Professional Documents
Culture Documents
1|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
4|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
5|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
6|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
7|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Lời tựa
ISO (Tổ chức quốc tế về tiêu chuẩn hóa) và IEC (Ủy ban quốc tế kỹ thuật điện)
định hình các hệ thống đặc biệt cho sự tiêu chuẩn hóa toàn cầu. Các quốc gia là
thành viên của ISO hoặc IEC tham gia vào việc phát triển các Tiêu chuấn quốc tế
thông qua các ủy ban kỹ thuật được thành lập bởi tổ chức tương ứng để đối phó
với các lĩnh vực hoạt động kỹ thuật cụ thể. Các ủy ban ISO và IEC cộng tác trong
các lĩnh vực có cùng mối quan tâm chung. Các tổ chức quốc tế khác, chính phủ và
phi chính phủ, trong mối liên quan với ISO và IEC, cũng đóng góp một phần công
việc. Trong lĩnh vực CNTT, ISO và IEC đã thiết lập một ủy ban kỹ thuật chung, đó
là ISO/IEX JTC1.
Các Tiêu chuẩn Quốc tế được soạn thảo phù hợp với các quy định trong Phần 2,
Các Hướng dẫn ISO/IEC.
ISO/IEC 27002 được chuẩn bị bởi Ủy ban Kỹ thuật hỗn hợp ISO/IEC JTC 1, Công
nghệ thông tin , ủy ban con SC27, Kỹ thuật bảo mật thông tin.
Sự chú ý được thu hút vào khả năng một số thành phần của tài liệu này có thể là
đối tượng của quyền sáng chế. ISO sẽ không chịu trách nhiệm xác định bất kỳ hoặc
tất cả các quyền về bằng sáng chế đó.
Phiên bản thứ hai này hủy bỏ và thay thế cho phiên bản đầu tiên (ISO
27002:2005), và đã được duyệt lại về mặt cấu trúc và kỹ thuật.
8|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
0 Giới thiệu
1.1 Bối cảnh
Tiêu chuẩn Quốc tế này được thiết kế cho các tổ chức để sử dụng như là bản tham
chiếu trong việc lựa chọn các kiểm soát trong phạm vi quy trình triển khai Hệ
thống Quản lý Bảo mật Thông tin (ISMS) dựa trên ISO/IEC 27001 ( 1 0 ) hoặc như là
một tài liệu hướng dẫn để các tổ chức triển khai các kiểm soát bảo mật thông tin
phổ biến đã được chấp nhận. Tiêu chuẩn này cũng được dự định để sử dụng trong
việc phát triển ngành – và tổ chức – các hướng dẫn quản lý bảo mật thông tin cụ
thể, trong mối quan tâm đối với (các) môi trường rủi ro bảo mật thông tin cụ thể.
Các tổ chức trong mọi ngành nghề với mọi quy mô (bao gồm cả khu vực công và tư
nhân, thương mại và phi lợi nhuận), thu thập, xử lý, lưu trữ và truyền tải thông tin
trong mọi định dạng bao gồm điện tử, vật lý và bằng lời nói (ví dụ, trao đổi và
thuyết trình).
Giá trị của thông tin vượt lên trên cả những tuef ngữ đã được viết, các con số và
hình ảnh: kiến thức, các ý tưởng, ý kiến và các nhãn hiệu là những ví dụ về những
định dạng vô hình của thông tin. Trong một thế giới được liên kết, thông tin và các
quy trình, hệ thống, mạng lưới có liên quan, và những con người tham gia vào hoạt
động của chúng, xử lý và bảo vệ, là những tài sản mà, giống như những tài sản
quan trọng khác của tổ chức, là có giá trị đối với việc kinh doanh của tổ chức và
do đó, xứng đáng hoặc đòi hỏi sự bảo vệ chống lại các mối nguy cơ khác nhau.
Các tài sản là đối tượng của cả các mối đe dọa cố ý và vô tình trong khi các quy
trình, hệ thống, mạng lưới và con người đều có những lỗ hổng cố hữu. Những thay
đổi trong quy trình kinh doanh và các hệ thống, hoặc những thay đổi bên ngoài
khác (chẳng hạn như những luật lệ và quy định mới) có thể tạo ra những rủi ro bảo
mật thông tin mới. Do đó, với vô số cách mà các mối đe dọa có thể lợi dụng các lỗ
hổng để gây thiệt hại cho tổ chức, những rủi ro bảo mật thông tin luôn luôn hiện
hữu. Bảo mật thông tin hiệu quả làm giảm thiểu những rủi ro đó bằng cách bảo vệ
tổ chức chống lại những mối đe dọa và lỗ hổng, và giảm thiểu tác động đối với các
tài sản.
Bảo mật thông tin đạt được bằng cách triển khai bộ các kiểm soát phù hợp, bao
gồm các chính sách, các quy trình, thủ tục, cấu trúc tổ chức và các chức năng phần
mềm cũng như phần cứng. Các kiểm soát này cần được thiết lập, triển khai, giám
sát, xem xét và tăng cường, khi cần thiết, để đảm bảo rằng các mục tiêu kinh
doanh cũng như mục tiêu bảo mật cụ thể của tổ chức được đáp ứng. Một ISMS
chẳng hạn như đã được chỉ định trong ISO/IEC 27001 ( 1 0 ) có một cái nhìn toàn diện,
được kết hợp về các rủi ro bảo mật thông tin của tổ chức để triển khai một bộ kiểm
soát toàn diện về bảo mật thông tin trong khuôn khổ tổng thể của một hệ thống
quản lý mạch lạc.
Rất nhiều hệ thống thông tin đã không được thiết kế để được bảo mật theo ý nghĩa
của ISO/IEC 27001 ( 1 0 ) cũng như theo tiêu chuẩn này. Bảo mật có thể đạt được
thông qua các biện pháp kỹ thuật bị giới hạn và nên được hỗ trợ bởi các thủ tục và
quản lý thích hợp. Việc xác định các kiểm soát nào nên có đòi hỏi sự hoạch định
9|Page
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
kỹ lưỡng và sự chú ý đến chi tiết. Một ISMS thành công yêu cầu sự hỗ trợ từ mọi
nhân viên trong tổ chức. Nó cũng có thể yêu cầu sự tham gia của các cổ đông, nhà
cung cấp hoặc bên thứ ba bên ngoài khác. Lời khuyên đặc biệt từ các bên thứ ba
bên ngoài cũng có thể là cần thiết.
Theo một ý nghĩa tổng quát hơn, bảo mật thông tin hiệu quả cũng đảm bảo với cấp
quản lý và các cổ đông khác rằng những tài sản của tổ chức được bảo vệ và an toàn
một cách hợp lý trước các mối nguy hại, và do đó, hoạt động như một yếu tố doanh
nghiệp.
Các nguồn lực được sử dụng trong việc triển khai các kiểm soát cần phải được cân
bằng chống lại những tác hại đối với doanh nghiệp có thể xảy ra khi không có các
kiểm soát đó. Kết quả từ việc đánh giá rủi ro sẽ giúp hướng dẫn và xác định những
hành động quản trị phù hợp và các mối ưu tiên trong việc quản lý rủi ro bảo mật
thông tin và trong triển khai các kiểm soát đã được chọn nhằm bảo vệ chống lại
những rủi ro đó.
ISO/IEC 27005 ( 1 1 ) cung cấp hướng dẫn quản lý rủi ro bảo mật thông tin, bao gồm
những lời khuyên về đánh giá rủi ro, cách xử lý rủi ro, chấp nhật rủi ro, truyền
thông về rủi ro, giám sát rủi ro và xem xét rủi ro.
Việc lựa chọn các kiểm soát là độc lập tùy thuộc vào quyết định của tổ chức dựa
trên các tiêu chí về chấp nhận rủi ro, các lựa chọn xử lý rủi ro và phương pháp
quản lý rủi ro tổng thể được áp dụng cho tổ chức và cũng nên là đối tượng của mọi
luật pháp và quy định của quốc gia cũng như quốc tế. Việc lựa chọn kiếm soát
10 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
cũng dựa theo cách thức mà các kiểm soát tương tác để cung cấp sự bảo vệ sâu
sắc.
Vài kiểm soát trong tiêu chuẩn này có thể được cân nhắc như là các nguyên tắc
hướng dẫn cho quản lý bảo mật thông tin và có thể được áp dụng cho hầu hết các
tổ chức. Các kiểm soát được giải thích một cách chi tiết dưới đây cùng với các
hướng dẫn triển khai. Những thông tin thêm về việc lựa chọn các kiểm soát cũng
như các lựa chọn xử lý rủi ro có thể tìm thấy trong ISO/IEC 27005 ( 1 1 ) .
Các hệ thống thông tin có vòng đời mà trong đó chúng được hình thành, chỉ định,
thiết kế, phát triển, kiểm tra, triển khai, sử dụng, duy trì và cuối cùng, được cho
nghỉ hưu và loại bỏ khỏi dịch vụ. Bảo mật thông tin phải được tính đến trong mọi
giai đoạn. Phát triển hệ thống mới và thay đổi hệ thống hiện có tạo cơ hội cho tổ
chức để cập nhật và cải thiện các kiểm soát bảo mật, nắm bắt các sự cố thực tế và
hiện tại đồng thời xử lý các rủi ro bảo mật thông tin.
Tham khảo ISO/IEC 27000 để có thêm giới thiệu tổng quát về cả ISMS và họ các
tiêu chuẩn khác. ISO/IEC 27000 cung cấp một chú giải, định nghĩa một cách chính
11 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
thức phần lớn các khái niệm được sử dụng trong toàn bộ họ tiêu chuẩn ISO/IEC
27000, và mô tả phạm vi cũng như mục tiêu của mỗi tiêu chuẩn trong họ.
2 Phạm vi
Tiêu chuẩn Quốc tế này đưa ra các hướng dẫn về các tiêu chuẩn bảo mật thông
tin thuộc về tổ chức và thực tiễn quản lý bảo mật thông tin bao gồm sự lựa
chọn, triển khai, và quản lý các kiểm soát trên cơ sở xem xét (các) môi trường
rủi ro bảo mật thông tin của tổ chức.
Tiêu chuẩn Quốc tế này được thiết kế để được sử dung bởi các tổ chức có ý
định:
a) lựa chọn các kiểm soát trong vòng quy trình triển khai một Hệ thống Quản
lý Bảo mật Thông tin dựa trên ISO/IEC 27001 ( 1 0 ) ;
b) triển khai các kiểm soát bảo mật thông tin phổ biến đã được chấp nhận;
c) phát triển các hướng dẫn quản lý bảo mật thông tin của riêng mình.
d)
3 Quy phạm tham chiếu
Những tài liệu dưới đây, toàn bộ hoặc từng phần, được tham chiếu một cách
quy chuẩn trong tài liệu này và là không thể thiếu cho việc ứng dụng nó. Với
các tham chiều lỗi thời, chỉ có những phiên bản được viện dẫn được áp dụng.
Với các tham chiếu chưa lỗi thời, phiên bản mới nhất của tài liệu được tham
chiếu (bao gồm mọi sửa đổi) được áp dụng.
ISO/IEC 27000, Công nghệ thông tin – Kỹ thuật bảo mật – Các hệ thống quản
lý bảo mật thông tin – Tổng quan và từ vựng.
Thứ tự của các điều khoản trong tiêu chuẩn này không thể hiện cho tầm quan
trọng của chúng. Tùy thuộc vào hoàn cảnh, các kiểm soát trong bất kỳ hoặc tất
cả các điều khoản có thể trở nên quan trọng, do đó mỗi tổ chức đang áp dụng
tiêu chuẩn này nên xác định các kiểm soát có thể áp dụng được, tầm quan
trọng và ứng dụng của chúng (các kiểm soát) cho từng quy trình kinh doanh
riêng lẻ. Như vậy, các danh sách trong tiêu chuẩn này không xếp theo thứ tự
ưu tiên.
12 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các chinh sách bảo mật thông tin nên giải quyết các yêu cầu được tạo ra bởi:
a) chiến lược kinh doanh;
b) các quy định, luật pháp và các hợp đồng;
c) mối đe dọa môi trường bảo mật thông tin hiện tại và dự đoán.
Chính sách bảo mật thông tin nên bao gồm các tuyên bố liên quan đến:
a) sự định nghĩa bảo mật thông tin, các mục tiêu và các nguyên tắc hướng dẫn
mọi hành động có liên quan đến bảo mật thông tin;
13 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
b) phân công trách nhiệm tổng thể và cụ thể trong quản lý bảo mật thông tin
để xác định các vai trò;
c) các quy trình xử lý các sai lệch và ngoại lệ.
Tại cấp độ thấp hơn, chính sách bảo mật thông tin nên được hỗ trợ bởi các
chính sách cho chủ đề cụ thể, mà tiếp tục bắt buộc triển khai các kiểm soát bảo
mật thông tin và thường được tổ chức để giải quyết nhu cầu về các nhóm đích
nhắm mục tiêu nhất định trong một tổ chức hoặc để bao quát những chủ đề
nhất định.
14 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Một vài tổ chức sử dụng những khái niệm khác cho các tài liệu chính sách,
chẳng hạn như “Các Tiêu chuẩn”, “Các Hướng dẫn” hoặc “Các Quy tắc”.
5.1.2 Xem xét đánh giá các tiêu chuẩn bảo mật thông tin
Kiểm soát
Các chính sách bảo mật thông tin nên được xem xét đánh giá trong khoảng thời
gian đã được định hoặc nếu những thay đổi quan trọng diễn ra để đảm bảo
chúng tiếp tục phù hợp, chính xác và hiệu quả.
Việc xem xét các chính sách bảo mật thông tin nên tính đến kết quả đánh giá
của cấp quản lý.
Nên đạt được sự phê duyệt của cấp quản lý cho một chính sách đã được sửa
đổi.
6.1.1 Những vai trò và trách nhiệm trong bảo mật thông tin
Kiểm soát
Mọi trách nhiệm bảo mật thông tin nên được định nghĩa và phân bổ.
Các cá nhân cùng với trách nhiệm bảo mật thông tin đã được phân bổ có thể uỷ
quyền các nhiệm vụ bảo mật lại cho người khác. Tuy nhiên, họ vẫn có trách
15 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
nhiệm và nên xác định rằng bất kỳ nhiệm vụ đã uỷ quyền (cho người khác) nào
phải được thực thi một cách chính xác.
Những khu vực mà các cá nhân chịu trách nhiệm nên được tuyên bố. Cụ thể
như sau:
a) những tài sản và quy trình bảo mật thông tin nên được xác định và định
nghĩa;
b) thực thể chịu trách nhiệm cho mỗi tài sản hoặc quy trình bảo mật thông tin
nên được bổ nhiệm và chi tiết trách nhiệm này nên được ghi lại (xem
8.1.2 );
c) các cấp độ uỷ quyền nên được định nghĩa và ghi lại;
d) để có thể hoàn thành các trách nhiệm trong lĩnh vực bảo mật thông tin,
những cá nhân đã được bổ nhiệm nên thành thạo trong lĩnh vực này và được
trao cơ hội để cập nhật những phát triển;
e) việc điều phối và giám sát các yếu tố bảo mật thông tin trong mối quan hệ
với nhà cung cấp nên được xác định và ghi lại.
Tuy nhiên, trách nhiệm về việc cung cấp và triển khai các kiểm soát sẽ thường
vẫn thuộc về các cá nhân quản lý. Một thực tiễn phổ biến là bổ nhiệm một chủ
sở hữu cho mỗi tài sản, người mà chịu trách nhiệm bảo vệ (tài sản) qua từng
ngày.
Các tổ chức nhỏ có thể nhận thấy rằng sự phân tách nhiệm vụ là khó để đạt
được, tuy nhiên nguyên tắc nên được áp dụng càng nhiều và càng thực tế càng
tốt. Bất cứ khi nào khó phân tách (nhiệm vụ), các kiểm soát khác như việc
giám sát các hành động, các dấu vết kiểm toán và quản lý giám sát nên được
cân nhắc.
16 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Việc duy trì các mối liên hệ như trên có thể là một yêu cầu để hỗ trợ trong
việc quản lý sự cố bảo mật thông tin (xem Điều 16 ) hoặc quy trình hoạch định
kinh doanh liên tục và dự phòng (xem Điều 17 ). Các liên hệ với các cơ quan
quản lý cũng rất hữu ích để dự đoán và chuẩn bị cho các thay đổi sắp tới trong
pháp lý hoặc quy định mà các tổ chức cần phải triển khai. Các mối liên hệ với
các cơ quan có thẩm quyền khác bao gồm các dịch vụ tiện ích, dịch vụ khẩn
cấp, các nhà cung cấp điện và dịch vụ an toàn và sức khoẻ, ví dụ, cơ quan
phòng cháy chữa cháy (liên quan tới kinh doanh liên tục), nhà cung cấp viễn
thông (liên quan tới định tuyến và tính sẵn sàng), và nhà cung cấp nước (liên
quan tới các thiết bị làm mát cho thiết bị).
e) chia sẻ và trao đổi thông tin về những công nghệ, sản phẩm và các mối đe
doạ hoặc lỗ hổng mới;
f) cung cấp các điểm liên lạc phù hợp khi xử lý các sự cố bảo mật thông tin
(xem Điều 16 ).
Hàm ý bảo mật thông tin cần được giải quyết và xem xét một cách thường
xuyên trong tất cả các dự án. Trách nhiệm bảo mật thông tin nên được xác
định và phân bổ cho những vai trò được chỉ định trong các phương pháp quản
lý dự án.
18 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
động nên tính đến các rủi ro khi làm việc với các thiết bị di động trong môi
trường không được bảo vệ.
Chính sách thiết bị di động nên xem xét:
a) đăng ký thiết bị di động;
b) các yêu cầu bảo vệ vật lý;
c) sự hạn chế cài đặt phần mềm;
d) các yêu cầu về các phiên bản phần mềm thiết bị di động và việc áp dụng
các bản vá cập nhật;
e) hạn chế về việc kết nối tới các dịch vụ thông tin;
f) các kiểm soát truy cập;
g) các kỹ thuật mã hóa;
h) bảo vệ chống lại các phần mềm độc hại;
i) vô hiệu hóa kết nối từ xa; xóa bỏ hoặc khóa thiết bị;
j) sao lưu;
k) sử dụng dịch vụ và ứng dụng web.
