ISO27002 Tuyên bố về khả năng áp dụng (Phần 3)

Bài báo này là phần ba của loạt bốn bài giải thích về ISO 27002 và tuyên bố về khả năng áp dụng của ISO 27001. Loạt bài viết giải thích ngắn gọn từng điều khiển được đề cập trong các tiêu chuẩn này. Giải thích dựa trên ISO 27002.

—————– Điều 1 —————–

  • Chính sách Bảo mật Thông tin A5
  • Tổ chức An toàn Thông tin A6
  • Bảo mật nguồn nhân lực A7
  • Quản lý tài sản A8

—————– Điều 2 —————-

  • Kiểm soát truy cập A9
  • Mật mã học A10
  • An ninh vật lý và môi trường A11

—————– Điều 3 —————– (bài viết này)

  • Hoạt động An ninh A12
  • Bảo mật thông tin liên lạc A13
  • Hệ thống cung cấp, phát triển và bảo trì A14

—————– Điều 4 —————–

  • Mối quan hệ với nhà cung cấp A15
  • Quản lý sự cố an toàn thông tin A16
  • Các khía cạnh an toàn thông tin của quản lý tính liên tục trong kinh doanh A17
  • Tuân thủ A18

Bảo mật hoạt động

Quy trình vận hành được lập thành văn bản

Các quy trình vận hành thiết bị phải được lập thành văn bản và cung cấp cho những người sử dụng thiết bị. Từ quy trình sử dụng máy tính đơn giản (từ khi khởi động đến khi tắt máy) đến việc sử dụng các thiết bị phức tạp hơn, cần có hướng dẫn về cách vận hành an toàn và chính xác. Do tầm quan trọng của chúng, các thủ tục nên được coi như các tài liệu chính thức, có nghĩa là bất kỳ thay đổi nào cũng phải được cấp quản lý chấp thuận.

Quản lý thay đổi

Bất kỳ thay đổi nào đối với và bên trong tổ chức có thể ảnh hưởng đến an toàn thông tin phải được kiểm soát và chấp thuận bởi ban quản lý. Ví dụ, những thay đổi đó có thể là việc sử dụng một hệ thống mới hoặc thay đổi trong một quy trình kinh doanh quan trọng. Đối với các mục đích kiểm tra, một bảng thay đổi nên được lưu giữ.

Quản lý năng lực

Quản lý năng lực thực sự liên quan đến một bộ phận khá quan trọng của một tổ chức. Điều quan trọng là phải biết một hệ thống, nguồn nhân lực, văn phòng và cơ sở vật chất có bao nhiêu năng lực và điều này dự kiến ​​sẽ thay đổi như thế nào. Bất kỳ loại công suất nào cũng có thể dẫn đến những tình huống khó chịu hoặc thậm chí nguy hiểm, vì vậy việc sử dụng và thay đổi công suất hiện tại trên cơ sở ngắn hạn và dài hạn cần được kiểm soát tốt.

Tách biệt môi trường phát triển, thử nghiệm và hoạt động

Phần mềm và phần cứng tồn tại trong các giai đoạn khác nhau trên sàn làm việc. Nó có thể hoạt động, nghĩa là nó đang được tổ chức sử dụng thực tế. Phần mềm và phần cứng cũng có thể đang được phát triển, chẳng hạn như để thực hiện thay đổi hoặc cải thiện phần mềm và phần cứng hoạt động hoặc để tạo ra một cái gì đó hoàn toàn mới. Trước khi phần mềm và phần cứng mới phát triển có thể hoạt động, nó cần được kiểm tra. Bằng cách tách sự phát triển và thử nghiệm khỏi môi trường hoạt động, người ta có thể ngăn chặn việc thực hiện những thay đổi ngẫu nhiên hoặc cố ý đối với môi trường hoạt động có thể ảnh hưởng tiêu cực đến tổ chức.

Các biện pháp kiểm soát chống lại phần mềm độc hại

Các tổ chức nên có các biện pháp kiểm soát để phát hiện, ngăn chặn và phục hồi khỏi các cuộc tấn công của phần mềm độc hại. Vì con người thường vẫn là mắt xích yếu nhất trong bảo mật thông tin, điều quan trọng là phải làm cho tất cả nhân viên nhận thức được sự nguy hiểm của phần mềm độc hại. Họ phải được hướng dẫn cách làm việc an toàn và ngăn chặn phần mềm độc hại.

Sao lưu thông tin

Chính sách sao lưu là một biện pháp bảo mật thông tin nổi tiếng, nhưng điều mà các tổ chức thường quên là các bản sao lưu đó cũng cần được kiểm tra. Cần có quy trình thích hợp để sao lưu thông tin, phần mềm và hình ảnh hệ thống, và các bản sao lưu đó cần được kiểm tra tính đầy đủ và liệu chúng có thực sự hoạt động hay không. Do tầm quan trọng của chúng, các bản sao lưu cần được bảo mật tốt và được mã hóa tốt nhất.

