thực

hiện tức thì. Nếu máy tính được kiểm tra thì cần tách nó ra khỏi mạng của tổchức trước khi khởi

động lại thiết bị. Các đĩa mềm của máy tính này không nên chuyển cho máy tính khác.

c) Vấn đềcần được báo cáo ngay cho người quản lý an ninh thông tin.

Người dùng không được xoá (remove) các phần mềm bịnghi ngờtrừkhi được phép làm như

vậy. Các nhân viên được đào tạo và có kinh nghiệm thích hợp sẽthực hiện các công việc này.

6.3.4. Học hỏi từ các sự cố (Learning from incidents)

Cần thiết lập các phương pháp cho phép phân loại, xác định độlớn, xác định chi phí của các sựcố

và sai hỏng chức năng. Kết quả thực hiện được ghi nhận lại và được sửdụng đểsửa hoặc nâng cấp

các kiểm soát, các chính sách an ninh nhằm giới hạn ởmức thấp nhất các sựcốtương tựtrong tương

lai.

6.3.5. Quy định về kỷ luật (Disciplinary process)

Cần soạn thảo các quy định vềkỷluật đối với các nhân viên vi phạm chính sách an ninh và thủtục

an ninh của tổchức (xem 6.1.4, vềlưu giữbằng chứng xem trong 12.1.7). Các quy định nhưvậy có

thểcoi nhưsựngăn ngừa từtrước các nhân viên coi thường yêu cầu an ninh của tổchức. Hơn nữa,

điều này đảm bảo sự công bằng khi xử lý kỷ luật các nhân viên bị nghi ngờ vi phạm chính sách an

ninh của tổ chức.

7. An ninh môi trường và an ninh vật lý (Physical and environmental security)

7.1. Vùng an ninh (Secure areas)

Mục đích: đểtránh các truy nhập không được cấp phép, các phá hoại vô ý hoặc cốý đến hệthống.

Các thiết bịxửlý thông tin nhạy cảm hoặc quan trọng cần phải được cất trong nhà, trong các vùng

an ninh (security areas), được bảo vệbởi một vành đai an ninh (security perimeter) có sựkiểm tra

vào ra, được bảo vệtránh các truy nhập không được phép. Sựbảo vệphải tương ứng với các rủi ro

đã được đánh giá.

7.1.1. Vành đai an ninh vật lý (Physical security perimeter)


23

Vành đai an ninh được thiết lập xung quanh các điểm chứa thông tin nhạy cảm. Vịtrí và độcẩn

trọng của vành đai an ninh phụthuộc vào kết quảcủa bản đánh giá rủi ro. Các kiểm soát sau cần

được quan tâm:

a) Vành đai an ninh phải được xác định rõ ràng vềmặt ranh giới;

b) Vành đai phải vững chắc vềmặt vật lý;

c) Kiểm soát vào ra vành đai an ninh được thực hiện cẩn trọng, vào ra chỉgiới hạn với các cá nhân

được cấp phép.

d) Các vành đai, nếu cần thiết, phải được mởrộng từsàn nhà đến trần nhà đểtránh các truy nhập

không hợp pháp và tránh các tai hoạnhưlửa cháy hoặc lũlụt.

e) Mọi cửa vào ra vành đai đều phải có còi báo động.

7.1.2. Kiểm soát vào ra vật lý (Physical entry controls)

Thực hiện sựkiểm soát đểđảm bảo chỉnhững người được cấp quyền mới được phép vào vùng an

ninh. Các kiểm soát sau phải được thực hiện.

a) Khách thăm (visitor) vùng an ninh được làm rõ nhân thân và được giám sát, thời gian và hành

trình của họđược ghi nhận lại. Họchỉđược phép vào với mục đích cụthểvà được cấp phép theo các

yêu cầu an ninh hoặc theo các thủtục khẩn cấp.

b) Truy nhập các thông tin nhạy cảm, các thiết bịxửlý thông tin được kiểm soát và bịgiới hạn và

chỉdành cho những người được cấp phép. Các kiểm soát xác thực, ví dụkiểm soát chứng minh thư,

được sửdụng đểcấp phép khi truy nhập. Vết truy nhập được ghi nhận lại.

c) Tất cảmọi người phải có thẻnhận dạng khi vào ra.

d) Quyền truy nhập các vùng an ninh được duyệt và cập nhật đều đặn.

7.1.3. Các nhân viên an ninh, phòng làm việc và thiết bị (Securing offices, rooms and facilities)

Vùng an ninh và các phòng làm việc cần được khoá, các ngăn kéo và két sắt cũng được khoá. Lựa

chọn và thiết kếmột vùng an ninh cần tính đến các khảnăng xảy ra cháy, lụt, hoặc các tai biến khác.

Các vấn đềliên quan đến sức khoẻcon người, các tiêu chuẩn an toàn làm việc cũng cần lưu tâm.

Ngoài ra, cần đểý đến ảnh hưởng của các vùng đai an ninh bên cạnh, ví dụ, rò rỉnước từvùng an

ninh bên cạnh sang. Các kiểm soát sau cần được thực hiện.

a) Các thiết bịchính được quy định vịtrí đểtránh các truy nhập tựdo.

b) Các toà nhà cần kín đáo và không phô trương mục đích của nó, không có dấu hiệu nào rõ ràng,

bên trong cũng nhưbên ngoài toà nhà đểcó thểnhận biết các hoạt động xửlý thông tin.

c) Các thiết bịtrợgiúp, ví dụ, máy phôtô, máy fax, … được đặt trong vùng an ninh đểtránh sửdụng

tựdo.

d) Cửa ra vào và cửa sổphải được khoá khi không có người, bảo vệbên ngoài cần được quan tâm,

đặc biệt đối với các cửa sổsát mặt đất.


24

e) Hệ thống phát hiện đột nhập được cài đặt quang vùng an ninh. Các vùng không có người kiểm

soát thì phải được gắn còi báo động suốt ngày đêm.

f) Cần quy định rõ ràng vềviệc bảo trì các thiết bịxửlý thông tin của tổchức với bên thứba.

g) Danh mục tài liệu và danh sách điện thoại nội bộliên quan đến việc quản lý các thiết bịxửlý

thông tin nhạy cảm phải được đểtại một vịtrí cốđịnh và được công khai trong tổchức.

h) Các thiết bịdễcháy, dễbắt lửa phải được đặt tại vịtrí có khoảng cách an toàn đối với vùng an

ninh. Các vật dụng văn phòng (giấy, bút, …) không được lưu trữtrong vùng an ninh.

i) Các thiết bịdựtrữvà phương tiện sao lưu phải được đặt tại vịtrí có khoảng cách an toàn so với vị

trí chính.

7.1.4. Làm việc trong vùng an ninh (Working in secure areas)

Các kiểm soát phụvà hướng dẫn có thểđược yêu cầu nhằm tăng cường an ninh cho vùng an ninh.

Các kiểm soát này cần tính đến các cá nhân và bên thứba làm việc tại vùng an ninh. Các kiểm soát

sau cần đuợc thực hiện.

a) Mỗi cá nhân chỉđược biết những thông tin cơbản nhất vềvùng an ninh khi làm việc trong đó.

b) Tránh đểbất cứai làm việc trong vùng an ninh mà không có giám sát vì cảlý do an toàn và để

tránh các cơhội cốý gây lỗi.

c) Các vùng an ninh chưa sửdụng cần được khoá và kiểm tra định kỳ.

d) Các bên thứba bịgiới hạn truy nhập vào vùng an ninh hoặc truy nhập các thiết bịxửlý thông tin

nhạy cảm, họchỉđược truy nhập khi có yêu cầu. Các truy nhập này được cấp phép và giám sát. Các

vành đai phụđểkiểm soát các truy nhập vật lý có thểlà cần thiết giữa các vùng với các yêu cầu an

ninh khác nhau trong cùng một vành đai an ninh.

e) Máy chụp ảnh, máy quay phim, máy ghi âm hoặc các thiết bịghi khác không được sửdụng trong

vành đai an ninh, trừkhi được cho phép.

7.1.5. Tách biệt vùng giao nhận (Isolated delivery and loading areas)

Vùng giao và nhận thiết bịcần được kiểm soát và, nếu có thể, cần cách ly với các thiết bịxửlý

thông tin đểtránh các truy nhập không được phép. Các yêu cầu an ninh cho vùng này cần được xác

định bằng một đánh giá rủi ro. Các kiểm soát sau được thực hiện.

a) Truy nhập vùng lưu trữ(access to a holding area) từbên ngoài toà nhà chỉđược giới hạn đối với

những người xác định và được cấp phép;

b) Nhập thiết bịchỉđược thực hiện khi có mặt nhân viên giao nhận (delivery staff);

c) Cửa ra vào bên ngoài (external door) vùng lưu trữđược đóng lại nếu cửa bên trong (internal door)

mở;

d) Các thiết bịnhập vùng lưu trữ(incoming material) được kiểm tra lỗi (xem 7.2.1 d) trước khi được

chuyển từvùng an ninh ra vịtrí sửdụng;

e) Các thiết bịnhập vùng an ninh cần được đăng ký thích hợp (xem 5.1).


25

7.2. An ninh thiết bị(Equipment security)

Mục đích: đểtránh mất mát, lỗi hoặc các sựcốkhác liên quan đến tài sản gây ảnh hưởng tới các hoạt

động nghiệp vụ. Các thiết bịđược bảo vệtránh các nguy cơan ninh và các rủi ro từmôi trường,

giảm bớt rủi ro từcác truy nhập không được phép có thểlàm hỏng hoặc làm mất dữliệu.

7.2.1. Lựa chọn vị trí thiết bị và bảo vệ (Equipment siting and protection)

Thiết bịđược lựa chọn vịtrí lắp đặt và được bảo vệtránh các rủi ro môi trường và các truy nhập

khôngđược phép. Các kiểm soát sau được cân nhắc.

a) Thiết bịđược đặt tại vịtrí cho phép tối thiểu hoá các truy nhập không cần thiết từcác vùng làm

việc khác;

b) Các thiết bịlưu trữvà xửlý thông tin liên quan đến thông tin nhạy cảm được đặt tại các vịtrí cho

phép tránh bị“săm soi”;

c) Các yêu cầu bảo vệđặc biệt đối với các thiết bịđược tách biệt đối với các yêu cầu bảo vệchung;

d) Các kiểm soát được thực hiện để tối thiểu hoá các nguy cơtiềm tàng sau: ăn cắp, cháy nổ, nước,

bụi, rung lắc, các hiệu ứng hoá học, … ;

e) Trong chính sách an ninh thông tin có điều khoản quy định không cho mọi người ăn uống, hút

thuốc gần các thiết bịxửlý thông tin;

f) Các điều kiện môi trường được giám sát đểkhông ảnh hưởng đến sựhoạt động an toàn của các

thiết bịxửlý thông tin;

g) Sửdụng các phương pháp bảo vệđặc biệt, ví nhưmàng bàn phím, đối với thiết bịlàm việc trong

môi trường công nghiệp;

h) Ảnh hưởng của các sựcốxảy ra gần vành đai an ninh cần được lưu ý, ví dụlửa cháy gần, nước

tràn gần đó…

7.2.2. Cung cấp năng lượng (Power supplies)

Thiết bịđược bảo vệtrước các sựcốnăng lượng và các biến đổi điện không bình thường, cần cung

cấp điện hợp lý theo chỉdẫn của nhà sản xuất thiết bị. Các lưu ý vềnăng lượng nhưsau.

a) Nhiều đường dẫn điện đểnếu sựcốđiện xảy ra thì luôn có nguồn thay thế;

b) Có các UPS;

c) Có máy phát điện dựphòng.

7.2.3. An ninhđường cáp (Cabling security)

Cáp truyền thông và cáp năng lượng cần được bảo vệ. Các kiểm soát sau được cân nhắc.

a) Đường cáp năng lượng và truyền thông nối với các thiết bịxửlý thông tin phải đặt ngầm, nếu có

thể, hoặc được bảo vệtheo cách khác thích hợp;

b) Cáp mạng được bảo vệtránh các truy nhập không phép, ví dụcác truy nhập “lái” dòng dữliệu từ

mạng công cộng;

c) Cáp năng lượng được đặt cách ly với cáp truyền thông đểtránh nhiễu loạn;


26

d)Đối với các hệthống quan trọng hoặc nhạy cảm thì cần lưu ý các kiểm soát:

1) Sửdụng cáp bọc sắt và các phòng có khoá hoặc đóng hộp tại các điểm kết nối;

2) Sửdụng các routings có thểthay thếlẫn nhau hoặc các thiết bịtruyền dẫn;

3) Sửdụng cáp quang;

4) Không gắn vào cáp các thiết bịkhông đăng ký;

7.2.4. Bảo trì thiết bị (Equipment maintenance)

Các thiết bịđược bảo trì hợp lý đểđảm bảo tính sẵn sàng và tính toàn vẹn. Các kiểm soát sau phải

đươc cân nhắc.

a) Thiết bịphải được bảo trì theo đúng yêu cầu của nhà cung cấp;

b) Chỉnhững người bảo trì được cấp phép mới được sửa chữa các thiết bị;

c) Sổsách ghi chép vềviệc bảo trì được lưu trữ;

d) Các kiểm soát thích hợp được thực hiện khi gửi các thiết bịra ngoài vành đai an ninh đểbảo trì

(xem 7.2.6).

7.2.5. An ninh của các thiết bị bên ngoài vành đai an ninh (Security of equipment off-premises)

Không kểchủsởhữu, sửdụng bất kỳthiết bịnào bên ngoài tổchức cũng phải được cấp phép. An

ninh đối với thiết bịnày cũng tương tựnhưcác thiết bịcùng loại đang hoạt động trong vành đai an

ninh được sửdụng cho mục đích tương tự, có xét đến các rủi ro khi thiết bịởbên ngoài tổchức. Các

kiểm soát sau được cân nhắc.

a) Thiết bịđược đưa ra khỏi vành đai an ninh phải luôn có người giám sát;

b) Các chỉdẫn của nhà sản xuất vềviệc bảo vệthiết bịphải được tuân thủđầy đủ, đặc biệt là bảo vệ

thiết bịtrong môi trường điện từ;

c) Các kiểm soát làm việc tại nhà (home-working controls) được xác định bằng một đánh giá rủi ro

và được ứng dụng phù hợp, ví dụ, các ngăn kéo có khóa, chính sách “bàn làm việc sạch” và các

kiểm soát truy nhập máy tính;

d) Thực hiện bảo hiểm đầy đủcác thiết bị. Vềviệc bảo vệcác thiết bịdi động, xem 9.8.1.

7.2.6. Loại bỏ các biện pháp an ninh hoặc sử dụng lại thiết bị (Secure disposal or re-use of

equipment)

Thông tin có thểbịtổn thương do việc loại bỏcác biện pháp an ninh hoặc do việc sửdụng lại thiết bị

(xem 8.6.4). Các thiết bịlưu trữthông tin nhạy cảm cần bịphá huỷ(vềmặt vật lý) hoặc được ghi đè,

không nên sửdụng các biện pháp xoá dữliệu thông thường. Tất cảthiết bịlưu trữđược kiểm tra để

đảm bảo các thông tin nhạy cảm và các phần mềm đã được gỡ. Các thiết bịlưu trữbịhỏng có chứa

thông tin nhạy cảm cần được đánh giá rủi ro đểxác định nên phảhuỷ, nên sửa chữa hoặc loại bỏ.

7.3. Các kiểm soát chung (General controls)

Mục đích:đểtránh các dàn xếp bất lợi hoặc ăn cắp thông tin và các thiết bịxửlý thông tin.

7.3.1. Chính sách mặt bàn sạch và màn hình sạch (Clear desk and clear screen policy)


27

Các tổchức nên thực hiện chính sách mặt bàn sạch đối với giấy tờ, thiết bịlưu trữ(có thểgỡbỏ

thông tin), chính sách màn hình sạch đối với các thiết bịxửlý thông tin nhằm giảm bớt rủi ro từcác

truy nhập không được phép và các rủi ro khác. Chính sách phải xétđến các lớp an ninh (information

security classifications) (xem 5.2), các rủi ro tương ứng và các khía cạnh văn hoá của tổchức.

Thông tin (trong tài liệu) trên mặt bàn cũng có thểbịphá huỷbởi các tai hoạnhưcháy, lụt, … Các

kiểm soát sau cần được cân nhắc.

a) Giấy tờ, các thiết bị, máy tính được lưu trữtrong ngăn kéo hoặc tủcó khoá trong thời gian không

sửdụng;

b) Các thông tin nghiệp vụnhạy cảm hoặc quan trọng phải được lưu trữtrong các vịtrí được khoá

thường xuyên khi không có yêu cầu sửdụng;

c) Máy tính cá nhân phải có mật khẩu;

d) Cácđiểm truy nhập email, máy fax, máy telex phải được bảo vệ;

e) Máy photocopy được khoá ngoài giờlàm việc.

f) Khi in các thông tin nhạy cảm hoặc đã được phân loại thì cần mang ra khỏi máy in ngay sau khi

in.

7.3.2. Di rời tài sản (Removal of property)

Không được di rời tài sản trong vùng an ninh khi không được phép. Nếu phải di rời thì cần ghi nhận

lại việc di rời này.

8. Quản lý giao tiếp và quản lý vận hành

(Communications and operations management)

8.1. Các thủtục vận hành và trách nhiệm vận hành

(Operational procedures and responsibilities)

Mục đích: để đảm bảo vận hành đúng và an toàn các thiết bị xử lý thông tin.

Trách nhiệm, thủ tục quản lý vận hành các thiết bị xử lý thông tin được thiết lập. Sựphân chia trách

nhiệm (xem 8.1.4) được thực hiện nghiêm túc đểgiảm bớt các rủi ro do sựcẩu thảvà thiếu thận

trọng.

8.1.1. Tài liệu hoá các thủ tục vận hành (Documented operating procedures)

Các thủtục vận hành được quy định bởi chính sách an ninh và được viết thành tài liệu, được thường

xuyên soát xét. Các thủtục vận hành được coi nhưcác tài liệu chính thức và các thay đổi được cấp

quản lý có thẩm quyền duyệt. Các thủtục vận hành xác định các bước cụthểđểthực hiện công việc:

a) Các bước xử lý công việc;

b) Các yêu cầu về lịch biểu, có tính đến sự phụ thuộc thời gian của các hệ thống khác, công việc bắt

đầu sớm nhất và công việc hoàn thành muộn nhất;


28

c) Các chỉthịxửlý lỗi hoặc các tình thếđặc biệt có thểxuất hiện khi thực hiện công việc trên thực

tế, và các giới hạn sửdụng các tiện ích hệthống. (xem 9.5.5)

d) Cácđầu mối liên lạc đểgiải quyết các khó khăn kỹthuật nảy sinh;

e) Các chỉ thị xử lý đầu ra đặc biệt, ví dụ, các kết quảin ra bịsai thì phải cho giấy in vào máy nghiền

giấy đểtriệt đểloại bỏ.

f) Các thủtục khởi động lại hệthống hoặc khôi phục lại hệthống sau khi hệthống bịsựcố.