Cần phải thận trọng khi sử dụng các thiết bị di động ở khu vực công cộng,
phòng họp hoặc những nơi không được bảo vệ. Nên áp dụng các biện pháp
bảo vệ để ngăn ngừa sự truy cập trái phép vào (thiết bị) hoặc tiết lộ trái
phép những thông tin được lưu trữ và xử lý trên các thiết bị (di động) đó, ví
dụ như sử dụng các kỹ thuật mã hóa (xem Điều 10) và bắt buộc sử dụng
thông tin xác minh bảo mật (xem 9.2.4 ).
Các thiết bị di động cũng cần được bảo vệ về mặt vật lý để chống trộm cắp,
đặc biệt là khi không có mặt, ví dụ như trong xe hơi và các hình thức vận
chuyển khác, phòng khách sạn, trung tâm hội nghị và nơi gặp gỡ. Một thủ
tục cụ thể có tính đến các yêu cầu pháp lý, bảo hiểm và các yêu cầu bảo mật
khác của tổ chức nên được thiết lập cho các trường hợp mất cắp hoặc làm
mất thiết bị di động. Các thiết bị chứa những thông tin kinh doanh quan
trọng, nhạy cảm hoặc then chốt không nên bị bỏ mặc và, nếu có thể, nên
được khóa vật lý hoặc sử dụng khóa đặc biệt để bảo mật thiết bị.
Sự đào tạo nên được tổ chức cho nhân viên sử dụng các thiết bị di động để
nâng cao nhận thức của họ về các rủi ro bổ sung do cách làm việc này và các
biện pháp kiểm soát nên được triển khai.
Trường hợp chính sách thiết bị di động cho phép sử dụng các thiết bị di
động thuộc sở hữu cá nhân, chính sách và các biện pháp bảo mật liên quan
cũng cần xem xét:
a) tách biệt giữa sử dụng thiết bị các thiết bị cá nhân và thiết bị của tổ
chức, bao gồm việc sử dụng phần mềm để hỗ trợ sự tách biệt và bảo vệ
dữ liệu kinh doanh trên thiết bị cá nhân;
b) chỉ cung cấp sự truy cập đến thông tin của tổ chức sau khi người dùng đã
ký một thỏa thuận người dùng cuối về sự nhận thức trách nhiệm của họ
(bảo vệ vật lý, cập nhật phần mềm, v.v…), miễn trừ quyền sở hữu đối với
19 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
dữ liệu của tổ chức, chấp nhận việc xóa sạch từ xa dữ liệu của tổ chức
trong những trường hợp bị trộm cắp hoặc làm mất thiết bị hoặc khi không
còn được ủy quyền sử dụng dịch vụ. Chính sách này nên tính đến các quy
định về quyền riêng tư.
Một cách tổng quát, các thiết bị di động chia sẻ những chức năng phổ biến,
chẳng hạn như kết nối mạng, truy cập internet, email và xử lý tập tin, với
các thiết bị sử dụng cố định. Các kiểm soát bảo mật thông tin cho các thiết
bị di động thường bao gồm những điều được áp dụng cho các thiết bị sử
dụng cố định để giải quyết các mối đe dọa do việc sử dụng chúng (thiết bị di
động) bên ngoài các văn phòng của tổ chức.
20 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
f) việc sử dụng mạng tại nhà và các yêu cầu hoặc các hạn chế trong thiết
lập cấu hình của dịch vụ mạng không dây;
g) các chính sách và các thủ tục để ngăn ngừa những tranh chấp có liên
quan đến quyền sở hữu trí tuệ được phát triển trên các thiết bị thuộc sở
hữu cá nhân;
h) truy cập vào những thiết bị cá nhân (để xác minh điều kiện bảo mật của
thiết bị hoặc trong một quá trình điều tra);
i) các thỏa thuận cấp phép sử dụng phần mềm sao cho tổ chức có thể trở
thành người chịu trách nhiệm cấp phép cho các phần mềm trên các máy
trạm thuộc sở hữu các nhân của nhân viên hoặc những người sử dụng
thuộc bên ngoài;
j) bảo vệ chống phần mềm độc hại và các yêu cầu tường lửa.
Các hướng dẫn và thỏa thuận được xem xét nên bao gồm:
a) việc cung cấp các thiết bị phù hợp và thiết bị lưu trữ cho các hoạt động
làm việc từ xa, khi mà việc sử dụng các thiết bị thuộc sở hữu cá nhân
không chịu sự kiểm soát của tổ chức là không được chấp nhận;
b) một định nghĩa về giấy phép làm việc, giờ làm việc, phân loại thông tin
mà có thể được xử lý và những hệ thống và các dịch vụ nội bộ mà những
người làm việc từ xa được cấp phép truy cập;
c) việc cung cấp các thiết bị truyền thông phù hợp, bao gồm các phương
pháp để bảo vệ truy cập từ xa;
d) bảo mật vật lý;
e) các quy tắc và hướng dẫn về sự truy cập của gia đình và khách thăm vào
thiết bị và thông tin;
f) việc cung cấp hỗ trợ phần cứng và phần mềm và bảo trì;
g) việc cung cấp sự bảo hiểm;
h) các thủ tục sao lưu và kinh doanh liên tục;
i) kiểm toán và giám sát bảo mật;
j) việc thu hồi thẩm quyền và quyền truy cập, và trả lại thiết bị khi các hoạt
động làm việc từ xa bị hủy bỏ.
21 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Khi một cá nhân được thuê cho một vai trò bảo mật thông tin cụ thể, các tổ
chức nên đảm bảo rằng ứng viên:
a) có năng lực cần thiết để hoàn thành vai trò bảo mật;
b) có thể được tin cậy để đảm nhiệm vai trò, đặc biệt nếu vai trò đó là rất
quan trọng đối với tổ chức.
Khi một công việc, ngay cả khi bắt đầu bổ nhiệm hoặc thăng chức, liên quan
đến người có quyền truy cập vào các thiết bị xử lý thông tin, và, đặc biệt,
nếu chúng (thiết bị) đang xử lý những thông tin bí mật, ví dụ như thông tin
tài chính hoặc thông tin có tính bảo mật cao, tổ chức cũng nên cân nhắc
thêm, và xác minh chi tiết hơn.
Các thủ tục nên xác định các tiêu chí và các hạn chế trong quá trình xem xét
xác minh, ví dụ, ai là người đủ điều kiện để sàng lọc và như thế nào, khi nào
và tại sao việc xem xét xác minh được tiến hành.
Một quy trình sàng lọc cũng nên đảm bảo cho các nhà thầu. Trong những
trường hợp đó, thỏa thuận giữa tổ chức và nhà thầu nên chỉ định trách nhiệm
cho việc thực hiện sàng lọc và các thủ tục thông báo cần được tuân theo nếu
quá trình sàng lọc chưa hoàn tất hoặc nếu các kết quả đem lại sự nghi ngờ
hoặc lo lắng.
Thông tin về mọi ứng viên đang được xem xét cho các vị trí bên trong tổ
chức nên được thu thập và xử lý một cách phù hợp với các quy định pháp lý
22 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
tương xứng hiện hành theo thẩm quyền có liên quan. Tùy thuộc vào quy định
pháp lý có thể áp dụng được, các ứng viên nên được thông báo trước về các
hành động sàng lọc.
Vai trò và trách nhiệm bảo mật thông tin nên được truyền thông đến các ứng
viên trong quá trình trước khi tuyển dụng.
Tổ chức nên đảm bảo rằng nhân viên và nhà thầu đồng ý với những điều
khoản và điều kiện làm việc có liên quan đến bảo mật thông tin phù hợp với
bản chất và mức độ truy cập mà họ sẽ có đối với các tài sản của tổ chức liên
kết với các hệ thông và dịch vụ thông tin.
Khi thích hợp, những trách nhiệm được bao gồm trong điều khoản và điều
kiện làm việc phải được tiếp tục trong một khoảng thời gian đã xác định sau
khi kết thúc công việc (xem 7.3 ).
thứ ba bên ngoài, có liên kết với nhà thầu, có thể được yêu cầu tham gia vào
các thỏa thuận hợp đồng thay mặt cho cá nhân được ký kết hợp đồng.
Cấp quản lý nên giải thích thêm để hỗ trợ cho các chính sách, thủ tục và
kiểm soát bảo mật thông tin, và hành động như một hình mẫu.
Quản lý tồi có thể khiến cho nhân viên cảm thấy bị đánh giá thấp từ đó dẫn
đển tác động bảo mật thông tin tiêu cực đối với tổ chức. Ví dụ, quản lý tồi
có thể dẫn đến việc bảo mật thông tin bị bỏ qua hoặc có khả năng sử dụng
sai tài sản của tổ chức.
7.2.2 Nhận thức, giáo dục và đào tạo bảo mật thông tin
Kiểm soát
24 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Tất cả nhân viên của tổ chức và những nhà thầu có liên quan, nên nhận được
quá trình giáo dục và đào tạo thích đáng và thường xuyên được cập nhật về
các chính sách và thủ tục liên quan đến chức năng công việc của họ.
Một chương trình nâng cao nhận thức bảo mật thông tin phải được thiết lập
trên phù hợp với các chính sách và thủ tục có liên quan của tổ chức về bảo
mật thông tin, có tính đến những thông tin của tổ chức cần được bảo vệ, và
các kiểm soát đã được triển khai để bảo vệ thông tin. Chương trình nâng cao
nhận thức nên bao gồm một số hoạt động nâng cao nhận thức chẳng hạn như
các chiến dịch (ví dụ như “ngày bảo mật thông tin”) và phát hành các tập
sách nhỏ hoặc các bản tin (về bảo mật thông tin).
Chương trình nâng cao nhận thức nên được hoạch định dựa trên tính toán về
vai trò của nhân viên trong tổ chức, và, nếu có liên quan, những kỳ vọng của
tổ chức về nhận thức (về bảo mật thông tin) của các nhà thầu. Những hoạt
động trong chương trình nâng cao nhận thức nên được lập lịch biểu theo thời
gian, tốt nhất là một cách thường xuyên, để từ đó, những hoạt động này
được lặp lại và áp dụng cho những nhân viên và nhà thầu mới. Chương trình
nâng cao nhận thức cũng nên được cập nhật thường xuyên để luôn phù hợp
với các chính sách và thủ tục của tổ chức, và nên được xây dựng trên những
bài học kinh nghiệm từ các sự cố bảo mật thông tin.
Chương trình đào tạo nhận thức nên được hoàn thành theo yêu cầu từ chương
trình nâng cao nhận thức về bảo mật thông tin. Đào tạo nhận thức có thể sử
dụng các phương tiện chuyển giao khác nhau bao gồm phòng học trực tiếp,
đào tạo từ xa, dựa trên trang web, theo nhịp độ bản thân và các phương tiện
khác.
Việc giáo dục và đào tạo về bảo mật thông tin nên bao gồm các khía cạnh
tổng quát như:
a) nêu rõ cam kết của cấp quản lý về bảo mật thông tin trong toàn bộ tổ
chức;
b) yêu cầu phải trở nên quen thuộc và tuân thủ với các quy tắc và nghĩa vụ
bảo mật thông tin, như được xác định trong các chính sách, tiêu chuẩn,
luật, quy định, hợp đồng và các thỏa thuận;
c) trách nhiệm của cá nhân đối với hành động và không hành động của
mình, và trách nhiệm tổng thể đối với việc bảo mật và bảo vệ thông tin
thuộc về tổ chức và bên thứ ba bên ngoài;
25 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
d) các thủ tục bảo mật thông tin cơ bản (chẳng hạn như việc báo cáo sự cố
bảo mật thông tin) và các kiểm soát cơ bản (ví dụ bảo mật mật khẩu,
kiểm soát mã độc hại và bàn làm việc gọn gàng);
e) đầu mối liên hệ và các nguồn lực cho các thông tin và lời khuyên tư vấn
bổ sung về các vấn đề bảo mật thông tin, bao gồm các tài liệu thêm về
đào tạo và giáo dục bảo mật thông tin.
Việc đào tạo và giáo dục bảo mật thông tin nên được tiến hành một cách
định kỳ. Giáo dục và đào tạo ban đầu áp dụng cho những ai chuyển sang vị
trí hoặc vai trò mới về cơ bản với các yêu cầu bảo mật thông tin khác, không
chỉ cho những người mới bắt đầu và nên được tiến hành trước khi vai trò đó
được kích hoạt.
Tổ chức nên phát triển chương trình đào tạo và giáo dục để có thể thực hiện
việc đào tạo và giáo dục một cách hiệu quả. Chương trình này nên liên kết
với các chính sách và thủ tục bảo mật thông tin có liên quan của tổ chức,
trên cơ sở tính đến việc xem xét những thông tin cần bảo mật của tổ chức,
và các kiểm soát phải được triển khai để bảo vệ thông tin. Chương trình nên
xem xét các định dạng khác nhau của việc đào tạo và giáo dục, ví dụ, các bài
giảng hoặc tự học.
Nhận thức, giáo dục và đào tạo có thể là một phần của, hoặc được tổ chức
kết hợp với các hoạt động đào tạo khác, ví dụ như đào tạo tổng quát về
CNTT và bảo mật. Các hoạt động nhận thức, giáo dục và đào tạo nên phù
hợp và có liên quan tới những vai trò, trách nhiệm và kỹ năng của các cá
nhân.
Một quy trình đánh giá về sự hiểu biết của nhân viên có thể được tiến hành
vào cuối của một khóa nâng cao nhận thức, giáo dục và đào tạo để kiểm tra
kiến thức đã được truyền tải.
26 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Quy trình kỷ luật không nên được khởi đầu mà không có sự xác minh trước
rằng một sự vi phạm bảo mật thông tin đã diễn ra (xem 16.1.7 ).
Quy trình kỷ luật chính thức nên đảm bảo sự đối đãi đúng đắn và công bằng
đối với những nhân viên bị nghi ngờ là đã vi phạm bảo mật thông tin. Quy
trình kỷ luật chính thức nên đưa ra phản ứng được cân nhắc đến các yếu tố
như bản chất và mức độ của vi phạm, tác động của nó (sự vi phạm) tới doanh
nghiệp, bất kể đây là vi phạm lần đầu hay sự tái phạm, người vi phạm đã
được đào tạo đúng đắn hay không, các quy định liên quan, các hợp đồng
kinh doanh và các yếu tố khác theo yêu cầu.
Quy trình kỷ luật cũng nên được sử dụng như là một rào cản để ngăn chặn
nhân viên vi phạm các chính sách và thủ tục bảo mật thông tin của tổ chức
và các vi phạm bảo mật thông tin khác. Những vi phạm cố ý có thể đòi hỏi
những hành động ngay lập tức.
7.3.1 Chấm dứt hoặc thay đổi trách nhiệm công việc
Kiểm soát
Trách nhiệm và nghĩa vụ bảo mật thông tin vẫn còn hiệu lực sau khi chấm
dứt hoặc thay đổi công việc nên được định nghĩa, truyền tải đến nhân viên
hoặc nhà thầu và được thi hành.
Những trách nhiệm và nghĩa vụ vẫn có giá trị sau khi chấm dứt công việc
nên bao gồm trong các điều khoản và điều kiện làm việc của nhân viên và
nhà thầu (xem 7.1.2 ).
27 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Những thay đổi về trách nhiệm hoặc công việc cần được quản lý như là sự
chấm dứt trách nhiệm hoặc công việc hiện tại kết hợp với việc khởi đầu
trách nhiệm hoặc công việc mới.
Có thể cần phải thông báo đến nhân viên, khách hàng, hoặc các nhà thầu về
những thay đổi đối với các sắp xếp về nhân sự và hoạt động.
Bản kiểm kê tài sản phải chính xác, nhất quán và được liên kết với các bản
kiểm kê khác.
Đối với mỗi tài sản đã được xác định, chủ sở hữu của tài sản nên được chỉ
định (xem 8.1.2 ) và sự phân loại nên được xác định (xem 8.2 ).
ISO/IEC 27005 ( 1 1 ) cung cấp các ví dụ về tài sản mà có thể cần được cân
nhắc bởi tổ chức khi xác định các tài sản. Quy trình tổng hợp một bản kiểm
28 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
kê tài sản là điều kiện tiên quyết quan trọng của quản lý rủi ro (xem thêm
ISO/IEC 27000 và ISO/IEC 27005 ( 1 1 ) ).
Một quy trình nhằm đảm bảo việc chỉ định chủ sở hữu của tài sản đúng thời
điểm thường được triển khai. Chủ sở hữu nên được chỉ định khi tài sản được
tạo ra hoặc khi tài sản được chuyển cho tổ chức. Chủ sở hữu tài sản nên chịu
trách nhiệm quản lý tài sản một cách đúng đắn trong suốt vòng đời của tài
sản.
Những nhiệm vụ thường ngày có thể được ủy thác, ví dụ cho một người bảo
quản chăm sóc tài sản trên cơ sở hang ngày, nhưng trách nhiệm vẫn thuộc về
chủ sở hữu.
Trong một hệ thống thông tin phức tạp, có thể sẽ rất hữu ích khi chỉ định
một nhóm các tài sản hoạt động cùng nhau để cung cấp một dịch vụ cụ thể.
Trong trường hợp này, chủ sở hữu của dịch vụ này được tính cho việc
chuyển giao dịch vụ, bao gồm sự vận hành của tài sản của nó (dịch vụ).
29 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Trong những trường hợp mà nhân viên hoặc người dung thuộc bên thứ ba
bên ngoài mua thiết bị của tổ chức hoặc sử dụng thiết bị của cá nhân họ, các
thủ tục phải được tuân theo để đảm bảo rằng mọi thông tin liên quan đã
được chuyển lại cho tổ chức và được xóa bỏ một cách an toàn khỏi thiết bị
(xem 11.2.7 ).
Trong những trường hợp mà nhân viên hoặc người dung thuộc bên thứ ba
bên ngoài có những kiến thức quan trọng đối với quá trình vận hành đang
tiếp diễn, những thông tin đó nên được ghi lại và chuyển cho tổ chức.
