1
BÀI 6.
XÂY DNG CHÍNH SÁCH AN TOÀN BO MT
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
1
Ni dung
Các khái niệm cơ bản
Phân loại chính sách ATBM
Quy trình xây dựng và triển khai chính sách ATBM
2
1
2
2
Chính sách ATBM là gì?
Khái niệm(theo nghĩa rộng): là tập các quy định cách thức
sử dụng và bảo vệ tài nguyên của hệ thống thông tin
Cụ thể hóa bằng các mô tả về hoạt động phải thực hiện,
được phép, hoặc không được chấp nhận của chủ thể nào
đó thực hiện trên tài nguyên hệ thống
Là cơ sở để xây dựng kế hoạch, thiết kế và triển khai các
giải pháp ATBM
Nâng cao khả năng quản trị ATBM của tổ chức
Yêu cầu đối với chính sách ATBM:
Không vi phạm quy định phát luật
Nên có cơ chế ATBM để thi hành
Phải được quản trị và trở thành quy tắc làm việc của tổ chức
3
Mt số văn bn pháp lut Vit Nam
Luật An toàn thông tin mạng 2015
Luật Công nghệ thông tin 2006
Nghị định số 72/2013/NĐ-CP về Quản lý, cung cấp, sử
dụng dịch vụ internet và thông tin trên mạng
Nghị định số 85/2016/NĐ-CP về Bảo đảm an toàn hệ
thống thông tin theo cấp độ
4
3
4
3
Các khái nim liên quan
Tiêu chuẩn ATBM(Security Standard): mô tả chi tiết cách
thức thực hiện chính sách như thế nào
Là sự mở rộng của chính sách khi triển khai: công nghệ, hạ tầng
CNTT, cách vận hành
Cơ sở để đảm bảo các chính sách được triển khai
Quy trình thủ tục ATBM (Security Procedure): mô tả chi
tiết các bước cần thực hiện khi triển khai, tuân thủ theo
tiêu chuẩn ATBM
Hướng dẫn cơ bản (Security Guideline): danh sách các
hoạt động người dùng nên thực hiện để tuân thủ đúng
theo các chính sách đã ban hành
5
Ví d
Yêu cầu: Dữ liệu trên ổ cứng của hệ thống máy chủ phải
được sao lưu
Chính sách ATBM: mô tả sự cần thiết phải sao lưu dữ liệu
và bảo vệ các bản sao lưu
Tiêu chuẩn ATBM: mô tả phần mềm sao lưu được sử
dụng và các thông số cài đặt phần mềm, thiết bị lưu trữ
được sử dụng để sao lưu
Thủ tục ATBM mô tả:
Cách thức sử dụng phần mềm
Thời gian sao lưu
Cách thức sử dụng bản sao lưu
6
5
6
4
Enterprise Information Security Policy
EISP: chính sách có tính chất tổng quát, định hướng, mô
tả yêu cầu ATBM và xác định phạm vi các tài nguyên cần
bảo vệ
Phù hợp với chính sách và chiến lược của tổ chức
Có tính bền vững:
Không phụ thuộc vào việc các nguy cơ mới xuất hiện
Chỉ thay đổi khi chính sách chung của tổ chức thay đổi
Phải được viết một cách ngắn gọn (<10 trang)
7
Các thành phn ca tài liu EISP
Tóm tắt nội dung của tài liệu
Các thuật ngữ về an toàn bảo mật trong tổ chức
Giải thích sự cần thiết và mức độ quan trọng của ATBM
thông tin trong tổ chức
Vai trò và trách nhiệm của các bên liên quan
Các tài liệu liên quan (quy định pháp luật, chính sách
khác, tiêu chuẩn, hướng dẫn…)
8
7
8
5
Ví d: Mt s chính sách EISP cơ bn
1. Nắm giữ, truy cập và sử dụng thông tin
Chính sách Thông tin là tài sản quan trọng của công ty và mọi
hành động truy cập và xử thông tin của công ty
phải tuân thủ theo chính sách và tiêu chuẩn ATBM
Áp dụng Toàn bộ nhân viên
2. Mục đích sử dụng thông tin
Chính sách Hệ thống thông tin của công ty chỉ được sử dụng
cho nhu cầu công việc theo đúng quyền hạn mà
người quản lý đã quy định
Áp dụng Toàn bộ nhân viên
3. Bảo vệ thông tin
Chính sách Thông tin phải được bảo vệ tùy thuộc theo tính quan
trọng, nhạy cảm giá trị của thông tin đó
Áp dụng Nhân viên kỹ thuật
9
Ví d: Mt s chính sánh EISP cơ bn
4. Từ chối chịu trách nhiệm
Chính sách Công ty không có trách nhiệm và nghĩa vụ với bất kỳ
sự thiệt hại nào về dữ liệu hoặc phần mềm phát sinh
từ việc bảo vệ tính bí mật, toàn vẹn và khả dụng của
thông tin trên các hệ thống máy tính và mạng
Áp dụng Người dùng cuối
5. Tính hợp pháp
Chính sách Mọi chính sách an toàn bảo mật của công ty được
soạn thảo đều tuân thủ theo các quy định pháp luật
hiện hành và bất kỳ chính sách nào có mâu thuẫn với
các quy định pháp luật phải được báo cáo ngay lập tức
tới bộ phận quản trị ATTT của công ty
Áp dụng Người dùng cuối
10
9
10