Các qui định đảm bảo an ninh thông tin trên mạng Internet

Nội dung text: Các qui định đảm bảo an ninh thông tin trên mạng Internet

1. Bé th«ng tin vμ truyÒn th«ng Nhμ xuÊt b¶n th«ng tin vμ truyÒn th«ng
2. quản lý An ninh thông tin. Cùng với các Nghị định của Chính phủ về Chống thư rác; quản lý, cung cấp sử dụng dịch vụ Internet và xử LỜI NÓI ĐẦU phạt vi phạm hành chính trong quản lý, cung cấp sử dụng dịch vụ Internet, cuốn sách còn giới thiệu hàng loạt các Thông tư, Chỉ thị, Trong những năm gần đây, cùng với sự phát triển lớn mạnh Quyết định của Bộ Thông tin và Truyền thông hướng dẫn liên quan không ngừng của Internet Việt Nam thì số lượng các vụ tấn công được ban hành, qui định cụ thể về việc tăng cường đảm bảo an toàn mạng có yếu tố Việt Nam cũng không ngừng gia tăng. Các hình an ninh thông tin trên mạng Internet như Chỉ thị về đẩy mạnh sử thức tấn công mạng cũng phát triển ngày càng tinh vi và hậu quả dụng phần mềm mã nguồn mở trong hoạt động của cơ quan, tổ ngày càng lớn. Bên cạnh các cuộc tấn công trực diện là các cuộc chức nhà nước; Quyết định ban hành Danh mục tiêu chuẩn bắt tấn công gián tiếp nhưng cũng không kém phần nguy hiểm như buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số phát tán thư rác, vi-rút và các phần mềm độc hại hậu quả là các Cuốn sách sẽ là tài liệu hữu ích cho các nhà quản lý và các kết nối mạng có nguồn gốc từ Việt Nam bị cấm truy nhập một vài cán bộ quản trị mạng của các đơn vị, cơ quan, tổ chức, và những ai mạng trên toàn cầu, nhất là các mạng Thương mại điện tử. quan tâm đến an toàn an ninh thông tin trên mạng Internet. Nguyên nhân của việc mất an ninh thông tin trong mạng máy Trân trọng giới thiệu cùng bạn đọc./. tính nói chung và mạng Internet nói riêng là do các nhà quản trị mạng chưa nhận thức đúng tầm quan trọng của an ninh mạng, chưa Hà Nội, tháng 10 năm 2010 đánh giá được giá trị của những thiệt hại do mất an ninh mạng, NHÀ XUẤT BẢN nhiều lỗ hổng bảo mật hệ thống khi được công bố đã không được THÔNG TIN VÀ TRUYỀN THÔNG cập nhật kịp thời, các chính sách an ninh thông tin chưa được đặt ra và chưa được tuân thủ chặt chẽ. Theo khảo sát sơ bộ có hơn 80% trang thông tin điện tử có sơ hở trong đảm bảo an ninh mà trong đó phần lớn các sơ hở này thuộc về chính sách quản trị. Nhận thức được tầm quan trọng của việc đảm bảo an toàn thông tin trên môi trường mạng, Nhà xuất bản Thông tin và Truyền thông xuất bản cuốn sách “Các qui định đảm bảo an ninh thông tin trên mạng Internet”. Nội dung cuốn sách giới thiệu Quyết định của Thủ tướng Chính phủ phê duyệt quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020; Chỉ thị của Bộ trưởng Bộ Bưu chính, Viễn thông (nay là Bộ Thông tin và Truyền thông) về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet; Tiêu chuẩn TCVN 7562 : 2005 về Công nghệ Thông tin - Mã thực hành
3. I. QUAN ĐIỂM QUY HOẠCH QUYẾT ĐỊNH CỦA THỦ TƯỚNG CHÍNH PHỦ 1. Khái niệm an toàn thông tin số: Số 63/QĐ-TTg ngày 13/01/2010 “An toàn thông tin số” là thuật ngữ dùng để chỉ việc bảo vệ Phê duyệt quy hoạch phát triển thông tin số và các hệ thống thông tin chống lại các nguy cơ tự an toàn thông tin số quốc gia đến năm 2020 nhiên, các hành động truy cập, sử dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm cho các hệ thống thông tin Căn cứ Luật Tổ chức Chính phủ ngày 25 tháng 12 năm 2001; thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn Căn cứ Pháp lệnh Bưu chính, Viễn thông ngày 25 tháng 5 sàng, chính xác và tin cậy (sau đây gọi chung là an toàn thông tin). năm 2002; Nội dung của an toàn thông tin bao gồm bảo vệ an toàn mạng Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005; và hạ tầng thông tin, an toàn máy tính, dữ liệu và ứng dụng công Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006; nghệ thông tin. Căn cứ Nghị định số 160/2004/NĐ-CP ngày 03 tháng 9 năm 2. Việc đảm bảo an toàn thông tin cần được xem xét một cách 2004 của Chính phủ quy định chi tiết thi hành một số điều của Pháp toàn diện dưới các góc độ sau đây: lệnh Bưu chính, Viễn thông về viễn thông; a) Đảm bảo quy hoạch phù hợp với các quy định pháp lý về Căn cứ Nghị định số 26/2007/NĐ-CP ngày 15 tháng 2 năm công nghệ thông tin nói chung và an toàn thông tin nói riêng. 2007 của Chính phủ Quy định chi tiết thi hành Luật Giao dịch điện b) Đảm bảo các hệ thống thông tin từ khi lập kế hoạch, thiết tử về chữ ký số và dịch vụ chứng thực chữ ký số; kế, xây dựng, vận hành đến lúc thanh lý được quản lý theo các quy Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm trình, tiêu chuẩn, quy chuẩn kỹ thuật. 2007 của Chính phủ quy định về ứng dụng công nghệ thông tin c) Các đối tượng có quyền truy cập hợp pháp vào các hệ trong hoạt động của cơ quan nhà nước; thống thông tin đều cần được bảo vệ và có trách nhiệm đảm bảo an Căn cứ Nghị định số 97/2008/NĐ-CP ngày 28 tháng 8 năm toàn thông tin cho hệ thống. 2008 của Chính phủ quy định về quản lý, cung cấp, sử dụng dịch 3. Chính phủ khuyến khích các tổ chức, cá nhân bảo vệ và vụ Internet và thông tin điện tử trên Internet; phát triển an toàn thông tin dưới các hình thức khác nhau trong Xét đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông, khuôn khổ cho phép của pháp luật để góp phần thúc đẩy các hoạt QUYẾT ĐỊNH: động ứng dụng và phát triển công nghệ thông tin. Điều 1. Phê duyệt Quy hoạch phát triển an toàn thông tin số 4. Chính phủ khuyến khích các tổ chức, cá nhân trong nước quốc gia đến năm 2020 với các nội dung chủ yếu sau: nghiên cứu, phát triển các sản phẩm và giải pháp trong lĩnh vực an 5 6
4. toàn thông tin bổ sung cho sản phẩm nhập khẩu, tiến tới làm chủ 3. Phát triển nguồn nhân lực và nâng cao nhận thức về an hoàn toàn về công nghệ để đảm bảo an toàn thông tin cho hệ thống toàn thông tin thông tin trọng yếu quốc gia ở mức độ ngày càng cao. a) Nhân lực công nghệ thông tin của Việt Nam được đào tạo II. MỤC TIÊU TỔNG QUÁT ĐẾN NĂM 2020 về an toàn thông tin với trình độ tương đương với các nước dẫn đầu 1. Đảm bảo an toàn mạng và hạ tầng thông tin trong khu vực ASEAN; a) Hệ thống thông tin trọng yếu quốc gia được đảm bảo an b) Nhận thức xã hội về an toàn thông tin được phổ cập và toàn thông tin bởi các hệ thống bảo mật chuyên dùng có độ tin ngày một nâng cao. Người sử dụng đều được trang bị hiểu biết cần cậy cao; thiết về cách khai thác các chức năng an toàn thông tin có sẵn trong hệ thống; b) Hoạt động của các hệ thống xác thực chữ ký điện tử và hạ tầng mã khóa công khai được kiểm soát và tuân thủ các tiêu chuẩn c) 100% cán bộ quản trị hệ thống trong hệ thống thông tin kỹ thuật cần thiết; trọng yếu quốc gia được đào tạo và cấp chứng chỉ quốc gia về an toàn thông tin. c) Hình thành mạng lưới điều phối ứng cứu sự cố về an toàn mạng và hạ tầng thông tin quốc gia với sự tham gia của các thành 4. Môi trường pháp lý về an toàn thông tin phần kinh tế; a) Môi trường pháp lý về an toàn thông tin được hoàn thiện d) Đến năm 2020, an toàn mạng và hạ tầng thông tin được và trở thành công cụ hữu hiệu để: bảo đảm ở mức độ đáp ứng được nhu cầu phát triển của ngành - Bắt buộc việc thực hiện các quy định về an toàn thông tin. công nghệ thông tin. - Quy định trách nhiệm của cá nhân, tổ chức trong việc thực 2. Đảm bảo an toàn cho dữ liệu và ứng dụng công nghệ hiện nhiệm vụ đảm bảo an toàn thông tin. thông tin - Xử lý vi phạm các quy định về an toàn thông tin. a) Các ứng dụng về chính phủ điện tử và thương mại điện tử - Trấn áp tội phạm xâm phạm an toàn thông tin; đều được đảm bảo an toàn thông tin ở mức cao nhất trong quá trình cung cấp các dịch vụ trực tuyến cho người dân; b) Hệ thống chính sách về an toàn thông tin được triển khai có hiệu lực dựa trên một hệ thống tiêu chí đánh giá mức độ đảm b) Hệ thống thông tin trọng yếu quốc gia đạt được mức độ an toàn thông tin theo các tiêu chuẩn quốc tế; bảo an toàn thông tin và mức độ tội phạm về an toàn thông tin; c) Hầu hết các ứng dụng công nghệ thông tin và trao đổi dữ c) Hoàn thiện các quy định pháp luật về tội phạm trên mạng liệu đều tương thích về chuẩn an toàn thông tin. máy tính. 7 8
5. III. CÁC MỤC TIÊU PHÁT TRIỂN ĐẾN NĂM 2015 hiệu quả chống lại các tấn công gây mất an toàn thông tin và có 1. Đảm bảo an toàn thông tin cho cơ sở hạ tầng thông tin phương án dự phòng khắc phục sự cố đảm bảo hoạt động liên tục ở quốc gia đạt trình độ quốc tế mức tối đa; a) Các mạng nội bộ và thiết bị đầu cuối trong cơ quan nhà c) Các dự án ứng dụng công nghệ thông tin sử dụng ngân nước đều được trang bị các giải pháp kỹ thuật cần thiết và vận hành sách phải lập luận chứng về an toàn và bảo mật thông tin ngay từ theo các quy chế, quy trình tiêu chuẩn hóa để đảm bảo an toàn khi lập kế hoạch, thiết kế hệ thống thông tin. Các hệ thống thông tin của các cơ quan nhà nước phải trang bị giải pháp kỹ thuật an thông tin; toàn và bảo mật thông tin cùng với quy chế quản lý kèm theo đối b) Các cơ sở dữ liệu quốc gia đều được trang bị các giải pháp với các cơ quan và người sử dụng. kỹ thuật cần thiết và có các quy chế, quy trình đảm bảo an toàn d) Các nhà cung cấp dịch vụ truyền số liệu và viễn thông có thông tin theo tiêu chuẩn quốc tế. cam kết đảm bảo an toàn dữ liệu trên đường truyền với chuẩn chất c) Xây dựng và đưa vào hoạt động các hệ thống theo dõi, giám lượng công bố công khai cho các đối tượng sử dụng dịch vụ của mình; sát, cảnh báo những rủi ro về an toàn thông tin trong toàn quốc; đ) Các nhà cung cấp dịch vụ truy cập Internet và các đại lý d) Hệ thống thông tin trọng yếu quốc gia bắt buộc phải tuân phải quản lý được việc truy cập sử dụng Internet theo quy định của thủ các quy định chung về đảm bảo an toàn thông tin cho Chính pháp luật; phủ ban hành. Chính phủ có cơ chế giám sát và đưa ra đánh giá e) 100% các giao dịch điện tử có biện pháp bảo đảm an toàn thường niên về mức độ đảm bảo an toàn thông tin của hệ thống này; thông tin. Các dịch vụ thương mại điện tử mới phải công bố công đ) Các mạng nội bộ của doanh nghiệp và tổ chức đều được khai và cam kết tuân thủ các tiêu chuẩn chất lượng về an toàn thông tin trước khi vận hành chính thức. thiết kế giải pháp đồng bộ, thích hợp đảm bảo an toàn thông tin cho hệ thống của mình. 3. Phát triển nhân lực và nâng cao nhận thức xã hội về an toàn thông tin. 2. Đảm bảo an toàn dữ liệu và ứng dụng công nghệ thông tin cho các cơ quan nhà nước ở trung ương, địa phương và toàn xã hội a) Xây dựng tiêu chuẩn, kỹ thuật cần thiết cho các chuyên gia trong lĩnh vực đảm bảo an toàn thông tin. Tổ chức đào tạo và cấp a) Các hệ thống thông tin điện tử của các cơ quan nhà nước chứng chỉ cấp quốc gia trên 80% cán bộ quản trị hệ thống của các được kiểm tra định kỳ, đánh giá, kiểm định hàng năm về mức độ hệ thống thông tin trọng yếu quốc gia; đảm bảo an toàn thông tin theo các tiêu chuẩn do nhà nước quy định; b) Đào tạo 1000 chuyên gia an toàn thông tin theo tiêu chuẩn b) 100% trang thông tin điện tử của Chính phủ, các Bộ, quốc tế để đảm bảo an ninh thông tin cho hệ thống thông tin trọng ngành và các tỉnh, thành phố trực thuộc Trung ương có giải pháp yếu quốc gia và toàn xã hội; 9 10
6. c) Người sử dụng các phương tiện và dịch vụ thông tin công trên mạng, phát hiện các hiểm họa tấn công và có chất lượng thường xuyên được thông báo, cập nhật về những rủi ro mất an ngày càng cao đáp ứng được nhu cầu thực tế; toàn thông tin mới phát sinh và có thể báo cáo các rủi ro này cho c) Khuyến khích nghiên cứu phát triển, khai thác mã nguồn các cơ quan có trách nhiệm. mở để tiến tới làm chủ công nghệ đồng thời có những phòng thí 4. Môi trường pháp lý về an toàn thông tin nghiệm đánh giá kiểm định chất lượng sản phẩm và giải pháp an a) Hoàn thiện môi trường pháp lý về tội phạm trên mạng máy toàn thông tin để bảo vệ quyền lợi cho người sử dụng. tính, các quy định về điều tra, đấu tranh phòng, chống tội phạm IV. CÁC GIẢI PHÁP trong môi trường mạng máy tính; 1. Nâng cao nhận thức và đẩy mạnh việc thông tin, tuyên b) Xây dựng và hoàn thiện hệ thống môi trường pháp lý trong truyền về an toàn thông tin hoạt động cơ yếu, tạo điều kiện cho việc phát triển hạ tầng mã khóa Nâng cao nhận thức và đẩy mạnh việc thông tin, tuyên truyền công khai và sử dụng mã hóa trong các hoạt động kinh tế - xã hội; về nội dung của Quy hoạch này thông qua các phương tiện thông tin đại chúng. Tổ chức các hội nghị, hội thảo về an toàn thông tin c) Năm 2010, ban hành: cho các cơ quan nhà nước, doanh nghiệp và người dân. - Các tiêu chuẩn về hệ thống mã hóa quốc gia cho phép quản 2. Hoàn thiện các cơ chế và chính sách nhà nước về an toàn lý các hệ thống hạ tầng mã khóa công khai tại Việt Nam; thông tin - Hệ thống các tiêu chuẩn và tiêu chí đánh giá an toàn thông Rà soát và hoàn thiện các văn bản quy phạm pháp luật, cơ tin cho các hệ thống thông tin; từ năm 2015, các tiêu chuẩn này chế và chính sách của Nhà nước, tạo môi trường thuận lợi để đảm được áp dụng rộng rãi trong toàn bộ các hệ thống thông tin trọng bảo an toàn thông tin, đáp ứng các yêu cầu về hội nhập toàn diện yếu của quốc gia. kinh tế quốc tế, thúc đẩy hợp tác và cạnh tranh lành mạnh giữa các 5. Khuyến khích và hỗ trợ việc xây dựng các sản phẩm nội doanh nghiệp. Tổ chức nghiên cứu, xây dựng Luật tội phạm trên địa về an toàn thông tin mạng máy tính. Tăng cường các khung hình phạt xử lý mạnh và a) Chú trọng đầu tư và hỗ trợ cho việc nghiên cứu phát triển kiên quyết khi có vi phạm về an toàn thông tin. các sản phẩm, giải pháp và mô hình dịch vụ nội địa về an toàn 3. Xây dựng các thiết chế và tăng cường các hoạt động đảm thông tin trong Chương trình Kỹ thuật - Kinh tế về Công nghệ bảo an toàn thông tin thông tin để bổ sung cho các sản phẩm nhập khẩu; Tiếp tục hoàn thiện bộ máy quản lý nhà nước về an toàn b) Khuyến khích và hỗ trợ để các doanh nghiệp nội địa sớm thông tin từ Trung ương đến địa phương trong đó chú trọng nâng có các sản phẩm chống vi rút, ngăn chặn thư rác và các cuộc tấn cao năng lực các cơ quan quản lý chuyên trách về an toàn thông tin. 11 12