Trong quá trình thông báo về sự chấm dứt, tổ chức nên kiểm soát việc sao
chép trái phép những thông tin liên quan (ví dụ như tài sản sở hữu trí tuệ)
bởi nhân viên hoặc bên thứ ba bị chấm dứt.
30 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các chủ sở hữu của tài sản thông tin phải chịu trách nhiệm về việc phân loại
chúng.
Kế hoạch phân loại nên bao gồm các quy ước để phân loại và tiêu chí để
xem xét việc phân loại qua thời gian. Cấp độ bảo vệ trong kế hoạc (phân
loại) nên được đánh giá bởi việc phân tích tính bảo mật, tính toàn vẹn và
tính sẵn sàng và bất kỳ yêu cầu nào khác cho thông tin được xem xét. Kế
hoạch cũng nên liên kết với chính sách kiểm soát truy cập (xem 9.1.1 ).
Mỗi cấp độ nên được đặt tên phù hợp với bối cảnh ứng dụng kế hoạch phân
loại.
Kế hoạch (phân loại) nên nhất quán trong toàn bộ tổ chức để từ đó mọi
người sẽ phân loại thông tin và tài sản liên quan theo cùng một cách thức
giống nhau, có một hiểu biết phổ quát về các yêu cầu bảo vệ và áp dụng các
biện pháp bảo vệ một cách thích đáng.
Việc phân loại nên được bao gồm trong các quy trình của tổ chức, và nhất
quán và liên kết trong toàn bộ tổ chức. Kết quả của việc phân loại nên thể
hiện được giá trị của tài sản dựa trên mức độ nhạy cảm và quan trọng đối
với tổ chức, ví dụ, về mặt bảo mật, toàn vẹn và sẵn sàng. Kết quả của việc
phân loại nên được cập nhật tương ứng với những thay đổi về giá trị, độ
nhạy cảm và tầm quan trọng trong suốt vòng đời của chúng ( tài sản được
phân loại – người dịch ).
điều kiện thuận lợi cho việc này. Phương pháp tiếp cận này làm giảm yêu
cầu đánh giá rủi ro và tùy chỉnh thiết kế các kiểm soát cho từng trường hợp.
Thông tin có thể không còn nhạy cảm hoặc quan trọng sau một khoảng thời
gin nhất định, ví dụ, khi thông tin được công bố công khai. Các yếu tố này
cần được xem xét đến bởi vì phân loại-quá mức có thể dẫn tới việc triển
khai các kiểm soát không cần thiết làm tang chi phí hoặc ngược lại, phân
loại-quá thấp có thể gây nguy hiểm cho việc đạt được các mục tiêu kinh
doanh.
Một ví dụ về kế hoạch phân loại thông tin bảo mật có thể dựa trên 4 mức độ
sau đây:
a) việc tiết lộ không gây thiệt hại;
b) việc tiết lộ gây ra sự bối rối không quan trọng hoặc sự khó chịu nhỏ
trong hoạt động;
c) việc tiết lộ gây ra tác động đáng kể trong ngắn hạn đến hoạt động hoặc
đến các mục tiêu chiến thuật;
d) việc tiết lộ gây ra tác động nghiêm trọng trong dài hạn đối với các mục
tiêu chiến lược hoặc khiến cho sự tồn tại của tổ chức gặp phải rủi ro.
Đầu ra từ những hệ thống bao hàm thông tin được phân loại là nhạy cảm
hoặc quan trọng nên được gán nhãn phân loại tương ứng.
32 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Việc dán nhãn thông tin và tài sản liên quan đến nó (thông tin) thỉnh thoảng
có thể có những tác động tiêu cực. Những tài sản đã phân loại dễ nhận biết
hơn và từ đó bị đánh cắp bởi người trong cuộc hoặc bởi những kẻ tấn công
bên ngoài.
Kế hoạch phân loại được sử dụng trong tổ chức có thể không bằng với các
kế hoạch được sử dụng bởi các tổ chức khác, ngay cả nểu tên gọi của các
mức độ là như nhau; ngoài ra, thông tin truyền tải giữa các tổ chức có thể
thay đổi trong sự phân loại tuỳ theo bối cảnh của nó trong mỗi tổ chức, ngay
cả nếu các kế hoạch phân loại chúng giống hệt nhau.
Những thoả thuận với các tổ chức khác có chứa thông tin chia sẻ nên bao
gồm các thủ tục để xác định sự phân loại của thông tin đó, và để diễn giải
các nhãn phân loại từ các tổ chức khác.
Các thủ tục và các cấp độ uỷ quyền nên được ghi lại.
34 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
b) các thủ tục nên có sẵn để xác định các mục có thể cần phải loại bỏ một
cách an toàn;
c) có thể sẽ dễ hơn khi sắp xếp mọi mục phương tiện để thu thập và loại bỏ
một cách an toàn thay vì cố gắng tách biệt từng mục nhạy cảm;
d) rất nhiều tổ chức đưa ra tập hợp và các dịch vụ loại bỏ phương tiện; cần
phải thận trọng trong việc lựa chọn một bên thứ ba phù hợp có đủ kinh
nghiệm và các kiểm soát đầy đủ;
e) loại bỏ các mục nhạy cảm nên được ghi nhật ký lại để duy trì một dấu vết
kiểm toán.
Khi tích lũy các phương tiện để loại bỏ, cần tính đến hiệu ứng tập thể, có
thể làm cho một lượng lớn thông tin không nhạy cảm trở thành nhạy cảm.
Khi thông tin mật trong các phương tiện không được mã hóa, các biện pháp
bảo vệ vật lý bổ sung cho phương tiện nên được xem xét.
Các kiểm soát truy cập là cả truy cập vật lý lẫn truy cập logic (xem Điều 11 )
và chúng nên được xem xét cùng với nhau. Những người dùng và các nhà
cung cấp dịch vụ nên được cung cấp một tuyên bố rõ ràng về các yêu cầu
kinh doanh cần được đáp ứng bởi kiểm soát truy cập.
Chính sách (kiểm soát truy cập) nên tính đến những điều sau đây:
a) các yêu cầu bảo mật của các ứng dụng doanh nghiệp;
b) các chính sách về sự phổ biến thông tin và ủy quyền, ví dụ như nguyên
tắc cần-được-biết và các mức độ bảo mật thông tin và sự phân loại thông
tin (xem 8.2 );
c) tính nhất quán giữa quyền truy cập và các chính sách phân loại thông tin
của các hệ thống và mạng;
d) các quy định liên quan và bất kỳ nghĩa vụ hợp đồng nào có liên quan đến
việc giới hạn truy cập và dữ liệu hoặc dịch vụ (xem 18.1 );
e) quản lý quyền truy cập trong một môi trường phân phối và kết nối mạng
mà nhận biết được tất cả các kiểu kết nối có sẵn;
f) sự tách biệt các vai trò truy cập, ví dụ, yêu cầu truy cập, ủy quyền truy
cập và quản lý truy cập;
g) các yêu cầu về sự ủy quyền chính thức cho các yêu cầu truy cập (xem
9.2.1 và 9.2.2 );
h) các yêu cầu về việc định kỳ xem xét quyền truy cập (xem 9.2.5 );
i) hủy bỏ quyền truy cập (xem 9.2.6 );
j) lưu giữ các bản ghi về mọi sự kiện quan trọng liên quan đến việc sử dụng
và quản lý danh tính người dùng và thông tin xác minh bảo mật;
k) các vai trò với đặc quyền truy cập (xem 9.2.3 ).
36 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các quy tắc kiểm soát truy cập nên được hỗ trợ bởi các thủ tục chính thức
(xem 9.2 , 9.3 và 9.4 ) và các trách nhiệm đã được xác định (xem 6.1.1 và
9.3 ).
Các kiểm soát truy cập căn cứ vào vai trò là một phương pháp được sử dụng
một cách thành công bởi nhiều tổ chức để liên kết quyền truy cập với các vai
trò trong doanh nghiệp.
Hai trong số các nguyên tắc phổ biến thường xuyên định hướng chính sách
kiểm soát truy cập là:
a) Cần-được-biết: bạn chỉ được cấp quyền truy cập tới thông tin mà bạn cần
để hoàn thành các tác vụ của mình (các tác vụ/vai trò khác nhau có nghĩa
là quyền cần-được-biết khác nhau và do đó các hồ sơ truy cập khác
nhau);
b) Cần-được-sử dụng: bạn chỉ được cấp quyền truy cập tới thiết bị xử lý
thông tin (thiết bị CNTT, các ứng dụng, các thủ tục, các phòng) mà bạn
cần để hoàn thành tác vụ/công việc/vai trò của mình.
37 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
c) các kiểm soát và thủ tục quản lý để bảo vệ truy cập tới các kết nối mạng
và dịch vụ mạng;
d) các phương tiện sử dụng để truy cập mạng và dịch vụ mạng (ví dụ, sử
dụng VPN hoặc mạng không dây);
e) các yêu cầu xác minh người dùng để truy cập vào các dịch vụ mạng khác
nhau;
f) giám sách việc sử dụng các dịch vụ mạng.
Chính sách này về sử dụng các dịch vụ mạng nên nhất quán với chính sách
kiểm soát truy cập của tổ chức (xem 9.1.1 ).
a) chỉ định và kích hoạt, hoặc thu hồi, một danh tính người dùng;
b) cung cấp, hoặc thu hồi, các quyền truy cập tới danh tính người dùng đó.
Nên cân nhắc việc bao gồm các điều khoản trong các hợp đồng cá nhân và
hợp đồng dịch vụ quy định các biện pháp trừng phạt nếu các cá nhân hoặc
nhà thầu cố gắng truy cập trái phép (xem 7.1.2 , 7.2.3 , 13.2.4 và 15.1.2 ).
39 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Việc cấp phát và sử dụng các đặc quyền truy cập nên được hạn chế và kiểm
soát.
40 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
c) việc ủy quyền các đặc quyền truy cập nên được xem xét một cách thường
xuyên hơn;
d) việc cấp phát đặc quyền nên được kiểm tra một định kỳ để đảm bảo rằng
các đặc quyền trái phép đã không đạt được;
e) những thay đổi đối với các đặc quyền truy cập nên được ghi nhật ký lại
để xem xét định kỳ.
Quyền truy cập vào thông tin và tài sản tương ứng với các thiết bị xử lý
thông tin nên được giảm thiểu hoặc hủy bỏ trước khi công việc hủy bỏ hoặc
thay đổi, tùy thuộc vào việc đánh giá các yếu tố rủi ro như:
a) việc chấm dứt hoặc thay đổi được bắt đầu bởi nhân viên, người dùng
thuộc bên thứ ba bên ngoài hoặc bởi cấp quản lý, và lý do của sự chấm
dứt;
b) trách nhiệm hiện tại của nhân viên, người dùng thuộc bên thứ ba bên
ngoài hoặc người dùng khác;
c) giá trị của tài sản hiện tại đang có thể truy cập được.
Trong một số trường hợp nhất định, quyền truy cập có thể được cấp phát
trên cơ sở khả dụng cho nhiều người hơn là những nhân viên rời khỏi tổ
chức hoặc người dùng thuộc bên thứ ba bên ngoài, ví dụ: các danh tính
nhóm. Đối với những trường hợp như vậy, các cá nhân rời khỏi tổ chức nên
được hủy bỏ khỏi bất kỳ danh sách nhóm truy cập nào và việc sắp xếp nên
được thực hiện để thông báo cho mọi nhân viên cũng như người dùng thuộc
bên thứ ba bên ngoài khác có liên quan để họ không chia sẻ thông tin này
với người rời khỏi.
Đối với trường hợp sự chấm dứt do cấp quản lý khởi xướng, các nhân viên
hoặc người dùng thuộc bên thứ ba bên ngoài bất mãn có thể cố tình làm hư
hỏng thông tin hoặc phá hoại các thiết bị xử lý thông tin. Trong những
trường hợp nhân viên từ chức hoặc bị sa thải, họ có thể bị cám dỗ để thu
thập thông tin cho việc sử dụng trong tương lai.
e. nếu là tạm thời, được thay đổi ngay sau lần đăng nhập đầu tiên;
e) không chia sẻ thông tin xác minh bí mật của người dùng;
f) đảm bảo sự bảo vệ mật khẩu phù hợp khi mật khẩu được sử dụng làm
thông tin xác minh bí mật khi các thủ tục đăng nhập tự động được sử
dụng;
g) không sử dụng cùng thông tin xác minh bí mật cho mục đích công việc và
mục đích cá nhân.
Những mục dưới đây nên được xem xét để hỗ trợ các yêu cầu hạn chế truy
cập:
a) cung cấp thanh menu để kiểm soát truy cập tới các chức năng hệ thống
ứng dụng;
b) kiểm soát dữ liệu nào có thể được truy cập bởi người dùng cụ thể nào;
c) kiểm soát quyền truy cập của người dùng, ví dụ, đọc, ghi, xóa và thực
thi;
d) kiểm soát quyền truy cập ứng dụng khác;
e) giới hạn thông tin được đóng gói trong kết quả đầu ra;
f) cung cấp các kiểm soát vật lý hoặc logic cho việc cô lập những ứng dụng,
dữ liệu ứng dụng hoặc hệ thống nhạy cảm.
44 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Khi được yêu cầu bởi chính sách kiểm soát truy cập, việc truy cập vào các
hệ thống và ứng dụng nên được kiểm soát bởi một thủ tục đăng nhập bảo
mật.
Khi đòi hỏi cơ chế xác thực và xác minh danh tính mạnh mẽ, các phương
pháp xác thực thay thế cho mật khẩu, chẳng hạn như phương tiện mã hóa,
thẻ thông minh, token hoặc phương tiện sinh trắc học, nên được sử dụng.
Thủ tục đăng nhập vào một hệ thống hoặc ứng dụng nên được thiết kế để tối
thiểu hóa cơ hội truy cập trái phép. Thủ tục đăng nhập do đó nên để lộ thông
tin tối thiểu về hệ thống hoặc ứng dụng, nhằm ngăn chặn việc cung cấp cho
một người dùng trái phép bất kỳ sự hỗ trợ không cần thiết nào. Một thủ tục
đăng nhập tốt nên:
a) không hiển thị thông tin nhận diện hệ thống hoặc ứng dụng cho đến khi
quá trình đăng nhập thực sự hoàn tất;
b) hiển thị một thông báo chung cảnh báo rằng máy tính chỉ nên được truy
cập bởi người dùng được ủy quyền;
c) không hiển thị tin nhắn giúp đỡ trong quá trình đăng nhập mà có thể hỗ
trợ cho người dùng trái phép;
d) chỉ công nhận thông tin đăng nhập được hoàn thành khi mọi dữ liệu đã
được nhập. Nếu một điều kiện lỗi xảy ra, hệ thống không nên chỉ rõ ra
phần nào của dữ liệu là đúng hoặc sai;
e) bảo vệ chống lại những nỗ lực tấn công brute-force;
f) ghi lại nhật ký cả những nỗ lực thành công và không thành công;
g) cảnh báo một sự kiện bảo mật nếu một nỗ lực tiềm năng hoặc vi phạm
thành công kiểm soát đăng nhập được phát hiện;
h) hiển thị những thông tin dưới đây khi hoàn thành đăng nhập thành công:
1) ngày giờ của lần đăng nhập thành công trước đó;
2) chi thiết về bất kỳ nỗ lực đăng nhập không thành công nào kể từ
lần đăng nhập thành công trước đó;
i) không hiển thị mật khẩu đã được nhập;
j) không chuyển mật khẩu dưới dạng văn bản thô ngang qua mạng;
k) kết thúc các phiên làm việc không hoạt động sau một khoảng thời gian
định trước nếu không có bất kỳ hoạt động nào, đặc biệt trong các khu vực
rủi ro cao như ở khu vực công cộng hoặc bên ngoài tầm quản lý bảo mật
tổ chức hoặc trên các thiết bị di động;
l) hạn chế thời gian kết nối để cung cấp thêm bảo mật cho các ứng dụng rủi
ro cao và giảm thiểu cửa sổ cơ hội cho việc truy cập trái phép.
45 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các mật khẩu là con đường phổ biến để cung cấp danh tính và xác minh dựa
trên một bí mật mà chỉ có người dùng mới biết. Điều tương tự cũng có thể
đạt được với các phương tiện mã hóa và các giao thức xác minh. Độ mạnh
mẽ của việc xác minh người dùng nên tương ứng với mức độ phân loại thông
tin sẽ được truy cập.
Nếu mật khẩu được truyền tải dưới dạng văn bản thô qua hệ thống mạng
trong phiên đăng nhập, chúng có thể bị bắt lại bởi một chương trình
“sniffer’ mạng.
Những hướng dẫn sau đây về việc sử dụng các chương trình tiện ích mà có
thể có khả năng vượt qua các kiểm soát ứng dụng và hệ thống nên được xem
xét:
a) sử dụng các thủ tục xác định, xác minh và ủy quyền đối với các chương
trình tiện ích;
b) phân tách các chương trình tiện ích khỏi các phần mềm ứng dụng;
c) hạn chế việc sử dụng các chương trình tiện ích ở một số tối thiểu những
người dùng thực tế đáng tin cậy và được ủy quyền (xem 9.2.3 );
d) cấp phép cho việc sử dụng đặc biệt các chương trình tiện ích;
e) hạn chế tính sẵn có của các chương trình tiện ích, ví dụ, cho một khoảng
thời gian thay đổi được ủy quyền;
f) ghi nhật ký mọi sử dụng các chương trình tiện ích;
g) xác định và ghi nhận lại các mức độ ủy quyền của các chương trình tiện
ích;
h) hủy bỏ hoặc vô hiệu hóa mọi chương trình tiện ích không cần thiết;
i) không làm cho các chương trình tiện ích trở nên sẵn có đối với người
dùng có quyền truy cập vào các ứng dụng trên các hệ thống nơi mà sự
phân tách nhiệm vụ được yêu cầu.
