Professional Documents
Culture Documents
1b DaoTaoNhanThuc AnnexA Iso27001 2022 - 64slides - 2024
1b DaoTaoNhanThuc AnnexA Iso27001 2022 - 64slides - 2024
Page 1
14 Lĩnh vực Kiểm soát - (Normative), Annex A, ISO/IEC 27001:2013
114
35 Mục tiêu Điểm
Kiểm soát Kiểm soát
Control =
―Measure, 04
that is Lĩnh
Modifying vực
14 KS Vật lý Risk‖
Kiểm
soát (KS)
(themes)
93
37 KS Tổ chức Kiểm
soát
8 KS Con (controls)
34 KS Công nghệ
người
Bảng A.1 – Các Kiểm soát An ninh Thông tin
(Information Security Controls)
Page 4
Chính sách ANTT (Information Security Policy)
a) Định nghĩa về ANTT (definition of information security);
b) các Mục tiêu ANTT (IS objectives) hoặc Khuôn khổ (framework)
để Đặt ra (setting) các Mục tiêu ANTT;
c) các Nguyên tắc (principles) để Hướng dẫn tất cả Hoạt động
liên quan đến ANTT;
d) Cam kết (commitment) để Thỏa mãn (to satisfy) các Yêu cầu áp
dụng, liên quan đến ANTT;
e) Cam kết để Cải tiến liên tục (improvement) về HTQL ANTT;
f) Chỉ định (assignment) các Trách nhiệm về Quản lý ANTT đối
với các Vai trò đã định nghĩa;
g) các Qui trình (procedures) về Xử trí (handling) các Miễn trừ
(exemptions) và Ngoại lệ (exeptions).
KS: Các Vai trò Phải Định nghĩa (defined) theo Nhu cầu
& Trách nhiệm
được Phân công (allocated) các của TC
ANTT
Page 7
Note: CIO=Chief Information Officer; CISO=Chief Information Security Officer
1. Các Trách nhiệm & Quyền hạn liên quan các Hoạt động ATTT:
ISO/IEC 27003:2017 – 5.3 Các Vai trò, Trách nhiệm & Quyền hạn TC
a) Hiệp đồng: Thiết lập, Triển khai, Duy trì, Báo cáo, Cải tiến - ISMS;
b) Tư vấn: Đánh giá (assessment) & Xử lý (treatment) Rủi ro (Risk) ANTT;
c) Thiết kế: các Quá trình (processes) và Hệ thống (systems) ANTT;
d) Lập (setting) Tiêu chuẩn về Xác định, Cấu hình (configuration), Vận
hành (operation) các Kiểm soát (controls) ANTT;
e) Quản lý (managing): các Sự cố (incidents) ANTT;
f) Soát xét (review) và Đánh giá kiểm toán (audit) ISMS.
2. Các Trách nhiệm & Quyền hạn liên quan các Vai trò khác:
g) Người Chủ TT (information owners);
h) Người Chủ Quá trình (process owners);
i) Chủ Tài sản (asset owners) (ví dụ, chủ ứng dụng (application owner)
hay chủ cơ sở hạ tầng (infrastructure owner);
j) Người Chủ Rủi ro (risk owners);
k) Bộ phận/Người -> Hiệp đồng ANTT (Vai trò Hỗ trợ trong ISMS);
l) Người Quản lý Dự án (project managers);
m) Người Quản lý Tuyến (line managers); và
n) Người Dùng TT (information users).
