Organizational Security Model - Mô Hình An Ninh Tổ Chức
Organizational Security Model là mô hình nền tảng an ninh được kiến tạo từ nhiều đối tượng, cơ chế bảo vệ, logical, administrative và các thành phần physical, procedure, business processes, cùng với các cấu hình, mà trong cơ cấu này tất cả cùng liên kết với nhau để cung cấp một mức độ an ninh tổng thể cho tổ chức.
Mỗi tầng lớp trong mô hình đều khác biệt với nhau, nhưng tất cả các tầng lớp đều thực hiện theo quy tắc: hỗ trợ các tầng lớp phía trên và bảo vệ cho các tầng lớp phía dưới. Bởi vì Security Model là một nền tảng (framework), cho nên tổ chức có thể linh hoạt tích hợp nhiều loại công nghệ, phương pháp và các thủ tục vào mô hình để đạt được mức độ bảo vệ cần thiết cho môi trường an ninh của họ.
 |
| Hình 3-4 minh họa các thành phần có thể tạo nên một Security Model. Một mô hình bảo mật toàn diện và hiệu quả có nhiều thành phần được tích hợp |
Hiệu quả trong vấn đề an ninh đòi hỏi một phương pháp tiếp cận được cân bằng giữa tất cả các thành phần an ninh và các thủ tục.
Một số thành phần an ninh là technical (access control lists, encryption) và một số thành phần non-technical (physical và administrative, việc phát triển chính sách an ninh và thực thi compliance), nhưng chúng đều được đặt một vị trí quan trọng trong nền tảng an ninh, và nếu như thiếu hoặc chưa hoàn thành các thành phần đó, nền tảng ninh an có thể bị ảnh hưởng.
Mô hình an ninh có các tầng lớp khác nhau, ngoài ra chúng còn có các mục tiêu khác nhau và thời gian hoàn thành mục tiêu cũng khác nhau.
Chúng ta có những mục tiêu dành cho chính bản thân mình trong ngày hôm nay như vệ sinh răng miệng thật sạch sẽ, chạy bộ ba cây số, hoàn thành dự án vào ngày hôm nay, dành thời gian chơi với con của chúng ta. Đây gọi là Operational goals (mục tiêu hoạt động) hoặc goals short-term goals (mục tiêu ngắn hạn, tốn vài giờ hàng ngày)
Ngoài ra chúng ta có thể còn có Tactical goals mất kha khá thời gian và nỗ lực hay còn gọi là mid-term goals (mục tiêu trung hạn, tốn vài ngày hoặc vài tuần) như : hoàn thành bằng thạc sĩ, viết một cuốn sách và được thăng tiến.
Và cuối cùng còn một loại nữa là Strategic goals, hay còn gọi là long-term goalds (mục tiêu dài hạn) : bạn có thể nghỉ hưu lúc 55 tuổi, tiết kiệm đủ tiền để có cuộc sống thoải mái, sống trên một chiếc houseboat.
Vài ví dụ về Short, Mid và Long term goals trong đời thường :
List 1: "Short term goals".
* Ăn một cây kem
* Chơi bóng đá
* Đọc cuốn sách
* Vẽ tranh
* Làm bài tập
* Xem TV
List 2: "Mid term goals" (a few days or a few weeks).
* Đọc 1 cuốn sách trong tuần này.
* Sơn lại chiếc xe đạp cho ngày hội đua xe .
* Làm dự án tiêu tốn vài ngày.
List 3: "Long term goals" (Months or years)
* Đọc 15 cuốn sách trong mùa hè năm nay
* Học cách bơi lội
* Học lái máy bay
* Lái xe từ SG ra HN
* Trở thành CISSP
Tương tự với cuộc sống đời thường, điều đó cũng xuất hiện trong việc lên kế hoạch an ninh. Operational goals (hay daily goals), mục tiêu hàng ngày là tập trung vào hiệu suất và định hướng công việc, vận hành trơn tru toàn bộ tổ chức.
Tactical goal (hay mid-term goals) : có thể là mục tiêu tích hợp toàn bộ máy Workstations và tài nguyên vào chung một Domain, để đạt được mục đích quản trị tập trung .
Còn Strategic goal (hay long-term goals) : có thể là mục tiêu chuyển đổi hạ tầng tất cả các chi nhánh từ IPv4 sang IPv6, triển khai thực hiện kết nối IPSec VPN cho tất cả Remote-users, hoặc tích hợp công nghệ không dây với các biện pháp an ninh vào môi trường của toàn tổ chức.
Security planning có thể được chia thành ba phạm vi khác nhau : Strategic, Tactical và Operational.
Strategic planning là kế hoạch nằm trong phạm vi liên quan đến mục tiêu công nghệ thông tin và kinh doanh. Mục tiêu của Strategic planning là một con đường dài, có thể được mở rộng ra đến tận năm, mười năm trong tương lai. Strategic planning có thể bao gồm các mục tiêu sau đây :
- Đảm bảo hiểu rõ và xử lý được các rủi ro trong tổ chức
- Đảm bảo toàn bộ tổ chức phải tuân thủ luật lệ và quy định
- Tích hợp trách nhiệm liên quan đến bảo mật xuyên suốt từ đầu đến cuối khắp tổ chức
- Kiến tạo một mô hình tăng trưởng nhằm mục tiêu liên tục cải tiến tổ chức
- Sử dụng việc đảm bảo an ninh như là một thành tích trong kinh doanh để thu hút khách hàng (Các ngân hàng ở VN đã và đang thực hiện những điều này, như ACB ra mắt vụ xác thực vân tay bảo vệ khách hàng)
Tactical planning đề cập đến những sáng kiến và hỗ trợ cho các mục tiêu rộng lớn đã được lập ra bởi Strategic planning. Nhìn chung, Tactical plan thường kế hoạch có chu kỳ ngắn hơn so với Strategic plan.
Và cuối cùng là Operational planning, đề cập đến những kế hoạch cụ thể, có deadlines và mục tiêu rõ ràng. Điều này liên quan đến ngày tháng mà mục tiêu sẽ được hoàn thành, cũng như đưa ra những hướng dẫn cụ thể để hoàn thành công việc. Những mục tiêu này thường có chu kỳ ngắn hạn (short-term) hoặc mang tính chất tạm thời để giảm thiểu rủi ro cho đến khi Tactical plan hoặc Strategic plan được tạo ra và triển khai thực hiện.
Một số ví dụ về Operational planning, để giúp cho chúng ta hiểu rõ hơn về nó :
Và cuối cùng là Operational planning, đề cập đến những kế hoạch cụ thể, có deadlines và mục tiêu rõ ràng. Điều này liên quan đến ngày tháng mà mục tiêu sẽ được hoàn thành, cũng như đưa ra những hướng dẫn cụ thể để hoàn thành công việc. Những mục tiêu này thường có chu kỳ ngắn hạn (short-term) hoặc mang tính chất tạm thời để giảm thiểu rủi ro cho đến khi Tactical plan hoặc Strategic plan được tạo ra và triển khai thực hiện.
Một số ví dụ về Operational planning, để giúp cho chúng ta hiểu rõ hơn về nó :
- Thực hiện một cuộc đánh giá rủi ro
- Không cho phép thay đổi an ninh làm giảm hiệu suất công việc
- Duy trì và triển khai kiểm soát
- Liên tục quét các lỗ hổng và đưa ra bản vá lỗi
- Theo dõi sự tuân thủ chính sách
Phương pháp tiếp cận để lên kế hoạch gọi là Planning Horizon (Chu kỳ kế hoạch), là lượng thời gian mà tổ chức cần xem xét khi chuẩn bị một kế hoạch. Nhiều tổ chức thương mại dành ra 5 năm cho planning horizon, nhưng có những tổ chức khác như Ủy Ban Lâm Nghiệp UK đã dành nhiều thời gian hơn hẳn cho planning horizon để hình thành ra được các kế hoạch có hiệu quả thực sự.