7. Tăng cường các hoạt động dự báo, kiểm soát, phát hiện tấn công, 5. Đẩy mạnh hợp tác trong và ngoài nước cảnh báo sớm, ngăn chặn kịp thời và khắc phục sự cố khi có các Tăng cường hợp tác phòng chống tấn công mạng thông qua cuộc tấn công. Tổ chức đánh giá định kỳ và công bố các báo cáo việc chia sẻ, trao đổi thông tin giữa các quốc gia trong khu vực và hàng năm về năng lực đảm bảo an toàn thông tin đối với các hệ thống trên thế giới. Đẩy mạnh hợp tác với các tổ chức quốc tế trong lĩnh thông tin của Chính phủ, hệ thống thông tin trọng yếu quốc gia. vực an toàn thông tin, phối hợp trao đổi, đào tạo chuyên gia trong 4. Phát triển nguồn lực về an toàn thông tin lĩnh vực kỹ thuật và quản lý an toàn thông tin. a) Huy động vốn đầu tư Tăng cường hợp tác giữa các tổ chức trong nước trong việc bảo vệ cơ sở hạ tầng thông tin quốc gia, thiết lập mạng lưới theo Việc huy động vốn đầu tư cho bảo đảm an toàn thông tin dõi và cảnh báo sớm, điều phối ngăn chặn các tấn công; được triển khai theo hướng: Bố trí kinh phí ngân sách đảm bảo an toàn thông tin từ cấp Trung ương đến cấp địa phương trong khu Phối hợp giữa các đơn vị tư vấn, chuyên gia an toàn thông tin vực nhà nước (ngân sách Trung ương bảo đảm an ninh cho hệ sẵn sàng ứng phó với những sự cố liên quan tới mất an toàn thông tin. thống thông tin quốc gia, ngân sách địa phương đảm bảo an toàn V. CÁC NHIỆM VỤ thông tin cho các cơ quan địa phương). 1. Xây dựng các thiết chế và hạ tầng kỹ thuật đảm bảo an Đối với việc bảo đảm an ninh thông tin cho các doanh toàn thông tin nghiệp, các tổ chức khác, sử dụng nguồn vốn tự có từ các doanh a) Năm 2010 xây dựng và ban hành chính sách và hệ thống nghiệp và huy động từ xã hội. tiêu chuẩn, quy trình an toàn thông tin làm căn cứ cho các cơ quan b) Đào tạo, bồi dưỡng nhân lực nhà nước và các doanh nghiệp có mạng nội bộ xây dựng quy chế an toàn thông tin của mình trong giai đoạn 2011 - 2015. Khuyến khích Xây dựng hệ thống tiêu chí kỹ năng cần thiết đối với các mọi thành phần kinh tế xã hội xây dựng và ban hành quy chế đảm chuyên gia an toàn thông tin; bảo an toàn thông tin tại đơn vị mình; Xây dựng chương trình và tổ chức đào tạo đội ngũ chuyên b) Thành lập Cục An toàn thông tin quốc gia có trách nhiệm gia trong lĩnh vực đảm bảo an toàn thông tin phù hợp với yêu cầu quản lý, điều phối và hướng dẫn cho các hoạt động đảm bảo an của giai đoạn cạnh tranh và hội nhập; toàn thông tin trên phạm vi cả nước. Thành lập các Nhóm ứng cứu Xây dựng và duy trì cơ chế thông báo tới người sử dụng về sự cố máy tính (CSIRT) tại các cơ quan đơn vị và liên kết các các nguy cơ gây mất an toàn thông tin mới phát sinh; CSIRT thành một mạng lưới trên toàn quốc nhằm ứng phó kịp thời Phát triển nguồn nhân lực đón đầu các thành tựu khoa học khi xảy ra các sự cố mất an toàn thông tin; công nghệ, có khả năng phát triển các giải pháp công nghệ tránh bị c) Xây dựng hạ tầng kỹ thuật bao gồm các hệ thống kiểm soát lệ thuộc vào nước ngoài. an toàn thông tin mạng, chống gửi và phát tán vi rút, thư rác và các 13 14
8. phần mền tạo lỗ hổng và gây hiểm họa an ninh máy tính, rà soát và c) Điều tra và bổ sung các dữ liệu về nhân lực chuyên sâu khắc phục điểm yếu, phát hiện tấn công và cảnh báo sớm và các trong lĩnh vực an toàn thông tin và tổ chức dự báo về thị trường lao phương án phản ứng ngăn chặn kịp thời khi có các hiểm họa gây động về an toàn thông tin; mất an toàn thông tin; d) Xây dựng đội ngũ nghiên cứu và phát triển các công nghệ d) Triển khai các hệ thống bảo vệ mạng Internet nhằm đảm và các giải pháp đảm bảo an toàn thông tin và có chính sách nâng bảo phục vụ nhu cầu học tập, cung cấp thông tin lành mạnh cho cao đội ngũ này cả về chất lượng và số lượng; người dân; ngăn chặn các thông tin độc hại; đ) Hàng năm tổ chức đánh giá mức độ an toàn của các sản đ) Khảo sát về hạ tầng thông tin trọng yếu quốc gia ở tất cả phẩm an toàn thông tin sử dụng; mức độ sẵn sàng của các hệ thống các tỉnh/thành phố trong khuôn khổ các dự án ứng dụng công nghệ đảm bảo an toàn thông tin trong các tổ chức công và doanh nghiệp; thông tin đang được triển khai trong năm 2010. Lập kế hoạch và lộ e) Đẩy mạnh hợp tác quốc tế và thu hút các dự án đầu tư trình triển khai áp dụng các quy chế và quy trình đảm bảo an toàn nước ngoài trên cơ sở chuyển giao công nghệ, từng bước thử thông tin cho các hệ thống này. nghiệm, nghiên cứu và triển khai, tiến tới làm chủ công nghệ và 2. Tuyên truyền nâng cao nhận thức và phát triển năng lực phát triển các sản phẩm an toàn thông tin đặc thù của Việt Nam. công nghệ về an toàn thông tin. 3. Triển khai các dự án và chương trình về an toàn thông tin a) Tổ chức các chương trình đào tạo phổ cập kiến thức và kỹ a) Nhanh chóng xây dựng và triển khai các dự án ưu tiên sử năng đảm bảo an toàn thông tin cho toàn xã hội. Sử dụng các dụng nguồn ngân sách đầu tư của nhà nước nhằm xây dựng các thiết phương tiện thông tin đại chúng, tổ chức các sự kiện, hội nghị, hội chế và cơ sở hạ tầng kỹ thuật đảm bảo an toàn thông tin quốc gia; thảo để tuyên truyền nâng cao nhận thức của người dân về an toàn thông tin; b) Các cơ quan nhà nước xây dựng các dự án đầu tư về hạ tầng kỹ thuật đảm bảo an toàn thông tin theo yêu cầu thực tế và b) Xây dựng và ban hành tiêu chuẩn kỹ năng và chương trình dành một phần kinh phí đầu tư trong các dự án ứng dụng công nghệ đào tạo cần thiết đối với các chuyên gia an toàn thông tin, có khả thông tin để trang bị các giải pháp bảo đảm an toàn thông tin; năng theo dõi, giám sát, phát hiện, cảnh báo sớm và phản ứng kịp thời với những hiểm họa đồng thời có các kỹ năng cần thiết để c) Xây dựng chương trình tuyên truyền nâng cao nhận thức về đánh giá và kiểm định chất lượng an toàn thông tin. Tổ chức đào an toàn thông tin và bố trí kinh phí hàng năm cho chương trình này; tạo, cấp chứng chỉ và phát triển đội ngũ các chuyên gia an toàn d) Chú trọng đến các đề án nghiên cứu phát triển sản phẩm, thông tin trong các cơ quan nhà nước, doanh nghiệp và đội ngũ công nghệ, giải pháp kỹ thuật và mô hình cung cấp dịch vụ trong kiểm định viên; Chương trình Kỹ thuật - Kinh tế về Công nghệ thông tin. 15 16
9. Điều 2. Tổ chức thực hiện: 3. Bộ Tài chính 1. Bộ Thông tin và Truyền thông a) Chủ trì, phối hợp với Bộ Kế hoạch và Đầu tư bố trí kinh a) Chủ trì, phối hợp với các Bộ, ngành liên quan, Ủy ban phí thường xuyên hàng năm để thực hiện Quy hoạch trong dự toán nhân dân các tỉnh, thành phố trực thuộc Trung ương và Hiệp hội ngân sách các Bộ, cơ quan Trung ương; An toàn thông tin Việt Nam tổ chức triển khai Quy hoạch; b) Phối hợp với Bộ Thông tin và Truyền thông trình cấp có b) Kiểm tra thường xuyên việc thực hiện Quy hoạch và định thẩm quyền xem xét, ban hành cơ chế, chính sách về tài chính cho kỳ tổng hợp kết quả, báo cáo Thủ tướng Chính phủ; việc thực hiện Quy hoạch. c) Căn cứ vào tình hình phát triển kinh tế của đất nước, trình 4. Bộ Công an Thủ tướng Chính phủ những nội dung cần cập nhật, điều chỉnh quy a) Chủ trì việc nghiên cứu bổ sung các điều luật về tội phạm hoạch cho phù hợp; trên mạng máy tính vào Bộ luật Hình sự và bổ sung nội dung Bộ luật Tố tụng hình sự phù hợp với đặc thù của công tác điều tra tội d) Xây dựng và ban hành chính sách và quy chuẩn kỹ thuật phạm trong môi trường mạng máy tính để trình Quốc hội; quốc gia về an toàn thông tin; xây dựng và trình cơ quan có thẩm quyền công bố tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin b) Chịu trách nhiệm quản lý, kiểm soát, phòng ngừa, phát theo quy định của pháp luật; hiện, ngăn chặn, đấu tranh chống âm mưu, hoạt động lợi dụng hệ thống thông tin gây phương hại đến an ninh quốc gia, trật tự an đ) Chủ trì, phối hợp với Bộ Công an thanh tra, kiểm tra và xử toàn xã hội và lợi ích của công dân; lý vi phạm đối với các tổ chức, cá nhân vi phạm quy định về đảm bảo an toàn thông tin. c) Thực hiện nhiệm vụ bảo vệ an toàn các công trình quan trọng về an ninh quốc gia trên lĩnh vực thông tin. 2. Bộ Kế hoạch và Đầu tư 5. Bộ Quốc phòng a) Chủ trì, phối hợp với Bộ Thông tin và Truyền thông, Bộ Tài chính cân đối tổng hợp các nguồn lực trong kế hoạch Nhà nước a) Thực hiện quản lý nhà nước về an toàn thông tin trong lĩnh 5 năm và hàng năm cho các dự án, chương trình và nhiệm vụ trong vực quốc phòng; Quy hoạch; b) Xây dựng, khai thác hiệu quả phòng thí nghiệm trọng điểm an toàn thông tin tại Bộ Quốc phòng b) Chủ trì, phối hợp với Bộ Tài chính bố trí dự toán chi đầu tư phát triển hàng năm để thực hiện các dự án an toàn thông tin 6. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy quốc gia. ban nhân dân các tỉnh, thành phố trực thuộc Trung ương 17 18
10. a) Căn cứ vào Quy hoạch này, bổ sung các nội dung về an toàn thông tin trong kế hoạch giai đoạn 2011 - 2015 và kế hoạch Phụ lục hàng năm về ứng dụng công nghệ thông tin; DANH MỤC CÁC DỰ ÁN ƯU TIÊN b) Xây dựng và ban hành quy chế đảm bảo an toàn cho các SỬ DỤNG NGÂN SÁCH NHÀ NƯỚC hệ thống thông tin của đơn vị mình quản lý; (Ban hành kèm theo Quyết định số 63/QĐ-TTg ngày 13 /01 /2010 c) Có luận chứng về an toàn thông tin và dự toán một phần của Thủ tướng Chính phủ) kinh phí thích đáng để trang bị các giải pháp kỹ thuật đảm bảo an Dự kiến Đơn vị Thời gian STT Tên dự án kinh phí toàn thông tin trong các dự án ứng dụng công nghệ thông tin của chủ trì thực hiện (tỷ đồng) đơn vị. 1 Xây dựng Trung tâm hệ thống Bộ Thông tin và 300 2010 - 2015 Điều 3. Quyết định này có hiệu lực thi hành kể từ ngày ký kỹ thuật an toàn mạng quốc gia Truyền thông ban hành. 2 Xây dựng Hệ thống đánh giá, Bộ Thông tin và 150 2010 - 2015 kiểm định an toàn thông tin Truyền thông Các Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quốc gia quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân tỉnh, thành phố 3 Xây dựng Hệ thống cảnh báo, Bộ Công an 100 2011 - 2015 trực thuộc Trung ương và Tổng giám đốc các doanh nghiệp nhà phát hiện và phòng chống tội nước chịu trách nhiệm thi hành Quyết định này. phạm trên mạng 4 Xây dựng Hệ thống xác thực, Ban Cơ yếu 100 2011 - 2015 THỦ TƯỚNG bảo mật cho các hệ thống Chính phủ thông tin chính phủ Nguyễn Tấn Dũng 5 Đào tạo chuyên gia an toàn Bộ Thông tin và 50 2010 - 2020 thông tin cho cơ quan Chính phủ Truyền thông và hệ thống thông tin trọng yếu quốc gia 6 Xây dựng hệ thống đảm bảo Bộ Công 65 2010 - 2015 an toàn thông tin số trong các Thương hoạt động giao dịch thương mại điện tử phục vụ ngành Công thương. Tổng cộng 765 19 20
11. (1) Bộ Bưu chính, Viễn thông , Bộ Công an và các cơ quan nhà nước CHỈ THỊ CỦA BỘ TRƯỞNG có thẩm quyền theo quy định của pháp luật. BỘ BƯU CHÍNH VIỄN THÔNG 2. Các cơ quan, tổ chức tham gia hoạt động trên mạng Internet phải: Số 03/2007/CT-BBCVT ngày 23/02/2007 a) Rà soát, kiểm tra, đánh giá các hệ thống thiết bị phục vụ V/v: Tăng cường đảm bảo an ninh thông tin trên mạng Internet việc lưu trữ, cung cấp và truyền tải thông tin; đánh giá hiện trạng các hệ thống bảo vệ và các biện pháp đảm bảo an ninh thông tin. Trong thời gian vừa qua, tình hình an ninh thông tin trên Ưu tiên sử dụng các kết nối trong nước, tên miền “.vn” để đảm bảo mạng Internet diễn biến phức tạp. Nhiều trang thông tin điện tử bị an toàn cho trang thông tin điện tử. tấn công, bị thay đổi nội dung. Không ít trang thông tin của Việt b) Xây dựng quy trình và quy chế đảm bảo an ninh thông tin Nam sử dụng tên miền quốc tế bị mất hoặc bị chuyển hướng, vi rút, cho các hệ thống thông tin, tham khảo các chuẩn quản lý an toàn thư rác phát tán mạnh. Một số mạng mang địa chỉ IP của Việt Nam TCVN 7562, ISO 27001. Đảm bảo khả năng truy vết và khôi phục do phát tán vi rút hay thư rác đã bị cấm kết nối quốc tế, cấm giao thông tin trong trường hợp có sự cố. dịch điện tử Theo khảo sát sơ bộ có tới 80% các trang tin điện tử c) Thường xuyên phối hợp với cơ quan hữu quan và các tổ còn nhiều sơ hở trong đảm bảo an ninh thông tin, nhiều hệ thống chức cung cấp dịch vụ an toàn mạng cập nhật các biện pháp đảm thông tin còn có khiếm khuyết chưa được cập nhật và quan tâm bảo an ninh thông tin mới nhất. đúng mức nên đã gây ra những sự cố đáng tiếc ảnh hưởng tới các 3. Các doanh nghiệp viễn thông và Internet tăng cường kiểm dịch vụ hành chính điện tử, thương mại điện tử và các hình thức tra, giám sát chặt chẽ các trang thiết bị thuộc quyền quản lý; không ứng dụng công nghệ thông tin khác. Nhận thức về nguy cơ mất an được lợi dụng hoặc để người khác lợi dụng gây mất trật tự an toàn ninh thông tin và thiệt hại khi xảy ra sự cố mạng của nhiều cơ xã hội; các hệ thống thiết bị, các phần mềm đưa vào sử dụng trên quan, tổ chức và doanh nghiệp còn nhiều hạn chế. mạng Internet tuân thủ theo quy định tại mục 2b. Để tăng cường đảm bảo an ninh thông tin trên mạng Internet, 4. Các doanh nghiệp cung cấp dịch vụ giá trị gia tăng trên hạn chế hậu quả xấu có thể xảy ra đối với các trang thông tin điện Internet (hosting, mail, FTP ) phải có các biện pháp đảm bảo an tử nhất là của các cơ quan nhà nước, tổ chức và doanh nghiệp trên ninh thông tin. toàn quốc, Bộ trưởng Bộ Bưu chính, Viễn thông yêu cầu các cơ quan, tổ chức và doanh nghiệp: 5. Các đơn vị, cá nhân cần thông báo sự cố và nguy cơ mất an toàn thông tin về các Sở Bưu chính, Viễn thông(2) ở địa phương và 1. Nghiêm chỉnh chấp hành pháp luật về bưu chính, viễn thông và Internet, Luật Công nghệ thông tin, Luật Giao dịch điện tử; có trách nhiệm đảm bảo an ninh thông tin trong hoạt động (1) Nay là Bộ Thông tin và Truyền thông Internet; thực hiện các yêu cầu về đảm bảo an ninh thông tin của (2) Nay là Sở Bộ Thông tin và Truyền thông 21 22
