HƯỚNG DẪN THỰC HIỆN QUẢN LÝ THIẾT BỊ THEO PHỤ LỤC A ISO 27001:2013

HƯỚNG DẪN THỰC HIỆN QUẢN LÝ THIẾT BỊ THEO PHỤ LỤC A ISO 27001:2013

Phụ lục A.6.2 là về thiết bị di động và thiết bị làm việc từ xa. Mục tiêu trong khu vực Phụ lục A này là thiết lập một khuôn khổ quản lý để đảm bảo an ninh của việc sử dụng thiết bị di động và thiết bị di động từ xa.

A.6 có vẻ như là một nơi kỳ quặc để che đậy các thiết bị di động và các chính sách làm việc từ xa nhưng nó lại có, và hầu hết mọi thứ trong A.6.2 đều kết nối với các biện pháp kiểm soát khác của  Phụ lục A vì phần lớn thời gian làm việc bao gồm thiết bị di động và làm việc từ xa. Làm việc từ xa trong trường hợp này cũng bao gồm nhân viên tại nhà và những người làm việc tại các địa điểm vệ tinh có thể không cần các biện pháp kiểm soát cơ sở hạ tầng vật lý giống như (giả sử) Trụ sở chính nhưng vẫn tiếp xúc với thông tin có giá trị và các tài sản liên quan.

Tổng quan về việc thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2013?

ẢNH MINH HỌA

Tổng quan

Theo Phụ lục A kiểm soát A.6.2.1, tổ chức phải có khả năng chứng minh một chính sách và hỗ trợ các biện pháp kiểm soát an ninh để giảm rủi ro do các thiết bị di động hoặc từ xa gây ra.

Do đó, các tổ chức có trách nhiệm ban hành chính sách thiết bị di động bao gồm việc đăng ký / hủy đăng ký thiết bị di động, yêu cầu bảo mật vật lý, yêu cầu bảo mật kỹ thuật bao gồm kết nối từ xa, kiểm soát phần mềm, kiểm soát truy cập và mã hóa. /trên đường vận chuyển.

Chính sách thiết bị di động phải bao gồm tất cả các chủ đề trên, nêu rõ các yêu cầu của doanh nghiệp đối với việc sử dụng thiết bị di động và khi nào chúng phù hợp

Các bước liên quan đến việc thiết lập Chính sách thiết bị di động

Bước 1: Xác định phạm vi của bạn.

Bước 2: Xác định đặc điểm thiết bị di động

Các tính năng của thiết bị di động liên tục thay đổi, vì vậy rất khó để định nghĩa thuật ngữ “thiết bị di động”. Tuy nhiên, khi các tính năng thay đổi, các mối đe dọa và kiểm soát bảo mật cũng vậy, vì vậy điều quan trọng là phải thiết lập một đường cơ sở về các tính năng của thiết bị di động.

Bước 3: Thiết lập các Công nghệ cần thiết để Quản lý Thiết bị Di động

Công nghệ quản lý thiết bị di động tập trung là một giải pháp ngày càng phát triển để kiểm soát việc sử dụng cả thiết bị di động do tổ chức cấp và thiết bị di động thuộc sở hữu cá nhân của người dùng doanh nghiệp. Ngoài việc quản lý cấu hình và bảo mật của thiết bị di động, các công nghệ này cung cấp các tính năng khác, chẳng hạn như cung cấp quyền truy cập an toàn vào các tài nguyên máy tính của doanh nghiệp. Phần này cung cấp tổng quan về tình trạng hiện tại của các công nghệ này, tập trung vào các thành phần, kiến ​​trúc và khả năng của công nghệ.

Bước 4: Bảo mật cho Vòng đời của Giải pháp Thiết bị Di động Doanh nghiệp

Nội dung

Tại sao phải thực hiện quản lý thiết bị hệ thống phụ lục quản lý an toàn thông tin?

  • Bảo mật thông tin của bạn ở mọi dạng: ISMS giúp bảo vệ tất cả các dạng thông tin, dù là dạng kỹ thuật số, trên giấy hay trong Đám mây theo phụ lục A
  • Tăng khả năng phục hồi cuộc tấn công của bạn: 
    • Việc triển khai và duy trì ISMS sẽ làm tăng đáng kể
    • Khả năng phục hồi của tổ chức của bạn trước các cuộc tấn công mạng. 
  • Quản lý tất cả thông tin của bạn ở một nơi : 
    • ISMS cung cấp một khuôn khổ trung tâm để giữ cho thông tin của tổ chức của bạn an toàn và quản lý tất cả ở một nơi. 
  • Đáp ứng với các mối đe dọa an ninh : 
    • Thường xuyên thích ứng với những thay đổi cả trong môi trường và bên trong tổ chức, một ISMS làm giảm nguy cơ rủi ro liên tục phát triển. 
  • Giảm chi phí liên quan đến bảo mật thông tin: 
    • Nhờ cách tiếp cận đánh giá và phân tích rủi ro của ISMS, các tổ chức có thể giảm chi phí chi cho việc bổ sung bừa bãi các lớp công nghệ phòng thủ có thể không hoạt động. 
  • Bảo vệ tính bí mật, tính sẵn có và tính toàn vẹn của dữ liệu của bạn : 
    • ISMS cung cấp một tập hợp các chính sách, thủ tục, các biện pháp kiểm soát vật lý và kỹ thuật để bảo vệ tính bí mật, tính sẵn có và tính toàn vẹn của thông tin của bạn. 
  • Cải thiện văn hóa công ty : 
    • Cách tiếp cận toàn diện của ISMS bao gồm toàn bộ tổ chức, không chỉ CNTT. Điều này cho phép nhân viên dễ dàng hiểu các rủi ro và nắm bắt các biện pháp kiểm soát an ninh như một phần của thực tiễn làm việc hàng ngày của họ. 