Một tổ chức thường không thể triển khai thực hiện được tất cả thay đổi cùng một lúc. Đôi lúc, có những thay đổi không thể triển khai cho đến khi hoàn thành những thay đổi khác. Vì câu này hơi khó hiểu nên chúng ta có thể đọc tiếp phần dưới để dễ hình dung hơn.
Nếu một tổ chức muốn triển khai xây dựng Certificate Authority (CA) và cơ sở hạ tầng khóa công khai (PKI) cho chính họ, điều này không thể hoàn thành trong vòng 2 tuần nếu tổ chức hiện đang làm việc theo mô hình phân tán (decentralized workgroup) và không có cấu trúc Domain.
Vì lý do đó, họ đặt ra Operational goals là giữ cho toàn bộ năng suất hoạt động trơn tru và thực hiện từng bước nhỏ để chuyển đổi môi trường trở thành cấu trúc Domain. Tiếp theo, họ đặt ra Tactical goal là đưa toàn bộ các Workstations và tài nguyên vào cấu trúc Domain, để tập trung kiểm soát truy cập và xác thực. Strategic goal của họ là tất cả cácWorkstations, Servers và Devices sẽ sử dụng PKI để cung cấp việc xác thực, mã hóa và giúp cho các kênh liên lạc được an toàn hơn.
An toàn thông tin sẽ hoạt động tốt nếu các mục tiêu Operational, Tactical và Strategic được định nghĩa rõ ràng và cùng hỗ trợ lẫn nhau, trên thực tế sẽ khó khăn nhiều hơn so với những gì chúng ta đọc lý thuyết về chúng.
Security Program Components - Các Thành Phần Trong Chương Trình An Ninh
Tôi có chính sách bảo mật, vì vậy chúng tôi phải có một chương trình bảo mật.
Chuyên gia trả lời : Bạn chỉ mới bắt đầu thôi, bạn của tôi.
Ngày nay, các tổ chức, các doanh nghiệp, cơ quan chính phủ và kể cả các cá nhân đều có nhiều vấn đề liên quan đến an toàn thông tin hơn bao giờ hết. Với những quy chế về an toàn thông tin được ban hành bởi chính phủ, sự gia tăng về số lượng chiến tranh công nghệ cao và chi phí dành cho việc chiến đấu chống lại tin tặc và các phần mềm độc hại, sự phụ thuộc ngày càng nhiều vào công nghệ thông tin, mối quan tâm về an toàn thông tin đang được bành trướng mở rộng từ bộ phận IT cho đến các bộ phận quản lý cấp cao, các cuộc họp khẩn về an toàn thông tin.
Hầu hết các chuyên gia bảo mật đều hoan nghênh sự thay đổi này, bởi vì những người có khả năng ra quyết định, cuối cùng cũng đã tham gia và quan tâm đến vấn đề an toàn thông tin, giúp cho chương trình bảo mật có thể thực hiện trên toàn tổ chức (enterprise-wide). Những chuyên gia bảo mật có kinh nghiệm vẫn luôn ngầm hiểu rằng, công nghệ chỉ là một phần nhỏ trong an ninh tổng thể. Những quản lý cấp cao trong tổ chức đang bắt đầu có trách nhiệm hơn về vấn đề an ninh, nhưng dù sao chúng ta cũng không nên vui mừng quá về sự thay đổi này.
Những kịch bản phổ biến trong các tổ chức thường như sau :
Kịch bản 1:
CEO và các thành viên hội đồng quản trị cuối cùng cũng đã phải chú trọng, quan tâm sâu sắc về vấn đề an ninh thông tin, bởi vì do chính phủ ban hành các quy chế mới, bởi vì các chi phí tổn thất từ các cuộc tấn công của Malwares đã đạt đến một ngưỡng giới hạn, hoặc vì một vụ án dân sự liên quan đến vấn đề vi phạm an ninh thông tin, làm mất uy tín của tổ chức.
Lúc này, tổ chức thường sẽ thuê một chuyên gia tư vấn, người sẽ nói với CEO và hội đồng quản trị rằng họ cần một chính sách an ninh cho tổ chức cùng với một cuộc đánh giá bảo mật mạng lưới (network assessment). Tổ chức thường sẽ chấp nhận và trả tiền cho hai dịch vụ này, sau đó họ tin rằng lúc này họ đã được an toàn 100% ! Tuy nhiên, đây là một nhận định hết sức sai lầm về vấn đề an toàn của tổ chức, bởi vì họ vẫn chưa có một chương trình an ninh tổng thể.
Kịch bản 2:
Sau khi thực hiện xong kịch bản 1, thường tổ chức sẽ bắt đầu thuê một chuyên gia bảo mật, thường phụ trách vị trí giám đốc an ninh thông tin (CISO hoặc CSO). Người quản lý cấp cao (Senior Management) thuê ông chuyên gia này để ông ấy có thể đại diện cho người quản lý, chịu tất cả các trách nhiệm về vấn đề an ninh của tổ chức.
Nhưng người quản lý không trao bất kỳ quyền hạn thực tế hoặc ngân sách nào cho ông CSO cả. Trong trường hợp sự cố an ninh xảy ra, ông CSO sẽ trở thành những con chiên ngoan đạo bị đem đi hiến tế - vì có một ai đó luôn luôn cần có người khác đổ vỏ cho họ.
Lúc bấy giờ, với tư cách là một chuyên gia bảo mật, chúng ta có 3 lựa chọn để đối phó với các kịch bản phổ biến như trên :
Một tổ chức thường không thể triển khai thực hiện được tất cả thay đổi cùng một lúc. Đôi lúc, có những thay đổi không thể triển khai cho đến khi hoàn thành những thay đổi khác. Vì câu này hơi khó hiểu nên chúng ta có thể đọc tiếp phần dưới để dễ hình dung hơn.
Nếu một tổ chức muốn triển khai xây dựng Certificate Authority (CA) và cơ sở hạ tầng khóa công khai (PKI) cho chính họ, điều này không thể hoàn thành trong vòng 2 tuần nếu tổ chức hiện đang làm việc theo mô hình phân tán (decentralized workgroup) và không có cấu trúc Domain.
Vì lý do đó, họ đặt ra Operational goals là giữ cho toàn bộ năng suất hoạt động trơn tru và thực hiện từng bước nhỏ để chuyển đổi môi trường trở thành cấu trúc Domain. Tiếp theo, họ đặt ra Tactical goal là đưa toàn bộ các Workstations và tài nguyên vào cấu trúc Domain, để tập trung kiểm soát truy cập và xác thực. Strategic goal của họ là tất cả cácWorkstations, Servers và Devices sẽ sử dụng PKI để cung cấp việc xác thực, mã hóa và giúp cho các kênh liên lạc được an toàn hơn.
An toàn thông tin sẽ hoạt động tốt nếu các mục tiêu Operational, Tactical và Strategic được định nghĩa rõ ràng và cùng hỗ trợ lẫn nhau, trên thực tế sẽ khó khăn nhiều hơn so với những gì chúng ta đọc lý thuyết về chúng.
Security Program Components - Các Thành Phần Trong Chương Trình An Ninh
Tôi có chính sách bảo mật, vì vậy chúng tôi phải có một chương trình bảo mật.
Chuyên gia trả lời : Bạn chỉ mới bắt đầu thôi, bạn của tôi.