Responsibilities of IS Roles in ISMS
Các Trách nhiệm về ATTT trong HT QL ATTT
Chuyên trách AT
KS: Phải Thiết lập & Duy trì Với Nhà Chức trách
TC Liên hệ các liên quan
Page 10
5.8 ANTT trong Quản lý Dự án (Information Security in Project Management)
5.10 Sử dụng Chấp nhận được TT và các Tài sản tương ứng khác
(Acceptable Use of Information & other associated Assets)
Page 11
QUẢN LÝ RỦI RO ATTT, nhằm *Liên tục NV,
*Tuân thủ Luật pháp, Qui định, Hợp đồng
Hành động Cải tiến Hiệu lực Quản lý Rủi ro
Các mức độ AT, Tài sản TT & Giá trị Mối/Kẻ
Lỗ Theo
Mục Đe
hổng Tài sản Thông tin (Information Assets) dọa dõi,
Tiêu,
Đo
Phương
Primary Quá trình, Hoạt động - NV Thông tin Tài sản lường,
pháp
Assets (Business Processes, Activities) (Information) Chính Đánh
Quản
giá
lý
Hiệu
Rủi
Supporting Tài sản lực
ro
Assets Tổ Địa Nhân Mạng Phần Phần Hỗ trợ Các
ISO/IEC chức điểm sự (Net- mềm cứng Kiểm
Mức (Organi- (Site) (Perso- work) (Soft- (Hard-
27005 soát
:2018 Rủi ro zation) nnel) ware) ware) Mất
C, I, A Rủi
(H/M/L)
Chuẩn mực/Tiêu chí (Chấp nhận) Rủi ro ro
Quản lý Rủi ro: Đánh giá Rủi ro, Xử lý Rủi ro (Giảm thiểu, Giữ
nguyên, Né tránh, Chia sẻ => Kiểm soát Rủi ro), Chấp nhận Rủi ro Page 12
Các loại Tài sản TT Cơ bản (Primary Assets)
1. Để mô tả Phạm vi, TC => cần Nhận diện các Tài sản Cơ bản.
ISO/IEC 27005:2018
2. Các Tài sản Cơ bản gồm 2 loại: A) Các Quá trình & Hoạt động NV, B) TT.
A) Các Quá trình (/Quá trình con), Hoạt động (Processes, Activities): Ví dụ:
a) Các Quá trình (QT) mà Mất/Suy giảm nó => Ko thể Thực hiện Sứ mệnh;
b) Các Quá trình (QT) chứa QT Bí mật hoặc QT liên quan Công nghệ Độc quyền;
c) Các Quá trình, mà nếu bị Sửa, => Ảnh hưởng Lớn đến Thực hiện Sứ mệnh;
d) Các Quá trình cần cho TC để Tuân thủ các YC Luật/Qui định/Hợp đồng;
B) Thông tin (TT). Nói chung TT Cơ bản - chủ yếu bao gồm:
a) Các TT sống còn để Thực hiện Sứ mệnh/Nghiệp vụ của TC;
b) Các TT Cá nhân, đc Định nghĩa bởi Luật về Riêng tư (Privacy);
c) Các TT Chiến lược để Đạt các Mục tiêu theo Định hướng Chiến lược;
d) Các TT Giá trị-cao, mà việc Thu thập, Cất giữ, Xử lý, Truyền TT đó Yêu cầu
Thời gian dài và/hoặc Chi phí Tìm mua cao;
3. Các Quá trình & TT mà Ko đc Nhận diện là Nhạy cảm (sensitive)
=> Không cần đc Phân cấp. Nghĩa là: Nếu các Quá trình/TT đó bị Tổn hại, -> thì TC
vẫn Hoàn thành Nhiệm vụ/Sứ mệnh (Mission).
