Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam

CCISO – “Quản trị an ninh thông qua nguyên tắc và chính sách” (Security Governance Through Principles and Policies) W1D1

CCISO – Week 1 “Quản trị an ninh thông qua nguyên tắc và chính sách” (Security Governance Through Principles and Policies) Lưu ý : Thời gian chỉ mang tính chất tương đối , nhanh chậm tùy người … Giải thích : Tình huống minh họa: Hãy tưởng tượng một công ty công nghệ lớn tên…

IT-PRO
42–63 phút

CCISO – Week 1 “Quản trị an ninh thông qua nguyên tắc và chính sách” (Security Governance Through Principles and Policies)

https://itpro.edu.vn/cac-khoa-hoc-an-toan-thong-tin-khoa-hoc-may-tinh-quoc-te/

Lưu ý : Thời gian chỉ mang tính chất tương đối , nhanh chậm tùy người …

Giải thích :

  1. Quản trị an ninh (Security Governance): Đây là quá trình xác định và duy trì các cấu trúc tổ chức, quy trình, và chính sách để đảm bảo rằng các chiến lược an ninh thông tin phù hợp với mục tiêu kinh doanh và tuân thủ các quy định pháp lý. Nó bao gồm việc thiết lập trách nhiệm, định nghĩa vai trò, và đảm bảo trách nhiệm giải trình trong việc thực hiện an ninh thông tin.
  2. Nguyên tắc (Principles): Đây là những hướng dẫn cơ bản và nền tảng mà tổ chức tuân theo trong việc thiết kế và thực hiện các biện pháp an ninh. Các nguyên tắc này thường rộng và có tính tổng quát, tạo nên khung làm việc cho các quyết định an ninh.
  3. Chính sách (Policies): Chính sách là các tuyên bố cụ thể về cách tổ chức quản lý, bảo vệ và phân phối tài nguyên thông tin. Chúng là sự cụ thể hóa của các nguyên tắc, cung cấp hướng dẫn chi tiết về cách thức thực hiện an ninh trong tổ chức.

Tình huống minh họa:

Hãy tưởng tượng một công ty công nghệ lớn tên là Security365’s TechSafe:

  1. Nguyên tắc an ninh:
    • “Bảo vệ dữ liệu khách hàng là ưu tiên hàng đầu”
    • “An ninh là trách nhiệm của mọi nhân viên”
    • “Áp dụng phương pháp phòng thủ theo chiều sâu”
  2. Chính sách an ninh (dựa trên các nguyên tắc trên):

a. Chính sách bảo vệ dữ liệu khách hàng:

  • Tất cả dữ liệu khách hàng phải được mã hóa khi lưu trữ và truyền tải.
  • Chỉ nhân viên được ủy quyền mới có thể truy cập dữ liệu khách hàng.
  • Kiểm tra bảo mật dữ liệu phải được thực hiện hàng quý.

b. Chính sách đào tạo an ninh cho nhân viên:

  • Mọi nhân viên phải tham gia khóa đào tạo an ninh khi bắt đầu làm việc.
  • Đào tạo lại về an ninh phải được thực hiện hàng năm.
  • Nhân viên phải báo cáo ngay lập tức các sự cố an ninh tiềm ẩn.

c. Chính sách kiểm soát truy cập:

  • Sử dụng xác thực đa yếu tố cho tất cả tài khoản.
  • Áp dụng nguyên tắc đặc quyền tối thiểu khi cấp quyền truy cập.
  • Thực hiện kiểm tra định kỳ và thu hồi quyền truy cập không cần thiết.

Trong ví dụ này, Security365’s TechSafe đã thiết lập quản trị an ninh thông qua việc xác định các nguyên tắc cốt lõi và sau đó phát triển các chính sách cụ thể dựa trên những nguyên tắc đó. Điều này đảm bảo rằng mọi quyết định và hành động liên quan đến an ninh đều phù hợp với các giá trị cốt lõi của công ty và được thực hiện một cách nhất quán trong toàn tổ chức.

Và bây giờ chúng ta sẽ đi vào chi tiết hơn các khái niệm trong tuần đầu tiên để ôn luyện cho bài thi chứng chỉ quốc tế CCISO của EC Council dành cho nhà quản trị an ninh thông tin hay CISA, CISM, CISSP, CASP.

CÁC CHỦ ĐỀ ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO GỒM:

Lĩnh vực 1.0: Quản lý An ninh và Rủi ro

1.2 Hiểu và áp dụng các khái niệm an ninh

1.2.1 Tính bảo mật, tính toàn vẹn, tính sẵn sàng, tính xác thực và tính không thể chối bỏ (5 Trụ cột của An ninh Thông tin)

1.3 Đánh giá và áp dụng các nguyên tắc quản trị an ninh

1.3.1 Sự phù hợp của chức năng an ninh với chiến lược kinh doanh, mục tiêu, sứ mệnh và các mục tiêu cụ thể

1.3.2 Các quy trình tổ chức (ví dụ: mua lại, thoái vốn, các ủy ban quản trị)

1.3.3 Vai trò và trách nhiệm trong tổ chức

1.3.4 Các khung kiểm soát an ninh (ví dụ: Tổ chức Tiêu chuẩn hóa Quốc tế (ISO), Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), Mục tiêu Kiểm soát cho Thông tin và Công nghệ Liên quan (COBIT), Kiến trúc An ninh Kinh doanh Ứng dụng Sherwood (SABSA), Ngành Công nghiệp Thẻ Thanh toán (PCI), Chương trình Quản lý Rủi ro và Ủy quyền Liên bang (FedRAMP))

1.3.5 Trách nhiệm cẩn trọng/thẩm định kỹ lưỡng

1.6 Phát triển, lập tài liệu và triển khai chính sách an ninh, tiêu chuẩn, quy trình và hướng dẫn

1.10 Hiểu và áp dụng các khái niệm và phương pháp luận mô hình hóa mối đe dọa

1.11 Áp dụng các khái niệm quản lý rủi ro chuỗi cung ứng (SCRM)

1.11.1 Rủi ro liên quan đến việc mua sắm sản phẩm và dịch vụ từ nhà cung cấp (ví dụ: giả mạo sản phẩm, hàng giả, các thiết bị cấy ghép)

1.11.2 Các biện pháp giảm thiểu rủi ro (ví dụ: đánh giá và giám sát bên thứ ba, yêu cầu an ninh tối thiểu, yêu cầu mức dịch vụ, gốc tin cậy silicon, chức năng vật lý không thể sao chép, danh sách thành phần phần mềm)

Lĩnh vực 3.0 Kiến trúc và Kỹ thuật An ninh

3.1 Nghiên cứu, triển khai và quản lý các quy trình kỹ thuật sử dụng các nguyên tắc thiết kế an toàn

3.1.1 Mô hình hóa mối đe dọa

3.1.3 Phòng thủ theo chiều sâu

Security 101

An ninh là một yếu tố cốt lõi trong việc đảm bảo sự tồn tại và hoạt động liên tục của một tổ chức. Nó vượt ra ngoài phạm vi của một vấn đề kỹ thuật đơn thuần và trở thành một công cụ quản lý kinh doanh thiết yếu. Mục đích chính của an ninh là hỗ trợ và duy trì các mục tiêu, sứ mệnh và mục đích của tổ chức.