12. về Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) theo thẩm quyền được giao; hướng dẫn các doanh nghiệp viễn trực thuộc Bộ Bưu chính, Viễn thông. thông và Internet, các đại lý Internet trên địa bàn thực hiện nghiêm 6. Các tổ chức, doanh nghiệp tham gia hoạt động trên mạng chỉnh các quy định của pháp luật về Bưu chính, Viễn thông và Internet hoặc cung cấp dịch vụ an toàn an ninh mạng phải nghiêm Internet; đẩy mạnh công tác thanh tra, kiểm tra và xử lý kịp thời, túc thực hiện sự điều phối của Trung tâm VNCERT trong hoạt kiên quyết các vi phạm về an ninh thông tin; kiện toàn tổ chức, động ứng cứu sự cố mạng Internet ở Việt Nam, hợp tác với Trung nâng cao năng lực cán bộ đáp ứng yêu cầu thực hiện. tâm VNCERT trong việc kiểm tra đánh giá năng lực đảm bảo an Thủ trưởng các cơ quan, đơn vị trực thuộc Bộ, Sở Bưu chính toàn mạng trong đơn vị mình khi có dấu hiệu hay nguy cơ mất an Viễn thông, cơ quan, tổ chức tham gia hoạt động trên mạng toàn mạng. Internet có trách nhiệm tổ chức, triển khai thực hiện Chỉ thị này và 7. Các đơn vị trực thuộc Bộ Bưu chính, Viễn thông theo chức gửi báo cáo kết quả thực hiện về Bộ Bưu chính, Viễn thông (Trung năng và nhiệm vụ có trách nhiệm cử cán bộ có năng lực phối hợp tâm VNCERT) vào cuối Quý I/2007; trong quá trình thực hiện, nếu với VNCERT trong việc đấu tranh phòng chống tấn công trên có vướng mắc phát sinh, báo cáo Bộ Bưu chính, Viễn thông xem mạng; tiến hành huấn luyện nghiệp vụ, đào tạo cập nhật về an ninh xét giải quyết. thông tin cho các cơ quan, tổ chức và cá nhân có nhu cầu. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có trách nhiệm 8. Trung tâm VNCERT nhanh chóng triển khai hệ thống thu kiểm tra, đôn đốc việc thực hiện Chỉ thị này và báo cáo Bộ trưởng./. thập thông tin và tư vấn qua mạng Internet; chủ trì phối hợp với các cơ quan liên quan xây dựng và triển khai kế hoạch đào tạo bồi BỘ TRƯỞNG dưỡng nghiệp vụ an toàn thông tin đáp ứng nhu cầu thực tiễn của Đỗ Trung Tá các cơ quan, tổ chức và doanh nghiệp; tăng cường công tác tuyên truyền nâng cao nhận thức của cộng đồng về trách nhiệm đảm bảo an ninh thông tin trong các hoạt động viễn thông và Internet. 9. Trung tâm Internet Việt Nam (VNNIC) có trách nhiệm tăng cường quản lý tên miền quốc gia “.vn”, địa chỉ IP theo quy định; tăng cường bảo đảm an toàn an ninh cho hệ thống máy chủ tên miền quốc gia; phối hợp với các đơn vị chức năng cung cấp các thông tin về tên miền địa chỉ theo yêu cầu. 10. Các Sở Bưu chính, Viễn thông tăng cường công tác quản lý nhà nước về đảm bảo an ninh thông tin trong hoạt động Internet 23 24
13. - Phụ lục 4: Hướng dẫn thông báo sự cố và nguy cơ mất an toàn thông tin. VĂN BẢN CỦA BỘ BƯU CHÍNH, VIỄN THÔNG - Phụ lục 5: Mẫu Báo cáo nhanh về việc triển khai chỉ thị Số 781/BBCVT-VP ngày 17/4/2007 03/2007/CT-BBCVT. V/v Thông báo hướng dẫn nghiệp vụ triển khai Các văn bản hướng dẫn này hiện đang có tại địa chỉ Chỉ thị số 03/2007/CT-BBCVT website của Bộ Bưu chính, Viễn thông và báo Bưu điện. Đề nghị các đơn vị chủ động truy cập để Kính gửi: - Các Bộ, Ngành triển khai Chỉ thị. Trung tâm VNCERT là cơ quan trực tiếp theo - Các đơn vị thuộc Bộ Bưu chính, Viễn thông dõi, hỗ trợ và tổng hợp báo cáo. Đề nghị liên hệ: - Các Sở Bưu chính, Viễn thông - Các doanh nghiệp BCVT và Internet Phòng Nghiệp Vụ, Trung tâm VNCERT - Bộ Bưu chính - Các Tổng Công ty Viễn thông Địa chỉ: 18 Nguyễn Du, Hà Nội. Ngày 23 tháng 02 năm 2007, Bộ trưởng Bộ Bưu chính, Viễn Điện thoại: 04-9445510. E-mail: nghiepvu@vncert.vn thông đã có Chỉ thị số 03/2007/CT-BBCVT về việc Tăng cường TL. BỘ TRƯỞNG đảm bảo an ninh thông tin trên mạng Internet. Để triển khai thực CHÁNH VĂN PHÒNG hiện Chỉ thị này; Bộ Bưu chính, Viễn thông đã có các văn bản Nguyễn Khắc Lập hướng dẫn triển khai nghiệp vụ dành cho các cơ quan, tổ chức và doanh nghiệp như sau: - Hướng dẫn nghiệp vụ và báo cáo kết quả thực hiện Chỉ thị 03/2007/CT-BBCVT. - Phụ lục 1: Danh sách các biện pháp quản lý an toàn an ninh thông tin sơ cấp. - Phụ lục 2: Hướng dẫn rà soát các biện pháp quản lý an toàn an ninh thông tin sơ cấp. - Phụ lục 3: Hướng dẫn xây dựng quy chế và quy trình đảm bảo an toàn cho hệ thống thông tin. 25 26
14. quan, tổ chức và doanh nghiệp sử dụng Phụ lục 3 - Hướng dẫn xây dựng quy chế và quy trình đảm bảo an toàn cho hệ thống thông tin. HƯỚNG DẪN NGHIỆP VỤ VÀ BÁO CÁO KẾT 3. Về công tác thông báo sự cố và nguy cơ mất an toàn thông QUẢ THỰC HIỆN CHỈ THỊ SỐ 03/2007/CT-BBCVT tin (mục 5 Chỉ thị số 03/2007/CT-BBCVT), Trung tâm VNCERT (Theo văn bản số 781/BBCVT-VP ngày 17/4/2007 đề nghị các cơ quan, tổ chức và doanh nghiệp xem các hướng dẫn của Bộ Bưu chính, Viễn thông) của Phụ lục 4 - Hướng dẫn thông báo sự cố và nguy cơ mất an toàn thông tin. Ngày 23 tháng 02 năm 2007, Bộ Bưu chính, Viễn thông đã 4. Về kế hoạch triển khai Chỉ thị số 03/2007/CT-BBCVT của có Chỉ thị số 03/2007/CT-BBCVT về việc Tăng cường đảm bảo an Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam: ninh thông tin trên mạng Internet. Để tổ chức triển khai thực hiện a) Từ quý II năm 2007 đưa vào khai thác Website chính thức Chỉ thị này Bộ Bưu chính, Viễn thông hướng dẫn các cơ quan, tổ của Trung tâm VNCERT ở địa chỉ với chức và doanh nghiệp một số điểm trọng tâm như sau: các chức năng thu thập thông tin sự cố và tư vấn qua mạng công tác đánh giá hiện trạng các hệ thống bảo vệ và các 1. Về Internet; chuyên trang An toàn mạng Việt Nam ở địa chỉ biện pháp đảm bảo an toàn an ninh thông tin (mục 2a Chỉ thị số nhằm tăng cường công tác tuyên 03/2007/CT-BBCVT), đề nghị các cơ quan, tổ chức và doanh nghiệp: truyền nâng cao nhận thức của cộng đồng về trách nhiệm đảm bảo - Tiến hành rà soát và đánh giá tổng quan tình trạng; an ninh thông tin trong các hoạt động viễn thông và Internet. - Phát hiện và khắc phục các điểm yếu; b) Dự kiến kế hoạch đào tạo bồi dưỡng nghiệp vụ an toàn an - Thường xuyên theo dõi tình hình an toàn an ninh thông tin ninh thông tin đáp ứng nhu cầu thực tiễn của các cơ quan, tổ chức của các hệ thống. và doanh nghiệp như sau: Khuyến nghị các cơ quan, tổ chức và doanh nghiệp sử dụng - Lớp tập huấn triển khai Chỉ thị số 03/2007/CT-BBCVT Phụ lục 1 - Danh sách các biện pháp quản lý an toàn an ninh thông (01 ngày) dự kiến được tổ chức vào tháng 4/2007 tại Hà Nội và tin sơ cấp và Phụ lục 2 - Hướng dẫn rà soát các biện pháp quản lý TP. Hồ Chí Minh với mục tiêu truyền đạt phương pháp và các hướng an toàn an ninh thông tin sơ cấp để thực hiện việc rà soát và đánh dẫn cần thiết cho công tác phát triển Chỉ thị số 03/2007/CT-BBCVT. giá hiện trạng các hệ thống bảo vệ và các biện pháp đảm bảo an Tùy theo số lượng đơn vị đăng ký sẽ quyết định cụ thể thời gian và ninh thông tin. địa điểm tổ chức và thông báo sau. Đề nghị các cơ quan, tổ chức và doanh nghiệp đăng ký cụ thể trong Phụ lục 5 - Báo cáo về việc 2. Về công tác xây dựng quy trình và quy chế đảm bảo an triển khai Chỉ thị số 03/2007/CT-BBCVT cho VNCERT để có thể toàn an ninh thông tin cho các hệ thống thông tin (mục 2b Chỉ thị tham dự. Các cơ quan, tổ chức và doanh nghiệp có nhu cầu tổ chức số 03/2007/CT-BBCVT), Trung tâm VNCERT khuyến nghị các cơ 27 28
15. tập huấn tại đơn vị có thể liên hệ đăng ký trực tiếp với Trung tâm VNCERT. MẪU BÁO CÁO SỰ CỐ - Các lớp đào tạo an toàn an ninh thông tin mở rộng: an toàn an ninh thông tin dành cho lãnh đạo, các khóa kỹ thuật nghiệp Đơn vị: CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM vụ An toàn thông tin (ATTT), giới thiệu các hệ thống chuẩn ATTT Độc lập - Tự do - Hạnh phúc TCVN 7562 (ISO 17799) và ISO 27001. Các lớp này do Trung tâm Ngày tháng năm VNCERT phối hợp với các tổ chức và doanh nghiệp khác thực hiện. Thông tin chi tiết sẽ được thông báo từ tháng 4/2007 trên Website của VNCERT tại địa chỉ . Họ và tên * 5. Đề nghị các cơ quan, tổ chức và doanh nghiệp báo cáo . Cơ quan * ngay kế hoạch thực hiện Chỉ thị số 03/2007/CT-BBCVT đồng thời . E-mail * cung cấp các thông tin theo mẫu được hướng dẫn trong Phụ lục 5 - . Điện thoại * Báo cáo về việc triển khai Chỉ thị số 03/2007/CT-BBCVT gửi về cho Trung tâm Ứng dụng khẩn cấp Máy tính Việt Nam trước ngày Thông tin về sự cố 20/4/2007 để kịp thời tổng hợp báo cáo Bộ trưởng Bộ Bưu chính, . Mô tả sơ bộ về sự cố * Viễn thông. 6. Mọi thắc mắc về nội dung của Hướng dẫn xin liên hệ Phòng Nghiệp vụ - Trung tâm VNCERT. Điện thoại: 04-9445510. . Cách thức phát hiện * (Đánh dấu những cách thức được sử E-mail: nghiepvu@vncert.vn. dụng để phát hiện sự cố) Qua hệ thống IDS Kiểm tra Log File Quản trị hệ thống Khác, đó là . Thời gian xảy ra sự cố *: / / / / (ngày/tháng/năm/ giờ/phút) (Ngày, Tháng điền đủ 2 chữ số, Năm điền đủ 4 chữ số, Giờ, Phút điền đủ 2 chữ số theo hệ 24 giờ) . Thời gian thực hiện báo cáo sự cố *: / / / / (ngày/tháng/năm/giờ/phút) 29 30
16. Thông tin v 31 . . . . . M mi Các tên không c (Ch Các Các d H đượ ệ ụ D FTP server server FTP server Web c đ ỉ ề c s li đị i đ h ị ề ch v ị a ch ích chính s chính ích àh* eso u hành * Version * ch v ệ ử ệ ầ t kê các kê t d th n li ụ ụ ỉ ề IPc ố khác, ng trên h ụ n c ệ ng x có trên h trên có t kêcáct ủ ủ a h ả a h ử đị đ y ra s d ệ ó là a ch ệ th ụ ệ Poysre server Proxy Mail server th th ng h ng đị ố ệ a ch ố ự ng (*) (*) ng ố th ỉ ng (*) IP ng) c ệ th ố ố ỉ IP n ng ố Ng đượ ng * ( ườ Đ ộ c s i b ánh d i báo cáos ử ộ ) d Database server server Database Application server server Application ụ ấ ng trên Internet, Internet, ng trên u nh ự ữ ng d ng c ố ị ch v ụ 32 Phụ lục 1 DANH SÁCH CÁC BIỆN PHÁP QUẢN LÝ AN TOÀN AN NINH THÔNG TIN SƠ CẤP Các bi ện pháp quản lý kỹ thuật Bi ện pháp STT Mã số Nội dung Mô tả thêm quản lý 1 TX-002 Quản lý tài Tổ chức quản lý các tài khoản của hệ thống Quản lý tài khoản bao gồm nhận dạng các loại khoản thông tin, bao gồm: tạo mới, kích hoạt, sửa tài khoản (tức là cá nhân, nhóm và hệ thống), đổi, xem xét, vô hiệu hóa và loại bỏ các tài xây dựng các tiêu chí thành viên của nhóm, và khoản. Tổ chức xem xét các tài khoản của hệ quá trình cấp phép liên quan. Tổ chức nhận thống thông tin ít nhất 1 lần/1 năm. dạng những người sử dụng được phép của hệ Tổ chức triển khai các thiết bị tự động để hỗ thống thông tin và chỉ định các quyền, đặc trợ việc quản lý các tài khoản của hệ thống quyền truy nhập. Tổ chức cho phép và giám thông tin. sát việc sử dụng của các tài khoản khách/tài khoản nặc danh và loại bỏ/vô hiệu hóa/quản lý các tài khoản không cần thiết. 2 TX-003 Áp đặt điều Tổ chức áp đặt điều khiển truy xuất theo đúng Các quy chế điều khiển truy xuất và các khiển truy nội dung của quy chế điều khiển truy xuất đã phương thức áp đặt truy xuất bắt buộc khác xuất ban hành. được tổ chức triển khai để điều khiển truy nhập giữa những người dùng (hoặc các tiến trình/chương hoạt động đại diện cho người dùng) và các đối tượng (ví dụ các thiết bị, file, bản ghi, tiến trình, chương trình, ) trong hệ thống thông tin.
17. 33 3 TX-007 Gi ới hạn số Hệ thống thông tin giới hạn một số hữu hạn Quá trình tự động khóa/cô lập tài khoản trong lần đăng lần đăng nhập sai liên tiếp. Hệ thống tự động một khoảng thời gian là tạm thời và sẽ tự động nhập sai khóa tài khoản/cô lập tài khoản trong một mở ra sau một thời hạn được định trước bởi tổ khoảng thời gian nhất định trước khi tiếp tục chức. cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định. 4 TX-017 Truy nhập Tổ chức lập tài liệu, theo dõi, và kiểm soát tất Tổ chức hạn chế sự truy nhập thông qua từ xa cả các phương pháp truy nhập từ xa (chẳng những kết nối quay số (giới hạn truy nhập quay hạn, quay số, Internet) tới hệ thống thông tin số dựa trên số điện thoại nguồn yêu cầu) hay bao gồm cả sự truy nhập từ xa cho những có biện pháp ngăn chặn những kết nối từ xa chức năng đặc quyền. Cần có quá trình kiểm không được phép (sử dụng công nghệ mạng tra, cho phép ứng với mỗi phương pháp truy riêng ảo - VPN). nhập từ xa và chỉ cho phép những người thật sự cần thiết truy nhập từ xa vào hệ thống. Tổ chức triển khai những cơ chế tự động để hỗ trợ cho việc giám sát và điều khiển những phương pháp truy nhập từ xa. Sử dụng mã hóa để bảo vệ tính bí mật của những phiên truy nhập từ xa. Tổ chức kiểm soát tất cả các sự truy nhập từ xa thông qua một điểm điều khiển truy nhập duy nhất. 5 TX-018 Hạn chế truy Tổ chức: (i) thiết lập phương pháp hạn chế nhập thông truy cập mạng không dây; và (ii) lập tài liệu, qua mạng giám sát, và điều khiển truy nhập không dây không dây tới hệ thống thông tin. Tổ chức sử dụng sự chứng thực và mã hóa để bảo vệ truy nhập không dây tới hệ thống thông tin. 34 6 SK-002 Ghi nhận sự Hệ thống thông tin ghi nhận ít nhất các sự Tổ chức tự định nghĩa thêm các sự kiện nên kiện kiện sau: ghi nhận tuỳ theo nhu cầu. - Quá trình đăng nhập hệ thống. - Các thao tác cấu hình hệ thống. - Quá trình truy xuất hệ thống. 7 SK-003 Nội dung Hệ thống thông tin cần ghi nhận đầy đủ các Nội dung bản ghi nhật ký bao gồm: của các bản thông tin trong các bản ghi nhật ký để xác Ngày, giờ của sự kiện ghi nhật ký định những sự kiện nào đã xảy ra, nguồn gốc Thành phần của hệ thống thông tin và các kết quả của sự kiện. (ví dụ các phần mềm, phần cứng nơi sự kiện xảy ra) Kiểu sự kiện Nhận dạng vấn đề Kết quả của sự kiện 8 SK-009 Bảo vệ các Hệ thống thông tin có cơ chế bảo vệ và lưu thông tin giữ nhật ký trong một khoảng thời gian nhất nhật ký định. 9 XT-002 Xác thực và Hệ thống thông tin xác thực định danh người Xác t hực định danh người dùng được thực hiện định danh dùng (hoặc tiến trình hoạt động thay cho qua việc sử dụng mật khẩu, token, sinh trắc người dùng người dùng) học hoặc xác thực đa yếu tố, một số trường hợp là tổ hợp của các yếu tố trên. Có thể hiện thực thêm các cơ chế xác thực và định danh mức ứng dụng để cung cấp thêm tính an toàn trong xác thực.