=> Chúng thường đc Kiểm soát -> để Bảo vệ các Quá trình & TT Nhạy cảm
Page 13
Các loại Tài sản TT Hỗ trợ (Supporting Assets)
- Tài sản Hỗ trợ: *có Lỗ hổng mà dễ bị Lợi dụng bởi Mối Đe dọa => Làm Hỏng
(Impair) Tài sản Cơ bản, *cần đc Nhận diện & Mô tả:
ISO/IEC 27005:2018
Page 16
Ma trận Tham chiếu Phân cấp Dữ liệu – A
Page 17
Ma trận Tham chiếu Phân cấp Dữ liệu – B
Page 18
5.14 Chuyển giao TT (Information Transfer)
KS: Các *Qui tắc, Phải có Tại chỗ - về tất cả *bên trong TC,
*Qui trình, *Thỏa thuận Loại Phương tiện *giữa TC với
– về Chuyển giao TT Chuyển giao các Bên khác
Phải
KS: Toàn bộ Vòng đời của các Danh tính Quản lý (managed)
được
Page 19
5.17 Thông tin Xác thực (Authentication Information)
tương
KS: Các Phải *Định nghĩa, *Triển khai việc Sử dụng các
Quá trình ứng Sản phẩm/Dịch vụ
được để Quản lý
& Qui trình với của Nhà cung ứng
các Rủi ro ANTT
Page 20
5.20 Giải quyết ANTT trong các Thỏa thuận Nhà cung ứng
(Addressing Information Security in Supplier Agreements)
5.21 Quản lý ANTT trong Chuỗi cung ứng CN TT & Truyền thông
(Managing InfoSecurity in the ICT Supply chain)
tương
KS: Các Phải Định nghĩa & Triển ứng Chuỗi cung ứng
Quá trình khai - để Quản lý các Sản phẩm
được với
& Qui trình các Rủi ro ANTT & Dịch vụ - ICT
5.22 Theo dõi, Soát xét, Quản lý thay đổi các Dịch vụ Nhà cung ứng
(Monitoring, Review, Change managment of Supplier services)
Page 21
5.23 ANTT cho việc Sử dụng các Dịch vụ Đám mây - (New 2022)
(Information Security for Use of Clound services)
KS: Phải Hoạch định, Chuẩn bị Bằng Định nghĩa, Thiết lập, Truyền
về việc Quản lý việc thông - các Quá trình, Vai trò,
TC
các Sự cố ANTT, Trách nhiệm Quản lý Sự cố ANTT
Page 22
Hình 1 - Quan hệ của các Đối tượng
trong Sự cố An ninh Thông tin (AN TT)
Mối đe dọa
(Threat)
Vận hành
(Operations)
ISO/IEC 27035:2011
ISO/IEC 27035:2011
Page 25
5.26 Phản ứng lại các Sự cố ANTT (Resonse to IS Incidents)
Qui trình
KS: Các Phải Phản ứng lại Theo
được Lập Tài liệu
Sự cố ANTT được (Responded) các (documented Procedures)
Page 26
Phân tích nguyên nhân gốc (Root cause Analysis)
5.29 ANTT trong khi Rối loạn (Information Security during Disruption)
5.30 Sẵn sàng CN TT & Truyền thông cho Liên tục Nghiệp vụ (New 2022)
(ICT Readiness for Business Continuity)
5.31 Các Yêu cầu Pháp lý, Luật định, Qui định, Hợp đồng
(Legal, Statutory, Regulatory, Contractual Requirements)
KS: Các Yêu cầu Pháp lý, Luật định, Hợp đồng Nhận diện,
Phải
liên quan đến ANTT, & Tài liệu hóa,
được
Cách Tiếp cận của TC để Đáp ứng các Yêu cầu này Giữ Cập nhật
Page 28
Figure
Hình 2 2- Khuôn
— Business
khổContinuity
Liên tụcFramework
Nghiệp vụand
và
Its Đầu
các Related
ra ICT Output
CNTT và & Desiredthông
Truyền Outcomes
(ICT)
Thành
Khuôn khổ BCM Đầu ra quả
ICT mong
muốn
Thành phần BCM
+Đánh giá & Soát xét
Các
(Business Resiliency)
Phục hồi
Chiến lược (Strategy) ICT
Kế hoạch BC (BC Plan)
Các
Thử nghiệm, Diễn tập
Kiểm soát
Nhận thức (Awareness) Làm giảm
Quản lý Chương trình Rủi ro
& Duy trì ICT
Business Continuity Framework & Its Related ICT Output & Desired Outcomes
www.idasonline.com
ISO/IEC - Quality