Các thủtục thành văn cũng được chuẩn bịcho các hoạt động quản trịhệthống nội bộ(system

housekeeping activities) có liên quan tới các thiết bịtruyền thông và xửlý thông tin, nhưcác thủtục

khởi động máy tính và kết thúc hoạt động, sao lưu, bảo trì thiết bị,…

8.1.2. Kiểm soát thay đổi vận hành (Operational change control)

Các thay đổi của thiết bịxửlý thông tin và hệthống phải được kiểm soát. Kiểm soát không đầy đủ

các thayđổi này thường dẫn tới các sựcốhệthống hoặc sựcốan ninh. Thủtục và trách nhiệm quản

lý chính thức cần đầy đủđểquản lý thoảđáng các thay đổi của thiết bị, phần mềm. Các chương trình

vận hành được kiểm soát thay đổi một cách chặt chẽ. Khi các chương trình thay đổi, một nhật ký

(audit log) lưu trữlại các thông tin liên quan. Thay đổi của môi trường vận hành cũng có thểảnh

hưởng đến các ứng dụng. Các thủtục kiểm soát thay đổi ứng dụng và môi trường vận hành phải

được tích hợp lại (xem 10.5.1). Đặc biệt các kiểm soát sau phải được xem xét:

a) Định danh và ghi lại các thayđổi quan trọng;

b)Đánh giá ảnh hưởng tiềm tàng của các thayđổi đó;

c) Thủtục chấp nhận chính thức đối với các thay đổi được đềnghị;

d) Thông báo các thay đổi chi tiết tới tất cảnhững người có liên quan;

e) Thủtục xác định trách nhiệm cho việc bỏqua (aborting) và khôi phục lại (recovering) từcác thay

đổi không thành công;

8.1.3. Các thủ tục quản lý sự cố (Incident management procedures)

Trách nhiệm và thủtục quản lý sựcốđược thiết lập đểgiải quyết nhanh, hiệu quảđối với các sựcố

an ninh (xem 6.3.1). Các kiểm soát sau cần được lưu tâm:

a) Các thủtục bao quát tất cảcác kiểu sựcốan ninh tiềm tàng, bao gồm:

1) Các trục trặc của hệthống thông tin và mất dịch vụ(IS failures and loss of service);

2) Từchối dịch vụ;

3) Kết quảsai do dữliệu nghiệp vụkhông chính xác và không đầyđủ;

4) Các lỗhổng bảo mật;

b) Các thủtục xửlý sựcố, gồm:

1) Phân tích và xácđịnh nguyên nhân của sựcố;

2) Lập kếhoạch và thực hiện các phương án tránh sựtái diễn các sựcốnếu có thể;

3) Tập hợp các bằng chứng của sựcố;


29

4) Liên lạc với những người bịảnh hưởng bởi sựcốhoặc những người có liên quan đến việc khôi

phục sau sựcố;

5) Báo cáo hành động giải quyết với cấp có thẩm quyền thích hợp;

c) Bằng chứng của sựcốđược tập hợp (xem 12.1.7) và được gìn giữnhằm:

1) Phân tích các vấn đềnội bộ;

2) Sửdụng đểchứng minh các vi phạm tiềm tàng của hợp đồng (potential breach of contract), vi

phạm các yêu cầu điều chỉnh (breach of regulatory requirement) hoặc trong các vụkiện dân sựhoặc

hình sự;

3)Đàm phán vềcácđền bù từnhà cung cấp phần mềm hoặc dịch vụ.

d) Hành động khôi phục lại các sai lỗi và sửa chữa hỏng hóc hệthống phải được kiểm soát một cách

cẩn thận. Các thủtục sau phải đảm bảo:

1) Chỉcác nhân viên được cấp phép và chỉđịnh rõ ràng mới được truy nhập các hệthống và dữliệu

đang hoạt động (xem 4.2.2 vềsựtruy nhập của bên thứba);

2) Tất cảcác hành động khẩn cấp phải được tài liệu hoá chi tiết;

3) Hành động khẩn cấp được báo cáo với cấp quản lý;

4) Sự toàn vẹn của các hệthống nghiệp vụ và các kiểm soát phải được xác nhận trong thời gian tối

thiểu.

8.1.4. Phân chia trách nhiệm (Segregation of duties)

Phân chia trách nhiệm tốt sẽlàm giảm bớt hoặc triệt tiêu một sốrủi ro, làm giảm bớt các cơhội tuỳý

thayđổi (modification) hệthống hoặc lạm dụng thay đổi hệthống. Các tổchức nhỏthường khó khăn

trong việc phân chia trách nhiệm, nhưng nguyên tắc phân chia thì nên áp dụng. Nếu khó khăn khi

phân chia trách nhiệm thì nên tăng cường sửdụng các kiểm soát khác nhưgiám sát thực thi, ghi vết

và quản lý sát sao. Điều quan trọng là các hoạt động kiểm soát an ninh nội bộ(security audit) phải

độc lập. Cần thực hiện các biện pháp kiểm soát sao cho không một cá nhân nào có thểphạm sai lầm

mà lại không bịphát hiện. Các kiểm soát sau cần được cân nhắc.

a) Tách biệt các hoạt động có thểbịdàn xếp nhằm thực hiện sai công việc, ví dụ, tách việc ra quyết

định mua hàng và việc kiểm tra hàng mua được.

b) Nếu có nguy cơxảy ra sựdàn xếp công việc thì cần sửdụng các kiểm soát sao cho hai hoặc nhiều

người cùng thực hiện nhằm giảm bớt khảnăng dàn xếp.

8.1.5. Tách biệt các hoạt động phát triển và vận hành

(Separation of development and operational facilities)

Theo mục a) trên thì cần tách biệt các hoạt động phát triển, kiểm thửvà vận hành đểphân chia các

trách nhiệm tương ứng. Các quy tắc chuyển giao phần mềm từnơi phát triển sang nơi vận hành phải

được định nghĩa và ghi thành văn bản. Các hoạt động phát triển và kiểm thửcó thểgây ra các vấn đề


30

nghiêm trọng, ví dụ, gây ra các thay đổi không mong muốn trong các tệp dữliệu hoặc trong môi

trường hệthống. Các kiểm soát sau cần được cân nhắc.

a) Các phần mềm phát triển và vận hành phải chạy trên các máy tính khác nhau, hoặc các domains

khác nhau;

b) Các hoạt động phát triển và kiểm thửphải được tách biệt càng nhiều càng tốt;

c) Compilers, editors và các tiện ích khác không thểđược truy nhập từmôi trường vận hành;

d) Các thủtục log-on khác nhau phải được sửdụng cho vận hành và kiểm thửđểgiảm bớt lỗi;

e) Nhân viên phát triển nếu muốn truy nhập hệthống thì phải truy nhập với tưcách nhân viên vận

hành. Các kiểm soát phải đảm bảo mật khẩu mà nhân viên phát triển đã sửdụng phải được thay đổi

sauđó;

8.1.6. Quản lý các thiết bị từbên ngoài (External facilities management)

Hợp đồng với các nhà thầu bên ngoài đểquản lý các thiết bịxửlý thông tin có thểgây ra nhiều vấn

đềtiềm tàng vềan ninh. Các nguy cơđó phải được xác định rất cụthểvà được đưa vào bản hợp

đồng ký kết với nhà thầu (xem thêm 4.2.2 và 4.3). Đặc biệt các vấn đềsau cần được lưu ý:

a) Tổchức cần xác định trước các ứng dụng nhạy cảm và quan trọng;

b) Cần sựchấp thuận của chủsửdụng các ứng dụng nghiệp vụ;

c) Không ảnh hưởng đến kếhoạch liên tục nghiệp vụ;

d) Các tiêu chuẩn an ninh được xác định rõ và tiến trình đo lường sựtuân thủ(measuring

compliance) cũng phải chỉra;

e) Phân trách nhiệm cụthểvà các thủtục giám sát các hoạt động an ninh liên quan;

f) Trách nhiệm và thủtục báo cáo các sựcốan ninh (xem 8.1.3).

8.2. Lập kếhoạch hệthống và chấp thuận (System planning and acceptance)

Mục đích: đểtối thiểu hoá các rủi ro xảy ra sựcốhệthống.

Cần lập kếhoạch đảm bảo tính sẵn sàng của năng lực hệthống và các tài nguyên cần thiết trong

tương lai đểgiảm bớt rủi ro tràn hệthống (systemoverload). Các yêu cầu vận hành của hệthống mới

được xây dựng, thiết lập và kiểm thửđểđạt được sựchấp thuận của tổchức.

8.2.1. Lập kế hoạch năng lực của hệthống (Capacity planning)

Yêu cầu vềnăng lực của hệthống gồm năng lực xửlý và năng lực lưu trữ. Việc lập kếhoạch năng

lực dựa trên dựđoán vềkhảnăng tăng trưởng của tổchức trong tương lai.

Khi lập kếhoạch cần chú ý đến các máy tính lớn (mainframe), bởi cần chi phí rất cao đểnâng

cấp năng lực tính toán của nó. Các nhà quản lý phải giám sát sựhoạt động của các tài nguyên hệ

thống chính, bao gồm các bộvi xửlý, các thiết bịlưu trữ, các máy in và các thiết bịvào ra khác, kết

hợp với dựđoán sựtăng trưởng của tổchức đểđưa ra kếhoạch nâng cấp hệthống hợp lý.

8.2.2. Chấp thuận hệ thống (System acceptance)


31

Cần thiết lập các tiêu chuẩn chấp thuận khi đưa vào sửdụng các hệ thống thông tin mới, các nâng

cấp phần cứng hệthống và các phiên bản mới của phần mềm. Các yêu cầu và tiêu chuẩn đểchấp

thuận phải được định nghĩa rõ ràng, được tài liệu hoá và được kiểm thửkỹcàng. Các kiểm soát sau

cần được cân nhắc.

a) Các yêu cầu vềhiệu quả(performance) và năng lực của máy tính (computer capacity) được đềra;

b) Các thủtục khôi phục lỗi và khởi tạo lại hệthống, kếhoạch đối phó với các sựcố.

c) Chuẩn bịvà kiểm thửcác thủtục vận hành hàng ngày theo các tiêu chuẩn được định nghĩa;

d) Thiết lập các kiểm soát an ninh;

e) Chuẩn bịcác thủtục thực hiện bằng tay;

f) Các thảo luận vềtính liên tục của hoạt động nghiệp vụnhưyêu cầu bởi 11.1;

g) Việc cài đặt hệthống mới không được ảnh hưởng bất lợi đến các hệthống hiện tại, đặc biệt là vào

các thời gian cao điểm nhưcuối tháng chẳng hạn;

h) Các quan tâm đối với hệthống mới phải tính đến yêu cầu an ninh tổng thểđối với tổchức;

i) Đào tạo vận hành và sử dụng hệ thống.

8.3. Bảo vệchống lại các phần mềm phá hoại (Protection against malicious software)

Mục đích: đểbảo vệsựtoàn vẹn của phần mềm và thông tin.

Đối với các phần mềm phá hoại thì nguyên tắc phòng hơn chống được đềcao. Phần mềm và các

thiết bịxửlý thông tin dễbịtổn thương đối với viruses, sâu mạng, ngựa Trojan (xem 10.5.4) và bom

logic. Cần đềra các biện pháp kiểm soát nhằm phát hiện hoặc ngăn ngừa tác hại của phần mềm phá

hoại.

8.3.1. Kiểm soát chống lại các phần mềm phá hoại (Protection against malicious software)

Càiđặt các kiểm soát và thủtục bảo vệhệ thống chống lại phần mềm phá hoại nhưsau:

a) Chính sách an ninh thông tin yêu cầu tổchức tuân thủluật bản quyền phần mềm, đồng thời ngăn

cản sửdụng các phần mềm không được cấp phép (xem 12.1.2.2);

b) Chính sách yêu cầu các kiểm soát chống lại rủi ro từviệc thu thập các tệp và phần mềm từcác

mạng bên ngoài (xem 10.5, đặc biệt 10.5.4 và 10.5.5);

c) Cài đặt và cập nhật định kỳcác phần mềm chống virus;

d) Kiểm tra định kỳcác hệthống trợgiúp quan trọng đểxem có phần mềm và dữliệu nghi ngờ

không. Sựhiện diện của bất cứphần mềm và tệp khôngđược cấp phép nào cũng phải được điều tra;

e) Kiểm tra virus bất cứtệp nào trên các thiết bịđiện tửcó nguồn gốc không rõ ràng;

f) Kiểm tra virus bất cứemail đáng nghi ngờnào, việc kiểm tra được thực hiện tại các vịtrí khác

nhau, ví dụ, tại mail servers, tại các PCs hoặc ngay khi truy nhập vào mạng của tổchức;

g) Các thủtục quản lý và trách nhiệm diệt virus trên các hệthống, đào tạo sửdụng các phần mềm

diệt virus, báo cáo và khôi phúc lại sau các cuộc tấn công của virus (xem 6.3 và 8.1.3);


32

h) Các kếhoạch liên tục nghiệp vụthích hợp đểkhôi phục hệthống sau các cuộc tấn công của virus,

gồm việc sao lưu tất cảcác dữliệu cần thiết và khôi phục lại hệthống từcác dữliệu sao lưu này

(xem 11);

i) Các thủtục kiểm tra mọi thông tin liên quan đến các phần mềm phá hoại và đảm bảo các bản tin

cảnh báo (warning bulletins) là chính xác và đầy đủ. Các nhà quản lý phải có đầy đủthông tin từcác

nguồn tin cậy (báo chí, Internet, các nhà cung cấp phần mềm diệt virus) đểphân biệt sựkhác nhau

giữa các trò “chơi khăm” và virus thực sự.

8.4. Công việc thực hiện thường nhật tại tổchức (Housekeeping)

Mục đích: đảm bảo tính toàn vẹn và tính sẵn sàng của các dịch vụtruyền thông và xửlý thông tin.

Các thủtục thực hiện hàng ngày được thiết lập đểthực hiện chiến lược sao lưu dữliệu (xem 11.1),

ghi lại các lỗi và các sựkiện và trong chừng mực có thể, thực hiện giám sát môi trường của thiết bị.

8.4.1. Sao lưu thông tin (Information back-up)

Các bản sao lưu thông tin nghiệp vụcơbản và phần mềm được thực hiện thường ngày. Các thiết bị

sao lưu thích hợp được cung cấp đểđảm bảo mọi thông tin nghiệp vụcơbản và phần mềm có thể

được khôi phục sau những tai nạn hoặc hỏng hóc thiết bị. Sao lưu các hệ thống cá nhân được kiểm

thử định kỳ để đảm bảo chúng đáp ứng các yêu cầu của kế hoạch liên tục nghiệp vụ (xem điều khoản

11). Các kiểm soát sau cần được quan tâm.

a) Sao luu thông tin ở mức tối thiểu, các sổ sách ghi chép đầy đủvà chính xác vềcác bản sao lưu,

các thủtục khôi phục được tài liệu hoá, tất cảđược lưu trữởmột vịtrí xa, trong một khoảng cách

vừa đủđểcó thểtránh tất cảcác đe doạtừvịtrí chính thức. Với các ứng dụng quan trọng, ít nhất

phải lưu trữ3 bản sao lưu;

b) Thông tin sao lưu cũng được bảo vệvềmặt môi trường và vật lý ởmức thích hợp (xem điều

khoản 7) giống với các tiêu chuẩn đang dùng cho vịtrí chính. Các kiểm soát đang dùng tại vịtrí

chính cũng được dùng cho vịtrí sao lưu;

c) Các thiết bịsao lưu được kiểm tra thường xuyên đểđảm bảo chúng có thểđáp ứng đúng các điều

kiện khẩn cấp khi cần thiết;

d) Các thủtục khôi phục được kiểm tra và kiểm thửthường xuyên đểđảm bảo chúng hoạt động hiệu

quảvà có thểthực hiện trọn vẹn việc khôi phục trong thời gian đã được quy định trong thủtục. Thời

gian lưu trữcác thông tin nghiệp vụcơbản, cũng nhưbất cứyêu cầu nào khác đối với các bản sao

lưu phải được xác định (xem 12.1.3).

8.4.2. Nhật ký vận hành (Operator logs)

Các nhân viên vận hành phải ghi chép nhật ký vềhoạt động của họ. Nội dung nhật ký bao gồm:

a) Thời điểm bắt đầu và kết thúc hệthống;

b) Các lỗi phát sinh và các lỗi đã được sửa chữa;

c) Xác nhận các kết quảtính toán của máy tính là chính xác;


33

d) Tên của người ghi nhật ký;

Nhật ký vận hành được ghi thường xuyên và việc kiểm trađộc lập với các thủtục vận hành.

8.4.3. Báo cáo lỗi (Fault logging)

Thực hiện các báo cáo lỗi phát sinh và các lỗi đã được sửa chữa theo các chú ý sau:

a) Soát xét các ghi chép lỗi đểđảm bảo chúng đã được giải quyết thấu đáo;

b) Kiểm tra đểđảm bảo rằng các kiểm soát không bịdàn xếp, các sửa chữa đã được cấp phép.

8.5. Quản trịmạng (Network management)

Mục đích: đảm bảo an toàn thông tin trên mạng và bảo vệcơsởhạtầng kỹthuật.

8.5.1. Các kiểm soát trên mạng (Network controls)

Một tập hợp các kiểm soát được yêu cầu đểđảm bảo an ninh trên mạng máy tính. Các nhân viên

mạng thực hiện các kiểm soát đểđảm bảo an ninh dữliệu trên mạng, bảo vệcác dịch vụđược kết

nối từcác truy nhập được cấp phép. Các kiểm soát sau cần được cân nhắc.

a) Trách nhiệm vận hành mạng được tách rời với trách nhiệm vận hành máy tính một cách thích hợp

(xem 8.1.4);

b) Trách nhiệm và thủtục quản lý thiết bịđược thiết lập;

c) Nếu cần thiết, các kiểm soát đặc biệt được thiết lập đểđảm bảo tính tin cậy, tính toàn vẹn của dữ

liệu lưu thông trên mạng, đồng thời bảo vệcác hệthống kết nối vào mạng (xem 9.4 và 10.3). Các

kiểm soát đặc biệt cũng được sửdụng đểđảm bảo tính sẵn sàng của các dịch vụmạng và các máy

tính kết nối;

d) Các hoạt động quản lý được phối hợp đồng bộđểtối ưu hoá các dịch vụvà xửlý nghiệp vụ, đồng

thời đảm bảo các kiểm soát được sửdụng nhất quán trên cơsởhạtầng xửlý thông tin.

8.6. An ninh của thiết bịlưu trữ(Media handling and security)

Mục đích: tránh hưhại tài sản và tránh gián đoạn các hoạt động nghiệp vụ. Thiết bịlưu trữđược

kiểm soát và được bảo vệvềmặt vật lý.

Các thủtục vận hành thích hợp được thiết lập đểbảo vệtài liệu, thiết bịlưu trữ(tapes, disks,

cassettes), dữliệu vào/ra và tài liệu hoá các hưhỏng, các truy nhập không được phép.

