Tiêu chuẩn quốc gia TCVN 27008:2018 về Công nghệ thông tin - Các kỹ thuật an toàn

A.3  Kiểm tra kỹ thuật đối với biện pháp kiểm soát quản lý đặc quyền.

Biện pháp kiểm soát

TCVN ISO/IEC 27002:2011 10.2.2 Quản lý đặc quyền

Việc phân bổ và sử dụng đặc quyền cần được hạn chế và kiểm soát.

Thông tin kỹ thuật bổ sung

Quản lý đặc quyền là quan trọng, bởi vì việc sử dụng đặc quyền không phù hợp gây tác động đáng kể đến hệ thống.

Quản lý đặc quyền là quan trọng, bởi vì việc sử dụng đặc quyền không phù hợp gây tác động đáng kể đến hệ thống.

Tình trạng phân bổ đặc quyền cần được mô tả trong các tài liệu xác định đặc quyền (tài liệu định nghĩa đặc quyền). Vì các đặc quyền truy cập liên quan đến mỗi sản phẩm hệ thống (hệ điều hành, hệ quản trị cơ sở dữ liệu và mỗi ứng dụng) là khác nhau.

...

...

...

• Root (hệ điều hành UNIX, Linux);

• Người quản trị (hệ điều hành Windows);

• Người điều hành sao lưu (hệ điều hành Windows);

• Người dùng chuyên nghiệp (hệ điều hành Windows);

• Sa (DBMS);

• quản trị cơ sở dữ liệu (DBMS);

Việc phân bổ đặc quyền tối thiểu phải trên cơ sở nhu cầu sử dụng. Ngoài ra, nó là không nhất thiết phải được phân bổ đều đặn.

Phương pháp quản lý đặc quyền sẽ khác nhau trong các hệ thống khác nhau. Ví dụ về quản lý đặc quyền dựa trên hệ thống là:

• Trong hệ điều hành, danh sách điều khiển truy cập định nghĩa đặc quyền;

...

...

...

• Trong ứng dụng có thể xác định nhiều đặc quyền mặc định cho chức năng quản lý ứng dụng, do vậy chuyên gia đánh giá kiểm soát biện pháp an toàn thông tin trước tiên cần xác định cấp độ kiểm tra;

• Trong hệ điều hành an toàn, có chức năng kiểm soát truy cập bắt buộc.

1

Tiêu chuẩn thực thi an toàn

Các đặc quyền truy cập liên quan đến mỗi sản phẩm hệ thống, ví dụ như hệ điều hành, hệ quản trị cơ sở dữ liệu và mỗi ứng dụng và người dùng cần được phân bổ đặc quyền cần phải được xác định.

Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn

Hoạt động của người sử dụng đặc quyền cần được giám sát, ví việc sử dụng không phù hợp các đặc quyền sẽ gây ra một tác động đáng kể tới hệ thống. Các phương pháp phát hiện việc sử dụng không phù hợp các đặc quyền là khác nhau nếu kiến trúc hệ thống khác nhau.

CHÚ THÍCH: Các kiến trúc hệ thống đại diện là

• Máy tính lớn;

...

...

...

• Hệ điều hành UNIX, Linux;

• Hệ điều hành an toàn.

1.1

Hướng dẫn thực hành

Kiểm tra xem việc phân bổ quyền đã được mô tả tài liệu định nghĩa trong đặc quyền chưa.

Chứng cứ giả định

Tài liệu định nghĩa đặc quyền

Phương pháp

Kiểm tra/Quan sát

...

...

...

Hướng dẫn thực hành

Kiểm tra xem việc thiết lập cấu hình hệ thống có như mô tả trong các tài liệu định nghĩa đặc quyền không. Phương pháp kiểm tra hoạt động đặc quyền là khác nhau theo kiến trúc hệ thống.

Ví dụ về các phương pháp kiểm tra hoạt động đặc quyền.