Ghi nhật ký sự kiện

Để giữ một cái nhìn tổng quan tốt về những gì xảy ra trong một tổ chức, nên tạo nhật ký sự kiện. Hầu hết các thiết bị điện tử đều có thể tạo nhật ký về mọi hoạt động của người dùng và ghi lại mọi lỗi, bất thường và sự cố bảo mật. Các nhật ký này có thể được kiểm tra trong quá trình kiểm tra và đánh giá thường xuyên, nhưng phải giữ được mức độ riêng tư thích hợp.

Bảo vệ thông tin nhật ký

Vì nhật ký có thể tiết lộ bất kỳ hoạt động độc hại nào của người dùng hoặc lỗi hệ thống, chúng rất quan trọng trong bất kỳ nghiên cứu sự cố (bảo mật) nào. Vì lý do này, các bản ghi cần được bảo vệ thích hợp để chống lại sự giả mạo và phá hủy. Một cách tốt để duy trì tính toàn vẹn của nhật ký là tự động sao lưu chúng vào một vị trí với các yêu cầu và kiểm soát truy cập cực kỳ nghiêm ngặt.

Nhật ký của quản trị viên và nhà điều hành

Các tài khoản đặc quyền như tài khoản quản trị hoặc nhà điều hành có thể có quyền truy cập vào nhật ký, vì vậy điều quan trọng là hạn chế quyền truy cập của họ vào nhật ký hoạt động của chính họ. Để duy trì tính toàn vẹn của nhật ký tài khoản đặc quyền, cũng có thể đặt một hệ thống ghi nhật ký khác mà các cá nhân có đặc quyền không thể truy cập được.

Đồng bộ hóa đồng hồ

Nên sử dụng một thời gian tham chiếu duy nhất cho tất cả các hệ thống xử lý thông tin. Bằng cách này, hoạt động có thể được theo dõi chính xác thông qua nhiều hệ thống, điều này rất quan trọng đối với việc kiểm tra nhật ký. Ban quản lý nên ghi lại cách chọn thời gian tham chiếu và quá trình đồng bộ hóa được thực hiện như thế nào.

Cài đặt phần mềm trên các hệ thống vận hành

Việc cài đặt phần mềm trên các hệ thống vận hành cần được kiểm soát. Cần có một quy trình được lập thành văn bản về cách phần mềm được kiểm tra trước khi cài đặt và ai cài đặt/cập nhật/xóa phần mềm và cách thức thực hiện. Cài đặt, cập nhật hoặc xóa phần mềm mà không đánh giá tác động đến môi trường hoạt động có thể dẫn đến kết quả tiêu cực.

Quản lý các lỗ hổng kỹ thuật

Vì gần như không thể có một hệ thống chạy mà không có bất kỳ lỗ hổng kỹ thuật nào, nên cần có một quy trình thích hợp để phát hiện ra chúng, xác định mức độ tiếp xúc của tổ chức với chúng và cách thực hiện các biện pháp. Có một cái nhìn tổng quan đầy đủ về tất cả các tài sản, như được mô tả trong chương thứ hai, là điều cần thiết để xác định nơi mọi thứ có thể xảy ra sai sót.

Các hạn chế về cài đặt phần mềm

Phần mềm do nhân viên bình thường cài đặt thường không thể dễ dàng kiểm soát được, do đó cần được ghi lại trong chính sách. Phần mềm độc hại hoặc được bảo mật kém do nhân viên cài đặt có thể khiến hệ thống và thông tin nội bộ gặp rủi ro. Một cách tốt để ngăn chặn điều này là hạn chế quyền truy cập của người dùng để họ không thể tự cài đặt phần mềm và yêu cầu CNTT cài đặt phần mềm bổ sung khi được yêu cầu và sau khi được phê duyệt.

Kiểm soát đánh giá hệ thống thông tin

Các cuộc đánh giá có thể yêu cầu truy cập sâu vào nhiều thông tin, những thông tin này không được làm gián đoạn các hoạt động hàng ngày của nhân viên. Để đảm bảo đánh giá suôn sẻ, quyền truy cập và phạm vi bắt buộc phải được ban quản lý phê duyệt trước và đánh giá viên phải được cấp quyền truy cập chỉ đọc.

Bảo mật thông tin liên lạc kiểm soát mạng

Tất cả các mạng trong một tổ chức phải được kiểm soát. Để bảo vệ thông tin trong hệ thống, cần có một cái nhìn tổng quan thích hợp về tất cả các mạng và cách chúng được bảo vệ. Ví dụ về các biện pháp bảo vệ như vậy là tách mạng, xác thực hệ thống trên mạng và hệ thống không được có quyền truy cập vào toàn bộ mạng nếu không cần thiết.