8.6.1. Quản lý các phương tiện có thể di chuyển (Management of removable computer media)

Cần thủtục quản lý các phương tiện có thểdi chuyển nhưbăng từ, đĩa, băng cát sét và các bản báo

cáo. Các kiểm soát sau cần được cân nhắc.

a) Nếu không có yêu cầu nào lâu dài hơn thì có thểxoá bỏdữliệu trước đó chứa trong các thiết bịcó

thểsửdụng lại;

b) Cấp phép sửdụng đối với mọi thiết bịdi động và thực hiện các ghi chép giám sát (xem 8.7.2).

c) Mọi thiết bịđược cất giữ tại vịtrí an toàn và phù hợp với yêu cầu của nhà sản xuất. Mức cấp phép

và thủtục cấp phép đuợc định nghĩa rõ ràng và đuợc tài liệu hoá.

8.6.2. Hủy bỏ phương tiện, thiết bịlưu trữ(Disposal of media)


34

Thiết bịđược huỷbỏvì các lý do an ninh nếu không có yêu cầu gì đặc biệt. Thông tin nhạy cảm có

thểbịtiết lộnếu việc huỷbỏđược thực hiện một cách cẩu thả, vì vậy, cần thiết lập các thủtục huỷ

bỏmột cách an ninh đểtối thiếu hoá nguy cơ. Các kiểm soát sau được cân nhắc.

a) Phương tiện chứa thông tin nhạy cảm phải được cất giữvà huỷbỏmột cách an ninh, ví dụ, bằng

cách đốt ra tro, nghiền vụn hoặc làm sạch dữliệu đểsửdụng cho các ứng dụng khác trong tổchức;

b) Danh sách sau liệt kê các phương tiện, thiết bịcần sựhuỷbỏan toàn:

1) Tài liệu giấy;

2) Các phương tiện lưu trữtiếng nói và lưu trữkhác;

3) Giấy carbon;

4) Các báo cáo;

5) Dải mực máy in dùng một lần;

6) Băng từ;

7) Các phương tiện lưu trữdi động;

8) Phương tiện lưu trữ quang học;

9) Danh sách chương trình;

10) Dữliệu kiểm thử;

11) Tưliệu vềhệthống.

c) Sẽdễdàng hơn nếu tập hợp các thiết bịlại và huỷbỏ, hơn là phân loại đểchỉhuỷbỏcác thiết bị

chứa thông tin nhạy cảm;

d) Nhiều tổ chức cung cấp dịch vụ huỷbỏ giấy tờ, thiết bị và phương tiện. Tổchức có thểchọn một

nhà cung cấp dịch vụhuỷbỏvới các kiểm soát thích hợp công việc của họ;

e) Việc huỷbỏmột phương tiện nhạy cảm được ghi chép lại và cất giữ. Khi tập hợp các phương tiện

đểhuỷbỏcó thểphát sinh vấn đềlà một sốlượng lớn các thông tin không phân loại sẽtrởnên nhạy

cảm hơn một lượng nhỏthông tin được phân loại.

8.6.3. Các thủ tục xử lý thông tin (Information handling procedures)

Thiết lập các thủtục xửlý và lưu trữđểbảo vệthông tin khỏi sựphá hoại cốý hoặc vô ý. Thủtục

cần thích hợp với sựphân loại thông tin (xem 5.2) theo tài liệu, các hệthống tính toán, các mạng,

tính toán di động, truyền thông di động, mail, voice mail, truyền thông voice nói chung, multimedia,

các thiết bịvà dịch vụbưu chính, … Các kiểm soát sau cần được cân nhắc (xem 5.2 và 8.7.2):

a) Xửlý và gán nhãn mọi thiết bịlưu trữ(xem 8.7.2a);

b) Giới hạn truy nhập đểdễdàng định danh những cá nhân không được cấp phép;

c) Ghi lại những người được cấp phép nhận dữ liệu;

d)Đảm bảo dữliệu đầu vào đầy đủ, xửlý trọn vẹn và kiểm tra dữliệu đầu ra (output validation);

e) Bảo vệdữliệu đầu ra phù hợp với độnhạy cảm của nó;

f) Cất giữcác thiết bịlưu trữtrong môi trường phù hợp với các yêu cầu của nhà sản xuất;


35

g) Hạn chếphân phối dữliệu ởmức thấp nhất;

h)Đánh dấu rõ ràng tất cảcác bản sao dữliệu đểgây sựchú ý của người nhận được cấp phép;

i) Soát xét định kỳdanh sách phân phối dữliệu và danh sách những người nhận dữliệu được cấp

phép;

8.6.4. An ninh của tài liệu hệ thống (Security of system documentation)

Tài liệu hệthống có thểchứa các thông tin nhạy cảm, ví dụ, các mô tảquy trình ứng dụng, các thủ

tục, cấu trúc dữliệu, các quy trình cấp phép (xem 9.1). Vì vậy, cần tránh các tiếp cận không cấp

phép đối với tài liệu hệthống.

a) Tài liệu hệthống phải được lưu trữan ninh;

b) Danh sách những người tiếp cận tài liệu hệthống phải ởmức tối thiểu và được cấp phép bởi

người có thẩm quyền;

c) Tài liệu hệthống lưu trữtrên mạng công cộng (public network), hoặc được trợgiúp thông qua

mạng công cộng phải được bảo vệthích hợp.

8.7. Trao đổi thông tin và phần mềm (Exchanges of information and software)

Mục đích: tránh mất mát, sửa đổi hoặc làm sai lệch thông tin được trao đổi giữa các tổchức.

Việc trao đổi thông tin và phần mềm giữa các tổchức phải được kiểm soát, phải tuân thủcác quy

định của pháp luật (xem điều khoản 12). Trao đổi được thực hiện trên cơsởcác thoảthuận bằng hợp

đồng. Thủtục và tiêu chuẩn bảo vệthông tin và thiết bịlưu trữtrong quá trình trao đổi được thiết

lập.

8.7.1. Các thoảthuận trao đổi thông tin và phần mềm (Information and software exchange

agreements)

Một sốtrong các thoảthuận có thểmang tính pháp lý làm cơsởcho việc trao đổi thông tin và phần

mềm (qua mạng hay trực tiếp trao tay) giữa các tổchức. Mức an ninh của thoảthuận phải phù hợp

với tính nhạy cảm của thông tin. Cácđiều kiện an ninh sau cần được lưu tâm:

a) Trách nhiệm kiểm soát và thông báo truyền tin, phát và nhận tin (management responsibilities for

controlling and notifying transmission, despatch and receipt);

b) Các thủtục đểthông báo cho người gửi, truyền, phát và nhận tin;

c) Các tiêu chuẩn kỹthuật tối thiểu cho việc đóng gói và truyền tin;

d) Các tiêu chuẩn xácđịnh người đưa tin (courier identification standards);

e) Trách nhiệm và ràng buộc pháp luật nếu làm mất dữliệu;

f) Sửdụng một hệthống gán nhãn đểđánh giá các thông tin quan trọng và nhạy cảm, đảm bảo ý

nghĩa của nhãn được hiểu và thông tinđược bảo vệtương ứng;

g) Quyền sởhữu thông tin và phần mềm, trách nhiệm bảo vệdữliệu, sựtuân thủbản quyền phần

mềm và các quan tâm tương tựkhác (xem 12.1.2 và 12.1.4);

h) Các tiêu chuẩn kỹthuật đểghi và đọc thông tin và phần mềm;


36

i) Bất cứ kiểm soát đặc biệt nào cũng có thể được yêu cầu để bảo vệ các thông tin nhạy cảm, ví như

các khoá mã (xem 10.3.5).

8.7.2. An ninh của thiết bịlưu trữ khi di chuyển (Security of media in transit)

Thông tin có thểbịtổn thương nếu truy nhập không phép (unauthorized access), bịlạm dụng trong

khi di chuyển, ví dụkhi gửi các thiết bịlưu trữqua đường bưu điện. Các kiểm soát sau được ứng

dụngđểđảm bảo an toàn cho thiết bịđược chuyển giao giữa các vịtrí.

a) Việc chuyển giao được thực hiện bởi những người người đáng tin cậy. Danh sách những người

này được cấp quản lý phê duyệt và một thủtục được thực hiện đểkiểm tra danh tính của người

chuyển giao;

b) Việc đóng gói phải bảo vệđược thiết bịtránh các va đập trong khi di chuyển và theo hướng dẫn

của nhà sản xuất;

c) Các kiểm soát đặc biệt được đáp ứng, nếu cần thiết, nhằm bảo vệthông tin nhạy cảm bịsửa. Các

ví dụgồm có:

1) Sửdụng các containers có khóa;

2) Giao hàng tận tay;

3) Đóng gói theo cách chống xem trộm (gói lưu lại bất cứsựcan thiệp nào bên ngoài có ý định xem

trộm);

4) Trong các trường hợp đặc biệt, một gói hàng có thểđược phân nhỏvà mỗi phần được chuyển giao

qua nhiều nơi nhận và nơi gửi;

5) Sửdụng chữkýđiện tửvà mã hoá, xem 10.3.

8.7.3. An ninh thương mại điện tử (Electronic commerce security)

Thương mại điện tửbao gồm trao đổi dữliệu điện tử(EDI), thưđiện tửvà giao dịch trực tuyến

thông qua các mạng công cộng nhưInternet. TMĐT có thểbịtổn thương từmột sốnguy cơtrên

mạng. Các kiểm soát sau được sửdụngđểbảo vệTMĐT khỏi các nguy cơnày.

a) Chứng thực (authentication). Mức tin cậy nào mà khách hàng và nhà thương mại yêu cầu mỗi

giao dịch giữa khách hàng và nhà thương mại?

b) Cấp phép (authorization). Ai được cấp phép đểthiết lập giá cả, phát hành hoặc ký các tài liệu

quan trọng? Đối tác thương mại nhận biết điều này nhưthếnào?

c) Tiến trình bỏ thầu và hợp đồng. Yêu cầu gì đối với tính tin cậy (confidentiality), tính toàn vẹn

(integrity), minh chứng việc gửi và nhận các tài liệu quan trọng và cácđiều khoản không thểtừchối

hợp đồng?

d) Thông tin giá cả. Mức tin cậy nào (what level of trust) đối với tính trung thực (integrity) của báo

giá được quảng cáo và sựtin cậy đối với các thông tin giảm giá nhạy cảm?

e) Các giao dịch đặt hàng. Sựtin cậy, tính trung thực của việc đặt hàng, thanh toán và giao hàng

được thực hiện nhưthếnào?


37

f) Kiểm tra tài khoản khách hàng (vetting). Mức độnào là thích hợp đểkiểm tra thông tin tài khoản

được cung cấp bởi khách hàng?

g) Giao tiền (Settlement). Hình thức nào là thích hợp nhất đểviệc trảtiền không bịlỗi?

h) Đặt hàng (Ordering). Cần làm gì đểđảm bảo sựtin cậy và tính toàn vẹn của thông tin đặt hàng và

tránh mất mát hoặc bịđúp các giao dịch?

i) Trách nhiệm pháp lý. Ai chịu trách nhiệm vềrủi ro của các giao dịch trên?

Nhiều thắc mắc trên có thểđược giải quyết bằng cách ứng dụng các kỹthuật mã hoá điện tửđược đề

cập tới trong 10.3, có xét đến các yêu cầu của pháp luật (xem 12.1, đặc biệt 12.1.6 vềluật mã hoá).

Các thoảthuận TMĐT giữa các đối tác thương mại cần sựtrợgiúp của các văn bản quy định của

pháp luật vềTMĐT. (Xem b) trên). Các thoảthuận khác vềdịch vụan ninh và các nhà cung cấp

dịch vụkhác cũng cần thiết.

8.7.4. An ninh thưđiện tử (Security of electronic mail)

8.7.4.1. Rủi ro an ninh (Security risks)

Thưđiện tửđược sửdụng trong các giao dịch nghiệp vụthay thếcác phương tiện liên lạc cổđiển

nhưtelex hoặc thưgiấy. Thưđiện tửkhác các phương tiện trên ởtốc độ, cấu trúc văn bản, mức độ

thông tin và tính dễbịtổn thương. Vì vậy vấn đềlà phải giảm thiểu các rủi ro an ninh đối với thư

điện tử. Rủi ro an ninh bao gồm:

a) Tính dễtổn thương đối với các truy nhập không phép hoặc các sửa đổi thông tin, từchối dịch vụ;

b) Tính dễtổn thương đối với các lỗi, ví dụ, không đúng địa chỉ, không đáng tin cậy và tính sẵn sàng

của dịch vụ;

c) Tác động của các thay đổi đối với hoạt động nghiệp vụdo thay đổi phương tiện liên lạc, ví dụ, tác

động của việc tăng tốc độgửi nhận thông tin, hoặc mất đi tính trang trọng do việc gửi nhận thông tin

giữa cá nhân với cá nhân thay cho việc gửi nhận giữa công ty với công ty;

d) Các quan tâm pháp lý khác, ví dụ, làm sao đểchứng minh nguồn gốc thực sựcủa thưđiện tửlà từ

chính đối tác chứkhông phải một kẻgiảdanh.

e) Rủi ro của việc công khai danh sách nhân viên thông qua thưđiện tử;

f) Rủi ro khi kiểm soát các truy nhập từxa bằng tài khoản thưđiện tử(email account).

8.7.4.2. Chính sách với thưđiện tử (Policy on electronic mail)

Tổchức cần thiết lập một chính sách liên quan đến việc sửdụng thưđiện tửnhưsau:

a) Các tấn công trên thưđiện tử, ví dụ, viruses, chặn thư;

b) Bảo vệcác tệp đính kèm thưđiện tử(attached files);

c) Các hướng dẫn khi nào thì không được dùng thưđiện tử;

d) Trách nhiệm của nhân viên là không làm tổn hại đến danh tiếng công ty, ví dụ, gửi các thưđiện tử

nặc danh công ty, thoá mạcông ty…


38

e) Sửdụng các kỹthuật mã hoá đểđảm bảo tính tin cậy và tính toàn vẹn của các thưđiện tử(xem

10.3);

f) Tránh việc lưu trữcác thưđiện tửmà nếu bịphát hiện có thểgây ra những kiện tụng rắc rối;

g) Các kiểm soát phụđối với các thưđiện tửvềviệc thanh toán mà các thưnày không được chứng

thực;

8.7.5. An ninh của hệ thống văn phòngđiện tử (Security of electronic office systems)

Các chính sách và hướng dẫn phải được chuẩn bịvà thực thi đểkiểm soát các rủi ro an ninh và

nghiệp vụliên quan đến hệthống văn phòng điện tử. Hệthống văn phòng điện tửtạo cơhội đểlộ

các thông tin nghiệp vụbằng cách sửdụng phối hợp các thiết bị: tài liệu, máy tính, thiết bịtính toán

di động, thiết bịliên lạc di động, email, voice mail, …

Các quan tâm vềan ninh của các thiết bịnày bao gồm:

a) Các điểm dễtổn thương trong văn phòng điện tửnhưcác cuộc gọi được ghi âm, các cuộc gọi hội

nghị, lưu trữfaxes, mởthư, phân phối thư…

b) Chính sách và các kiểm soát thích hợp đểquản lý việc chia sẻthông tin, ví dụ, việc sửdụng các

bảng tinđiện tửcủa công ty (xem 9.1);

c) Ngăn chặn các thông tin nghiệp vụnhạy cảm nếu hệthống không cung cấp mức bảo bảo vệthích

hợp (xem 5.2);

d) Giới hạn truy nhập thông tin ghi chép hàng ngày liên quan đến một sốcá nhân nhất định, ví dụ,

các nhân viên đang làm việc tại các dựán nhạy cảm;

e) Sựphù hợp của hệthống, hoặc ngược lại, trong việc trợgiúp các hoạt động nghiệp vụnhưliên hệ

đặt hàng hoặc cấp phép;

f) Các nhân viên, các nhà cung cấp hoặc cácđối tác được phép sửdụng hệthống và vịtrí từđó họcó

thểtruy nhập hệthống (xem 4.2);

g) Sửdụng các điều kiện chọn lọc đểphân loại những người dùng cụthể;

h) Xác định trạng thái của người dùng, ví dụ, sắp xếp nhân viên của tổchức hoặc các nhà cung cấp

theo thứtự(in directories) đểthuận lợi cho những người dùng khác;

i) Duy trì (retention) và sao lưu thông tin của hệthống (xem 12.1.3 và 8.4.1);

j) Các yêu cầu dựtrữvà sựchuẩn bị(xem 11.1) (fallback requirements and arrangements).

8.7.6. Các hệ thống xuất bản công khai (Publicly available systems)

Cần bảo vệsựtoàn vẹn của thông tin điện tửđược xuất bản công khai (trang Web) đểtránh các sửa

chữa không phép. Thông tin trên một hệthống xuất bản công khai phải tuân thủ các yêu cầu pháp

luật, ví dụ, thông tin trên một Web server có thểđược truy nhập thông qua Internet. Vì vậy, cần một

quy trình cấp phép hình thức đểduyệt tin trước khi tin được xuất bản công khai.


39

Trên hệthống xuất bản công khai, phần mềm, dữliệu và các thông tin khác yêu cầu mức toàn

vẹn cao cần được bảo vệbởi một cơchếthích hợp, ví dụ, sửdụng chữký điện tửchẳng hạn (xem

10.3.3). Các kiểm soát đối với thông tin xuất bản công khai:

a) Thông tin phải tuân thủcác luật bảo vệdữliệu (xem 12.1.4);

b) Hệthống xuất bản xửlý thông tin đầu vào đầy đủvà chính xác trong một thời gian nhất định;

c) Thông tin nhạy cảm cần được bảo vệvà lưu trữthích hợp;

9. Kiểm soát truy nhập (Access control)

9.1. Các yêu cầu nghiệp vụđối với kiểm soát truy nhập

(Business requirement for access control)

Mục đích: đểkiểm soát truy nhập thông tin.

Truy nhập thông tin và các quy trình nghiệp vụcần được kiểm soát trên cơsởcác yêu cầu nghiệp vụ

và yêu cầu an ninh. Từđó đòi hỏi phải có chính sách vềphổbiến thông tin và cấp phép thông tin

(information dissemination and authorization).

9.1.1. Chính sách kiểm soát truy nhập (Access control policy)

9.1.1.1. Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and business requirements)

Các yêu cầu nghiệp vụ(business requirements) đối với kiểm soát truy nhập cần được định nghĩa và

tài liệu hoá. Quy tắc và quyền kiểm soát truy nhập (Access control rules and rights) cho mỗi người

dùng và nhóm người dùng được xác định rõ ràng trong chính sách an ninh. Yêu cầu nghiệp vụcủa

người dùng và của các nhà cung cấp dịch vụđược mô tảrõ ràng đểdễdàng cho việc kiểm soát truy

nhập. Chính sách an ninh vềvấn đềnày cần lưu ý các điểm sau:

a) Mô tảyêu cầu an ninh của các ứng dụng nghiệp vụcá nhân;

b) Xác định mọi thông tin liên quan đến các ứng dụng nghiệp vụ;

c) Mô tảchính sách vềphổbiến và cấp phép thông tin, ví dụ, nói rõ nguồn gốc và mức an ninh, sự

phân loại của thông tin;

d) Cần nhất quán giữa kiểm soát truy nhập và chính sách phân loại thông tin giữa các hệthống và

các mạng khác nhau;

e) Mô tảcác luật liên quan và các điều khoản hợp đồng vềviệc bảo vệtruy nhập dữliệu và các dịch

vụ(điều khoản 12);

f) Mô tảsơlược sựtruy nhập hệthống của người dùng theo sựphân loại công việc;

g) Quản lý quyền truy nhập trong một môi trường phân tán và nối mạng (distributed and networked

environment), môi trường này chấp nhận tất cảcác loại kết nối có thể.