Ngày nay, các tổ chức, các doanh nghiệp, cơ quan chính phủ và kể cả các cá nhân đều có nhiều vấn đề liên quan đến an toàn thông tin hơn bao giờ hết. Với những quy chế về an toàn thông tin được ban hành bởi chính phủ, sự gia tăng về số lượng chiến tranh công nghệ cao và chi phí dành cho việc chiến đấu chống lại tin tặc và các phần mềm độc hại, sự phụ thuộc ngày càng nhiều vào công nghệ thông tin, mối quan tâm về an toàn thông tin đang được bành trướng mở rộng từ bộ phận IT cho đến các bộ phận quản lý cấp cao, các cuộc họp khẩn về an toàn thông tin.
Hầu hết các chuyên gia bảo mật đều hoan nghênh sự thay đổi này, bởi vì những người có khả năng ra quyết định, cuối cùng cũng đã tham gia và quan tâm đến vấn đề an toàn thông tin, giúp cho chương trình bảo mật có thể thực hiện trên toàn tổ chức (enterprise-wide). Những chuyên gia bảo mật có kinh nghiệm vẫn luôn ngầm hiểu rằng, công nghệ chỉ là một phần nhỏ trong an ninh tổng thể. Những quản lý cấp cao trong tổ chức đang bắt đầu có trách nhiệm hơn về vấn đề an ninh, nhưng dù sao chúng ta cũng không nên vui mừng quá về sự thay đổi này.
Những kịch bản phổ biến trong các tổ chức thường như sau :
Kịch bản 1:
CEO và các thành viên hội đồng quản trị cuối cùng cũng đã phải chú trọng, quan tâm sâu sắc về vấn đề an ninh thông tin, bởi vì do chính phủ ban hành các quy chế mới, bởi vì các chi phí tổn thất từ các cuộc tấn công của Malwares đã đạt đến một ngưỡng giới hạn, hoặc vì một vụ án dân sự liên quan đến vấn đề vi phạm an ninh thông tin, làm mất uy tín của tổ chức.
Lúc này, tổ chức thường sẽ thuê một chuyên gia tư vấn, người sẽ nói với CEO và hội đồng quản trị rằng họ cần một chính sách an ninh cho tổ chức cùng với một cuộc đánh giá bảo mật mạng lưới (network assessment). Tổ chức thường sẽ chấp nhận và trả tiền cho hai dịch vụ này, sau đó họ tin rằng lúc này họ đã được an toàn 100% ! Tuy nhiên, đây là một nhận định hết sức sai lầm về vấn đề an toàn của tổ chức, bởi vì họ vẫn chưa có một chương trình an ninh tổng thể.
Kịch bản 2:
Sau khi thực hiện xong kịch bản 1, thường tổ chức sẽ bắt đầu thuê một chuyên gia bảo mật, thường phụ trách vị trí giám đốc an ninh thông tin (CISO hoặc CSO). Người quản lý cấp cao (Senior Management) thuê ông chuyên gia này để ông ấy có thể đại diện cho người quản lý, chịu tất cả các trách nhiệm về vấn đề an ninh của tổ chức.
Nhưng người quản lý không trao bất kỳ quyền hạn thực tế hoặc ngân sách nào cho ông CSO cả. Trong trường hợp sự cố an ninh xảy ra, ông CSO sẽ trở thành những con chiên ngoan đạo bị đem đi hiến tế - vì có một ai đó luôn luôn cần có người khác đổ vỏ cho họ.
Lúc bấy giờ, với tư cách là một chuyên gia bảo mật, chúng ta có 3 lựa chọn để đối phó với các kịch bản phổ biến như trên :
- Cắm đầu vào bãi cát và mong rằng tất cả mọi chuyện sẽ trôi qua nhanh chóng
- Tiếp tục thất vọng, ngửa mặt lên trời, than thận trách phận với các vị tiên gia ở trên ấy sao không thấu hiểu lòng con
- Phải hiểu rằng, chúng ta như một xã hội loài người thu nhỏ, đang trong những bước đầu tiên chập chững tiến hóa trong vấn đề an toàn thông tin, do đó cần phải tập trung tìm hiểu học hỏi và tiến hành thực hiện những kinh nghiệm thực tiễn mà chúng ta học được
The CISO - Giám Đốc An Ninh Thông Tin
CISO phải có một sự hiểu biết sâu sắc về quy trình kinh doanh và mục tiêu của tổ chức, sau đó với những thông tin mà CISO nắm bắt được, họ phải giao tiếp trao đổi với những người quản lý cấp cao về những rủi ro đang đe dọa tổ chức, những quy chế và yêu cầu của chính phủ mà CISO sẽ phải tuân thủ và thực hiện.
Những thông tin cần thiết cần phải được báo cáo cho người quản lý thông qua các cuộc họp và các tài liệu chi tiết. CISO cũng cần phải phát triển và cung cấp các chương trình đào tạo về nhận thức an toàn thông tin, cũng như phải tự tìm hiểu mục tiêu sứ mệnh mà tổ chức đã đề ra. CISO cũng cần phải lên một ngân sách cho những hoạt động liên quan đến vấn đền an toàn thông tin.
Ngoài ra các công việc khác mà CISO cũng phải đảm nhận như : phát triển các policies, procedures, baselines, standards và guidelines. Bằng cách phát triển và xuất bản các tài liệu này, CISO có thể duy trì nhận thức cho các quản lý cấp cao, nhân viên về các mối đe dọa và các lỗ hổng trong tổ chức. Song hành với những việc trên, CISO cũng luôn cần cập nhật các công nghệ cũng như công cụ mới mà họ có thể triển khai cho tổ chức. Đánh giá phản hồi sự cố an ninh cũng sẽ do CISO đảm nhiệm, ngoài ra còn có nhiệm vụ phát triển một chương trình tuân thủ an ninh và thiết lập các số liệu về bảo mật (security metrics).
Các kiểm toán viên có thể được sử dụng trong quá trình đánh giá, có thể dùng chính kiểm toán viên nội bộ lẫn bên ngoài. Bằng cách hoàn thành tất cả các trách nhiệm và công việc được giao, CISO sẽ có tiếng nói hơn trong việc đảm bảo an ninh cho tổ chức. CISO cũng cần phải báo cáo thông tin an ninh cho bộ phận IT, cũng như báo cáo cho các bộ phận khác trong tổ chức như bộ phận hành chính, bộ phận quản lý rủi ro & bảo hiểm, bộ phận pháp lý, các đơn vị kinh doanh và bộ phận kiểm toán nội bộ. Việc liên lạc hiệu quả và mang tính hợp tác giữa CISO với các bộ phận khác trong tổ chức sẽ giúp cho CISO đi được một chặng đường dài hướng tới việc triển khai xây dựng một chương trình bảo mật và giảm thiểu rủi ro cho tổ chức.
Security Framework – Nền Tảng An Ninh
Control Objectives for Information and related Technology (CobiT) là một mô hình quản lý CNTT, tập hợp các kinh nghiệm thực tiễn được phát triển bởi Information Systems Audit and Control Association (ISACA) và IT Governace Institute (ITGI).
Nhiệm vụ chính của COBIT là xác định mục tiêu cho các cơ chế kiểm soát cần sử dụng để quản lý CNTT đúng cách và đảm bảo liên kết giữa mục tiêu CNTT và mục tiêu kinh doanh.
