Triển khai sách tiêu chuẩn an toàn thông tin thực tiễn • Triển khai an ninh,an toàn hệ thống thông tin thiết lập hệ thống quản lý an ninh thông tin (ISMS) nhằm đảm bảo thuộc tính nó: Tính tin cậy (Confidentiality), tính toàn vẹn (Integrity) tính sẵn sàng (Availability) Làm để thiết lập hệ thống ISMS quán, hiệu thật chuyên nghiệp? Bộ tiêu chuẩn ISO 27000 ISO 27000 quy định vấn đề từ vựng định nghĩa (thuật ngữ) • - ISO 27001:2005 xác định yêu cầu hệ thống quản lý an toàn thông tin • - ISO 27002:2007 đưa qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin toàn diện bảng lựa chọn kiểm soát thực hành an toàn tốt • - ISO 27003:2007 đưa hướng dẫn áp dụng • - ISO 27004:2007 đưa tiêu chuẩn đo lường định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực việc áp dụng ISMS • - ISO 27005:2007 tiêu chuẩn quản lý rủi ro an toàn thông tin • - ISO 27006 tiêu chuẩn hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ công nghệ thông tin viễn thông Nội dung I, ISO 27001:2005 gì? II, Lịch sử phát triển ISO 27001:2005 III, Cách tiếp cận ISO 27001:2005 IV, Bất cập hệ thống an toàn thông tin V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005 I, ISO 27001:2005 gì? Mục đích ISO 27001:2005 cung cấp sở chung cho việc phát triển chuẩn an ninh tổ chức thực tiễn quản lý an ninh cách hiệu quả, đồng thời cung cấp tin cậy mối quan hệ tổ chức II, Lịch sử phát triển ISO 27001:2005 ISO 27001:2005 ban đầu phát triển chuẩn BS7799 Viện chuẩn Anh quốc (British Standards Institution BSI) BS7799 bắt đầu phát triển từ năm 1990 nhằm đáp ứng yêu cầu cho doanh nghiệp, phủ công nghiệp việc thiết lập cấu trúc an ninh thông tin chung Năm 1995, chuẩn the BS7799 thức công nhận • Tháng 5/1999 phiên thứ chuẩn BS7799 phát hành với nhiều cải tiến chặt chẽ Trong thời gian Tổ chức giới chuẩn (ISO) bắt đầu quan tâm đến chuẩn Tháng 12/ 2000, ISO tiếp quản phần đầu BS7799, đổi thành ISO 17799 Như chuẩn an ninh thông tin gồm: ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin Trong tháng 9/2002, soát xét phần chuẩn BS7799 thực để tạo quán với chuẩn quản lý khác ISO 9001:2000; ISO 14001:1996 với nguyên tắc Tổ chức Hợp tác phát triển kinh tế (OECD) • 15/10/ 2005 ISO phát triển ISO 17799 BS7799 thành ISO 27001:2005, trọng vào công tác đánh giá chứng nhận ISO 27001 thay cách trực tiếp cho BS77992:2002, định nghĩa hệ thống ISMS hướng đến cung cấp mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, trì cải tiến ISMS III, Cách tiếp cận ISO 27001:2005 Trong tiêu chuẩn ISO 27001, khái niệm bảo đảm an ninh thông tin hiểu : - Duy trì tính bí mật - Duy trì tính toàn vẹn - Duy trì tính sẵn sàng thông tin Ba thuộc tính luôn tiêu chuẩn để kiểm chứng mức độ bảo đảm an ninh thông tin hệ thống thông tin Cách tiếp cận ISO 27001:2005 • Thông tin gắn liền với ba yếu tố là: – Con người – Quy trình nghiệp vụ – Hạ tầng kỹ thuật Giải pháp cho an ninh thông tin biện pháp tác động tới yếu tố người, quy trình nghiệp vụ hạ tầng kỹ thuật để thông tin đảm bảo thuộc tính: bảo mật, toàn vẹn sẵn sàng Bất cập hệ thống an toàn thông tin • Trước đây, an toàn thông tin chủ yếu tập trung vào yếu tố hạ tầng kỹ thuật Các giải pháp giai đoạn thường triển khai Firewall mạng LAN để bảo vệ máy chủ, hệ thống phòng chống virus Các kết nối Internet bảo vệ Firewall, Antivirus, IPS, IDS… Chính tập trung vào giải pháp kỹ thuật nên tổ chức bỏ qua yếu tố người quy trình nghiệp vụ, chưa có sách toàn diện an ninh thông tin, cấu tổ chức chuyên trách an ninh thông tin nên dù đầu tư tương đối lớn hệ thống thông tin tồn nhiều điểm yếu gây an ninh thông tin Theo đánh giá chuyên gia, yếu tố tác động đến an ninh thông tin có 20% công nghê, 80% quản lý, bao gồm yếu tố