Các nội dung chính cần phải có thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin?

A.6.2.1 Chính sách thiết bị di động

  • Cần áp dụng chính sách và các biện pháp bảo mật hỗ trợ để quản lý các rủi ro do sử dụng điện thoại di động và các thiết bị di động khác như máy tính xách tay, máy tính bảng, v.v.
  • Khi thiết bị di động ngày càng thông minh hơn, lĩnh vực chính sách này trở nên quan trọng hơn nhiều so với việc sử dụng điện thoại di động truyền thống điện thoại. 
  • Một tổ chức cần đảm bảo rằng khi các thiết bị di động được sử dụng hoặc nhân viên đang làm việc bên ngoài, thông tin của tổ chức đó và của khách hàng và các bên quan tâm khác vẫn được bảo vệ và nằm trong tầm kiểm soát của tổ chức đó một cách lý tưởng. 
  • Điều đó ngày càng trở nên khó khăn với lưu trữ đám mây của người tiêu dùng, sao lưu tự động và các thiết bị thuộc sở hữu cá nhân được chia sẻ bởi các thành viên trong gia đình. Một tổ chức nên xem xét thực hiện chiến lược “Phòng thủ theo chiều sâu” với sự kết hợp của các biện pháp kiểm soát vật lý, kỹ thuật và chính sách bổ sung. 
  • Một trong những khía cạnh quan trọng nhất là giáo dục, đào tạo và nâng cao nhận thức về việc sử dụng thiết bị di động ở những nơi công cộng, tránh nguy cơ wifi ‘miễn phí’ có thể làm ảnh hưởng đến thông tin nhanh chóng hoặc hạn chế những quan sát viên không được mời nhìn vào màn hình trên hành trình tàu.

Các chính sách nên bao gồm các lĩnh vực sau:

  • đăng ký và quản lý
  • bảo vệ thể chất
  • hạn chế về phần mềm nào có thể được cài đặt
  • Những dịch vụ và ứng dụng nào có thể được thêm vào và truy cập
  • Việc sử dụng các nhà phát triển được ủy quyền và trái phép
  • điều hành các bản cập nhật thiết bị và vá các ứng dụng
  • phân loại thông tin có thể truy cập
  • Và bất kỳ ràng buộc truy cập tài sản nào khác
  • kỳ vọng về mật mã, phần mềm độc hại và chống vi-rút
  • đăng nhập, vô hiệu hóa từ xa, xóa, khóa và yêu cầu ‘tìm thiết bị của tôi’
  • sao lưu và lưu trữ
  • gia đình và các điều kiện truy cập của người dùng khác (nếu BYOD), ví dụ: tách tài khoản
  • sử dụng ở những nơi công cộng
  • kết nối và mạng tin cậy

A.6.2.2 Làm việc từ xa

  • Một chính sách và các biện pháp bảo mật hỗ trợ cũng phải được thực hiện
  • Để bảo vệ thông tin được truy cập, xử lý/lưu trữ tại các địa điểm làm việc từ xa. 
  • Làm việc từ xa đề cập đến việc làm việc tại nhà và làm việc ngoài cơ sở khác
  • Chẳng hạn như trên các trang web của nhà cung cấp hoặc khách hàng. 
  • Đối với nhân viên làm việc từ xa, giáo dục, đào tạo
  • Và nâng cao nhận thức liên quan đến các rủi ro tiềm ẩn là rất quan trọng. 
  • Đánh giá viên sẽ mong đợi xem các quyết định liên quan đến việc sử dụng thiết bị di động
  • Và công nghệ từ xa và các biện pháp bảo mật dựa trên đánh giá rủi ro thích hợp
  • Cân bằng nhu cầu làm việc linh hoạt trước các mối đe dọa
  • Và lỗ hổng tiềm ẩn mà việc sử dụng đó sẽ gây ra.

Làm thế nào để soạn thảo quy trình thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin phù hợp với tiêu chuẩn phụ lục A ISO 27001:2013?