Để thiết lập một nền tảng an ninh vững chắc, các tổ chức thường áp dụng một khung an ninh làm điểm khởi đầu. Sau khi thiết lập, việc tinh chỉnh an ninh được thực hiện thông qua đánh giá và kiểm tra liên tục. Có ba phương pháp đánh giá an ninh phổ biến:

  1. Đánh giá rủi ro: Đây là quá trình xác định tài sản, mối đe dọa và lỗ hổng để tính toán rủi ro. Kết quả của đánh giá rủi ro được sử dụng để hướng dẫn việc cải thiện cơ sở hạ tầng an ninh hiện có. Quá trình này giúp tổ chức hiểu rõ những rủi ro mà họ đang phải đối mặt và ưu tiên các biện pháp bảo vệ.
  2. Đánh giá lỗ hổng: Phương pháp này sử dụng các công cụ tự động để phát hiện các điểm yếu an ninh đã biết. Thông tin thu được từ đánh giá lỗ hổng cho phép tổ chức bổ sung thêm các biện pháp phòng thủ hoặc điều chỉnh các biện pháp bảo vệ hiện tại. Đây là một cách hiệu quả để phát hiện và khắc phục các lỗ hổng trước khi chúng bị khai thác.
  3. Thử nghiệm thâm nhập: Phương pháp này sử dụng các đội ngũ đáng tin cậy để kiểm tra sức chịu đựng của cơ sở hạ tầng an ninh. Mục đích là tìm ra các vấn đề mà hai phương pháp trước có thể bỏ sót và phát hiện những điểm yếu trước khi kẻ tấn công lợi dụng chúng. Thử nghiệm thâm nhập mô phỏng các cuộc tấn công thực tế, giúp tổ chức hiểu rõ hơn về khả năng phòng thủ của mình.

An ninh cần phải hiệu quả về mặt chi phí. Các tổ chức không có ngân sách vô hạn và phải phân bổ nguồn lực một cách thông minh. Điều này đòi hỏi việc lựa chọn các biện pháp kiểm soát an ninh dựa trên nguyên tắc cung cấp sự bảo vệ tối đa với chi phí thấp nhất. Việc cân nhắc giữa chi phí và lợi ích của các biện pháp an ninh là một phần quan trọng trong quá trình ra quyết định.

Ngoài ra, an ninh cũng cần có tính pháp lý. Luật pháp của khu vực pháp lý là nền tảng cho an ninh tổ chức. Trong trường hợp xảy ra vi phạm an ninh, đặc biệt là khi các hoạt động đó là bất hợp pháp, việc truy tố tại tòa án có thể là phản ứng duy nhất có sẵn để đòi bồi thường hoặc giải quyết vấn đề. Do đó, các biện pháp an ninh được triển khai phải tuân thủ luật pháp và có thể được bảo vệ trước tòa án nếu cần thiết.

Cuối cùng, điều quan trọng cần nhận thức là an ninh là một hành trình liên tục, không phải là một đích đến cuối cùng. Không thể đạt được trạng thái “hoàn toàn an toàn” vì các vấn đề an ninh luôn thay đổi. Công nghệ triển khai liên tục thay đổi theo thời gian, do hoạt động của người dùng và do kẻ tấn công phát hiện ra lỗ hổng và phát triển các phương thức khai thác mới. Các biện pháp phòng thủ đủ mạnh ngày hôm qua có thể không còn đủ vào ngày mai. Do đó, các tổ chức cần liên tục đánh giá lại và cải thiện cơ sở hạ tầng an ninh của mình để đối phó với các thách thức mới nổi.

Understand and Apply Security Concepts

Các khái niệm và nguyên tắc quản lý an ninh là những yếu tố cốt lõi trong việc xây dựng chính sách và triển khai giải pháp an ninh. Chúng định nghĩa các thông số cơ bản cần thiết cho một môi trường an toàn và xác định các mục tiêu mà cả nhà thiết kế chính sách lẫn người triển khai hệ thống phải đạt được để tạo ra một giải pháp an ninh hiệu quả.

5 Trụ cột của An ninh Thông tin bao gồm confidentiality (bảo mật), integrity (toàn vẹn), availability (khả dụng), authenticity (xác thực), và nonrepudiation (không thể chối bỏ). Ba yếu tố đầu tiên được gọi chung là CIA Triad, thường được coi là mục tiêu và mục đích chính của cơ sở hạ tầng an ninh.

Confidentiality (Bảo mật):

Bảo mật là khái niệm về các biện pháp được sử dụng để đảm bảo bảo vệ tính bí mật của dữ liệu, đối tượng hoặc tài nguyên. Mục tiêu của bảo mật là ngăn chặn hoặc giảm thiểu việc truy cập trái phép vào dữ liệu. Các biện pháp bảo mật bảo vệ quyền truy cập hợp pháp trong khi ngăn chặn việc tiết lộ trái phép.

Vi phạm bảo mật không chỉ giới hạn ở các cuộc tấn công có chủ đích. Nhiều trường hợp tiết lộ trái phép thông tin nhạy cảm hoặc bí mật là kết quả của lỗi con người, sự sơ suất hoặc thiếu hiểu biết. Vi phạm bảo mật có thể xảy ra do hành động của người dùng cuối hoặc quản trị viên hệ thống. Chúng cũng có thể xảy ra do sơ suất trong chính sách bảo mật hoặc cấu hình sai của biện pháp kiểm soát an ninh.

Có nhiều biện pháp đối phó có thể giúp đảm bảo bảo mật chống lại các mối đe dọa có thể xảy ra. Những biện pháp này bao gồm mã hóa, padding lưu lượng mạng, kiểm soát truy cập nghiêm ngặt, quy trình xác thực nghiêm ngặt, phân loại dữ liệu và đào tạo nhân sự rộng rãi.

Các khía cạnh của bảo mật bao gồm:

  1. Sensitivity (Độ nhạy cảm): Đề cập đến chất lượng của thông tin có thể gây hại hoặc thiệt hại nếu bị tiết lộ.
  2. Discretion (Quyền quyết định): Là quyết định mà người vận hành có thể ảnh hưởng hoặc kiểm soát việc tiết lộ để giảm thiểu tác hại hoặc thiệt hại.
  3. Criticality (Tính trọng yếu): Mức độ quan trọng của thông tin đối với nhiệm vụ. Càng trọng yếu, càng có khả năng cần duy trì tính bảo mật của thông tin.
  4. Concealment (Che giấu): Hành động ẩn giấu hoặc ngăn chặn việc tiết lộ. Concealment thường được coi là một phương tiện để che đậy, làm mờ hoặc đánh lạc hướng.
  5. Secrecy (Bí mật): Hành động giữ bí mật hoặc ngăn chặn việc tiết lộ thông tin.
  6. Privacy (Quyền riêng tư): Liên quan đến việc giữ bí mật thông tin có thể nhận dạng cá nhân hoặc có thể gây hại, xấu hổ hoặc bất lợi cho ai đó nếu bị tiết lộ.
  7. Seclusion (Cô lập): Liên quan đến việc lưu trữ một thứ gì đó ở một vị trí hẻo lánh, có thể với các biện pháp kiểm soát truy cập nghiêm ngặt.
  8. Isolation (Tách biệt): Hành động giữ cho một thứ tách biệt với những thứ khác.

Các tổ chức nên đánh giá các sắc thái của bảo mật mà họ muốn thực thi. Các công cụ và công nghệ thực hiện một hình thức bảo mật có thể không hỗ trợ hoặc cho phép các hình thức khác.

Toàn vẹn là khái niệm về việc bảo vệ độ tin cậy và tính chính xác của dữ liệu. Bảo vệ toàn vẹn ngăn chặn việc thay đổi trái phép dữ liệu. Khi được triển khai đúng cách, bảo vệ toàn vẹn cung cấp phương tiện cho các thay đổi được ủy quyền trong khi bảo vệ chống lại các hoạt động trái phép có chủ ý và độc hại (như virus và xâm nhập) cũng như lỗi do người dùng được ủy quyền gây ra (như tai nạn hoặc sơ suất).

Toàn vẹn có thể được xem xét từ ba góc độ:

  1. Ngăn chặn các đối tượng không được ủy quyền thực hiện sửa đổi.
  2. Ngăn chặn các đối tượng được ủy quyền thực hiện các sửa đổi trái phép, chẳng hạn như lỗi.
  3. Duy trì tính nhất quán nội bộ và bên ngoài của các đối tượng để dữ liệu của chúng phản ánh chính xác và trung thực thế giới thực và bất kỳ mối quan hệ nào với bất kỳ đối tượng nào khác đều hợp lệ, nhất quán và có thể xác minh.