27031:2011-Guidelines Consultancy
for ICT Readiness for Business Continuity (IRBC) Page 29
CÁC LUẬT về An ninh-An toàn TT của VN, 2018
Luật AN mạng
An toàn An ninh Luật Sở hữu trí
tuệ 2005, 2009
2018 Thông tin/Mạng
(Information/ Luật Cơ yếu
Luật AT TT 2011
mạng 2015 Cyber Security)
Luật Bảo vệ Người
Luật Hình sự tiêu dùng 2010
2015
Luật Dân sự Luật Quảng
2015 cáo 2012
Page 30
CÁC NGHỊ ĐỊNH về An ninh-An toàn TT của VN (2023)
Page 32
5.35 Soát xét Độc lập về ANTT (Independent Review of Information Security)
5.36 Tuân thủ các Chính sách, Qui tắc và Tiêu chuẩn về ANTT
(Compliance with Policies, Rules and Standards for Information Security)
KS: Sự Tuân thủ - với Chính sách, Phải Soát xét - đều đặn
các Chính sách Chủ đề-đặc thù, (regularly reviewed)
được
các Qui tắc & Tiêu chuẩn về ANTT - của TC
5.37 Các Qui trình Vận hành dạng Văn bản (Documented Operating Procedures)
Page 33
6 Các Kiểm soát Con người (People Controls)
6.2 Các Điều khoản & Điều kiện Việc làm (Terms & Conditions of Employment)
KS: Các Thỏa thuận Phải Nêu các Trách nhiệm Về An ninh
Hợp đồng Việc làm của Nhân sự & của TC TT
Page 34
6.3 Nhận thức, Giáo dục, Đào tạo - ANTT (IS Awareness, Education, Training)
6.5 Các Trách nhiệm sau khi Chấm dứt hoặc Thay đổi Việc làm
(Responsibilities after Termination or Change of Employment)
Các Trách nhiệm & Nhiệm vụ Phải Định nghĩa, cho Nhân sự,
ANTT - vẫn còn Giá trị sau khi được Thực thi, các Bên
Chấm dứt/Thay đổi Việc làm - Truyền thông Quan tâm
Page 35
6.6 Các Thỏa thuận Bảo mật hay Không tiết lộ
(Confidentiality or Non-disclosure Agreements)
KS: Các Thỏa thuận Bảo mật hay *Nhận biết, *Lập Tài liệu,
Phải *Soát xét đều đặn,
Không tiết lộ - mà Phản ánh các
được *Ký kết bởi Nhân sự & các
Nhu cầu của TC - về Bảo vệ TT Bên Quan tâm liên quan khác
6.8 Báo cáo các Sự kiện ANTT (Information Security Event Reporting)
Page 36
7. Các Kiểm soát Vật lý (Physical Controls)
KS: Các Phải Định nghĩa, Để Bảo vệ các Khu vực - chứa TT
Vành đai AN được Sử dụng & các Tài sản tương ứng khác
Page 37
7.4 Theo dõi AN Vật lý (Physical security Monitoring) - (New 2022)
KS: Các Trụ sở Phải Theo dõi Về Truy cập Vật lý Trái phép
(Premises) được liên tục (Unauthorized Physical Access)
7.6 Làm việc trong các Khu vực AN’ (Working in Secure Areas)
Page 38
7.7 Bàn sạch và Màn hình sạch (Clear Desk and Clear Screen)
KS: Qui tắc ―Bàn sạch‖ đối với các Giấy tờ *Định nghĩa,
Phải
& Phương tiện TT Cất giữ Tháo rời (removable *Thực thi
storage media), và Qui tắc ―Màn hình sạch‖ được
- thích hợp
đối với các Cơ sở Xử lý TT
7.9 AN các Tài sản ở Ngoài các Trụ sở (Security of Assets Off-Premises)
Page 39
7. Các Kiểm soát Vật lý (Physical Controls)
Page 40
7.12 AN đường dây Cáp (Cabling Security)
Chặn-lấy (interception),
KS: Các Cơ sở Xử lý TT Phải Bảo Khỏi
Nhiễu (interference),
(Info. Processing Facilities) được vệ bị Hư hỏng (damage)
7.14 Loại bỏ/Sử dụng lại Thiết bị - AN’ (Secure Disposal/Re-use of Equipment)
Page 41
8. Các Kiểm soát Công nghệ (Technological Controls)
8.1 Các Thiết-bị Điểm cuối Người dùng (User End point Devices)
8.2 Các Quyền truy cập Đặc quyền (Privileged Access Rights)
