Triển khai các chính sách và tiêu chuẩn an toàn thông tin trong thực tiễn

• Triển khai an ninh,an toàn hệ thống thông tin là thiết lập hệ thống quản lý an ninh thông tin (ISMS) nhằm đảm bảo 3 thuộc tính của nó: Tính tin cậy (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability). Làm thế nào để thiết lập một hệ thống ISMS nhất quán, hiệu quả và thật sự chuyên nghiệp?

ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ) • - ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản lý an

toàn thông tin • - ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu kiểm

soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

• - ISO 27003:2007 đưa ra các hướng dẫn áp dụng • - ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định lượng

hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

• - ISO 27005:2007 tiêu chuẩn về quản lý rủi ro an toàn thông tin • - ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục thông

tin sau thảm hoạ của công nghệ thông tin và viễn thông

Bộ tiêu chuẩn ISO 27000

Nội dung chính

I, ISO 27001:2005 là gì?

II, Lịch sử phát triển ISO 27001:2005

III, Cách tiếp cận cơ bản ISO 27001:2005

IV, Bất cập hệ thống an toàn thông tin hiện nay

V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức.

I, ISO 27001:2005 là gì?

II, Lịch sử phát triển ISO 27001:2005

ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh quốc (British Standards Institution BSI). BS7799 bắt đầu phát triển từ những năm 1990 nhằm đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công nghiệp về việc thiết lập cấu trúc an ninh thông tin chung. Năm 1995, chuẩn the BS7799 đã được chính thức công nhận.

• Tháng 5/1999 phiên bản chính thứ 2 của chuẩn BS7799 được

phát hành với nhiều cải tiến chặt chẽ. Trong thời gian này Tổ

chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm đến chuẩn này.

Tháng 12/ 2000, ISO đã tiếp quản phần đầu của BS7799, đổi

thành ISO 17799. Như vậy chuẩn an ninh thông tin này gồm: ISO

17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông

tin) và BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin.

Trong tháng 9/2002, soát xét phần 2 của chuẩn BS7799 được

thực hiện để tạo sự nhất quán với các chuẩn quản lý khác như

ISO 9001:2000; ISO 14001:1996 cũng như với các nguyên tắc

chính của Tổ chức Hợp tác và phát triển kinh tế (OECD).

• 15/10/ 2005 ISO phát triển ISO 17799 và BS7799 thành ISO 27001:2005, chú trọng vào công tác đánh giá và chứng nhận. ISO 27001 thay thế một cách trực tiếp cho BS7799-2:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS.

Trong bộ tiêu chuẩn ISO 27001, khái niệm bảo đảm an ninh thông tin được hiểu là :- Duy trì tính bí mật- Duy trì tính toàn vẹn- Duy trì tính sẵn sàng của thông tin

Ba thuộc tính này luôn luôn là các tiêu chuẩn để kiểm chứng mức độ bảo đảm an ninh của thông tin và hệ thống thông tin.

III, Cách tiếp cận cơ bản ISO 27001:2005

• Thông tin này còn gắn liền với ba yếu tố là:– Con người– Quy trình nghiệp vụ– Hạ tầng kỹ thuật

Giải pháp cho an ninh thông tin chính là các biện pháp tác động tới yếu tố con người, quy trình nghiệp vụ và hạ tầng kỹ thuật để thông tin đảm bảo được 3 thuộc tính: bảo mật, toàn vẹn và sẵn sàng.

Cách tiếp cận cơ bản ISO 27001:2005

Bất cập hệ thống an toàn thông tin hiện nay• Trước đây, an toàn thông tin chủ yếu được tập trung vào yếu

tố hạ tầng kỹ thuật. Các giải pháp trong giai đoạn này thường là triển khai Firewall tại các mạng LAN để bảo vệ các máy chủ, hệ thống phòng chống virus. Các kết nối Internet chỉ được bảo vệ bằng Firewall, Antivirus, IPS, IDS… Chính vì chỉ tập trung vào các giải pháp kỹ thuật nên các tổ chức đã bỏ qua yếu tố con người và quy trình nghiệp vụ, chưa có các chính sách toàn diện về an ninh thông tin, và cơ cấu tổ chức chuyên trách về an ninh thông tin nên dù được đầu tư tương đối lớn nhưng các hệ thống thông tin vẫn tồn tại nhiều điểm yếu gây mất an ninh thông tin. Theo đánh giá của các chuyên gia, trong những yếu tố tác động đến an ninh thông tin thì chỉ có 20% do công nghê, còn 80% do quản lý, bao gồm yếu tố con người và quy trình nghiệp vụ.