Để duy trì toàn vẹn trên hệ thống, các biện pháp kiểm soát phải được áp dụng để hạn chế truy cập vào dữ liệu, đối tượng và tài nguyên. Việc duy trì và xác thực tính toàn vẹn của đối tượng trong quá trình lưu trữ, truyền tải và xử lý đòi hỏi nhiều biến thể khác nhau của các biện pháp kiểm soát và giám sát.

Nhiều cuộc tấn công tập trung vào việc vi phạm tính toàn vẹn. Những cuộc tấn công này bao gồm virus, logic bombs, truy cập trái phép, lỗi trong mã và ứng dụng, sửa đổi độc hại, thay thế có chủ ý và backdoors hệ thống.

Lỗi của con người, sơ suất hoặc thiếu hiểu biết chiếm một phần lớn các trường hợp thay đổi trái phép thông tin nhạy cảm. Chúng cũng có thể xảy ra do sơ suất trong chính sách bảo mật hoặc cấu hình sai của biện pháp kiểm soát an ninh.

Có nhiều biện pháp đối phó có thể đảm bảo tính toàn vẹn chống lại các mối đe dọa có thể xảy ra. Những biện pháp này bao gồm kiểm soát truy cập nghiêm ngặt, quy trình xác thực nghiêm ngặt, hệ thống phát hiện xâm nhập, mã hóa đối tượng/dữ liệu, xác minh hash, hạn chế giao diện, kiểm tra đầu vào/chức năng và đào tạo nhân sự rộng rãi.

Các khía cạnh của toàn vẹn bao gồm:

  1. Accuracy (Tính chính xác): Đúng và chính xác.
  2. Truthfulness (Tính trung thực): Phản ánh trung thực thực tế.
  3. Validity (Tính hợp lệ): Hợp lý về mặt thực tế hoặc logic.
  4. Accountability (Trách nhiệm giải trình): Chịu trách nhiệm hoặc có nghĩa vụ đối với hành động và kết quả.
  5. Responsibility (Trách nhiệm): Chịu trách nhiệm hoặc kiểm soát một thứ hoặc một người nào đó.
  6. Completeness (Tính đầy đủ): Có tất cả các thành phần hoặc phần cần thiết.
  7. Comprehensiveness (Tính toàn diện): Đầy đủ về phạm vi; bao gồm đầy đủ tất cả các yếu tố cần thiết.

Availability (Khả dụng):

Khả dụng có nghĩa là các đối tượng được ủy quyền được cấp quyền truy cập kịp thời và không bị gián đoạn vào các đối tượng. Thông thường, các biện pháp bảo vệ khả dụng hỗ trợ băng thông đủ và thời gian xử lý kịp thời theo yêu cầu của tổ chức hoặc tình huống. Khả dụng bao gồm việc truy cập hiệu quả, không bị gián đoạn vào các đối tượng và ngăn chặn các cuộc tấn công từ chối dịch vụ (DoS). Khả dụng cũng ngụ ý rằng cơ sở hạ tầng hỗ trợ – bao gồm dịch vụ mạng, truyền thông và cơ chế kiểm soát truy cập – hoạt động tốt và cho phép người dùng được ủy quyền truy cập.

Để duy trì khả dụng trên hệ thống, các biện pháp kiểm soát phải được áp dụng để đảm bảo truy cập được ủy quyền và mức hiệu suất chấp nhận được, xử lý nhanh chóng các gián đoạn, cung cấp dự phòng, duy trì các bản sao lưu đáng tin cậy và ngăn chặn mất mát hoặc phá hủy dữ liệu.

Có nhiều mối đe dọa đối với khả dụng. Những mối đe dọa này bao gồm lỗi thiết bị, lỗi phần mềm và các vấn đề môi trường (nhiệt, tĩnh điện, lũ lụt, mất điện, v.v.). Một số hình thức tấn công tập trung vào việc vi phạm khả dụng, bao gồm các cuộc tấn công DoS, phá hủy đối tượng và gián đoạn truyền thông.

Nhiều vi phạm về khả dụng là do lỗi của con người, sơ suất hoặc thiếu hiểu biết. Chúng cũng có thể xảy ra do sơ suất trong chính sách bảo mật hoặc cấu hình sai của biện pháp kiểm soát an ninh.

Có nhiều biện pháp đối phó có thể đảm bảo khả dụng chống lại các mối đe dọa có thể xảy ra. Những biện pháp này bao gồm thiết kế đúng các hệ thống phân phối trung gian, sử dụng hiệu quả các biện pháp kiểm soát truy cập, giám sát hiệu suất và lưu lượng mạng, sử dụng tường lửa và bộ định tuyến để ngăn chặn các cuộc tấn công DoS, triển khai dự phòng cho các hệ thống quan trọng, và duy trì và kiểm tra các hệ thống sao lưu. Hầu hết các chính sách bảo mật, cũng như kế hoạch liên tục kinh doanh (BCP), tập trung vào việc sử dụng các tính năng chịu lỗi ở các cấp độ truy cập/lưu trữ/bảo mật khác nhau (tức là đĩa, máy chủ hoặc trang web) với mục tiêu loại bỏ các điểm lỗi đơn lẻ để duy trì khả dụng của các hệ thống quan trọng.

Khả dụng phụ thuộc vào cả tính toàn vẹn và bảo mật. Nếu không có tính toàn vẹn và bảo mật, khả dụng không thể được duy trì.

Các khía cạnh của khả dụng bao gồm:

  1. Usability (Khả năng sử dụng): Trạng thái dễ sử dụng hoặc dễ học hoặc có thể được hiểu và kiểm soát bởi một chủ thể.
  2. Accessibility (Khả năng tiếp cận): Đảm bảo rằng phạm vi rộng nhất của các chủ thể có thể tương tác với một tài nguyên bất kể khả năng hoặc hạn chế của họ.
  3. Timeliness (Tính kịp thời): Đúng lúc, trong khoảng thời gian hợp lý, hoặc cung cấp phản hồi với độ trễ thấp.

DAD, Overprotection, Authenticity, Nonrepudiation, và AAA Services :

Ngoài CIA Triad, còn có nhiều khái niệm và nguyên tắc an ninh khác cần xem xét khi thiết kế chính sách an ninh và triển khai giải pháp an ninh. Những khái niệm này bao gồm DAD Triad, rủi ro của việc bảo vệ quá mức, tính xác thực, không thể chối bỏ và dịch vụ AAA.

DAD Triad: DAD Triad (Disclosure, Alteration, Destruction) là khái niệm đối lập với CIA Triad. Nó đại diện cho các thất bại trong bảo vệ an ninh của CIA Triad:

  1. Disclosure (Tiết lộ): Xảy ra khi thông tin nhạy cảm hoặc bí mật bị truy cập bởi các thực thể không được ủy quyền. Đây là vi phạm tính bảo mật.
  2. Alteration (Thay đổi): Xảy ra khi dữ liệu bị thay đổi một cách độc hại hoặc vô tình. Đây là vi phạm tính toàn vẹn.
  3. Destruction (Phá hủy): Xảy ra khi một tài nguyên bị hư hỏng hoặc trở nên không thể truy cập đối với người dùng được ủy quyền (thường được gọi là từ chối dịch vụ – DoS). Đây là vi phạm tính khả dụng.

Overprotection (Bảo vệ quá mức): Điều quan trọng cần lưu ý là quá nhiều bảo mật cũng có thể gây ra vấn đề riêng của nó:

  • Bảo vệ quá mức tính bảo mật có thể dẫn đến hạn chế khả dụng.
  • Bảo vệ quá mức tính toàn vẹn cũng có thể dẫn đến hạn chế khả dụng.
  • Cung cấp quá mức khả dụng có thể dẫn đến mất tính bảo mật và toàn vẹn.