COBIT chia thành bốn lĩnh vực chính : Kế hoạch và Tổ chức, Thu thập và Triển khai, Cung cấp và Hỗ trợ, Giám sát và Đánh giá. Mỗi lĩnh vực còn có những phân loại nhỏ bên dưới. Ví dụ, lĩnh vực Thu thập và triển khai chứa các phân loại nhỏ sau :
Acquire and Maintain Application Software: Thu thập và bảo trì Phần Mềm Ứng Dụng
Acquire and Maintain Technology Infrastructure: Thu thập và bảo trì Cơ Sở Hạ Tầng CNTT
Develop and Maintain Procedures: Phát triển và duy trì các thủ tục
Install and Accredit Systems: Triển khai cài đặt và công nhận các hệ thống
Manage Changes: Quản lý các thay đổi
Lĩnh vực này của COBIT cung cấp các hướng dẫn và mục đích cho tổ chức khi mua, cài đặt, kiểm tra, xác nhận và công nhận các sản phẩm CNTT. Điều này thật sự vô cùng cần thiết bởi vì hầu hết các tổ chức sử dụng một cách tiếp cận đặc biệt, không chính thức khi mua hàng và làm thủ tục.
COBIT đưa ra các tóm lược điều hành, các hướng dẫn quản lý, các cơ cấu, các mục đích kiểm soát, bộ công cụ triển khai và hướng dẫn kiểm toán. Một phần lớn việc tuân thủ chính sách và kiểm toán được xây dựng dựa trên nền tảng COBIT. Vì vậy nếu chúng ta muốn làm cho người kiểm toán của chúng ta hạnh phúc, không có gì hơn việc chúng ta nên học, thực hành và thực hiện các mục tiêu kiểm soát cho thật tốt !
Những người mới tìm hiểu về COBIT thật sự bị khủng bố tinh thần vì nó, bởi vì nó quá lớn và trên thực tế không thể nào thực hiện đầy đủ tất cả những mục tiêu kiểm soát trong đó trong một khoảng thời gian dài 24 tháng.
Dưới mỗi lĩnh vực cung cấp, COBIT cung cấp những thứ như : control objectives, control practices, các chỉ số mục tiêu (goal indicators), các chỉ số hiệu suất (goal performance), các yếu tố thành công, các mô hình tối ưu (maturity models). Nó đưa ra một lộ trình hoàn chỉnh có thể theo đó để thực hiện từng mục tiêu kiểm soát trong 34 mục tiêu nằm trong COBIT.
CISO phải có một sự hiểu biết sâu sắc về quy trình kinh doanh và mục tiêu của tổ chức, sau đó với những thông tin mà CISO nắm bắt được, họ phải giao tiếp trao đổi với những người quản lý cấp cao về những rủi ro đang đe dọa tổ chức, những quy chế và yêu cầu của chính phủ mà CISO sẽ phải tuân thủ và thực hiện.
Những thông tin cần thiết cần phải được báo cáo cho người quản lý thông qua các cuộc họp và các tài liệu chi tiết. CISO cũng cần phải phát triển và cung cấp các chương trình đào tạo về nhận thức an toàn thông tin, cũng như phải tự tìm hiểu mục tiêu sứ mệnh mà tổ chức đã đề ra. CISO cũng cần phải lên một ngân sách cho những hoạt động liên quan đến vấn đền an toàn thông tin.
Ngoài ra các công việc khác mà CISO cũng phải đảm nhận như : phát triển các policies, procedures, baselines, standards và guidelines. Bằng cách phát triển và xuất bản các tài liệu này, CISO có thể duy trì nhận thức cho các quản lý cấp cao, nhân viên về các mối đe dọa và các lỗ hổng trong tổ chức. Song hành với những việc trên, CISO cũng luôn cần cập nhật các công nghệ cũng như công cụ mới mà họ có thể triển khai cho tổ chức. Đánh giá phản hồi sự cố an ninh cũng sẽ do CISO đảm nhiệm, ngoài ra còn có nhiệm vụ phát triển một chương trình tuân thủ an ninh và thiết lập các số liệu về bảo mật (security metrics).
Các kiểm toán viên có thể được sử dụng trong quá trình đánh giá, có thể dùng chính kiểm toán viên nội bộ lẫn bên ngoài. Bằng cách hoàn thành tất cả các trách nhiệm và công việc được giao, CISO sẽ có tiếng nói hơn trong việc đảm bảo an ninh cho tổ chức. CISO cũng cần phải báo cáo thông tin an ninh cho bộ phận IT, cũng như báo cáo cho các bộ phận khác trong tổ chức như bộ phận hành chính, bộ phận quản lý rủi ro & bảo hiểm, bộ phận pháp lý, các đơn vị kinh doanh và bộ phận kiểm toán nội bộ. Việc liên lạc hiệu quả và mang tính hợp tác giữa CISO với các bộ phận khác trong tổ chức sẽ giúp cho CISO đi được một chặng đường dài hướng tới việc triển khai xây dựng một chương trình bảo mật và giảm thiểu rủi ro cho tổ chức.
Security Framework – Nền Tảng An Ninh
Control Objectives for Information and related Technology (CobiT) là một mô hình quản lý CNTT, tập hợp các kinh nghiệm thực tiễn được phát triển bởi Information Systems Audit and Control Association (ISACA) và IT Governace Institute (ITGI).
Nhiệm vụ chính của COBIT là xác định mục tiêu cho các cơ chế kiểm soát cần sử dụng để quản lý CNTT đúng cách và đảm bảo liên kết giữa mục tiêu CNTT và mục tiêu kinh doanh.
COBIT chia thành bốn lĩnh vực chính : Kế hoạch và Tổ chức, Thu thập và Triển khai, Cung cấp và Hỗ trợ, Giám sát và Đánh giá. Mỗi lĩnh vực còn có những phân loại nhỏ bên dưới. Ví dụ, lĩnh vực Thu thập và triển khai chứa các phân loại nhỏ sau :
Acquire and Maintain Application Software: Thu thập và bảo trì Phần Mềm Ứng Dụng
Acquire and Maintain Technology Infrastructure: Thu thập và bảo trì Cơ Sở Hạ Tầng CNTT
Develop and Maintain Procedures: Phát triển và duy trì các thủ tục
Install and Accredit Systems: Triển khai cài đặt và công nhận các hệ thống
Manage Changes: Quản lý các thay đổi
Lĩnh vực này của COBIT cung cấp các hướng dẫn và mục đích cho tổ chức khi mua, cài đặt, kiểm tra, xác nhận và công nhận các sản phẩm CNTT. Điều này thật sự vô cùng cần thiết bởi vì hầu hết các tổ chức sử dụng một cách tiếp cận đặc biệt, không chính thức khi mua hàng và làm thủ tục.
COBIT đưa ra các tóm lược điều hành, các hướng dẫn quản lý, các cơ cấu, các mục đích kiểm soát, bộ công cụ triển khai và hướng dẫn kiểm toán. Một phần lớn việc tuân thủ chính sách và kiểm toán được xây dựng dựa trên nền tảng COBIT. Vì vậy nếu chúng ta muốn làm cho người kiểm toán của chúng ta hạnh phúc, không có gì hơn việc chúng ta nên học, thực hành và thực hiện các mục tiêu kiểm soát cho thật tốt !
Những người mới tìm hiểu về COBIT thật sự bị khủng bố tinh thần vì nó, bởi vì nó quá lớn và trên thực tế không thể nào thực hiện đầy đủ tất cả những mục tiêu kiểm soát trong đó trong một khoảng thời gian dài 24 tháng.