47 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
d) việc cập nhật các thư viện nguồn chương trình và các mục liên quan và
phát hành mã phần mềm đến các lập trình viên chỉ nên được hoàn thành
sau khi đã nhận được sự ủy quyền thích hợp;
e) các danh sách chương trình nên được giữ trong một môi trường an toàn;
f) một nhật ký kiểm toán nên được duy trì về mọi truy cập tới các thư viện
nguồn chương trình;
g) việc duy trì và sao chép các thư viện nguồn chương trình nên là đối
tượng của thủ tục kiểm soát thay đổi chặt chẽ.
Nếu mã nguồn chương trình được dự định để được công bố, các kiểm soát bổ
sung nhằm giúp đảm bảo tính toàn vẹn của nó (ví dụ chữ ký số) nên được
cân nhắc.
10 Mã hóa
10.1 Kiểm soát mã hóa
Mục tiêu : Để đảm bảo việc sử dụng việc mã hóa đúng đắn và hiệu quả nhằm
bảo vệ tính bảo mật, tính xác thực và/hoặc tính toàn vẹn của thông tin.
10.1.1 Chính sách về việc sử dụng các biện pháp kiểm soát mã hóa
Kiểm soát
Một chính sách về việc sử dụng các biện pháp kiểm soát mã hóa để bảo vệ
thông tin nên được phát triển và triển khai.
Khi triển khai chính sách mã hóa của tổ chức, nên xem xét đến các quy định
và những giới hạn của quốc gia mà có thể áp dụng vào việc sử dụng các kỹ
thuật mã hóa trong những phần khác nhau của thế giới và cho việc phát hành
luồng thông tin được mã hóa xuyên biên giới (xem 18.1.5 ).
Các kiểm soát mã hóa có thể được sử dụng để đạt được các mục tiêu bảo mật
thông tin khác nhau, ví dụ:
a) tính bảo mật: sử dụng mã hóa thông tin để bảo vệ những thông tin nhạy
cảm hoặc quan trọng, bất kể là lưu trữ hay được truyền đi;
b) tính toàn vẹn/xác thực: sử dụng các chữ ký số hoặc thông điệp có chứa
mã xác minh để xác nhận tính xác thực hoặc tính toàn vẹn của thông tin
nhạy cảm hoặc quan trọng được lưu trữ hoặc truyền đi;
c) không thừa nhận: sử dụng các kỹ thuật mã hóa để cung cấp bằng chứng
về một sự kiện hoặc hành động xảy ra hoặc không;
d) tính xác thực: sử dụng các kỹ thuật mã hóa để xác minh người dung và
các thực thể hệ thống khác đang yêu cầu truy cập tới hoặc giao dịch với
người dung hệ thống, thực thể và tài nguyên.
Một chính sách về việc sử dụng các kiểm soát mã hóa là cần thiết để tối đa
hóa những lợi ích và tối thiểu hóa các rủi ro của việc sử dụng các kỹ thuật
mã hóa và để ngăn chặn việc sử dụng không phù hợp hoặc không đúng đắn.
Nên tìm kiếm lời khuyên từ các chuyên gia khi lựa chọn các kiểm soát mã
hóa phù hợp để đáp ứng các mục tiêu chính sách bảo mật thông tin.
49 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Mọi khoác mã hóa nên được bảo vệ khỏi sự điều chỉnh và mất mát. Ngoài ra,
các khóa bí mật và công khai cần sự bảo vệ khỏi việc sử dụng trái phép cũng
như là tiết lộ. Các thiết bị được sử dụng để khởi tạo, lưu trữ và lưu giữ khóa
nên được bảo vệ vật lý.
Một hệ thống quản lý khóa nên dựa trên một bộ các tiêu chuẩn, các thủ tục
và phương pháp bảo mật đã thỏa thuận về:
a) việc khởi tạo khóa cho các hệ thống mã hóa khác nhau và các ứng dụng
khác nhau;
b) phát hành và đạt được các chứng chỉ khóa công cộng;
c) phân phối các khóa đến các thực thể được dự định, bao gồm cách thức
các khóa được kích hoạt như thế nào khi đã nhận được;
d) lưu trữ các khóa, bao gồm cách mà người dung được ủy quyền có thể truy
cập đến khóa như thế nào;
e) thay đổi hoặc cập nhật các khóa, bao gồm các quy tắc khi nào thì các
khóa nên được thay đổi và việc này được thực hiện như thế nào;
f) xử lý các khóa đã bị thỏa hiệp (bị lộ);
g) thu hồi các khóa, bao gồm việc các khóa nên được thu lại hoặc hủy kích
hoạt như thế nào, ví dụ, khi các khóa đã bị lộ hoặc khi người dung rời
khỏi tổ chức (khi đó, các khóa cũng nên được lưu giữ);
h) khôi phục các khóa bị mất hoặc hư hỏng;
i) sao lưu hoặc lưu giữ các khóa;
j) phá hủy các khóa;
k) ghi nhật ký và kiểm toán các hành động liên quan đến quản lý khóa.
Nhằm làm giảm thiểu khả năng sử dụng sai, ngày kích hoạt và hủy kích hoạt
các khóa nên được xác định để từ đó các khóa chỉ có thể được sử dụng trong
khoảng thời gian đã xác định trong chính sách quản lý khóa.
Ngoài ra, để quản lý một các an toàn các khóa bí mật và công khai, tính xác
thực của các khóa công khai cũng nên được xem xét. Quy trình xác thực này
có thể được hoàn tất bằng cách sử dụng các chứng chỉ khóa công khai, thông
thường được phát hành bởi một cơ quan có thẩm quyền cấp chứng chỉ, nên là
một tổ chức được công nhận với các kiểm soát và thủ tục phù hợp có sẵn để
cung cấp các mức độ tin cập cần thiết.
Các thành phần của các thỏa thuận mức dịch vụ hoặc các hợp đồng với các
nhà cung cấp bên ngoài về các dịch vụ mã hóa, chẳng hạn như với một cơ
quan có thẩm quyền cấp chứng chỉ, nên bao hàm các vấn đề về trách nhiệm
pháp lý, độ tin cậy của dịch vụ và thời gian đáp ứng đối với việc cung cấp
dịch vụ (xem 15.2 ).
50 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các kỹ thuật mã hóa cũng có thể được sử dụng để bảo vệ các khóa mã hóa.
Các thủ tục có thể cần được xem xét để xử lý các yêu cầu pháp lý để truy
cập tới các khóa mã hóa, ví dụ, thông tin được mã hóa có thể được yêu cầu
cung cấp dưới dạng không mã hóa để làm bằng chứng trước tòa.
f) các hệ thống phát hiện xâm nhập phù hợp nên được thiết lập theo các tiêu
chuẩn quốc gia, vùng và quốc tế và được kiểm tra thường xuyên để bảo
đảm cho các cửa bên ngoài và các cửa sổ có thể xâm nhập được, các khu
vực không có người nên được báo động mọi lúc, sự đảm bảo cũng nên
được cung cấp cho các khu vực khác, chẳng hạn như phòng máy tính hoặc
phòng truyền thông;
g) các thiết bị xử lý thông tin được quản lý bởi tổ chức nên được tách biệt
về mặt vật lý khỏi những thiết bị được quản lý bởi bên thứ ba bên ngoài
khác.
Một khu vực an ninh có thể là một văn phòng có thể khóa lại được hoặc
phòng máy chủ được bao quanh bởi một rào cản an ninh vật lý liền lạc. Các
rào cản bổ sung và các phạm vi để kiểm soát truy cập vật lý có thể cần thiết
giữa các khu vực với các yêu cầu an ninh khác nhau bên trong phạm vi an
ninh. Nên đặc biệt chú ý đặc biệt đến an ninh truy cập vật lý trong trường
hợp tòa nhà đang nắm giữ tài sản của nhiều tổ chức.
Việc ứng dụng các kiểm soát vật lý, đặc biệt đối với các khu vực an ninh,
nên được điều chỉnh phù hợp với các điều kiện kinh tế và kỹ thuật của tổ
chức nhu đã được nêu trong đánh giá rủi ro.
52 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
c) sách nhật ký vật lý hoặc bản dấu vết kiểm toán điện tử về mọi truy cập
nên được duy trì và giám sát một cách an toàn;
d) mọi nhân viên, nhà thầu và các bên thứ ba bên ngoài nên được yêu cầu
trang bị một vài hình thức giấy tờ tùy thân có thể nhìn thấy được và phải
thông báo ngay lập tức cho nhân viên an ninh nếu họ gặp những khách
thăm không được sắp xếp và bấy kỳ ai không mang giấy tờ tùy thân.;
e) nhân viên dịch vụ hỗ trợ của bên ngoài nên được cấp quyền truy cập giới
hạn vào những khu vực an ninh hoặc các thiết bị xử lý thông tin chỉ khi
được yêu cầu, việc truy cập này nên được ủy quyền và giám sát;
f) quyền truy cập vào những khu vực an ninh nên được xem xét và cập nhật
thường xuyên, và được thu hồi khi cần thiết (xem 9.2.5 và 9.2.6 ).
11.1.3 Bảo mật các văn phòng, phòng (làm việc) và thiết bị
Kiểm soát
An ninh vật lý cho các văn phòng, phòng làm việc và các thiết bị nên được
xác định và áp dụng.
11.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trường
Kiểm soát
Sự bảo vệ vật lý chống lại những thảm họa tự nhiên, tấn công độc hại hoặc
những tai nạn nên được thiết kế và áp dụng.
53 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Sự sắp xếp để làm việc trong các khu vực an ninh bao gồm các kiểm soát đối
với nhân viên và người dung thuộc bên thứ ba bên ngoài làm việc trong khu
vực an ninh và sự sắp xếp này bao hàm mọi hành động diễn ra trong khu vực
an ninh.
g) hàng hoá đến nên được kiểm tra để tìm kiếm bằng chứng về sự giả mạo
trên đường đi. Nếu sự giả mạo bị phát hiện, nên báo cáo ngay lập tức cho
nhân viên an ninh.
11.2 Thiết bị
Mục tiêu : Để ngăn ngừa sự mất mát, hư hỏng, mất cắp hoặc thoả hiệp của tải
sản và sự gián đoạn trong vận hành của tổ chức.
55 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Nên cung cấp hệ thống đèn và kênh liên lạc khẩn cấp. Các công tắc khẩn cấp
để ngắt nguồn điện, nước, gas hoặc các tiện ích nên được bố trí gần lối thoát
hiểm hoặc trong phòng thiết bị.
4) truy cập có kiểm soát vào phòng cáp và các bảng patch panel.
phép, vũ khí, v.v... và ngăn chặn việc chúng vào và ra khỏi văn phòng tổ
chức. Việc kiểm tra tại chỗ như vậy cần được thực hiện theo luật và quy
định có liên quan. Các cá nhân nên nhận thức được rằng việc kiểm tra tại
chỗ được thực hiện và việc xác minh chỉ nên được thực hiện khi có sự cho
phép phù hợp với các yêu cầu pháp lý và quy định.
Những hướng dẫn dưới đây nên được xem xét để bảo vệ các thiết bị bên
ngoài (phạm vi) tổ chức:
a) các thiết bị và phương tiện được mang ra ngoài phạm vi tổ chức không
nên bị bỏ mặc ở những nơi công cộng;
b) các hướng dẫn của nhà sản xuất về việc bảo vệ thiết bị nên được tuân thủ
mọi thời điểm, ví dụ, bảo vệ chống tiếp xúc với các trường điện từ mạnh;
c) các kiểm soát đối với các địa điểm ngoài (phạm vi) cơ sở của tổ chức
chẳng hạn như những địa điểm làm việc ở nhà, làm việc từ xa và các địa
điểm tạm thời nên được xác định bằng một quy trình đánh giá rủi ro và
các kiểm soát phù hợp nếu thích đáng, ví dụ, các tủ hồ sơ có thể khóa lại
được, chính sách bàn làm việc gọn gàng, các kiểm soát truy cập máy tính
và bảo mật truyền thông với văn phòng (tổ chức) (xem thêm ISO/IEC
27033 ( 1 5 ) ( 1 6 ) ( 1 7 ) ( 1 8 ) ( 1 9 ) );
d) khi thiết bị bên ngoài phạm vi các cơ sở được luân chuyển giữa các cá
nhân hoặc bên thứ ba bên ngoài, một nhật ký nên được duy trì để xác
định chuỗi hành trình của sản phẩm bao gồm ít nhất tên và tổ chức của
những người chịu trách nhiệm về thiết bị.
Những rủi ro, ví dụ như hư hỏng, mất cắp hoặc bị nghe trộm, có thể khác
nhau đáng kể giữa các vị trị và nên được tính đến khi xác định các kiểm soát
phù hợp nhất.
58 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Thông tin thêm về các khía cạnh khác trong bảo vệ các thiết bị di động có
thể tìm thấy trong mục 6.2 .
Có thể thích hợp để tránh rủi ro bằng cách không khuyến khích một số nhân
viên làm việc từ xa hoặc hạn chế việc sử dụng các thiết bị CNTT di động
của họ.
Phương tiện lưu trữ có chứa thông tin bí mật hoặc có bản quyền nên bị phá
hủy về mặt vật lý hoặc thông tin nên bị phá hủy, xóa hoặc ghi đè bằng các
kỹ thuật làm cho thông tin gốc không thể truy xuất được thay vì sử dụng các
chức năng xóa hoặc định dạng tiêu chuẩn
Ngoài việc xóa ổ đĩa an toàn, mã hóa toàn bộ ổ đĩa làm giảm nguy cơ bị lộ
thông tin bí mật khi thiết bị bị loại bỏ hoặc triển khai lại, miễn là:
a) quy trình mã hóa đủ mạnh và bao phủ toàn bộ ổ đĩa (bao gồm cả dung
lượng chùng, các tập tin hoán đổi, v.v...);
b) các khóa mã hóa đủ dài để chống lại các cuộc tấn công kiểu brute force;
c) tự bản thân các khóa mã hóa giữ được bí mật (ví dụ: không bao giờ được
lưu trữ trên cùng một đĩa).
Các kỹ thuật ghi đè an toàn lên phương tiện lưu trữ là khác nhau tùy theo
công nghệ phương tiện lưu trữ. Các công cụ ghi đè nên được xem xét để đảm
bảo rằng chúng có thể áp dụng cho công nghệ của phương tiện lưu trữ.
59 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
11.2.9 Chính sách bàn làm việc và màn hình gọn gàng
Kiểm soát
Một chính sách bàn làm việc gọn gàng đối với các giấy tờ và phương tiện
lưu trữ di động và một chính sách màn hình gọn gàng đối với các thiết bị xử
lý thông tin nên được thông qua.
60 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Một chính sách bàn làm việc/màn hình gọn gàng làm giảm rủi ro từ việc sử
dụng trái phép, mất mát hoặc hư hỏng đối với thông tin trong và ngoài giờ
làm việc thông thường. Két sắt và các hình thức khác của phương tiện lưu
trữ an toàn cũng có thể bảo vệ thông tin được lưu trữ để chống lại các thảm
họa như hỏa hoạn, động đất, lũ lụt và cháy nổ.
Hãy xem xét việc sử dụng các máy in với chức năng mã PIN, từ đó những
người khởi tạo là những người duy nhất có thể nhận được bản in của họ và
chỉ khi họ đứng ngay cạnh máy in.
Các thủ tục vận hành nên chỉ định các hướng dẫn vận hành, bao gồm
a) cài đặt và thiết lập cấu hình các hệ thống;
b) quản lý và xử lý thông tin bằng cả hai hình thức tự động và thủ công;
c) sao lưu (xem 12.3 );
d) các yêu cầu lập lịch biểu, bao gồm sự phụ thuộc lẫn nhau giữa các hệ
thống, thời điểm hoàn thành các công việc bắt đầu sớm nhất và muộn
nhất;
e) các hướng dẫn xử lý lỗi hoặc các điều kiện loại trừ khác mà có thể phát
sinh ra trong quá trình thực hiện công việc, bao gồm các hạn chế về việc
sử dụng các tiện ích hệ thống (xem 9.4.4 );
f) các liên hệ hỗ trợ và leo thang bao gồm các liên hệ hỗ trợ bên ngoài
trong trường hợp có khó khăn kỹ thuật hoặc không mong đợi trong vận
hành;
g) các hướng dẫn xử lý đầu ra và phương tiện đặc biệt, chẳng hạn như sử
dụng các văn phòng phẩm đặc biệt hoặc quản lý đầu ra bí mật bao gồm
các thủ tục loại bỏ an toàn các đầu ra từ các công việc thất bại (xem 8.3
và 11.2.7 );
h) các thủ tục khởi động và khôi phục hệ thống sử dụng trong trường hợp hệ
thống bị lỗi;
61 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
i) quản lý các dấu vết kiểm toán và thông tin nhật ký hệ thống (xem 12.4 );
j) các thủ tục giám sát.
Các thủ tục vận hành và các thủ tục được lập thành văn bản cho các hoạt
động hệ thống nên được coi là các tài liệu chính thức và các thay đổi được
ủy quyền bởi cấp quản lý. Khi khả thi về mặt kỹ thuật, các hệ thống thông
tin nên được quản lý một cách nhất quán, sử dụng cùng các thủ tục, công cụ
và tiện ích.
Cần đặc biệt chú ý đến bất kỳ nguồn lực nào có thời gian mua sắm kéo dài
hoặc có chi phí cao; do đó các nhà quản lý nên giám sát việc sử dụng các tài
nguyên hệ thống chính yếu. Họ nên xác định xu hướng sử dụng, đặc biệt là
liên quan đến các ứng dụng kinh doanh hoặc các công cụ quản lý hệ thống
thông tin.
Các nhà quản lý nên sử dụng thông tin này để xác định và tránh các tắc
nghẽn tiềm ẩn và sự phụ thuộc vào nhân sự chủ chốt có thể gây ra mối đe
dọa đối với bảo mật hệ thống hoặc các dịch vụ, đồng thời lên kế hoạch hành
động phù hợp.
Việc cung cấp đủ công suất có thể đạt được bằng cách gia tăng năng lực
hoặc giảm nhu cầu. Ví dụ về quản lý nhu cầu năng lực bao gồm:
a) xóa bỏ dữ liệu lỗi thời (không gian đĩa);
b) loại bỏ các ứng dụng, hệ thống, cơ sở dữ liệu hoặc môi trường;
c) tối ưu hóa các quy trình và lịch biểu các kịch bản lập trình lô;
d) tối ưu hóa logic ứng dụng hoặc truy vấn cơ sở dữ liệu;
e) từ chối hoặc hạn chế băng thông cho các dịch vụ đói-tài nguyên nếu
chúng không quá quan trọng đối với tổ chức (ví dụ như video streaming).