1) (Trong trường hợp ‘Máy tính lớn’) Kiểm tra xem tình trạng sử dụng đặc quyền có thích hợp không bằng cách kiểm tra báo cáo RACF.

2) (Trong trường hợp của hệ điều hành UNIX, Linux hoặc Windows) kiểm tra xem tình trạng sử dụng các đặc quyền có phù hợp không bằng cách điều tra các nhật ký điều tra về việc sử dụng đặc quyền.

CHÚ THÍCH:

1) RACF (phương tiện kiểm soát truy cập tài nguyên) là phần mềm trung gian quản lý an toàn trong máy tính lớn.

2) Trong hệ điều hành UNIX hay Linux, sẽ rất nguy hiểm nếu chỉ kiểm tra đăng nhập bằng root để điều tra việc sử dụng không phù hợp của người chủ. Lý do cho điều đó là người dùng thông thường có thể trở thành người chủ bằng cách sử dụng lệnh 'su' sau khi đăng nhập vào trong hệ điều hành UNIX hay Linux.

Chứng cứ giả định

...

...

...

• Danh sách kiểm soát truy cập

• Báo cáo RACF

Phương pháp

Kiểm tra/Quan sát

2

Tiêu chuẩn thực thi an toàn

Đặc quyền cần được trao cho một tên đăng nhập (ID) người dùng khác với các ID được sử dụng cho các hoạt động nghiệp vụ bình thường.

Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn

Trong trường hợp truy cập bởi đặc quyền, có khả năng thực hiện hoạt động trái phép một cách ngẫu nhiên và tình hình sử dụng đặc quyền thường trở thành điểm nóng cho các truy cập trái phép.

...

...

...

2.1

Hướng dẫn thực hành

Kiểm tra xem những người dùng có đặc quyền có ID người dùng thông thường bên cạnh ID đặc quyền không bằng cách quan sát các ACL (danh sách điều khiển truy cập) của hệ thống.

Chứng cứ giả định

Danh sách quản lý truy cập.

Phương pháp

Kiểm tra/Quan sát

2.2

Hướng dẫn thực hành

...

...

...

Trong trường hợp của hệ điều hành UNIX hoặc Linux, kiểm tra các tăng cường cấu hình hệ thống mà hệ thống từ chối truy nhập bằng ‘root’.

CHÚ THÍCH: Chuyên gia đánh giá soát xét biện pháp an toàn thông tin cố gắng phỏng vấn để kiểm tra xem đặc quyền có sử dụng ID người dùng khác cho nghiệp vụ thông thường dùng nhật ký chỉ ra đặc quyền chỉ sử dụng ID đặc quyền.

Chứng cứ giả định

• Tệp tin nhật ký;

• Cấu hình hệ thống đăng nhập vào bằng cách ‘root’.

Phương pháp

Kiểm tra/Quan sát

2.2

Hướng dẫn thực hành

...

...

...

Chứng cứ giả định

• Tệp tin nhật ký:

• Cấu hình hệ thống đăng nhập vào bằng cách ‘root’.

Phương pháp

Kiểm tra/Quan sát

A.4  Kiểm tra kỹ thuật đối với biện pháp kiểm soát sao lưu.

Biện pháp kiểm soát

TCVN ISO/IEC 27002:2011 9.5.1 Sao lưu thông tin

...

...

...

Thông tin kỹ thuật bổ sung

Để sao lưu một cách thích hợp, tiêu chuẩn của tổ chức phải được xác định phù hợp với chính sách sao lưu và nó phải được thể hiện vào tài liệu thiết kế sao lưu.

Sao lưu được sử dụng để khôi phục lại các thông tin hoặc phần mềm cần thiết trong trường hợp của một sự kiện mất dữ liệu ví dụ một thảm họa hay hư hỏng phương tiện lưu trữ.

Khi một tổ chức thiết kế sao lưu, vị trí sao lưu, đường dẫn sao lưu và phương pháp sao lưu phù hợp cần được lựa chọn phù hợp với chính sách sao lưu của tổ chức.

