Mục lục
SƠ LƯỢC VỀ KIỂM SOÁT MÃ HÓA THEO ISO 27001
Kiểm soát mã hóa được viết trong phụ lục A.10.1 của bộ tài liệu ISO 27001:2013
Mật mã học là một ngành khoa học áp dụng toán học và logic phức tạp để thiết kế các phương pháp mã hóa mạnh mẽ. Để đạt được mã hóa mạnh mẽ, việc ẩn ý nghĩa của dữ liệu cũng đòi hỏi những bước nhảy vọt trực quan cho phép áp dụng sáng tạo các phương pháp đã biết hoặc mới. Vì vậy mã hóa cũng là một nghệ thuật. Mã hóa được sử dụng trong bảo mật thông tin để bảo vệ thông tin khỏi bị tiết lộ trái phép hoặc ngẫu nhiên trong khi thông tin đang được truyền đi (điện tử hoặc vật lý) và trong khi thông tin được lưu trữ. Đó là hành vi che giấu thông tin để những người không có thẩm quyền không thể đọc được. Nghĩa đen của mã hóa là “viết ẩn”: làm thế nào để làm cho những gì bạn viết trở nên khó hiểu, không thể hiểu được đối với tất cả mọi người ngoại trừ những người bạn muốn giao tiếp.
Mỗi tổ chức muốn đạt được ISO 27001, phải thực hiện chính sách Mã hóa. Dưới đây là những điều cần cân nhắc khi thiết kế chính sách này:
- Đào tạo cho những người dùng có liên quan về cách bảo vệ thông tin chung và sử dụng các biện pháp kiểm soát Mã hóa.
- Thủ tục đánh giá rủi ro- Nó phải bao gồm các tính toán cần thiết liên quan đến chất lượng, độ mạnh và loại thuật toán mã hóa.
- Sử dụng mã hóa để bảo mật thông tin được vận chuyển bằng các thiết bị truyền thông di động hoặc xách tay.
- Xây dựng chiến lược bảo mật khóa mã hóa.
- Vai trò và trách nhiệm
– Thực hiện chính sách
– quản lý chủ chốt bao gồm tạo ra chất lượng; - Tuân thủ luật mã hóa.
TẠI SAO PHẢI THỰC HIỆN KIỂM SOÁT MÃ HÓA THEO ISO 27001
Mã hóa có thể được sử dụng để đạt được một số mục tiêu về bảo mật thông tin, bao gồm tính bảo mật, tính toàn vẹn và xác thực.
- Tính bí mật: Thứ nhất, mã hóa bảo vệ tính bí mật của thông tin. Ngay cả khi phương tiện truyền tải hoặc lưu trữ đã bị xâm phạm, thông tin được mã hóa trên thực tế sẽ vô dụng đối với những người không có thẩm quyền nếu không có khóa thích hợp để giải mã.
- Tính toàn vẹn: Mã hóa cũng có thể được sử dụng để đảm bảo tính toàn vẹn (hoặc độ chính xác) của thông tin thông qua việc sử dụng các thuật toán băm và phân tích thông điệp.
- Xác thực: Cuối cùng, mã hóa có thể được sử dụng cho các dịch vụ xác thực (và không từ chối) thông qua chữ ký số, chứng chỉ số hoặc Cơ sở hạ tầng khóa công khai (PKI).
NỘI DUNG CẦN PHẢI CÓ TRONG THỰC HIỆN KIỂM SOÁT MÃ HÓA THEO ISO 27001
Nôi dung trong quy trình mã hóa theo ISO 27001 bao gồm:
- Mã hóa dữ liệu:
- Mọi dữ liệu quan trọng hoặc nhạy cảm phải được lưu chuyển thông qua kênh được mã hóa. Biện pháp mã hóa được áp dụng cho dữ liệu lưu giữ và dữ liệu đang chuyển tải
- Mã hóa những thiết bị có truy cập vào nguồn dữ liệu của công ty
- Các thiết bị di động như laptop và máy tính để bàn
- Smartphone được bảo vệ bằng cách đặt mật khẩu/số PIN
- Bộ nhớ di động.
- Các truy cập từ xa thông qua các dịch vụ thiết bị đầu cuối
- Các mạng không dây
- E-mail và file đính kèm chứa dữ liệu quan trọng nhạy cảm
- Trách nhiệm:
- Bộ phận kỹ thuật có trách nhiệm xác định những tài sản thông tin nào cần được mã hóa, chọn lựa các giải pháp mã hóa, triển khai các giải pháp này và hỗ trợ các bộ phận hoặc cá nhân liên quan khi cần thiết
- Các bộ phận/cá nhân có liên quan đến dữ liệu hoặc thiết bị phải được mã hóa có trách nhiệm thực hiện, tuân thủ các quy định mã hóa đã được triển khai. Khi cần thiết có thể liên hệ với bộ phận kỹ thuật để nhận hỗ trợ
LÀM THẾ NÀO ĐỂ SOẠN THẢO CHÍNH SÁCH KIỂM SOÁT MÃ HÓA THEO ISO 27001
Cần xem xét những điều sau đây khi thiết kế một chính sách mã hóa:
- Hướng dẫn quản lý về việc sử dụng các biện pháp kiểm soát mã hóa trong toàn tổ chức, bao gồm các nguyên tắc chung mà thông tin kinh doanh cần được bảo vệ;
- Dựa trên đánh giá rủi ro, mức độ bảo mật cần thiết phải được tính toán có tính đến loại, độ mạnh và chất lượng của thuật toán mã hóa cần thiết;
- Sử dụng mã hóa để bảo mật thông tin được vận chuyển bằng các thiết bị truyền thông di động hoặc xách tay hoặc thông qua các đường liên lạc;
- Phương pháp tiếp cận quản lý khóa , bao gồm các chiến lược đối phó với tính bảo mật của khóa mật mã và khôi phục thông tin được mã hóa trong trường hợp khóa bị mất, bị hỏng hoặc bị hỏng;
- Vai trò và trách nhiệm, ví dụ ai chịu trách nhiệm cho ai
– Thực hiện chính sách
– quản lý chính bao gồm cả việc tạo ra chất lượng; - Các tiêu chuẩn cần tuân thủ trong tổ chức để thực hiện thành công (giải pháp nào sử dụng các quy trình nghiệp vụ);
- Ảnh hưởng của thông tin được mã hóa đối với các biện pháp kiểm soát dựa trên xác thực nội dung (ví dụ: phát hiện phần mềm độc hại).
