Mục lục
SƠ LƯỢC VỀ QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001
Một phần quan trọng của bất kỳ hệ thống quản lý nào là nắm bắt các sự cố và cải tiến.
ISO 27001 không có gì khác biệt.
Bất cứ lúc nào bạn gặp sự cố cũng giống như tìm được vàng. Một sự cố cho bạn dấu hiệu rằng bạn có một điểm yếu trong hệ thống quản lý của mình. Một sự cố cho thấy điểm yếu của bạn ở đâu. Nó có thể cho bạn thấy các lỗ hổng của bạn ở đâu.
Mục tiêu của điều khoản này của phụ lục A là đảm bảo tổ chức của bạn có một cách tiếp cận nhất quán và hiệu quả để quản lý các sự cố an toàn thông tin. Điều này bao gồm thông tin liên lạc về các sự kiện bảo mật và điểm yếu.
Điều khoản chia nhỏ các yêu cầu thành 7 lĩnh vực để bạn quản lý:
- Trách nhiệm và thủ tục.
- Báo cáo các sự kiện an toàn thông tin
- Báo cáo điểm yếu an toàn thông tin
- Đánh giá và quyết định các sự kiện an toàn thông tin
- Ứng phó sự cố an toàn thông tin
- Rút kinh nghiệm từ các sự cố an toàn thông tin
- Thu thập bằng chứng
TẠI SAO PHẢI THIẾT LẬP CHÍNH SÁCH QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
Sự phức tạp của phần mềm, khả năng kết nối gần như toàn cầu trên toàn thế giới và bọn tội phạm được xác định là kiếm lợi từ những yếu tố này khiến cho các sự cố an toàn thông tin không thể tránh khỏi. Mục tiêu của chiến lược quản lý sự cố an toàn thông tin hiệu quả là sự cân bằng giữa việc giảm tác động của sự cố trong khi xử lý sự cố hiệu quả nhất có thể. Quản lý sự cố tốt cũng sẽ giúp ngăn ngừa các sự cố trong tương lai. Điều này diễn ra như thế nào là phát triển một chương trình chuẩn bị cho các sự cố. Từ góc độ quản lý, nó liên quan đến việc xác định các nguồn lực cần thiết để xử lý sự cố, cũng như phát triển và truyền đạt các quá trình phát hiện và báo cáo chính thức. Một chương trình bảo mật hiệu quả bao gồm các khía cạnh quan trọng của việc phát hiện, báo cáo và ứng phó với các sự kiện bảo mật bất lợi cũng như các điểm yếu có thể dẫn đến các sự kiện nếu chúng không được giải quyết một cách thích hợp. Các yếu tố chính của quản lý sự cố là:
Ứng phó sự cố hiệu quả trong nhiều tổ chức khác ngoài CNTT, liên quan đến việc trang bị nhân viên được đào tạo và sẵn sàng ứng phó. Vì vậy, nó là với quản lý sự cố an toàn thông tin. Nhiệm vụ đầu tiên là phải chuẩn bị trước cho các cá nhân được huấn luyện sẵn sàng ứng phó với sự chuẩn bị trước. Thiết kế một phương tiện hiệu quả để phát hiện sự cố cũng là điều cần thiết và điều này thường bao gồm những người dùng và quản trị viên được đào tạo, cùng với các biện pháp kiểm soát kỹ thuật. Thông tin liên lạc hiệu quả, phù hợp ở tất cả các cấp của tổ chức là điều cần thiết để hạn chế tác động của các sự kiện an ninh, sử dụng các quy trình phát hiện và báo cáo chính thức. Tất cả các thành viên của cộng đồng cần được đào tạo và thoải mái về các thủ tục báo cáo các lỗi, điểm yếu và các sự cố nghi ngờ; các phương pháp nhận biết và phát hiện các vấn đề với các biện pháp bảo vệ an ninh; cũng như cách báo cáo một cách thích hợp. Ngoài ra, các biện pháp kiểm soát kỹ thuật phải được thực hiện để phát hiện tự động các sự kiện bảo mật, cùng với việc báo cáo theo thời gian thực gần nhất có thể, để điều tra và bắt đầu phản ứng ngay lập tức cho các vấn đề. Đối với các hệ thống CNTT mới, thường thì thời điểm tốt nhất để phát triển tính năng tự động phát hiện các sự kiện bảo mật là khi các biện pháp kiểm soát bảo mật phòng ngừa đang được cấu trúc. Xác nhận về một sự kiện bảo mật bất lợi là một kết quả không thể tránh khỏi trong bất kỳ tổ chức nào. Một quy trình và chính sách quản lý chính thức về ứng phó sự cố, bao gồm các vai trò và trách nhiệm đối với từng khía cạnh của ứng phó, là điều cần thiết. Các khía cạnh bao gồm mô hình kinh phí và chi phí, trách nhiệm phân tích, ngăn chặn và phục hồi, thẩm quyền ra quyết định đối với các thông báo; sự tham gia của pháp luật và / hoặc thực thi pháp luật; điều tra pháp y; trách nhiệm trả lời phỏng vấn sau sự cố; và cải tiến chính sách, thủ tục và quy trình.
