CHương 5
1. Địnhnghĩa Chính sách sử dụng
Internetđược chấpnhận
• MộtAUPlà mộtvănbản tập hợpcáchướngdẫn xác
địnhcácđiềukhoảnvàđiềukiệnsửdụngInternet ởgiađình,trườnghọcvà/ hoặckhisửdụngdịchvụhoặc thiếtbịcungcấpcôngcộng.
• Ví dụ:Nộiquy sửdụngInternet côngcộng
• Dướiđâylàmộtkếhoạch10điểmchoviệcphát triểnvàtriểnkhai chiếnlượcquảntrịRRhiệuquảchocáchệthốngTMĐTcủabạn.Kếhoạchnàyđượcdựa trên khuônkhổISO/IEC27001:
–Nhómrủiro trongbốicảnhTMĐT, xácđịnhcác thayđổiđốivớinhữngrủirohệthốngCNTTvàgiớithiệu nhữngđedọamớicụthể choTMĐT
–Xemxét cáccơhội,khả năngvàđộnglựcđằngsau cáccuộctấn côngtiềmẩn.
–Thườngxuyêntiếnhànhphântíchđánhgiárủiro.Thànhlậpmộtghichépsựcốcóhiệuquảvàhệthốngquảnlýmàbaogồmtấtcảcácyếu tốcủamôitrườngTMĐT.
– ĐịađiểmcủahệthốngTMĐTtrongmộtkhuônkhổbảo mậtthông tinhiệu quả
– Hãyxem xét giấychứngnhậntiêu chuẩn ISO/IEC
27001chocáckinhdoanhcủabạnvàđốitáckinhdoanhcủabạn
– Thựchiệncáccấuhìnhtiêu chuẩnchomáytính, máychủ,tườnglửavàcác yếutốkỹthuậtkháccủahệthống
– Khôngchỉdựa trên cácđiều khiểnkỹthuật.Hầuhết
cácchuyêngiabảomậtkhuyênbạnnêntốithiểuhaiyếutốxácthựcđểđảmbảo nhậndạngngườisửdụng,vídụbạncómộtcáigìđó(nhưmộtthẻID) vàcáigì
bạnbiết(mộtsốPINhoặcmậtkhẩu)
– Hỗtrợtấtcảcáckĩthuậtđiều khiểnthích hợpvớicác
chínhsách,thủtụcvànhậnthức.
– Pháttriểnliên tục cáckếhoạchkinhdoanhtích hợcho
tấtcảcácgiảiphápquantrọngTMĐT. Xemhướngdẫnphần“BusinesscontinuityplanninginIT)
– Tiếnhànhphântíchđánhgiárủiro thườngxuyên kiểmtrakiểmsoátbạnđãtriểnkhaithựchiệnvẫncònhiệu quả
Chínhsách sử dụngemail
• Cácrủirotừviruscũngcóthểđượcđưavàodoanhnghiệp,máytính củabạnthôngquacáctậptinđínhkèmvàoemaillàrấtnghiêmtrọng.
• Phầnmềmcó thể đượccài đặtđểngănchặncáctậptin
đínhkèm đốivớicáchệthốngchưađượccoi làbảo
đảm chắcchắn(Xem thêmchínhsáchsửdụngmẫuthưđiệntửđượcchấpnhận).
Chínhsách chấpnhậnsửdụng email–Bảnmẫu
• Sửdụngemailbởicácnhânviêncủatổchứccầnđược
phépvàkhuyếnkhíchnơimàchúnghỗtrợcácmụctiêuvàmụcđíchcủatổchức.
• Tuynhiên, các tổchứccómộtchínhsáchchosửdụngemailtrongđónhânviêndoanhnghiệpphảobảođảm rằng:
–Họtuânthủluậtpháphiệnhành
–Sửdụngemailmộtcáchchấpnhậnđược
–Khôngtạorarủirokinhdoanhkhôngcầnthiếtcho côngtycủahọbằngsửdụngsaiInternet củahọ.