Hệ thống quản lý an ninh thông tin (ISMS) là trái tim của ISO 27001:2005 và là điều kiện tiên quyết cho việc thi hành và lấy chứng chỉ toàn diện.

Một hệ thống ISMS phải quản lý tất cả các mặt của an ninh thông tin bao gồm con người, các qui trình và các hệ thống công nghệ thông tin.

Điều cốt lõi để có hệ thống ISMS thành công là dựa trên đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro. Hệ thống an ninh thông tin bao gồm tất cảc các kiểm soát mà tổ chức đặt trong vị trí thích hợp để đảm bảo an ninh thông tin, xuyên suốt 10 lĩnh vực sau:

V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

1. Tính chất an ninh (Security Policy)Cung cấp các chỉ dẫn quản lý và hỗ trợ an ninh thông tin.

2. Tổ chức an ninh (Security Organization)

3. Phân loại và kiểm soát tài sản (Asset Classification and Control)

4. An ninh nhân sự (Personnel Security)

5. An ninh môi trường và vật lý (Physical and Enviromental Security)

6. Quản lý tác nghiệp và truyền thông (Communications and Operations Management)

7. Kiểm soát truy cập (Access Control)

8. Duy trì và phát triển các hệ thống (Systems Development and Maintenance)

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

9. Quản lý sự liên tục trong kinh doanh (Business Continuity Management)

10. Tuân thủ (Compliance): Tránh sự vi phạm của mọi luật công dân và hình sự,

tuân thủ pháp luật, qui định hoặc nghĩa vụ của hợp đồng và mọi yêu cầu về an ninh. Đảm bảo sự tuân thủ của các hệ thống với các chính sách an ninh và các chuẩn. Tăng tối đa hiệu quả và giảm thiểu trở ngại đến quá trình đánh giá hệ thống.

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

1. Đối tượng áp dụng

Tiêu chuẩn ISO 27001 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức ( các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức.

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

2. Lợi ích

a, Cấp độ tổ chức

Sự cam kết: Chứng chỉ như là một cam kết hiệu quả của nỗ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị.

b, Cấp độ pháp luật Tuân thủ: Chứng minh cho nhà chức trách rằng tổ chức

đã tuân theo tất cả các luật và các qui định áp dụng ngoài ra nó cũng giúp cho tổ chức "hoàn vốn đầu tư" nhanh nhất.

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

c. Cấp độ điều hành Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các

hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo khả năng sẵn sàng ở cả phần cứng và phần mềm.

d. Cấp độ thương mại Sự tín nhiệm và tin cậy: Các thành viên, cổ đông, và

khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.

Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2005

e. Cấp độ tài chính

Tiết kiệm chi phí khắc phục các lỗ hổng an ninh và có khả năng giảm chi phí bảo hiểm.

f. Cấp độ con người

Nâng cao nhận thức và trách nhiệm của nhân viên về

an ninh thông tin.

Lợi ích

Áp dụng mô hình PDCA để triển khai hệ thống ISMS

Triển khai và điều hành hệ thống ISMS

Giám sát và đánh giá hệ thống ISMS

P

D

C

A

Thiết lập hệ thống ISMS

Duy trì và nâng cấp hệ thống ISMS

Các bộ phận liên

quan

Các yêu cầu và kỳ

vọng về an toàn thông

tin

Các bộ phận liên

quan

Kết quả quản lý an toàn thông

tin

Mô hình PDCA

• Áp dụng mô hình PDCA để triển khai hệ thống ISMS

Bước 1: Plan (Thiết lập ISMS):Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức.

Bước 2: Do (Thi hành và điều hành ISMS):Cài đặt,thi hành và vận hành các chính sách an ninh, biện pháp quản lý, các dấu hiệu kiểm soát, quy trình và thủ tục của hệ thống ISMS.

Bước 3: Check (Kiểm soát và xem xét ISMS):Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính sách an ninh, mục tiêu, kinh nghiệm thực tế và báo cáo kết quả cho lãnh đạo xem xét.

Bước 4: Act (duy trì và cải tiến ISMS):Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các kết quả của việc kiểm toán nội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS.

>>Giai đoạn 1: Thiết lập hệ thống ISMS:

o Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như sau :

a) Định nghĩa phạm vi và các giới hạn của hệ thống ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu ….. trong tiêu chuẩn khỏi phạm vi áp dụng.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

b) Vạch rõ chính sách triển khai hệ thống ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ mà trong đó:– Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định

hướng và nguyên tắc cho việc đảm bảo an toàn thông tin.– Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và

các điều khoản bắt buộc về bảo mật.– Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về

pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng.

– Thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro của tổ chức.

– Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra .– Được ban quản lý phê duyệt.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

c) Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức: Xác định hệ phương pháp đánh giá rủi ro thích hợp

với hệ thống ISMS, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định.

Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được.

=> Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo được.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

d) Xác định các rủi ro:– Xác định các tài sản trong phạm vi hệ thống ISMS và

đối tượng quản lý các tài sản này.– Xác định các mối đe doạ có thể xảy ra đối với tài sản.– Xác định các yếu điểm có thể bị khai thác bởi các mối

đe doạ trên.– Xác định những tác động xấu tới các tính chất quan

trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng

e) Phân tích và đánh giá các rủi ro:– Đánh giá các ảnh hưởng hoạt động của tổ chức do sự

cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

– Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện.

– Ước lượng các mức độ của rủi ro.– Xác định rủi ro được chấp nhận hay phải có biện pháp xử

lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục.

f) Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro. Các hoạt động có thể thực hiện :

– Áp dụng các biện pháp quản lý thích hợp.– Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn

các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức.– Tránh các rủi ro.– Chuyển giao các rủi ro các bộ phận khác như bảo hiểm,

nhà cung cấp v.v....

Triển khai chuẩn ISO 27001:2005 cho tổ chức

g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro:

• Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro. Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ.

• Các mục tiêu quản lý và biện pháp quản lý trong có thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác định và tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp quản lý cần thiết khác.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

h) Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.

i) Được ban quản lý cho phép cài đặt và vận hành hệ thống ISMS.

j) Chuẩn bị thông báo áp dụng: Thông báo áp dụng hệ thống ISMS bao gồm :

– Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn và các cơ sở tiến hành lựa chọn.

– Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện.

– Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này.

Triển khai chuẩn ISO 27001:2005 cho tổ chức

o Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi thực hiện như sau:

a) Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin.

b) Triển khai kế hoạch xử lý, khắc phục rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm.

c) Triển khai các biện pháp quản lý được lựa chọn để thỏa mãn các mục tiêu quản lý.

>> Triển khai và điều hành hệ thống ISMS:

d. Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được.

e. Triển khai các chương trình đào tạo nâng cao nhận thức .

f. Quản lý hoạt động hệ thống ISMS.

g. Quản lý các tài nguyên dành cho hệ thống ISMS.

h. Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin.

>> Triển khai và điều hành hệ thống ISMS:

Giám sát và soát xét hệ thống ISMS:

o Tổ chức thực hiện các biện pháp sau đây:

a) Tiến hành giám sát, soát xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm:

– Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.– Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an

toàn thông tin.– Cho phép ban quản lý xác định kết quả các các công

nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không.

– Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết.

– Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin.

Giám sát và soát xét hệ thống ISMS:

b, Thường xuyên kiểm tra, soát xét hiệu quả của hệ thống ISMS (bao gồm việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và soát xét của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng như các thông tin phản hồi thu thập được.

Giám sát và soát xét hệ thống ISMS:

c) Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm ATTT.

d) Tiến hành kiểm toán nội bộ: Soát xét lại các đánh giá rủi ro đã tiến hành đồng thời soát xét các rủi ro được bỏ qua cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:Tổ chức;Công nghệ;Mục tiêu và các quá trình nghiệp vụ;Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;Tính hiệu quả của các biện pháp quản lý đã thực hiện;Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội.

Giám sát và soát xét hệ thống ISMS:

e)Thực hiện việc kiểm tra nội bộ hệ thống ISMS một cách định kỳ.f) Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp các và đã xác định các nâng cấp cần thiết cho hệ thống ISMS.g) Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá.h) Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hưởng đến tính hiệu quả hoặc hiệu lực của hệ thống ISMS.

Duy trì và nâng cấp hệ thống ISMS:

oTổ chức cần thường xuyên thực hiện:

a) Triển khai các nâng cấp cho hệ thống ISMS đã xác định.

b) Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý vận dụng kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác.

c) Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng cấp của hệ thống ISMS.

d) Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.

=>>>>> Hệ thống quản lý an ninh thông tin ISMS gồm con người, các quá trình và các hệ thống CNTT.

=>>>>> Lập một Hệ thống ISMS theo chuẩn ISO 27001:2005 là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo 3 thuộc tính an ninh thông tin: Tính tin cậy, tính toàn vẹn và tính sẵn sàng thông qua 10 mục tiêu, lĩnh vực chính.

=>>>>> ISO 27001:2005 giúp cho tổ chức tạo được một hệ thống quản lý an ninh thông tin chặt chẻ và luôn được cải tiến nhằm đảm bảo an ninh và khai thác thông tin một cách hợp lý và hiệu quả nhất.