Đối với vị trí sao lưu, tổ chức cần lựa chọn sao lưu tại chỗ hoặc sao lưu ngoại vi. Sao lưu tại chỗ được coi là nhanh hơn nhiều so với sao lưu ngoại vi khi sao lưu và khôi phục. Sao lưu ngoại vi sao lưu thường được lựa chọn để ngăn chặn ảnh hưởng của thiên tai như hỏa hoạn, lũ lụt, động đất.

Đối với đường dẫn sao lưu, cho dù là hình thức tại chỗ hoặc từ xa thì cũng đều được lựa chọn. Sao lưu trực tuyến có nghĩa là dữ liệu được sao lưu qua mạng hoặc đường dây thông tin liên lạc. Sao lưu ngoại tuyến có nghĩa là dữ liệu sao lưu được vận chuyển vật lý bằng phương tiện lưu trữ di động như DLT hoặc đĩa CD/DVD.

Phương pháp sao lưu được phân loại theo một số tùy chọn như sao lưu đầy đủ, sao lưu thêm và sao lưu một phần.

Sao lưu đầy đủ có nghĩa là tất cả các dữ liệu được lựa chọn để sao lưu đều được sao lưu. Phương pháp này cần nhiều thời gian và dung lượng dữ liệu hơn so với các phương pháp khác, nhưng là phương pháp đơn giản nhất và dễ dàng nhất để khôi phục dữ liệu. Sao lưu thêm có nghĩa là sao lưu dữ liệu đã thay đổi kể từ lần sao lưu cuối cùng. Phương pháp này cần ít thời gian và dung lượng dữ liệu hơn các phương pháp khác, nhưng là phương pháp phức tạp nhất để khôi phục dữ liệu.

Sao lưu một phần thực hiện sao lưu dữ liệu đã thay đổi kể từ lần sao lưu đầy đủ cuối cùng. Phương pháp này cần ít thời gian và dung lượng dữ liệu hơn so với sao lưu đầy đủ và là phương pháp đơn giản và dễ dàng hơn khi phục hồi so với sao lưu thêm.

...

...

...

Tiêu chuẩn thực thi an toàn

Mức độ (ví dụ sao lưu đầy đủ hoặc một phần) và tần suất sao lưu cấn phản ánh các yêu cầu nghiệp vụ của tổ chức, các yêu cầu an toàn của thông tin có liên quan và sự quan trọng của các thông tin để tiếp tục các hoạt động của tổ chức.

Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn

Để phù hợp với yêu cầu nghiệp vụ, tổ chức cần chọn thời gian sao lưu/khôi phục dữ liệu thích hợp và dung lượng dữ liệu dành cho sao lưu. Hội thẩm cần đánh giá xem phương pháp sao lưu phù hợp đã được lựa chọn để thỏa mãn các yêu cầu của tổ chức.

Dưới đây là các ví dụ về tần suất cần được quan tâm:

• Sao chép trung thực hoặc theo thời gian thực (nếu tầm quan trọng của thông tin ở mức cao nhất);

• Hàng ngày (nếu việc khôi phục dữ liệu đã được sao lưu ít nhất là trong ngày là cần thiết);

• Hàng tuần;

• Hàng Tháng.

...

...

...

1.1

Hướng dẫn thực hành

Kiểm tra xem thiết kế sao lưu có được dựa trên tiêu chuẩn thực hiện an toàn không.

Chứng cứ giả định

• Tài liệu đặc tả sao lưu;

• Tài liệu định nghĩa yêu cầu nghiệp vụ và an toàn;

• Tài liệu thiết kế sao lưu.

Phương pháp

Kiểm tra/Đánh giá.

...

...

...

Hướng dẫn thực hành

Kiểm tra xem việc thiết lập các tệp tin cấu hình hệ thống sao lưu có như được mô tả trong tài liệu thiết kế sao lưu không.

