ISO27002 Tuyên bố về khả năng áp dụng (phần-2)

Bài báo là phần hai trong loạt bốn bài báo. Loạt bài viết giải thích ngắn gọn từng biện pháp kiểm soát được đề cập trong tuyên bố về khả năng áp dụng của ISO 27001. Giải thích dựa trên ISO 27002.

—————– Điều 1 —————–

  • Chính sách Bảo mật Thông tin A5
  • Tổ chức An toàn Thông tin A6
  • Bảo mật nguồn nhân lực A7
  • Quản lý tài sản A8

—————– Điều 2 —————- (bài viết này)

  • Kiểm soát truy cập A9
  • Mật mã học A10
  • An ninh vật lý và môi trường A11

—————– Điều 3 —————–

  • Hoạt động An ninh A12
  • Bảo mật thông tin liên lạc A13
  • Hệ thống cung cấp, phát triển và bảo trì A14

—————– Điều 4 —————–

  • Mối quan hệ với nhà cung cấp A15
  • Quản lý sự cố an toàn thông tin A16
  • Các khía cạnh an toàn thông tin của quản lý tính liên tục trong kinh doanh A17
  • Tuân thủ A18

Kiểm soát truy cập

Chính sách kiểm soát truy cập

Cần có một chính sách kiểm soát truy cập để xác định cách thức truy cập được quản lý và ai được phép truy cập những gì. Các quy tắc cho mỗi nội dung nằm ở chủ sở hữu nội dung, những người thiết lập các yêu cầu, hạn chế và quyền để truy cập vào nội dung “của họ”. Các thuật ngữ thường thấy trong chính sách kiểm soát truy cập là cần biết và cần sử dụng, trong đó điều khoản trước chỉ hạn chế quyền truy cập đối với thông tin mà nhân viên cần để thực hiện nhiệm vụ của họ và điều khoản sau chỉ hạn chế quyền truy cập đối với các cơ sở xử lý thông tin cần thiết để thực hiện nhiệm vụ. 

Quyền truy cập vào mạng và dịch vụ mạng

Giới hạn quyền truy cập chỉ vào các mạng cần thiết để ai đó thực hiện nhiệm vụ của họ sẽ hạn chế nguy cơ gián đoạn (có mục đích) đối với các quy trình kinh doanh quan trọng. Ví dụ, những nhân viên bình thường sẽ không bao giờ cần truy cập vào hệ thống mạng mà máy móc chuyên dụng đang chạy, và chỉ có thể gây ra (không) cố ý gây hại. Một lý do khác cho việc quản lý truy cập mạng là thực tế là không phải tất cả các mạng đều được chạy (từ) trong tổ chức và không thể được bảo vệ như vậy.

Đăng ký người dùng và hủy đăng ký

Để chỉ định quyền truy cập vào nội dung và mạng và theo dõi ai thực sự thực hiện việc truy cập, người dùng cần được đăng ký theo một ID. Khi một nhân viên rời khỏi tổ chức, ID và quyền truy cập vào tổ chức đó sẽ bị xóa. Khi một nhân viên chỉ cần bị từ chối quyền truy cập, quyền truy cập của ID có thể bị giới hạn. Mặc dù có thể nhanh hơn và dễ dàng hơn để truy cập vào nội dung nào đó dưới ID của nhân viên khác, điều này không được phép bởi quản lý trong hầu hết các trường hợp. Sharing ID loại bỏ mối liên hệ giữa giới hạn quyền truy cập và nhân viên, đồng thời khiến việc giữ đúng người chịu trách nhiệm về hành động của họ là không thể.

Cấp phép truy cập của người dùng

Ban quản lý cần có một hệ thống dành cho việc cung cấp và thu hồi quyền truy cập. Nên tạo các vai trò nhất định dựa trên các hoạt động mà một số loại nhân viên thực hiện và cấp các quyền tiếp cận cơ bản giống nhau cho họ. Một phần của việc có một hệ thống tại chỗ là có hậu quả cho việc cố gắng truy cập trái phép. Nhân viên không cần phải cố gắng truy cập vào những nơi họ không nên, vì quyền truy cập có thể dễ dàng được yêu cầu cho chủ sở hữu và/hoặc quản lý tài sản.