18. 35 10 XT-004 Quản lý Tổ chức quản lý định danh người dùng bằng: định danh (i) định danh duy nhất cho mỗi người dùng; (ii) kiểm tra danh tính cho mỗi người dùng; (iii) chứng thực người dùng; (iv) đảm bảo định danh người dùng được cung cấp cho đúng đối tượng; (v) đình chỉ các định danh người dùng không hoạt động sau một khoảng thời gian (vi) lưu trữ định danh người dùng 11 BV-5 Hạn chế tấn Hệ thống thông tin ngăn chặn hoặc hạn chế Những công nghệ hiện tại cho phép hạn chế, công từ sự ảnh hưởng của những kiểu tấn công từ hoặc trong một số trường hợp loại trừ được sự chối dịch vụ chối dịch vụ ảnh hưởng của tấn công từ chối dịch vụ. Ví dụ, các thiết bị đặt tại biên của mạng có thể lọc gói tin để bảo vệ các thiết bị bên trong của tổ chức, tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ. Hệ thống thông tin cho phép truy nhập công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng. Các biện pháp quản lý vận hành STT Mã số Bi ện pháp Mô tả Hướng dẫn thêm quản lý 12 DT-2 Nâng cao ý Tổ chức bảo đảm tất cả những người sử dụng Tổ chức xác định nội dung thích hợp của việc thức an (bao gồm cả những người quản lý và cán bộ đào tạo ý thức bảo mật dựa trên các yêu cầu toàn thông cấp cao) nắm rõ các kiến thức cơ bản về bảo riêng biệt của tổ chức và các hệ thống thông tin mật hệ thống thông tin trước khi cho phép tin mà nhân sự ở đó được phép truy nhập. truy nhập và sử dụng hệ thống. 36 13 DT-3 Đào tạo Tổ chức xác định nhân sự với những vai trò Tổ chức xác định nội dung của việc đào tạo về nhân sự quan trọng về an toàn hệ thống thông tin và bảo mật thích hợp dựa vào những yêu cầu những trách nhiệm, lập tài liệu những vai trò riêng biệt của những tổ chức và đặc điểm của và trách nhiệm đó, và tiến hành đào tạo đầy hệ thống thông tin mà các nhân sự này tác đủ trước khi tiến hành các hoạt động quản lý nghiệp. hay kỹ thuật nghiệp vụ. 14 DT-005 Cập nhật từ Duy trì liên lạc, tham gia các hội thảo và tích cộng đồng cực tham gia với các nhóm tổ chức bảo mật, bảo mật các forums hoặc các hiệp hội để nắm bắt tình hình diễn biến và cập nhật các công nghệ an toàn thông tin mới nhất. 15 CH-002 Cấu hình Tổ chức phát triển, lập tài liệu và duy trì một Các thành phần của hệ thống thông tin sau khi chuẩn cấu hình chuẩn của hệ thống. cài đặt cần được cấu hình chặt chẽ. Cấu hình Tổ chức cập nhật cấu hình chuẩn cho các chuẩn là một cách tốt nhất để quản lý cấu hình thành phần của hệ thống khi tiến hành cài cho các hệ thống, cầu hình chuẩn cũng hỗ trợ đặt. quá trình rà soát tính an toàn của các hệ thống. 16 CH-006 Thiết lập Tổ chức thiết lập cấu hình chặt chẽ nhất cho cấu hình các sản phẩm an toàn thông tin nhưng vẫn duy trì yêu cầu hoạt động của hệ thống thông tin. 17 CH- 007 Cung cấp Tổ chức cấu hình hệ thống thông tin chỉ cung Các hệ thống thông tin có khả năng cung cấp quyền thấp cấp những chức năng thiết yếu nhất và rất nhiều các chức năng và dịch vụ. Một trong nhất cấm/hạn chế những sử dụng chức năng, số chúng được cung cấp mặc định, có thể cổng giao tiếp mạng, giao thức, và dịch vụ không cần thiết để hỗ trợ các hoạt động không cần thiết thiết yếu của tổ chức. Các chức năng và dịch vụ cung cấp bởi hệ thống thông tin phải được xem xét cẩn thận để xác định những chức
19. 37 năng, dịch vụ nào sẽ giới hạn.( Ví dụ Voi ce Over Internet Protocol, Instant Messaging, File Transfer Protocol, Hyper Text Transfer Protocol, file sharing). Vi ệc giới hạn chức năng và dịch vụ sẽ làm giảm đáng kể khả năng bị tấn công của hệ thống thông tin. 18 LT-002 Kế hoạch Tổ chức phát triển và thực thi một kế hoạch cho trường cho trường hợp khẩn cấp, chỉ định rõ các vai hợp khẩn trò, trách nhiệm, các cá nhân đã được phân cấp công phụ trách bao gồm thông tin liên lạc, các hoạt động liên quan cùng với việc phục hồi hệ thống thông tin sau khi có sự cố làm hư hại. Rà soát kế hoạch và phân phát các bản kế hoạch đến cá nhân có vai trò then chốt. Kế hoạch cho trường hợp khẩn cấp cần có sự tương tác, tham khảo thích hợp với các kế hoạch khác có liên quan như: kế hoạch vận hành liên tục, kế hoạch khôi phục sau thảm họa, kế hoạch ứng cứu sự cố. 19 LT-009 Sao lưu hệ Tổ chức hướng dẫn sao lưu thông tin ở mức Tần xuất sao lưu hệ thống thông tin và tỷ lệ thống người dùng và mức hệ thống (bao gồm trạng truyền thông tin sao lưu đến chỗ lưu trữ là thái hệ thống thông tin) và lưu trữ thông tin nhất quán với mục tiêu về thời gian và thời sao lưu tại nơi an toàn. điểm khôi phục của tổ chức. Tổ chức kiểm tra thông tin sao lưu để đảm bảo tính sẵn sàng và toàn vẹn thông tin. 38 20 LT-010 Khôi phục Tổ chức đảm bảo việc sử dụng các phương Đảm bảo khôi phục hệ thống và tiếp tục vận hệ thống tiện và quy trình hỗ trợ khôi phục hệ thống và hành có nghĩa là tất cả các tham số được đặt tiếp tục vận hành sau khi bị gián đoạn hay lại, các bản vá được cài lại, cài đặt các cấu hỏng. hình và các tài liệu hệ thống và các thủ tục thao tác là có sẵn, các phần mềm hệ thống và các ứng dụng được cài lại, thông tin gần nhất được phục hồi, và hệ thống được kiểm tra đầy đủ. 21 SC-002 Đào tạo Tổ chức đào tạo cá nhân có vai trò và trách phản ứng nhiệm ứng cứu sự cố thường xuyên và định sự cố kỳ. 22 SC-003 Thử nghiệm Tổ chức thường xuyên kiểm tra năng lực phản năng lực ứng đối với sự cố của hệ thống thông tin. phản ứng sự cố 23 SC-4 Xử lý sự cố Tổ chức chuẩn bị khả năng xử lý sự cố bảo Tổ chức cập nhật các kiến thức, bài học có mật. Khả năng này bao gồm các công việc: được từ những hoạt động xử lý sự cố đang diễn chuẩn bị, phát hiện và phân tích, ngăn chặn, ra vào quy trình phản ứng sự cố. loại bỏ và phục hồi sau sự cố Tổ chức chuẩn bị khả năng sử dụng các công cụ hỗ trợ quá trình xử lý sự cố.
20. 39 24 SC-005 Giám sát sự Tổ chức theo dõi và ghi lại chính xác các sự cố cố bảo mật đối với hệ thống thông tin. 25 SC-006 Báo cáo sự Tổ chức nhanh chóng báo cáo sự cố đến cơ Các l oại sự cố được báo cáo, nội dung và thời cố quan có thẩm quyền. điểm báo cáo phải phù hợp với chức năng, Tổ chức sử dụng các cơ chế tự động hỗ trợ nhiệm vụ của cơ quan tiếp nhận báo cáo. việc báo cáo sự cố. Việc báo cáo sự cố phải tuân theo nguyên tắc từ thấp đến cao. Trong trường hợp khẩn cấp có thể báo cáo trực tiếp cho Trung tâm VNCERT. Theo dõi các hướng dẫn báo cáo sự cố ở địa chỉ 26 CN-004 Nhân sự Đối với nhân viên đã chấm dứt hợp đồng, tổ nghỉ việc chức cần hủy quyền truy nhập hệ thống thông tin, đảm bảo việc thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin (Ví dụ: khóa, thẻ nhận dạng, ) và đảm bảo khả năng vẫn truy nhập được vào các hồ sơ được tạo ra bởi nhân viên đó 27 TV-002 Khắc phục Tổ chức xác định, báo cáo và khắc phục các Tổ chức xác định các hệ thống thông tin có điểm yếu lỗ hổng bảo mật của hệ thống thông tin phần mềm bản quyền hoặc phần mềm nguồn mở bị ảnh hưởng bởi những lỗi bảo mật mới được thông báo (và những lỗi hệ quả). Tổ chức ngay lập tức cài đặt các bản vá lỗi để tránh việc hệ thống bị tấn công. Những lổ hổng được phát hiện trong quá trình rà soát, theo dõi hoặc hoạt động báo cáo sự cố cần phải được xác định và xử lý nhanh chóng. 40 28 TV-003 Chống mã Hệ thống thông tin triển khai chống các mã Tổ chức triển khai cơ chế chống virus cho độc hại độc hại (virus, worm, ) có khả năng tự những hệ thống xung yếu (vd như firewall, mail động cập nhật. server, ) và tại các máy trạm, máy chủ, các Tổ chức sử dụng cơ chế quản lý chống mã thiết bị di động trong mạng. Tổ chức sử dụng độc hại tập trung. cơ chế chống virus để phát hiện và loại trừ những đoạn mã độc hại (virus, trojan, worms) được truyền tải bởi: (i) thư điện tử, file đính kèm, từ Internet, thiết bị lưu trữ tháo lắp (ii) khai thác lỗ hổng của hệ thống thông tin. Tổ chức cập nhật cơ chế chống virus thường xuyên sao cho phù hợp với quy trình và chính sách quản lý cấu hình hệ thống thông tin của tổ chức. Cân nhắc việc sử dụng phần mềm chống virus từ nhiều hãng phân phối khác nhau (vd, sử dụng một hãng cho máy chủ và hãng khác cho máy trạm) 29 TV-005 Cập nhật Tổ chức thường xuyên nhận các thông tin cảnh báo cảnh báo an ninh hệ thống, và thông báo rộng rãi đến các cá nhân trong tổ chức và tổ chức những hoạt động phản ứng hợp lý. 30 TV-008 Chống thư Hệ thống thông tin thực hiện việc chống thư Tổ chức triển khai các cơ chế chống thư rác và rác và phần rác và phần mềm gián điệp. phần mềm gián điệp cho những hệ thống xung mềm gián Tổ chức quản lý tập trung cơ chế chống thư yếu (vd như firewall, mail server, ) và máy điệp/ quảng rác và phần mềm gián điệp. trạm, máy chủ, các thiết bị di động trong cáo mạng. Tổ chức sử dụng cơ chế chống thư rác và phần mềm gián điệp để phát hiện và thực hiện
21. 41 những hoạt động thích hợp đối với những thông điệp vô nghĩa và phần mềm quảng cáo/gián điệp được truyền tải bởi email, file đính kèm, thiết bị lưu trữ di động, Cân nhắc việc sử dụng phần mềm chống thư rác, chống phần mềm gián điệp từ nhiều hãng phân phối khác nhau (vd, một hãng cho máy chủ và hãng khác cho máy trạm). 31 KH-002 Kế hoạch Tổ chức phát triển và triển khai một kế hoạch bảo vệ hệ bảo mật cho hệ thống thông tin. Kế hoạch thống này cung cấp một cái nhìn tổng quan về những yêu cầu bảo mật đặt ra cho hệ thống và mô tả các biện pháp quản lý cần phải có. Những người được chỉ định bên trong tổ chức sẽ xem xét lại và thông qua kế hoạch này. Các biện pháp quản lý chung ST Mã số Bi ện pháp Mô tả Hướng dẫn thêm T quản lý 32 RR-003 Đánh giá Tổ chức thực hiện việc đánh giá các rủi ro và Đánh giá rủi ro bao gồm xem xét các điểm rủi ro mức độ nghiêm trọng các rủi ro đó. Các rủi yếu, các nguồn đe dọa, các biện pháp quản lý ro đó có thể xảy ra do sự truy cập trái phép, nhằm xác định mức độ các rủi ro còn lại đối sử dụng trái phép, mất, thay đổi hoặc phá với hoạt động, tài sản, nhân viên của tổ chức. hủy thông tin và hệ thống thông tin có liên quan tới hoạt động và tài sản của tổ chức. 42 33 RR-005 Quét điểm Sử dụng những công cụ và công nghệ thích Tổ chức đào tạo sử dụng và bảo trì các công yếu hợp để quét các điểm yếu. Tổ chức thực hiện cụ và kỹ thuật quét điểm yếu. Thông tin nhận việc quét các điểm yếu trong hệ thống thông được từ quá trình quét điểm yếu được chia sẻ tin định kỳ hoặc khi các điểm yếu mới ảnh với các cá nhân khác trong tổ chức nhằm mục hưởng tới hệ thống được xác định và báo cáo. đích loại bỏ các điểm yếu tương tự trên các hệ thống khác. 34 HT-002 Phân bổ Tổ chức xác định, hướng dẫn và phân bổ đầu Tổ chức chỉ định rõ các yêu cầu bảo vệ hệ đầu tư tư cần thiết để bảo vệ hệ thống thông tin một thống thông tin trong kế hoạch hoạt động. Bảo cách hợp lý mật phải là một phần trong các chương trình đầu tư của tổ chức. 35 HT-007 Phần mềm Tổ chức áp đặt những luật quy định việc tải Nếu được cấp những quyền cần thiết, người tự cài đặt và cài đặt phần mềm bởi người sử dụng cuối. dùng sẽ có khả năng tải về và cài đặt các phần mềm. Tổ chức xác định rõ các loại phần mềm người dùng được tải về và cài đặt. Ghi chú: *) Các biện pháp quản lý về quy chế và quy trình an toàn thông tin đã được tách riêng ra khỏi danh sách này. *) Mã số: Dùng chung cho các phần văn bản về sau.
22. 43 Phụ lục 2 HƯỚNG DẪN RÀ SOÁT CÁC BIỆN PHÁP QUẢN LÝ AN TOÀN AN NINH THÔNG TIN SƠ CẤP Các biện pháp quản lý kỹ thuật Biện pháp STT Mã số Nội dung Hướng dẫn rà soát quản lý 1 TX-002 Quản lý tài Tổ chức quản lý các tài khoản TX-002.1 Kiểm tra hoạt động thiết lập, khoản của hệ thống thông tin, gồm tạo kích hoạt, điều chỉnh, đánh giá, vô hiệu mới, kích hoạt, sửa đổi, xem xét, hóa, và loại bỏ những tài khoản của hệ vô hiệu hóa và loại bỏ các tài thống thông tin của tổ chức theo đúng nội khoản. Tổ chức xem xét các tài dung trong quy trình quản lý tài khoản. khoản của hệ thống thông tin ít TX-002.2 Kiểm tra hoạt động định kỳ đánh nhất 1 lần/1 năm giá lại hệ thống tài khoản của hệ thống Tổ chức triển khai các thiết bị tự thông tin và các hoạt động điều chỉnh hệ động để hỗ trợ việc quản lý các thống tài khoản dựa trên kết quả đánh giá tài khoản của hệ thống thông tin. trên của tổ chức. 2 TX-003 Áp đặt điều Tổ chức áp đặt điều khiển truy TX-003.1 Kiểm tra mọi quá trình truy xuất khiển truy xuất xuất theo đúng nội dung của quy vào hệ thống của người dùng đều phải chế điều khiển truy xuất đã ban được cấp phép. hành. TX-003.2 Kiểm tra các cơ chế điều khiển truy xuất (router, firewall, ) đã được cấu hình để thực hiện đầy đủ, đúng quy trình áp đặt truy xuất mô tả trong chính sách điều khiển truy nhập của tổ chức. 44 3 TX-007 Giới hạn số Hệ thống thông tin giới hạn một TX-007.1 Kiểm tra trên các hệ thống các lần đăng số hữu hạn lần đăng nhập sai yếu tố sau: (i) giới hạn số lần đăng nhập nhập sai liên tiếp. Hệ thống tự động khóa sai tối đa trong một khoảng thời gian; (ii) tài khoản/cô lập tài khoản trong giới hạn số lần đăng nhập sai liên tiếp của một khoảng thời gian nhất định một người dùng trong một khoảng thời trước khi tiếp tục cho đăng nhập gian; và (iii) tự động khoá tài khoản một nếu liên tục đăng nhập sai vượt thời gian xác định trước khi cho đăng nhập quá số lần quy định. tiếp tục nếu có hiện tượng đăng nhập vi phạm các mục (i) và (ii). TX-007.2 Kiểm tra cấu hình hiện thực của các thành phần của hệ thống về đặc điểm giới hạn số lần đăng nhập sai đăng nhập vi phạm các mục (i) và (ii) của yếu tố rà soát TX-007.1 4 TX-017 Truy nhập từ Tổ chức lập tài liệu, theo dõi, và TX-017.1 Kiểm tra sự truy nhập từ xa trên xa kiểm soát tất cả các phương các hệ thống: (i) được theo dõi định kỳ pháp truy nhập từ xa (chẳng theo chính sách của tổ chức; (ii) hạn chế hạn, quay số, Internet) tới hệ những kết nối thông qua gọi quay số hay thống thông tin bao gồm cả sự bảo vệ chống lại những kết nối không hợp truy nhập từ xa cho những chức pháp; (iii) cấp phép và hạn chế tối đa cho năng đặc quyền. Cần có quá những người dùng cần cho truy nhập từ xa trình kiểm tra, cho phép ứng với để vận hành hệ thống; và (iv) chỉ sử dụng mỗi phương pháp truy nhập từ biện pháp truy nhập từ xa khi thật sự cần xa và chỉ cho phép những người thiết. thật sự cần thiết truy nhập từ xa vào hệ thống.