Chứng cứ giả định

• Tài liệu thiết kế sao lưu

• Các tệp tin cấu hình hệ thống sao lưu

Phương pháp

Kiểm tra/Đánh giá

1.3

Hướng dẫn thực hành

...

...

...

Chứng cứ giả định

• Tài liệu thiết kế sao lưu;

• Tệp tin nhật ký;

• Phương tiện sao lưu.

Phương pháp

Kiểm tra/Quan sát

2

Tiêu chuẩn thực thi an toàn

Thủ tục phục hồi phải được kiểm tra và kiểm thử thường xuyên để đảm bảo rằng chúng có hiệu quả và họ có thể được hoàn thành trong thời gian được phân bổ trong thủ tục thực hiện phục hồi.

...

...

...

Sự phức tạp và thời gian cần thiết để phục hồi khác nhau giữa các phương pháp thực hiện; ví dụ sao lưu đầy đủ hoặc từng phần.

Kế hoạch kiểm thử và kiểm tra các thủ tục phục hồi cần được chuẩn bị và lập thành tài liệu.

2.1

Hướng dẫn thực hành

Kiểm tra xem kế hoạch kiểm thử và kiểm tra có được kiểm tra thường xuyên không.

Chứng cứ giả định

• Hồ sơ về việc kiểm tra kế hoạch kiểm thử và kiểm tra

Phương pháp

Kiểm tra/Đánh giá

...

...

...

Biện pháp kiểm soát

TCVN ISO/IEC 27002:2011 9.6.2 An toàn của dịch vụ mạng

Các Tính năng bảo mật, mức dịch vụ và yêu cầu quản lý của tất cả các dịch vụ mạng cần phải được xác định và bao gồm trong bất kỳ thỏa thuận dịch vụ mạng, cho dù các dịch vụ này được cung cấp trong nội bộ hoặc thuê ngoài.

Biện pháp kiểm soát

Dịch vụ mạng là dịch vụ, được cung cấp trên các máy tính nối mạng môi trường cho dù đó là trong nội bộ hay thuê ngoài. Khi một tổ chức sử dụng các dịch vụ mạng, thông tin bí mật của tổ chức có thể truyền trong các dịch vụ mạng bên ngoài. Vì vậy, chuyên gia đánh giá cần xem xét tài khoản mà các chức năng bảo mật cần thiết như mã hóa và / hoặc xác thực được cung cấp bởi các nhà cung cấp dịch vụ mạng.

Ví dụ về các hệ thống được sử dụng cho các dịch vụ mạng là:

• DNS

• DHCP

• Firewall/VPN

...

...

...

• IDS/IPS

Tiêu chuẩn thực thi an toàn

Các thỏa thuận an toàn cần thiết cho các dịch vụ cụ thể, chẳng hạn như tính năng bảo mật, mức dịch vụ và yêu cầu quản lý cần được xác định. Các tổ chức phải đảm bảo rằng các nhà cung cấp dịch vụ mạng có thực hiện các biện pháp này.

Tiêu chuẩn thực thi an toàn

Để sử dụng dịch vụ mạng, sắp xếp an toàn là rất quan trọng để bảo vệ thông tin đi qua nó.

Các yêu cầu về tính năng bảo mật thường được bao gồm trong các yêu cầu nghiệp vụ.

Ví dụ về các tính năng bảo mật liên quan đến dịch vụ mạng được, mô tả như sau:

...

...

...

• Kiểm soát truy cập mạng chống lại truy cập trái phép;

• IDS / IPS chống lại hoạt động độc hại;

• Lọc URL chống truy cập WEB trái phép;

• Đáp ứng sự cố cho các sự kiện an toàn không mong muốn.

1.1

Hướng dẫn thực hành

Kiểm tra xem tài liệu hợp đồng bao gồm SLA (Thỏa thuận mức dịch vụ) được cung cấp từ nhà cung cấp dịch vụ có thỏa mãn các yêu cầu nghiệp vụ, pháp lý và an toàn của tổ chức không.

