NSec 8 - Polycies for information safety pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (150.95 KB, 22 trang )
NETWORK SECURITY
Policies for
INFORMATION SAFETY
MAI Xuân Phú
1
ISO 17799-2005
2
An toàn thông tin
Thông tin là gì?
An toàn thông tin là gì?
Tại sao an toàn thông tin lại quan trọng?
3
Làm th nào l p các yêu c u ATTTế ậ ầ
Định giá các rủi ro về an toàn (Assessing security risks)
Chọn lựa quy tắc (Selec!ng controls)
Set of principles, objec!ves and business requirements for informa!on processing
4
Xu t phát i m c a ATTTấ đ ể ủ
Đối với tổ chức:
o
bảo vệ dữ liệu và tính riêng tư của các thông tin cá nhân
o
an toàn các hồ sơ của tổ chức
o
quyền sở hữu tài sản trí tuệ
Các nguyên tắc chung cho ATTT:
o
tài liệu về chính sách an toàn thông tin
o
đưa ra các trách nhiệm về vấn đề an toàn thông tin
o
đào tạo và giáo dục về an toàn thông tin
o
báo cáo các vấn đề về an toàn thông tin
o
quản lý tính liên tục trong kinh doanh
5
Các y u t quy t nh s thành côngế ố ế đị ự
Chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh
nghiệp
Cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức
Các sự hỗ trợ tâm huyết từ các nhà quản lý
Sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro
6
Các y u t quy t nh s thành côngế ố ế đị ự
Phổ biến vấn đề an toàn thông tin
Đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn
Có sự đào tạo và giáo dục thích hợp
Các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có
tính ổn định, tính toàn diện
7
Làm th nào qu n lý ATTT?ế để ả
ISO 27001 đưa ra các yêu cầu cho việc xây dựng, áp dụng, điều hành, kiểm tra,
giám sát và phát triển hệ thống an ninh thông tin một cách tòan diện và khoa học.
ISO/IEC 17799 nêu cụ thể số lượng kiểm soát an ninh đơn lẻ, được lựa chọn và áp
dụng như một phần của hệ thống an ninh thông tin.
8
ISO 27000
ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO/IEC 27001 — Information security management systems — Requirements
ISO/IEC 27002 — Code of practice for information security management
ISO/IEC 27003 — Information security management system implementation guidance
ISO/IEC 27004 — Information security management — Measurement
9
ISO 27000
ISO/IEC 27005 — Information security risk management
ISO/IEC 27006 — Requirements for bodies providing audit and certification of info
rmation security management systems
ISO/IEC 27011 — Information security management guidelines for telecommunicati
ons organizations based on ISO/IEC 27002
ISO/IEC 27031 — Guidelines for information and communications technology readines
s for business continuity
ISO/IEC 27033-1 — Network security overview and concepts
ISO 27799 — Information security management in health using ISO/IEC 27002
10
ISO 17799 Outline
Guidelines and general principles for initiating, implementing, maintaining, and
improving information security management in an organization
Xây dựng vào năm 1996 bởi Bộ Công Thương Anh.
Đã có nhiều version và hiện tại đã đổi tên thành ISO 27002 năm 2007
Bao gồm 15 chương
11
ISO 17799 Structure (1)
Chương 1: Phạm vi
Chương 2: Các thuật ngữ và định nghĩa
Chương 3: Cấu trúc của bộ tiêu chuẩn
Chương 4: Đánh giá rủi ro
Chương 5: Tài liệu chính sách bảo mật
Chương 6: Thiết lập bảo mật thông tin
Chương 7: Quản lý tài sản
12
ISO 17799 Structure (2)
Chương 8: An toàn tài nguyên nhân lực
Chương 9: An toàn vật lý và môi trường
Chương 10: Quản lý mạng truyền thông và vận hành
Chương 11: Điều khiển truy cập
Chương 12: Điều hành và phát triển hệ thống thông tin
Chương 13: Quản lý sự cố an toàn thông tin
Chương 14: Quản lý tính liên tục của kinh doanh
Chương 15: Sự tuân thủ
13
ánh giá r i roĐ ủ
Làm rõ, xác định số lượng và những mục tiêu liên quan đến tổ chức
Ước tính mức độ rủi ro
So sánh giá trị ước tính và giá trị tiêu chuẩn
Thực hiện đánh giá định kỳ
ISO/IEC TR 13335-3 (Guidelines for the Management of IT Security: Techniques for
the Management of IT Security).
14
Tài li u chính sách b o m tệ ả ậ
Hướng dẫn quản lý và hỗ trợ cho bảo mật thông tin cho phù hợp
o
Những yêu cầu của doanh nghiệp
o
Những luật pháp và qui định liên quan
Một tài liệu về chính sách bảo mật thông tin nên được chấp nhận bởi
o
quyền quản lý
o
được xuất bản
o
được thông tin tới
•
toàn thể nhân viên
•
những đối tác bên ngoài có liên quan.
15
Thi t l p b o m t thông tinế ậ ả ậ
An toàn thông tin nội bộ
–
Trách nhiệm quản lý cho bảo mật thông tin
–
Sự phối hợp bảo mật thông tin
–
Liên hệ với người chịu trách nhiệm
–
…
•
An toàn thông tin bên ngoài
o
Xác định những mối nguy hiểm tới các “bạn hàng”
o
Chỉ định bảo mật khi làm việc với “bạn hàng”
16
Qu n lý tài s nả ả
Phân loại thông tin
o
Hướng dẫn phân loại thông tin
o
Gán nhãn thông tin
Trách nhiệm của người quản lý và sử dụng tài sản
17
An toàn tài nguyên nhân l cự
Xác định mục trách nhiệm và quyền hạn cho nhân viên
Chỉ rõ, huấn luyện và giáo dục về an toàn thông tin. Nêu rõ trách nhiệm quản lý.
Kết thúc hay thay đổi công việc phải kết thúc những trách nhiệm đang làm
o
gỡ bỏ quyền hạn và lặp lại như bước 1 nếu thay đổi sang vị trí khác
18
An toàn v t lý và môi tr ngậ ườ
Bảo vệ vùng vật lý
Bảo vệ thiết bị
19
i u khi n truy c pĐ ề ể ậ
Quản lý việc truy cập của người dùng
Trách nhiệm của người dùng
Điều khiển truy cập mạng
Điều khiển truy cập vào hệ điều hành
Điều khiển truy cập ứng dụng
Điều khiển truy cập của điện thoại dây và không dây
20
i u hành và phát tri n h th ng thông tinĐ ề ể ệ ố
Yêu cầu an toàn thông tin của hệ thống
Chính sách điều khiển việc sử dụng mã hóa
Bảo mật các file hệ thống
Bảo mật cho tiến trình phát triển và hỗ trợ
21
Qu n lý s c an toàn thông tin ả ự ố
Luôn ghi lại những security events và những điểm yếu của hệ thống
Quản lý sự cố an toàn thông tin và khắc phục
o
Trách nhiệm khi xảy ra sự cố
o
Học tập từ những sự cố đã xảy ra
o
22