Kế hoạch quản lý năng lực được lập thành văn bản nên được xem xét đối với
các hệ thống có nhiệm vụ quan trọng.
12.1.4 Phân tách các môi trường phát triển, kiểm thử và vận hành
Kiểm soát
Các môi trường phát triển, kiểm thử và vận hành nên được tách riêng để
giảm thiểu rủi ro về sự truy cập trái phép hoặc thay đổi trong môi trường
vận hành.
63 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Khi nhân viên phát triển và kiểm thử có quyền truy cập vào hệ thống và
thông tin vận hành, họ có thể đưa ra mã (lập trình) trái phép và chưa được
kiểm tra hoặc thay đổi dữ liệu vận hành. Trên một số hệ thống, khả năng này
có thể bị lạm dụng để thực hiện hành vi gian lận hoặc giới thiệu mã độc hại
hoặc chưa được kiểm tra, có thể gây ra các sự cố vận hành nghiêm trọng.
Nhân viên phát triển và kiểm thử cũng gây ra mối đe dọa đối với tính bảo
mật của thông tin vận hành. Các hoạt động phát triển và thử nghiệm có thể
gây ra những thay đổi ngoài ý muốn đối với phần mềm hoặc thông tin nếu
chúng chia sẻ cùng một môi trường máy tính. Do đó, việc tách biệt môi
trường phát triển, kiểm thử và vận hành là thỏa đáng để làm giảm nguy cơ
64 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
thay đổi ngẫu nhiên hoặc truy cập trái phép vào phần mềm vận hành và dữ
liệu kinh doanh (xem 14.3 về bảo vệ dữ liệu thử nghiệm).
12.2.1 Các kiểm soát chống lại phần mềm độc hại
Kiểm soát
Các kiểm soát nhận diện, ngăn ngừa và khôi phục để bảo vệ chống lại các
phần mềm độc hại nên được triển khai, kết hợp với sự nâng cao nhận thức
người dùng phù hợp.
3) quét các trang web để phát hiện phần mềm độc hại;
h) xác định các thủ tục và trách nhiệm để đối phó với việc bảo vệ chống lại
phần mềm độc hại trên hệ thống, đào tạo cách sử dụng chúng, báo cáo và
khôi phục sau các cuộc tấn công bằng phần mềm độc hại;
i) chuẩn bị các kế hoạch kinh doanh liên tục phù hợp để khôi phục sau các
cuộc tấn công bằng phần mềm độc hại, bao gồm mọi dữ liệu và phần mềm
được sao lưu cần thiết cũng như những chuẩn bị khôi phục (xem 12.3 );
j) triển khai các thủ tục để định kỳ thu thập thông tin, chẳng hạn như đăng
ký danh sách địa chỉ gửi thư hoặc xác minh các trang web cung cấp thông
tin về phần mềm độc hại mới;
k) triển khai các thủ tục xác minh thông tin liên quan đến phần mềm độc
hại, và đảm bảo rằng các bản tin cảnh báo là chính xác và đầy đủ thông
tin; các quản lý nên đảm bảo rằng các nguồn đủ điều kiện, ví dụ như các
tạp chí uy tín, các trang Internet đáng tin cậy hoặc các nhà cung cấp sản
xuất phần mềm bảo vệ chống lại phần mềm độc hại, được sử dụng để
phân biệt giữa trò lừa bịp và các phần mềm độc hại thực sự, tất cả người
dùng nên được nhận thức về vấn đề về trò lừa bịp và những việc cần làm
khi nhận được chúng;
l) cô lập các môi trường có thể gây ra các tác động thảm khốc.
Nên thận trọng để bảo vệ khỏi sự xâm nhập của phần mềm độc hại trong quá
trình bảo trì và quy trình khẩn cấp, mà có thể bỏ qua các kiểm soát bảo vệ
phần mềm độc hại thông thường.
Trong một số điều kiện nhất định, bảo vệ chống lại phần mềm độc hại có thể
gây ra xáo trộn trong các hoạt động.
Việc sử dụng phần mềm phát hiện phần mềm độc hại và phần mềm sửa chữa
đơn độc để kiểm soát phần mềm độc hại thường không đầy đủ và cần phải đi
kèm với các thủ tục vận hành để ngăn chặn việc đưa phần mềm độc hại vào.
Chính sách sao lưu nên xác định các yêu cầu lưu giữ và bảo vệ.
Các thiết bị sao lưu thích hợp nên được cung cấp để đảm bảo rằng các mọi
thông tin và phần mềm thiết yếu có thể được khôi phục sau một thảm họa
hoặc lỗi phương tiện.
Khi thiết kế một kế hoạch sao lưu, những mục sau đây nên được xem xét:
a) các hồ sơ đầy đủ và chính xác về các bản sao lưu và các thủ tục khôi
phục được lập thành văn bản phải được lập ra;
b) phạm vi (ví dụ sao lưu đầy đủ - full hoặc chỉ sao lưu phần khác biệt -
differential) và tần suất sao lưu nên phản ảnh các yêu cầu kinh doanh của
tổ chức, các yêu cầu bảo mật đối với thông tin có liên quan và mức độ
quan trọng của thông tin đối với việc vận hành liên tục của tổ chức;
c) các bản sao lưu nên được lưu trữ tại một vị trí ở xa ( khỏi văn phòng của
tổ chức – người dịch ), với một khoảng cách đủ để thoát khỏi bất kỳ thiệt
hại nào gây ra bởi thảm họa tại địa điểm chính;
d) nên đưa ra mức độ bảo vệ vật lý và môi trường tương xứng với thông tin
sao lưu (xem Điều 11 ) nhất quán với các tiêu chuẩn được áp dụng tại địa
điểm chính;
e) phương tiện sao lưu nên được kiểm tra thường xuyên để đảm bảo rằng
chúng có thể được tin cậy để sử dụng khẩn cấp khi cần thiết, điều này
nên được kết hợp với việc kiểm tra các thủ tục khôi phục và kiểm tra thời
gian khôi phục được yêu cầu. Việc kiểm tra khả năng để khôi phục dữ
liệu đã sao lưu nên được thực hiện trên phương tiện kiểm tra chuyên
dụng, không phải bởi việc ghi đè lên phương tiện ban đầu trong trường
hợp quy trình sao lưu hoặc khôi phục không thành công và gây ra thiệt
hại hoặc mất mát dữ liệu không thể sửa chữa được;
f) trong những tình huống mà tính bảo mật là quan trọng, các bản sao lưu
nên được bảo vệ bằng các phương tiện mã hóa.
Các thủ tục vận hành nên giám sát việc thực thi quá trình sao lưu và giải
quyết các thất bại trong quá trình sao lưu đã được lập lịch biểu để đảm bảo
tính đầy đủ của các bản sao lưu tương ứng với chính sách sao lưu.
Những sắp xếp sao lưu các hệ thống và dịch vụ đơn lẻ nên được kiểm tra
thường xuyên để đảm bảo rằng chúng đáp ứng được các yêu cầu của kế
hoạch kinh doanh liên tục. Trong trường hợp đối với các hệ thống hoặc dịch
vụ quan trọng, việc sao lưu nên bao hàm mọi thông tin hệ thống, ứng dụng
và dữ liệu cần thiết cho việc khôi phục hệ thống đầy đủ sau một sự kiện
thảm họa.
67 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Thời gian lưu giữ những thông tin kinh doanh thiết yếu nên được xác định,
có tính đến bất kỳ yêu cầu nào về việc lưu giữ các bản sao vĩnh viễn.
Nếu có thể, quản trị viên hệ thống không nên có quyền xóa hoặc hủy kích
hoạt các nhật ký về các hoạt động của chính họ (xem 12.4.3 ).
68 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Vài nhật ký kiểm toán có thể được yêu cầu đế lưu lại như là một phần của
chính sách lưu giữ hồ sơ hoặc bởi vì các yêu cầu thu thập và tiếp tục lưu giữ
bằng chứng (xem 16.1.7 ).
Các nhật ký hệ thống cần được bảo vệ, bởi vì nếu dữ liệu có thể được điều
chỉnh hoặc dữ liệu bên trong chúng (nhật ký) bị xóa, tình trạng hiện có của
chúng có thể tạo ra ý nghĩa sai lệch về bảo mật. Việc sao chép theo thời gian
thực các nhật ký tới một hệ thống nằm ngoài kiểm soát của một quản trị viên
hệ thống hoặc nhân viên vận hành có thể được sử dụng để bảo vệ các nhật
ký.
69 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Phương pháp tiếp cận của tổ chức để có được thời gian tham chiếu từ (các)
nguồn bên ngoài và cách đồng bộ hóa đồng hồ nội bộ một cách đáng tin cậy
nên được lập thành tài liệu và triển khai.
12.5.1 Cài đặt phần mềm trên các hệ thống vận hành
Kiểm soát
Các thủ tục nên được triển khai để kiểm soát việc cài đặt những thay đổi
trong phần mềm trên các hệ thống vận hành.
70 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
a) việc cập nhật phần mềm vận hành, các ứng dụng và thư viện chương trình
chỉ nên được hoàn thành bởi các quản trị viên đã được đào tạo tùy theo
sự ủy quyền quản lý phù hợp;
b) các hệ thống vận hành chỉ nên giữ mã thực thi được phê duyệt mà không
giữ mã phát triển hoặc trình biên dịch;
c) các ứng dụng và phần mềm hệ điều hành chỉ nên được triển khai sau khi
kiểm tra phạm vi rộng và thành công, các kiểm tra nên bao gồm tính tiện
dụng, bảo mật, tác động tới hệ thống khác, và tính thân thiện với người
dùng và nên được thực hiện trên các hệ thống tách biệt (xem 12.1.4), nó
nên được đảm bảo rằng mọi thư viện nguồn chương trình tương ứng đã
được cập nhật;
d) một hệ thống kiểm soát cấu hình nên được sử dụng để kiểm soat mọi phần
mềm đã triển khai cũng như là hệ thống tài liệu;
e) một chiến lược dự phòng nên được đưa ra trước khi những thay đổi được
triển khai;
f) một nhật ký kiểm toán nên được duy trì về mọi cập nhật trong các thư
viện chương trình vận hành;
g) phiên bản trước đó của phần mềm ứng dụng nên được giữ lại như là một
phương tiện dự phòng;
h) những phiên bản cũ của phần mềm nên được lưu trữ, cùng với mọi thông
tin và các tham số, thủ tục, chi tiết cấu hình và phần mềm hỗ trợ được
yêu cầu, cho đến khi nào dữ liệu vẫn còn được lưu trữ.
Phần mềm do nhà cung cấp cung cấp được sử dụng trong các hệ thống vận
hành phải được duy trì ở mức độ được hỗ trợ bởi nhà cung cấp. Theo thời
gian, các nhà cung cấp phần mềm sẽ ngừng hỗ trợ các phiên bản phần mềm
cũ hơn. Tổ chức nên xem xét các rủi ro của việc dựa vào phần mềm không
được hỗ trợ.
Mọi quyết định nâng cấp lên bản phát hành mới phải tính đến các yêu cầu
kinh doanh về sự thay đổi và tính bảo mật của bản phát hành, ví dụ: sự ra
đời của chức năng bảo mật thông tin mới hoặc số lượng và mức độ nghiêm
trọng của các vấn đề bảo mật thông tin ảnh hưởng đến phiên bản này. Các
bản vá phần mềm nên được áp dụng khi chúng có thể giúp loại bỏ hoặc giảm
bớt các điểm yếu về bảo mật thông tin (xem 12.6 ).
Quyền truy cập vật lý hoặc lôgic chỉ nên được cấp cho các nhà cung cấp với
mục đích hỗ trợ khi cần thiết và được sự chấp thuận của cấp quản lý. Các
hoạt động của nhà cung cấp nên được giám sát (xem 15.2.1 ).
Phần mềm máy tính có thể dựa trên phần mềm và mô-đun được cung cấp bên
ngoài, cần được theo dõi và kiểm soát để tránh các thay đổi trái phép, có thể
gây ra các điểm yếu về bảo mật.
71 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Hành động phù hợp và kịp thời nên được đưa ra để xác định những lỗ hổng
kỹ thuật tiềm ẩn. Hướng dẫn dưới đây nên được tuân theo để thiết lập một
quy trình quản lý hiệu quả đối với các lỗ hổng kỹ thuật:
a) tổ chức nên xác định và thiết lập các vai trò và trách nhiệm liên quan đến
quản lý lỗ hổng kỹ thuật, bao gồm giám sát lỗ hổng, đánh giá rủi ro lỗ
hổng, vá lỗi, theo dõi tài sản và bất kỳ trách nhiệm phối hợp nào được
yêu cầu;
b) các nguồn thông tin sẽ được sử dụng để xác định các lỗ hổng kỹ thuật
liên quan và để duy trì nhận thức về chúng nên được xác định cho phần
mềm và công nghệ khác (dựa trên bản kiểm kê tài sản, xem 8.1.1 ); các
nguồn thông tin này nên được cập nhật dựa trên những thay đổi trong bản
kiểm kê hoặc khi tìm thấy những nguồn mới hoặc hữu ích khác;
c) một mốc thời gian cần được xác định để phản ứng với các thông báo về
các lỗ hổng kỹ thuật có thể có liên quan;
d) khi đã xác định được lỗ hổng kỹ thuật tiềm ẩn, tổ chức nên xác định các
rủi ro liên quan và các hành động cần thực hiện; hành động đó có thể liên
quan đến việc vá lỗ hổng các hệ thống dễ bị tấn công hoặc áp dụng các
biện pháp kiểm soát khác;
e) tùy thuộc vào mức độ khẩn cấp của lỗ hổng kỹ thuật cần được giải quyết,
hành động đưa ra nên được thực hiện theo các biện pháp kiểm soát liên
quan đến quản lý thay đổi (xem 12.1.2 ) hoặc theo các thủ tục ứng phó sự
cố bảo mật thông tin (xem 16.1.5 );
f) nếu một bản vá có sẵn từ một nguồn hợp pháp, các rủi ro liên quan đến
việc cài đặt bản vá nên được đánh giá (rủi ro do lỗ hổng bảo mật gây ra
nên được so sánh với rủi ro khi cài đặt bản vá);
g) các bản vá lỗi nên được kiểm tra và đánh giá trước khi chúng được cài
đặt để đảm bảo chúng có hiệu quả và không gây ra các tác dụng phụ
72 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
không thể chấp nhận được; nếu không có sẵn bản vá lỗi, các biện pháp
kiểm soát khác nên được xem xét, chẳng hạn như:
1) tắt các dịch vụ hoặc khả năng liên quan đến lỗ hổng bảo mật;
2) điều chỉnh hoặc thêm các kiểm soát truy cập, ví dụ: các tường lửa
ở biên giới mạng (xem 13.1 );
3) tăng cường giám sát để phát hiện các cuộc tấn công thực tế;
4) nâng cao nhận thức về tính dễ bị tổn thương;
h) một nhật ký kiểm toán về tất cả các thủ tục đã thực hiện nên được lưu
giữ;
i) quá trình quản lý lỗ hổng kỹ thuật nên được giám sát và đánh giá thường
xuyên để đảm bảo hiệu lực và hiệu quả của nó;
j) các hệ thống có rủi ro cao cần được giải quyết trước tiên;
k) một quy trình quản lý lỗ hổng kỹ thuật hiệu quả nên được liên kết với các
hoạt động quản lý sự cố, để truyền dữ liệu về lỗ hổng bảo mật cho chức
năng ứng phó sự cố và cung cấp các quy trình kỹ thuật được thực hiện
nếu sự cố xảy ra;
l) xác định một thủ tục để giải quyết tình huống khi đã xác định được lỗ
hổng bảo mật nhưng không có biện pháp đối phó phù hợp. Trong tình
huống này, tổ chức nên đánh giá các rủi ro liên quan đến lỗ hổng bảo mật
đã biết và xác định các hành động nhận diện hiện và khắc phục thích hợp.
Các nhà cung cấp thường phải chịu áp lực phải phát hành các bản vá lỗi
càng sớm càng tốt. Do đó, có khả năng rằng một bản vá lỗi không giải quyết
được vấn đề một cách đầy đủ và có những tác dụng phụ tiêu cực. Ngoài ra,
trong một vài trường hợp, không thể dễ dàng gỡ bỏ một bản vá sau khi bản
vá đã được áp dụng.
Nếu việc kiểm nghiệm thích hợp các bản vá lỗi không sẵn sàng, ví dụ bởi vì
lý do chi phí hoặc thiếu nguồn lực, một sự trì hoãn trong việc vá lỗi có thể
được cân nhắc để đánh giá những rủi ro liên quan, dựa trên những trải
nghiệm được báo cáo bởi người dùng khác. Việc sử dụng ISO/IEC 27031 ( 1 4 )
có thể sẽ đem lại lợi ích.
73 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Tổ chức nên xác định và bắt buộc hạn chế các kiểu phần mềm mà người
dùng có thể cài đặt.
Nguyên tắc ít đặc quyền nên được áp dụng. Nếu được cấp đặc quyền nhất
định, người dùng có thể có khả năng cài đặt phần mềm. Tổ chức nên xác
định kiểu cài đặt phần mềm được chấp thuận (ví dụ như các cập nhật và bản
vá bảo mật của phần mềm hiện tại) và kiểu cài đặt nào bị ngăn cấm (ví dụ
như phần mềm chỉ cho mục đích sử dụng cá nhân và phần mềm có phả hệ
liên quan đến độc hại không rõ ràng hoặc đáng ngờ). Những đặc quyền nên
được cấp tương xứng với vai trò của người dùng liên quan.
12.7 Các mối quan tâm về kiểm toán bảo mật thông tin
Mục tiêu : Để tối thiểu hóa tác động của các hoạt động kiểm toán đối với các
hệ thống vận hành.