9.1.1.2. Các quy tắc kiểm soát truy nhập (Access control rules)

Khi đặc tảcác quy tắc kiểm soát truy nhập cần chú ý:

a) Phân biệt giữa các quy tắc phải luôn tuân thủvà các quy tắc có thểchọn lựa và có điều kiện;


40

b) Thiết lập các quy tắc dựa trên tiền đề“Tất cảđều bịcấm trừnhững điều cho phép” hơn là tiền đề

ngược lại “Tất cảđều được phép trừnhững điều bịcấm”;

c) Thayđổi nhãn thông tin (xem 5.2) được thực hiện theo quyđịnh;

d) Thay đổi các quyền truy nhập của người dùng (user permissions) được hệthống thực hiện tựđộng

theo sựđiều khiển của một người quản trị(administrator);

e) Các quy tắc cần cấp thẩm quyền xác nhận trước khi ban hành.

9.2. Quản lý truy nhập của người dùng (User access management)

Mục đích: đểtránh các truy nhập không được cấp phép vào hệthống.

Các thủtục hình thức được soạn thảo đểkiểm soát việc cấp quyền truy nhập hệthống thông tin và

dịch vụ. Các thủtục này bao quát tất cảcác yêu cầu vềkiểm soát truy nhập của người dùng, bắt đầu

từđăng ký người dùng mới tới việc huỷquyền truy nhập của một người dùng cũ. Chú ý tới các

quyền truy nhập ưu tiên trong một sốtrường hợp đặc biệt, quyền này có thểcho phép người dùng bỏ

qua sựkiểm soát của hệthống.

9.2.1. Đăng ký người dùng (User registration)

Cần một thủtục hình thức đểđăng ký người dùng mới và huỷđăng ký một người dùng cũ. Nội dung

thủtục gồm các yếu tốchính:

a) Sửdụng một ID duy nhất cho mỗi người dùng. Có thểnhóm các ID thành từng nhóm đểdễquản

lý;

b) Kiểm tra xem người dùng có được cấp phép từngười quản lý hệthống hay không. Một sốtrường

hợp có thểđược sựchấp thuận quyền truy nhập từcấp quản lý có thẩm quyền;

c) Kiểm tra mức độtruy nhập có phù hợp với mục đích nghiệp vụ(xem 9.1) và nhất quán với chính

sách an ninh của tổchức hay không (xem 8.1.4);

d) Cho người dùng biết vềquyền truy nhập của họbằng văn bản;

e) Yêu cầu người dùng ký vào văn bản đó đểđảm bảo họhiểu các điều kiện truy nhập;

f) Đảm bảo nhà cung cấp dịch vụkhông cấp quyền truy nhập cho đến khi các thủtục cấp phép đã

hoàn thành;

g) Ghi lại vào sổdanh sách tất cảnhững người đã đăng ký sửdụng dịch vụ;

h) Xoá ngay tức khắc quyền truy nhập của người dùngđã thay đổi công việc hoặc dời khỏi tổchức;

i) Kiểm tra định kỳvà loại bỏcác ID dưthừa;

j) Đảm bảo các ID dưthừa không được gán cho những người dùng khác;

Nội dung các vấn đềtrên phải tính đến các điều khoản trong hợp đồng công ty ký kết với nhân viên

và các hợp đồng dịch vụ(xem 6.1.4 và 6.3.5).

9.2.2. Quản lý ưu tiên (Privilege management)

Việc cấp và sửdụng cácưu tiên (bất cứđặc tính hoặc điều kiện nào mà một hệthống đa người dùng

cho phép người dùng vượt qua sựkiểm soát của hệthống) phải được giới hạn và kiểm soát chặt chẽ.


41

Việc sửdụng không thích hợp các ưu tiên thường là một trong sốcác nguyên nhân gây ra các hỏng

hóc của hệthống. Việc cấp quyền ưu tiên phải theo một quy trình cấp phép hình thức. Các bước sau

được cân nhắc.

a) Xác định cácưu tiên liên quan đến phần mềm hệthống và ứng dụng;

b) Các ưu tiên được cấp cho các cá nhân theo nhu cầu thực tếhoặc theo diễn biến của tình hình thực

tế;

c) Một quy trình cấp phép (authorization process) và một danh sách tất cảcác ưu tiên đã cấp cần

được duy trì và cập nhật thường xuyên. Các ưu tiên chưa được chấp nhận cấp cho đến khi quy trình

cấp phép hoàn thành;

d) Mô tảcác công việc hàng ngày của hệthống và mục đích của nó cần được phổbiến rộng rãi để

tránh việc cấp các ưu tiên (quá rộng) cho người dùng;

9.2.3. Quản lý mật khẩu người dùng (User password management)

Mật khẩu là phương tiện thường được dùng đểxác nhận một người khi truy nhập một hệthống hoặc

một dịch vụ. Sựsửdụng mật khẩu cần được kiểm soát thông qua việc sửdụng một quy trình quản lý

hình thức:

a) Yêu cầu người dùng ký vào một biên bản cam kết giữbí mật mật khẩu cá nhân;

b) Yêu cầu người sửdụng thay đổi mật khẩu thường xuyên. Nếu người dùng quên mật khẩu, hệ

thống có thểcấp cho họmột mật khẩu khác dùng tạm thời, mật khẩu này cần thay đổi ngay sau khi

người dùng truy nhập hệthống;

c) Các mật khẩu tạm thời phải đảm bảo an ninh hệthống. Nơi lưu trữmật khẩu cần phải được đảm

bảo an ninh.

9.2.4. Soát xét các quyền của người dùng (Review of user access rights)

Đảm bảo kiểm soát hiệu quảcác truy nhập dữliệu và dịch vụthông tin.

Cần một quy trình hình thức đểsoát xét quyền của người dùng sao cho:

a) Các quyền của người dùng phải được soát xét định kỳ(nên 6 tháng 1 lần) và sau bất kỳsựthay

đổi nào (xem 9.2.1);

b) Với các quyền truy nhập được ưu tiên đặc biệt (xem 9.2.2) phải được soát xét thường xuyên hơn

(nên 3 tháng 1 lần);

c) Các quyền ưu tiên được kiểm tra định kỳđểđảm bảo các ưu tiên không cần thiết (unauthorized

privileges) sẽbịloại bỏ.

9.3. Trách nhiệm của người dùng (User responsibilities)

Mục đích: đểtránh các truy nhập của người dùng không được cấp phép (to prevent unauthorized

user access).

Sựphối hợp hoạt động (co-operation) của những người dùng được cấp phép (với những người

có trách nhiệm đảm bảo an ninh của hệthống) là yếu tốcơbản đảm bảo hiệu quảan ninh. Người


42

dùng cần hiểu biết vềtrách nhiệm của họtrong việc duy trì các kiểm soát truy nhập hiệu quả, đặc

biệt liên quan đến việc sửdụng mật khẩu và an ninh của các thiết bịcá nhân (user equipment).

9.3.1. Sử dụng mật khẩu (Password use)

Người dùng phải tuân theo các hướng dẫn an ninh khi chọn lựa và sửdụng mật khẩu. Người dùng

được cần:

a) Giữbí mật mật khẩu;

b) Tránh ghi mật khẩu ra giấy, trừkhi tờgiấy này được lưu trữtại một nơi an toàn;

c) Thayđổi mật khẩu ngay khi có bất kỳdấu hiệu nào thểhiện mật khẩu bịlộ;

d) Mật khẩu phải có ít nhất 6 ký tự;

1) Mật khẩu nên dễnhớ;

2) Không liên quan gì đến các thông tin của bản thân như: tên, sốđiện thoại, ngày sinh…;

3) Mật khẩu là một dãy ký tựliền nhau toàn chữsốhoặc toàn chữcái, hoặc xen lẫn sốvà chữcái;

e) Thay đổi mật khẩu định kỳdựa trên sốlần truy nhập (mật khẩu của các accounts ưu tiên phải thay

đổi với chu kỳngắn hơn), tránh sửdụng lại các mật khẩu cũtheo chu kỳ;

f) Thayđổi ngay mật khẩu tạm thời sau lần đăng nhập đầu tiên;

g) Không bao gồm mật khẩu trong các tiến trình đăng nhập tựđộng (do not include passwords in

any automated log-on process);

h) Không chia sẻcác mật khẩu cá nhân;

Nếu người dùng phải truy nhập nhiều dịch vụvà nền (platform) khác nhau thì nên dùng chung một

mật khẩu theo tiêu chuẩn (đã nói trong d)).

9.3.2. Các thiết bị không người giám sát (Unattended user equipment)

Cần đảm bảo các thiết bịkhông giám sát được bảo vệthích hợp khỏi các truy nhập không phép, đó

có thểlà các workstations hoặc các file servers. Người dùng và nhà cung cấp thiết bịphải nắm bắt

được các yêu cầu an ninh và các thủtục bảo vệcác thiết bịloại này, cũng nhưtrách nhiệm của họ

trong việc thực hiện các biện pháp bảo vệđó. Nguời dùng đuợc khuyên:

a) Tắt các phiên làm việc tích cực ngay sau khi kết thúc (terminate active sessions when finished),

trừkhi thiết bịđược bảo vệbằng một cơchếkhoá thích hợp, ví dụ, mật khẩu bảo vệmàn hình;

b)Đặt mainframe computers ở chế độ log – off ngay sau khi kết thúc phiên làm việc;

c) Tất cảcác PCs và các thiết bịđầu cuối đều phải có mật khẩu truy nhập;

9.4. Kiểm soát truy nhập mạng (Network access control)

Mục đích: bảo vệcác dịch vụmạng.

Truy nhập các dịch vụnối mạng bên trong hay bên ngoài tổchức (internal and external networked

services) đều phải được kiểm soát. Sựkiểm soát này là cần thiết đểtránh các việc làm ảnh hưởng

không tốt đến an ninh mạng bằng cách đảm bảo:

a) Có các giao diện thích hợp giữa các mạng của tổchức và các mạng ngoài tổchức;


43

b) Có cơchếcấp phép thích hợp cho người dùng và các thiết bị;

c) Kiểm soát truy nhập của người dùng tới các dịch vụthông tin;

9.4.1. Chính sách về việc sử dụng các dịch vụ mạng (Policy on use of network services)

Kết nối mạng không an toàn có thể ảnh hưởng đến toàn bộ tổ chức. Người dùng chỉđược truy nhập

trực tiếp các dịch vụmà họđược cấp phép sửdụng. Kiểm soát này đặc biệt quan trọng khi kết nối từ

các ứng dụng quan trọng và nhạy cảm hoặc từnhững người dùng ởcác vịtrí rủi ro cao, ví dụ, kết

nối từvùng công cộng hoặc vùng bên ngoài sựkiểm soát an ninh của tổchức.

Một chính sách cần được trình bày có hệthống vềvấn đềsửdụng mạng hoặc sửdụng dịch vụ

mạng. Chính sách phải bao hàm:

a) Mạng và các dịch vụmạng chỉđược truy nhập khi được phép;

b) Cần các thủ tục cấp phép cho những ai được phép truy nhập mạng và các dịch vụmạng;

c) Các kiểm soát và thủtục bảo vệcác truy nhập mạng và dịch vụmạng. Nội dung này phải nhất

quán với các nội dung vềkiểm soát truy nhập nghiệp vụtrong chính sách an ninh (xem 9.1).

9.4.2. Đường ép buộc (Enforced path)

Đường kết nối từthiết bịđầu cuối của người dùng tới các dịch vụcần được kiểm soát. Các mạng

được thiết kếđểcho phép tối đa hóa phạm vi chia sẻtài nguyên và sựmềm dẻo của thuật toán tìm

đường (flexibility of routing). Các đặc tính này đồng thời cũng tạo điều kiện cho truy nhập không

phép tới các ứng dụng nghiệp vụ, sửdụng không phép thiết bịthông tin. Cần các kiểm soát phối hợp

(incorporating controls) đểgiới hạn các đường đi (routes) giữa một thiết bịđầu cuối tới các dịch vụ

mà người dùng (của thiết bịđầu cuối) được phép truy nhập, ví dụ, thiết lập một đường ép buộc

(enforced path) có thểgiảm bớt các rủi ro nhưvậy. Mục đích của một đường ép buộc là ngăn ngừa

người dùng chọn các đường đi ngoài đường (route) đã được ép buộc giữa thiết bịđầu cuối và dịch

vụđược cấp phép sửdụng. Đểđạt mục đích này, cần thực hiện một sốkiểm soát tại các điểm khác

nhau trên đường đi. Cách làm này nhằm giới hạn khảnăng tìm đường (routing ) rộng rãi tại mỗi

điểm trên mạng qua một sốlựa chọn đã định nghĩa.

Các ví dụtheo cách làm đó nhưsau:

a) Cấp các đường chuyên dụng (dedicated lines) hoặc các sốđiện thoại riêng;

b) Cấp các cổng kết nối tựđộng tới các hệthống dành riêng (specified application systems) hoặc các

gateways an ninh;

c) Tuỳbiến chọn menu đối với mỗi người dùng;

d) Ngăn ngừa chuyển mạng (network roaming) không giới hạn;

e) Tăng cường sửdụng các ứng dụng dành riêng và/hoặc các gateways an ninh đối với những người

sửdụng mạng bên ngoài;

f) Sửdụng các kiểm soát tính cực kết nối từnguồn tới đích (source to destination communications)

qua các gateways an ninh, ví dụ, dùng tường lửa;


44

g) Giới hạn truy nhập mạng bằng việc thiết lập các logical domains riêng, ví dụ, các mạng riêng ảo

cho các nhóm người dùng trong tổchức (xem 9.4.6). Các yêu cầu đối với đường ép buộc phải dựa

trên chính sách kiểm soát truy nhập (xem 9.1).

9.4.3. Chứng thực người dùng từ các kết nối ngoài

(User authentication for external connections)

Các kết nối ngoài tạo điều kiện tiềm tàng cho các truy nhập không phép vào hệthống, ví dụ, cách

truy nhập bằng dial – up. Vì vậy, truy nhập từxa vào hệthống phải được chứng thực. Có nhiều cách

chứng thực, một vài trong sốđó là cấp một mức bảo vệcao hơn các mức khác, ví dụ, cách truy nhập

dựa trên kỹthuật mã hoá có thểlà một chứng thực khá tốt. Đểphù hợp nhất với thực tế, nên căn cứ

báo cáo đánh giá rủi ro đểxác định mức bảo vệtốt nhất, từđó đưa ra cách chứng thực thích hợp.

Chứng thực cho những người dùng truy nhập từxa có thểđược thực hiện dựa trên, ví dụ, sửdụng kỹ

thuật mã hoá, các thẻphần cứng (hardware tokens) hoặc một giao thức thách thức/đáp ứng

(challenge/response protocol). Các đường dành riêng chuyên dụng (dedicated private lines) hoặc

một thiết bịkiểm tra địa chỉngười dùng mạng (network user address checking facility) cũng có thể

đảm bảo an toàn các nguồn kết nối.

Các thủtục và các kiểm soát dial-back, ví dụ, sửdụng các dial-back modems có thểbảo vệcác

thiết bịxửlý thông tin của tổchức khỏi các kết nối không phép. Loại kiểm soát này chứng thực

người dùng thực hiện một kết nối từxa đến mạng máy tính của tổchức. Khi sửdụng loại kiểm soát

này, tổchức không nên sửdụng các dịch vụmạng nhưchuyển tiếp cuộc gọi (call forwarding) hoặc,

nếu có thể, thì nên cấm sửdụng các đặc tính nhưvậy đểtránh sựnhầm lẫn các truy nhập không phép

với các dịch vụđó.

9.4.4. Chứng thực nút mạng (Node authentication)

Một thiết bịkết nối tựđộng tới một máy tính ởxa có thểlà cách thuận lợi đểngười ngoài truy nhập

không phép vào hệthống. Vì thế, các kết nối tới máy tính ởxa cần được chứng thực. Điều này đặc

biệt quan trọng nếu kết nối đó sửdụng một mạng ởbên ngoài sựkiểm soát an ninh của tổchức.

Xem một sốví dụvềchứng thực và hoàn thành chứng thực tại 9.4.3.

Chứng thực nút mạng có thểđược coi nhưmột phương tiện có thểlựa chọn (an alternative

means) đểchứng thực những người dùng ởxa kết nối tới hệthống (xem 9.4.3).

9.4.5. Bảo vệ cổng chẩn đoán từ xa (Remote diagnostic port protection)

Truy nhập các cổng chẩn đoán (diagnostic ports) cần được kiểm soát an ninh. Nhiều hệthống có thể

được cài đặt cổng chẩn đoán từxa đểthực hiện công việc bảo trì. Nếu không được bảo vệ, các cổng

chẩn đoán có thểlà phương tiện cho các truy nhập không phép. Vì vậy, các cổng chẩn đoán cần

được bảo vệbằng một cơchếan ninh thích hợp.

9.4.6. Chia tách mạng (Segregation in networks)


45

Các mạng thường được mởrộng theo biên giới của tổchức, ví dụ, các hiệp hội doanh nghiệp thường

kết nối mạng giữa các doanh nghiệp thành viên đểchia sẻtài nguyên và thông tin. Sựmởrộng như

vậy thường làm tăng nguy cơtừcác truy nhập không phép.

Trong hoàn cảnh ấy, cần hình thành các kiểm soát trên mạng đểchia tách các nhóm dịch vụ,

người dùng và hệthống thông tin. Một phương pháp kiểm soát an ninh của các mạng lớn là phân

chia mạng thành các logic domains, ví dụ, phân chia mạng thành các domain bên trong tổchức và

bên ngoài tổchức, mỗi vùng có các vành đai an ninh riêng. Một vành đai nhưvậy có thểđược thực

hiện bằng cách cài đặt một gateway an ninh giữa 2 vùng mạng đểkiểm soát thông tin lưu thông giữa

chúng và do đó có thểngăn chặn các truy nhập không phép phù hợp với chính sách an ninh (xem

9.1). Một hình thức của gateway kiểu này là tường lửa. Tiêu chuẩn đểchia tách các mạng thành các

domains cần dựa trên chính sách kiểm soát truy nhập và các yêu cầu truy nhập (xem 9.1), cũng phải

tính đến chi phí tương đối và ảnh hưởng đến hiệu suất làm việc của tổchức khi chia tách nhưvậy

(xem 9.4.7 và 9.4.8).

9.4.7. Kiểm soát kết nối mạng (Network connection control)

Chính sách kiểm soát truy nhập đối với các mạng dùng chung (shared networks), đặc biệt là liên

mạng giữa các tổchức, có thểcần sựphối hợp giữa các kiểm soát đểgiới hạn khảnăng kết nối của

người dùng. Các kiểm soát nhưvậy có thểđược thực hiện thông qua các gateways theo các quy tắc

nhất định, phù hợp với chính sách kiểm soát truy nhập và các yêu cầu đối với các ứng dụng nghiệp

vụ(xem 9.1). Các ví dụsau có thểứng dụng kiểm soát đó:

a) Thưđiện tử;

b) Truyền tệp một chiều;

b) Truyền tệp hai chiều;

d) Truy nhập lẫn nhau;

e) Ghi lại ngày, giờkết nối.