Authenticity (Tính xác thực): Tính xác thực là khái niệm an ninh rằng dữ liệu là xác thực hoặc chính hãng và xuất phát từ nguồn được cho là đúng. Điều này liên quan đến tính toàn vẹn nhưng gần hơn với việc xác minh rằng nó đến từ nguồn gốc được tuyên bố. Khi dữ liệu có tính xác thực, người nhận có thể có mức độ tin tưởng cao rằng dữ liệu đến từ nơi nó tuyên bố và không bị thay đổi trong quá trình truyền tải (hoặc lưu trữ).

Nonrepudiation (Không thể chối bỏ): Không thể chối bỏ đảm bảo rằng chủ thể của một hoạt động hoặc người gây ra một sự kiện không thể phủ nhận rằng sự kiện đã xảy ra. Nó ngăn chặn một chủ thể khỏi việc tuyên bố không gửi một tin nhắn, không thực hiện một hành động, hoặc không phải là nguyên nhân của một sự kiện. Nó được thực hiện thông qua nhận dạng, xác thực, ủy quyền, kiểm toán và kế toán. Không thể chối bỏ có thể được thiết lập bằng cách sử dụng chứng chỉ số, định danh phiên, nhật ký giao dịch và nhiều cơ chế kiểm soát truy cập và giao dịch khác. Một hệ thống được xây dựng mà không có sự thực thi đúng đắn của tính không thể chối bỏ sẽ không cung cấp xác minh rằng một thực thể cụ thể đã thực hiện một hành động nhất định.

AAA Services: Dịch vụ AAA là một cơ chế an ninh cốt lõi của tất cả các môi trường an ninh. Ba chữ A trong từ viết tắt này đề cập đến xác thực (Authentication), ủy quyền (Authorization) và kế toán (Accounting) (hoặc đôi khi là kiểm toán – Auditing). Tuy nhiên, điều không rõ ràng là mặc dù có ba chữ cái trong từ viết tắt, nó thực sự đề cập đến năm yếu tố: nhận dạng (Identification), xác thực (Authentication), ủy quyền (Authorization), kiểm toán (Auditing) và kế toán (Accounting). Năm yếu tố này đại diện cho các quy trình sau của an ninh:

  1. Identification (Nhận dạng): Đây là quá trình tuyên bố một danh tính khi cố gắng truy cập vào một khu vực hoặc hệ thống được bảo mật.
  2. Authentication (Xác thực): Đây là quá trình chứng minh rằng bạn thực sự là danh tính được tuyên bố đó.
  3. Authorization (Ủy quyền): Định nghĩa các quyền (tức là cho phép/cấp và/hoặc từ chối) truy cập tài nguyên và đối tượng cho một danh tính hoặc chủ thể cụ thể.
  4. Auditing (Kiểm toán): Đây là quá trình ghi lại nhật ký các sự kiện và hoạt động liên quan đến hệ thống và các chủ thể.
  5. Accounting (Kế toán): Đây là quá trình xem xét các tệp nhật ký để kiểm tra sự tuân thủ và vi phạm nhằm buộc các chủ thể chịu trách nhiệm về hành động của họ, đặc biệt là các vi phạm chính sách an ninh của tổ chức.

Identification (Nhận dạng): Một chủ thể phải thực hiện nhận dạng để bắt đầu quá trình xác thực, ủy quyền và kế toán (AAA). Việc cung cấp một danh tính có thể bao gồm nhập tên người dùng; quẹt thẻ thông minh; vẫy thiết bị gần kề; nói một cụm từ; hoặc đặt khuôn mặt, bàn tay hoặc ngón tay trước camera hoặc thiết bị quét. Nếu không có danh tính, hệ thống không có cách nào để liên kết một yếu tố xác thực với chủ thể.

Khi một chủ thể đã được nhận dạng (nghĩa là khi danh tính của chủ thể đã được công nhận và xác minh), danh tính đó chịu trách nhiệm cho bất kỳ hành động nào tiếp theo của chủ thể đó. Hệ thống CNTT theo dõi hoạt động bằng danh tính, không phải bằng chính các chủ thể. Một máy tính không biết một cá nhân này khác với cá nhân khác, nhưng nó biết rằng tài khoản người dùng của bạn khác với tất cả các tài khoản người dùng khác.

Authentication (Xác thực): Quá trình xác minh xem một danh tính được tuyên bố có hợp lệ hay không được gọi là xác thực. Xác thực yêu cầu chủ thể cung cấp thông tin bổ sung tương ứng với danh tính mà họ đang tuyên bố. Hình thức xác thực phổ biến nhất là sử dụng mật khẩu. Xác thực xác minh danh tính của chủ thể bằng cách so sánh một hoặc nhiều yếu tố với cơ sở dữ liệu của các danh tính hợp lệ (tức là tài khoản người dùng). Khả năng của chủ thể và hệ thống trong việc duy trì bí mật các yếu tố xác thực cho danh tính trực tiếp phản ánh mức độ an ninh của hệ thống đó.

Nhận dạng và xác thực thường được sử dụng cùng nhau như một quy trình hai bước duy nhất. Cung cấp danh tính là bước đầu tiên, và cung cấp các yếu tố xác thực là bước thứ hai. Nếu không có cả hai, một chủ thể không thể truy cập vào hệ thống – không yếu tố nào đơn lẻ có ích về mặt an ninh.

Authorization (Ủy quyền): Sau khi một chủ thể được xác thực, quyền truy cập phải được ủy quyền. Quá trình ủy quyền đảm bảo rằng hoạt động hoặc truy cập được yêu cầu vào một đối tượng là có thể, dựa trên các quyền và đặc quyền được gán cho danh tính đã được xác thực. Trong hầu hết các trường hợp, hệ thống đánh giá chủ thể, đối tượng và các quyền được gán liên quan đến hoạt động dự định. Nếu hành động cụ thể được cho phép, chủ thể được ủy quyền. Nếu hành động cụ thể không được cho phép, chủ thể không được ủy quyền.

Cần lưu ý rằng chỉ vì một chủ thể đã được nhận dạng và xác thực không có nghĩa là họ đã được ủy quyền để thực hiện bất kỳ chức năng nào hoặc truy cập tất cả các tài nguyên trong môi trường được kiểm soát. Nhận dạng và xác thực là các khía cạnh tất cả hoặc không có gì của kiểm soát truy cập. Ủy quyền có một loạt các biến thể rộng giữa tất cả hoặc không có gì cho mỗi đối tượng trong môi trường.

Auditing (Kiểm toán): Kiểm toán là phương tiện lập trình để theo dõi và ghi lại các hành động của chủ thể nhằm buộc chủ thể chịu trách nhiệm về hành động của họ khi đã được xác thực trên hệ thống thông qua việc ghi lại hoặc lưu trữ các hoạt động của chủ thể. Đây cũng là quá trình phát hiện các hoạt động trái phép hoặc bất thường trên hệ thống. Kiểm toán bao gồm việc ghi lại các hoạt động của chủ thể và đối tượng của nó, cũng như các hoạt động của ứng dụng và chức năng hệ thống. Các tệp nhật ký cung cấp một dấu vết kiểm toán để tái tạo lịch sử của một sự kiện, xâm nhập hoặc lỗi hệ thống.

Kiểm toán cần thiết để phát hiện các hành động độc hại của chủ thể, các nỗ lực xâm nhập và lỗi hệ thống. Kiểm toán cũng cần thiết để tái tạo dòng thời gian của các sự kiện xâm phạm, cung cấp bằng chứng cho việc truy tố, và tạo ra các báo cáo và phân tích vấn đề. Kiểm toán thường là một tính năng có sẵn của hệ điều hành và hầu hết các ứng dụng và dịch vụ. Do đó, việc cấu hình hệ thống để ghi lại thông tin về các loại sự kiện cụ thể là tương đối đơn giản.