Khi thực thi chính sách mã hóa của tổ chức, cần xem xét các quy định và hạn chế quốc gia có thể liên quan đến việc sử dụng các kỹ thuật mã hóa ở các khu vực khác nhau trên thế giới và các vấn đề liên quan đến luồng thông tin mã hóa xuyên biên giới.
TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT CHÍNH SÁCH KIỂM SOÁT MÃ HÓA THEO ISO 27001
Trách nhiệm soạn thảo chính sách kiểm soát mã hóa theo ISO 27001 sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ
CHÍNH SÁCH KIỂM SOÁT MÃ HÓA THEO ISO 27001 ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?
Thiết lập chính sách kiểm soát mã hóa được viết trong Phục lục A.10.1 của bộ tài liệu ISO 27001: Tổ chức cần định nghĩa và áp dụng các quy định mã hóa, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu để đảm bảo việc sử dụng mã hóa đúng cách và hiệu quả để bảo vệ tính bí mật, tính xác thực và / hoặc tính toàn vẹn của thông tin.
TÓM LƯỢC KHẲNG ĐỊNH YÊU CẦU CỦA CHÍNH SÁCH KIỂM SOÁT MÃ HÓA THEO ISO 27001
Mã hóa là một phần quan trọng trong bộ máy bảo mật của tổ chức, tuy nhiên, nó không phải là liều thuốc chữa bách bệnh cho tất cả các vấn đề bảo mật. Đó là một phần để bảo mật dữ liệu của bạn. Mã hóa hữu ích cho cả thiết bị doanh nghiệp và thiết bị cá nhân. Sự khác biệt lớn nhất giữa triển khai doanh nghiệp và cá nhân là các giải pháp doanh nghiệp cho phép kiểm tra và theo dõi các thiết bị được mã hóa, khả năng xóa từ xa và quản lý khóa. Mã hóa thiết bị cá nhân thường mạnh ngang với cấp độ doanh nghiệp nhưng phụ thuộc vào thực tiễn triển khai. Hầu hết các giải pháp doanh nghiệp đều khuyến nghị xác thực trước khi khởi động trước khi mở khóa thiết bị được mã hóa bằng cách sử dụng mã hóa toàn bộ ổ đĩa để bảo vệ tối đa. Xác thực trước khi khởi động có nghĩa là sử dụng mã pin, mật khẩu, hoặc mã thông báo bảo mật để cho phép mở khóa ổ đĩa được mã hóa, sau đó sẽ tải hệ điều hành. Khóa mã hóa không được giải phóng vào bộ nhớ cho đến khi xác thực trước khi khởi động hoàn tất. Các thiết bị cá nhân có thể không yêu cầu xác thực trước khi khởi động để dễ sử dụng hoặc quản trị viên có thể triển khai và lưu trữ khóa TPM mà không cần khởi động trước. Việc thiếu xác thực trước khi khởi động khiến thiết bị dễ bị tấn công kênh bên, có nghĩa là kẻ tấn công tập trung vào việc đánh bại mã hóa thông qua đánh cắp khóa mã hóa từ bộ nhớ hoặc các phương pháp khác thay vì phá vỡ thuật toán được sử dụng để tạo bản mã. Mỗi tổ chức phải tính toán mức độ rủi ro mất dữ liệu và sau đó thực hiện giải pháp dựa trên đánh giá này. Một số tổ chức sẽ quyết định không sử dụng xác thực trước khi khởi động dựa trên đánh giá này. Điều quan trọng là phải xem xét tác động của các giải pháp mã hóa đối với doanh nghiệp hoặc tổ chức để có sự chấp nhận thích hợp đối với chính sách mã hóa của bạn. Một số tổ chức cho phép linh hoạt hơn với các yêu cầu của người dùng trong khi những tổ chức khác bắt buộc các chính sách. Tổ chức của bạn tùy thuộc vào việc giáo dục người dùng về các rủi ro mất dữ liệu và tìm ra sự cân bằng giữa mức độ dễ sử dụng tối đa và tính bảo mật toàn diện đồng thời đáp ứng các yêu cầu bắt buộc về bảo vệ dữ liệu trong tổ chức của bạn.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…