9.4.8. Kiểm soát tìm đường trên mạng (Network routing control)

Các mạng dùng chung, đặc biệt liên mạng giữa các tổchức có thểcần sựphối hợp các kiểm soát tìm

đường đi (routing controls) nhằm đảm bảo các kết nối máy tính và các luồng thông tin không vi

phạm chính sách kiểm soát truy nhập (xem 9.1). Kiểm soát tìm đường đi rất cần thiết đối với các

mạng có sựtham gia của thành phần thứba.

Kiểm soát tìm đường đi cần dựa trên cơchếkiểm tra địa chỉnguồn và đích rõ ràng. Dịch địa chỉ

mạng (network address translation) cũng là một cơchếthông thường đểngăn cách các mạng và

ngăn ngừa các đường đi từmạng của tổchức tới các mạng khác. Cơchếnày có thểđược thực hiện

dưới dạng phần mềm hoặc phần cứng. Những người thực hiện cần phải hiểu điểm mạnh, yếu của

một cơchếđược triển khai.

9.5. Kiểm soát truy nhập hệđiều hành (Operating system access control)


46

Mục đích: tránh truy nhập vào các máy tính không được phép.

Các công cụan ninh mức HĐH phải đảm bảo hạn chếcác truy nhập tài nguyên của máy tính. Các

công cụđó cần phải có các khảnăng sau:

a) Xác định và kiểm tra định danh (ID) của người truy nhập, nếu cần thì có thểkiểm tra vịtrí hoặc

thiết bịđầu cuối của họ;

b) Ghi lại các truy nhập thành công và thất bại;

c) Cung cấp các phương tiện thích hợp đểchứng thực; nếu một hệthống quản lý mật khẩu được sử

dụng thì phải đảm bảo các mật khẩu đúng quy định (xem 9.3.1 d));

d) Khi thích hợp, hãy giới hạn thời gian kết nối của người dùng.

9.5.1. Định danh thiết bị đầu cuối tự động (Automatic terminal identification)

Định danh thiết bị đầu cuối tự động dùng để chứng thực các kết nối từ hệ thống tới những vị trí đặc

biệt (specific locations) hoặc kết nối tới các thiết bị di động. Một ID được gắn với thiết bịđầu cuối

đểbiểu thịthiết bịđầu cuối này có được phép khởi tạo (initiate) hoặc nhận các giao dịch đặc biệt

hay không. Các ID nhưthếcần được bảo vệbằng các phương pháp vật lý. Một sốkỹthuật khác có

thểđược dùng đểchứng thực người dùng (xem 9.4.3).

9.5.2. Các thủ tục đăng nhập thiết bị đầu cuối (Terminal log-on procedures)

Các dịch vụthông tin chỉcó thểđược truy nhập thông qua một tiến trình đăng nhập an ninh. Các thủ

tục đăng nhập cần được thiết kếsao cho tối thiếu hoá các cơhội truy nhập không phép. Một thủtục

đăng nhập tốt phải:

a) Không hiển thịID của hệthống hoặc của ứng dụng cho đến khi tiến trình đăng nhập đã thành

công hoàn toàn;

b) Hiển thịmột cảnh báo là máy tính chỉđược truy nhập bởi những người dùng đã cấp phép;

c) Không cung cấp trợgiúp trong các thủtục đăng nhập;

d) Kiểm tra sựđầy đủcủa các thông tin đăng nhập. Nếu thông tin nào không đầy đủ, hệthống chỉra

thông tin ấy;

e) Giới hạn sốlần đăng nhập không thành công (nên là 3), cụthểnhưsau:

1) Ghi lại sốlần đăng nhập không thành công;

2) Đối với các đăng nhập không thành công, càng vềsau càng tăng độtrễthời gian giữa 2 lần đăng

nhập hoặc từchối các đăng nhập không đúng tên người dùng;

3) Cắt kết nối khi sốlần đăng nhập sai vượt quá sốlần đăng nhập sai cho phép;

f) Giới hạn sốlần đăng nhập tối đa và tối thiểu. Nếu vượt quá sốlần đăng nhập, hệthống không cho

phép thực hiện thủtục đăng nhập;

g) Hiển thịcác thông tin sau mỗi khi đăng nhập thành công:

1) Ngày và giờcủa lần đăng nhập thành công trước đó;

2) Chi tiết vềcác lần đăng nhập không thành công từlần đăng nhập thành công cuối cùng.


47

9.5.3. Định danh và chứng thực người dùng (User identification and authentication)

Mọi người dùng (nhân viên trợgiúp kỹthuật, nhân viên vận hành, nhân viên quản trịmạng, lập trình

viên, nhân viên quản trịCSDL) đều phải có một định danh duy nhất (user ID) nhằm kiểm soát các

hoạt động của họtrên hệthống. Mọi user IDs đều không có dấu hiệu nào vềcác mức ưu tiên của

người dùng (xem 9.2.2). Trong những trường hợp đặc biệt do đòi hỏi nghiệp vụ, có thểsửdụng một

user ID chung (shared user ID) cho một nhóm người dùng hoặc một công việc cụthể. Những trường

hợp nhưthếcần sựchấp thuận bằng văn bản của cấp quản lý có thẩm quyền. Các kiểm soát phụcó

thểđược thực hiện đểđảm bảo trách nhiệm giải trình (to maintain accountability). Có thểdùng các

thủtục chứng thực khác đểchứng minh sựhợp lệcủa người dùng. Mật khẩu (xem 9.3.1 và tiếp theo)

là cách thông dụng nhất đểđịnh danh và chứng thực (identification and authentication, I&A) dựa

trên thông tin bí mật chỉngười dùng biết. Tương tựkhi sửdụng các phương pháp mã hoá và các

giao thức chứng thực Có thểsửdụng thẻnhớhoặc thẻthông minh (memory tokens or smart cards)

đểthực hiện I & A cho mỗi người dùng. Các kỹthuật chứng thực sinh trắc học có thểđược dùng ở

đây. Thực tếcó thểdùng kết hợp các kỹthuật khác nhau đểtăng cường tính chặt chẽcủa chứng

thực.

9.5.4. Hệ thống quản lý mật khẩu (Password management system)

Mật khẩu là một trong các phương tiện cơbản đểchứng thực người dùng. Hệthống quản lý mật

khẩu phải đảm bảo các mật khẩu hợp lệmới được chấp nhận (xem nội dung 9.3.1 vềmật khẩu). Một

sốứng dụng yêu cầu các mật khẩu được thiết lập bởi một người độc lập. Trong phần lớn các trường

hợp, các mật khẩu được chọn lựa và duy trì bởi chính người dùng. Một hệthống quản lý mật khẩu

tốt cần phải:

a) Bắt buộc sửdụng mật khẩu cá nhân đểđảm bảo trách nhiệm giải trình;

b) Khi cần, hệthống đểngười dùng chọn và thay đổi mật khẩu của chính họ;

c) Bắt buộc các mật khẩu phải đúng tiêu chuẩn nhưtrong 9.3.1;

d) Khi người dùng duy trì mật khẩu của riêng họquá thời gian quy định, hệthống yêu cầu người

dùng thay đổi mật khẩu (xem 9.3.1);

e) Yêu cầu người dùng thayđổi mật khẩu sau lần đăng nhập đầu tiên (xem 9.2.3);

f) Lưu trữlại các mật khẩu trước đó của người dùng, ví dụtrong thời gian 1 năm trước, đểtránh

người dùng sửdụng lại mật khẩu đó;

g) Không hiển thịmật khẩu trên màn hình khi nhập;

h) Lưu trữmật khẩu tách khỏi CSDL của hệthống;

i) Lưu trữmật khẩu dưới dạng mã hoá;

j) Sửa lại mật khẩu ngầm định của nhà cung cấp sản phẩm sau khi đã cài đặt phần mềm của nhà

cung cấp.

9.5.5. Sử dụng các tiện ích của hệ thống (Use of system utilities)


48

Phần lớn các hệthống chương trình có một hoặc một vài tiện ích cho phép “qua mặt” hệthống và

các kiểm soát. Vì vậy, các tiện ích đó cần phải được hạn chếsửdụng và được kiểm soát chặt chẽ.

Các kiểm soát sau có thểđược sửdụng:

a) Sửdụng các thủtục chứng thực đối với các tiện ích hệthống;

b) Tách các tiện ích hệthống khỏi phần mềm ứng dụng;

c) Giới hạn việc sửdụng các tiện ích ởsốngười nhỏnhất có thể;

d) Cấp phép cho việc sửdụng các tiện ích đặc biệt;

e) Giới hạn tính sẵn sàng sửdụng của các tiện ích hệthống, ví dụ, các tiện ích sẽtựđộng hết thời

hạn cấp phép sau một khoảng thời gian cốđịnh, nếu có nhu cầu thì phải cấp phép lại;

f) Ghi lại diễn biến sửdụng của mọi tiện ích hệthống;

g) Định nghĩa và ghi lại bằng văn bản các mức giấy phép đối với các tiện ích (authorization levels

for system utilities);

h) Loại bỏ tất cả các tiện ích không cần thiết;

9.5.6. Thiết bị cảnh báo người dùng (Duress alarm to safeguard users)

Trong một sốtrường hợp cần lắp đặt các thiết bịcảnh báo người dùng trước những những sai lỗi có

thểmắc phải. Quyết định lắp hay không phụthuộc vào mức độđánh giá rủi ro.

9.5.7. Ngừng thiết bị đầu cuối sau một khoảng thời gian không hoạt động (Terminal time-out)

Thiết bịđầu cuối hoạt động tại các địa điểm nhiều rủi ro (Inactive terminals in high risk locations) ở

ngoài tổchức hoặc ởnơi công cộng, hoặc khi trợgiúp các hệthống rủi ro cao, cần được tựđộng tắt

sau một khoảng thời gian không hoạt động đã định đểtránh các truy nhập không phép. Sau khoảng

thời gian không hoạt động đã định, thiết bịtựđóng tất cảcác ứng dụng, cắt tất cảcác phiên mạng và

xoá trắng màn hình, sau đó tựkết thúc phiên làm việc. Độdài của thời gian không hoạt động phụ

thuộc vào mức độđánh giá rủi ro tại vịtrí của thiết bị.

9.5.8. Giới hạn thời gian kết nối (Limitation of connection time)

Giới hạn thời gian kết nối cũng là một trong sốcác biện pháp an ninh được thực hiện nhằm hạn chế

các truy nhập không phép. Kiểm soát này thường được thực hiện đối với các ứng dụng nhạy cảm,

đặc biệt đối với các thiết bịđầu cuối tại các vịtrí nhiều rủi ro. Ví dụvềcác giới hạn này:

a) Sửdụng các khe thời gian đã định (predetermined time slots) đểtruyền tệp;

b) Giới hạn thời gian kết nối nếu không có yêu cầu đặc biệt nào vềnới rộng thời gian kết nối.

9.6. Kiểm soát truy nhập ứng dụng (Application access control)

Mục đích: tránh các truy nhập không đuợc cấp phép vào hệ thống.

Các biện pháp an ninh được sửdụng đểgiới hạn truy nhập các hệthống ứng dụng, tuy nhập chỉ

được thực hiện đối với các cá nhân được cấp phép. Các hệthống ứng dụng cần:

a) Kiểm soát truy nhập của người dùng phù hợp với nội dung chính sách kiểm soát truy nhập nghiệp

vụđã định nghĩa;


49

b) Cung cấp các phương thức bảo vệhệthống trước các truy nhập không phép từbất cứtiện ích nào

có khảnăng "qua mặt” các kiểm soát;

c) Không thoảhiệp vềan ninh với các hệthống khác vềtài nguyên thông tin dùng chung;

d) Chỉdành quyền truy nhập thông tin cho chủsởhữu thông tin, các cá nhân được cấp phép đã chỉ

định (nominated authorized individuals) hoặc các nhóm người dùng đã định nghĩa.

9.6.1. Giới hạn truy nhập thông tin (Information access restriction)

Người dùng được truy nhập hệthống theo các nguyên tắc phù hợp chính sách kiểm soát truy nhập đã

định, theo các yêu cầu nghiệp vụcá nhân nhất quán với chính sách kiểm soát truy nhập thông tin của

tổchức (xem 9.1). Nội dung các kiểm soát giới hạn truy nhập:

a) Tạo các menus đểkiểm soát truy nhập ứng dụng;

b) Giới hạn cung cấp thông tin vềcác chức năng hệthống mà người dùng không có quyền truy nhập

thông qua việc soạn thảo tài liệu người dùng một cách thích hợp;

c) Kiểm soát quyền truy nhập của người dùng, ví dụ, quyền đọc, ghi, xoá, …;

d) Đảm bảo các thông tin đầu ra của hệthống không bao gồm thông tin nhạy cảm và chỉđược gửi

tới các thiết bịđầu cuối đã được cấp phép, các thông tin này định kỳđược soát xét đểloại bỏcác dư

thừa không cần thiết.

9.6.2. Cô lập các hệ thống nhạy cảm (Sensitive system isolation)

Các hệthống nhạy cảm cần được cô lập khỏi môi trường tính toán chung. Các hệthống này cần hoạt

động trên một máy tính bịcô lập và chỉchia sẻtài nguyên với các hệthống khác được tin cậy. Các

vấn đềsau cần được quan tâm:

a) Độnhạy cảm của một hệthống cần được xác định rõ ràng và được ghi lại thành văn bản (xem

4.1.3);

b) Khi một ứng dụng nhạy cảm làm việc trong môi trường chung thì hệthống và các tài nguyên của

nó cần được xác định và thoảthuận với chủsởhữu hệthống nhạy cảm.

9.7. Giám sát truy nhập hệthống và giám sát sửdụng hệthống

(Monitoring system access and use)

Mục đích: đểphát hiện các hoạt động không được cấp phép.

Các hệthống cần được giám sát đểphát hiện các vi phạm (deviation) chính sách kiểm soát truy nhập

và cần ghi chép lại các sựkiện có thểgiám sát nhằm cung cấp bằng chứng trong trường hợp xảy ra

các sựcốan ninh.

9.7.1. Ghi lại các sự kiện (Event logging)

Ghi chép lại các sựkiện cần được thực hiện thường xuyên và được lưu trữlại trong khoảng thời gian

nhất định. Các ghi chép bao gồm:

a) Tất cảuser IDs;

b) Ngày giờđăng nhập và đăng xuất hệthống;


50

c) Định danh thiết bịđầu cuối hoặc địa điểm của thiết bịđầu cuối nếu có thể;

d) Các lần truy nhập thành công và không thành công;

e) Các lần truy nhập thành công và không thành công dữliệu và các tài nguyên khác.

9.7.2. Giám sát sử dụng hệ thống (Monitoring system use)

9.7.2.1. Thủ tục rủi ro và lĩnh vực rủi ro (Procedures and areas of risk)

Thủtục giám sát sửdụng các thiết bịxửlý thông tin cần được thiết lập. Các thủtục này đảm bảo

người dùng chỉthực hiện nhưng việc đã được cấp phép. Mức giám sát đối với các thiết bịcá nhân

được xácđịnh thông qua việc đánh giá rủi ro. Các lĩnh vực cần quan tâm bao gồm:

a) Các truy nhập được cấp phép, chi tiết nhưsau:

1) User ID;

2) Ngày giờxảy ra các sựkiện quan trọng (key events);

3) Loại sựkiện (the types of events);

4) Các tệp truy nhập;

5) Chương trình/tiện ích được sửdụng;

b) Các hoạt động được ưu tiên như:

1) Sửdụng các tài khoản giám sát (use of supervisor account);

2) Khởi động và kết thúc hệthống (system start-up and stop);

3) Gắn và tháo các thiết bịvào/ra (I/O device attachment/detachment);

c) Các truy nhập không được cấp phép như:

1) Các truy nhập bịhỏng (failed attempts);

2) Vi phạm chính sách truy nhập và các thông tin khai báo đểvượt qua tường lửa;

3) Các truy nhập bịhệthống phát hiện chống xâm nhập nghi nghờ;

d) Các báo động và các hỏng hóc như:

1) Báo động trên bảng điều khiển hoặc phát thông báo (console alerts or messages);

2) Các ngoại lệghi trong nhật ký hệthống (system log exceptions);

3) Các thiết bịbáo động quản lý mạng.

9.7.2.2. Các yếu tố rủi ro (Risk factors)

Kết quảcủa các hoạt động giám sát cần được soát xét định kỳ. Các yếu tốrủi ro cần quan tâm:

a) Tầm quan trọng quyết định của các tiến trình ứng dụng (the criticality of the application

processes);

b) Giá trị, độnhạy cảm hoặc tầm quan trọng quyết định của thông tin kèm theo (the value,

sensitivity or criticality of the information involved);

c) Kinh nghiệm quá khứvềxâm nhập hệthống và lạm dụng hệthống;

d) Sựmởrộng các kết nối hệthống (đặc biệt các kết nối với mạng công cộng).

9.7.2.3. Ghi lại và soát xét các sự kiện (Logging and reviewing events)


51

Soát xét nhật ký hệthống (log review) bao gồm việc tìm hiểu các nguy cơmà hệthống phải đối mặt

và các cách thức theo đó nguy cơtăng lên. Ví dụvềcác sựkiện cần những tìm hiểu sâu hơn trong

trường hợp xảy ra các sựcốan ninh xin đọc trong 9.7.1. Các nhật ký hệthống thường chứa đựng

một lượng thông tin lớn, mà phần nhiều trong sốchúng chảliên quan gì đến việc giám sát an ninh.

Để trợ giúp định danh các sự kiện quan trọng đối với mục đích giám sát an ninh, cần sửdụng các

tiện ích thích hợp đểbóc tách từnhật ký các thông tin liên quan đến an ninh, việc này gọi là soát xét

các sựkiện. Khi giao trách nhiệm soát xét (review) cho người nào đó thì không được đểngười đó

đồng thời thực hiện trách nhiệm giám sát (monitor). Cần chú ý đặc biệt việc đảm bảo an ninh của

nhật ký hệthống (logging) vì chỉcần nhật ký bịcan thiệp thì sẽlàm giảm mức độgiám sát an ninh.

Các kiểm soát ởđây bao gồm:

a) Bảo vệcan thiệp không phép vào nhật ký hệthống;

b) Chọn lọc đối với các thông tin cần ghi lại;

c) Soạn thảo hoặc xoá (edited or deleted) tệp nhật ký;

d) Bảo vệthiết bịlưu trữnhật ký.

9.7.3. Đồng bộ hoá đồng hồ (Clock synchronization)

Thiết lập đúng đồng hồmáy tính là điều kiện quan trọng đểđảm bảo tính chính xác của nhật ký hệ

thống vềmặt thời gian xảy ra sựkiện. Sựthiếu chính xác của đồng hồmáy tính có thểgây ra các sai

lầm trong khi tìm kiếm bằng chứng cần thiết khi sựcốxảy ra. Có thểđồng bộhoá đồng hồtheo

đồng hồchuẩn trên máy chủ.

9.8. Tính toán di động và làm việc di động (Mobile computing and teleworking)

Mục đích: đểđảm bảo an ninh thông tin khi sửdụng các thiết bịtính toán và làm việc di động.