Cần lưu ý rằng giám sát là một phần của những gì cần thiết cho kiểm toán, và các bản ghi kiểm toán là một phần của hệ thống giám sát, nhưng hai thuật ngữ này có ý nghĩa khác nhau. Giám sát là một loại theo dõi hoặc giám sát, trong khi kiểm toán là ghi lại thông tin vào một bản ghi hoặc tệp. Có thể giám sát mà không kiểm toán, nhưng không thể kiểm toán mà không có một số hình thức giám sát.

Accounting (Kế toán): Kế toán (đôi khi được gọi là trách nhiệm giải trình) là quá trình xem xét các tệp nhật ký để kiểm tra sự tuân thủ và vi phạm để buộc các chủ thể chịu trách nhiệm về hành động của họ. Điều này bao gồm việc xem xét các bản ghi kiểm toán để xác định xem các hoạt động có tuân thủ chính sách an ninh của tổ chức hay không, và để phát hiện bất kỳ vi phạm nào.

Kế toán là bước cuối cùng trong quy trình AAA và nó đóng vai trò quan trọng trong việc duy trì an ninh của hệ thống. Bằng cách xem xét các bản ghi kiểm toán, các tổ chức có thể:

  1. Phát hiện các mẫu hành vi bất thường có thể chỉ ra hoạt động độc hại.
  2. Xác định các vi phạm chính sách an ninh.
  3. Theo dõi việc sử dụng tài nguyên hệ thống.
  4. Cung cấp bằng chứng trong trường hợp xảy ra sự cố an ninh.

Tầm quan trọng của AAA Services: AAA Services là nền tảng của hầu hết các hệ thống an ninh. Chúng cung cấp một khuôn khổ toàn diện để kiểm soát truy cập và theo dõi hoạt động trong một môi trường CNTT. Bằng cách triển khai tất cả năm yếu tố – nhận dạng, xác thực, ủy quyền, kiểm toán và kế toán – các tổ chức có thể tạo ra một hệ thống an ninh mạnh mẽ có khả năng:

  • Xác minh danh tính của người dùng
  • Kiểm soát quyền truy cập vào tài nguyên
  • Theo dõi hoạt động của người dùng
  • Phát hiện và điều tra các sự cố an ninh
  • Đảm bảo trách nhiệm giải trình cho các hành động của người dùng

Việc triển khai hiệu quả AAA Services là một phần quan trọng của chiến lược an ninh tổng thể của bất kỳ tổ chức nào.

Accounting

Accounting trong bối cảnh an ninh thông tin đề cập đến việc duy trì trách nhiệm giải trình cho các hành động của người dùng. Chính sách an ninh của một tổ chức chỉ có thể được thực thi đúng đắn nếu có accounting. Điều này có nghĩa là an ninh chỉ có thể được duy trì nếu các chủ thể được buộc phải chịu trách nhiệm về hành động của họ.

Trách nhiệm giải trình hiệu quả dựa trên khả năng chứng minh danh tính của một chủ thể và theo dõi các hoạt động của họ. Nó được thiết lập thông qua việc liên kết một cá nhân với các hoạt động của một danh tính trực tuyến thông qua các dịch vụ và cơ chế an ninh như kiểm toán, ủy quyền, xác thực và nhận dạng.

Để có trách nhiệm giải trình khả thi, tổ chức phải có khả năng hỗ trợ các quyết định an ninh và việc triển khai chúng trong một tòa án pháp luật. Nếu không thể hỗ trợ pháp lý cho nỗ lực an ninh của bạn, thì bạn sẽ khó có thể buộc một cá nhân chịu trách nhiệm về các hành động liên quan đến một tài khoản người dùng.

Chỉ với mật khẩu làm xác thực, có nhiều khả năng để nghi ngờ. Mật khẩu là hình thức xác thực kém an toàn nhất, với hàng chục phương pháp khác nhau để xâm phạm chúng. Tuy nhiên, với việc sử dụng xác thực đa yếu tố (MFA), chẳng hạn như kết hợp mật khẩu, thẻ thông minh và quét vân tay, có rất ít khả năng bất kỳ cá nhân nào khác có thể xâm phạm quy trình xác thực để mạo danh người chịu trách nhiệm cho tài khoản người dùng.

Protection Mechanisms

Cơ chế bảo vệ là một khía cạnh khác của việc hiểu và áp dụng các kiểm soát an ninh. Không phải tất cả các kiểm soát an ninh đều phải có chúng, nhưng nhiều kiểm soát cung cấp sự bảo vệ thông qua việc sử dụng các cơ chế này. Một số ví dụ phổ biến về các cơ chế này bao gồm:

  1. Defense in Depth (Phòng thủ chiều sâu):
    • Còn được gọi là layering (phân lớp).
    • Sử dụng nhiều kiểm soát trong một chuỗi.
    • Không một kiểm soát nào có thể bảo vệ chống lại tất cả các mối đe dọa có thể xảy ra.
    • Giải pháp nhiều lớp cho phép nhiều kiểm soát khác nhau bảo vệ chống lại bất kỳ mối đe dọa nào xảy ra.
    • Khi các giải pháp an ninh được thiết kế theo lớp, một kiểm soát thất bại đơn lẻ không nên dẫn đến việc lộ hệ thống hoặc dữ liệu.
  2. Abstraction (Trừu tượng hóa):
    • Được sử dụng để tăng hiệu quả.
    • Các yếu tố tương tự được đưa vào các nhóm, lớp hoặc vai trò được gán chung các kiểm soát, hạn chế hoặc quyền an ninh.
    • Đơn giản hóa an ninh bằng cách cho phép bạn gán các kiểm soát an ninh cho một nhóm đối tượng được thu thập theo loại hoặc chức năng.
    • Khái niệm trừu tượng hóa được sử dụng khi phân loại đối tượng hoặc gán vai trò cho chủ thể.
  3. Data Hiding (Ẩn dữ liệu):
    • Ngăn chặn dữ liệu không bị phát hiện hoặc truy cập bởi một chủ thể bằng cách đặt dữ liệu trong một ngăn lưu trữ logic không thể truy cập hoặc không nhìn thấy được bởi chủ thể.
    • Bao gồm việc giữ cơ sở dữ liệu không bị truy cập bởi khách truy cập trái phép và hạn chế một chủ thể ở cấp độ phân loại thấp hơn từ việc truy cập dữ liệu ở cấp độ phân loại cao hơn.
    • Ngăn chặn một ứng dụng truy cập trực tiếp vào phần cứng cũng là một hình thức ẩn dữ liệu.
  4. Encryption (Mã hóa):
    • Khoa học về việc ẩn ý nghĩa hoặc mục đích của một thông tin liên lạc từ người nhận không mong muốn.
    • Có thể có nhiều hình thức và nên được áp dụng cho mọi loại giao tiếp và lưu trữ điện tử.

Security Boundaries

Ranh giới an ninh là đường giao nhau giữa các khu vực, mạng con hoặc môi trường có yêu cầu hoặc nhu cầu an ninh khác nhau. Một ranh giới an ninh tồn tại giữa các khu vực an ninh cao và thấp, chẳng hạn như giữa một mạng LAN và Internet.

Nhận biết các ranh giới an ninh trên mạng và trong thế giới vật lý là điều cần thiết để thiết lập các rào cản an ninh đáng tin cậy. Sau khi xác định ranh giới an ninh, bạn phải triển khai các cơ chế để kiểm soát luồng thông tin qua ranh giới đó.

Ranh giới giữa các khu vực an ninh có thể có nhiều hình thức. Ví dụ, các đối tượng có thể có các phân loại khác nhau, mỗi phân loại xác định chủ thể nào có thể thực hiện chức năng nào trên đối tượng nào.