23. 45 Tổ chức triển khai những cơ chế tự động để hỗ trợ cho việc giám sát và điều khiển những phương pháp truy nhập từ xa. Sử dụng mã hóa để bảo vệ tính bí mật của những phiên truy nhập từ xa. Tổ chức kiểm soát tất cả sự truy nhập từ xa thông qua một điểm điều khiển truy nhập duy nhất. 5 TX-018 Hạn chế truy Tổ chức: (i) thiết lập phương TX-018.1 Kiểm tra tổ chức: (i) thiết lập nhập thông pháp hạn chế truy cập mạng phương pháp hạn chế truy cập mạng qua mạng không dây; và (ii) lập tài liệu, không dây; và (ii) lập tài liệu, giám sát, và không dây giám sát, và điều khiển truy nhập điều khiển truy nhập không dây tới hệ không dây tới hệ thống thông tin. thống thông tin; và (iii) cấp phép việc sử Tổ chức sử dụng sự chứng thực dụng công nghệ không dây bên trong tổ và mã hóa để bảo vệ truy nhập chức. không dây tới hệ thống thông tin. 6 SK-002 Ghi nhận sự Hệ thống thông tin ghi nhận ít SK-002.1 Kiểm tra cấu hình hệ thống để kiện nhất các sự kiện sau: xác định hệ thống sinh ra các bản ghi nhật - Quá trình đăng nhập hệ thống. ký cho các sự kiện mà tổ chức muốn ghi - Các thao tác cấu hình hệ nhận. thống. - Quá trình truy xuất hệ thống. 46 7 SK-003 Nội dung của Hệ thống thông tin cần ghi nhận SK-003.1 Kiểm tra các bản ghi nhật ký có các bản ghi đầy đủ các thông tin trong các ghi nhận đầy đủ các thông tin trong các nhật ký bản ghi nhật ký để xác định bản ghi nhật ký để xác định những sự kiện những sự kiện nào đã xảy ra, nào đã xảy ra, nguồn gốc và các kết quả nguồn gốc và các kết quả của của sự kiện. sự kiện. 8 SK-009 Bảo vệ các Hệ thống thông tin có cơ chế SK-009.1 Kiểm tra cấu hình để xác định thông tin bảo vệ và lưu giữ nhật ký trong hệ thống thông tin có cơ chế bảo vệ và lưu nhật ký một khoảng thời gian nhất định. giữ nhật ký trong một khoảng thời gian nhất định. 9 XT-002 Xác thực và Hệ thống thông tin xác thực định XT-001.1 Kiểm tra cấu hình hệ thống định danh danh người dùng (hoặc tiến thông tin để xác định tính duy nhất của người dùng trình hoạt động thay cho người định danh và quá trình xác thực người dùng) dùng được thực hiện qua việc sử dụng mật khẩu,thẻ nhận dạng, 10 XT-004 Quản lý định Tổ chức quản lý định danh XT-004.1 Kiểm tra tổ chức có quản lý danh người dùng bằng: (i) định danh định danh người dùng bằng: (i) định danh duy nhất cho mỗi người dùng; duy nhất cho mỗi người dùng; (ii) kiểm tra (ii) kiểm tra danh tính cho mỗi danh tính cho mỗi người dùng; (iii) chứng người dùng; (iii) chứng thực thực người dùng; (iv) đảm bảo định danh người dùng; (iv) đảm bảo định người dùng được cung cấp cho đúng đối danh người dùng được cung tượng; (v) đình chỉ các định danh người cấp cho đúng đối tượng; (v) đình dùng không hoạt động sau một khoảng chỉ các định danh người dùng thời gian (vi) lưu trữ định danh người dùng không hoạt động sau một khoảng thời gian (vi) lưu trữ định danh người dùng
24. 47 11 BV-005 Hạn chế tấn Hệ thống thông tin ngăn chặn BV-001.1 Kiểm tra khả năng hệ thống công từ chối hoặc hạn chế sự ảnh hưởng của thông tin ngăn chặn hoặc hạn chế sự ảnh dịch vụ những kiểu tấn công từ chối dịch hưởng của những kiểu tấn công từ chối vụ dịch vụ. Các biện pháp quản lý vận hành Biện pháp STT Mã số Nội dung Hướng dẫn rà soát quản lý 12 DT-002 Nâng cao ý Tổ chức bảo đảm tất cả những DT-002.1 Kiểm tra tổ chức để xác định thức an toàn người sử dụng (bao gồm cả nếu : (i) các hướng dẫn nâng cao nhận thông tin những người quản lý và cán bộ thức về an toàn thông tin được cung cấp cấp cao) nắm rõ các kiến thức tới tất cả các người dùng; (ii) ngày tháng, cơ bản về bảo mật hệ thống nội dung và đối tượng của các chương thông tin trước khi cho phép truy trình nâng cao nhận thức đã được tiến nhập và sử dụng hệ thống. hành; 13 DT-003 Đào tạo nhân Tổ chức xác định nhân sự với DT-002.1 Kiểm tra tổ chức xác định nội sự những vai trò quan trọng về an dung của việc đào tạo về bảo mật thích toàn hệ thống thông tin và hợp với những yêu cầu riêng biệt của những trách nhiệm, lập tài liệu những tổ chức và đặc điểm của hệ thống những vai trò và trách nhiệm đó, thông tin mà các nhân sự này tác nghiệp. và tiến hành đào tạo đầy đủ trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ. 48 14 DT-005 Cập nhật Duy trì liên lạc, tham gia các hội DT-005.1 Kiểm tra tổ chức duy trì liên lạc, từ cộng thảo và tích cực tham gia với tham gia các hội thảo và tích cực tham gia đồng bảo các nhóm tổ chức bảo mật, các với các nhóm tổ chức bảo mật, các diễn mật diễn đàn hoặc các hiệp hội để đàn hoặc các hiệp hội để nắm bắt tình nắm bắt tình hình diễn biến và hình diễn biến và cập nhật các công nghệ cập nhật các công nghệ an toàn an toàn thông tin mới nhất. thông tin mới nhất. 15 CH-002 Cấu hình Tổ chức phát triển, lập tài liệu CH-002.1 Kiểm tra tổ chức phát triển, lập chuẩn và duy trì một cấu hình chuẩn tài liệu và duy trì một cấu hình chuẩn của của hệ thống. hệ thống. Tổ chức cập nhật cấu hình CH-002.1 Kiểm tra tổ chức có phát triển chuẩn cho các thành phần của và duy trì một cơ sở dữ liệu về các phần hệ thống khi tiến hành cài đặt. cứng, phần mềm, và thành phần cơ sở tạo nên hệ thống thông tin. 16 CH-006 Thiết lập Tổ chức thiết lập cấu hình chặt CH-006.1 Kiểm tra tổ chức có: (i) xây cấu hình chẽ nhất cho các sản phẩm an dựng các cấu hình chuẩn quan trọng cho toàn thông tin nhưng vẫn duy trì những thành phần của hệ thống; (ii) thiết yêu cầu hoạt động của hệ thống lập cấu hình chặt chẽ nhất cho các sản thông tin. phẩm an toàn thông tin nhưng vẫn duy trì yêu cầu hoạt động của hệ thống thông tin, (iii) lập tài liệu cấu hình cài đặt; và (iv) giám sát việc thiết lập cầu hình trong mọi thành phần của hệ thống.
25. 49 17 CH-007 Cung cấp Tổ chức cấu hình để hệ thống CH-007.1 Kiểm tra tổ chức cấu hình để hệ quyền thấp thông tin chỉ cung cấp chỉ những thống thông tin chỉ cung cấp chỉ những chức nhất chức năng thiết yếu nhất và năng thiết yếu nhất và cấm/hạn chế những cấm/hạn chế những sử dụng sử dụng chức năng, cổng giao tiếp mạng, chức năng, cổng giao tiếp mạng, giao thức, và dịch vụ không cần thiết. giao thức, và dịch vụ không cần CH-007.2 Thử nghiệm hệ thống để xác thiết định những chức năng, những cổng, những giao thức, và những dịch vụ bất hợp lệ đều đã bị cấm. 18 LT-002 Kế hoạch Tổ chức phát triển và thực thi LT-002.1 Kiểm tra tổ chức: (i) có kế hoạch cho trường một kế hoạch trong trường hợp cho trường hợp khẩn cấp; (ii) kế hoạch hợp khẩn khẩn cấp cho hệ thống thông tin, được lập tài liệu tài liệu; (iii) được phổ biến cấp chỉ định rõ các vai trò, trách cho các đối tượng cần thiết; (iv) được xem nhiệm, các cá nhân đã được xét và chấp nhận bởi những người chịu phân công phụ trách bao gồm trách nhiệm bên trong tổ chức. thông tin liên lạc, các hoạt động LT-002.2 Kiểm tra kế hoạch cho trường liên quan cùng với việc phục hồi hợp khẩn cấp xác định vai trò, trách nhiệm, hệ thống sau khi có sự cố làm thông tin liên hệ và các hoạt động cần thiết hư hại. Chỉ định rõ các phòng để khôi phục hệ thống. trong tổ chức xem lại, áp dụng kế hoạch sự cố và phân phát các bản kế hoạch đến cá nhân then chốt về sự cố. Kế hoạch cho trường hợp khẩn cấp cần có sự tương tác thích hợp với các kế hoạch khác có liên quan như: kế hoạch vận hành liên tục, kế hoạch khôi phục sau thảm họa, kế hoạch ứng cứu sự cố. 50 19 LT-009 Sao lưu hệ Tổ chức hướng dẫn sao lưu LT-009.1 Kiểm tra tổ chức xác định các thống thông tin ở mức người dùng và thông tin ở mức người dùng và mức hệ mức hệ thống (bao gồm trạng thống cần lưu trữ và xác định nơi lưu trữ thái hệ thống thông tin) và lưu thông tin sao lưu. trữ thông tin sao lưu tại nơi an LT-009.1 Kiểm tra ngẫu nhiên một bản dữ toàn. liệu sao lưu của hệ thống thông tin được Tổ chức kiểm tra thông tin sao chọn để xác định xem các yêu cầu lưu trữ lưu để đảm bảo tính sẵn sàng có được đáp ứng về tần suất và chất lượng và toàn vẹn thông tin. do tổ chức đề ra. 20 LT-010 Khôi phục hệ Tổ chức đảm bảo việc sử dụng LT-010.1 Kiểm tra tổ chức đảm bảo việc thống các phương tiện và quy trình hỗ sử dụng các phương tiện và quy trình hỗ trợ khôi phục hệ thống và tiếp trợ khôi phục hệ thống và tiếp tục vận hành tục vận hành sau khi bị gián sau khi bi gián đoạn hay hỏng hóc. đoạn hay hỏng hóc. 21 SC-002 Đào tạo phản Tổ chức đào tạo các cá nhân có SC-002.1 Kiểm tra tổ chức có xác định ứng sự cố vai trò và trách nhiệm ứng cứu các cá nhân với vai trò ứng cứu sự cố và sự cố thường xuyên và định kỳ. vai trò của các cá nhân này. SC-002.2 Kiểm tra tổ chức đào tạo các cá nhân có vai trò và trách nhiệm ứng cứu sự cố thường xuyên và định kỳ. 22 SC-003 Thử nghiệm Tổ chức thường xuyên kiểm tra SC-002.1 Kiểm tra tổ chức thường xuyên năng lực phản năng lực phản ứng đối với sự cố kiểm tra năng lực phản ứng đối với sự cố ứng sự cố của hệ thống thông tin. của hệ thống thông tin
26. 51 23 SC-004 Xử lý sự cố Tổ chức chuẩn bị khả năng xử lý SC-004.1 Kiểm tra tổ chức chuẩn bị khả sự cố bảo mật. Khả năng này bao năng xử lý sự cố bảo mật. Khả năng này gồm các công việc: chuẩn bị, phát bao gồm các công việc: chuẩn bị, phát hiện và phân tích, ngăn chặn, loại hiện và phân tích, ngăn chặn, loại bỏ và bỏ và phục hồi sau sự cố phục hồi sau sự cố Tổ chức chuẩn bị khả năng sử Tổ chức chuẩn bị khả năng sử dụng các dụng các công cụ hỗ trợ quá công cụ hỗ trợ quá trình xử lý sự cố. trình xử lý sự cố. 24 SC-005 Giám sát sự Tổ chức theo dõi và ghi lại chính SC-004.1 Kiểm tra tổ chức theo dõi và ghi cố xác các sự cố bảo mật đối với lại chính xác các sự cố bảo mật đối với hệ hệ thống thông tin. thống thông tin. 25 SC-006 Báo cáo sự Tổ chức nhanh chóng báo cáo SC-006.1 Kiểm tra tổ chức báo cáo ngay cố sự cố đến cơ quan có thẩm lập tức thông tin về sự cố đến các cơ quan quyền. có trách nhiệm. Tổ chức sử dụng các cơ chế tự SC-006.2 Kiểm tra các cá nhân có liên động hỗ trợ việc báo cáo sự cố. quan trong hoạt động báo cáo sự cố của tổ chức tuân theo các quy trình báo cáo sự cố đã được xây dựng. SC-006.3 Kiểm tra tổ chức có phân trách nhiệm cụ thể cho các bộ phận và xác định các các hoạt động để đảm bảo rằng quá trình báo cáo sự cố được thực hiện. 52 26 CN-004 Nhân sự Đối với nhân viên đã chấm dứt CN-004.1 Kiểm tra để xác định tổ chức có: nghỉ việc hợp đồng, tổ chức cần hủy (i). Hủy bỏ tài khoản của những người đã quyền truy nhập hệ thống thông chấm dứt hợp đồng trên hệ thống thông tin tin, đảm bảo việc thu hồi lại tất (ii). Thu hồi lại tất cả các tải sản liên quan cả các tài sản liên quan tới hệ tới hệ thống thông tin (khóa, thẻ định thống thông tin (Ví dụ: khóa, thẻ danh, ) của những người đã chấm dứt nhận dạng, ) và đảm bảo khả hợp đồng năng vẫn truy nhập được vào (iii). Vẫn đảm bảo khả năng vẫn truy nhập các hồ sơ được tạo ra bởi nhân được vào các hồ sơ được tạo ra bởi nhân viên đó viên đó. 27 TV-002 Khắc phục Tổ chức xác định, báo cáo và TV-002.1 Phỏng vấn một số người chịu điểm yếu khắc phục các lổ hổng bảo mật trách nhiệm của tổ chức để xác định các của hệ thống thông tin cá nhân này nắm được các lỗ hổng phần mềm và lỗi tiềm ẩn vừa xảy ra có khả năng gây ảnh hưởng đến hệ thống thông tin. TV-002.2 Kiểm tra tổ chức có cài đặt kịp thời những bản vá lỗi mới cho hệ thống thông tin theo quy định và chính sách của tổ chức. 28 TV-003 Chống mã Hệ thống thông tin triển khai TV-003.1 Kiểm tra tổ chức có triển khai độc hại chống các mã độc hại (virus, các cơ chế chống mã độc hại cho những worm, ) có khả năng tự động hệ thống xung yếu (firewall, mail server ) cập nhật. và máy trạm, máy chủ, các thiết bị di động Tổ chức sử dụng cơ chế quản trong mạng để phát hiện và loại trừ các lý chống mã độc hại tập trung. mã độc hại (virus, trojan, worm)
27. 53 TV-003.1 Kiểm tra cơ chế chống mã độc hại có khả năng phát hiện và loại trừ mã độc hại được truyền tải bởi: (i) email, file đính kèm, các thiết bị lưu trữ tháo lắp (ii) hoặc do khai thác những lỗ hổng của hệ thống thông tin TV-003.3 Phỏng vấn một số ngườicó trách nhiệm trong tổ chức về việc triển khai cơ chế chống mã độc hại cho các ứng dụng có thể truyền tải mã độc hại như File Tranfer, phần mềm nhắn tin TV-003.4 Kiểm tra tổ chức có cập nhật cơ chế chống mã độc hại mỗi khi có phiên bản mới theo quy trình và chính sách của tổ chức. TV-003.5 Kiểm tra tổ chức có phân trách nhiệm cho các nhóm và chỉ định hoạt động cụ thể để đảm bảo rằng việc chống mã độc hại được kiểm soát và thi hành. TV-003.6 Kiểm tra cơ chế chống mã độc hại để xác định xem cơ chế đó có: (i) được cập nhật thường xuyên, (ii) cấu hình để định kỳ quét các hệ thống thông tin cũng như kiểm tra thời gian thực đối với những file được tải về, mở hoặc thực thi, (iii) cấu hình để vô hiệu hóa và cô lập những file bị nhiễm. 54 TV-003.6 Kiểm tra các mail server và mail client để xác định xem client và server có được cấu hình để chặn những file đính kèm có khả năng chứa mã độc hại (ví dụ như *.pif, *.vbs) và nghi ngờ đối với những file có 2 phần mở rộng (vd như .txt.vbs, .htm.exe). 29 TV-005 Cập nhật Tổ chức thường xuyên nhận các TV-005.1 Kiểm tra tổ chức có: (i) nhận các cảnh báo thông tin cảnh báo an ninh hệ tư vấn và cảnh báo về an ninh hệ thống; thống, và thông báo rộng rãi đến (ii) phổ biến những cảnh báo / tư vấn cho các cá nhân trong tổ chức và tổ các cá nhân thích hợp; (iii) thực hiện chức những hoạt động phản những hoạt động ứng cứu thích hợp, và ứng hợp lý. (iv) ghi chép lại kết quả bao gồm ngày giờ của những hành vi đã thực hiện. 30 TV-008 Chống thư Hệ thống thông tin thực hiện TV-008.1 Kiểm tra tổ chức có triển khai cơ rác và phần việc chống thư rác và phần mềm chế chống thư rác cho những hệ thống mềm gián gián điệp. xung yếu (ví dụ như firewall, mail server) điệp/quảng Tổ chức quản lý tập trung cơ và máy trạm, máy chủ, các thiết bị di động cáo chế chống thư rác và phần mềm trong mạng. gián điệp. 31 KH-002 Kế hoạch Tổ chức phát triển và triển khai KH-002.1 Kiểm tra tổ chức phát triển và bảo vệ hệ một kế hoạch bảo mật cho hệ triển khai một kế hoạch bảo mật cho hệ thống thống thông tin. Kế hoạch này thống thông tin. Kế hoạch này cung cấp cung cấp một cái nhìn tổng quan một cái nhìn tổng quan về những yêu cầu về những yêu cầu bảo mật đặt bảo mật đặt ra cho hệ thống và mô tả các ra cho hệ thống và mô tả các yếu tố kiểm soát cần phải có. yếu tố kiểm soát cần phải có. Những người được chỉ định bên trong tổ Những người được chỉ định bên chức sẽ xem xét lại và thông qua kế hoạch trong tổ chức sẽ xem xét lại và này. thông qua kế hoạch này.