Đối với các thiết bịdi động thì rủi ro cao hơn các thiết bịtại văn phòng, vì vậy cần sựbảo vệtương

ứng.

9.8.1. Tính toán di động (Mobile computing)

Khi sửdụng các thiết bịtính toán di động nhưnotebooks, palmtops, laptops, mobile phones, … thì

cần đảm bảo các thông tin nghiệp vụkhông bịdàn xếp. Chính sách an ninh thông tin phải có các

điều khoản vềvấn đềnày. Ví dụ, phải có các yêu cầu vềbảo vệvật lý, kiểm soát truy nhập, các kỹ

thuật mã hoá, sao lưu và chống virus. Các quy tắc và lời khuyên vềkết nối các thiết bịdi động với

mạng, các hướng dẫn sửdụng các thiết bịdi động trong môi trường công cộng. Các biện pháp bảo

vệnày nhằm tránh các truy nhập không phép hoặc đểlộthông tin được lưu trữvà xửlý bởi các thiết

bịdi động (xem 10.3). Các thủtục chống phần mềm phá hoại cũng cần được soát xét và cập nhật

(xem 8.3). Thiết bịsao lưu phải luôn sẵn sàng và được bảo vệthích hợp. Các biện pháp bảo vệthích

hợp cần được sửdụng khi các thiết bịkết nối với mạng. Các truy nhập thông tin nghiệp vụtừxa

thông qua mạng công cộng sửdụng các thiết bịtính toán di động chỉđược thực hiện sau khi đã định

danh và chứng thực thành công, đồng thời phải phù hợp với cơchếkiểm soát truy nhập tại chỗ(xem


52

9.4). Các thiết bịtính toán di động cần được bảo vệvềmặt vật lý đểtránh bịăn trộm. Thiết bịlưu

trữthông tin quan trọng, nhạy cảm và/hoặc thông tin nghiệp vụmang tính quyết định cần phải được

trông coi và nếu có thểcần phải khoá bằng các khoá đặc biệt. Vềviệc bảo vệcác thiết bịcó thểxem

tại 7.2.5. Các nhân viên sửdụng các thiết bịtính toán di động cần phải được đào tạo vềcác cách

thức bảo vệthiết bị.

9.8.2. Làm việc từ xa (

Nhân viên có thểsửdụng công nghệtruyền thông đểlàm việc từxa tại một vịtrí cốđịnh bên ngoài

tổchức. Cần bảo vệcác thiết bịnày nhằm tránh bịắn cắp, tránh đểlộthông tin, tránh truy nhập

không phép,… Tổchức soạn thảo chính sách, các thủtục và các tiêu chuẩn đểkiểm soát hoạt động

làm việc từxa. Tổchức chỉcấp phép cho các hoạt động làm việc từxa nếu chúng đáp ứng các yêu

cầu chính sách an ninh của tổchức. Cần lưu ý:

a) Vấn đềan ninh vật lý của vịtrí diễn ra hoạt động làm việc từxa (physical security of the

teleworking site), ví dụan ninh của toà nhà và an ninh của môi trường.

b) Môi trường làm việc từxa;

c) Các yêu cầu an ninh truyền thông, độnhạy cảm thông tinđược truy nhập;

d) Nguy cơcủa việc truy nhập không phép thông tin và tài nguyên từnhững người thân thuộc của

nhân viên khi nhân viên truy nhập thông tin từnhà…

Các kiểm soát và thoảthuận sau cần được quan tâm:

a) Cung cấp các thiết bịphù hợp và các phương tiện lưu trữcho các hoạt động làm việc từxa;

b) Định nghĩa vềcác công việc được thực hiện từxa, giờlàm việc từxa, các thông tin được xửlý,

các dịch vụvà hệthống mà các nhân viên làm việc từxa có thểtruy nhập;

c) Cung cấp các thiết bị truyền thông thích hợp, kèm theo cách thức truy nhập từxa đảm bảo an

ninh;

d)Đảm bảo an ninh vật lý;

e) Quyđịnh và hướng dẫn vềcác khách thăm (visitor) truy nhập hệthống từxa;

f) Cung cấp các trợgiúp và bảo trì phần cứng và phần mềm;

g) Các thủtục sao lưu và liên tục công việc;

h) Kiểm soát và giám sát an ninh;

i) Huỷbỏquyền truy nhập khi các hoạt động làm việc từxa kết thúc.

10. Phát triển và bảo trì hệ thống (Systems development and maintenance)

10.1 Yêu cầu an ninh đối với các hệ thống (Security requirements of systems)

Mục đích: để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệthống.


53

Yêu cầu an ninh bao gồm an ninh cơsởhạtầng (infrastructure), an ninh trình ứng dụng... Tất cảcác

yêu cầu an ninh cần được xác định ngay từkhi chuẩn bịdựán, chúng phải được nghiên cứu nhưmột

phần thiết yếu của tổng thểyêu cầu vềnghiệp vụcủa hệthống.

10.1.1. Phân tích vàđặc tả các yêu cầu an ninh

(Security requirements analysis and specification)

Mô tảcác yêu cầu nghiệp vụđối với các hệthống mới hoặc tăng cường tính năng của các hệthống

đã có thì cần xác định rõ các yêu cầu vềkiểm soát (requirements for controls), gồm đặc tảcác kiểm

soát tựđộng được tích hợp vào hệthống và các kiểm soát được thực hiện bằng các biện pháp hành

chính. Vềphía người dùng thì họmong muốn sửdụng các sản phẩm được đánh giá và cấp chứng chỉ

an ninh từnhững tổchức độc lập.

Các yêu cầu an ninh và các kiểm soát cần phản ánh giá trịnghiệp vụcủa các tài sản thông tin,

các thiệt hại nghiệp vụtiềm tàng có thểlà kết quảcủa các hỏng hóc hệthống hoặc kết quảcủa sự

thiếu vắng các biện pháp an ninh. Cơsởđểphân tích các yêu cầu an ninh và xácđịnh các kiểm soát

là các đánh giá rủi ro. Các kiểm soát được đưa vào hệthống ngay trong giai đoạn thiết kếsẽrẻhơn

và an ninh hơn khi đưa vào hệthống sau khi đã thực thi hệthống.

10.2. An ninh trong các hệthống ứng dụng (Security in application systems)

Mục đích: để tránh mất mát dữ liệu, sửa đổi hoặc gây ra lỗi dữliệu trong các hệthống ứng dụng.

Các kiểm soát thích hợp được đưa vào hệthống trong khi thiết kế, bao gồm kiểm tra sựhợp lệcủa

dữliệu đầu vào (validation of input data), xửlý bên trong và dữliệu đầu ra. Các kiểm soát đó dựa

trên báo cáo đánh giá rủi ro và yêu cầu an ninh.

10.2.1. Kiểm tra tính hợp lệ của dữ liệu đầu vào (Input data validation)

Dữliệu đầu vào của các hệthống ứng dụng cần được kiểm tra đểđảm bảo tính đúng đắn và tính

thích hợp. Các kiểm tra được áp dụng đối với đầu vào của các giao dịch nghiệp vụ, các dữliệu liên

quan đến con người (tên người và địa chỉ, giới hạn tín dụng, các sốtham chiếu khách hàng), các

bảng tham số(giá bán sản phẩm, tỷgiá, thuếsuất). Các kiểm soát sau có thể được sửdụng:

a) Kiểm tra dữliệu đầu vào đểphát hiện các lỗi sau:

1) Nằm ngoài giá trịcho phép ();

2) Các ký tựkhông hợp lệtrong dữliệu nhập vào (invalid characters in data fields);

3) Mất mát dữliệu hoặc dữliệu không đầy đủ(missing or incomplete data);

4) Vượt quá giới hạn của lượng dữliệu cho phép (exceeding upper and lower data volume limits);

5) Các dữliệu không được phép hoặc không nhất quán (unauthorized or inconsistent control data);

b) Soát xét định kỳnội dung của các dữliệu chính đểxác nhận tính hợp lệvà tính toàn vẹn của nó

(periodic review of the content of key fields or data files to confirm their validity and integrity);

c) Kiểm tra các tài liệu đầu vào dưới dạng bản sao đểtìm kiếm bất cứmột thay đổi không phép nào

(Mọi thayđổi dữliệu đầu vào phải được phép);


54

d) Các thủ tục đáp ứng các lỗi kiểm tra tính đúng đắn của dữ liệu (procedures for responding to

validation errors);

e) Các thủ tục để kiểm tra tính tin cậy của dữ liệu đầu vào (procedures for testing the plausibility of

the input data);

f) Chỉ rõ trách nhiệm của tất cả những người nhập dữ liệu đầu vào (defining the responsibilities of

all personnel involved in the data input process).

10.2.2. Kiểm soát các tiến trình bên trong (Control of internal processing)

10.2.2.1. Các lĩnh vực rủi ro (Areas of risk)

Dữliệu đầu vào có thểđược nhập đúng nhưng vẫn có thểbịsai do các lỗi xửlý hoặc các hành động

cốý. Vì vậy, các biện pháp kiểm tra tính hợp lệcủa nó cần phải được tích hợp vào hệthống đểphát

hiện các lỗi xửlý. Khi thiết kếcác ứng dụng cần đảm bảo các biện pháp giới hạn được thực hiện để

tối thiểu hoá nguy cơxửlý sai dẫn tới làm mất tính toàn vẹn của dữliệu. Các vấn đềcần quan tâm:

a) Chú ý đặc biệt tới các chức năng thêm, xoá dữliệu trong chương trình, vì đây là các chức năng có

khảnăng xửlý sai nhiều nhất;

b) Các thủtục đểtránh chương trình chạy theo thứtựsai hoặc vẫn chạy sau khi xuất hiện một lỗi xử

lý (the procedures to prevent programs running in the wrong order or running after failure of prior

processing) (xem 8.1.1);

c) Sửdụng các chương trình sửa chữa đểkhôi phục dữliệu sau khi xuất hiện các lỗi xửlý.

10.2.2.2. Kiểm tra và kiểm soát (Checks and controls)

Các kiểm soát cần thiết phụthuộc vào bản chất của ứng dụng và các ảnh hưởng nghiệp vụdo lỗi dữ

liệu. Ví dụvềcác biện pháp kiểm tra có thểđược thực hiện:

a) Các kiểm soát theo phiên hoặc theo lô đểđảm bảo sựcân bằng dữliệu sau khi đã cập nhật các

biện pháp giải quyết (session or batch controls, to reconcile data file balances after transaction

updates);

b) Các kiểm soát cân bằng để kiểm tra các cân bằng mở ngược lại các cân bằng đóng trước đây, như:

1) Các kiểm soát run-to-run (run-to-run controls);

2) file update totals;

3) Các kiểm soát program-to-program;

c) Kiểm tra sựhợp lệcủa các dữliệu do hệthống sinh ra (validation of system-generated data) (xem

10.2.1);

d) Kiểm tra tính toàn vẹn của dữliệu hoặc phần mềm đã download hoặc upload giữa các máy tính

trung tâm và máy tính từxa (xem 10.3.3);

e) hash totals of records and files;

f) Kiểm tra đảm bảo các trình ứng dụng chạy đúng thời gian (checks to ensure that application

programs are run at the correct time);


55

g) Kiểm tra đảm bảo các chương trình chạy đúng thứ tự và kết thúc trong trường hợp gặp lỗi, các xử

lý sau đó bị“treo” chođến khi các vấn đề được giải quyết (checks to ensure that programs are run in

the correct order and terminate in case of a failure, and that further processing is halted until the

problem is resolved).

10.2.3. Chứng thực thông báo (Message authentication)

Chứng thực thông báo là một kỹthuật được dùng đểphát hiện các thay đổi không phép, hoặc các

sửa chữa làm sai lạc nội dung của một thông báo được truyền qua mạng. Kỹthuật này có thểđược

cài đặt dưới dạng phần cứng hoặc phần mềm. Chứng thực thông báo được sửdụng trong các ứng

dụng có yêu cầu an ninh là kiểm tra tính toàn vẹn của nội dung một thông báo, ví dụcác hợp đồng,

các giao dịch tài chính trên mạng. Một đánh giá vềcác rủi ro an ninh cần được tiến hành đểxác

định liệu chứng thực thông báo được yêu cầu và xác định phương pháp cài đặt thích hợp nhất.

Chứng thực thông báo không được thiết kếđểbảo vệnội dung của thông báo không bịxem trộm.

Các kỹthuật mật mã (xem 10.3.2 và 10.3.3) có thểđược dùng nhưmột phương tiện thích hợp cho

mục đích chứng thực thông báo.

10.2.4. Kiểm tra tính hợp lệ của dữ liệu đầu ra ()

Dữ liệu đầu ra từ một hệ thống ứng dụng cần đuợc kiểm tra tính hợp lệ để đảm bảo quá trình xử lý

thông tin lưu trữ là đúng đắn và thích hợp. Các hệthống thường được xây dựng dựa trên tiền đềnếu

hệthống đã được xác nhận là xây dựng đúng thiết kế(verification), đáp ứng đúng yêu cầu của khách

hàng (validation) và đã được kiểm thử(testing) thì đầu ra sẽluôn luôn đúng. Nhưng thực tếlại

không phải luôn luôn nhưvậy. Kiểm tra tính hợp lệcủa đầu ra có thểbao gồm:

a) Kểm tra tính hợp lệđểxác nhận liệu dữliệu đầu ra có đúng hay không (plausibility checks to test

whether the output data is reasonable);

b) Kiểm soát đảm bảo xửlý mọi dữliệu (reconciliation control counts to ensure processing of all

data);

c) Cung cấp thông tin đầy đủcho hệthống xửlý kếtiếp đểxác định tính chính xác, tính đầy đủvà

phân loại được thông tin (providing sufficient information for a reader or subsequent processing

system to determine the accuracy, completeness, precision and classification of the information);

d) Thủ tục thực hiện kiểm thửtính hợp lệcủa đầu ra;

e) Chỉ rõ trách nhiệm của tất cả những nguời tham gia tiến trình xửlý dữ liệu đầu ra (defining the

responsibilities of all personnel involved in the data output process).

10.3. Các kiểm soát bằng mật mã (Cryptographic controls)

Mục đích: đểbảo vệtính tin cậy, tính xác thực hoặc tính toàn vẹn của thông tin (To protect the

confidentiality, authenticity or integrity of information). Các kỹthuật mật mã được dùng đểbảo vệ

thông tin tránh các rủi ro mà các cách bảo vệkhác không đảm bảo an toàn.

10.3.1. Chính sách về việc sử dụng các kiểm soát bằng mật mã


56

(Policy on the use of cryptographic controls)

Quyết định lựa chọn giải pháp mật mã nhưmột kiểm soát chỉlà một phần trong tiến trình đánh giá

rủi ro và lựa chọn kiểm soát. Một đánh giá rủi ro được thực hiện đểxác định mức bảo vệđối với

thông tin. Đánh giá này có thểđược sửdụng đểxác định liệu một kiểm soát bằng mật mã có thích

hợp hay không, loại kiểm soát nào có thểứng dụng cho mục đích nào và quy trình nghiệp vụnào.

Một tổchức nên xây dựng chính sách nói vềviệc sửdụng các kiểm soát bằng mật mã đểbảo vệ

thông tin của tổchức. Một chính sách nhưvậy phải tối đa hoá lợi ích và tối thiếu hoá rủi ro khi sử

dụng các kỹthuật mật mã, tránh việc sửdụng kỹthuật mật mã không đúng và không thích hợp. Khi

thiết kếmột chính sách nhưvậy cần chú ý:

a) Thiết lập các nguyên lý chung về bảo vệ các thông tin nghiệp vụ, dựa vào đó thiết kế việc sử dụng

các kiểm soát bằng mật mã (the management approach towards the use of cryptographic controls

across the organization, including the general principles under which business information should be

protected);

b) Thiết lập các phương pháp khôi phục thông tin đã mã hoá trong trường hợp mất thông tin, lỗi

thông tin, … (the approach to key management, including methods to deal with the recovery of

encrypted information in the case of lost, compromised or damaged keys);

c) Vai trò và trách nhiệm thực hiện công việc của mỗi người (roles and responsibilities, e.g. who is

responsible for);

d) Thực thi chính sách (the implementation of the policy);

e) Quản lý khoá (the key management) (Xem thêm dưới đểhiểu);

f) Xác định mức thích hợp khi bảo vệ bằng các kỹ thuật mật mã (how the appropriate level of

cryptographic protection is to be determined);

g) Các tiêu chuẩn nào tổ chức cần đáp ứng để thực hiện hiệu quảkỹthuật kiểm soát bằng mật mã

(the standards to be adopted for the effective implementation throughout the organization (which

solution is used for which business processes)).

10.3.2. Mã hoá (Encryption)

Mã hoá được dùng đểbảo vệtính tin cậy (confidentiality) của thông tin. Kỹthuật này được dùng để

bảo vệtính nhạy cảm của các thông tin mang tính quyết định (sensitive or critical information). Căn

cứbáo cáo đánh giá rủi ro, đưa ra mức bảo vệthích hợp theo hai tiêu chí loại và chất lượng của thuật

toán mã hoá (type and quality of the encryption algorithm) và độdài của khoá mã (cryptographic

keys).

10.3.3. Chữ ký số (Digital signatures)

Chữký sốcung cấp một phương tiện bảo vệtính trung thực và tính toàn vẹn của các tài liệu điện tử

(authenticity and integrity of electronic documents). Ví dụ, khi sửdụng TMĐT ta cần phải biết ai ký

vào tài liệu và liệu nội dung tài liệu có bịthay đổi sau khi ký hay không. Chữký sốcó thểđược


57

dùng cho bất kỳhình thức nào của tài liệu điện tử, có thểdùng cho các thanh toán điện tử, chuyển

tiền, hợp đồng và thoảthuận. Chữký sốcó thểđược thực hiện bằng cách sửdụng một kỹthuật mật

mã dựa trên một cặp khoá duy nhất liên quan đến nhau, khoá thứnhất được dùng đểtạo ra chữký

(khoá riêng tư) và khoá kia đểkiểm tra chữký (khóa công khai). Vậy quan trọng là phải bảo vệđược

tính tin cậy của khoá riêng tư() và bảo vệđược tính toàn vẹn của khoá công khai (integrity of the

public key). Việc bảo vệđược thực hiện bằng cách sửdụng một chứng chỉkhoá công khai (public

key certificate) (xem 10.3.5). Cần quan tâm đến loại và chất lượng của thuật toán tạo chữký sốvà

độdài của chữký số. Cần lưu ý là đểsửdụng chữký sốthì pháp luật phải có cácđiều khoản vềvấn

đềgiao dịch trên mạng.

10.3.4. Các dịch vụ không thể từ chối (Non-repudiation services)

10.3.5. Quản lý khoá (Key management)

10.3.5.1. Bảo vệ các khoá mã hoá (Protection of cryptographic keys)

Bảo vệcác khoá mã hoá là yêu cầu cơbản đểsửdụng hiệu quảcác kỹthuật mật mã. Bất cứsựdàn

xếp nào vềcác khoá mật mã hoặc khoá mật mã bịmất đều làm giảm tính tin cậy, tính trung thực

và/hoặc tính toàn vẹn của thông tin (confidentiality, authenticity and/or integrity of information).