người quy trình nghiệp vụ V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005  Hệ thống quản lý an ninh thông tin (ISMS) trái tim ISO 27001:2005 điều kiện tiên cho việc thi hành lấy chứng toàn diện  Một hệ thống ISMS phải quản lý tất mặt an ninh thông tin bao gồm người, qui trình hệ thống công nghệ thông tin  Điều cốt lõi để có hệ thống ISMS thành công dựa đánh giá phản hồi để cung cấp cải tiến liên tục, lấy cách tiếp cận có cấu trúc để quản lý tài sản rủi ro Hệ thống an ninh thông tin bao gồm tất cảc kiểm soát mà tổ chức đặt vị trí thích hợp để đảm bảo an ninh thông tin, xuyên suốt 10 lĩnh vực sau: Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005 Tính chất an ninh (Security Policy) Cung cấp dẫn quản lý hỗ trợ an ninh thông tin Tổ chức an ninh (Security Organization) Phân loại kiểm soát tài sản (Asset Classification and Control) An ninh nhân (Personnel Security) An ninh môi trường vật lý (Physical and Enviromental Security) Quản lý tác nghiệp truyền thông (Communications and Operations Management) Kiểm soát truy cập (Access Control) Duy trì phát triển hệ thống (Systems Development and Maintenance) Triển khai chuẩn ISO 27001:2005 cho tổ chức >>Giai đoạn 1: Thiết lập hệ thống ISMS: o Để thiết lập hệ thống ISMS, tổ chức cần thực sau : a) Định nghĩa phạm vi giới hạn hệ thống ISMS theo mặt: đặc thù công việc; tổ chức; địa điểm; tài sản công nghệ, đồng thời bao gồm thông tin chi tiết lý loại bỏ yêu cầu … tiêu chuẩn khỏi phạm vi áp dụng Triển khai chuẩn ISO 27001:2005 cho tổ chức b) Vạch rõ sách triển khai hệ thống ISMS theo mặt: đặc thù công việc; tổ chức; địa điểm; tài sản công nghệ mà đó: – Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng nguyên tắc cho việc đảm bảo an toàn thông tin – Chú ý đến hoạt động nghiệp vụ, pháp lý, quy định điều khoản bắt buộc bảo mật – Đưa vào yêu cầu kinh doanh, yêu cầu chế tài pháp lý nghĩa vụ an toàn an ninh có hợp đồng – Thực thiết lập trì hệ thống ISMS phần chiến lược quản lý rủi ro tổ chức – Thiết lập tiêu đánh giá rủi ro xảy – Được ban quản lý phê duyệt Triển khai chuẩn ISO 27001:2005 cho tổ chức c) Xác định phương pháp tiếp cận đánh giá rủi ro tổ chức:  Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, quy định, pháp lý, an toàn bảo mật thông tin xác định  Phát triển tiêu cho rủi ro chấp nhận vạch rõ mức rủi ro chấp nhận => Hệ phương pháp đánh giá rủi ro lựa chọn đảm bảo đánh giá rủi ro đưa kết so sánh tái tạo Triển khai chuẩn ISO 27001:2005 cho tổ chức d) Xác định rủi ro: – Xác định tài sản phạm vi hệ thống ISMS đối tượng quản lý tài sản – Xác định mối đe doạ xảy tài sản – Xác định yếu điểm bị khai thác mối đe doạ – Xác định tác động xấu tới tính chất quan trọng tài sản cần bảo đảm: bí mật, toàn vẹn sẵn sàng f) Phân tích đánh giá rủi ro: – Đánh giá ảnh hưởng hoạt động tổ chức cố an toàn thông tin, ý đến hậu việc tính bí mật, toàn vẹn hay sẵn sàng tài sản Triển khai chuẩn ISO 27001:2005 cho tổ chức – Đánh giá khả thực tế xảy cố an toàn thông tin bắt nguồn từ mối đe dọa nguy dự đoán Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực – Ước lượng mức độ rủi ro – Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chấp nhận rủi ro thiết lập mục f) Xác định đánh giá lựa chọn cho việc xử lý rủi ro )Các hoạt động thực : – Áp dụng biện pháp quản lý thích hợp – Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn sách tiêu chuẩn chấp nhận rủi ro tổ chức – Tránh rủi ro – Chuyển giao rủi ro phận khác bảo hiểm, nhà cung cấp v.v Triển khai chuẩn ISO 27001:2005 cho tổ chức g) Lựa chọn mục tiêu quản lý biện pháp quản lý để xử lý rủi ro: •) Các mục tiêu quản lý biện pháp quản lý lựa chọn thực để đáp ứng yêu cầu xác định trình xử