Ranh giới an ninh cũng tồn tại giữa môi trường vật lý và môi trường logic. Để cung cấp an ninh logic, bạn phải cung cấp các cơ chế an ninh khác với những cơ chế được sử dụng để cung cấp an ninh vật lý. Cả hai phải có mặt để cung cấp một cấu trúc an ninh hoàn chỉnh, và cả hai phải được giải quyết trong chính sách an ninh. Tuy nhiên, chúng khác nhau và phải được đánh giá như các yếu tố riêng biệt của một giải pháp an ninh.

Ranh giới an ninh, chẳng hạn như ranh giới giữa khu vực được bảo vệ và không được bảo vệ, luôn phải được xác định rõ ràng. Trong chính sách an ninh, điều quan trọng là phải nêu rõ điểm kiểm soát kết thúc hoặc bắt đầu và xác định điểm đó trong cả môi trường vật lý và logic.

Ranh giới an ninh logic là nơi giao tiếp điện tử giao diện với các thiết bị hoặc dịch vụ mà tổ chức của bạn chịu trách nhiệm pháp lý. Trong hầu hết các trường hợp, điểm giao diện đó được đánh dấu rõ ràng, và các chủ thể không được ủy quyền được thông báo rằng họ không có quyền truy cập, và rằng các nỗ lực để có được quyền truy cập sẽ dẫn đến việc truy tố.

Ranh giới an ninh trong môi trường vật lý thường phản ánh ranh giới an ninh của môi trường logic. Trong hầu hết các trường hợp, khu vực mà tổ chức chịu trách nhiệm pháp lý xác định phạm vi của chính sách an ninh trong lĩnh vực vật lý. Điều này có thể là tường của một văn phòng, tường của một tòa nhà, hoặc hàng rào xung quanh một khuôn viên.

Khi chuyển đổi chính sách an ninh thành các kiểm soát thực tế, bạn phải xem xét từng môi trường và ranh giới an ninh riêng biệt. Chỉ cần suy luận xem cơ chế an ninh nào sẵn có sẽ cung cấp giải pháp hợp lý, hiệu quả về chi phí và hiệu quả nhất cho một môi trường và tình huống cụ thể. Tuy nhiên, tất cả các cơ chế an ninh phải được cân nhắc với giá trị của các đối tượng mà chúng bảo vệ. Triển khai các biện pháp đối phó có chi phí cao hơn giá trị của các đối tượng được bảo vệ là không được bảo đảm.

Evaluate and Apply Security Governance Principles

Security governance là tập hợp các thực hành liên quan đến việc hỗ trợ, đánh giá, định nghĩa và chỉ đạo nỗ lực an ninh của một tổ chức. Lý tưởng nhất, security governance được thực hiện bởi hội đồng quản trị hoặc ủy ban quản trị, nhưng các tổ chức nhỏ hơn có thể có CEO hoặc CISO thực hiện các hoạt động của security governance.

Security governance cố gắng so sánh các quy trình và cơ sở hạ tầng an ninh được sử dụng trong tổ chức với kiến thức và hiểu biết thu được từ các nguồn bên ngoài. Đây là lý do tại sao hội đồng quản trị thường bao gồm những người từ các nền tảng và ngành công nghiệp khác nhau.

Các nguyên tắc security governance có liên quan chặt chẽ và thường đan xen với quản trị doanh nghiệp và quản trị IT. Mục tiêu của ba chương trình quản trị này thường giống nhau hoặc có liên quan với nhau, chẳng hạn như duy trì các quy trình kinh doanh trong khi phấn đấu hướng tới tăng trưởng và khả năng phục hồi.

Một số khía cạnh của quản trị được áp đặt cho các tổ chức do nhu cầu tuân thủ pháp luật và quy định, trong khi những khía cạnh khác do hướng dẫn của ngành hoặc yêu cầu cấp phép áp đặt. Tất cả các hình thức quản trị, bao gồm cả quản trị an ninh, phải được đánh giá và xác minh theo thời gian.

Security governance trực tiếp giám sát và tham gia vào tất cả các cấp độ an ninh. An ninh không phải và không nên được coi là chỉ là vấn đề IT. Thay vào đó, an ninh ảnh hưởng đến mọi khía cạnh của một tổ chức. An ninh là một vấn đề hoạt động kinh doanh.

Third-Party Governance

Third-party governance là hệ thống giám sát của thực thể bên ngoài có thể được ủy quyền bởi luật pháp, quy định, tiêu chuẩn ngành, nghĩa vụ hợp đồng hoặc yêu cầu cấp phép. Phương pháp quản trị thực tế có thể khác nhau, nhưng nói chung liên quan đến một điều tra viên hoặc kiểm toán viên bên ngoài.

Một khía cạnh khác của third-party governance là việc áp dụng giám sát an ninh cho các bên thứ ba mà tổ chức của bạn phụ thuộc vào. Nhiều tổ chức chọn thuê ngoài các khía cạnh khác nhau của hoạt động kinh doanh của họ. Các hoạt động được thuê ngoài có thể bao gồm bảo vệ an ninh, bảo trì, hỗ trợ kỹ thuật và dịch vụ kế toán. Các bên này phải tuân thủ lập trường an ninh của tổ chức chính. Nếu không, họ sẽ gây ra thêm rủi ro và lỗ hổng cho tổ chức chính.

Third-party governance tập trung vào việc xác minh sự tuân thủ với các mục tiêu, yêu cầu, quy định và nghĩa vụ hợp đồng an ninh đã nêu. Đánh giá tại chỗ có thể cung cấp tiếp xúc trực tiếp với các cơ chế an ninh được sử dụng tại một địa điểm.

Documentation Review

Documentation review là quá trình đọc các tài liệu được trao đổi và xác minh chúng dựa trên các tiêu chuẩn và kỳ vọng. Việc xem xét tài liệu thường được thực hiện trước khi có bất kỳ cuộc kiểm tra tại chỗ nào diễn ra.

Nếu tài liệu được trao đổi là đầy đủ và đáp ứng kỳ vọng (hoặc ít nhất là yêu cầu), thì một đánh giá tại chỗ sẽ có thể tập trung vào việc tuân thủ tài liệu đã nêu. Tuy nhiên, nếu tài liệu không đầy đủ, không chính xác hoặc không đủ, đánh giá tại chỗ sẽ bị hoãn lại cho đến khi tài liệu có thể được cập nhật và sửa chữa.

Một phần của việc xem xét tài liệu là điều tra logic và thực tế của các quy trình kinh doanh và chính sách tổ chức dựa trên các tiêu chuẩn, khuôn khổ và nghĩa vụ hợp đồng. Việc xem xét này đảm bảo rằng các nhiệm vụ, hệ thống và phương pháp kinh doanh đã nêu và được triển khai là thiết thực, hiệu quả và tiết kiệm chi phí, và quan trọng nhất là (ít nhất là trong mối quan hệ với quản trị an ninh) chúng hỗ trợ mục tiêu an ninh thông qua việc giảm lỗ hổng và tránh, giảm thiểu hoặc giảm nhẹ rủi ro.

Manage the Security Function

Chức năng an ninh là khía cạnh của hoạt động kinh doanh tập trung vào nhiệm vụ đánh giá và cải thiện an ninh theo thời gian. Để quản lý chức năng an ninh, một tổ chức phải thực hiện quản trị an ninh đúng đắn và đầy đủ.

Hành động thực hiện đánh giá rủi ro để thúc đẩy chính sách an ninh là ví dụ rõ ràng và trực tiếp nhất về việc quản lý chức năng an ninh. Quy trình đánh giá rủi ro được thảo luận trong Chương 2.