Một hệthống quản lý khoá hữu hiệu cần trợgiúp hệthống sửdụng hai loại kỹthuật mật mã là:

a) Kỹthuật khoá bí mật, trong đó hai hoặc nhiều thành phần cùng sửdụng một khoá và khoá này

được dùng cảđểmã hoá và đểgiải mã. Khoá này cần được giữbí mật vì bất cứai dùng nó đều có

thểgiải mã thông tin được mã hoá với khoá này.

b) Kỹthuật khoá công khai, trong đó mỗi người dùng có một cặp khoá, một khoá công khai (ai cũng

có thểdùng) và một khoá riêng tư(phải giữbí mật). Kỹthuật khoá công khai được dùng đểmã hoá

(xem 10.3.2) và tạo chữký số(xem 10.3.3). Tất cảcác khoá đều phải được bảo vệđểtránh sửa đổi

hoặc phá huỷ, riêng khoá riêng tưcần được bảo vệđểkhông bịlộ. Kỹthuật mật mã cũng có thể

được dùng cho mục đích này. Các biện pháp bảo vệvật lý cần được áp dụng đối với các thiết bịsinh,

lưu trữkhoá.

10.3.5.2. Các tiêu chuẩn, thủ tục và phương pháp (Standards, procedures and methods)

Một hệthống quản lý khoá cần dựa trên một tập hợp các tiêu chuẩn, thủtục và phương pháp an ninh

như:

a) Sinh các khoá cho các hệthống mật mã và các ứng dụng khác nhau;

b) Sinh và đạt được chứng chỉkhoá công khai;

c) Cấp khoá cho những người dùng dựđịnh;

d) Lưu trữkhoá và hướng dẫn cách truy nhập cho người dùng;

e) Thay đổi hoặc cập nhật các khoá, các quy tắc khi nào thì các khoá phải thay đổi và thay đổi được

thực hiện nhưthếnào;

f) Ngăn cản việc dàn xếp các khoá;


58

g) Các quy định khi nào thì khoá bịthu hồi, ví dụkhi khoá bịdàn xếp hoặc khi người dùng thôi làm

việc cho tổchức;

h) Khôi phục các khoá bịmất hoặc bịlỗi nhưlà một phần việc trong kếhoạch liên tục nghiệp vụ, ví

dụđểgiải mã các thông tin bịmã hoá trước đây;

i) Lưu trữcác khoá;

j) Phá huỷcác khoá;

k) Ghi lại và kiểm soát các hoạt động quản lý khoá (logging and auditing of key management related

activities).

Đểgiảm bớt khảnăng các khoá bịdàn xếp, cần xác định ngày kích hoạt và ngày huỷbỏcủa khoá

sao cho mỗi khoá chỉsửdụng được trong một giới hạn thời gian. Thời hạn này phụthuộc vào tình

huống các kiểm soát bằng mật mã đang được sửdụng và các rủi ro có thểnhận dạng được. Tồn tại

nguy cơai đó giảmạo chữký sốbằng cách thay thếmã khoá công khai của một người dùng bằng

khoá của họ. Nguy cơnày có thểgiải quyết bằng cách sửdụng một chứng chỉkhoá công khai

(public key certificate). Chứng chỉnày dựa trên thông tin ràng buộc duy nhất giữa cặp khoá công

khai/ khoá riêng tưcủa một người dùng chủsởhữu cặp khoá đó.

10.4. An ninh của các hồsơhệthống (Security of system files)

Mục đích: đảm bảo các dựán IT và các hoạt động trợgiúp được định hướng vềmặt an ninh.

Việc truy nhập các hồsơhệthống cần được kiểm soát. Đảm bảo tính toàn vẹn của hồsơhệthống

phải là trách nhiệm của người dùng và người phát triển.

10.4.1. Kiểm soát của phần mềm điều hành (Control of operational software)

Các phần mềm điều hành phải kiểm soát sựhoạt động của các phần mềm ứng dụng. Để tối thiểu hoá

rủi ro “sụp đổ” phần mềm điều hành, các kiểm soát sau cần được thực hiện:

a) Việc cập nhật các thưviện chương trình của phần mềm điều hành chỉđược thực hiện bởi những

người được cấp phép (xem 10.4.3);

b) Nếu có thể, các hệthống điều hành chỉtồn tại dưới dạng mã thực thi (executable code), không để

mã nguồn;

c) Mã thực thi chỉđược cài đặt trên hệđiều hành khi đã được kiểm thửtốt và các thưviện nguồn đã

được cập nhật;

d) Một nhật ký kiểm soát (audit log) vềcác cập nhật thưviện hệđiều hành cần được thực hiện

thường xuyên.

e) Các phiên bản trước của phần mềm cần được lưu trữlại;

10.4.2. Bảo vệ dữ liệu kiểm thử hệ thống (Protection of system test data)

Dữliệu kiểm thửcần đuợc bảo vệvà kiểm soát. Kiểm thửhệthống và kiểm thửchấp nhận (System

and acceptance testing) thường đòi hỏi một lượng lớn dữliệu chi tiết gần nhưdữliệu thật. Cần tránh

sửdụng các CSDL vận hành (operational databases) chứa các thông tin cá nhân. Nếu các thông tin


59

nhưvậy được sửdụng thì cần xoá các thông tin cá nhân trước khi dùng (it should be depersonalized

before use). Các kiểm soát sau cần được sửdụng đểbảo vệdữliệu vận hành khi sửdụng cho mục

đich kiểm thử.

a) Các thủtục kiểm soát truy nhập được ứng dụng đối với hệthống vận hành thì cũng được dùng

cho hệthống kiểm thử;

b) Cấp quyền riêng đểsao dữliệu từhệthống vận hành sang hệthống kiểm thử;

c) Thông tin vận hành cần được sàng lọc từmột hệthống ứng dụng kiểm thửngay sau khi quá trình

kiểm thửkết thúc;

d) Việc sao chép (copying) và sửdụng thông tin vận hành cần được ghi nhật ký kiểm soát.

10.4.3. Kiểm soát truy nhập thưviện nguồn của chương trình

(Access control to program source library)

Đểgiảm bớt khảnăng thực hiện sai chương trình, các kiểm soát nghiêm ngặt đối với việc truy nhập

thưviện nguồn của chương trình cần được thực hiện (xem 8.3).

a) Thưviện nguồn của chương trình không được lưu trữtrên các hệthống vận hành;

b) Chỉđịnh một người quản lý thưviện chương trình đểgiám sát việc này;

c) Các nhân viên trợgiúp IT chỉđược truy nhập giới hạn thưviện nguồn của chương trình;

d) Các chương trình đang được phát triển và bảo trì không được lưu trữtại thưviện nguồn của

chương trình vận hành;

c) Việc cập nhật các thưviện chương trình nguồn và cấp nguồn chương trình cho người lập trình chỉ

được người quản lý thưviện thực hiện;

f) Danh sách chương trình cần được lưu trữtrong một môi trường an ninh (xem 8.6.4).

g) Một nhật ký kiểm soát (audit log) về sửdụng thưviện chương trình nguồn cần được cập nhật

thường xuyên;

h) Tất cảcác phiên bản cũcủa chương trình cần được lưu trữcùng với tất cảcác tài liệu liên quan;

i) Xây dựng các thủtục kiểm soát nghiêm ngặt việc sao chép các thưviện chương trình nguồn (xem

10.4.1).

10.5. An ninh trong quá trình phát triển và trợgiúp

(Security in development and support processes)

Mục đích: đảm bảo an ninh của hệthống trong quá trình phát triển và vận hành sau này.

10.5.1. Các thủ tục kiểm soát thay đổi (Change control procedures)

Đểgiảm bớt các sai sót của hệthống, cần kiểm soát nghiêm ngặt sựthay đổi bằng các thủtục. Các

thay đổi của phần mềm ứng dụng có thểảnh hưởng tới môi trường vận hành. Các thủtục kiểm soát

thayđổi có các nội dung chính sau:

a) Ghi chép các mức cấp phép đã thoảthuận;

b)Đảm bảo các thay đổi được chấp nhận bởi người dùng (được cấp phép);


60

c) Soát xét các kiểm soát và các thủtục đểđảm bảo chúng không bịvô hiệu hoá bởi các thay đổi

(they will not be compromised by the changes);

d)Định danh tất cảcác phần mềm, thông tin, các CSDL và các thiết bịphần cứng cần sửa đổi;

e) Đạt được sựchấp thuận chính thức vềcác đềnghịchi tiết trước khi công việc bắt đầu;

f)Đảm bảo người dùng đã được cấp phép chấp nhận các thayđổi trước khi thực hiện chúng;

g)Đảm bảo các thay đổi ảnh hưởng tối thiểu đến nghiệp vụ;

h)Đảm bảo tài liệu vềcác thay đổi phải đầyđủtrong khi tài liệu cũvẫn được lưu trữ;

i) Gán một sốhiệu phiên bản đối với mọi bản cập nhật của phần mềm;

j) Ghi chép các vết kiểm soát đối với mọi yêu cầu thay đổi;

k)Đảm bảo các tài liệu vận hành (xem 8.1.1) và các thủtục người dùng thayđổi khi cần thiết;

l) Đảm bảo thực hiện các thay đổi vào thời gian thích hợp và không ảnh hưởng đến các tiến trình

nghiệp vụ. Nhiều tổchức tạo dựng một môi trường trong đó người dùng kiểm thửphần mềm mới,

môi trường này tách riêng sản phẩm và quá trình phát triển sản phẩm.

10.5.2. Soát xét kỹ thuật đối với các thay đổi hệ thống vận hành

(Technical review of operating system changes)

Thường cứsau mỗi khoảng thời gian hệthống vận hành lại thayđổi, ví dụkhi cài đặt các phiên bản

mới hoặc các miếng vá. Khi các thay đổi xuất hiện, hệthống ứng dụng cần được soát xét và kiểm

thửđểđảm bảo không có các ảnh hưởng bất lợi khi vận hành hoặc các bất lợi an ninh khác. Tiến

trình này phải bao hàm:

a) Soát xét các kiểm soát và các thủ tục đang được dùng để đảm bảo chúng không bị vô hiệu hoá bởi

các thayđổi vận hành (they have not been compromised by the operating system changes);

b) Đảm bảo kếhoạch trợgiúp thường niên và ngân sách cho việc soát xét và kiểm thửhệthống do

các thay đổi vận hành;

c) Đảm bảo khai báo các thay đổi vận hành được thực hiện đúng lúc đểcó thểsoát sét trước khi thực

hiện chúng;

d)Đảm bảo các thay đổi tương ứng thích hợp được thực hiện trong kếhoạch liên tục nghiệp vụ(xem

điều khoản 11).

10.5.3 Hạn chế các thay đổi đối với các gói phần mềm

(Restrictions on changes to software packages)

Việc sửa đổi các gói phần mềm cần được hạn chế. Các gói phần mềm có sựtrợgiúp của người bán

nên được sửdụng mà không sửa đổi gì. Nếu sửa đổi một gói phần mềm, các vấn đềsau cần được

quan tâm:

a) Rủi ro xuất hiện do các nội kiểm soát (built-in controls) và các tiến trình bảo đảm tính toàn vẹn

(integrity processes) bịdàn xếp;


61

b) Liệu có đạt được sựchấp thuận của người bán;

c) Khảnăng có được các thay đổi theo yêu cầu đối với người bán coi nhưlà cập nhật chương trình

tiêu chuẩn;

d) Nảy sinh vấn đềvới tổchức vềtrách nhiệm bảo trì đối với phần mềm đã bịthayđổi.

10.5.4. Các kênh ngầm và mã Trojan (Covert channels and Trojan code)

Một kênh ngầm có thểlàm lộthông tin qua các cách thức gián tiếp hoặc ít người biết đến. Kênh

ngầm có thểđược tạo ra bằng cách thay đổi một tham sốtruy nhập của hệthống hoặc bằng cách cài

thêm các thông tin phụvào hệthống. Mã Trojan được tạo ra đểảnh hưởng tới hệthống theo cách

“qua mặt” người nhận thông tin hoặc người dùng hệthống. Kênh ngầm và mã Trojan hiếm khi xuất

hiện một cách tình cờ. Các vấn đềsau cần được quan tâm đểtránh các kênh ngầm và mã Trojan:

a) Chỉmua chương trình từnhững nguồn tin cậy;

b) Mua chương trình có thểkiểm tra được mã nguồn;

c) Sửdụng các sản phẩm đã được đánh giá;

d) Xem xét kỹtất cảmã nguồn trước khi sửdụng;

e) Kiểm soát truy nhập và sửa đổi mã trước mỗi lần cài đặt;

f) Sửdụng nhân viên tin cậy tại các hệthống chính (key systems).

10.5.5. Phát triển các phần mềm gia công (Outsourced software development)

Khi gia công phần mềm, cần lưu ý:

a) Thoảthuận vềlicence, người sởhữu mã nguồn và các vấn đềliên quan đến luật sởhữu trí tuệ

(xem 12.1.2);

b) Yêu cầu chứng nhận vềchất lượng và tính đúng đắn từngười gia công;

c) Thoảthuận vềứng xửnếu có lỗi xuất hiện từsản phẩm do bên thứba cung cấp;

d) Các quyền vềviệc truy nhập đểkiểm soát chất lượng và tính đúng đắn của công việc đã thực

hiện;

e) Các yêu cầu (được ghi trong hợp đồng) vềchất lượng của mã;

f) Kiểm thửtrước khi cài đặt đểphát hiện mã Trojan.

11. Quản lý liên tục nghiệp vụ (Business continuity management)

11.1. Các tính chất của quản lý liên tục nghiệp vụ

(Aspects of business continuity management)

Mục đích: đểtránh gián đoạn hoạt động nghiệp vụvà bảo vệcác tiến trình nghiệp vụmang tính

quyết định khi xảy ra lỗi lớn hoặc bịphá hoại. Một quy trình quản lý liên tục nghiệp vụđược soạn

thảo và thực hiện đểgiảm bớt các sai sót gây ra bởi tai nạn hoặc các lỗi an ninh (có thểlà kết quả

của, ví dụ, các tai hoạthiên nhiên, các tai nạn, lỗi thiết bị, …) thông qua sựkết hợp các kiểm soát

phòng ngừa và khôi phục (combination of preventative and recovery controls). Hậu quảcủa tai nạn,


62

lỗi an ninh và mất dịch vụcần được phân tích. Lập các kếhoạch ứng phó sựcố, sẵn sàng thực hiện

nhằm khôi phục hệthống trong một thời gian nhất định, đảm bảo sựliên tục của nghiệp vụkhi sựcố

xảy ra. Các kếhoạch nhưvậy cần được duy trì và thực hành đểtạo sựnhất quán với các quy trình

nghiệp vụkhác.

11.1.1. Quy trình quản lý liên tục nghiệp vụ (Business continuity management process)

Một quy trình quản lý liên tục nghiệp vụbao gồm các ý chính sau:

a) Tìm hiểu các rủi ro mà tổchức phải đối mặt, khảnăng xuất hiện và ảnh hưởng của nó, đồng thời

định danh và xácđịnh mức độưu tiên của các quy trình nghiệp vụmang tính quyết định;

b) Tìm hiểu các gián đoạn nghiệp vụnếu rủi ro xảy ra, qua đó đưa ra các giải pháp xửlý hậu quảcủa

mỗi rủi ro;

c) Tìm hiểu vềvấn đềbảo hiểm đối với hoạt động nghiệp vụ, coi vấn đềnày nhưmột công việc của

quy trình liên tục nghiệp vụ;

d) Trình bày thành văn một chiến lược liên tục nghiệp vụvà nhất quán với các nội dung trên;

e) Trình bày thành văn các kếhoạch liên tục nghiệp vụcăn cứtrên chiến lược liên tục nghiệp vụ;

f) Kiểm thửvà cập nhật định kỳcác kếhoạch và chiến lược trên;

g) Đảm bảo việc quản lý liên tục nghiệp vụđược tích hợp vào cấu trúc và các quy trình của doanh

nghiệp. Trách nhiệm điều phối các quy trình quản lý liên tục nghiệp vụcần được giao cụthểvà có

thểđược trao đổi thông qua diễn đàn an ninh thông tin (xem 4.1.1).

11.1.2. Quản lý liên tục nghiệp vụ và phân tích ảnh hưởng của nó

(Business continuity and impact analysis)

Quản lý liên tục nghiệp vụbắt đầu bằng việc định danh các sựkiện có thểgây ra các gián đoạn

nghiệp vụ, ví dụ, các sựcốthiết bị, lũlụt và hoảhoạn. Sự định danh này căn cứ trên báo cáo đánh

giá rủi ro, từ đó đánh giá ảnh hưởng của các gián đoạn đó (thiệt hại và thời gian khôi phục). Căn cứ

kết quảđánh giá rủi ro, một chiến lược được xây dựng đểđưa ra cách tiếp cận tổng thểđối với liên

tục nghiệp vụ.

11.1.3. Viết và thực hiện kế hoạch liên tục nghiệp vụ

(Writing and implementing continuity plans)

Kế hoạch được chuẩn bị để bảo trì và khôi phục các hoạt động nghiệp vụ trong một thời gian nhất

định sau khi xảy ra bất cứ sự cố gì. Khi viết kếhoạch cần quan tâm đến các vấn đềsau:

a) Xác định và thoảthuận vềtất cảtrách nhiệm và các thủtục khẩn cấp;

b) Thực thi các thủtục khẩn cấp đểkhôi phục lại hệthống trong thời gian hạn định. Đặc biệt chú ý

đánh giá các mối quan hệnghiệp vụvới các tổchức bên ngoài;

c) Tài liệu hoá các thủtục và quy trình;

d)Đào tạo nhân viên vềcác thủtục khẩn cấp;


63

e) Kiểm thửvà cập nhật các kếhoạch, kếhoạch cần tập trung vào các đối tượng nghiệp vụquan

trọng, ví dụ, khôi phục các dịch vụđặc biệt dành cho khách hàng trong một thời gian hạn định. Các

tài nguyên đểthực hiện kếhoạch cần sẵn sàng.

11.1.4. Sự thống nhất của các kế hoạch liên tục nghiệp vụ

(Business continuity planning framework)

Sựthống nhất các kế hoạch liên tục nghiệp vụ cần được duy trì đểđảm bảo tất cảcác kếhoạch nhất

quán với nhau, đểxác định các ưu tiên kiểm thửvà bảo trì. Mỗi kếhoạch liên tục nghiệp vụcần xác

định rõ ràng các điều kiện khởi động, cũng nhưcác cá nhân chịu trách nhiệm thi hành mỗi thành

phần của kếhoạch. Khi các yêu cầu mới được xác định thì các thủtục khẩn cấp được thiết lập, ví

dụ, các thủtục di chuyển khẩn cấp, các thủtục khôi phục dữliệu cũcần được chỉnh sửa cho phù hợp

hơn. Đểđạt được sựthống nhất cần quan tâm các vấn đềsau:

a) Các điều kiện đểkhởi động kếhoạch cần được mô tảnhưmột quy trình (đánh giá tính huống như

thếnào, ai đánh giá, …);

b) Các thủ tục khẩn cấp mô tả trình tự các hoạt động phải thực hiện ngay sau khi xảy ra một sự cố

ảnh hưởng xấu đến các hoạt động nghiệp vụhoặc con người. Đểthực hiện việc này cần sựthoả

thuận từtrước với bộphận PR hoặc các cơquan công quyền khác nhưcơquan PCCC hoặc cơquan

cảnh sát;

c) Các thủtục rút lui (fallback procedures) mô tảcác hành động cần thực hiện đểdi chuyển tất cả

các hoạt động nghiệp vụtới một địa điểm tạm thời và khôi phục lại hệthống sau khi đã giải quyết sự

cố;

d) Các thủtục bắt đầu lại (resumption procedures) mô tảcác hành động cần thiết đểquay trởlại hoạt

động bình thường;

e) Một lịch biểu và quy trình bảo trì các kếhoạch cần được xác định và thực thiđịnh kỳ;

f) Phổbiến trong toàn bộtổchức vềcác quy trình liên tục nghiệp vụđểđảm bảo các quy trình này

được thực hiện hiệu quả;

g) Trách nhiệm của các cá nhân thực thi kếhoạch được mô tảđầyđủ.