Chứng cứ giả định

...

...

...

• Tài liệu định nghĩa yêu cầu

Phương pháp

Kiểm tra/soát xét.

1.2

Hướng dẫn thực hành

Trọng trường hợp trong nhà, kiểm tra xem các thiết lập của hệ thống sử dụng cho các dịch vụ mạng được như mô tả trong tài liệu thiết kế dịch vụ mạng.

Chứng cứ giả định

• Cấu hình hệ thống

• Tài liệu thiết kế dịch vụ mạng

...

...

...

Kiểm tra/soát xét

1.3

Hướng dẫn thực hành

Trong trường hợp trong nội bộ, kiểm tra xem hồ sơ của các tệp tin nhật ký thực tế từ các hệ thống dịch vụ mạng có như được mô tả trong các tài liệu thiết kế dịch vụ mạng không.

Ví dụ về hồ sơ của các dịch vụ mạng:

• Xác thực;

• Mã hóa;

• Các điều khiển kết nối mạng;

• Tốc độ của kênh;

...

...

...

• Khoảng thời gian chết.

Chứng cứ giả định

• Tệp tin nhật ký;

• Tin nhắn cảnh báo;

• Tài liệu, thiết kế dịch vụ mạng

...

...

...

Kiểm tra / Quan sát

A.6. Kiểm tra kỹ thuật đối với biện pháp kiểm soát và trách nhiệm người dùng

Biện pháp kiểm soát

TCVN ISO /IEC 27002:2011 10.3.1 sử dụng mật khẩu

Người sử dụng được yêu cầu tuân thủ các thực hành an toàn đúng đắn trong việc lựa chọn và sử dụng các mật khẩu.

Thêm ký thuật thông tin về kiểm soát

Để ngăn chặn truy cập trái phép vào các nguồn tài nguyên máy tính, mật khẩu sẽ được tạo ra và giữ bí mật trước những người không được phép truy cập vào chúng.

Xác thực mật khẩu là phương pháp xác thực người dùng được sử dụng bởi một số nguồn tài nguyên như hệ điều hành, chương trình, cơ sở dữ liệu, mạng hoặc các trang web. Chất lượng của mật khẩu phụ thuộc vào độ dài và kiểu ký tự như ký tự chữ và dấu.

...

...

...

Thẩm định cần đánh giá các chức năng ủy quyền với mật khẩu đặt ở tài nguyên máy tính được hiệu quả và những chức năng làm việc thích hợp.

1

Tiêu chuẩn thực hiện an toàn

Chọn mật khẩu chất lượng với đầy đủ độ dài tối thiểu có đặc điểm:

1) Dễ nhớ;

2) Không dựa trên những điều để người khác có thể dễ dàng suy đoán hoặc, có được nếu sử dụng các thông tin liên quan đến cá nhân, ví dụ tên, số điện thoại và ngày sinh v.v..;

3) Không dễ bị tổn hại trước các tấn công từ điển (tức là không bao gồm các từ có trong từ điển);

4) Không có tất cả các ký tự, con số hoặc chữ cái liên tiếp giống nhau.

Chú thích kỹ thuật về tiêu chuẩn thực hiện an toàn

...

...

...

1.1

Hướng dẫn thực hành

Kiểm tra quy tắc lựa chọn mật khẩu đã được mô tả trong chính sách mật khẩu của tổ chức.

Chứng cứ giả định

Chính sách mật khẩu của tổ chức.

Phương pháp

Kiểm tra/soát xét

1.2

Hướng dẫn thực hành

...

...

...

Chứng cứ giả định

• Cấu hình hệ thống (chính sách mật khẩu của hệ thống)

• Chính sách mật khẩu của tổ chức

Phương pháp

Kiểm tra/Quan sát

1.3

Hướng dẫn thực hành

Kiểm tra xem tệp tin nhật ký đăng nhập xem những người dùng thay đổi mật khẩu

Chứng cứ giả định

...