CÁC NỘI DUNG CHÍNH CẦN PHẢI CÓ TRONG QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001
Dù phòng thủ ở mức độ nào thì cũng không thể tránh khỏi các Sự cố về An toàn Thông tin. Vì lý do này, việc thiết lập, đánh giá định kỳ và cải tiến liên tục các quy trình và năng lực quản lý sự cố là rất quan trọng. Nếu bạn mới bắt đầu tham gia vào lĩnh vực này trong chương trình bảo mật của mình, thì các lĩnh vực sau là bước đệm rất hữu ích được đề cập trong chương này:
1. Xác định yếu tố cấu thành sự cố an toàn thông tin và xem xét các sự cố khác nhau có thể được phân loại như thế nào.
2. Xem xét yếu tố nào tạo thành một sự cố an toàn thông tin cần xử lý đặc biệt (so với các sự kiện bảo mật thông thường). Xem xét các sơ đồ phân loại sự cố cho phép sắp xếp các quy trình xử lý phù hợp với các tác động và rủi ro tiềm ẩn.
3. Xác định và thiết lập các vai trò thiết yếu và các thủ tục cần thiết để quản lý sự cố hiệu quả.
4. Đánh giá khả năng kỹ thuật và hoạt động của tổ chức của bạn để phát hiện và ứng phó với các sự cố an ninh. Xem xét cách thức hỗ trợ quản lý cấp cao có thể đạt được để chính thức hóa các quy trình quản lý sự cố hiệu quả. Xây dựng quy trình và quy trình làm việc để giải quyết hiệu quả các sự cố trong suốt vòng đời
5. Tạo các kế hoạch liên lạc, phối hợp và báo cáo hiệu quả cho một loạt các sự cố bao gồm cả các sự kiện vi phạm dữ liệu.
6. Xác định các đối tác chính và các bên liên quan cũng như mức độ giao tiếp và gắn kết. Xem xét các yêu cầu pháp lý và hợp đồng giao tiếp liên quan đến các loại dữ liệu có thể liên quan đến Sự cố An toàn Thông tin.
7. Thích ứng và học hỏi từ các sự cố an ninh và cố gắng cải tiến liên tục bằng cách xác định và lập kế hoạch cho các nhu cầu đào tạo và nâng cao khả năng ứng phó.
Khi bạn gặp sự cố bảo mật thông tin, bạn cần phải ứng phó với nó theo các quy trình đã được lập thành văn bản của bạn.
Ở đây, chúng tôi có một quy trình tài liệu cho các sự cố an toàn thông tin.
Thủ tục là thẳng về phía trước. Đây là đây:
- Tất cả các vấn đề về bảo mật thông tin phải được báo cáo và quản lý thông qua mô-đun Cải tiến.
- Điều này bao gồm các điểm yếu bảo mật đáng ngờ trong hệ thống hoặc dịch vụ.
- Mô-đun Cải tiến sẽ quản lý thông tin liên lạc tới các nhân viên và người quản lý có liên quan
- Các sự kiện an toàn thông tin sẽ được đánh giá để xác định xem chúng có được phân loại là Sự cố an toàn thông tin hay không.
- Tất cả bằng chứng liên quan đến cuộc điều tra sẽ được ghi lại trong hồ sơ Cải tiến
LÀM THẾ NÀO ĐỂ THỰC HIỆN QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN THEO ISO 27001
Giám sát hệ thống và phát hiện sự cố
- Kiểm soát Bảo mật phải được cài đặt và duy trì trên mỗi Hệ thống Máy tính để ngăn người dùng trái phép xâm nhập vào hệ thống thông tin và ngăn chặn truy cập trái phép vào dữ liệu.
- Khi phát hiện các sự kiện mất an toàn, an ninh thông tin được mô tả trong phần phạm vi áp dụng. Người phát hiện phải thông báo sự kiện này.
- Bất kỳ phần mềm hệ thống hoặc tài nguyên nào của hệ thống máy tính chỉ được truy cập sau khi được hệ thống kiểm soát xác thực truy cập.