11.1.5. Kiểm thử, bảo trì và tái đánh giá các kế hoạch liên tục nghiệp vụ

(Testing, maintaining and re-assessing business continuity plans)

11.1.5.1 Kiểm thử các kế hoạch (Testing the plans)

Các kếhoạch liên tục nghiệp vụcó thểbịtrục trặc khi kiểm thử, thường thì do sai bối cảnh, hoặc các

thay đổi nào đó ởthiết bịhoặc con người. Vì vậy, cần kiểm thửđịnh kỳcác kếhoạch đểđảm bảo

chúng hoạt động tốt. Các kiểm thửnhưvậy cũng đảm bảo tất cảcác thành viên hiểu thêm vềcác kế

hoạch. Lịch kiểm thửmỗi kếhoạch được lập và được thực hiện. Cần kiểm thửcác thành phần cá

nhân (individual components) của mỗi kếhoạch thường xuyên. Nhiều biện pháp được sửdụng khi

kiểm thửđểđảm bảo các kếhoạch được thực hiện nhưthật. Các biện pháp đó gồm:


64

a) Lập các kịch bản kiểm thửkhác nhau;

b) Thực hiện các mô phỏng (đặc biệt đểđào tạo nhân viên trong các vịtrí quản lý hậu khủng hoảng

và hậu sựcố);

c) Kiểm thửkhôi phục kỹ thuật (Đảm bảo các hệthống thông tin có thểđược khôi phục hiệu quả);

d) Kiểm thử khôi phục từ một vị trí dự phòng (thực hiện các quy trình nghiệp vụ song song với các

hoạt động khôi phục từ vị trí chính thức) (testing recovery at an alternate site (running business

processes in parallel with recovery operations away from the main site));

e) Kiểm thử các thiết bị và các dịch vụ trợ giúp (đảm bảo các dịch vụ và sản phẩm từ các nhà cung

cấp đáp ứng cam kết của hợp đồng);

f) Hoàn thành diễn tập (kiểm thửtổchức, con người, thiết bị,... có đương đầu được với các sựcốhay

không).

11.1.5.2. Bảo trì và táiđánh giá các kế hoạch (Maintaining and re-assessing the plans)

Các kế hoạch liên tục nghiệp vụ cần được bảo trì thông qua việc soát xét thường xuyên và cập nhật

định kỳ(xem 11.1.5.1 đến 11.1.5.3), qua đó tất cảcác thay đổi trong hoạt động nghiệp vụ, trong cơ

cấu, tổchức đều được phản ánh kịp thời trong các thủtục tương ứng. Trách nhiệm thực hiện các soát

xét định kỳcần được chỉđịnh cho các cá nhân cụthể.

Khi lắp đặt các thiết bị mới, khi nâng cấp thiết bịhiện có hoặc khi thay đổi các hệ thống vận

hành thì cần soát xét lại các thủ tục, ví dụ:

a) Thayđổi nhân sự;

b) Thayđổi địa chỉhoặc sốđiện thoại;

c) Thayđổi kếhoạch nghiệp vụ;

d) Thayđổi các vịtrí, thiết bịvà tài nguyên;

e) Sửa đổi luật pháp;

f) Thay đổi các nhà cung ứng, các khách hàng chính;

g) Thayđổi các quy trình;

h) Thayđổi rủi ro (rủi ro vận hành và thương mại).

12. Sự tuân thủ (Compliance)

12.1. Tuân thủcác quy định của luật pháp (Compliance with legal requirements)

Mục đích: tránh các vi phạm pháp luật (luật dân sự, luật hình sự, luật hợp đồng, …). Đểphù hợp các

quy định của luật pháp, tổchức cần sựtưvấn của các tổchức tưvấn luật chuyên nghiệp. Cần chú ý

đến sựkhác nhau của luật pháp giữa các nước khi thông tin trao đổi giữa hai nước khác nhau.

12.1.1. Xácđịnh các luật liên quan (Identification of applicable legislation)


65

Soát xét và xác định các luật liên quan đến các yêu cầu của hoạt động đảm bảo an ninh hệthống, ghi

nhận lại tất cảcác luật này. Các kiểm soát cụthểvà trách nhiệm cá nhân đáp ứng các yêu cầu này

cần được định nghĩa và tài liệu hoá rõ ràng.

12.1.2. Luật sở hữu trí tuệ (Intellectual property rights (IPR))

12.1.2.1. Bản quyền (Copyright)

Các thủtục thích hợp cần được thực hiện đểđảm bảo sựtuân thủyêu cầu của các luật sởhữu trí tuệ

nhưluật bản quyền, quyền thiết kế, quyền nhãn hiệu. Vi phạm luật sởhữu trí tuệcó thểdẫn tới các

vụkiện dân sự.

12.1.2.2. Bản quyền phần mềm (Software copyright)

Các sản phẩm phần mềm thường được cung cấp kèm theo license sửdụng, các vấn đềsau cần được

quan tâm:

a) Trong chính sách an ninh cần có phần nói vềviệc tuân thủbản quyền phần mềm, phần này đưa ra

các quy định sửdụng hợp lệcác sản phẩm phần mềm và sản phẩm thông tin;

b) Viết các thủtục mua sắm các sản phẩm phần mềm;

c) Làm cho các nhân viên liên quan trong tổchức có được sựhiểu biết vềbản quyền phần mềm và

các chính sách mua sắm phần mềm đểtránh vi phạm các quy định của pháp luật vềvấn đềnày;

d) Đăng ký sửdụng các tài sản cần thiết (maintaining appropriate asset registers);

e) Cất giữcác chứng nhận vềlicenses, các đĩa cài đặt chính và các sổsách tương ứng,

…(maintaining proof and evidence of ownership of licenses, master disks, manuals, etc);

f) Cài đặt các kiểm soát đểđảm bảo sốlượng tối đa người dùng của một phần mềm không vượt quá

lượng cho phép;

g) Thực hiện các kiểm tra đểđảm bảo chỉcác phần mềm có licenses mới được cài đặt;

h) Soạn thảo chính sách vềviệc đạt được các licenses;

i) Soạn thảo chính sách vềviệc từchối sửdụng hoặc chuyển giao phần mềm cho bên khác

(providing a policy for disposing or transferring software to others);

j) Sửdụng các công cụkiểm soát nội bộthích hợp;

k) Tuân theo các điều kiện vềviệc sửdụng các phần mềm và thông tin từcác mạng công cộng (xem

8.7.6).

12.1.3. Bảo vệ sổ sách của tổ chức (Safeguarding of organizational records)

Các sổsách quan trọng của một tổchức cần được bảo vệđểtránh mất mát, bịphá huỷhoặc bịlàm

giả. Một sốsổsách cần được lưu trữđảm bảo an ninh đểđáp ứng các yêu cầu luật pháp cũng như

yêu cầu của hoạt động nghiệp vụ. Ví dụvềcác sổsách là bằng chứng vềsựhoạt động đúng luật

pháp của tổ chức, đểxác nhận tình trạng tài chính của tổchức với các cổđông, các đối tác và các

kiểm soát viên. Thời hạn và nội dung của thông tin cất giữ có thểtheo luật pháp của quốc gia sởtại.

Các sổsách cần được phân loại, ví dụ, sổsách kếtoán, các CSDL, nhật ký giao dịch, kiểm soát nội


66

bộvà các thủtục vận hành, mỗi trong sốchúng có thời hạn lưu trữvà cách lưu trữkhác nhau. Các

chìa khoá mật mã liên quan đến các tài liệu bịmã hoá hoặc các chữký số(xem 10.3.2 10.3.3) cần

được cất giữmột cách an ninh và chỉđược cấp cho những người liên quan khi cần thiết. Cần quan

tâm đến khảnăng suy giảm chất lượng của các thiết bịlưu trữsổsách. Các thủtục lưu trữvà xửlý

cần được thực hiện phù hợp với khuyến cáo của nhà sản xuất. Khi một thiết bịlưu trữđiện tửđược

chọn, thì cần lưu trữtất cảcác thủtục, phần mềm kèm theo đểđọc dữliệu lưu trữtrên thiết bịđó,

tránh trường hợp do sựthayđổi của kỹthuật, sau này không thểđọc được dữliệu lưu trữnữa.

Cần huỷbỏcác sổsách được lưu trữsau thời hạn đã định nếu các sốsách đó không cần thiết với

tổchức nữa. Các bước sau cần thực hiện trong tổchức đểbảo vệsổsách:

a) Các hướng dẫn vềviệc lưu trữ, xửlý và huỷbỏcác sổsách cần được ban hành;

b) Một lịch biểu được lập đểxác định các loại sổsách và thời hạn lưu trữtương ứng;

c) Một kho thông tin khoá (key information) được duy trì;

d) Các kiểm soát cần được thực thi đểbảo vệcác sổsách quan trọng tránh bịmất mát, bịhuỷbỏvà

bịlàm giả.

12.1.4. Bảo vệ dữ liệu và tính riêng tưcủa thông tin cá nhân

(Data protection and privacy of personal information)

Một sốnước có các luật bảo vệthông tin cá nhân khi xửlý trong các hệthống thông tin. Các luật

này hạn chếviệc tổng hợp, xửlý và làm lộthông tin cá nhân, vì vậy hạn chếkhảnăng truyền thông

tin giữa các nước. Đểtuân thủluật bảo vệdữliệu, yêu cầu các kiểm soát phù hợp. Thường thì người

ta bổnhiệm một nhân viên bảo vệdữliệu (data protection officer), người này hướng dẫn các nhà

quản lý, người dùng và nhà cung cấp dịch vụvềtrách nhiệm cá nhân của họvà các thủtục cụthểmà

họphải tuân theo.

12.1.5. Tránh lạm dụng các thiết bị xử lý thông tin

(Prevention of misuse of information processing facilities)

Các thiết bịxửlý thông tin của một tổchức được sửdụng cho các mục đích nghiệp vụ. Cấp quản lý

phải cấp phép đểsửdụng các thiết bịnày. Nếu các thiết bịđược sửdụng cho các mục đích không

nghiệp vụhoặc khdụngdwợc cấp phép thì đây là sựsửdụng không hợp lệvà phải được ngăn chặn.

Sửdụng các thiết bịcần được giám sát. Tính hợp pháp của sựgiám sát nhưvậy khác nhau qua mỗi

nước, vì vậy cần những điều chỉnh thích hợp. Các điều chỉnh đó được phản ánh trong các thủtục

giám sát (monitoring procedures). Nhiều nước có, hoặc đang xây dựng các luật đểchống lại sựlạm

dụng máy tính. Có thểphạm tội hình sựnếu sửdụng máy tính vào các mục đích không được cấp

phép. Vì vậy tất cảngười dùng đều cần có hiểu biết vềphạm vi chính xác các quyền truy nhập của

họ. Điều này có thểđược thực hiện bằng cách, ví dụ, cấp cho người dùng giấy phép vềcác quyền

truy nhập của họ, giấy phép này được người dùng ký xác nhận và được cất giữcẩn thận.

12.1.6. Quy định về các kiểm soát bằng mật mã (Regulation of cryptographic controls)


67

Một sốnước đã thực hiện các hiệp định (agreements), các luật và quy định vềviệc sửdụng các kiểm

soát bằng mật mã. Các kiểm soát đó có thểlà:

a) Nhập và/hoặc xuất các phần cứng và phần mềm thực hiện các chức năng liên quan đến mật mã

(cryptographic functions);

b) Nhập và/hoặc xuất các phần cứng và phần mềm được thiết kế để có thể thêm các chức năng mật

mã;

c) Các phương pháp bắt buộc hoặc tuỳchọn đểtruy nhập thông tin quốc gia, các thông tin này được

mã hoá bằng phần cứng hoặc phần mềm đểcung cấp nội dung đáng tin cậy. Các tưvấn luật cần

được cung cấp đềtuân thủluật quốc gia. Trước khi thông tin được mã hoá hoặc được kiểm soát bằng

mật mã được chuyển đến một quốc gia khác thì các tưvấn luật cũng phải được thayđổi tương ứng.

12.1.7. Tập hợp chứng cứ (Collection of evidence)

12.1.7.1. Các quy định về chứng cứ (Rules for evidence)

Khi xảy ra sựcốan ninh thì phải có các chứng cứđểghi nhận lại nguyên nhân của vụviệc. Việc thu

thập chứng cứphải tiuân theo các quy định của luật pháp. Nói chung, các quy định đó gồm:

a) Tính có thểthừa nhận của chứng cứ(admissibility of evidence): chứng cứcó thểđược sửdụng ở

toà án hay không;

b) Sức nặng của chứng cứ(weight of evidence): chất lượng và tính đầy đủ của chứng cứ;

c) Các quy định vềtính hợp pháp của chứng cứthu thập được trên hệthống thông tin.

12.1.7.2. Tính có thể thừa nhận của chứng cứ (admissibility of evidence):

Đểchứng cứđược thừa nhận, các tổchức cần đảm bảo thông tin phù hợp với các tiêu chuẩn hoặc

các luật được ban hành vềvấn đềnày.

12.1.7.3. Chất luợng và tính đầy đủ của chứng cứ

Đểchứng cứcó chất lượng và đầy đủ, cần một quá trình thu thập chứng cứ. Nói chung, một quá

trình thu thập cần được thực hiện trên cácđiều kiện sau.

a) Đối với các tài liệu giấy: nguyên bản của tài liệu được cất giữ, người tìm thấy tài liệu, nơi tìm,

thời điểm tìm thấy và người làm chứng. Bất kỳcuộc điều tra nào cũng không được làm xáo trộn tài

liệu đã có;

b) Đối với thông tin trên thiết bịlưu trữcủa máy tính: các bản sao từthiết bị, thông tin trên ổcứng

hoặc từbộnhớcần được đảm bảo an ninh. Nhật ký ghi lại các hành động thực hiện sao lưu cần được

lưu trữan ninh và có người làm chứng.

12.2. Soát xét sựtuân thủchính sách an ninh và tiêu chuẩn kỹthuật

(Reviews of security policy and technical compliance)

Mục đích: đảm bảo sựtuân thủcủa hệthống đối với các chính sách và tiêu chuẩn an ninh. An ninh

của các hệthống thông tin cần được soát xét định kỳ. Các soát xét nhưvậy cần được thực hiện để

kiểm tra sựtuân thủchính sách an ninh và các tiêu chuẩn kỹthuật.


68

12.2.1. Sự tuân thủ chinh sách an ninh (Compliance with security policy)

Các nhà quản lý cần đảm bảo mọi thủtục an ninh trong lĩnh vực quản lý của họđều phải được thực

hiện đúng đắn. Hơn nữa, tất cảcác lĩnh vực trong tổchức cần được soát xét định kỳđểđảm bảo hoạt

động của họtuân thủđúng chính sách an ninh. Các biện pháp soát xét gồm:

a) Các hệthống thông tin;

b) Các nhà cung cấp hệthống;

c) Chủsửdụng (owner) thông tin và tài sản thông tin;

d) Người dùng;

e) Cấp quản lý.

Chủsửdụng các tài sản thông tin (xem 5.1) cần trợgiúp cho việc soát xét định kỳnày. Sửdụng hệ

thống giám sát vận hành nói trong 9.7.

12.2.2. Kiểm tra sự tuân thủ kỹ thuật (Technical compliance checking)

Các hệthống thông tin cần được kiểm tra định kỳđối với việc tuân thủcác tiêu chuẩn an ninh với sự

trợgiúp kỹthuật của các chuyên gia, bao gồm kiểm tra vận hành của hệthống xem các kiểm soát

phần cứng và phần mềm có được thực hiện đúng hay không, kiểm tra sựthâm nhập hệthống (được

thực hiện bởi các chuyên gia độc lập đã ký hợp đồng với tổchức). Sau kiểm tra nếu phát hiện các

điểm dễtổn thương thì xem xét hiệu quảcủa các kiểm soát tương ứng. Cần thận trọng trong trường

hợp kiểm tra thâm nhập thành công, điều này có thểdẫn tới một sựdàn xếp vềan ninh của hệthống.

Kiểm tra sựtuân thủkỹthuật phải được thực hiện dưới sựgiám sát của những người có trách nhiệm.

12.3. Các lưu ý khi kiểm soát nội bộhệthống (System audit considerations)

Mục đích: đểtối đa hoá hiệu quảcủa hệthống và tối thiểu hoá sựcan thiệp đối với hệthống từcác

quy trình kiểm soát nội bộhệthống. Các kiểm soát phải đảm bảo an toàn vận hành của hệthống,

tránh ảnh hưởng đến tính toàn vẹn của hệthống. Tránh lạm dụng các công cụkiểm soát nội bộ.

12.3.1. Các công cụ kiểm soát nội bộ hệ thống (System audit controls)

Quá trình kiểm soát nội bộđược thực hiện khi hệthống đang vận hành, vì vậy cần lập kếhoạch kiểm

soát nội bộvà trao đổi đểtối thiểu hoá các rủi ro đến các tíến trình nghiệp vụ. Các lưu ý sau cần

được quan tâm:

a) Các yêu cầu kiểm soát nội bộcần được thảo thuận với các cấp quản lý thích hợp;

b) Phạm vi kiểm tra cần được thoảthuận và được kiểm soát;

c) Các kiểm tra chỉđược truy nhập read-only vào hệthống;

d) Các truy nhập khác read-only chỉđược thực hiện trên bản sao của dữliệu, bản sao được xoá ngay

khi các kiểm tra kết thúc;

e) Tài sản, thiết bịtham gia vào quá trình kiểm tra cần được định danh và ởtrạng thái sẵn sàng;

f) Các yêu cầu xửlý đặc biệt cần được xác định và thoảthuận;

g) Tất cảcác truy nhập cần được giám sát đểghi lại vết;


69

h) Tất cảcác thủtục, yêu cầu và trách nhiệm cần được tài liệu hoá.

12.3.2. Bảo vệ các công cụ kiểm soát nội bộ hệ thống (Protection of system audit tools)

Cần cấm truy nhập các công cụkiểm soát nội bộhệthống đểtránh các lạm dụng hoặc dàn xếp. Các

công cụnhưvậy cần được tách biệt giữa quá trình phát triển và quá trình vận hành. Không lưu trữ

công cụtrong thưviện dữliệu (tape libraries) hoặc các vùng của người dùng, trừkhi có một mức

bảo vệthích hợp.

iso17799 an ninh thong tin

Documents