Năng lực của nhà cung cấp dịch vụ mạng để quản lý các dịch vụ đã được
thỏa thuận theo một cách an toàn nên được xác định và giám sát thường
xuyên, và quyền được kiểm toán nên được thỏa thuận.
Các dịch vụ mạng bao gồm việc cung cấp các kết nối, các dịch vụ mạng
riêng và các mạng giá trị gia tang và các giải pháp an ninh mạng được quản
lý chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập. Những dịch vụ
này có thể trải rộng từ đơn giản như bang thông không được quản lý đến
phức tạp như các đề xuất giá trị được cộng them.
Các chức năng bảo mật của các dịch vụ mạng có thể là:
a) công nghệ đã áp dụng cho bảo mật các dịch vụ mạng, chẳng hạn như xác
minh, mã hóa và kiểm soát kết nối mạng;
b) các tham số kỹ thuật được yêu cầu để kết nối an toàn với các dịch vụ
mạng phù hợp với các quy tắc bảo mật và kết nối mạng;
c) các thủ tục cho việc sử dụng dịch vụ mạng để hạn chế truy cập tới các
dịch vụ hoặc ứng dụng mạng, nếu cần thiết.
Chu vi của mỗi khu vực phải được xác định rõ ràng. Việc truy cập giữa các
miền mạng được chấp thuận, nhưng nên được kiểm soát ở ngoại vi bằng cách
sử dụng cửa ngõ - gateway (ví dụ: tường lửa, bộ định tuyến lọc). Các tiêu
chí để phân tách mạng thành các khu vực và quyền truy cập được chấp thuận
thông qua các cửa ngõ, nên dựa trên một đánh giá về các yêu cầu bảo mật
của từng khu vực. Việc đánh giá nên phù hợp với chính sách kiểm soát truy
cập (xem 9.1.1 ), các yêu cầu truy cập, giá trị và mức phân loại thông tin
được xử lý và cũng nên tính đến chi phí tương đối và tác động đến hiệu suất
của việc kết hợp công nghệ cửa ngõ thích hợp.
Mạng không dây đòi hỏi việc xử lý đặc biệt do chu vi mạng được xác định
kém. Đối với các môi trường nhạy cảm, nên cân nhắc để coi tất cả truy cập
76 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
không dây là các kết nối bên ngoài và để tách biệt quyền truy cập này khỏi
các mạng nội bộ cho đến khi truy cập đi qua cửa ngõ theo chính sách kiểm
soát mạng (xem 13.1.1 ) trước khi cấp quyền truy cập vào các hệ thống nội
bộ .
Các công nghệ xác thực, mã hóa và kiểm soát truy cập mạng ở mức độ người
dùng của các mạng không dây hiện đại, dựa trên các tiêu chuẩn có thể là đủ
để kết nối trực tiếp với mạng nội bộ của tổ chức khi được triển khai đúng
cách.
13.2.1 Các chính sách và thủ tục truyền tải thông tin
Kiểm soát
Các chính sách, thủ tục và kiểm soát chính thức nên được đưa ra để bảo vệ
sự truyền tải thông tin thông qua việc sử dụng các kiểu thiết bị truyền thông.
g) các hướng dẫn lưu giữ và loại bỏ mọi thư từ kinh doanh, bao gồm cả tin
nhắn, tương xứng với luật pháp và quy định của quốc gia và địa phương
có liên quan;
h) các kiểm soát và hạn chế thích hợp với việc sử dụng các thiết bị truyền
thông, ví dụ tự động chuyển tiếp thư điện tử đến địa chỉ mail bên ngoài
(tổ chức);
i) khuyến cáo nhân viên về các biện pháp phòng ngừa thích hợp để không
tiết lộ thông tin bí mật;
j) không để lại thông điệp có chứa thông tin bí mật trên những máy trả lời
tự động vì những tin nhắn này có thể bị những người không có thẩm
quyền chuyển phát lại, lưu trữ trên những hệ thống chung hoặc lưu trữ
một cách không chính xác do quay số sai;
k) khuyến cáo nhân viên về các vấn đề của việc sử dụng máy hoặc dịch vụ
fax, cụ thể:
1) truy cập trái phép tới kho lưu trữ thông điệp được xây dựng sẵn để
trích xuất thông điệp;
2) việc lập trình cố ý hoặc ngẫu nhiên của máy để gửi thông điệp tới
những số cụ thể;
3) gửi tài liệu và thông điệp tới số sai do gọi nhầm hoặc sử dụng sai
số đã được lưu trữ.
Ngoài ra, nhân viên nên được nhắc nhở rằng họ không nên có những cuộc
thảo luận bí mật ở những nơi công cộng hoặc qua những kênh truyền thông
không bảo mật, các văn phòng mở và khu vực hội họp.
Dịch vụ truyền tải thông tin nên tuân thủ bất kỳ yêu cầu pháp lý có liên
quan nào (xem 18.1 ).
Truyền tải phần mềm có thể xảy ra thông qua một số các phương tiện khác
nhau, bao gồm tải về từ Internet và có được từ nhà cung cấp bán các sản
phẩm có sẵn.
Các tác động kinh doanh, pháp lý và bảo mật liên quan đến trao đổi dữ liệu
điện tử, thương mại điện tử và truyền thông điện tử và các yêu cầu về kiểm
soát nên được xem xét.
78 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các chính sách, thủ tục và tiêu chuẩn nên được thiết lập và duy trì để bảo vệ
thông tin và các phương tiện vật lý trong khi truyền tải (xem 8.3.3 ), và nên
được tham chiếu trong những thỏa thuận truyền tải như vậy.
Nội dung bảo mật thông tin của bất kỳ thỏa thuận nào nên phản ảnh độ nhạy
cảm của thông tin kinh doanh có liên quan.
13.2.4 Tính bảo mật hoặc các thỏa thuận không tiết lộ
Kiểm soát
Các yêu cầu về thỏa thuận bảo mật hoặc không tiết lộ phản ảnh nhu cầu của
tổ chức về sự bảo vệ thông tin nên được xác định, xem xét thường xuyên và
được ghi lại.
Căn cứ vào các yêu cầu bảo mật của một tổ chức, các thành phần khác có thể
cần thiết trong một thỏa thuận bảo mật hoặc không tiết lộ.
Các thỏa thuận bảo mật hoặc không tiết lộ nên tuân thủ mọi luật lệ và quy
định có thể được áp dụng về khu vực pháp lý mà chúng ( các thỏa thuận bảo
mật hoặc không tiết lộ - người dịch ) được áp dụng.
Các yêu cầu về các thỏa thuận bảo mật hoặc không tiết lộ nên được xem xét
một cách định kỳ và khi thay đổi xảy ra mà có ảnh hưởng tới các yêu cầu đó.
Có thể có một nhu cầu cho một tổ chức để sử dụng các định dạng khác nhau
của thỏa thuận bảo mật hoặc không tiết lộ trong các trường hợp khác nhau.
14.1.1 Phân tích và đặc tả các yêu cầu bảo mật thông tin
Kiểm soát
Các yêu cầu liên quan đến bảo mật thông tin nên được bao gồm trong các
yêu cầu đối với hệ thống thông tin mới hoặc tăng cường hệ thống thông tin
hiện hữu.
Các yêu cầu và kiểm soát bảo mật thông tin nên phản ảnh giá trị kinh doanh
của thông tin có liên quan (xem 8.2 ) và tác động kinh doanh tiêu cực tiềm ẩn
có thể đến từ việc thiếu bảo mật đầy đủ.
81 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Việc xác định và quản lý các yêu cầu bảo mật thông tin và các quy trình
tương ứng nên được tích hợp trong những giai đoạn đầu của các dự án hệ
thống thống tin. Việc xem xét sớm về các yêu cầu bảo mật thông tin, ví dụ
tại giai đoạn thiết kế, có thể dẫn đến các giải pháp hiệu quả và hiệu suất cao
về chi phí.
Các yêu cầu bảo mật thông tin nên xem xét:
a) độ tin cậy cần thiết đối với danh tính được xác nhận của người dùng
trong trường hợp nhận được yêu cầu xác thực người dùng;
b) các quy trình cấp phép truy cập và ủy quyền, cho những người dùng trong
tổ chức cũng như người dùng đặc quyền hoặc kỹ thuật viên;
c) thông báo cho người dùng và nhân viên vận hành về trách nhiệm và nghĩa
vụ của họ;
d) sự bảo vệ được yêu cầu cần thiết cho các tài sản liên quan, cụ thể là có
liên quan đến tính sẵn sàng, bảo mật và toàn vẹn;
e) những yêu cầu được bắt nguồn từ các quy trình kinh doanh, chẳng hạn
như việc giám sát và ghi nhật ký giao dịch, các yêu cầu không-từ chối;
f) những yêu cầu bắt buộc bởi các kiểm soát bảo mật khác, ví dụ như các
giao diện để ghi nhật ký và giám sát hoặc các hệ thống phát hiện rò rỉ.
Đối với các ứng dụng cung cấp các dịch vụ qua mạng công cộng hoặc thực
hiện các giao dịch, các kiểm soát chuyên biệt 14.1.2 và 14.1.3 nên được cân
nhắc.
Nếu sản phẩm được mua lại, quy trình kiểm tra và mua lại chính thức nên
được tuân thủ. Hợp đồng với nhà cung cấp nên giải quyết các yêu cầu bảo
mật đã xác định. Khi chức năng bảo mật trong một sản phẩm được đề xuất
không đáp ứng yêu cầu cụ thể, rủi ro được đưa ra và các biện pháp kiểm soát
tương ứng phải được xem xét lại trước khi mua sản phẩm.
Hướng dẫn sẵn có về cấu hình bảo mật của sản phẩm liên kết với ngăn xếp
phần mềm/dịch vụ cuối cùng của hệ thống đó nên được đánh giá và triển
khai.
Tiêu chí để chấp nhận sản phẩm nên được xác định, ví dụ: xét về chức năng
của chúng, điều này ( xác định tiêu chí chấp nhận sản phẩm – người dịch ) sẽ
đảm bảo rằng các yêu cầu bảo mật đã xác định được đáp ứng. Sản phẩm nên
được đánh giá dựa trên các tiêu chí này trước khi mua. Chức năng bổ sung
nên được xem xét để đảm bảo nó không gây ra những rủi ro bổ sung không
thể chấp nhận được.
82 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
14.1.2 Bảo mật các dịch vụ ứng dụng trên mạng công cộng
Kiểm soát
Thông tin liên quan đến các dịch vụ ứng dụng chạy ngang qua các mạng
công cộng nên được bảo vệ khỏi các hành động gian lận, tranh chấp hợp
đồng và tiết lộ và sửa đổi trái phép.
Rất nhiều trong số các cân nhắc nói trên có thể được giải quyết bởi việc áp
dụng các kiểm soát mã hóa (xem Điều 10 ), có tính đến việc tuân thủ các yêu
cầu pháp lý (xem Điều 18 , đặc biệt là 18.1.5 về các luật về mã hóa).
Các thỏa thuận về dịch vụ ứng dụng giữa các đối tác phải được hỗ trợ bởi
một thỏa thuận được lập thành văn bản cam kết rằng cả hai bên tuân theo các
điều khoản dịch vụ đã thỏa thuận, bao gồm các chi tiết về ủy quyền (xem
điểm b) ở trên).
Các yêu cầu về khả năng phục hồi chống lại các cuộc tấn công nên được xem
xét, có thể bao gồm các yêu cầu để bảo vệ các máy chủ ứng dụng liên quan
hoặc đảm bảo tính sẵn sàng của các kết nối mạng cần thiết để cung cấp dịch
vụ.
83 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các giao dịch có thể cần phải tuân thủ các yêu cầu và quy định pháp lý trong
khu vực pháp lý mà giao dịch được tạo ra, xử lý thông qua, hoàn thành hoặc
được lưu trữ.
14.2 Bảo mật trong giai đoạn phát triển và các quy trình hỗ trợ
Mục tiêu : Để đảm bảo rằng bảo mật thông tin được thiết kế và triển khai
trong vòng đời phát triển của các hệ thống thông tin.
84 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các kỹ thuật bảo mật lập trình nên được sử dụng đối với cả những phát triển
mới và trong các kịch bản tái sử dụng mã khi các tiêu chuẩn được áp dụng
cho việc phát triển có thể không được biết đến hoặc không nhất quán với
thực tiễn tốt nhất hiện hành. Các tiêu chuẩn bảo mật mã phần mềm nên được
cân nhắc và ủy quyền sử dụng nếu có liên quan. Các nhà phát triển nên được
đào tạo trong cách sử dụng và thử nghiệm của họ và việc xem xét mã nên
xác minh cách sử dụng của họ.
Nếu việc phát triển được thuê ngoài, tổ chức nên đạt được sự đảm bảo rằng
bên thứ ba bên ngoài tuân thủ các quy tắc nói trên về bảo mật phát triển
(xem 14.2.7 ).
85 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Việc giới thiệu hệ thống mới và những thay đổi chính trong hệ thống hiện
tại nên tuân theo một quy trình chính thức về việc lập thành tài liệu, đặc tả
kỹ thuật, kiểm nghiệm, kiểm soát chất lượng và triển khai được quản lý.
Quy trình này nên bao gồm một sự đánh giá rủi ro, phân tích về tác động của
các thay đổi và đặc tả kỹ thuật về các kiểm soát bảo mật cần thiết. Quy trình
này cũng nên đảm bảo rằng các thủ tục kiểm soát và bảo mật hiện tại không
bị vi phạm, rằng các lập trình viên hỗ trợ chỉ được cấp quyền truy cập vào
các phần của hệ thống cần thiết cho công việc của họ và rằng thỏa thuận và
phê duyệt chính thức cho bất kỳ thay đổi nào đã đạt được.
Bất cứ khi nào có thể, các thủ tục kiểm soát ứng dụng và vận hành nên được
tích hợp (xem 11.1.2 ). Các thủ tục kiểm soát thay đổi nên bao gồm nhưng
không giới hạn:
a) duy trì một hồ sơ về các mức độ ủy quyền được thỏa thuận;
b) đảm bảo các thay đổi đã được đệ trình bởi người dùng được ủy quyền;
c) xem xét các kiểm soát và các thủ tục toàn vẹn để đảm bảo rằng chúng sẽ
không bị vi phạm bởi các thay đổi;
d) xác định mọi phần mềm, thông tin, thực thể cơ sở dữ liệu và phần cứng
đòi hỏi sự điều chỉnh;
e) xác định và kiểm nghiệm mã bảo mật quan trọng để tối thiểu hóa khả
năng xảy ra của các điểm yếu bảo mật đã được biết đến;
f) đạt được phê duyệt chính thức cho các đề xuất được chi tiết hóa trước khi
công việc bắt đầu;
g) đảm bảo người dùng được ủy quyền chấp nhận các thay đổi trước khi
triển khai;
h) đảm bảo rằng bộ tài liệu hệ thống được cập nhật khi hoàn thành mỗi thay
đổi và rằng những tài liệu cũ đã được cất giữ hoặc loại bỏ;
i) duy trì một kiểm soát phiên bản cho mọi cập nhật phần mềm;
j) duy trì một dấu vết kiểm toán về mọi yêu cầu thay đổi;
k) đảm bảo rằng tài liệu vận hành (xem 12.1.1 ) và thủ tục người dùng được
thay đổi nếu cần thiết để vẫn còn tương thích;
l) đảm bảo rằng việc triển khai các thay đổi được thực hiện đúng thời gian
và không can thiệp đến các quy trình kinh doanh có liên quan.
Thực tiễn tốt bao gồm việc kiểm nghiệm phần mềm mới trong một môi
trường tách biệt khỏi môi trường thực và môi trường phát triển (xem 12.1.4 ).
Việc này cung cấp một phương tiện để có quyền kiểm soát phần mềm mới và
cho phép bảo vệ bổ sung các thông tin vận hành được sử dụng cho mục đích
kiểm nghiệm. Điều này nên bao gồm các bản vá lỗi, các gói dịch vụ và cập
nhật khác.
86 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Khi cập nhật tự động được xem xét, rủi ro đối với tính toàn vẹn và tính sẵn
sàng của hệ thống nên được cân nhắc so với lợi ích từ việc triển khai nhanh
chóng các cập nhật. Các cập nhật được tự động hóa không nên được sử dụng
cho các hệ thống quan trọng khi vài cập nhật có thể khiến cho ứng dụng bị
lỗi nghiêm trọng.
14.2.3 Xem xét kỹ thuật của ứng dụng sau khi nền tảng vận hành thay đổi
Kiểm soát
Khi nền tảng vận hành thay đổi, những ứng dụng kinh doanh quan trọng nên
được xem xét và kiểm nghiệm để đảm bảo rằng không gây ra ảnh hưởng bất
lợi đối với việc vận hành tổ chức hoặc đối với bảo mật.
14.2.4 Những hạn chế trong thay đổi đối với các gói phần mềm
Kiểm soát
Việc điều chỉnh các gói phần mềm không nên được khuyến khích, nên giới
hạn ở các thay đổi cần thiết và mọi thay đổi nên được kiểm soát chặt chẽ.
Nếu những thay đổi là cần thiết, nguyên bản của phần mềm nên được giữ lại
và những thay đổi được áp dụng trên một bản sao được chỉ định (của phần
mềm). Một quy trình quản lý cập nhật phần mềm nên được triển khai để đảm
bảo phần lớn các bản vá được phê duyệt và các cập nhật ứng dụng hiện hành
được cài đặt trên mọi phần mềm được ủy quyền (xem 12.6.1 ). Mọi thay đổi
nên được kiểm nghiệm và lập thành tài liệu một cách đầy đủ, để từ đó chúng
có thể được tái áp dụng nếu cần thiết, đối với các cập nhật phần mềm trong
tương lai. Nếu được yêu cầu, các sửa đổi nên được kiểm nghiệm và thông
qua bởi một cơ quan đánh giá độc lập.
Những nguyên tắc này và các thủ tục kỹ thuật đã được thiết lập nên được
xem xét một cách thường xuyên để đảm bảo rằng chúng đóng góp một cách
hiệu quả cho các tiêu chuẩn tăng cường bảo mật trong các quy trình kỹ
thuật. Chúng cũng nên được xem xét một cách thường xuyên để đảm bảo
rằng chúng vẫn được cập nhật trong điều kiện chống lại bất kỳ mối đe dọa
tiềm ẩn mới nào và vẫn có thể được áp dụng cho những tiến bộ trong công
nghệ và giải pháp đang được áp dụng.