- Phần mềm kiểm soát truy cập và các tính năng bảo mật của phần mềm hệ thống sẽ được triển khai để bảo vệ tài nguyên. Cần có sự phê duyệt của ban quản lý để cho phép cấp nhận dạng người dùng (ID) và các đặc quyền về tài nguyên.
- CA tuân theo các biện pháp kiểm soát truy cập và tính toàn vẹn đã được phê duyệt như phát hiện xâm nhập, quét vi rút, ngăn chặn các cuộc tấn công từ chối dịch vụ và các biện pháp bảo mật vật lý
- Sổ tay Hệ thống Kiểm soát Truy cập ghi lại quyền truy cập được cấp cho các cấp độ người dùng khác nhau sẽ được chuẩn bị để cung cấp hướng dẫn cho Quản trị viên Hệ thống về việc cấp quyền truy cập.
- Mỗi người dùng sẽ được chỉ định một ID người dùng duy nhất. Ngừời dùng sẽ được đào tạo để giúp người dùng lựa chọn mật khẩu và bảo vệ mật khẩu.
- Chia sẻ ID người dùng sẽ không được phép.
- Mật khẩu đã lưu trữ sẽ được mã hóa bằng các kỹ thuật mã hóa đã được quốc tế chứng minh để ngăn chặn việc tiết lộ và sửa đổi trái phép.
- Mật khẩu đã lưu trữ sẽ được bảo vệ bởi các biện pháp kiểm soát truy cập khỏi tiết lộ và sửa đổi trái phép
- Thời gian chờ tự động cho việc không hoạt động của thiết bị đầu cuối nên được triển khai.
- Hoạt động của tất cả người dùng sẽ được ghi lại và giám sát chặt chẽ.
- Quy trình khởi động và tắt phần mềm bảo mật phải được Tự động hóa.
- Không ai có thể thay đổi hoặc sửa tác vụ của hệ điều hành hoặc phần mềm cài trên hệ thống trừ khi có sự cho phép của quản trị hệ thống.
- Phương án quản lý, phân loại nhằm bảo mật những thông tin nhạy cảm trong quá hoạt động cấp chứng thư số, lịch sử ký
- Khả năng phát hiện bất thường của hệ thống như: vi phạm bảo mật, xâm nhập vào mạng CA (Cảnh báo)
- Có chức năng giám sát 2 sự kiện bên Kiểm tra log liên quan đến 2 sự kiện bên.
Thông báo
- Người phát hiện nhanh chóng báo cáo cho cấp quản lý trực tiếp biết nội dung trực tiếp hoặc điện thoại.
- Chính sách, cơ chế để hành động, phối hợp khi có sự cố và giảm thiểu ảnh hưởng của vi phạm an ninh
- Phỏng vấn kiểm tra Nhân viên/đơn vị được chịu trách nhiệm theo dõi các cảnh báo về an ninh, các sự cố báo cáo và các thủ tục của CA
- Chính sách, cơ chế ghi rõ CA thiết lập các thông báo cho các bên thích hợp theo các quy tắc quy định hiện hành về bất kỳ vi phạm bảo mật trong vòng 24h kể từ khi vi phạm xảy ra
Chính sách cơ chế ghi rõ ngay lập tức thông báo đến 1 thể nhân hoặc pháp nhân mà đã cung cấp dịch vụ khi có vi phạm bảo mật hoặc mất tính toàn vẹn
Đánh giá mức độ
- Cấp quản lý trực tiếp đánh giá mức độ nghiêm trọng của sự kiện an toàn, an ninh thông tin.
- Đề xuất giải pháp và người thực hiện ứng phó với sự cố mất an toàn.
Phản ứng lại sự cố
Khi có sự cố xảy ra, tùy vào loại sự cố, mức độ nghiêm trọng của sự cố, cấp quản lý sẽ đưa ra các biện pháp xử lý cho phù hợp
Kiểm tra đánh giá định kỳ các nhật ký lưu trữ
Cơ chế thường xuyên đánh giá, kiểm tra cơ chế ghi log tự động
Phục hồi sau sự cố
- Cơ chế, chính sách ghi rõ ngay lập tức xử lý, khắc phục trong khoảng 48 giờ sau khi phát hiện ra lỗ hổng mới trong CA
- Chính sách ngay lập tức đưa ra biện pháp khi phát hiện có lỗ hổng:
- Trong đó lựa chọn 1 trong 2 phương án được nêu ra ở bên nhằm khắc phục sự cố:
- Kế hoạch gồm các phương án giảm thiểu, khắc phục các nguy cơ bị tấn công
Phân loại sự cố, lỗ hổng bảo mật và phương án xử lý
Học hỏi
Ghi nhận lại các nội dung trong quá trình diễn ra sự cố và biện pháp khắc phục sự cố để tích lũy, chia sẽ kinh nghiệm.