An ninh phải có thể đo lường được. An ninh có thể đo lường có nghĩa là các khía cạnh khác nhau của các cơ chế an ninh hoạt động, mang lại lợi ích rõ ràng và có một hoặc nhiều số liệu có thể được ghi lại và phân tích.

Quản lý chức năng an ninh bao gồm việc phát triển và triển khai các chiến lược an ninh thông tin. Hầu hết nội dung của cuốn sách này đề cập đến các khía cạnh khác nhau của việc phát triển và triển khai các chiến lược an ninh thông tin.

Alignment of Security Function to Business Strategy, Goals, Mission, and Objectives

Lập kế hoạch quản lý an ninh đảm bảo việc tạo ra, triển khai và thực thi đúng đắn chính sách an ninh. Lập kế hoạch quản lý an ninh phù hợp các chức năng an ninh với chiến lược, mục tiêu, sứ mệnh và mục đích của tổ chức. Điều này bao gồm việc thiết kế và triển khai an ninh dựa trên các trường hợp kinh doanh, hạn chế ngân sách hoặc khan hiếm tài nguyên.

Một cách tiếp cận từ trên xuống là một trong những cách hiệu quả nhất để giải quyết lập kế hoạch quản lý an ninh. Ban quản lý cấp cao hoặc cấp cao chịu trách nhiệm khởi xướng và xác định các chính sách cho tổ chức. Các chính sách an ninh cung cấp hướng dẫn cho tất cả các cấp trong hệ thống phân cấp của tổ chức.

Organizational Processes

Quản trị an ninh nên giải quyết mọi khía cạnh của một tổ chức, bao gồm các quy trình tổ chức về mua lại, thoái vốn và các ủy ban quản trị. Mua lại và sáp nhập đặt tổ chức ở mức độ rủi ro tăng cao. Những rủi ro như vậy bao gồm tiết lộ thông tin không phù hợp, mất dữ liệu, thời gian ngừng hoạt động hoặc không đạt được lợi nhuận đầu tư (ROI) đủ.

Tương tự, thoái vốn hoặc bất kỳ hình thức giảm tài sản hoặc nhân viên nào cũng là thời kỳ rủi ro tăng cao và do đó, cần tăng cường quản trị an ninh tập trung. Tài sản cần được làm sạch để ngăn chặn rò rỉ dữ liệu. Phương tiện lưu trữ nên được gỡ bỏ và hủy vì các kỹ thuật làm sạch phương tiện không đảm bảo chống lại việc khôi phục dữ liệu còn sót lại.

Khi đánh giá một bên thứ ba cho việc tích hợp an ninh của bạn, hãy xem xét các quy trình sau:

  1. Đánh giá tại chỗ
  2. Trao đổi và xem xét tài liệu
  3. Xem xét quy trình/chính sách
  4. Kiểm toán bên thứ ba

Đối với tất cả các mua lại, thiết lập các yêu cầu an ninh tối thiểu. Những yêu cầu này nên được mô hình hóa theo chính sách an ninh hiện có của bạn.

Organizational Roles and Responsibilities

Vai trò an ninh là phần của cá nhân trong kế hoạch tổng thể về triển khai và quản trị an ninh trong một tổ chức. Các vai trò an ninh phổ biến trong một môi trường an toàn điển hình bao gồm:

  1. Senior Manager (Quản lý cấp cao): Chịu trách nhiệm cuối cùng về an ninh và bảo vệ tài sản của tổ chức.
  2. Security Professional (Chuyên gia an ninh): Chịu trách nhiệm chức năng về an ninh, bao gồm viết chính sách an ninh và triển khai nó.
  3. Asset Owner (Chủ sở hữu tài sản): Chịu trách nhiệm phân loại thông tin để đặt và bảo vệ trong giải pháp an ninh.
  4. Custodian (Người giám sát): Chịu trách nhiệm thực hiện các nhiệm vụ triển khai bảo vệ theo quy định của chính sách an ninh và quản lý cấp cao.
  5. User (Người dùng): Bất kỳ người nào có quyền truy cập vào hệ thống an toàn.
  6. Auditor (Kiểm toán viên): Chịu trách nhiệm xem xét và xác minh rằng chính sách an ninh được triển khai đúng cách và các giải pháp an ninh thu được là đầy đủ.

Security Control Frameworks

Khung kiểm soát an ninh là các bộ hướng dẫn, tiêu chuẩn, thực hành tốt nhất và kiểm soát có cấu trúc được thiết kế để giúp các tổ chức quản lý và nâng cao hiệu quả posture an ninh thông tin và an ninh mạng của họ. Các khung này cung cấp cách tiếp cận có hệ thống và toàn diện để xác định, triển khai và giám sát các kiểm soát và biện pháp an ninh để bảo vệ dữ liệu, hệ thống, mạng và thông tin nhạy cảm của tổ chức.

Một số khung kiểm soát an ninh phổ biến bao gồm (hãy khai phóng thêm các khái niệm hay kiến thức sau, tập trung vào PCI DSS và NIST):

  1. ISO (International Organization for Standardization)
  2. NIST (National Institute of Standards and Technology)
  3. COBIT (Control Objectives for Information and Related Technologies)
  4. SABSA (Sherwood Applied Business Security Architecture)
  5. PCI DSS (Payment Card Industry Data Security Standard)
  6. FedRAMP (Federal Risk and Authorization Management Program)

Due Diligence and Due Care

Due diligence là việc thiết lập kế hoạch, chính sách và quy trình để bảo vệ lợi ích của tổ chức. Due care là thực hành các hoạt động cá nhân duy trì nỗ lực due diligence.

Due diligence cũng được sử dụng như một cơ chế phát hiện, được gọi là “do detect”. Ý tưởng là trong khi các hoạt động due care (hay “do correct”) đang được thực hiện, due diligence được sử dụng để giám sát và xác nhận rằng các hành động phù hợp đang được thực hiện và một bản ghi về các hành động đó đang được tạo ra.

Trong môi trường kinh doanh ngày nay, sự thận trọng là bắt buộc. Thể hiện due diligence và due care là cách duy nhất để chứng minh không có sự sơ suất trong trường hợp xảy ra mất mát.

Security Policy, Standards, Procedures, and Guidelines

Đối với hầu hết các tổ chức, duy trì an ninh là một phần thiết yếu của hoạt động kinh doanh liên tục. Để giảm khả năng xảy ra lỗi an ninh, việc thực hiện an ninh đã được chính thức hóa với một tổ chức phân cấp của tài liệu.

  1. Security Policies (Chính sách an ninh):
    • Là tài liệu định nghĩa phạm vi an ninh cần thiết cho tổ chức.
    • Thảo luận về tài sản cần bảo vệ và mức độ mà các giải pháp an ninh nên đi đến để cung cấp sự bảo vệ cần thiết.
    • Được sử dụng để gán trách nhiệm, xác định vai trò, chỉ định yêu cầu kiểm toán, phác thảo quy trình thực thi, chỉ ra yêu cầu tuân thủ và xác định mức độ rủi ro chấp nhận được.
  2. Standards (Tiêu chuẩn):
    • Xác định các yêu cầu bắt buộc cho việc sử dụng đồng nhất phần cứng, phần mềm, công nghệ và kiểm soát an ninh.
    • Cung cấp một hướng hành động để triển khai công nghệ và thủ tục một cách thống nhất trong toàn tổ chức.
  3. Baselines (Đường cơ sở):
    • Xác định mức an ninh tối thiểu mà mọi hệ thống trong toàn tổ chức phải đáp ứng.
    • Là một hình thức tiêu chuẩn tập trung vào hoạt động hơn.
  4. Guidelines (Hướng dẫn):
    • Cung cấp các khuyến nghị về cách triển khai tiêu chuẩn và đường cơ sở.
    • Linh hoạt hơn so với tiêu chuẩn và có thể được tùy chỉnh cho từng hệ thống hoặc điều kiện duy nhất.
  5. Procedures (Thủ tục):
    • Là tài liệu chi tiết, từng bước mô tả chính xác các hành động cần thiết để triển khai một cơ chế, kiểm soát hoặc giải pháp an ninh cụ thể.
    • Phải được cập nhật khi phần cứng và phần mềm của hệ thống phát triển.