Dưới mỗi lĩnh vực cung cấp, COBIT cung cấp những thứ như : control objectives, control practices, các chỉ số mục tiêu (goal indicators), các chỉ số hiệu suất (goal performance), các yếu tố thành công, các mô hình tối ưu (maturity models). Nó đưa ra một lộ trình hoàn chỉnh có thể theo đó để thực hiện từng mục tiêu kiểm soát trong 34 mục tiêu nằm trong COBIT.
 |
| Hình 3-5 minh họa về cách mà COBIT Framework kết nối với yêu cầu kinh doanh, nguồn lực CNTT và quy trình CNTT. Nhiều kiểm toán viên hệ thống thông tin (IS) sử dụng nền tảng COBIT làm tiêu chí để xác định tính hiệu quả của việc kiểm soát đã được triển khai trong tổ chức |
COBIT bắt nguồn từ COSO Framework, được phát triển bởi (COSO) thuộc ủy ban Treadway năm 1985, nhằm mục đích đối phó với các hoạt động gian lận tài chính. COSO Framework được tạo thành từ các thành phần sau :
Control environment - Kiểm soát môi trường làm việc
- Triết lý quản lý và phong cách điều hành
- Văn hóa công ty liên quan đến việc gian lận vào đạo đức
Risk assessment - Đánh giá rủi ro
- Xây dựng mục tiêu các rủi ro
- Quản lý việc thay đổi của nội bộ lẫn bên ngoài
Control activities - Kiểm soát hoạt động
- Policies, procedures được triển khai để giảm thiểu rủi ro
Information and Communication
- Cơ cấu tổ chức phải đảm bảo rằng nhân viên phải nhận được ngay thông tin khi cần thiết
Monitoring
- Phát hiện và phản ứng với các kiểm soát sai sót
COSO là một mô hình quản trị tổ chức và COBIT là một mô hình quản trị CNTT. COSO liên quan nhiều ở cấp độ Strategic, trong khi COBIT tập trung nhiều vào cấp độ Operational. Chúng ta có thể nghĩ rằng COBIT như một cách để đáp ứng nhiều mục tiêu của COSO, nhưng chỉ ở góc độ CNTT. Mặc dù COSO cũng có các chỉ mục không liên quan đến CNTT, như là văn hóa công ty, nguyên tắc kế toán tài chính, trách nhiệm chủ tịch hội đồng quản trị, và các cấu trúc truyền thông nội bộ.
COSO được tạo ra để cung cấp hỗ trợ cho Ủy Ban Quốc Gia về Gian Lận Báo Cáo Tài Chính (National Commission on Fraudulent Financial Reporting), một tổ chức nghiên cứu các báo cáo gian lận tài chính và những thành phần liên quan đến chúng.
Phát triển và ra mắt một chương trình bảo mật đối với các tổ chức điều đó không khó, nhưng nó thật sự mới mẻ đối với họ, và những điều mới thì thường đáng sợ và khó hiểu. Đây là lý do tại sao họ cần các tiêu chuẩn và những kinh nghiệm thực tiễn tốt nhất, cung cấp hướng dẫn và công thức cho cách thiếp lập và thực hiện một chương trình bảo mật tổng thể.
The British Standard (Các tiêu chuẩn Anh Quốc) chia ra làm hai phần:
BS7799 Part 1, vạch ra mục tiêu kiểm soát và hàng loạt các kiểm soát có thể được sử dụng để đáp ứng những mục tiêu đó.
BS7799 Part 2, chỉ ra cách làm thế nào để thiết lập một chương trình bảo mật và duy trì nó. BS7799 Part 2 cũng là cơ sở chứng nhận tổ chức được bảo đảm an ninh ở một mức độ nhất định, có thể chống lại các cuộc tấn công của tin tặc.
Một tổ chức sẽ cố gắng đạt được chứng nhận ISO 17799 nhằm mục đích tăng sự tin cậy của khách hàng và đối tác, có thể xem như là một công cụ marketing khi đạt được ISO 17799. Để được chứng nhận, cần có một bên thứ 3 được ủy quyền để đánh giá tổ chức trước những yêu cầu trong ISO 17799 Part 2.
Đã có rất nhiều tranh cãi về những lợi ích và hạn chế của ISO 17799, chúng ta đã dùng nó để mô tả về các quy trình bảo mật và các tiêu chuẩn nhằm mục đích chỉ ra đây là một "cơ sở hạ tầng chính xác". Nó cũng được tạo thành 10 lĩnh vực, rất gần gũi với CISSP CBK.
Chúng ta đã chuyển những thứ rối rắm trong ISO 17799 thành một danh sách các tiêu chuẩn ISO mới, nhằm mục đích giúp cho chúng ta dễ hiểu hơn và phân chia rõ ràng từng loại một, hoặc có thể sự chuyển hóa này đôi khi lại gây ra sự nhầm lẫn và làm cho chúng ta tức giận ! Đôi khi nỗ lực đơn giản hóa vấn đề có thể gây ra nhẫm lần.
Các tiêu chuẩn ISO rất gọn gàng và ngăn nắp. Nó sử dụng những con số để đại diện cho các loại hình cụ thể của tiêu chuẩn. Ví dụ, ISO 9000 series bao gồm hàng loạt các tiêu chuẩn nhằm giải quyết vấn đề kiểm soát chất lượng trong quá trình kinh doanh.
Một loạt các tiêu chuẩn mới ra đời, ISO/IEC 27000 được sử dụng để giải quyết các vấn đề khuyến nghị, tiêu chuẩn đảm bảo an toàn thông tin, đại tu và thay đổi con số để thay thế ISO 17799. Sau đây là một loạt các tiêu chuẩn ISO/IEC được sử dụng cho các tổ chức khi phát triển chương trình bảo mật :
• ISO/IEC 27001 dựa trên tiêu chuẩn BS7799 Part 2, triển khai thực hiện, kiểm soát và cải thiện Hệ Thống Quản Lý An Toàn Thông (ISMS)
• ISO/IEC 27002 dựa trên tiêu chuẩn BS7799 Part 1, những hướng dẫn thực hành tốt nhất về ISMS.
• ISO/IEC 27004 một tiêu chuẩn về đo lường quản lý an toàn thông tin
• ISO/IEC 27005 được thiết kế để hỗ trợ cho việc quản lý rủi ro an toàn thông tin
• ISO/IEC 27006 hướng dẫn về quy trình cấp phát chứng nhận
• ISO/IEC 27799 hướng dẫn minh họa làm thế nào để bảo vệ thông tin cá nhân
Đọc đến đây có lẽ khá nhiều người cũng thắc mắc, sự khác nhau giữa ISO 27001 và ISO 27002 là gì?
ISO 27002 không được chứng nhận vì nó không phải là một tiêu chuẩn quản lý như ISO 27001. Một tiêu chuẩn quản lý có nghĩa là gì ? Nó định nghĩa về việc "làm thế nào để vận hành một hệ thống thật tối ưu, chính xác", trong trường hợp của ISO 27001, nó định nghĩa "làm thế nào để vận hành hệ thống quản lý an toàn thông tin". Do đó, ISO 27001 được quyền cấp chứng nhận.
Ngoài ra, ISO 27001 & 27002 còn khác nhau ở mức độ chi tiết, ISO 27002 giải thích một chỉ mục thật chi tiết cỡ 1 trang giấy, còn ISO 27001 chỉ giải thích ngắn gọn bằng một câu duy nhất. Thêm câu hỏi nữa được đặt ra, tại sao để hai tiêu chuẩn này tồn tại tách biệt, tại sao không tích hợp chúng lại với nhau, mang tất cả ưu điểm của cả hai chuẩn . Câu trả lời là do tính tiện dụng - nếu cả hai hợp thành một tiêu chuẩn duy nhất, nó sẽ quá phức tạp và quá lớn để áp dụng vào thực tế.
Nếu bạn muốn xây dựng nền tảng an toàn thông tin cho tổ chức của bạn và đưa nó trở thành một cơ cấu, bạn nên sử dụng ISO 27001.
Nếu bạn muốn triển khai thực hành các việc kiểm soát, bạn nên sử dụng ISO 27002.