Bảo mật của các dịch vụ mạng

Các thỏa thuận dịch vụ cần được thiết lập cho tất cả các mạng, bất kể dịch vụ được cung cấp trong nhà hay từ bên ngoài. Các thỏa thuận này phải nêu rõ các cơ chế bảo mật đang được áp dụng, các cấp độ dịch vụ là gì và bất kỳ yêu cầu nào do ban quản lý thiết lập. Nhà cung cấp dịch vụ có trách nhiệm đáp ứng tất cả các nhu cầu (hợp lý).

Tách biệt trong mạng

Một cách tốt để quản lý mạng và giảm nguy cơ truy cập trái phép là tách riêng các mạng. Điều này có thể được thực hiện bằng cách phân biệt giữa các nhóm truy cập mạng khác nhau và tạo các mạng hoặc các phần khác nhau của mạng cho các nhóm đó. Ví dụ, các đối tác bên ngoài không có nhu cầu và lý do để truy cập vào mạng máy in hoặc lưu trữ tài liệu quản lý nội bộ.

Các chính sách và thủ tục chuyển giao thông tin

Thông tin được chia sẻ bên trong và bên ngoài tổ chức. Cần có một giao thức cho tất cả các hình thức chia sẻ thông tin, bao gồm cả tài liệu kỹ thuật số, tài liệu vật lý, video, nhưng cũng như truyền miệng. Các quy tắc rõ ràng về cách thông tin có thể được chia sẻ một cách an toàn giúp giảm nguy cơ ô nhiễm và rò rỉ thông tin.

Các thỏa thuận về chuyển giao thông tin

Thông tin được chia sẻ giữa tổ chức và các bên bên ngoài cần phải có trước một thỏa thuận chuyển giao thông tin. Bằng cách này, nguồn, nội dung, tính bảo mật, phương tiện truyền tải và điểm đến của việc chuyển giao thông tin được cả hai bên đồng ý và thống nhất.

Nhắn tin điện tử

Giao tiếp kinh doanh thường diễn ra bằng cách nhắn tin điện tử. Các tổ chức nên có một cái nhìn tổng quan về các loại thông điệp điện tử đã được phê duyệt và nên ghi lại cách chúng được bảo vệ.

Các thỏa thuận về bảo mật hoặc không tiết lộ

Cần có một chính sách rõ ràng và được ghi chép đầy đủ về các thỏa thuận bảo mật hoặc không tiết lộ. Các tổ chức khác nhau có thể có các yêu cầu khác nhau đối với việc giữ bí mật thông tin, vì vậy điều quan trọng là các tổ chức phải xác định, chính thức hóa và cập nhật các yêu cầu đó.

Mua lại, phát triển và bảo trì hệ thống

Phân tích và đặc tả các yêu cầu an toàn thông tin

 Hệ thống thông tin có các yêu cầu bảo mật khác nhau đi kèm với chúng, xuất phát từ các yêu cầu kinh doanh, yêu cầu pháp lý và tuân thủ các tiêu chuẩn hoặc quy định khác. Các yêu cầu này phải được lập thành văn bản và thực hiện trong các hệ thống thông tin mới hoặc cập nhật cho các hệ thống thông tin hiện tại.

Bảo mật các dịch vụ ứng dụng trên mạng công cộng

Không nên tin cậy các mạng wifi công cộng, vì có thể bị hacker kiểm soát. Người ta không nên sử dụng các mạng như vậy, trừ khi người ta sử dụng phần mềm Mạng riêng ảo (VPN).

Bảo vệ các giao dịch dịch vụ ứng dụng

Các giao dịch là mục tiêu phổ biến của những cá nhân không thiện chí và bất kỳ thông tin nào liên quan đến chúng cần được bảo vệ để chống lại việc tiếp nhận, định tuyến lại, sao chép hoặc thay đổi trái phép. Các bước cơ bản cần thiết để giao dịch an toàn là một đường dẫn liên lạc được mã hóa và chữ ký điện tử của cả hai bên.

Chính sách phát triển an toàn

Bảo mật thông tin bắt đầu với các hệ thống an toàn. Một hệ thống không thể an toàn nếu không lưu ý đến bảo mật thông tin trong quá trình phát triển. Các quy tắc phát triển phần mềm và hệ thống an toàn phải được tổ chức lập thành văn bản và thực hiện trong quá trình phát triển phần mềm và hệ thống mới.