KS: Việc Phân bổ (allocation) và Sử dụng (use) Phải Hạn chế (restricted),
các Quyền truy cập Đặc quyền được Quản lý (managed)
Page 42
8.4 Truy cập đến Mã Nguồn (Access to Source Code)
KS: Việc Truy cập Đọc & Viết (Read & Write Phải Quản lý (managed)
Access) ->đến *Mã Nguồn, *các Công cụ được thích hợp
phát triển, *Thư viện PM (Software Libraries)
Page 43
8.7 Bảo vệ chống PM Độc hại (Protection against Malware)
KS: Việc Bảo vệ Phải *Triển khai, Bằng Nhận thức Người dùng
chống PM Độc hại được *Hỗ trợ thích hợp
8.8 Quản lý các Lỗ hổng Kỹ thuật (Management of Technical Vulnerabilities) (New 2022)
Các Cấu hình, gồm cả các Cấu hình AN, Phải *Thiết lập, *Lập Tài liệu,
của *Phần cứng, *PM, *Dịch vụ, *Mạng được *Triển khai, *Theo dõi,
*Soát xét
Page 44
8.10 Xóa TT (Information Deletion) (New 2022)
KS: TT được Cất giữ trong các Phải Xóa khi Không còn
*HT TT, *Thiết-bị (Devices), *Phương được Yêu cầu
được (deleted)
tiện TT cất giữ (Storage Media) nữa
KS: Che Phải Sử theo *Chính sách KS truy cập, Có Pháp luật
mặt nạ được dụng *các Chính sách Đặc thù, Cân (legislation)
Dữ liệu (used) *các Yêu cầu Nghiệp vụ nhắc áp dụng
Page 45
8.13 (Sao lưu) Dự phòng TT (Information Backup)
Các Bản sao Dự phòng Phải Duy trì, theo Chính sách đặc thù
(backup copies) của các Thử nghiệm - đã thống nhất
được
TT, PM và HT đều đặn - về Dự phòng
Page 46
8.16 Các Hoạt động Theo dõi (Monitoring Activities) (New 2022)
KS: Việc Sử dụng các Chương trình Tiện Phải *Hạn chế,
ích, mà có thể có Khả năng Khống chế
được *Kiểm soát chặt chẽ
(overriding) các KS HT và KS Ứng dụng
Page 47
8.19 Cài đặt Phần mềm (PM) trên các Hệ thống (HT) Vận hành
(Installation of Software on Operational systems)
Page 48
6.1 Nền tảng – Hình 3 - Môi trường Mạng ví dụ
Figure 3 —
Example Network Environment Mạng Ngoại bộ
PKI
WLAN
Extranet
Gateways
ISO/IEC 27033-1:2015 - Network Security
Remote Site
Internal Gateways
Mạng Nội bộ
Remote
Demilitarized User
Internet
Gateways Zone
Wireless
Local
Remote Remote Area
User User Internet Network
Page 49
18 Peer-to-Peer (P2P) security (AN Ngang hàng)
18.2 Need for Security (Nhu cầu về AN)
Mạng Mạng Mạng
Internet Sản xuất “được Bảo vệ”
Các Hệ thống
Tường lửa Người dùng
Các Hệ thống
Các Ứng dụng P2P Nhiệm vụ
Gửi Nội dung Độc hại Trọng yếu
(bao gồm
các Ứng dụng P2P)
Page 50
Mô hình Phân vùng – Kiến trúc Ví dụ
(Zonning Model) (Sample Architecture)
Ng dùng
Ng dùng Ng dùng Đối tác
DV Công xa NV
Internet
cộng
Bên ngoài
Vành đai
Vùng Kiểm
Vùng Quản lý Vùng toán
Đệm
Vùng
Tin cậy
Vùng
Hạn chế
End
End System
System Data & Code in transit & User
& User Network Network
Element Element
ISO/IEC 27033-1:2015
Administrators Administrators
KS: Việc Truy cập đến Phải Quản lý sự Phơi bày (exposure)
các Trang Web bên ngoài
được để Nội dung Độc hại
(external Websites) Làm giảm (Malicious content)
Page 53
8.25 Vòng đời Phát triển AT (Secure Development Life cycle)
Page 54
8.28 Lập trình AT (Secure Coding) (New 2022)
KS: Các Quá trình Phải Định nghĩa, trong Vòng đời Phát triển
Thử nghiệm AT được Triển khai (development life cycle)