Người ta ví ISO 27001 mang tầm vóc "chiến lược" - ISO 27002 là "những bước hành động"
Tôi cảm thấy rằng nó dễ hiểu hơn so với các tiêu chuẩn cũ ISO 17799 trước đây. Tiếp theo là các lĩnh vực trong ISO 27002 :
Information Security Policy for the Organization - Chính sách an toàn thông tin cho tổ chức: Các mục tiêu kinh doanh với bảo mật, sự hỗ trợ của quản lý, các mục tiêu về bảo mật và các trách nhiệm.
Creation of Information Security Infrastructure - Cấu thành cơ sở hạ tầng an toàn thông tin: Tạo ra và duy trì một cấu trúc an toàn thông tin tổ chức thông qua chuyên gia bảo mật, xác định trách nhiệm bảo mật, quy trình ủy quyền, outsourcing và đánh giá độc lập.
Asset Classification and Control - Phân loại và kiểm soát tài sản: Phát triển cơ sở hạ tầng an toàn thông tin để bảo vệ tài sản của tổ chức thông qua việc giải trình trách nhiệm, kiểm kê, phân loại và các thủ tục xử lý.
Personnel Security - An ninh đối với nhân viên: Giảm bớt rủi ro bởi con người thông qua việc sàng lọc nhân viên, xác định vai trò và trách nhiệm, đào tạo nhân viên đúng cách.
Physical and Environmental Security - An ninh môi trường và vật lý: Bảo vệ tài sản của tổ chức bằng nhiều cách như chọn vị trí hợp lý, xây dựng và duy trì một vành đai bảo vệ an ninh, thực hiện kiểm soát truy cập và bảo vệ các trang thiết bị.
Communications and Operations Management - Quản lý các hoạt động và truyền thông: Thực hiện các hoạt động bảo mật thông quan các thủ tục, kiểm soát sự thay đổi thông tin, xử lý sự cố, phân chia nhiệm vụ, lập kế hoạch về năng suất, quản trị mạng và xử lý thông tin truyền thông.
Access Control - Kiểm soát truy cập: Kiểm soát quyền truy cập vào các tài sản dựa trên yêu cầu kinh doanh, quản trị người dùng, phương pháp xác thực và theo dõi.
System Development and Maintenance: Triển khai thực hiện bảo mật trong tất cả các giai đoạn lifetime của hệ thống, thông qua việc phát triển các yêu cầu về an ninh, mã hóa, tính toàn vẹn và các thủ tục chính sách phát triển phần mềm.
Business Continuity Management - Quản lý tính liên tục trong Kinh Doanh: Chống lại việc gián đoạn các hoạt động trong kinh doanh bằng cách lập kế hoạch phương án hoạt động "liên tục" và thử nghiệm phương án đó.
Compliance - Tuân thủ: Tuân thủ các quy định, hợp đồng và yêu cầu của pháp luật bằng cách sử dụng phương pháp kiểm soát kỹ thuật (technical controls), kiểm toán hệ thống, nhận thức về pháp luật
Chú ý: Kỳ thi CISSP có thể không cập nhật kịp tốc độ thay đổi của ngành công nghiệp an ninh. Điều quan trọng là bạn hiểu được các tiêu chuẩn như BS7799, ISO 17799 và ISO/IEC 27000 series. Bạn nên tìm hiểu mục đích chung của các tiêu chuẩn qua từng thế hệ, nhất là chú ý tập trung vào ISO/IEC 27000 series vì nó là thế hệ tiêu chuẩn mới nhất.
Confusion and Security - Sự nhầm lẫn & Bảo mật
Ngày nay, nhiều tổ chức vẫn chưa có chuyên gia về an toàn thông tin chịu trách nhiệm triển khai các giải pháp và chương trình an ninh. Nếu không có một sự giáo dục và đào tạo thích hợp về các vấn đề bảo mật, tổ chức sẽ chỉ phí lãng phí thời gian và tiền bạc mà không mang lại một kết quả tốt đẹp gì cả.
COBIT và COSO cung cấp “những gì chúng ta cần phải đạt” chứ không phải “làm thế nào để đạt được nó.” đây là mục đích của ITIL và các tiêu chuẩn ISO/IEC 27000 series.
The Information Technology Infrastructure Library (ITIL) – Thư viện cơ sở hạ tầng công nghệ thông tin trên thực tế là tiêu chuẩn hướng dẫn thực hành tốt nhất cho việc quản lý dịch vụ CNTT. ITIL đã được tạo ra bởi sự tăng trưởng mức độ phụ thuộc vào CNTT nhằm đáp ứng nhu cầu trong kinh doanh.
Đáng tiếc, luôn có sự phân chia ranh giới giữa những người làm việc kinh doanh và những người làm CNTT trong tổ chức, bởi vì họ sử dụng "thuật ngữ" khác nhau, có những mục tiêu khác nhau, dẫn đến việc thiếu một tiếng nói chung giữa hai bên. Việc thiếu một ngôn ngữ chung, thiếu sự hiểu biết về những lĩnh vực của cả hai phía, đã đem đến cho nhiều tổ chức kết quả không mấy tốt đẹp khi muốn dung hòa giữa mục tiêu kinh doanh và sự hỗ trợ của CNTT, thường tạo ra sự rắc rối, tăng chi phí và thời gian làm việc, bỏ lỡ mất những cơ hội trong kinh doanh, gây mất đoàn kết giữa hai phía, thất bại về mặt kinh doanh lẫn kỹ thuật khi dung hòa không hợp lý.
ITIL là một framework được cung cấp dưới dạng sách hoặc truy xuất trực tuyến. Nó cung cấp các mục tiêu, các hoạt động tổng thể cần thiết để đạt được những mục tiêu đó, các giá trị Input/Output cho mỗi quá trình cần thiết để đáp ứng các mục tiêu đã được xác định. Trong trường hợp COBIT xác định mục tiêu CNTT, ITIL cung cấp từng bước hướng dẫn ở mức độ quá trình "làm thế nào để đạt được những điều đó ?" .
Mặc dù ITIL có phần liên quan đến vấn đề bảo mật, nhưng nó tập trung chủ yếu vào việc thỏa thuận mức độ cung cấp dịch vụ giữa phòng CNTT và "customers". "Customer" ở đây thường là các phòng ban nội bộ trong tổ chức.
Chú ý: Những tên gọi đầy đủ cho các bộ tiêu chuẩn ISO thường là ISO/IEC với những con số đi theo phía sau (ISO/IEC 27001:2005) . IEC là International Electrotechnical Commission - Ủy Ban Điện Tử Quốc Tế, cùng làm việc với ISO để tạo ra các bộ tiêu chuẩn toàn cầu. Trong ngành bảo mật và trong kỳ thi CISSP, chúng ta có thể thấy các tiêu chuẩn được trình bày có hoặc không có "IEC", nhưng chúng vẫn tương tự như nhau, có thể sử dụng chỉ mỗi từ "ISO" nhằm mục đích viết tắt, không có gì khác biệt.
Security Governance - Quản trị An Toàn Thông Tin
Chúng ta đã có quản trị an toàn thông tin (hay quản trị an ninh), bởi vì tôi đã đề cập đến nó và tôi đã viết nó vào Điều Lệ của tổ chức rồi mà. Vậy bây giờ, quản trị an ninh là gì nữa đây?
Quản trị an ninh cũng tương tự quản trị doanh nghiệp và quản trị CNTT, vì sự liên đới giữa các chức năng và mục tiêu của cả ba. Ba thứ quản lý này đều làm việc chung trong một cơ cấu tổ chức, có cùng một mục tiêu giống nhau là đảm bảo cho tổ chức tồn tại và phát triển mạnh, khác nhau ở chỗ mỗi thứ quản lý có những trọng tâm vấn đề riêng biệt.