Cấp phát thiết bị

  • Bộ phận IT thực hiện: Kiểm tra bản quyền phần mềm; test cài đặt phần mềm cần thiết như hệ điều hành, phần mềm chống Virus, các ứng dụng
  • Cài đặt mật khẩu (Password) cho thiết bị
  • Xóa hoặc di chuyển toàn bộ dữ liệu cũ tới nơi khác
  • Hoặc giữ lại dữ liệu cũ nếu liên quan đến công việc của người nhận thiết bị
  • Đánh mã số thiết bị
  • Làm thủ tục giao nhận. Lưu giữ hồ sơ

Đổi mật khẩu (Password) lần đầu

  • Sau khi nhận thiết bị, người sử dụng thiết bị thay đổi mật khẩu của thiết bị
  • Mật khẩu phải mạnh và đúng quy định trong chính sách mã hóa

Sử dụng

  • Sửa chữa thiết bị, thay đổi, thêm ứng dụng vào thiết bị
  • Tham khảo và xin phép bộ phận kỹ thuật
  • Có sự đồng ý của cấp trên
  • Backup dữ liệu: Backup tự động các dữ liệu quan trọng như Source Code …
  • Kiểm tra và quét Virus: Phần mềm diệt Virut được Setup quét định kỳ
  • Đưa thiết bị ra khỏi nơi làm việc: Phải được chấp nhận từ cấp trên
  • Người sử dụng phải thông báo cho Bộ phận kỹ thuật ngay lập tức khi mất thiết bị

Bàn giao thiết bị khi nghỉ việc, đổi trả thiết bị:

Lập biên bản bàn giao

Hủy thiết bị khi không còn sử dụng

Bộ phận kỹ thuật Backup dữ liệu, Format ổ cứng trước khi hủy hoặc thanh lý

Trách nhiệm soạn thảo và phê duyệt thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin?

  • Trách nhiệm soạn thảo tài liệu
  • Quy trình quản lý thiết bị HTQLANTT theo phụ lục A ISO 27001:2013
  • Sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra.
  • Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.

Thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin được phổ biến áp dụng như thế nào?

  • Cẩn thận khi sử dụng thiết bị di động
  • Để đảm bảo rằng thông tin doanh nghiệp không bị xâm phạm. 
  • Chính sách về thiết bị di động phải tính đến rủi ro khi làm việc
  • Với thiết bị di động trong môi trường không được bảo vệ.
  • Mạng không dây dành cho thiết bị di động tương tự như các kết nối mạng khác
  • Nhưng có những thay đổi đáng kể cần tính đến khi phát hiện các điều khiển. 
  • Những thay đổi đáng kể đó như sau:
    • Các giao thức bảo mật không dây nhất định chưa hoàn thiện
    • Và có các điểm yếu được xác định;
    • Bộ nhớ thiết bị di động có thể không được sao lưu do không đủ băng thông mạng
    • Ngay cả khi quá trình xử lý sao lưu được lên lịch, các thiết bị không được kết nối
    • Viễn thông khác áp dụng cho tất cả các phương thức làm việc
    • Đặc biệt là môi trường làm việc phi truyền thống
    • Chẳng hạn như những môi trường được gọi là ‘viễn thông’, ‘nơi làm việc linh hoạt’, ‘làm việc ảo’ hoặc ‘làm việc từ xa.’

Mẫu thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin tham khảo?

Quy định ANTT phụ lục A đối với máy tính bàn và thiết bị di động tham khảo:

MẪU VÍ DỤ

Tóm lược và khẳng định yêu cầu của việc thực hiện quản lý thiết bị hệ thống quản lý an toàn thông tin?

  • Bởi vì bảo mật hệ thống là tổng hợp của bảo mật thành phần riêng lẻ, “ranh giới hệ thống”
  • Phải bao gồm người dùng cá nhân và máy trạm của họ. 
  • Nhưng bởi vì việc quản lý thiết bị hành vi của nhân viên
  • Không phải lúc nào cũng có thể bị sai khiến
  • Mà không có khả năng cản trở năng suất tổng thể của người lao động. 
  • Hãy nhớ lại rằng chính sách bảo mật sẽ trở nên vô hiệu
  • Nếu nó hạn chế đến mức quyền truy cập của người dùng hợp pháp bị đe dọa. 
  • Do đó, chìa khóa để triển khai bảo mật thành công là tìm ra sự cân bằng hợp lý
  • Giữa bảo vệ hệ thống với quyền tự chủ và sự tiện lợi của người dùng. 
  • Người chịu trách nhiệm tìm kiếm sự cân bằng đó
  • Và tích cực thúc đẩy an ninh tổ chức là người quản lý an ninh. 
  • Quản lý bảo mật bao gồm việc nuôi dưỡng văn hóa tổ chức có ý thức về bảo mật
  • Phát triển quy trình hữu hình để hỗ trợ bảo mật, quản lý vô số các phần tạo nên HT