Báo cáo sự cố
- Lưu lại phiếu xử lý sự cố làm tư liệu phục vụ công tác.
- Các quy định đối với thủ tục báo cáo và ứng phó sẽ sử dụng theo kế hoạch giảm thiểu thiệt hại
ỨNG PHÓ VỚI CÁC TÌNH HUỒNG KHẨN CẤP
Việc chỉ định chủ sở hữu luôn tốt, rõ ràng về các hành động và thang đo thời gian, cũng như với mọi thứ đối với ISO 27001, lưu giữ thông tin cho mục đích đánh giá (cũng cần thiết nếu bạn có các bên liên quan và cơ quan quản lý khác để xem xét). Cá nhân được giao phụ trách xử lý sự kiện bảo mật sẽ chịu trách nhiệm khôi phục mức độ bảo mật bình thường trong khi đó;
- Thu thập chứng cứ càng sớm càng tốt sau khi sự việc xảy ra;
- Tiến hành phân tích pháp y bảo mật thông tin (dài hạn nhưng ít nhất phải rõ ràng về nguyên nhân gốc rễ và các khía cạnh liên quan hoặc điều gì đã xảy ra và ai có liên quan, tại sao, v.v.);
- Nếu được yêu cầu, ví dụ, đối với các cơ quan quản lý có liên quan;
- Đảm bảo rằng tất cả các hoạt động ứng phó liên quan được ghi lại một cách chính xác để phân tích sau này;
- Thông báo sự tồn tại của sự cố an toàn thông tin hoặc bất kỳ chi tiết liên quan nào cho lãnh đạo để họ được thông báo thêm cho các cá nhân hoặc tổ chức khác nhau trên cơ sở cần biết; và
- Xử lý các điểm yếu an toàn thông tin được phát hiện là nguyên nhân hoặc góp phần gây ra sự cố.
TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT THỰC HIỆN QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN THEO ISO 27001
Các tổ chức phải đảm bảo rằng các thủ tục phải được thiết lập để phản ứng nhanh chóng, hiệu quả và có trật tự đối với các sự cố an toàn thông tin. Các thủ tục này phải xác định vai trò và trách nhiệm của quản lý. Để đảm bảo sự phối hợp và phát triển thích hợp của các chính sách này, người ta phải lập kế hoạch. Các quy trình này có thể bao gồm giám sát, xác định, xem xét các giao thức. Chủ yếu là một nhà quản lý cấp cao chịu trách nhiệm về các hoạt động đó và ủy thác các vai trò phía trước.
QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN THEO ISO 27001 ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?
Quản lý sự cố an toàn thông tin được viết trong điều khoản phụ lục A.16 của bộ tài liệu ISO 27001: Tổ chức cần định nghĩa và áp dụng các quy trình quản lý sự cố, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc khắc phục sự cố.
TÓM LƯỢC KHẲNG ĐỊNH YÊU CẦU CỦA THỰC HIỆN QUẢN LÝ SỰ CỐ THEO TIÊU CHUẨN ISO 27001
Ưu tiên các sự cố là một yếu tố quan trọng, cũng như các thủ tục leo thang. Điều thú vị là mức độ ưu tiên sự cố khác nhau giữa các tổ chức tùy thuộc vào văn hóa của họ và các chính sách khác, và có một số loại sự cố nhất định mà một tổ chức có thể chấp nhận được trong khi tổ chức khác thì không. Ngoài ra, các chính sách được yêu cầu nêu rõ việc giám sát được phép đối với các hoạt động của hệ thống và mạng cũng như trong các trường hợp cụ thể. Cũng nên có các chính sách chỉ rõ ai có thể truy cập dữ liệu liên quan đến sự cố trong những trường hợp nào và việc kiểm toán nào được yêu cầu để ghi lại việc truy cập. Các chính sách riêng biệt nên được xem xét mô tả việc lưu giữ dữ liệu của dữ liệu nhật ký không liên quan đến sự cố và dữ liệu được lưu giữ trong quá trình điều tra sự cố.Thuật ngữ pháp y được sử dụng để mô tả một đặc điểm của bằng chứng thỏa mãn tính phù hợp để được thừa nhận là sự thật và khả năng thuyết phục dựa trên bằng chứng (hoặc độ tin cậy thống kê cao)
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…