lý rủi ro đánh giá rủi ro Sự lựa chọn xem xét đến tiêu chuẩn chấp nhận rủi ro yêu cầu pháp lý, quy định cam kết phải tuân thủ •) Các mục tiêu quản lý biện pháp quản lý lựa chọn phần thích hợp để bảo đảm yêu cầu xác định tùy trường hợp lựa chọn thêm mục tiêu quản lý biện pháp quản lý cần thiết khác Triển khai chuẩn ISO 27001:2005 cho tổ chức h) Được ban quản lý phê chuẩn rủi ro tồn đọng đề xuất j) Được ban quản lý cho phép cài đặt vận hành hệ thống ISMS k) Chuẩn bị thông báo áp dụng: )Thông báo áp dụng hệ thống ISMS bao gồm : – Các mục tiêu quản lý biện pháp quản lý lựa chọn sở tiến hành lựa chọn – Các mục tiêu quản lý biện pháp quản lý thực – Sự loại trừ mục tiêu quản lý biện pháp quản lý phụ lục A giải trình cho việc >> Triển khai điều hành hệ thống ISMS: o Quá trình triển khai điều hành hệ thống ISMS đòi hỏi thực sau: a) Lập kế hoạch xử lý rủi ro xác định hoạt động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ưu tiên để quản lý rủi ro an toàn thông tin b) Triển khai kế hoạch xử lý, khắc phục rủi ro nhằm đạt mục tiêu quản lý xác định bao gồm xem xét kinh phí đầu tư phân bổ vai trò, trách nhiệm c) Triển khai biện pháp quản lý lựa chọn để thỏa mãn mục tiêu quản lý >> Triển khai điều hành hệ thống ISMS: d Định nghĩa cách tính toán mức độ hiệu biện pháp quản lý nhóm biện pháp quản lý lựa chọn kết sử dụng việc đánh giá tính hiệu quản lý nhằm tạo kết so sánh tái tạo e Triển khai chương trình đào tạo nâng cao nhận thức f Quản lý hoạt động hệ thống ISMS g Quản lý tài nguyên dành cho hệ thống ISMS h Triển khai thủ tục biện pháp quản lý khác có khả phát kiện an toàn thông tin phản ứng với cố an toàn thông tin  Giám sát soát xét hệ thống ISMS: o Tổ chức thực biện pháp sau đây: a) Tiến hành giám sát, soát xét lại thủ tục biện pháp quản lý an toàn thông tin khác nhằm: – Nhanh chóng phát lỗi kết xử lý – Nhanh chóng xác định công, lỗ hổng cố an toàn thông tin – Cho phép ban quản lý xác định kết các công nghệ người đem lại có đạt mục tiêu đề hay không – Hỗ trợ phát kiện an toàn thông tin ngăn chặn sớm cố an toàn thông tin thị cần thiết – Xác định hiệu hoạt động xử lý lỗ hổng an toàn thông tin Giám sát soát xét hệ thống ISMS: b, Thường xuyên kiểm tra, soát xét hiệu hệ thống ISMS (bao gồm việc xem xét tính phù hợp sách, mục tiêu quản lý soát xét việc thực biện pháp quản lý an toàn thông tin) xem xét đến kết kiểm tra an toàn bảo mật, cố xảy ra, kết tính toán hiệu quả, đề xuất, kiến nghị thông tin phản hồi thu thập Giám sát soát xét hệ thống ISMS: c) Tính toán hiệu biện pháp quản lý thỏa mãn yêu cầu bảo đảm ATTT d) Tiến hành kiểm toán nội bộ: Soát xét lại đánh giá rủi ro tiến hành đồng thời soát xét rủi ro bỏ qua mức độ rủi ro chấp nhận Trong lưu ý thay đổi trong: Tổ chức; Công nghệ; Mục tiêu trình nghiệp vụ; Các mối nguy hiểm, đe doạ an toàn thông tin xác định; Tính hiệu biện pháp quản lý thực hiện; Các kiện bên chẳng hạn thay đổi môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội Giám sát soát xét hệ thống ISMS: e)Thực việc kiểm tra nội hệ thống ISMS cách định kỳ f) Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu đặt có phù hợp nâng cấp xác định nâng cấp cần thiết cho hệ thống ISMS g) Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi tình hình thực tế thu qua hoạt động giám sát đánh giá h) Ghi chép, lập tài liệu kiện hoạt động có khả hưởng đến tính hiệu hiệu lực hệ thống ISMS  Duy trì nâng cấp hệ thống ISMS: o Tổ chức cần thường xuyên thực hiện: a) Triển khai nâng cấp cho hệ thống ISMS xác định b) Tiến hành hoàn chỉnh có biện pháp phòng ngừa thích hợp Chú ý vận dụng kinh nghiệm có tham khảo từ tổ chức khác c) Thông báo thống với thành phần liên quan hoạt động nâng cấp hệ thống ISMS d) Đảm bảo việc thực nâng cấp phải phù hợp với mục tiêu đặt =>>>>> Hệ thống quản lý an ninh thông tin ISMS gồm người, trình hệ thống CNTT =>>>>> Lập Hệ thống ISMS theo chuẩn ISO 27001:2005 cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm tổ chức nhằm trì đảm bảo thuộc tính an ninh thông tin: Tính tin cậy, tính toàn vẹn tính sẵn sàng thông qua 10 mục tiêu, lĩnh vực =>>>>> ISO 27001:2005 giúp cho tổ chức tạo hệ thống quản lý an ninh thông tin chặt chẻ cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu [...]... lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm: – Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý – Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin – Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không – Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông. .. về an ninh thông tin Áp dụng mô hình PDCA để triển khai hệ thống ISMS Mô hình PDCA • Áp dụng mô hình PDCA để triển khai hệ thống ISMS Bước 1: Plan (Thiết lập ISMS): Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức Bước 2: Do (Thi hành và. .. chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng f) Phân tích và đánh giá các rủi ro: – Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản Triển khai chuẩn ISO 27001:2005 cho tổ chức – Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối... kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức – Tránh các rủi ro – Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v Triển khai chuẩn ISO 27001:2005 cho tổ chức g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro: •) Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp ứng các yêu cầu được... thể so sánh được và tái tạo được e Triển khai các chương trình đào tạo nâng cao nhận thức f Quản lý hoạt động hệ thống ISMS g Quản lý các tài nguyên dành cho hệ thống ISMS h Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin  Giám sát và soát xét hệ thống ISMS: o Tổ chức thực hiện các biện pháp sau... thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005 9 Quản lý sự liên tục trong kinh doanh (Business Continuity Management) 10 Tuân thủ (Compliance): Tránh sự vi phạm của mọi luật công dân và hình sự, tuân thủ pháp luật, qui định hoặc nghĩa vụ của hợp đồng và mọi yêu cầu về an ninh Đảm bảo sự tuân thủ của các hệ thống với các chính sách an ninh và các chuẩn Tăng tối đa hiệu quả và giảm thiểu... thông tin bằng các chỉ thị cần thiết – Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin Giám sát và soát xét hệ thống ISMS: b, Thường xuyên kiểm tra, soát xét hiệu quả của hệ thống ISMS (bao gồm việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và soát xét của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn. .. hợp với các mục tiêu đã đặt ra =>>>>> Hệ thống quản lý an ninh thông tin ISMS gồm con người, các quá trình và các hệ thống CNTT =>>>>> Lập một Hệ thống ISMS theo chuẩn ISO 27001:2005 là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo 3 thuộc tính an ninh thông tin: Tính tin cậy, tính toàn vẹn và tính sẵn sàng thông qua 10 mục tiêu, lĩnh vực chính =>>>>>... địa điểm; các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu … trong tiêu chuẩn khỏi phạm vi áp dụng Triển khai chuẩn ISO 27001:2005 cho tổ chức b) Vạch rõ chính sách triển khai hệ thống ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ mà trong đó: – Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên... tắc cho việc đảm bảo an toàn thông tin – Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật – Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng – Thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro của tổ chức – Thiết lập các chỉ tiêu đánh giá rủi