Các thủ tục kiểm soát thay đổi hệ thống

Ngay cả trong vòng đời phát triển của hệ thống, sự thay đổi cần được chính thức lập thành văn bản để đảm bảo tính toàn vẹn. Tầm quan trọng của việc tách biệt môi trường phát triển khỏi môi trường hoạt động đã được thảo luận trong một chương con trước đây có tên là “Tách môi trường phát triển, thử nghiệm và hoạt động”. Các tổ chức nên lo lắng về việc cập nhật tự động cho các hệ thống quan trọng, vì chúng có thể khiến hệ thống bị lỗi.

Xem xét kỹ thuật các ứng dụng sau khi thay đổi nền tảng hoạt động

Sau khi thay đổi, các hệ thống hoạt động cần được xem xét lại về hiệu suất và tính bảo mật của chúng. Sự thay đổi có thể đã ảnh hưởng tiêu cực đến hệ thống hoặc bảo mật thông tin tổng thể và/hoặc hiệu suất. Việc đưa điều này trở thành chính sách của công ty đảm bảo quy trình được thực hiện nhất quán và có thể ngăn chặn những rủi ro và gián đoạn công việc không cần thiết.

Các hạn chế đối với các thay đổi đối với gói phần mềm

Các gói phần mềm yêu cầu cập nhật một lần, có thể là nhỏ hoặc lớn. Cần có quy trình cập nhật phần mềm, nơi người cập nhật đánh giá nghiêm túc mức độ cần thiết và tác động của việc cập nhật. Các bản vá chỉ nên được áp dụng khi đã được kiểm tra và coi là hữu ích.

Các nguyên tắc kỹ thuật hệ thống an toàn

Tương tự như một chương con trước đó có tên là “Chính sách phát triển an toàn”, các nguyên tắc về cách kỹ sư bảo mật hệ thống cần được chính thức hóa và áp dụng cho bất kỳ sự phát triển hệ thống thông tin nào. Điều quan trọng là phải triển khai bảo mật trong tất cả các lớp hệ thống và lường trước những rủi ro mà hệ thống có thể gặp phải.

Môi trường phát triển an toàn

Để có thể phát triển phần mềm và hệ thống mới một cách an toàn, ban quản lý cần tạo ra một môi trường phát triển an toàn. Điều này bao gồm các nỗ lực về kỹ thuật, tổ chức và nguồn nhân lực. Các môi trường phát triển khác nhau có thể yêu cầu các mức độ bảo mật khác nhau, các quy trình và biện pháp trong các môi trường đó phải được điều chỉnh. Ví dụ về mức độ an ninh được nâng cao là giám sát liên tục các hoạt động trong và tiếp cận với môi trường.

Phát triển bên ngoài

Không phải tất cả sự phát triển đều có thể diễn ra trong nhà, vì vậy các tổ chức cần thiết lập các thủ tục và theo dõi chặt chẽ sự phát triển bên ngoài. Một thỏa thuận kỹ lưỡng cần được thiết lập trước khi hợp tác, các yêu cầu phải rõ ràng, tổ chức phải có khả năng đánh giá quá trình phát triển và các sản phẩm được phân phối được kiểm tra trước khi chấp nhận.

Kiểm tra bảo mật hệ thống

Trong quá trình phát triển, bảo mật của hệ thống mới/cập nhật cần được kiểm tra kỹ lưỡng. Việc kiểm tra được thực hiện tốt nhất bằng cách sử dụng các đầu vào kiểm tra thực tế cho hệ thống và đánh giá đầu ra một cách nghiêm túc. Kiểm tra bảo mật và kiểm tra chấp nhận nên được tách biệt, ngay cả đối với các sản phẩm nội bộ. Hệ thống càng quan trọng thì càng phải kiểm tra bảo mật kỹ lưỡng hơn.

Kiểm thử chấp nhận hệ thống

Cần có một quy trình được lập thành văn bản và được áp dụng nghiêm ngặt để kiểm tra chấp nhận các hệ thống mới/cập nhật. Bản thân việc kiểm tra cần được thực hiện độc lập với sự phát triển và kiểm tra việc tuân thủ các yêu cầu về phát triển và bảo mật của tổ chức.

Bảo vệ dữ liệu thử nghiệm

Như đã thảo luận trong chương trước, thử nghiệm phải diễn ra trong một tình huống thực tế với dữ liệu thử nghiệm thực tế. Để phản ánh ứng dụng trong thế giới thực, dữ liệu hoạt động ẩn danh và không nhạy cảm nên được sử dụng để thử nghiệm và xác thực trước khi sử dụng. Việc kiểm tra phải được lập thành văn bản và ghi nhật ký để đánh giá, và mọi dữ liệu kiểm tra hoạt động phải được xóa sau khi kiểm tra xong.

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng (phần 2)

Giải thích về ISO27002 và tuyên bố về khả năng áp dụng (phần 4)

Ngày 14/4/2022

Tin liên quan