Cũng giống như nhu cầu của việc quản trị doanh nghiệp tăng vượt bậc do các quy định và luật pháp, sự cần thiết và mức độ tăng trưởng của quản lý an ninh cũng như thế, đó là tín hiệu rất tốt, giống như việc tăng trưởng thị phần toàn cầu, chúng ta phải tuân thủ pháp luật và tập quán ở các quốc gia mà chúng ta đang tiến hành kinh doanh.
Nhiều hội đồng quản trị của các tổ chức cũng đã có trách nhiệm hơn về việc quản lý hiệu suất kinh doanh, nhận thức về sự cần thiết của quản lý an toàn thông tin đã được nâng cao, ngày càng được đánh giá có một vị trí quan trọng trong suy nghĩ của hội đồng quản trị, trong việc đảm bảo các cơ chế thích hợp được đặt ra để cung cấp cho hội đồng quản trị, các nhà quản lý, sự giám sát thích hợp để quản lý những rủi ro đối với tổ chức và hạn chế thiệt hại tiềm năng.
Nhiều định nghĩa chuyên nghiệp về Governance, chẳng hạn những điều sau được định nghĩa bởi IT Governance Institue tại cuộc họp báo của Hội Đồng Quản Trị CNTT lần 2 :
Governance - Quản trị nghĩa là tập hợp tất cả các trách nhiệm và các kinh nghiệm thực tiễn được thực hiện bởi Ban điều hành và các quản lý với mục tiêu cung cấp các đường lối chiến lược, đảm bảo việc hoàn thành các mục tiêu được đề ra, xác định được các rủi ro để quản lý một cách thích hợp, và xác minh nguồn tài nguyên của tổ chức được sử dụng một cách hợp lý.
Định nghĩa này hoàn toàn chính xác, nhưng nó vẫn còn ở mức độ cao và khá khó khăn cho chúng ta khi muốn hiểu trọn vẹn và biết cách làm thế nào để thực hiện chúng.
Security Governance - Quản trị an ninh bao gồm tất cả những công cụ, con người, và những quy trình kinh doanh cần thiết để đảm bảo an ninh được triển khai thực hiện, đáp ứng đúng nhu cầu của tổ chức. Nó đòi hỏi cơ cấu tổ chức, vai trò và trách nhiệm, đo đạt hiệu năng, định nghĩa công việc và cơ chế giám sát. Định nghĩa này có vẻ dễ hiểu hơn nhiều so với định nghĩa phía trên, đúng không ?
Hãy làm một so sánh giữa hai tổ chức. Tổ chức A có một chương trình quản trị an ninh hiệu quả, còn tổ chức B thì không.
Bây giờ, nhìn bằng mắt có thể thấy mặc dù tổ chức A và tổ chức B đều bình đẳng trong vấn đề thực tiễn an ninh, vì họ đều có security policies, procedures, standards, các công nghệ an ninh giống nhau (firewalls, IDS, Authentication..), và một đội ngũ an ninh được điều hành bởi một chuyên gia an toàn thông tin.
Có thể bạn sẽ nghĩ rằng "Hai tổ chức này đều có phát triển về chương trình an ninh mà". Nhưng, nhìn kỹ hơn, nhìn gần hơn chút, bạn sẽ thấy một số khác biệt quan trọng, ở bảng sau :
| Tổ chức A | Tổ chức B |
| Hội đồng thành viên hiểu rằng an toàn thông tin rất quan trọng đối với tổ chức và đòi hỏi sự cập nhật hàng quý về hiệu suất an ninh và các vi phạm an ninh trong tổ chức | Hội đồng thành viên không hiểu về sự quan trọng của an toàn thông tin đối với tổ chức, mà chỉ chú trọng đến quản trị doanh nghiệp và lợi nhuận. |
| CEO, CFO, CIO, quản lý các đơn vị kinh doanh đều tham gia vào hội đồng quản lý rủi ro và có cuộc họp hàng tháng, an toàn thông tin luôn là một chủ đề chính trong chương trình nghị sự cần xem xét. | CEO, CFO, quản lý các đơn vị kinh doanh cảm thấy an toàn thông tin là trách nhiệm của CIO, CISO, bộ phận IT, vì thế cho nên họ không cần phải tham gia vào nghị sự. |
| Người quản lý điều hành thiết lập một mức độ rủi ro chấp nhận được, đó là cơ sở cho chính sách an ninh và các hoạt động an ninh của tổ chức. | CISO soạn một số chính sách an toàn thông tin, đưa tên công ty vào chính sách và đưa cho CEO ký. |
| Người quản lý điều hành, nắm giữ các vị trí quản lý kinh doanh phải chịu trách nhiệm về các hoạt động quản lý rủi ro cho đơn vị của họ. | Tất cả các hoạt động an ninh đều do bộ phân an ninh phụ trách, vì thế các hoạt động an ninh không được tích hợp vào toàn bộ tổ chức, mà chỉ phụ thuộc vào mỗi bộ phận an ninh. |
| Điều quan trọng trong quy trình kinh doanh là ghi chép lại tài liệu và đánh giá rủi ro từng bước khác nhau trong quá trình kinh doanh | Quy trình kinh doanh không được ghi chép lại thông tin và không được phân tích rủi ro tiềm tàng, điều đó có thể gây ảnh hưởng đến quá trình hoạt động, năng suất và lợi nhuận của tổ chức |
| Nhân viên đều phải chịu trách nhiệm với bất kỳ vi phạm an ninh mà họ gây ra, dù vô tình hay là cố tình. | Policies và Standards đã được phát triển, nhưng không bị bắt buộc phải tuân theo. |
| Các sản phẩm bảo mật, các dịch vụ quản trị và các chuyên gia tư vấn khi thuê hoặc mua đều phải báo cáo với hội đồng thành viên. Họ cũng thường xuyên xem xét để đảm bảo chi phí hiệu quả cho nhu cầu an ninh. | Các sản phẩm bảo mật, các dịch vụ quản trị và các chuyên gia tư vấn khi thuê, mua mà không có bất kỳ sự nghiên cứu thực tế, hoặc số liệu về hiệu suất nào cả, làm cho việc đầu tư về vấn đề an ninh không đem lại hiệu quả, chỉ phí tiền của tổ chức. |
| Tổ chức vẫn thường xuyên rà soát lại chương trình an ninh, với mục đích không ngừng cải tiến chất lượng của chương trình. | Tổ chức không phân tích hiệu suất của chương trình an ninh để cải thiện nó, mà cứ phát triển tiến về phía trước liên tục, làm cho những sai lầm, ngày càng sai lầm hơn. |
Vậy tổ chức mà bạn đang làm giống tổ chức A hay tổ chức B ? Hầu hết các tổ chức ngày nay có rất nhiều thành phần và các bộ phận cho một Security Program (policies, standards, firewalls, security team, IPS ...), nhưng những người quản lý không thật sự tham gia vào Security Program, và điều đó đã làm cho Security không thể xuyên suốt khắp toàn bộ tổ chức được. Đáng lẽ, mỗi thành phần và mỗi bộ phận trong tổ chức cần có một nhóm nhỏ để chịu trách nhiệm về vấn đề bảo đảm an ninh xuyên suốt toàn bổ chức---nhưng đều này thật sự gần như là không thể được.