...

...

Phương pháp

Kiểm tra/Quan sát

Phụ lục B

(Tham khảo)

Thu thập thông tin ban đầu (khác ngoài IT)

Trưởng đoàn đánh giá soát xét biện pháp kiểm soát an toàn thông tin phải phân bổ chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có kinh nghiệm và năng lực liên quan cho mỗi lĩnh vực an toàn thông tin.

Câu hỏi ban đầu đối với nhân viên liên quan có thể bao gồm danh sách các lĩnh vực và không đầy đủ theo ví dụ được chỉ dẫn sau:

B.1  Nguồn nhân lực và an toàn

...

...

...

b. Kiến thức an toàn thông tin và bảo mật sẵn có tại chỗ để trả lời các câu hỏi, thúc đẩy nhân viên và cung cấp hướng dẫn cần thiết.

c. Chính sách và thủ tục được áp dụng có rõ ràng và SMART (cụ thể, có khả năng đo lường được, có thể được chấp nhận, thực tế, trong khoảng thời gian nhất định).

d. Cá nhân được thuê có đáp ứng kiến thức “vận hành” như mong đợi.

e. Cá nhân có đáng tin cậy để xử lý thông tin nhạy cảm và các hệ thống đó sẽ gây nguy hiểm cho sự sống còn của tổ chức.

f. Hiệu quả của nhân viên có đáng tin cậy?

g. Làm thế nào để xác định được sự tin cậy và đo lường chúng.

B.2  Chính sách

a. Sự phân cấp:

i. Chính sách an toàn thông tin có xuất phát từ các mục tiêu nghiệp vụ và từ chính sách an toàn tổng thể không

...

...

...

b. Toàn diện

i. Chính sách giải quyết an toàn thông tin có trong tất cả ngành hoạt động nghiệp vụ (Nguồn nhân lực, vật lý, công nghệ thông tin, bán hàng, sản xuất, nghiên cứu và phát triển, liên hệ...).

ii. Có các chính sách hoàn chỉnh trong thiết kế bao gồm chiến lược, chiến thuật và vận hành.

c. Sự phát biểu

i. Chính sách có chấp thuận theo TCVN ISO/IEC 27002:2011 hoặc các mục tiêu kiểm soát và biện pháp kiểm soát có phù hợp với bối cảnh cụ thể.

ii. Có chính sách bằng văn bản để xác định rõ ràng (các) hành động phải chịu trách nhiệm.

iii. Hành động được dự kiến trong chính sách và thủ tục nên xem xét các câu hỏi “cơ bản” như: ai, khi nào, tại sao, cái gì, ở đâu và như thế nào.

• nếu cá nhân chịu trách nhiệm (ai) để thực hiện các hành động không được xác định, cá nhân đó có đạt được mục tiêu đề ra không?

• Nếu mốc thời gian (khi nào) để thực hiện hành động không được xác định, liệu các hành động có được thực hiện đúng thời gian không?

...

...

...

• Nếu hành động nội tại (cái gì) không được xác định, làm cách nào để có thể thực hiện nó?

• Nếu hành động không xác định được đối tượng, địa điểm, quy trình, tài sản thông tin hoặc “biện pháp kiểm soát” mà nó có ảnh hưởng, nó sẽ ảnh hưởng như thế nào (ở đâu)?

• Nếu hành động trong thủ tục không được xác định rõ ràng về những thứ được hoàn thành như thế nào và được thực hiện chính xác như thế nào?