28. 55 Các biện pháp quản lý chung Yếu tố kiểm STT Chỉ số Nội dung Hướng dẫn rà soát soát 32 RR-003 Đánh giá rủi Tổ chức thực hiện việc đánh giá RR-003.1 Kiểm tra tổ chức đánh giá các ro các rủi ro và mức độ nghiêm rủi ro và mức độ nghiêm trọng có thể xảy trọng các rủi ro đó. Các rủi ro đó ra từ việc truy cập, sử dụng trái phép, thay có thể xảy ra do sự truy cập trái đổi, phát tán, phá hủy thông tin và các hệ phép, sử dụng trái phép, mất, thống thông tin mà hỗ trợ các hoạt động và thay đổi hoặc phá hủy thông tin tài sản của tổ chức và hệ thống thông tin có liên quan tới hoạt động và tài sản của tổ chức. 33 RR-005 Quét điểm Sử dụng những công cụ và công RR-005.1 Kiểm tra tổ chức có thường yếu nghệ thích hợp để quét các xuyên quét điểm yếu trong hệ thống thông điểm yếu. Tổ chức thực hiện tin, khi các điểm yếu mới ảnh hưởng nhiều việc quét các điểm yếu trong hệ tới hệ thống được xác định và báo cáo. thống thông tin định kỳ hoặc khi RR-005.2 Kiểm tra các kết quả quét điểm các điểm yếu mới ảnh hưởng tới yếu mới nhất để xác định xem tổ chức có hệ thống được xác định và báo sử dụng các công cụ và công nghệ quét cáo. điểm yếu phù hợp để thực hiện việc quét điểm yếu. 34 HT-002 Phân bổ đầu Tổ chức xác định, hướng dẫn và HT-002.1 Kiểm tra tổ chức phân bổ đầu tư tư phân bổ đầu tư cần thiết để bảo cần thiết để bảo vệ hệ thống thông tin một vệ hệ thống thông tin một cách cách hợp lý. hợp lý 56 35 HT-007 Phần mềm tự Tổ chức áp đặt những luật quy HT-007.1 Kiểm tra tổ chức có áp dụng cài đặt định việc tải và cài đặt phần một cách chặt chẽ các quy định liên quan mềm bởi người sử dụng cuối. tới việc tải và cài đặt phần mêm của người sử dụng. HT-007.2 Kiểm tra các tài liệu hoặc hồ sơ để xác định xem tổ chức có thường xuyên kiểm tra/phân tích các phần mềm người dùng tự cài nhằm xác định những hoạt động khác thường hoặc không phù hợp, điều tra các hoạt động khả nghi, báo cáo các kết quả tìm được và thực hiện các bước điều chỉnh cần thiết.
29. Phụ lục 3 dựng quy chế và quy định trong công tác đảm bảo an toàn an ninh cho hệ thống thông tin. HƯỚNG DẪN XÂY DỰNG QUY CHẾ 2. Dựa trên quy chế, quy định đã được ban hành, các cơ quan VÀ QUY TRÌNH ĐẢM BẢO AN TOÀN AN NINH và tổ chức tham gia hoạt động trên mạng Internet cần xây dựng và CHO HỆ THỐNG THÔNG TIN áp dụng quy trình đảm bảo an toàn an ninh cho hệ thống thông tin. Việc áp dụng quy trình này nhằm giảm thiểu được các nguy cơ gây 1. Các cơ quan, tổ chức tham gia hoạt động trên mạng sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường Internet cần xây dựng, ban hành và áp dụng quy chế, quy định nội hợp có sự cố xảy ra. Nội dung của quy trình có thể chia làm các bộ cho công tác đảm bảo an toàn cho hệ thống thông tin. Trong đó bước cơ bản như: Lập kế hoạch bảo vệ an toàn an ninh cho hệ cần quy định rõ các vấn đề sau: thống thông tin; Xây dựng hệ thống bảo vệ an toàn an ninh thông - Mục tiêu và phương hướng thực hiện công tác đảm bảo an tin; Quản lý và vận hành hệ thống bảo vệ an toàn an ninh thông tin; toàn an ninh cho hệ thống thông tin. Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn an ninh thông tin; Bảo trì và nâng cấp hệ thống bảo vệ an toàn an ninh - Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài thông tin. nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị v.v ). Khi xây dựng nội dung các quy trình đảm bảo an toàn an ninh - Quản lý phân quyền và trách nhiệm đối với từng cá nhân cần nghiên cứu kỹ các hoạt động nghiệp vụ và hiện trạng của hệ khi tham gia sử dụng hệ thống thông tin. thống thông tin nội bộ, tránh gây các thay đổi không cần thiết. Các - Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết cơ quan, tổ chức có thể tham khảo khung quy trình đảm bảo an bị bảo vệ mạng một cách an toàn. toàn an ninh thông tin bao gồm năm bước cơ bản sau: - Kiểm tra, rà soát và khắc phục sự cố an toàn an ninh của hệ Bước 1: Lập kế hoạch bảo vệ an toàn an ninh cho hệ thống thống thông tin (tham khảo phụ lục 1 và 2). thông tin. - Thành lập bộ phận quản lý an toàn an ninh thông tin - Nguyên tắc chung sử dụng an toàn và hiệu quả đối với toàn bộ cá nhân tham gia sử dụng hệ thống thông tin. - Xây dựng định hướng cơ bản cho công tác đảm bảo an toàn an ninh thông tin trong đó chỉ rõ: - Báo cáo tổng hợp tình hình an toàn an ninh của hệ thống + Mục tiêu ngắn hạn và dài hạn thông tin theo định kỳ. + Phương hướng và văn bản pháp quy, tiêu chuẩn cần tuân - Tổ chức thực hiện. thủ và tham khảo. Các cơ quan và tổ chức có thể tham khảo hai tiêu chuẩn kỹ + Ước lượng nhân lực và kinh phí đầu tư. thuật TCVN 7562:2005 và ISO/IEC 17799:2005 trong việc xây 57 58
30. - Lập kế hoạch xây dựng hệ thống bảo vệ an toàn an ninh + Cài đặt đầy đủ và thường xuyên cập nhật phần mềm theo thông tin: hướng dẫn của nhà cung cấp. + Xác định và phân loại các nguy cơ gây sự cố an toàn an Bước 4: Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an ninh thông tin. toàn an ninh thông tin + Rà soát và lập danh sách các đối tượng cần được bảo vệ với + Thường xuyên kiểm tra giám sát các hoạt động của hệ những mô tả đầy đủ về: nhiệm vụ; chức năng; mức độ quan thống bảo vệ an toàn an ninh thông tin nói riêng cũng như trọng và các đặc điểm đối tượng (đối tượng ở đây có thể là toàn bộ hệ thống thông tin nói chung. một phần mềm, máy chủ, quy trình tác nghiệp thuộc cơ + Báo cáo tổng kết tình hình theo định kỳ. quan đơn vị v.v ). Bước 5: Bảo trì và nâng cấp hệ thống bảo vệ an toàn an ninh + Xây dựng phương án đảm bảo an toàn cho các đối tượng trong danh sách cần được bảo vệ: nguyên tắc quản lý, vận thông tin. hành; các giải pháp bảo vệ và khắc phục sự cố v.v + Thường xuyên kiểm tra và bảo trì hệ thống bảo vệ an toàn + Liên lạc và hợp tác chặt chẽ với trung tâm VNCERT, Sở an ninh thông tin. Cần nhanh chóng mở rộng, nâng cấp BCVT địa phương cũng như các cơ quan, tổ chức nghiên hoặc thay đổi khi cần thiết. cứu và cung cấp dịch vụ an toàn mạng. Ngoài ra, các cơ quan tổ chức có thể tham khảo tiêu chuẩn + Lập kế hoạch dự trù kinh phí đầu tư cho hệ thống bảo vệ. quốc tế hiện đang được áp dụng rộng rãi tại các nước phát triển Bước 2: Xây dựng hệ thống bảo vệ an toàn an ninh thông tin ISO 27001. + Tổ chức đội ngũ nhân viên chuyên trách, đủ năng lực đảm bảo an toàn an ninh cho hệ thống thông tin. + Xây dựng hệ thống bảo vệ an toàn an ninh thông tin theo kế hoạch Bước 3: Quản lý và vận hành hệ thống bảo vệ an toàn an ninh thông tin + Vận hành và quản lý chặt chẽ trang thiết bị, phần mềm theo đúng quy định đã đặt ra. + Khi phát hiện sự cố cần nhanh chóng xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo sự cố cho các cơ quan chức năng (xem phụ lục 4). 59 60
31. Tóm lại lý do cần phải báo cáo sự cố là hỗ trợ việc đánh giá tình hình, đề ra chính sách, chiến lược, giải pháp đảm bảo an toàn Phụ lục 4 thông tin và phản ứng nhanh với các sự cố trên mạng. HƯỚNG DẪN THÔNG BÁO SỰ CỐ II. Các loại sự cố báo cáo về cho Trung tâm VNCERT VÀ NGUY CƠ MẤT AN TOÀN THÔNG TIN Trung tâm VNCERT tiếp nhận báo cáo về nhiều loại sự cố khác nhau. Ví dụ như: Báo cáo sự cố máy tính là hoạt động thông báo và cung cấp - Sự cố tấn công vào đặc tính toàn vẹn thông tin: đổi nội dung các thông tin có liên quan đến sự cố, yêu cầu được hỗ trợ khắc Website, cài backdoor, thay đổi nội dung cơ sở dữ liệu. phục, ngăn chặn và khôi phục của đơn vị cho cơ quan có trách - Sự cố tấn công vào đặc tính sẵn sàng thông tin: tấn công từ nhiệm điều phối là Trung tâm Ứng cứu khẩn cấp Máy tính Việt chối dịch vụ, Nam (VNCERT) - Bộ Bưu chính, Viễn thông. - Sự cố tấn công tấn công vào đặc tính bí mật thông tin: lấy I. Sự cần thiết phải báo cáo sự cố cắp dữ liệu, mã nguồn hệ thống thương mại trực tuyến, Có nhiều lý do để báo cáo sự cố cho trung tâm VNCERT: - Sự cố chiếm dụng tài nguyên hệ thống thông tin: - Để nhận được sự hỗ trợ từ dịch vụ điều phối, ứng cứu trong chiếm dụng máy chủ để gửi thư rác hay phát động tấn công các hệ nước và quốc tế và các dịch vụ khác. thống khác, - Giúp cơ quan chức năng thống kê sự cố, đánh giá tình hình, - xây dựng chính sách an toàn mạng. Giúp đối tượng tương tự có sự III. Xử lý báo cáo sự cố tại VNCERT phòng ngừa tốt hơn. Quá trình xử lý báo cáo sự cố của VNCERT diễn ra qua ba - Giúp cơ quan chức năng tổng hợp các sự cố trên không gian giai đoạn: mạng quốc gia, khi cần thiết có thể đưa ra các cảnh báo chung, kịp thời. - Thẩm định báo cáo sự cố: sau khi tiếp nhận báo cáo sự cố, - Giúp cơ quan chức năng nghiên cứu, viết ra tài liệu hướng VNCERT sẽ kiểm tra cả các thông tin được báo cáo về và các dẫn, rút kinh nghiệm cho các đối tượng khác tham khảo. thông tin khác liên quan đến sự cố để đánh giá tính xác thực của - Đối với một số đối tượng, báo cáo sự cố là bắt buộc theo báo cáo sự cố. quy định. - Phân loại sự cố: VNCERT sẽ thực hiện việc phân loại, sắp - Báo cáo sự cố là thể hiện trách nhiệm của công dân đối với xếp mức độ ưu tiên cho từng sự cố nhận tiếp nhận được để có thể cộng đồng. xử lý kịp thời và chính xác nhất. 61 62
32. - Hỗ trợ xử lý sự cố: tuỳ theo mức độ ưu tiên của sự cố, 2. Mô tả hệ thống bị sự cố VNCERT sẽ có cách thức và mức độ hỗ trợ khác nhau. Đối tượng báo cáo sự cố cần mô tả đầy đủ về các hệ thống đã IV. Phân loại mức độ ưu tiên của báo cáo sự cố bị tấn công (địa chỉ IP, hệ điều hành, phiên bản, ), các dấu hiệu Các sự cố sẽ được xử lý theo thứ tự ưu tiên, mức độ nghiêm bất thường. Sự đầy đủ và chính xác của thông tin sẽ giúp cho quá trọng từ cao xuống thấp, ví dụ như: trình chuẩn đoán và khắc phục nhanh chóng và chính xác hơn. - Ảnh hưởng đến an ninh quốc gia, sinh mạng con người, tấn 3. Mô tả hoạt động tấn công công vào các hạ tầng cơ sở trọng yếu quốc gia. Mô tả các hành vi tấn công bao gồm: các điểm yếu đã bị lợi - Tấn công vào hạ tầng mạng xung yếu như: root name dụng, các thay đổi trên hệ thống hay các phần mềm độc hại được server, hệ thống lưu trữ quan trọng, cổng truy xuất Internet. cài lên hệ thống. Các thông tin này sẽ giúp các chuyên gia phân - Tấn công phát tán tự động trên diện rộng, gây thiệt hại lớn. tích, xử lý sự cố và đề xuất cảnh báo thích hợp. - Tấn công vào các hệ thống báo điện tử, hệ thống thương mại điện tử. 4. Cung cấp các file nhật ký (file log) - Các kiểu tấn công mới xuất hiện, trên diện hẹp Nên cung cấp đầy đủ các file nhật ký ghi nhận hoạt động của - Các sự cố khác. hệ thống trong suốt thời gian bị tấn công. Có thể loại bỏ bớt các phần trong file nhật ký nếu biết chắc chắn không liên quan đến sự V. Các thông tin cần có trong một báo cáo sự cố cố để giảm lưu lưu lượng truyền nhận file nhật ký. Đối tượng báo cáo sự cố phải cung cấp đầy đủ thông tin để giúp cho trung tâm VNCERT nắm được tình hình và có thể phản Chú ý loại bỏ hoặc thay thế các thông tin bảo mật như tên ứng nhanh đối với báo cáo sự cố nhận được. Một báo cáo sự cố sẽ người dùng (username) hay mật khẩu (password) trong file nhật ký cần rất nhiều thông tin, trong đó không thể thiếu đó là: bằng các ký tự khác, thông báo bằng kênh riêng cho Trung tâm VNCERT biết sự thay thế này. 1. Các thông tin liên hệ của đối tượng báo cáo sự cố Trong trường hợp không có file nhật ký thì cũng nói rõ trong Tối thiểu là: báo cáo sự cố. Việc thông báo chính xác thời điểm xảy ra sự cố là - Họ và tên. cần thiết cho việc nghiên cứu sự cố tương tự trên mạng. - Cơ quan. - Địa chỉ email. 5. Cung cấp thông tin về hệ thời gian và thời gian trên hệ thống mạng - Số điện thoại cố định, di động. Cần ghi nhận và báo cáo về VNCERT thời gian hiện tại trên Nên cung cấp thêm đầu mối liên lạc dự phòng cho các trường các hệ thống bị tấn công. Điều này rất quan trọng để xác định thời hợp bất trắc. điểm thật sự xảy ra sự cố. 63 64