Các nguyên tắc bảo mật kỹ thuật đã được thiết lập nên được áp dụng, nếu
có thể, cho những hệ thống thông tin được thuê ngoài thông qua các hợp
đồng và những thỏa thuận ràng buộc giữa tổ chức và nhà cung cấp mà tổ
chức đang thuê ngoài. Tổ chức nên xác nhận rằng sự nghiêm ngặt trong các
nguyên tắc bảo mật kỹ thuật của nhà cung cấp có thể so sánh được với cái
(các nguyên tắc bảo mật kỹ thuật) mà tổ chức đang có.
ra. Các kỹ thuật bảo mật kỹ thuật cung cấp hướng dẫn về các kỹ thuật xác
minh người dùng, kiểm soát phiên làm việc bảo mật, và phê chuẩn dữ liệu,
khử và loại bỏ mã gỡ lỗi.
Tổ chức nên đánh giá các rủi ro liên quan tới những nỗ lực phát triển hệ
thống đơn lẻ và thiết lập những môi trường phát triển an toàn cho những nỗ
lực phát triển hệ thống cụ thể, cân nhắc các yếu tố dưới đây:
a) độ nhạy cảm của dữ liệu được xử lý, lưu trữ và truyền tải bởi hệ thống;
b) các yêu cầu nội bộ và bên ngoài có thể áp dụng, ví dụ từ các quy định
pháp lý và các chính sách;
c) các kiểm soát bảo mật đã được triển khai bởi tổ chức hỗ trợ cho phát
triển hệ thống;
d) độ tin cậy của nhân viên đang làm việc trong môi trường (xem 7.1.1 );
e) mức độ thuê ngoài liên quan đến phát triển hệ thống;
f) nhu cầu về sự tách biệt giữa các môi trường phát triển khác nhau;
g) kiểm soát truy cập tới môi trường phát triển;
h) sự giám sát thay đổi đối với môi trường và mã (phần mềm) được lưu trữ
trong nó;
i) sao lưu và khôi phục tại vị trí ngoại biên an toàn;
j) kiểm soát việc luân chuyển dữ liệu đến và đi khỏi môi trường.
Một khi mức độ bảo vệ được xác định cho một môi trường phát triển cụ thể,
tổ chức nên lập thành tài liệu tương ứng với các quy trình trong các thủ tục
bảo mật môi trường và cung cấp chúng cho tất cả các cá nhân cần đến chúng.
89 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
b) các yêu cầu hợp đồng về bảo mật thiết kế, lập trình và kiểm tra thực tế
(xem 14.2.1 );
c) cung cấp mô hình nguy cơ đã được phê duyệt cho nhà phát triển bên
ngoài;
d) kiểm nghiệm chấp thuận về chất lượng và độ chính xác của các sản phẩm
đã bàn giao;
e) cung cấp bằng chứng rằng các ngưỡng bảo mật đã sử dụng để thiết lập
mức độ chấp thuận tối thiểu về chất lượng của bảo mật và quyền riêng
tư;
f) cung cấp bằng chứng rằng kiểm nghiệm đầy đủ đã được áp dụng để bảo
vệ chống lại sự vắng mặt của cả các nội dung độc hại cố ý và vô ý khi
bàn giao (đoạn này đọc không hiểu – người dịch );
g) cung cấp bằng chứng rằng kiểm nghiệm đầy đủ đã được áp dụng để bảo
vệ chống lại sự tồn tại của các lỗ hổng đã được biết đến;
h) các thỏa thuận giao kèo, ví dụ nếu mã nguồn không còn khả dụng;
i) quyền kiểm toán các kiểm soát và quy trình phát triển thuộc về hợp đồng;
j) tài liệu hiệu quả về môi trường xây dựng được sử dụng để tạo ra các sản
phẩm có thể bàn giao được;
k) tổ chức vẫn có trách nhiệm tuân thủ các luật lệ và xác minh hiệu quả
kiểm soát có thể áp dụng được.
90 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các chương trình kiểm nghiệm chấp thuận và các tiêu chí liên quan nên
được thiết lập cho các hệ thống thông tin mới, cập nhật và phiên bản mới.
Việc kiểm nghiệm nên được hoàn thành trong một môi trường kiểm nghiệm
thực tế để đảm bảo rằng hệ thống sẽ không tạo ra các lỗ hổng bảo mật cho
môi trường của tổ chức và rằng các kiểm nghiệm đó là đáng tin cậy.
Những hướng dẫn dưới đây nên được áp dụng để bảo vệ dữ liệu vận hành,
khi được sử dụng cho mục đích kiểm nghiệm:
a) các thủ tục kiểm soát truy cập đang áp dụng cho các hệ thống ứng dụng
vận hành, cũng được áp dụng cho các hệ thống kiểm nghiệm ứng dụng;
b) nên được ủy quyền riêng biệt mỗi khi thông tin vận hành được sao chép
qua môi trường kiểm nghiệm;
c) thông tin vận hành nên được xóa khỏi một môi trường vận hành ngay lập
tức sau khi việc kiểm nghiệm hoàn tất;
d) việc sao chép và sử dụng thông tin vận hành nên được ghi nhật ký để
cung cấp một dấu vết kiểm toán.
91 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Kiểm nghiệm hệ thống và kiểm nghiệm chấp thuận thường đòi hỏi một lượng
đáng kể dữ liệu kiểm nghiệm giống với dữ liệu vận hành càng tốt.
15.1.1 Chính sách bảo mật thông tin đối với mối quan hệ với nhà cung cấp
Kiểm soát
Các yêu cầu bảo mật thông tin để giảm thiểu rủi ro tương ứng với sự truy
cập của nhà cung cấp đến các tài sản của tổ chức nên được thỏa thuận với
nhà cung cấp và được lập thành tài liệu.
k) đào tạo nhận thức cho nhân viên của tổ chức tương tác với nhân viên của
nhà cung cấp về các quy tắc hợp tác và hành vi thích hợp dựa trên loại
nhà cung cấp và mức độ truy cập của nhà cung cấp đối với hệ thống và
thông tin của tổ chức;
l) các điều kiện theo đó các yêu cầu và kiểm soát an toàn thông tin sẽ được
lập thành văn bản trong một thỏa thuận được ký bởi cả hai bên;
m) quản lý các quá trình chuyển đổi thông tin cần thiết, các phương tiện xử
lý thông tin và bất kỳ thứ gì khác cần được di chuyển và đảm bảo rằng an
toàn thông tin được duy trì trong suốt giai đoạn chuyển đổi.
15.1.2 Giải quyết vấn đề bảo mật trong các thỏa thuận với nhà cung cấp
Kiểm soát
Mọi yêu cầu bảo mật thông tin liên quan nên được thiết lập và thỏa thuận
với từng nhà cung cấp mà có thể truy cập, xử lý, lưu trữ, truyền thông hoặc
cung cấp các thành phần cơ sở hạ tầng CNTT cho, hoặc thông tin của tổ
chức.
Những điều khoản dưới đây nên được xem xét để đưa vào các thỏa thuận
nhằm đáp ứng các yêu cầu bảo mật thông tin đã được xác định:
a) mô tả thông tin sẽ được cung cấp hoặc truy cập và các phương pháp để
cung cấp hoặc truy cập tới thông tin;
b) phân loại thông tin tương ứng với kế hoạch phân loại (thông tin) của tổ
chức (xem 8.2 ), nếu cần thiết, bao gồm cả ánh xạ giữa kế hoạch phân loại
của tổ chức và kế hoạch phân loại của nhà cung cấp;
c) các yêu cầu pháp lý và quy định, bao gồm bảo vệ dữ liệu, quyền sở hữu
trí tuệ và bản quyền, và một mô tả về cách chúng được đảm bảo sẽ đáp
ứng như thế nào;
93 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
d) nghĩa vụ pháp lý của mỗi bên trong hợp đồng để triển khai một tập hợp
các kiểm soát bao gồm kiểm soát truy cập, xem xét hiệu suất, giám sát,
báo cáo và kiểm toán;
e) các quy tắc sử dụng thông tin được chấp nhận, bao gồm cả việc sử dụng
không được chấp nhận nếu cần thiết;
f) danh sách rõ ràng các nhân viên của nhà cung cấp được phép truy cập
hoặc nhận thông tin của tổ chức hoặc các thủ tục hoặc điều kiện để được
ủy quyền, và xóa bỏ sự ủy quyền, để nhân viên nhà cung cấp truy cập
hoặc nhận thông tin của tổ chức;
g) các chính sách bảo mật thông tin liên quan đến hợp đồng cụ thể;
h) các yêu cầu và thủ tục quản lý sự cố (đặc biệt là việc thông báo và sự
cộng tác trong quá trình khắc phục sự cố);
i) các yêu cầu đào tạo và nâng cao nhận thức đối với các thủ tục cụ thể và
các yêu cầu về bảo mật thông tin, ví dụ: để ứng phó sự cố, các thủ tục ủy
quyền;
j) các quy định liên quan đối với hợp đồng phụ, bao gồm các kiểm soát cần
được triển khai;
k) các thỏa thuận đối tác có liên quan, bao gồm người liên hệ về các vấn đề
bảo mật thông tin;
l) l) các yêu cầu sàng lọc, nếu có, đối với nhân viên của nhà cung cấp, bao
gồm trách nhiệm tiến hành sàng lọc và các thủ tục thông báo nếu việc
sàng lọc chưa được hoàn thành hoặc nếu kết quả dẫn tới nguyên nhân gây
nghi ngờ hoặc lo ngại;
m) quyền kiểm toán ( của tổ chức – người dịch ) các quy trình của nhà cung
cấp và các kiểm soát liên quan đến thỏa thuận;
n) các quy trình giải quyết lỗi và giải quyết xung đột;
o) nghĩa vụ pháp lý của nhà cung cấp phải cung cấp định kỳ một báo cáo
độc lập về tính hiệu quả của các biện pháp kiểm soát và thỏa thuận về
việc sửa chữa kịp thời các vấn đề liên quan được nêu trong báo cáo;
p) nghĩa vụ của nhà cung cấp để tuân thủ các yêu cầu bảo mật của tổ chức.
Các thủ tục để tiếp tục xử lý trong trường hợp mà nhà cung cấp không thể
cung cấp các sản phẩm hoặc dịch vụ của họ nên được xem xét trong thỏa
thuận để tránh bất kỳ sự chậm trễ nào trong việc sắp xếp các sản phẩm hoặc
dịch vụ thay thế.
15.1.3 Chuỗi cung ứng công nghệ thông tin và truyền thông
Kiểm soát
94 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các thỏa thuận với nhà cung cấp nên bao gồm các yêu cầu để giải quyết
những rủi ro bảo mật thông tin liên quan đến chuỗi cung ứng các dịch vụ
công nghệ thông tin và truyền thông và sản phẩm.
95 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
mật thông tin, chất lượng, quản lý dự án và kỹ thuật hệ thống nhưng không
thay thế chúng.
Các tổ chức được khuyến cáo để làm việc với các nhà cung cấp để hiểu về
chuỗi cung ứng công nghệ thông tin và truyền thông và bất kỳ vấn đề nào có
tác động quan trọng đến các sản phẩm và dịch vụ đang được cung cấp. Các
tổ chức có thể ảnh hưởng tới những thực tiễn bảo mật thông tin chuỗi cung
ứng công nghệ thông tin và truyền thông bằng cách làm rõ trong các thỏa
thuận với các nhà cung cấp của họ những vấn đề nên được giải quyết bởi các
nhà cung cấp khác trong chuỗi cung ứng công nghệ thông tin và truyền
thông.
Chuỗi cung ứng công nghệ thông tin và truyền thông được xác định ở đây
bao gồm dịch vụ điện toán đám mây.
15.2 Quản lý việc chuyển giao dịch vụ của nhà cung cấp
Mục tiêu : Để duy trì một mức thỏa thuận về bảo mật thông tin và chuyển
giao dịch vụ tương tự với các thỏa thuận với nhà cung cấp.
15.2.1 Giám sát và đánh giá các dịch vụ của nhà cung cấp
Kiểm soát
Các tổ chức nên giám sát, đánh giá, và kiểm toán thường xuyên việc chuyển
giao dịch vụ của nhà cung cấp.
Việc này nên liên quan đến một quy trình quan hệ quản lý dịch vụ giữa tổ
chức với nhà cung cấp để:
a) giám sát các mức hiệu suất dịch vụ để xác minh sự tuân thủ các thỏa
thuận;
b) đánh giá các báo cáo dịch vụ được cung cấp bởi nhà cung cấp và tổ chức
các cuộc họp tiến trình thường xuyên như được yêu cầu trong các thỏa
thuận;
c) tiến hành kiểm toán các nhà cung cấp, kết hợp với việc xem xét các báo
cáo của kiểm toán viên độc lập nếu có sẵn, và theo dõi các vấn đề đã
được xác định;
d) cung cấp thông tin về các sự cố bảo mật thông tin xem xét thông tin này
như được yêu cầu bởi các thỏa thuận và bất kỳ hướng dẫn và thủ tục hỗ
trợ nào;
96 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
e) xem xét các dấu vết kiểm toán nhà cung cấp và các hồ sơ về các sự kiện
bảo mật thông tin, các vấn đề trong vận hành, lỗi, truy vết các lỗi và các
gián đoạn liên quan đến các dịch vụ đã được chuyển giao;
f) giải quyết và quản lý bất kỳ vấn đề nào đã được xác định;
g) xem xét các khía cạnh bảo mật thông tin trong mối quan hệ của nhà cung
cấp với nhà cung cấp của họ;
h) đảm bảo rằng nhà cung cấp duy trì năng lực dịch vụ đầy đủ cùng với
những kế hoạch có thể hoạt động được thiết kế để đảm bảo rằng các mức
liên tục dịch vụ đã thỏa thuận được duy trì sau những lỗi dịch vụ hoặc
thảm họa nghiêm trọng (xem Điều 17 ).
Trách nhiệm trong việc quản lý mối quan hệ với nhà cung cấp nên được chỉ
định cho một cá nhân được bổ nhiệm hoặc đội quản lý dịch vụ. Ngoài ra, tổ
chức nên đảm bảo rằng các nhà cung cấp chỉnh định trách nhiệm xem xét sự
tuân thủ và thực thi các yêu cầu trong các thỏa thuận. Những kỹ năng kỹ
thuật và nguồn lực đầy đủ nên sẵn sàng để giám sát rằng những yêu cầu
trong thỏa thuận, đặc biệt là các yêu cầu bảo mật thông tin, đang được đáp
ứng. Những hành động thích đáng nên được thực hiện khi quan sát thấy sự
thiếu hụt trong dịch vụ cung cấp.
Tổ chức nên giữ kiểm soát tổng thể đầy đủ và minh bạch đối với mọi khía
cạnh bảo mật của thông tin hoặc thiết bị xử lý thông tin nhạy cảm hoặc
quan trọng được truy cập; xử lý hoặc quản lý bởi một nhà cung cấp. Tổ chức
cũng nên giữ tính minh bạch trong các hoạt động bảo mật chắng hạn như
quản lý thay đổi, xác định các lỗ hổng và báo cáo và phản ứng lại các sự cố
bảo mật thông tin thông qua một quy trình báo cáo được xác định.
15.2.2 Quản lý những thay đổi đối với nhà cung cấp các dịch vụ
Kiểm soát
Những thay đổi trong việc cung cấp các dịch vụ bởi các nhà cung cấp, bao
gồm bảo trì và cải thiện các chính sách, các thủ tục và các kiểm soát bảo
mật thông tin hiện hành, nên được quản lý, có tính đến tính chất quan trọng
của thông tin kinh doanh, các hệ thống và quy trình liên quan và tái đánh giá
rủi ro.
1) sự chuẩn bị các hình thức báo cáo về sự kiện bảo mật thông tin để
hỗ trợ các hành động báo cáo và để giúp nhân viên báo cáo ghi nhớ
về mọi hành động cần thiết trong trường hợp xảy ra sự kiện bảo
mật thông tin;
2) thủ tục được thực hiện trong trường hợp xảy ra một sự kiện bảo
mật thông tin, ví dụ như ghi chú mọi chi tiết ngay lập tức, chẳng
hạn như kiểu không tuân thủ hoặc loại vi phạm, sự cố xảy ra, các
thông điệp trên màn hình và báo cáo ngay lập tức cho đầu mối liên
hệ và chỉ thực hiện nhũng hành động được sắp xếp;
3) tham chiếu tới một quy trình kỷ luật chính thức đã được thiết lập
để xử lý những nhân viên vi phạm bảo mật;
4) các quy trình phản hồi phù hợp để đảm bảo rằng những người báo
cáo về các sự kiện bảo mật được thông báo về kết quả sau khi vấn
đề được xử lý và đóng lại;
Những mục tiêu quản lý sự cố bảo mật thông tin nên được thỏa thuận với
cấp quản lý, và nó nên được đảm bảo rằng những người chịu trách nhiệm
quản lý sự cố bảo mật thông tin hiểu về các ưu tiên của tổ chức về xử lý các
sự cố bảo mật thông tin.
Hướng dẫn chi tiết về quản lý sự cố bảo mật thông tin được cung cấp trong
ISO/IEC 27035. ( 2 0 )
Những tình huống được cân nhắc về sự kiện bảo mật thông tin bao gồm:
a) kiểm soát bảo mật không hiệu quả;
99 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
b) vi phạm những kỳ vọng về tính toàn vẹn, bảo mật và sẵn sàng của thông
tin,
c) lỗi con người;
d) không tuân thủ các chính sách hoặc tiêu chuẩn;
e) vi phạm các thỏa thuận bảo mật vật lý;
f) những thay đổi hệ thống không được kiểm soát;
g) trục trặc phần cứng hoặc phần mềm;
h) vi phạm truy cập.