• Nếu một hành động không được xác định các chỉ số và mục đích các biện pháp kiểm soát nhằm xác minh rằng nó tiến triển chính xác và đặt được các mục tiêu, làm cách nào để tổ chức đảm bảo rằng các mục tiêu có thể đạt được?

iv. Các biện pháp kiểm soát và môi trường kiểm tra tại chỗ để xác định nếu tuyên bố chính sách được thực hiện, triển khai và đạt được các mục tiêu?

v. Mục tiêu trong tuyên bố chính sách cần xem xét các tiêu chí SMART. Nếu không:

• Các mục tiêu không cụ thể không dễ dàng để nhận diện rõ ràng và (các) cá nhân có trách nhiệm để đạt được nó thông thường không được xác định.

• Nếu mục tiêu không thể đo lường được, có rất ít cơ hội mà một tổ chức có thể xác minh được mục tiêu có đạt được yêu cầu hay không.

• Nếu mục tiêu, không được truyền thông/truyền đạt và có thể được chấp nhận tới người phải đối phó với những thay lớn về biện pháp kiểm soát sẽ bị hiểu lầm, tránh né hoặc ngắt kết nối.

...

...

...

• Nếu mục tiêu liên quan tới thời gian không được xác định (mục tiêu phải đạt được khi nào, khi nào bắt đầu hành động hỗ trợ...). Có một cơ hội tốt là không cần đưa ra hành động nào và mục tiêu chưa bao giờ gặp phải.

B.3  Tổ chức

Tập hợp các vai trò và xác định trách nhiệm, phân bổ vai trò, trách nhiệm cần thiết, đủ đáp ứng mục tiêu nghiệp vụ có xem xét đến bối cảnh và các ràng buộc.

Có liên kết với các cơ quan bên ngoài đã được xác định?

Trách nhiệm đảm bảo an toàn có được thuê ngoài nếu nội bộ tổ chức không có đủ năng lực thực hiện?

Việc đảm bảo an toàn thông tin có được đề cập trong hợp đồng?

B.4  An toàn vật lý và môi trường

B.4.1  Vị trí an toàn của thông?

a. 'Khu vực'

...

...

...

ii. Các khu vực được xác định có phải là nơi chứa nhiều thông tin quan trọng (bởi người hoặc hệ thống ICT).

iii. Có phải "khu vực bảo mật" được phân tách một cách phù hợp để tránh thay đổi thông tin?

b. Vị trí

i. Các vùng khác nhau được xác định rõ ràng và ở các vị trí phù hợp;

ii. Các đường biên (tường, sàn, trần nhà) được gán nhãn.

c. "Cổng" - Các điểm truy cập

i. Cửa và cửa sổ tại các đường biên được bảo vệ cả khi mở lẫn khi đóng;

ii. Kiểm soát truy cập thích hợp tại các lối ra/vào;

iii. Hệ thống có chống được xâm nhập không;

...

...

...

d. Lối đi và "đường dẫn"

i. Các chỉ dẫn để nhận biết các vùng và vị trí.

• Lối đi cho con người;

• Cáp (đường dẫn cho thông tin).

ii. Có đường dự phòng phòng?

iii. Các đường này có được bảo vệ và giám sát không?

e. Giám sát

i. Nguồn lực giám sát có thể nhìn thấy không thông qua mắt thường?

ii. Nguồn lực giám sát có thể nhìn thấy sự xâm nhập từ xa?

...

...

...

iv. Hồ sơ được lưu trữ và phân tích ở đâu? như thế nào?

f. Đồ nội thất

i. Phù hợp để lưu trữ thông tin

ii. Vị trí đặt đúng

iii. Vận hành như mong muốn.

B.4.2  Các vị trí có an toàn cho Công nghệ thông tin và Truyền thông (ICT)? (Khía cạnh về môi trường).

a. Nguồn cấp điện.

i. Đầy đủ/phù hợp

ii. Có nguồn thay thế?

...

...

...

i. Đầy đủ/phù hợp

ii. Có điều hòa thay thế?

c. Cấp dụng cụ chữa cháy

i. Đầy đủ/phù hợp

ii. Có thiết bị thay thế?