33. 6. Nêu mong muốn đối với trung tâm VNCERT 3. Telephone hotline Chọn đề nghị sau khi báo cáo sự cố. Có các mức độ mong Trong trường hợp mất kết nối Internet, nghi ngờ đang bị theo muốn sau: dõi email hay bị tấn công từ chối dịch vụ thì các đơn vị có thể gọi - Thuần tuý báo cáo sự cố, không muốn có hỗ trợ hay hướng điện báo cáo sự cố về VNCERT thông qua đường dây nóng: 84 - dẫn gì thêm. 04 - 9445 510 (đường dây hoạt động 24 giờ trong ngày, 7 ngày trong tuần) - Muốn nhận được hướng dẫn. - Muốn được hỗ trợ ngay lập tức. 4. Chuyển fax về VNCERT Có thể gửi báo cáo sự cố theo theo mẫu báo cáo ở mục 2 7. Yêu cầu giữ bí mật nội dung của báo cáo sự cố bằng hình thức chuyển fax về số: 84 - 04 - 9445507 Các đơn vị có thể đề nghị Trung tâm VNCERT không công bố rộng rãi các thông tin về sự cố của đơn vị mình. 5. Gửi thư thông thường Chúng ta điền thông tin vào mẫu báo cáo sự cố được gửi kèm VI. Các phương tiện báo cáo sự cố dưới đây và gửi về địa chỉ: Trung tâm VNCERT - Bộ BCVT, Có 6 cách báo cáo một sự cố: (1) Khai báo cáo trực tuyến qua 18 Nguyễn Du, Hà Nội website, (2) gửi thư điện tử , (3) gọi điện thoại cố định/di động, (4) 6. Báo cáo trực tiếp chuyển fax, (5) gửi thư và (6) trực tiếp đến VNCERT. Cụ thể như sau: Thay vì các hình thức báo cáo khác, các cá nhân và đơn vị có 1. Thông qua Website của VNCERT thể trực tiếp đến trụ sở Trung tâm VNCERT 18 Nguyễn Du, Truy cập trang web của VNCERT tại địa chỉ Hà Nội để cung cấp thông tin. vào mục Báo cáo sự cố. VII. Mẫu báo cáo sự cố (xem phần sau) Hoặc gõ trực tiếp vào địa chỉ sau đây Chú ý: ir.html. - Phải điền đầy đủ thông tin trong những mục đánh dấu * Điền thông tin vào mẫu báo cáo theo hướng dẫn. Bấm vào - Ký và ghi đầy đủ họ tên vào cuối bản báo cáo nút “Gửi báo cáo” hoặc nút “Hủy báo cáo” để kết thúc một cách tương ứng. - Báo cáo sự cố gửi về: Trung tâm VNCERT - Bộ BCVT, số 18 Nguyễn Du, Hà Nội. Điện thoại: 04-9445 510. Fax: 04-9445 307. 2. Gửi thư điện tử về VNCERT E-mail: ir@vncert.vn Tải mẫu báo cáo từ địa chỉ - Có thể gửi báo cáo sự cố qua mạng tại địa chỉ: hoặc dùng mẫu báo cáo đính kèm. Điền thông tin về sự cố, lưu dưới dạng file *.doc rồi đính kèm với thư điện tử và gửi về hòm thư - Tham khảo mẫu báo cáo sự cố ở phụ lục 5. có địa chỉ là ir@vncert.vn. 65 66
34. I. Kế hoạch triển khai chỉ thị Phụ lục 5 Đơn vị: MẪU BÁO CÁO NHANH VỀ VIỆC TRIỂN KHAI - Đã ban hành chủ trương về việc triển khai Chỉ thị số CHỈ THỊ SỐ 03/2007/CT-BBCVT 03/2007/CT-BBCVT chưa? Rồi Chưa Đơn vị: CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Nếu đã ban hành rồi, xin cho biết cấp ban hành: Độc lập - Tự do - Hạnh phúc (Nếu đã ban hành rồi, đề nghị đơn vị gửi kèm văn bản ban hành chủ trương cho VNCERT) Ngày tháng năm - Về xây dựng kế hoạch triển khai Chỉ thị số 03/2007/CT- BBCVT trong năm 2007 BÁO CÁO VỀ VIỆC TRIỂN KHAI Đã Đang Sẽ CHỈ THỊ SỐ 03/2007/CT-BBCVT Nếu đã xây dựng, xin cho biết các nội dung chính của kế hoạch: Chú ý: - Điền thông tin đầy đủ vào các câu hỏi - Để lựa chọn đánh dấu X - Câu hỏi với ký hiệu trước mỗi lựa chọn thì chỉ được - Quy mô triển khai phép đánh dấu một kết quả (chọn một) Các cấp dự định sẽ triển khai: - Câu hỏi với ký hiệu  trước mỗi lựa chọn thì có thể đánh Số đơn vị cấp dưới sẽ triển khai: dấu từ không tới nhiều kết quả (chọn nhiều) II. Đánh giá hiện trạng và dự kiến - Ký, ghi tên và đóng dấu đầy đủ vào cuối báo cáo và gửi về theo đường công văn cho Trung tâm VNCERT. 1. Về chính sách, quản lý Đơn vị: Để tổng hợp nhanh đề nghị đơn vị lấy mẫu báo cáo này từ địa chỉ và gửi trước - Đã xây dựng chiến lược để đảm bảo an toàn thông tin cho Trung tâm VNCERT qua địa chỉ E-mail vncert@mpt.gov.vn cho tổ chức mình chưa? 67 68
35. Rồi Chưa - Đã và dự kiến sử dụng những công cụ đảm bảo an toàn - Có các biện pháp vận hành liên tục và khôi phục sau thông tin nào Dự kiến Dự kiến sự cố không? Công cụ 2006 2007 2008-2010 Rồi Không Công cụ diệt vi-rút (Antivirus)    Công cụ diệt Adware/Spyware    - Có thường xuyên cập nhật công nghệ đảm bảo an toàn Mật khẩu    thông tin hay không? Tường lửa (Firewall)    Rồi Không Công cụ lọc thư rác    Công cụ mã hóa tệp tin    - Nếu tự đánh giá, mức độ đảm bảo an toàn thông tin của Công cụ chống DdoS    đơn vị trong năm 2006 là: Hạ tầng khóa công khai (PKI)    Kém Trung bình Tốt Rất tốt Mạng riêng ảo (VPN)    Hệ thống phát hiện xâm nhập (IDS)    0 1 2 3 4 5 Những công nghệ khác, đó là 2. Về đầu tư 3. Về tình hình an ninh mạng và xử lý sự cố Đơn vị: - Tổng kết về các sự cố an ninh mạng đã xảy ra trong - Phần trăm ngân sách trong tổng số ngân sách cho công nghệ năm 2006 đối với đơn vị thông tin để đầu tư vào việc đảm bảo an toàn thông tin: . % - Đã và dự kiến đầu tư vào vấn đề nào dưới đây Sự cố Số lượng Dự kiến Dự kiến Virus Lĩnh vực 2006 2007 2008-2010 Lừa phỉnh (phishing) Xây dựng chính sách/hướng dẫn/thủ tục    Thư rác (Spam mail) Sử dụng dịch vụ    Spyware/Adware Yêu cầu tư vấn    Tấn công từ chối dịch vụ (DoS, DDoS) Mua thiết bị an toàn thông tin    Nội dung website đơn vị bị thay đổi (deface website) Mua phần mềm an toàn thông tin    Sự cố khác: Nghiên cứu sử dụng phần mềm mã    - . nguồn mở - Đào tạo nhân lực    - Vấn đề khác, đó là: 69 70
36. - Mức độ thiệt hại ước tính trong năm 2006 do các sự cố 4. Tổ chức nhân lực và bồi dưỡng nghiệp vụ an ninh mạng gây ra - Đơn vị có bộ phận phụ trách về đảm bảo an toàn, an  Thiệt hại gián tiếp: triệu đồng ninh thông tin không?  Thiệt hại trực tiếp: triệu đồng Rồi Không  Chi phí khắc phục: triệu đồng - Nếu có, bộ phận đó có người phụ trách là: - Biện pháp xử lý đã áp dụng khi gặp sự cố Lãnh đạo cơ quan Giám đốc CNTT Phương pháp Số lần Nhân viên chuyên trách Khác: . Không làm gì cả - Nếu chưa, thì đơn vị có dự kiến tổ chức bộ phận đó không? Tự xử lý Rồi Không Báo cáo cấp trên trực tiếp Yêu cầu hỗ trợ từ nơi khác Dự kiến sẽ thành lập vào tháng năm , với số cán bộ là người Báo cảnh sát mạng - Đơn vị có nhu cầu tham gia Biện pháp khác, đó là:  Lớp tập huấn Chỉ thị số 03/2007/CT-BBCVT - -  Các lớp đào tạo bồi dưỡng nghiệp vụ khác - - Đơn vị muốn tham gia lớp tập huấn Chỉ thị số 03/2007/CT- - Cho biết công việc mà cơ quan đã thực hiện sau khi BBCVT tại khắc phục được sự cố trong năm qua:  Hà Nội  TP. Hồ Chí Minh  Sửa đổi chính sách/hướng dẫn/thủ tục VNCERT đang có các khóa đào tạo: Khóa bồi dưỡng nghiệp  Nâng cao ý thức vụ an toàn thông tin dành cho lãnh đạo và cán bộ quản lý, khóa đào  Tăng cường thiết bị tạo kỹ năng an toàn thông tin cho người dùng máy tính, khóa cơ bản về an toàn thông tin cho cán bộ kỹ thuật, khóa nâng cao về an  Rà soát lại hệ thống toàn thông tin cho cán bộ kỹ thuật.  Mở rộng liên kết với các đơn vị hoạt động trong lĩnh vực - Đơn vị có nhu cầu bồi dưỡng nghiệp vụ an toàn thông tin: an toàn thông tin  Dành cho lãnh đạo và cán bộ quản lý. Số lượng dự  Việc khác, đó là : kiến: người 71 72
37.  Cơ bản/nâng cao về an toàn thông tin cho cán bộ kỹ thuật Số lượng dự kiến: người  Kỹ năng an toàn thông tin cho người dùng máy tính. Số lượng dự kiến: người - Đơn vị đã có dự trù kinh phí cho huấn luyện nghiệp vụ, đào tạo phát triển nguồn nhân lực đảm bảo an ninh thông tin của đơn vị hay chưa? Rồi Không III. Ý kiến phản hồi và góp ý thêm Thủ trưởng đơn vị (Ký tên và đóng dấu) 73
38. - TÝnh toμn vÑn: B¶o vÖ tÝnh chÝnh x¸c vμ ®Çy ®ñ cña th«ng Tiªu chuÈn ViÖt Nam tin vμ c¸c ph−¬ng ph¸p xö lý. TCVN 7562:2005 - ISO/IEC 17799:2000 - TÝnh s½n sμng: §¶m b¶o r»ng ng−êi sö dông ®−îc phÐp cã thÓ truy cËp th«ng tin vμ c¸c tμi s¶n t−¬ng øng khi cÇn. C«ng nghÖ th«ng tin - M· thùc hμnh 2.2. §¸nh gi¸ rñi ro qu¶n lý an ninh th«ng tin §¸nh gi¸ c¸c mèi ®e däa, nh÷ng ¶nh h−ëng vμ ®iÓm yÕu cña Inrormation Technology - Code ofpractice for th«ng tin vμ c¸c ph−¬ng tiÖn xö lý th«ng tin còng nh− kh¶ n¨ng cã information security management thÓ x¶y ra. (TrÝch) 2.3. Qu¶n lý rñi ro Qu¸ tr×nh x¸c ®Þnh, kiÓm so¸t vμ gi¶m thiÓu hoÆc lo¹i trõ c¸c 1. Ph¹m vi ¸p dông rñi ro an ninh cã thÓ ¶nh h−ëng ®Õn c¸c hÖ thèng th«ng tin víi chi Tiªu chuÈn nμy ®−a ra c¸c khuyÕn nghÞ vÒ c«ng t¸c qu¶n lý phÝ cã thÓ chÊp nhËn ®−îc. an ninh th«ng tin cho nh÷ng ng−êi cã tr¸ch nhiÖm cμi ®Æt, thùc thi 3. ChÝnh s¸ch an ninh hoÆc duy tr× an ninh trong tæ chøc cña hä. Tiªu chuÈn nμy nh»m 3.1. ChÝnh s¸ch an ninh th«ng tin cung cÊp mét c¬ së chung ®Ó x©y dùng c¸c tiªu chuÈn an ninh trong tæ chøc vμ thùc hμnh qu¶n lý an ninh mét c¸ch hiÖu qu¶ vμ t¹o tÝnh Môc tiªu: Cung cÊp ph−¬ng h−íng qu¶n lý vμ hç trî an ninh tin cËy trong c¸c giao dÞch liªn - tæ chøc. C¸c khuyÕn nghÞ rót ra tõ th«ng tin tiªu chuÈn nμy nªn ®−îc lùa chän vμ sö dông phï hîp víi c¸c luËt Ban qu¶n lý nªn thiÕt lËp mét ph−¬ng h−íng chÝnh s¸ch râ vμ c¸c quy ®Þnh liªn quan. rμng vμ c«ng khai hç trî vμ cam kÕt an ninh th«ng tin th«ng 2. ThuËt ng÷ vμ ®Þnh nghÜa qua viÖc ph¸t hμnh vμ duy tr× mét chÝnh s¸ch an ninh th«ng tin trong toμn tæ chøc. Tiªu chuÈn nμy sö dông c¸c ®Þnh nghÜa sau: 2.1. An ninh th«ng tin 3.1.1. Tμi liÖu chÝnh s¸ch an ninh th«ng tin Duy tr× tÝnh b¶o mËt, tÝnh toμn vÑn vμ tÝnh s½n sμng cña Tμi liÖu chÝnh s¸ch nªn ®−îc ban qu¶n lý th«ng qua, ®−îc th«ng tin. ph¸t hμnh vμ truyÒn ®¹t cho toμn bé nh©n viªn khi thÝch hîp. B¶n - TÝnh b¶o mËt: §¶m b¶o r»ng chØ ng−êi ®−îc phÐp míi cã chÝnh s¸ch nμy nªn c«ng bè cam kÕt cña ban qu¶n lý vμ tr×nh bμy thÓ truy cËp th«ng tin. c¸ch tiÕp cËn qu¶n lý an ninh th«ng tin cña tæ chøc mét c¸ch ng¾n gän, tèi thiÓu nã nªn bao gåm h−íng dÉn sau: 74 75