Quản lý quyền truy cập đặc quyền

Một số nhân viên cần có quyền truy cập đặc biệt vào một tài sản hoặc hệ thống, còn được gọi là quyền truy cập đặc quyền. Ví dụ về điều này là quản trị viên hệ thống có thể truy cập ngay cả vào gốc sâu nhất của hệ thống và ghi đè các điều khiển. Những quyền đặc biệt này nên được quản lý chính thức một cách thận trọng hơn, vì hệ quả của việc lạm dụng có thể rất nghiêm trọng.

Quản lý thông tin xác thực bí mật của người dùng

Xác thực bí mật, chẳng hạn như mật khẩu và thẻ truy cập, phải được quản lý theo một quy trình chính thức. Các hoạt động quan trọng khác cần được nêu trong chính sách, chẳng hạn như cấm người dùng chia sẻ thông tin xác thực bí mật, cấp cho người dùng mới mật khẩu phải được thay đổi trong lần sử dụng đầu tiên và yêu cầu tất cả hệ thống xác thực người dùng bằng cách yêu cầu xác thực bí mật của người dùng thông tin (mật khẩu trên PC, quẹt thẻ ra vào cửa).

Xem xét quyền truy cập của người dùng

Các tổ chức và nhân viên của họ không tĩnh. Vai trò thay đổi hoặc nhân viên rời khỏi công ty, thay đổi nhu cầu truy cập liên tục. Chủ sở hữu nội dung nên thường xuyên xem xét xem ai có thể truy cập vào nội dung của họ, trong khi việc thay đổi hoặc rời khỏi vai trò sẽ kích hoạt việc xem xét quyền truy cập của ban quản lý. Vì các quyền truy cập đặc quyền nhạy cảm hơn, chúng cần được xem xét thường xuyên hơn.

Xóa bỏ hoặc điều chỉnh quyền truy cập

Khi hợp đồng hoặc thỏa thuận đã bị chấm dứt, quyền truy cập của bên nhận phải bị xóa. Nếu không cần loại bỏ hoàn toàn do sự tiếp tục của một số loại, các quyền có thể được thay đổi thay vì loại bỏ. Đây nên là một chính sách, vì truy cập trái phép của nhân viên/đối tác cũ có thể nhanh chóng và có tác động. Nếu bên kia có chi tiết đăng nhập vào hệ thống hoặc dịch vụ, thì mật khẩu đó phải được thay đổi trực tiếp sau khi chấm dứt.

Sử dụng thông tin xác thực bí mật

Cho dù chính sách có hoàn hảo đến đâu, cấp quản lý cũng nên đảm bảo rằng tất cả nhân viên thực sự tuân theo chính sách đó. Trong trường hợp thông tin xác thực bí mật, cần có một bộ quy tắc bắt buộc để kiểm tra tính tuân thủ. Ví dụ về các quy tắc đó là yêu cầu mật khẩu, cấm chia sẻ mật khẩu và cấm sử dụng mật khẩu cá nhân cho mục đích kinh doanh.

Hạn chế truy cập thông tin

Khi chính sách quyền truy cập quy định rằng quyền truy cập vào một số hệ thống, tài sản hoặc thông tin nhất định phải bị giới hạn, các quyền truy cập đó trên thực tế nên bị hạn chế theo cách đó.

Thủ tục đăng nhập an toàn

Khi chính sách kiểm soát truy cập quy định rằng việc truy cập vào các hệ thống, tài sản hoặc thông tin nhất định phải được kiểm soát bằng thủ tục đăng nhập, thì thủ tục này cần phải được thực hiện trên thực tế.

Hệ thống quản lý mật khẩu

Nếu sử dụng hệ thống quản lý mật khẩu, chúng cần cung cấp mật khẩu tốt và tuân thủ nghiêm ngặt chính sách thông tin xác thực bí mật của tổ chức. Bản thân mật khẩu phải được lưu trữ và truyền đi một cách an toàn bởi hệ thống quản lý mật khẩu.

Sử dụng các chương trình tiện ích đặc quyền

Các chương trình cung cấp quyền truy cập đặc quyền vào tài sản hoặc hệ thống phải được kiểm soát chặt chẽ. Do khả năng ghi đè các điều khiển và truy cập một phần của hệ thống có thể ảnh hưởng đến hiệu suất, việc sử dụng chúng phải được hạn chế hết mức có thể.