KS: Phải *Định hướng, các Hoạt động liên quan đến
TC *Theo dõi, *Soát xét Phát triển HT được Thuê ngoài
8.31 Phân cách các Môi trường Phát triển, Thử nghiệm, Sản xuất
(Separation of Development, Test, Production Environments)
KS: Các Môi trường *Phát triển, Phải *Phân cách (separated),
*Thử nghiệm, *Sản xuất được *Đảm bảo AT (secured)
Page 55
8.34 Bảo vệ các HT TT trong khi Thử nghiệm Đánh giá
(Protection of Information systems during Audit Testing)
KS: Các Thay đổi đến các Phải Đối tượng của các Quá trình
*Cơ sở Xử lý TT và *Hệ thống TT là Quản lý Thay đổi
Page 56
Information Security Controls (ISO/IEC 27001:2005)
Hướng dẫn — Các Giai đoạn Quản lý Sự cố AN TT
ISO/IEC 27035:2016
LẬP KẾ HOẠCH VÀ CHUẨN BỊ (PLAN AND PREPARE)
Figure 3 - Information security incident managem!ent phases
Chính sách Quản lý Sự cố AN TT, và Cam kết của lãnh đạo cao nhất
Các Chính sách AN TT, gồm cả liên quan đến Quản lý Rủi ro, được cập
nhật cả ở mức TC và các mức Hệ thống, Dịch vụ, Mạng
Kế hoạch Quản lý Sự cố AN TT
Thiết lập IRT (Đội Phản ứng Sự cố)
Các Quan hệ và Kết nối với các TC Nội bộ và Bên ngoài
Hỗ trợ Kỹ thuật và Hỗ trợ khác (gồm cả Hỗ trợ Tổ chức và Vận hành)
Phổ biến và Đào tạo Nhận thức Quản lý Sự cố AN TT
Kiểm tra/Thử nghiệm Kế hoạch Quản lý Sự cố AN TT
3. Thu thập
Note:
Thông tin Thu thập
Đánh giá
ISO/IEC 27035:2016
Page 62
B.1.3 Phần mềm Độc hại (Malicious software/Malware)
- Malware là 1 Chương trình/1 phần của Chương trình mà được
Chèn vào (inserted into) Chương trình khác, với ý định Sửa đổi Hành
vi gốc của nó (to modify its original behaviour), để thực hiện các Hoạt
động Độc hại như Trộm TT & Định danh (information & identify theft),
Phá hủy TT & Tài nguyên (information & resource destruction), Từ chối
Dịch vụ (Denial of Service), Thư rác (spam), v.v...
- 5 loại Tấn công Malware (Malware attacks): Vi rút; Sâu (worms); Ngựa
Trojan (Trojan horses); Mã Di động (mobile code); Hỗn hợp (blended).
- Ví dụ: a) Tải xuống, Cài đặt các Công cụ Đột nhập (hacking tools);
b) Dùng e-mail của TC làm Thư rác/Việc Cá nhân;
c) Dùng Tài nguyên của TC để Thiết lập Trang Web trái phép;
d) Hoạt động Ngang hàng để Kiếm/Phân phối Tập tin cướp được.
Page 63
B.2 Tập hợp Thông tin (Information Gathering)
Sự cố Tập hợp TT -> gồm các Hoạt động Nhận biết các Mục tiêu
tiềm ẩn (identifying potential targets) và Hiểu các Dịch vụ chạy trên đó.
- Ví dụ: Thăm dò để Nhận biết: a) Mục tiêu và Hiểu Hình thể Mạng
(network topology) bao quanh, xem Mục tiêu Truyền tin với Ai; b) các
Lỗ hổng trong Mục tiêu hoặc Môi trường Mạng trung gian của nó.
- Tập hợp TT bằng Ph.tiện kỹ thuật (trở thành Truy cập Trái phép):
a) Dumping Domain Name System (DNS) records; b) Pinging network addresses;
c) Probing the system; d) Scanning the available network ports on a system;….
- Tập hợp TT do các Phi-Kỹ thuật => gây ra:
ISO/IEC 27035:2016
a) Tiết lộ/Sửa đổi TT; b) Trộm cắp Sở hữu Trí tuệ (intellectual property);
c) Vi phạm Trách nhiệm giải trình (Breaches of Accountability), (VD: trong
việc Ghi nhật ký Tài khoản (in account logging);
d) Sử dụng sai Hệ thống TT (VD: Trái với Luật/Chính sách của TC.
Page 64