16.1.3 Báo cáo các điểm yếu bảo mật thông tin
Kiểm soát
Nhân viên và các nhà thầu đang sử dụng các hệ thống và dịch vụ thông tin
của tổ chức nên được yêu cầu ghi chú lại và báo cáo bất kỳ những điều quan
sát được hoặc nghi ngờ về các điểm yếu bảo mật thông tin của các hệ thống
hoặc dịch vụ.
16.1.4 Đánh giá và quyết định về các sự kiện bảo mật thông tin
Kiểm soát
Các sự kiện bảo mật thông tin nên được đánh giá và nên quyết định xem liệu
chúng (các sự kiện) có được phân loại là sự cố bảo mật thông tin hay không.
100 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Trong những trường hợp mà tổ chức có một đội ứng phó sự cố bảo mật thông
tin (ISIRT), việc đánh giá và ra quyết định có thể được chuyển tiếp cho
ISIRT để xác nhận hoặc đánh giá lại.
Kết quả của việc đánh giá và ra quyết định nên được ghi lại một cách chi
tiết cho mục đích tham chiếu và xác minh trong tương lai.
Việc ứng phó nên bao gồm những điều dưới đây:
a) thu thập bằng chứng càng sớm càng tốt sau khi xảy ra (sự cố);
b) tiến hành phân tích pháp y bảo mật thông tin, nếu được yêu cầu (xem
16.1.7 );
c) leo thang, nếu được yêu cầu;
d) đảm bảo rằng mọi hành động ứng phó liên quan được ghi nhật ký một
cách đúng đắn cho những phân tích sau này;
e) truyền thông về sự cố bảo mật thông tin hiện tại hoặc bất kỳ chi tiết nào
liên quan từ đó ( sự cố bảo mật hiện tại – người dịch ) cho những cá nhân
nội bộ và bên ngoài hoặc tổ chức theo nguyên tắc cần-được-biết;
f) xử lý (những) điểm yếu bảo mật thông tin được tìm thấy là gây ra hoặc
tham gia vào sự cố;
g) khi sự cố đã hoàn toàn được xử lý, đóng và ghi lại hồ sơ chính thức.
Phân tích trước (khi xảy ra) sự cố nên được tiến hành, nếu cần thiết, để xác
định nguồn của sự cố.
Nên có cơ chế hiện hữu để cho phép xác định kiểu, khối lượng và chi phí
cho các sự cố bảo mật thông tin. Thông tin thu được từ việc đánh giá các sự
cố bảo mật thông tin nên được sử dụng để xác định các sự cố định kỳ hoặc
có tác động lớn.
Với sự quan tâm đúng mức đến các yếu tố bảo mật, những giai thoại từ các
sự cố bảo mật thông tin thực tế có thể được sử dụng trong việc đào tạo nâng
cao nhận thức người dùng (xem 7.2.2 ) như là ví dụ về những gì có thể xảy
ra, làm thế nào để ứng phó với những sự cố như vậy và cách tránh chúng
trong tương lai.
Tổng thể, những thủ tục về bằng chứng này nên cung cấp các quy trình xác
định, thu thập, thu nhận và bảo quản bằng chứng một cách tương xứng với
các kiểu khác nhau của phương tiện, thiết bị và tình trạng thiết bị, ví dụ,
nguồn điện đang bật hay tắt. Những thủ tục này nên tính đến:
a) chuỗi hành trình sản phẩm;
b) sự an toàn của bằng chứng;
c) sự an toàn của nhân viên;
d) vai trò và trách nhiệm của những người liên quan;
e) trình độ chuyên môn của nhân viên;
f) tài liệu;
g) các cuộc họp tóm tắt;
Nếu có sẵn, nên tìm kiếm chứng nhận hoặc các phương tiện khác có liên
quan về trình độ nhân viên và các công cụ, để từ đó củng cố giá trị của các
bằng chứng được bảo quản.
Các bằng chứng pháp y có thể vượt quá ranh giới của tổ chức hoặc khu vực
pháp lý. Trong trường hợp đó, nên đảm bảo rằng tổ chức được phép thu thập
những thông tin cần thiết để làm bằng chứng pháp y. Các yêu cầu của các
102 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
khu vực pháp lý khác nhau cũng nên được cân nhắc để tối đa hóa cơ hội để
được thừa nhận trong các khu vực pháp lý có liên quan.
ISO/IEC 27037 ( 2 4 ) cung cấp các hướng dẫn về xác định, thu thập, thu nhận
và bảo quản bằng chứng kỹ thuật số.
17 Các khía cạnh bảo mật thông tin trong quản lý kinh doanh liên
tục
17.1 Tính liên tục bảo mật thông tin
Mục tiêu : Tính liên tục bảo mật thông tin nên được gắn vào các hệ thống
quản lý kinh doanh liên tục của tổ chức.
Trong trường hợp không có kế hoạch kinh doanh liên tục, quản lý bảo mật
thông tin nên giả định rằng các yêu cầu bảo mật thông tin vẫn được giữ
nguyên trong các tình huống bất lợi, được so sánh với các điều kiện vận
hành bình thường. Ngoài ra, một tổ chức có thể hoàn thành một phân tích tác
động kinh doanh (BIA) của các khía cạnh bảo mật thông tin để xác định các
yêu cầu bảo mật thông tin có thể được áp dụng trong các tình huống bất lợi.
thường, hoặc phân tích tác động kinh doanh cho quản lý khôi phục (sau)
thảm họa. Điều này ngụ ý rằng các yêu cầu bảo mật thông tin liên tục được
xây dựng một cách rõ ràng trong các quy trình quản lý kinh doanh liên tục
hoặc quản lý khôi phục (sau) thảm họa.
Thông tin về quản lý kinh doanh liên tục có thể được tìm thấy trong
ISO/IEC 27031 ( 1 4 ) , ISO22313 ( 9 ) và ISO22031 ( 8 ) .
Tuỳ thuộc vào các yêu cầu liên tục bảo mật thông tin, tổ chức nên thiết lập,
lập thành tài liệu, triển khai và duy trì:
a) các kiểm soát bảo mật thông tin trong các quy trình, thủ tục, các hệ thống
hỗ trợ và các công cụ kinh doanh liên tục hoặc khôi phục (sau) thảm hoạ;
b) các quy trình, các thủ tục và triển khai những thay đổi để duy trì các
kiểm soát bảo mật thông tin hiện hành trong một tình huống bất lợi;
c) các kiểm soát bù trừ cho các kiểm soát bảo mật thông tin mà không thể
duy trì trong một tình huống bất lợi.
104 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các kiểm soát bảo mật thông tin đã được triển khai nên tiếp tục được vận
hành trong một tình huống bất lợi. Nếu các kiểm soát bảo mật thông tin
không thể tiếp tục bảo vệ thông tin, các kiểm soát khác nên được thiết lập,
triển khai và duy trì để duy trì một mức độ chấp nhận được của bảo mật
thông tin.
17.1.3 Xác minh, xem xét và đánh giá bảo mật thông tin liên tục
Kiểm soát
Tổ chức nên xác minh một cách định kỳ và thường xuyên các kiểm soát bảo
mật thông tin liên tục đã được thiết lập và triển khai để đảm bảo rằng chúng
vẫn còn giá trị và hiệu quả trong các tình huống bất lợi.
Tổ chức nên xác minh quản trị bảo mật thông tin liên tục của mình bằng
cách:
a) luyện tập và kiểm tra chức năng của các quy trình, thủ tục và các kiểm
soát bảo mật thông tin liên tục để đảm bảo rằng chúng nhất quán với các
mục tiêu bảo mật thông tin liên tục;
b) luyện tập và kiểm tra kiến thức và công việc thường ngày để vận hành
các quy trình, thủ tục và các kiểm soát bảo mật thông tin liên tục, để đảm
bảo rằng hiệu suất của chúng nhất quán với các mục tiêu bảo mật thông
tin liên tục;
c) xem xét tình trạng hiệu lực và tính hiệu quả của các thước đo bảo mật
thông tin liên tục khi các hệ thống thông tin, các quy trình, thủ tục và các
kiểm soát bảo mật thông tin hoặc các quy trình và giải pháp quản lý kinh
doanh liên tục/quản lý khôi phục (sau) thảm hoạ thay đổi.
Các thiết bị xử lý thông tin nên được triển khai với dự phòng đầy đủ để đáp
ứng các yêu cầu về tính sẵn sàng.
Nếu được áp dụng, các hệ thống thông tin dự phòng nên được kiểm nghiệm
để đảm bảo sự chuyển đổi dự phòng từ thành phần này sang thành phần khác
hoạt động như đã định.
18 Tuân thủ
18.1 Tuân thủ luật pháp và các quy định hợp đồng
Mục tiêu : Để tránh vi phạm các nghĩa vụ pháp lý, luật định, quy định và hợp
đồng liên quan tới hệ thống thông tin và bất kỳ yêu cầu bảo mật nào.
18.1.1 Xác định các yêu cầu pháp lý và hợp đồng có thể áp dụng
Kiểm soát
Tất các các yêu cầu pháp lý, quy định, hợp đồng có liên quan và phương
pháp tiếp cận của tổ chức để đáp ứng các yêu cầu này nên được xác định rõ
ràng, lập thành văn bản và được cập nhật cho mỗi hệ thống thông tin và tổ
chức.
Các quản lý nên xác định mọi luật lệ có thể áp dụng với tổ chức của họ để
đáp ứng các yêu cầu cho loại hình kinh doanh của họ. Nếu tổ chức tiến hành
kinh doanh ở một quốc gia khác, các quản lý nên xem xét việc tuân thủ ở
mọi quốc gia có liên quan.
106 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Các sản phẩm phần mềm trí tuệ thường được cung cấp theo một thoả thuận
cấp phép trong đó xác định các điều kiện và điều khoản cấp phép, ví dụ, giới
hạn việc sử dụng sản phẩm cho những máy móc cụ thể hoặc giới hạn việc
sao chép chỉ cho việc tạo ra các bản sao lưu. Tầm quan trọng và nhận thức
về quyền sở hữu trí tuệ nên được truyền thông cho nhân viên về phần mềm
được phát triển bởi tổ chức.
Các yêu cầu nghĩa vụ pháp lý, quy định và hợp đồng có thể đặt ra những
giới hạn về việc sao chép các tài liệu sở hữu trí tuệ. Cụ thể hơn, các yêu cầu
nói trên có thể đòi hỏi rằng chỉ có tài liệu được phát triển bởi tổ chức hoặc
107 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
được cấp phép hoặc cung cấp bởi nhà phát triển cho tổ chức mới có thể được
sử dụng. Vi phạm bản quyền có thể dẫn tời các hành động pháp lý, có thể
bao gồm phạt tiền và tố tụng hình sự.
18.1.3 Bảo vệ hồ sơ
Kiểm soát
Các hồ sơ nên được bảo vệ khỏi sự mất mát, phá huỷ , giả mạo, truy cập trái
phép và phát hành trái phép, tương ứng với các yêu cầu pháp lý, quy định,
hợp đồng và các yêu cầu kinh doanh.
Nên xem xét khả năng hư hỏng của phương tiện được sử dụng để lưu trữ hồ
sơ. Quy trình lưu trữ và xử lý nên được triển khai thích hợp theo khuyến
nghị của nhà sản xuất.
Khi phương tiện lưu trữ điện tử được lựa chọn, các thủ tục để đảm bảo khả
năng truy cập dữ liệu (cả phương tiện và định dạng có thể đọc được) trong
suốt thời gian lưu giữ nên được thiết lập để bảo vệ chống mất mát do thay
đổi công nghệ trong tương lai.
Hệ thống lưu trữ dữ liệu nên được lựa chọn sao cho dữ liệu được yêu cầu có
thể được truy xuất trong một khung thời gian và định dạng có thể chấp nhận
được, tùy thuộc vào các yêu cầu phải được hoàn thành.
Hệ thống lưu trữ và xử lý phải đảm bảo việc xác định được các hồ sơ và thời
hạn lưu giữ của chúng như đã được xác định bởi luật pháp hoặc quy định của
quốc gia hoặc khu vực, nếu có. Hệ thống này phải cho phép tiêu hủy hồ sơ
thích hợp sau khoảng thời gian đó nếu tổ chức không cần đến chúng nữa.
Để đáp ứng các mục tiêu bảo vệ hồ sơ này, những bước dưới đây nên được
thực hiện trong tổ chức:
a) các hướng dẫn cần được ban hành về việc lưu giữ, lưu trữ, xử lý và hủy
bỏ các hồ sơ và thông tin;
b) một lịch trình lưu giữ cần được lập ra để xác định các hồ sơ và khoảng
thời gian mà chúng vẫn cần được lưu giữ;
108 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
c) một bản kiểm kê các nguồn thông tin quan trọng nên được duy trì.
Thông tin thêm về quản lý hồ sơ của tổ chức có thể tìm thấy trong ISO
15489-1 ( 5 ) .
Việc tuân thủ chính sách này và các luật lệ và quy định liên quan đề cập đến
việc bảo vệ quyền riêng tư cá nhân và bảo vệ thông tin định danh cá nhân
đòi hỏi cấu trúc và kiểm soát quản lý phù hợp. Thường thì điều này đạt được
thành tựu tốt nhất bằng cách bổ nhiệm một cá nhân chịu trách nhiệm, chẳng
hạn như chuyên viên về quyền riêng tư, người nên cung cấp hướng dẫn cho
các nhà quản lý, người dùng và các nhà cung cấp dịch vụ về trách nhiệm cá
nhân của họ và các thủ tục cụ thể nên được tuân thủ. Trách nhiệm xử lý
thông tin định danh cá nhân và đảm bảo nâng cao nhận thức về các nguyên
tắc quyền riêng tư nên được xử lý một cách tương xứng với các luật lệ và
quy định có liên quan. Các biện pháp kỹ thuật và tổ chức thích hợp để bảo
vệ thông tin định danh cá nhân nên được triển khai.
Tuỳ thuộc vào luật lệ quốc gia tương ứng, những kiểm soát đó có thể áp đặt
nghĩa vụ lên việc thu thập, xử lý và phổ biến thông tin định danh cá nhân, và
có thể giới hạn khả năng truyền tải thông tin định danh cá nhân sang quốc
gia khác.
Nên tìm kiếm tư vấn phảp lý để đảm bảo tuân thủ các luật lệ và quy định có
liên quan. Trước khi thông tin đã được mã hoá hoặc các kiểm soát mã hoá
được truyền đi ngang ranh giới của các khu vực pháp lý, cũng nên được tư
vấn pháp lý.
Sự xem xét như trên nên được tiến hành bởi các cá nhân độc lập với khu vực
được xem xét, ví dụ, chức năng kiểm toán viên nội bộ, một nhà quản lý độc
lập hoặc một tổ chức thứ ba bên ngoài chuyên thực hiện những đánh giá như
vậy. Các cá nhân tiến hành các xem xét như vậy nên có các kỹ năng và kinh
nghiệm phù hợp.
Kết quả của đánh giá độc lập nên được lập thành tài liệu và báo cáo cho cấp
quản lý nào đã khởi đầu việc xem xét. Những hồ sơ này nên được duy trì.
Nếu đánh giá độc lập xác định rằng phương pháp tiếp cận và sự triển khai
của tổ chức để quản lý bảo mật thông tin là không đầy đủ, ví dụ, các mục
tiêu và yêu cầu được lập thành văn bản không được đáp ứng hoặc không tuân
thủ với định hướng bảo mật thông tin đã tuyên bố trong các chính sách bảo
mật thông tin (xem 5.1.1 ), cấp quản lý nên cân nhắc các hành động khắc
phục.
18.2.2 Tuân thủ các chính sách và tiêu chuẩn bảo mật
Kiểm soát
Các nhà quản lý nên xác định cách làm thế nào để đánh giá rằng các yêu cầu
bảo mật thông tin đã xác định trong các chính sách, tiêu chuẩn và các quy
định có thể áp dụng khác được đáp ứng như thế nào. Các công cụ đo lường
và báo cáo tự động nên được cân nhắc để việc xem xét định kỳ trở nên hiệu
quả.
Các kết quả của việc xem xét và các hành động khắc phục đã thực hiện bởi
các nhà quản lý nên được ghi lại và những hồ sơ này nên được duy trì. Các
111 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
nhà quản lý nên báo cáo các kết quả cho những cá nhân đang tiến hành đánh
giá độc lập (xem 18.2.1 ) khi một đánh giá độc lập được thực hiện trong khu
vực trách nhiệm của họ.
Nếu một kiểm nghiệm xâm nhập hoặc đánh giá lỗ hổng được sử dụng, nên
thận trọng bởi những hành động đó ( kiểm nghiệm xâm nhập hoặc đánh giá lỗ
hổng – người dịch ) có thể dẫn tới một sự vi phạm đối với bảo mật của hệ
thống. Các kiểm nghiệm đó nên được hoạch định, lập thành văn bản và lặp
đi lặp lại.
Bất kỳ đánh giá tuân thủ kỹ thuật nào cung chỉ nên được thực hiện bởi hoặc
dưới sự giám sát của các cá nhân được uỷ quyền và có đủ năng lực
Đánh giá tuân thủ cũng bao gồm, ví dụ, kiểm nghiệm xâm nhập và đánh giá
lỗ hổng, vốn có thể được tiến hành bởi các chuyên gia độc lập được ký hợp
đồng đặc biệt cho mục đích này. Điều này có thể hữu ích trong việc nhận
diện những lỗ hổng trong các hệ thống và để điều tra các kiểm soát có hiệu
quả như thế nào trong việc ngăn ngừa sự truy cập trái phép qua các lỗ hổng
đó.
Kiểm nghiệm xâm nhập và đánh giá lỗ hổng cung cấp một ảnh chụp nhanh
của hệ thống trong một trạng thái đặc biệt tại một thời điểm cụ thể. Ảnh
chụp nhanh này được giới hạn trong những phần của hệ thống được kiểm
112 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
nghiệm thực tế trong (những) nỗ lực xâm nhập. Việc kiểm nghiệm xâm nhập
và đánh giá lỗ hổng không thay thế cho đánh giá rủi ro.
ISO/IEC TR 27008 ( 1 3 ) cung cấp hướng dẫn cụ thể liên quan đến các đánh giá
tuân thủ kỹ thuật.
113 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
115 | P a g e
ISO 27002:2013 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com