Kiểm soát truy cập vào mã nguồn chương trình

Mã nguồn là đoạn mã có giá trị nhất mà một hệ thống hoặc chương trình có. Ngay cả mã nguồn không chạy bất kỳ ứng dụng nội bộ nào cũng có giá trị lớn, có thể là tiền tệ trong trường hợp sở hữu trí tuệ. Mã nguồn của các ứng dụng nội bộ không được phép cho người không được phép truy cập và người được ủy quyền phải được kiểm soát và xem xét thường xuyên.

Mật mã học

Chính sách về việc sử dụng các biện pháp kiểm soát mật mã

Vì một số thông tin phải được giữ bí mật cho những người không được giao phó và giữ tính toàn vẹn/tính xác thực của nó, nên nó phải được mã hóa. Đối với những loại tình huống này, phải có chính sách kiểm soát mật mã. Trong chính sách này cần nêu rõ khi nào thì cần các biện pháp kiểm soát mật mã và loại nào phù hợp với tình huống nào.

Quản lý khóa

Cũng giống như các điều khiển mật mã cần được quản lý an toàn, các khóa mật mã cũng vậy. Có lẽ còn hơn thế nữa. Các khóa mật mã, cũng giống như tài sản thông tin, có chu kỳ sống. Chu trình này bao gồm tạo, lưu trữ, lưu trữ, truy xuất, phân phối, gỡ bỏ và hủy khóa. Cần có chính sách về quản lý các khóa trong toàn bộ vòng đời của chúng. Ví dụ, đối với việc tạo khóa, điều này có thể là độ dài cần thiết, thuật toán được sử dụng và cách nó sẽ được lưu trữ.

An ninh vật chất và môi trường

Chu vi bảo mật vật lý

Việc bảo vệ thông tin cũng phải diễn ra ở cấp độ vật lý, vì các nỗ lực truy cập trái phép không phải lúc nào cũng xảy ra trong khoảng cách. Các rào cản vật lý phải được đặt ở cả bên trong và bên ngoài không gian làm việc của tổ chức, chẳng hạn như cổng ra vào, văn phòng có khóa và khu vực tiếp tân có người lái để kiểm soát ai có quyền truy cập và ai không.

Kiểm soát ra vào vật lý

Các khu vực an toàn cần được khóa khỏi các khu vực chung và việc truy cập vào chúng phải được cấp phép và lập thành văn bản. Những người không phải là nhân viên như du khách nên được đi cùng và danh tính của họ phải được xác thực

Đảm bảo an toàn cho các văn phòng, phòng và cơ sở vật chất

Để giữ an ninh, các văn phòng, phòng và cơ sở chủ chốt phải không cho công chúng tiếp cận. Công chúng không nên biết về mục đích của họ, liệu quá trình xử lý thông tin có diễn ra ở họ hay không, và tốt nhất là ngay cả vị trí của họ.

Bảo vệ chống lại các mối đe dọa từ bên ngoài và môi trường

Điều này nghe có vẻ cực đoan, nhưng các tổ chức nên thực hiện các biện pháp chống lại bất kỳ mối đe dọa tự nhiên hoặc phi tự nhiên nào từ bên ngoài. Các mối đe dọa tự nhiên có thể được giảm thiểu (một phần) bằng cách nằm trong một tòa nhà vững chắc và an toàn, và các mối đe dọa phi tự nhiên như đám đông hoặc đột nhập có thể được giảm thiểu bằng nhiều rào cản vật lý.

Làm việc trong khu vực an toàn

Cần nắm bắt các thủ tục làm việc trong khu vực an toàn. Các khu vực có thể an toàn do tính chất được phân loại hoặc nguy hiểm và chỉ những người được ủy quyền mới có thể truy cập được. Để bảo vệ nội dung của các khu vực an toàn, tổ chức có thể muốn xem xét việc cấm bất kỳ thiết bị ghi âm hình ảnh và âm thanh nào.

Khu vực giao hàng và bốc hàng

Do không phải lúc nào hàng hóa cũng có thể đến và rời khỏi cơ sở bởi nhân viên riêng, nên khu vực giao hàng và bốc hàng tại cơ sở phải được kiểm soát tốt. Để tránh mọi truy cập trái phép (tình cờ) vào các bộ phận khác của tổ chức, các khu vực giao hàng và chất hàng có thể được bố trí ở một phần từ xa và được kiểm soát của tòa nhà. Hàng hóa xuất nhập cần được tách biệt và kiểm tra kỹ càng trước khi nhập/xuất.