39. a) §Þnh nghÜa vÒ an ninh th«ng tin, toμn bé ®èi t−îng, ph¹m ro ban ®Çu, vÝ dô c¸c sù cè an ninh ®¸ng l−u ý c¸c ®iÓm yÕu hoÆc vi cña nã vμ tÇm quan träng cña an ninh nh− mét c¬ chÕ t¹o ®iÒu c¸c thay ®æi míi ®èi víi c¬ së h¹ tÇng tæ chøc hoÆc kü thuËt. kiÖn cho viÖc chia sÎ th«ng tin; C¸c so¸t xÐt ®Þnh kú còng nªn lËp ch−¬ng tr×nh c¸c vÊn ®Ò sau: b) Tr×nh bμy môc ®Ých qu¶n lý, hç trî c¸c môc tiªu vμ nguyªn a) TÝnh hiÖu lùc cña chÝnh s¸ch, ®−îc chøng tá b»ng b¶n chÊt, t¾c vÒ an ninh th«ng tin; sè l−îng vμ ¶nh h−ëng cña c¸c sù cè an ninh ®−îc ghi l¹i; c) Gi¶i thÝch ng¾n gän c¸c chÝnh s¸ch, nguyªn t¾c, tiªu chuÈn b) Chi phÝ vμ ¶nh h−ëng cña c¸c kiÓm so¸t tÝnh hiÖu qu¶ an ninh vμ tu©n thñ c¸c yªu cÇu cã tÇm quan träng ®Æc biÖt ®èi víi kinh doanh; tæ chøc, vÝ dô: c) T¸c ®éng cña c¸c thay ®æi tíi c«ng nghÖ. 1) Tu©n thñ c¸c yªu cÇu ph¸p lý vμ theo hîp ®ång; 4. An ninh tæ chøc 2) C¸c yªu cÇu gi¸o dôc an ninh: 4.1. H¹ tÇng an ninh th«ng tin 3) Ng¨n ngõa vμ ph¸t hiÖn c¸c vi-rót vμ phÇn mÒm g©y h¹i kh¸c; Môc tiªu: Qu¶n lý an ninh th«ng tin trong tæ chøc. 4) Qu¶n lý tÝnh liªn tôc cña c«ng viÖc kinh doanh; Khu«n khæ qu¶n lý nªn ®−îc thiÕt lËp ®Ó khëi ®Çu vμ kiÓm 5) C¸c hËu qu¶ cña c¸c vi ph¹m chÝnh s¸ch an ninh; so¸t viÖc thùc hiÖn an ninh th«ng tin trong tæ chøc. d) X¸c ®Þnh c¸c tr¸ch nhiÖm chung vμ riªng cho viÖc qu¶n lý C¸c diÔn ®μn qu¶n lý phï hîp víi kh¶ n¨ng l·nh ®¹o cña ban an ninh th«ng tin, gåm c¶ viÖc b¸o c¸o c¸c sù cè an ninh; qu¶n lý nªn ®−îc thμnh lËp ®Ó th«ng qua chÝnh s¸ch an ninh e) Tham chiÕu tíi tμi liÖu cã thÓ hç trî cho chÝnh s¸ch, vÝ dô th«ng tin, Ên ®Þnh c¸c vai trß an ninh vμ phèi hîp thùc hiÖn an c¸c chÝnh s¸ch vμ thñ tôc an ninh chi tiÕt h¬n cho c¸c hÖ thèng ninh trong toμn bé tæ chøc. NÕu cÇn thiÕt, mét nguån tμi th«ng tin cô thÓ hoÆc c¸c quy t¾c an ninh mμ ng−êi sö dông ph¶i nguyªn c¸c lêi khuyªn chuyªn m«n vÒ an ninh th«ng tin nªn tu©n theo. ®−îc thiÕt lËp vμ s½n dïng trong tæ chøc. Nªn ph¸t triÓn viÖc céng t¸c víi c¸c chuyªn gia an ninh bªn ngoμi ®Ó theo kÞp c¸c ChÝnh s¸ch nμy nªn ®−îc truyÒn ®¹t trong toμn tæ chøc tíi xu h−íng c«ng nghiÖp, c¸c tiªu chuÈn gi¸m s¸t, ph−¬ng ph¸p nh÷ng ng−êi sö dông ë d¹ng thÝch hîp mμ ng−êi ®äc cã thÓ thu ®¸nh gi¸ vμ cung cÊp c¸c ®iÓm liªn l¹c phï hîp khi xö lý c¸c nhËn vμ hiÓu ®−îc sù cè an ninh. Nªn khuyÕn khÝch sö dông c¸ch tiÕp cËn an 3.1.2. So¸t xÐt vμ ®¸nh gi¸ ninh th«ng tin ®a chiÒu, vÝ dô bao gåm sù phèi hîp vμ hîp t¸c Nªn cã mét ng−êi chÞu tr¸ch nhiÖm chÝnh trong viÖc duy tr× cña c¸c nhμ qu¶n lý, ng−êi sö dông, nhμ qu¶n trÞ, ng−êi thiÕt vμ so¸t xÐt chÝnh s¸ch nμy theo mét quy tr×nh so¸t xÐt ®Þnh tr−íc. kÓ øng dông, kiÓm to¸n viªn vμ nh©n viªn an ninh vμ c¸c Quy tr×nh ®ã nªn ®¶m b¶o r»ng viÖc so¸t xÐt ®−îc thùc hiÖn ®Ó ®¸p chuyªn gia cã kü n¨ng chuyªn m«n trong nhiÒu lÜnh vùc nh− øng víi bÊt kú thay ®æi nμo ¶nh h−ëng tíi c¬ së cña sù ®¸nh gi¸ rñi b¶o hiÓm vμ qu¶n lý rñi ro. 76 77
40. 4.1.1. DiÔn ®μn qu¶n lý an ninh th«ng tin d) §¶m b¶o r»ng an ninh mét phÇn cña quy tr×nh lËp kÕ ho¹ch th«ng tin; An ninh th«ng tin lμ mét tr¸ch nhiÖm cña doanh nghiÖp ®−îc toμn bé c¸c thμnh viªn cña nhãm qu¶n lý tham gia. Mét diÔn ®μn e) §¸nh gi¸ sù t−¬ng xøng vμ phèi hîp thùc hiÖn c¸c kiÓm qu¶n lý nªn ®−îc quan t©m ®Ó ®¶m b¶o r»ng cã ph−¬ng h−íng râ so¸t an ninh th«ng tin cô thÓ ®èi víi c¸c hÖ thèng hoÆc dÞch vô míi; rμng vμ sù qu¶n lý h÷u h×nh hç trî cho c¸c s¸ng kiÕn an ninh. DiÔn f) So¸t xÐt c¸c sù cè vÒ an ninh th«ng tin; ®μn ®ã nªn thóc ®Èy an ninh trong tæ chøc th«ng qua sù cam kÕt g) Thóc ®Èy tÝnh minh b¹ch cña viÖc hç trî an ninh th«ng tin thÝch hîp vμ s¸ng kiÕn t−¬ng xøng. cña doanh nghiÖp trong toμn bé tæ chøc. DiÔn ®μn nμy cã thÓ lμ mét phÇn cña c¬ quan qu¶n lý. §iÓn 4.1.3. Ph©n ®Þnh tr¸ch nhiÖm vÒ an ninh th«ng tin h×nh lμ mét diÔn ®μn b¶o ®¶m tr¸ch nhiÖm sau ®©y: C¸c tr¸ch nhiÖm ®èi víi viÖc b¶o vÖ c¸c tμi s¶n c¸ nh©n vμ a) So¸t xÐt vμ phª duyÖt chÝnh s¸ch an ninh th«ng tin vμ toμn tiÕn hμnh c¸c quy tr×nh an ninh cô thÓ nªn ®−îc x¸c ®Þnh râ rμng. bé ng−êi cã tr¸ch nhiÖm; ChÝnh s¸ch an ninh th«ng tin (xem môc 3) nªn cung cÊp b) KiÓm tra c¸c thay ®æi quan träng trong t×nh tr¹ng ph¬i bμy h−íng dÉn chung trong viÖc ph©n ®Þnh c¸c vai trß vμ tr¸ch nhiÖm an tμi s¶n th«ng tin ®èi víi c¸c mèi ®e däa chÝnh; ninh trong tæ chøc. §iÒu nμy nªn ®−îc bæ sung, khi cÇn thiÕt, cïng víi h−íng dÉn chi tiÕt h¬n ®èi víi c¸c ®Þa ®iÓm, hÖ thèng hoÆc dÞch c) So¸t xÐt vμ kiÓm tra c¸c sù cè an ninh th«ng tin; vô cô thÓ. C¸c tr¸ch nhiÖm côc bé ®èi víi c¸c tμi s¶n vËt chÊt vμ d) Phª duyÖt c¸c s¸ng kiÕn ®Ó t¨ng c−êng an ninh th«ng tin. th«ng tin c¸ nh©n vμ c¸c qu¸ tr×nh an ninh, nh− viÖc lËp kÕ ho¹ch Mét nhμ qu¶n lý nªn cã tr¸ch nhiÖm ®èi víi toμn bé c¸c ho¹t liªn tôc kinh doanh nªn ®−îc x¸c ®Þnh râ rμng. ®éng liªn quan ®Õn an ninh. Trong nhiÒu tæ chøc, mét nhμ qu¶n lý an ninh th«ng tin sÏ 4.1.2. Hîp t¸c vÒ an ninh th«ng tin ®−îc bæ nhiÖm ®Ó n¾m gi÷ toμn bé tr¸ch nhiÖm ®èi víi viÖc ph¸t triÓn vμ thùc hiÖn an ninh vμ ®Ó hç trî viÖc x¸c ®Þnh kiÓm so¸t. Trong mét tæ chøc lín, mét diÔn ®μn chøc n¨ng-chÐo cña c¸c ®¹i diÖn qu¶n lý tõ c¸c bé phËn liªn quan cña tæ chøc ®ã cã thÓ cÇn Tuy nhiªn, tr¸ch nhiÖm ®èi víi s¸ng kiÕn vμ thùc hiÖn c¸c thiÕt phèi hîp thùc hiÖn c¸c kiÓm so¸t an ninh th«ng tin. §iÓn h×nh kiÓm so¸t th−êng gi÷ nguyªn cho c¸c nhμ qu¶n lý c¸ nh©n. Mét lμ diÔn ®μn: thùc tÕ chung lμ ®Ó bæ nhiÖm mét ng−êi chñ së h÷u ®èi víi mçi tμi s¶n th«ng tin th× ng−êi ®ã trë thμnh ng−êi cã tr¸ch nhiÖm hμng a) §ång ý c¸c vai trß vμ tr¸ch nhiÖm cô thÓ ®èi víi an ninh ngμy ®èi víi an ninh. th«ng tin trªn toμn bé tæ chøc; Ng−êi chñ së h÷u c¸c tμi s¶n th«ng tin cã thÓ uû quyÒn c¸c b) §ång ý c¸c ph−¬ng ph¸p luËn vμ quy tr×nh cô thÓ ®èi víi an tr¸ch nhiÖm vÒ an ninh cña hä cho c¸c nhμ qu¶n lý c¸ nh©n hoÆc ninh th«ng tin, nghÜa lμ ®¸nh gi¸ rñi ro, hÖ thèng ph©n lo¹i an ninh; c¸c nhμ cung cÊp dÞch vô. Tuy nhiªn ng−êi chñ ®ã vÉn cßn tr¸ch c) §ång ý vμ hç trî c¸c s¸ng kiÕn an ninh th«ng tin cña tæ nhiÖm ®èi víi an ninh cña tμi s¶n ®ã vμ nªn cã kh¶ n¨ng x¸c nhËn chøc më réng, nghÜa lμ; ch−¬ng tr×nh nhËn thøc vÒ an ninh; bÊt kú sù chÞu tr¸ch nhiÖm ®−îc ñy quyÒn ®Òu ®· hoμn thμnh ®óng. 78 79
41. §iÒu cÇn thiÕt lμ c¸c ph¹m vi cho mçi nhμ qu¶n lý lμ tr¸ch C¸c kiÓm so¸t nμy ®Æc biÖt quan träng trong mét m«i tr−êng nhiÖm ®−îc chØ râ; ®Æc biÖt c¸c sù viÖc sau ®©y x¶y ra: ®−îc nèi m¹ng. a) C¸c tμi s¶n kh¸c nhau vμ c¸c quy tr×nh an ninh ®−îc kÕt hîp 4.1.5. Lêi khuyªn cña chuyªn gia vÒ an ninh th«ng tin víi mçi hÖ thèng c¸ nh©n nªn ®−îc ®Þnh danh vμ x¸c ®Þnh râ rμng; Lêi khuyªn vÒ an ninh cña chuyªn gia hÇu nh− bÞ phô thuéc b) Nhμ qu¶n lý cã tr¸ch nhiÖm ®èi víi mçi tμi s¶n hoÆc quy bëi nhiÒu tæ chøc. Theo lý t−ëng mét cè vÊn an ninh th«ng tin tiÕn tr×nh an ninh nªn ®−îc tháa thuËn vμ c¸c chi tiÕt cña tr¸ch nhiÖm nμy nªn ®−îc tμi liÖu hãa; hμnh trong mét tæ chøc cã kinh nghiÖm nªn cung cÊp lêi khuyªn. Kh«ng ph¶i toμn bé c¸c tæ chøc ®Òu cã thÓ muèn thuª mét chuyªn c) C¸c møc cÊp phÐp nªn ®−îc x¸c ®Þnh râ rμng vμ ®−îc tμi gia cè vÊn. Trong c¸c tr−êng hîp nh− vËy, khuyÕn c¸o r»ng mét c¸ liÖu hãa. nh©n cô thÓ ®−îc ®Þnh danh ®Ó phèi hîp c¸c kiÕn thøc vμ kinh 4.1.4. QuyÒn xö lý c¸c ph−¬ng tiÖn xö lý th«ng tin nghiÖm tiÕn hμnh trong tæ chøc ®Ó ®¶m b¶o tÝnh nhÊt qu¸n vμ cung Mét quy tr×nh cÊp phÐp cña qu¶n lý ®èi víi c¸c ph−¬ng tiÖn cÊp hç trî trong viÖc t¹o quyÕt ®Þnh an ninh. xö lý th«ng tin míi nªn ®−îc thiÕt lËp. Hä còng nªn cã quyÒn sö dông c¸c cè vÊn phï hîp ë bªn Nªn xem xÐt c¸c kiÓm so¸t sau ®©y: ngoμi ®Ó cung cÊp lêi khuyªn chuyªn gia ngoμi kinh nghiÖm cña a) C¸c ph−¬ng tiÖn míi nªn cã sù phª chuÈn qu¶n lý ng−êi sö chÝnh hä. dông thÝch hîp, c¨n cø vμo môc ®Ých vμ viÖc sö dông cña hä. Sù phª C¸c cè vÊn an ninh th«ng tin hoÆc c¸c ®iÓm liªn l¹c t−¬ng chuÈn còng nªn ®¹t ®−îc tõ Nhμ qu¶n lý cã tr¸ch nhiÖm ®èi víi viÖc duy tr× m«i tr−êng an ninh cña hÖ thèng th«ng tin côc bé ®Ó ®−¬ng nªn ®−îc giao nhiÖm vô víi viÖc cung cÊp lêi khuyªn trªn ®¶m b¶o r»ng toμn bé c¸c chÝnh s¸ch vμ yªu cÇu vÒ an ninh liªn toμn bé c¸c khÝa c¹nh cña an ninh th«ng tin, cã sö dông hoÆc cña quan ®−îc ®¸p øng; chÝnh hä hoÆc lêi khuyªn bªn ngoμi. ChÊt l−îng cña viÖc ®¸nh gi¸ c¸c mèi ®e däa an ninh vμ lêi khuyªn trªn c¸c kiÓm so¸t sÏ x¸c b) Khi cÇn thiÕt, phÇn cøng vμ phÇn mÒm nªn ®−îc kiÓm tra ®Ó ®¶m b¶o r»ng chóng cã thÓ so s¸nh víi c¸c thμnh phÇn hÖ ®Þnh tÝnh hiÖu lùc cña an ninh th«ng tin cña tæ chøc. §Ó tÝnh hiÖu thèng kh¸c; lùc vμ sù t¸c ®éng lμ tèi ®a th× chóng nªn ®−îc phÐp trùc tiÕp cã quyÒn sö dông qu¶n lý trong toμn bé tæ chøc. Chó thÝch: Cã thÓ ®ßi hái kiÓu phª chuÈn ®èi víi c¸c kÕt nèi cô thÓ. Cè vÊn an ninh th«ng tin hoÆc ®iÓm liªn l¹c t−¬ng ®−¬ng nªn c) ViÖc sö dông c¸c ph−¬ng tiÖn xö lý th«ng tin c¸ nh©n ®èi ®−îc t− vÊn ë giai ®o¹n sím nhÊt cã thÓ theo sau mét vÊn ®Ò sù cè víi viÖc xö lý th«ng tin doanh nghiÖp vμ bÊt kú c¸c kiÓm so¸t cÇn an ninh hoÆc lç thñng an ninh kh¶ nghi ®Ó cung cÊp mét nguån thiÕt nªn ®−îc cÊp phÐp; h−íng dÉn cña chuyªn gia hoÆc c¸c nguån ®iÒu tra. MÆc dï phÇn lín c¸c ®iÒu tra an ninh néi bé th«ng th−êng sÏ ®−îc tiÕn hμnh d−íi d) ViÖc sö dông c¸c ph−¬ng tiÖn xö lý th«ng tin c¸ nh©n trong kiÓm so¸t qu¶n lý, cè vÊn an ninh th«ng tin cã thÓ ®−îc ®Ò nghÞ ®−a n¬i lμm viÖc cã thÓ dÉn ®Õn c¸c ®iÓm dÔ bÞ tÊn c«ng míi v× vËy nªn ®−îc ®¸nh gi¸ vμ cho phÐp. ra lêi khuyªn, h−íng dÉn hoÆc thùc hiÖn cuéc ®iÒu tra ®ã. 80 81
42. 4.1.6. Hîp t¸c gi÷a c¸c tæ chøc ®Ò liªn quan ®Õn an ninh vμ c¸c yªu cÇu kiÓm so¸t. C¸c kiÓm C¸c liªn l¹c thÝch hîp víi c¸c ñy quyÒn hîp ph¸p, c¬ quan so¸t nªn ®−îc tháa thuËn vμ x¸c ®Þnh râ trong hîp ®ång víi quy ®Þnh, nhμ cung cÊp dÞch vô th«ng tin vμ c¸c nhμ ®iÒu hμnh viÔn bªn thø ba. th«ng nªn ®−îc duy tr× ®Ó ®¶m b¶o r»ng hμnh ®éng thÝch hîp cã thÓ ViÖc truy cËp cña bªn thø ba còng cã thÓ liªn quan ®Õn c¸c ®−îc thùc hiÖn mét c¸ch nhanh chãng vμ ®¹t ®−îc lêi khuyªn, trong bªn tham gia kh¸c. C¸c hîp ®ång cho phÐp viÖc truy cËp cña tr−êng hîp cña mét vÊn ®Ò sù cè an ninh. T−¬ng tù, thμnh viªn cña bªn thø ba nªn bao gåm viÖc xem xÐt sù chØ ®Þnh c¸c bªn c¸c nhãm an ninh vμ c¸c diÔn ®μn c«ng nghiÖp nªn ®−îc xem xÐt. tham gia cã ®ñ t− c¸ch kh¸c vμ c¸c ®iÒu kiÖn truy cËp cña hä. C¸c trao ®æi cña th«ng tin an ninh nªn ®−îc h¹n chÕ ®Ó ®¶m Tiªu chuÈn nμy cã thÓ ®−îc sö dông nh− mét c¬ së ®èi víi b¶o r»ng th«ng tin bÝ mËt cña tæ chøc ®ã kh«ng ®−îc chuyÓn cho c¸c hîp ®ång nh− vËy vμ khi xem xÐt nguån cung cÊp cho c¸c c¸ nh©n tr¸i phÐp. viÖc xö lý th«ng tin. 4.1.7. So¸t xÐt an ninh th«ng tin mét c¸ch ®éc lËp 4.2.1. X¸c ®Þnh c¸c rñi ro tõ viÖc truy cËp cña bªn thø ba Tμi liÖu vÒ chÝnh s¸ch an ninh th«ng tin (xem 3.1) tr×nh bμy 4.2.1.1. C¸c kiÓu truy cËp chÝnh s¸ch vμ c¸c tr¸ch nhiÖm ®èi víi an ninh th«ng tin. ViÖc thi hμnh nã nªn ®−îc so¸t xÐt mét c¸ch ®éc lËp ®Ó b¶o ®¶m r»ng c¸c KiÓu truy cËp cña bªn thø ba cã tÇm quan träng ®Æc biÖt. VÝ ho¹t ®éng thùc tÕ cña tæ chøc ph¶n ¸nh mét c¸ch ®óng ®¾n chÝnh dô, c¸c rñi ro cña viÖc truy cËp th«ng qua mét kÕt nèi m¹ng lμ kh¸c víi c¸c rñi ro truy cËp vËt lý. s¸ch, kh¶ thi vμ hiÖu qu¶ (xem 12.2). C¸c kiÓu truy cËp nªn ®−îc xem xÐt lμ: Mét so¸t xÐt nh− vËy cã thÓ ®−îc tiÕn hμnh b»ng chøc n¨ng a) Truy cËp vËt lý, vÝ dô tíi c¸c v¨n phßng, phßng m¸y tÝnh, ®¸nh gi¸ néi bé, mét nhμ qu¶n lý ®éc lËp hoÆc mét tæ chøc thø ba tñ hå s¬; ë tiÕn hμnh so¸t xÐt ®ã. ®©y, c¸c øng cö viªn nμy cã c¸c kü n¨ng vμ b) Truy cËp l«-gÝc, vÝ dô tíi c¸c c¬ së d÷ liÖu, hÖ thèng th«ng kinh nghiÖm thÝch hîp thø ba tiÕn hμnh so¸t xÐt ®ã. ë ®©y, c¸c øng tin cña tæ chøc. cö viªn nμy cã c¸c kü n¨ng vμ kinh nghiÖm thÝch hîp. 4.2.1.2. C¸c lý do truy cËp 4.2. An ninh ®èi víi sù truy cËp cña bªn thø ba C¸c bªn thø ba cã thÓ ®−îc phÐp truy cËp v× mét sè lý do. VÝ Môc tiªu: Duy tr× an ninh cho c¸c ph−¬ng tiÖn xö lý th«ng tin dô, c¸c bªn thø ba cung cÊp c¸c dÞch vô cho tæ chøc kh«ng t¹i chç cña tæ chøc vμ c¸c tμi s¶n th«ng tin do c¸c bªn thø ba truy cËp. nh−ng cã thÓ ®−îc truy cËp vËt lý vμ l«-gÝc, nh− lμ: ViÖc truy cËp tíi c¸c ph−¬ng tiÖn xö lý th«ng tin cña tæ chøc a) Nh©n viªn hç trî phÇn cøng vμ phÇn mÒm cÇn truy cËp vμo chøc n¨ng øng dông ë møc hÖ thèng hoÆc møc c¬ së; bëi c¸c bªn thø ba nªn ®−îc kiÓm so¸t. b) C¸c ®èi t¸c th−¬ng m¹i hoÆc c¸c liªn doanh cã thÓ trao ®æi ë nh÷ng chç cã nhu cÇu kinh doanh víi viÖc truy cËp cña bªn th«ng tin, truy cËp c¸c hÖ thèng th«ng tin hoÆc chia sÎ c¸c c¬ së thø ba, ®¸nh gi¸ rñi ro nªn ®−îc tiÕn hμnh ®Ó x¸c ®Þnh c¸c vÊn d÷ liÖu 82 83