Threat Modeling

Threat modeling là quá trình an ninh trong đó các mối đe dọa tiềm ẩn được xác định, phân loại và phân tích. Threat modeling có thể được thực hiện như một biện pháp chủ động trong quá trình thiết kế và phát triển hoặc như một biện pháp phản ứng sau khi sản phẩm đã được triển khai.

Các bước chính trong threat modeling bao gồm:

  1. Xác định mối đe dọa
  2. Xác định và lập sơ đồ các cuộc tấn công tiềm năng
  3. Thực hiện phân tích giảm thiểu
  4. Ưu tiên và phản hồi

Một số phương pháp threat modeling phổ biến bao gồm:

  • STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege)
  • PASTA (Process for Attack Simulation and Threat Analysis)
  • VAST (Visual, Agile, and Simple Threat)

Supply Chain Risk Management

Supply Chain Risk Management (SCRM) là phương tiện để đảm bảo rằng tất cả các nhà cung cấp hoặc liên kết trong chuỗi cung ứng đều đáng tin cậy, đáng tin cậy, các tổ chức có uy tín tiết lộ các thực hành và yêu cầu an ninh của họ cho đối tác kinh doanh của họ.

SCRM nên được đánh giá cho mọi việc mua lại sản phẩm và dịch vụ từ các nhà cung cấp và nhà cung cấp bên thứ ba của tổ chức.

Các yếu tố quan trọng của SCRM bao gồm:

  1. Đánh giá rủi ro liên quan đến phần cứng, phần mềm và dịch vụ
  2. Thực hiện đánh giá và giám sát bên thứ ba
  3. Thiết lập yêu cầu an ninh tối thiểu
  4. Thực thi yêu cầu cấp độ dịch vụ (SLR)

Một số cơ chế an ninh có thể được tích hợp vào kế hoạch SCRM, bao gồm:

  • Silicon root of trust
  • Physically unclonable functions (PUFs)
  • Software bill of materials (SBOM)

Tóm lại, threat modeling và SCRM là hai khía cạnh quan trọng của quản lý rủi ro an ninh, giúp tổ chức xác định, phân tích và giảm thiểu các mối đe dọa tiềm ẩn từ cả bên trong và bên ngoài chuỗi cung ứng của họ.

Personnel Security Policies and Procedures

Con người thường được coi là yếu tố yếu nhất trong bất kỳ giải pháp an ninh nào. Bất kể các kiểm soát vật lý hoặc logic nào được triển khai, con người có thể tìm ra cách để tránh, vượt qua, phá hoại hoặc vô hiệu hóa chúng. Do đó, điều quan trọng là phải xem xét tính người của người dùng khi thiết kế và triển khai các giải pháp an ninh cho môi trường của bạn.

Tuy nhiên, con người cũng có thể trở thành một tài sản an ninh quan trọng khi họ được đào tạo và động viên đúng cách để bảo vệ không chỉ bản thân mà còn cả an ninh của tổ chức.

Job Descriptions and Responsibilities

Mô tả công việc và trách nhiệm công việc là yếu tố quan trọng trong quản lý nhân sự an ninh:

  • Mô tả công việc xác định các vai trò mà nhân viên cần được giao để thực hiện nhiệm vụ công việc của họ.
  • Trách nhiệm công việc là các nhiệm vụ công việc cụ thể mà nhân viên phải thực hiện thường xuyên.
  • Mô tả công việc nên đề cập đến các vấn đề an ninh liên quan.
  • Trách nhiệm công việc hướng dẫn việc gán quyền truy cập, quyền và đặc quyền.

Candidate Screening and Hiring

Sàng lọc ứng viên việc làm cho một vị trí cụ thể dựa trên độ nhạy cảm và phân loại được xác định bởi mô tả công việc. Quá trình sàng lọc có thể bao gồm:

  • Kiểm tra lý lịch
  • Kiểm tra tham chiếu
  • Xác minh giáo dục
  • Xác minh thông tin an ninh
  • Phỏng vấn đồng nghiệp
  • Kiểm tra hồ sơ cảnh sát và chính phủ
  • Xác minh danh tính

Onboarding: Employment Agreements and Policy-Driven Requirements

Onboarding là quá trình tích hợp nhân viên mới vào tổ chức. Quá trình này bao gồm:

  • Xem xét và ký kết thỏa thuận việc làm và chính sách
  • Giới thiệu với quản lý và đồng nghiệp
  • Đào tạo về hoạt động và hậu cần của nhân viên

Các tài liệu quan trọng trong quá trình onboarding bao gồm:

  • Thỏa thuận việc làm
  • Chính sách sử dụng chấp nhận được (AUP)
  • Thỏa thuận bảo mật (NDA)
  • Thỏa thuận không cạnh tranh (NCA)

Employee Oversight

Trong suốt thời gian làm việc của nhân viên, quản lý nên thường xuyên xem xét hoặc kiểm toán mô tả công việc, nhiệm vụ công việc, đặc quyền và trách nhiệm của mọi nhân viên. Điều này giúp:

  • Ngăn chặn sự trôi dạt của trách nhiệm công việc hoặc đặc quyền
  • Giảm thiểu rủi ro an ninh do đặc quyền dư thừa
  • Đảm bảo tuân thủ nguyên tắc đặc quyền tối thiểu

Các kỹ thuật giám sát nhân viên khác bao gồm:

  • Nghỉ phép bắt buộc
  • Phân chia nhiệm vụ
  • Luân chuyển công việc
  • Đào tạo chéo

Offboarding, Transfers, and Termination Processes

Offboarding là quá trình loại bỏ danh tính của nhân viên khỏi hệ thống IAM khi họ rời khỏi tổ chức. Quá trình này bao gồm:

  • Vô hiệu hóa hoặc xóa tài khoản người dùng
  • Thu hồi chứng chỉ
  • Hủy bỏ mã truy cập
  • Chấm dứt các đặc quyền được cấp cụ thể khác

Đối với việc chấm dứt hợp đồng, cần chú ý đến:

  • Nhắc nhở về trách nhiệm pháp lý và hạn chế dựa trên thỏa thuận việc làm, NDA và tài liệu liên quan đến an ninh khác
  • Thu thập lại tất cả các thiết bị, thẻ, chìa khóa và mã thông báo truy cập cụ thể của tổ chức
  • Thực hiện quy trình chấm dứt hợp đồng một cách chuyên nghiệp và tôn trọng
  • Tiến hành phỏng vấn khi ra đi nếu thích hợp

Vendor, Consultant, and Contractor Agreements and Controls

Các kiểm soát đối với nhà cung cấp, tư vấn và nhà thầu được sử dụng để xác định các mức độ hiệu suất, kỳ vọng, bồi thường và hậu quả cho các thực thể, cá nhân hoặc tổ chức bên ngoài tổ chức chính. Điều này bao gồm:

  • Sử dụng thỏa thuận mức dịch vụ (SLA)
  • Đánh giá rủi ro đa bên
  • Xem xét các vấn đề bảo mật khi thuê ngoài
  • Sử dụng hệ thống quản lý nhà cung cấp (VMS)

Tóm lại, các chính sách và thủ tục an ninh nhân sự là rất quan trọng để quản lý rủi ro liên quan đến yếu tố con người trong an ninh thông tin. Chúng bao gồm nhiều khía cạnh từ tuyển dụng, onboarding, giám sát liên tục đến offboarding và quản lý các bên thứ ba…

https://itpro.edu.vn/cac-khoa-hoc-an-toan-thong-tin-khoa-hoc-may-tinh-quoc-te

Thịnh hành