Đặt và bảo vệ thiết bị

Thiết bị phải được định vị và bảo vệ tương ứng với phân loại của chúng. Bằng cách kiểm soát tất cả các hình thức truy cập, thiết bị có thể được bảo vệ khỏi thiệt hại (ngẫu nhiên), giả mạo và bất kỳ hình thức truy cập trái phép nào.

Các tiện ích hỗ trợ

Các tiện ích hỗ trợ, chẳng hạn như kết nối mạng, cấp nước/không khí/khí đốt và hệ thống thông gió tại một số điểm có thể bị lỗi. Để ngăn chặn bất kỳ hậu quả tiêu cực nào, rủi ro cần được lường trước. Các tiện ích nên được kiểm tra thường xuyên, có thể thực hiện tự động phát hiện lỗi và đối với các cơ sở chính, các tiện ích dự phòng như mạng khẩn cấp thay thế hoặc cấp nước có thể được đưa vào.

Bảo mật cáp

Cáp mang điện hoặc viễn thông phải được bảo vệ khỏi hư hỏng, nhiễu và đánh chặn. Để ngăn việc tiếp cận dễ dàng, chúng nên được định tuyến khuất tầm nhìn bên dưới các tầng hoặc trong/sau các bức tường. Đối với các hệ thống đặc biệt quan trọng, hệ thống cáp thậm chí có thể được bảo vệ bằng điện từ.

Bảo trì thiết bị

Thiết bị phải được bảo dưỡng tốt để tránh bất kỳ hư hỏng hoặc giả mạo nào. Các nhà sản xuất thường có khoảng thời gian bảo trì được khuyến nghị và các công ty bảo hiểm có thể có các yêu cầu riêng của họ, cả hai đều cần được tôn trọng. Mọi lỗi phải được ghi lại và chỉ những người được ủy quyền mới có thể thực hiện việc bảo dưỡng.

Loại bỏ tài sản

Đôi khi tài sản có thể được đưa ra bên ngoài, điều này gây ra nhiều rủi ro. Nằm ngoài sự kiểm soát của tổ chức, chúng có thể dễ dàng bị giả mạo, truy cập trái phép hoặc bị phá hoại hơn. Bất kỳ việc loại bỏ tài sản nào ở ngoại vi đều phải được lập thành văn bản, điều quan trọng là phải đăng ký bởi ai, ở đâu, tại sao và trong bao lâu thì tài sản đó sẽ ở ngoại vi.

Bảo mật thiết bị và tài sản ra ngoài cơ sở

Như đã mô tả trong các chương trước, việc mang tài sản hoặc thiết bị ra ngoài cơ sở tiềm ẩn nhiều rủi ro. Chúng phải được bảo đảm, chăm sóc và bảo vệ thích hợp. Để giảm thiểu những rủi ro này, một tổ chức có thể chọn cấm bất kỳ nhân viên bình thường nào thực hiện các hoạt động ngoại vi.

Thải bỏ hoặc tái sử dụng thiết bị một cách an toàn

Các vật mang phương tiện có thể được tái sử dụng vào một thời điểm nào đó, nhưng điều quan trọng là phải kiểm soát đúng quy trình này. Phương tiện có thể chứa nội dung đã phân loại, không thể truy xuất được bằng cách ghi đè lên nó. Khi không thể thực hiện ghi đè một cách an toàn, phương tiện không nên được sử dụng lại và có thể phải bị phá hủy vật lý sau khi ghi đè.

Thiết bị của người sử dụng không cần giám sát

Thiết bị không phải lúc nào cũng được sử dụng, và do đó cần được bảo vệ thích hợp trong những trường hợp đó. Các phiên đăng nhập phải được tự động chấm dứt sau một thời gian ngắn không hoạt động và nhân viên phải đăng xuất theo cách thủ công sau các phiên.

Chính sách rõ ràng về bàn làm việc và màn hình rõ ràng

Để đảm bảo không có thông tin nào trên bàn làm việc hoặc hệ thống có thể bị truy cập trái phép, bàn làm việc không được chứa bất kỳ tài sản thông tin vật lý hoặc phương tiện truyền thông nào và máy tính phải được đăng xuất khi nhân viên không có mặt. Khi một nhân viên không có mặt và thông tin bị lộ, nó có thể bị nhìn thấy, bị đánh cắp, giả mạo hoặc bị phá hủy rất dễ dàng.

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng (phần 3)

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng (phần 4)

Ngày 13/4/2022

Tin liên quan