B.4.3  Các địa điểm có an toàn cho con người?

a. Lối thoát hiểm có sẵn (và có biện pháp kiểm soát phù hợp);

b. Các "rò rỉ" (nguồn cấp điện, nước, khí đốt, chất lỏng) là mối nguy hiểm tiềm ẩn cho con người;

c. Nhiệt độ, độ ẩm, vật liệu và các rung động là mối nguy hiểm tiềm ẩn cho con người;

...

...

...

e. Đồ nội thất được lắp đặt và duy trì để tránh gây chấn thương cho con người.

B.5  Quản lý sự cố

a. Các sự cố an toàn thông tin đã được xác định chưa?

b. Xây dựng năng lực đề phản ứng các sự cố an toàn thông tin.

i. Xây dựng tài liệu hướng dẫn?

ii. Phân công vai trò và trách nhiệm.

iii. Phân bổ phương tiện và nguồn lực.

Thư mục tài liệu tham khảo

...

...

...

[2] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin.

[3] TCVN 10295:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin.

[4] TCVN ISO/IEC 27006:2017, Công nghệ thông tin - Các kỹ thuật an toàn - Các yêu cầu đối với các tổ chức đánh giá và cấp chứng nhận hệ thống quản lý an toàn thông tin

[5] ISO/IEC 27007:2011, Information technology - Security techniques - Guidelines for information security management systems auditing.

[6] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý.

[7] TCVN 9788:2013, Quản lý rủi ro - Từ vựng.

[8] NIST Special publication (SP) 800-53A, Guide for reviewing the controls in federal information systems, July 2008. Available from: http://csrc.nist.gov/publications/PubsSPs.html

[9] Institute For Security And Open Methodologies, Open-Source Security Testing Methodology Manual. Available from: http://www.isecom.org/osstmm/.

[10] Federal Office for Information Security (BSI), Germany, Standard 100-1, Information Security Management Systems (ISMS); 100-2, IT-Grundschutz Methodology; 100-3, Risk Analysis based on IT- Grundschutz and IT-Grundschutz Catalogues (available in German and English). Available from: https://www.bsi.bund.de/cln_174/EN/Publications/publications_node.html.

...

...

...

Mục lục

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

3.1  Đối tượng soát xét (review object)

3.2  Mục tiêu soát xét (review objective)

...

...

...

4  Cấu trúc tiêu chuẩn

5  Nền tảng

6  Tổng quan về soát xét các biện pháp kiểm soát an toàn thông tin

6.1  Quy trình soát xét

6.2  Nguồn lực

7  Phương pháp soát xét

7.1  Tổng quan

7.2  Phương pháp soát xét: Kiểm tra

7.2.1  Khái quát

...

...

...

7.3  Phương pháp soát xét: Phỏng vấn

7.3.1  Khái quát

7.3.2  Các thuộc tính

7.3.3  Thuộc tính bao hàm

7.4  Phương pháp soát xét: kiểm thử

7.4.1  Khái quát

7.4.2  Các loại kiểm thử

7.4.3  Các thủ tục soát xét mở rộng

8  Các hoạt động

...

...

...

8.2  Xây dựng kế hoạch

8.2.1  Tổng quan

8.2.2  Phạm vi

8.2.3  Thủ tục soát xét

8.2.4  Các xem xét đối tượng liên quan

8.2.5  Các phát hiện trước

8.2.6  Phân công công việc

8.2.7  Hệ thống bên ngoài

8.2.8  Tài sản thông tin và tổ chức

...

...

...

8.2.10  Tối ưu hóa

8.2.11  Hoàn tất kế hoạch soát xét

8.3  Tiến hành soát xét

8.4  Phân tích và báo cáo kết quả

Phụ lục A (Tham khảo) Hướng dẫn thực hành kiểm tra sự tuân thủ kỹ thuật

Phụ lục B (Tham khảo) Thu thập thông tin ban đầu

Thư mục tài liệu tham khảo