Nếu an ninh chỉ là một vấn đề mang tính công nghệ, thì nhóm an ninh chỉ cần bảo đảm triển khai, cấu hình chính xác và bảo trì sản phẩm thường xuyên, tổ chức sẽ nhận được ngôi sao vàng và vượt qua các kỳ kiểm toán hệ thống một cách dễ dàng. Nhưng đó không phải là cách hoạt động của an toàn thông tin ngày nay. An toàn thông tin mang ý nghĩa nhiều hơn là một giải pháp công nghệ. Các chuyên gia bảo mật cần hiểu điều này: vấn đề an ninh phải xuyên suốt toàn bộ tổ chức, có một số điểm như vai trò trách nhiệm và trách nhiệm giải trình là điều rất quan trọng.
Quản trị an ninh là một hệ thống có tính liên kết chặt chẽ của việc hợp nhất các thành phần bảo mật lại với nhau (sản phẩm, nhân sự, đào tạo, quy trình, chính sách, etc...) chúng tồn tại để đảm bảo tổ chức tồn tại.
Security Program Development - Phát triển chương trình an ninh cho tổ chức
Điều quan trọng cần phải hiểu, Security Program luôn có một lifecycle mang tính liên tục, vì lẽ đó nó cần phải thường xuyên được đánh giá và cải tiến cho tốt hơn.
Lifecycle của bất kỳ quy trình nào cũng có thể được mô tả bằng nhiều cách khác nhau. Chúng ta sẽ sử dụng các bước sau :
1. Plan and organize: Lên kế hoạch và tổ chức
2. Implement: Triển khai thực hiện
3. Operate and maintain: Vận hành và bảo trì
4. Monitor and evaluate: Giám sát và đánh giá
Nhiều tổ chức không tuân theo phương pháp tiếp cận Lifecycle trong khi phát triển, triển khai và bảo trì security management program của họ. Điều này bởi vì có thể họ không biết, hoặc họ cảm thấy phương pháp tiếp cận này cồng kềnh, lãng phí thời gian.
Kết quả của việc không tuân theo một cấu trúc Lifecycle thường dẫn đến những thứ sau :
• Viết policies và procedures mà không được ánh xạ và hỗ trợ bởi các hoạt động an ninh (Ví dụ viết policies cấm truy cập những Website blacklist, nhưng không có cơ chế để thi hành luật cấm đó !)
• Gây sự hiểu lầm giữa những cá nhân trong tổ chức với những người đang cố gắng thực thi nhiệm vụ bảo vệ tài sản
• Không có cách nào để đánh giá tiến độ và hoàn trả vốn đầu tư của chi phí và tài nguyên đã bỏ ra
• Không có cách nào để hiểu rõ trọn vẹn các khuyết điểm của một Security Program và biện pháp để cải tiến nó sau khi tìm ra khuyết điểm
• Không đảm bảo tuân thủ theo quy định, luật pháp, chính sách
• Phụ thuộc hoàn toàn vào công nghệ cho tất cả các giải pháp bảo mật
• Một "tác phẩm chấp vá", không phải một security program toàn diện
• Một phương pháp "la làng" khi có bất kỳ sự cố an ninh xảy ra, thay vì cách tiếp cận bình tĩnh chủ động
• Nhận thức sai lầm về vấn đề bảo mật, gây nên biết bao nhiêu sự nhầm lẫn tai hại
Nếu không thiết lập phương pháp tiếp cận Lifecycle cho Security Program và Security Management để duy trì chương trình, tổ chức sẽ phải cam chịu việc bảo mật chỉ giống như những dự án khác. Bất kỳ điều gì khi được xem là một dự án cũng sẽ có ngày bắt đầu và ngày kết thúc, khi tới ngày kết thúc tất cả mọi người sẽ giải tán để đi làm dự án khác.
Nhiều tổ chức cũng đã có những ý định tốt đẹp trong những ngày đầu kiến tạo Security Program, nhưng đã không thực hiện được một cơ cấu hợp lý để đảm bảo việc quản lý an ninh như là một quy trình mang tính liên tục, không ngừng cải tiến. Kết quả đã rất nhiều lần Start rồi Stop chương trình, lặp đi lặp lại làm cho lãng phí tiền bạc, công sức, hiệu quả thì ngày càng giảm dần.
Các thành phần chính của từng giai đoạn Lifecycle security program được cung cấp dưới đây :
1. Plan & Organize : Lên kế hoạch và tổ chức
• Thiết lập một cam kết quản lý
• Thành lập ban chỉ đạo giám sát
• Đánh giá các nhu cầu kinh doanh
• Thực hiện một hồ sơ thu thập các mối đe dọa đối với tổ chức
• Thực hiện đánh giá rủi ro
• Xây dựng kiến trúc an ninh theo tổ chức, theo sự ứng dụng, theo mạng lưới điện toán và theo các cấp độ của từng thành phần
• Xác định các giải pháp cho mỗi cấp độ kiến trúc
• Xin quản lý phê duyệt để tiếp tục tiến hành giai đoạn tiếp theo.
2. Implement : Triển khai thực hiện
• Phân công vai trò và trách nhiệm
• Xây dựng và phát triển security policies, procedures, standards, baselines, guidelines.
• Xác định dữ liệu nhạy cảm khi trung chuyển (in transit) và dữ liệu thanh lý (at rest : dữ liệu không còn sử dụng nữa, nằm trong các phương tiện lưu trữ chờ thanh lý)
• Triển khai thực hiện các đồ án (blueprints) sau đây :
- Xác định và quản lý tài sản
- Quản lý rủi ro
- Quản lý Vulnerability (lỗ hổng an ninh dễ tổn thương)
- Quản lý việc tuân thủ chính sách
- Xác định quản lý và kiểm soát truy cập
- Kiểm soát thay đổi
- Lifecycle phát triển phần mềm
- Lập kế hoạch kinh doanh liên tục không gián đoạn (business continuity)
- Nâng cao nhận thức và đào tạo
- An ninh vật lý
- Phản hồi sự cố (Incident response)
• Xây dựng cơ chế kiểm toán và giám sát các giải pháp cho từng đồ án.
• Thiết lập mục tiêu, các thỏa thuận cấp độ dịch vụ (SLAs), và các số liệu cho từng đồ án.
3. Operate and maintain : Vận hành và bảo trì
• Thực hiện theo các procedures (thủ tục) đã đề ra để đảm bảo tất cả các baselines (thông số chuẩn) đều được đáp ứng khi triển khai từng đồ án.
• Thực hiện kiểm toán internal và external.
• Thực hiện các công việc đã đề ra trong từng đồ án
• Quản lý thỏa thuận mức độ dịch vụ SLA trong từng đồ án
4. Monitor and evaluate : Giám sát và đánh giá
• Xem lại logs, kết quả kiểm toán, thu thập số liệu giá trị và SLAs của từng đồ án
• Thẩm định các mục tiêu thành tích của từng đồ án
• Thực hiện các cuộc họp báo cáo hàng với quý với ban chỉ đạo
• Phát triển các bước cải tiến và tích hợp vào giai đoạn Plan & Organize
Rất nhiều chỉ mục đề cập trong danh sách trên được bao phủ xuyên suốt toàn bộ cuốn sách CISSP này. Danh sách này nhằm cung cấp toàn bộ thông tin làm thế nào để triển khai tất cả các chỉ mục theo một cách tuần tự và có sự kiểm soát chặt chẽ.
Thông tin tham khảo :
1.http://en.wikipedia.org/wiki/Security_through_obscurity
2.http://en.wikipedia.org/wiki/Kerckhoffs's_Principle
3.http://home.earthlink.net/~bmgei/educate/docs/fperson/clasdocs/transhtm/phtran8.htm
4.http://www.trainning.com.br/download/COBIT_41.pdf
5.http://www.helium.com/items/1959893-iso-27001-iso-27002
6. Shon Harris CISSP All-in-One
Nguyễn Phước Đức – DNA
Không có nhận xét nào:
Đăng nhận xét