Chính sáchkhôngchấpnhận hànhvi
• Sửdụngcáchệthốngtruyềnthông củacông tyđểthiếtlậpcáckinhdoanhcánhânhoặcgửichuỗicác thưđiệntử
• Chuyểntiếp nhữngthôngđiệp bảomậtcủacôngtytới
bênngoài(forwardingofcompanyconfidentialmessagestoexternallocations)
• Phânphối,phổbiến hoặctàng trữhìnhảnh,vănbản
hoặccáctài liệumàcó thể đượccoi là khiếmnhã, khiêudâm,khiêudâmhoặcbấthợppháp(distributing,
• Phânphối,phổbiếnhoặctàngtrữhìnhảnh,vănbản hoặccáctài liệumàcóthểđượccoi làphânbiệtđốixử,gâykhóchịuhoặclạmdụng,tronghoàncảnhnàylàmộtcuộctấncôngcánhân,kiếngiớitínhhoặcphânbiệtchủngtộc,hoặccó thể đượccoilàquấyrối
• Truy cậpthôngtinbảnquyềntheo cáchmàviphạmquyềntácgiả
• Độtnhậpvàohệthốngcủacông tyhoặctổchứckháchoặcsửdụngtráiphépmậtkhẩumột/ hộpthư
• Phátsóngcácquanđiểmcánhânvềcácvấnđềliênquantớixãhội,chínhtrị,tôngiáohoặccácvấnđềliênquankhác
• Truyềntải thưthươngmạikhôngđượcyêu cầuhoặctài
liệuquảngcáo
• Cốýthựchiệncáchoạtđộngthảinhânviênnỗlựchaytàinguyênmạng
• Giớithiệubấtkỳhìnhthứccủavirusmáytínhhoặcphầnmềmđộchạivàomạngcông ty
PHÁTTRIỂNMỘTKHUÔNKHỔ
QUẢNTRỊRỦIROTRONGTMĐT
Khôngthểgiảmtấtcảrủirotiềmtàngtrong kinhdoanhcủabạnbằngkhông.Điềunàycóthểdo:
–Khôngcócách thựctếnàoloạibỏmốiđe dọabởimộtsốrủiro
–Loạibỏmộtsốrủirobởikhôngcógiátrịtài chính
• Vìthếpháttriểnmộtkhungquảnlýrủirocầnphảicó:
–Phảnánh trongđónhững rủiro tiềmnănglớnnhấtcóthể
–Đềra cácbiệnphápthựctếđểgiảm thiểurủirothấpnhất cóthể
– Phản ánh cácchiphívàcủa việc thực hiện hành động để
giảmhoặcloại bỏrủiro
–Cóđiềukhiểnkỹthuậttạichỗlàmộtphầnthiết yếucủabất
cứkhuônkhổquảnlý rủiro nhưngphảiđượchỗtrợbởi
chínhsách,tiêu chuẩnvàcáchệthốngquảntrịantoànthôngtin.
Cácchínhsách
• Điềuquantrọnglàcócácchínhsáchtạichỗđểquảnlí cáchoạtđộngcó thểcó tiềm nănggây ra cácmốiđedọaan toàn. XemxétmộtchínhsáchsửdụngInternet (Acceptableinternetusepolicy- sampletemplate),vì
vậymànhânviêncóthể hiểurõnhững gìhọđượcphépthựchiệntrongkhi sửdụngInternet, nhữnggì không.
ChínhsáchsửdụngInternetđượcchấp nhận:
–SửdụngInternet củacácnhânviêncủadoanhnghiệpnhằmhỗtrợcácmụctiêu củadoanhnghiệp
–Tuynhiên,doanhnghiệpcómộtchínhsáchchosử
dụngInternet tráilạicácnhânviênphảiđảmbảohọ:
•Tuântheoluậtpháphiệnhành
•Sửdụnginternettheomộtcáchthứcđượcchấpthuận
•Khôngtạoracácrủiro kinhdoanhkhôngcầnthiếttớicông tybởisửdụngsaiinternetcủahọ
• Hànhvikhôngthểchấpnhận:
–Trongđiềukiệncụthể,hành visửdụngsaudườngnhưkhôngthểchấpnhậncủanhânviên:
• Truycậpcáctrang webcóchứatài liệukhiêudâm,hậnthùhoặccáctài liệutráiphápluậtkhác(obscene, hateful,pornographicorotherwiseillegalmaterial)
• Sửdụngmáytínhđểusingthe computertoperpetrateany formoffraud, orsoftware,filmormusic piracy
• Sửdụnginternetđểgửitàiliệusáchnhiễugâykhóchịucho ngườidùngkhác(tosend offensiveor harassingmaterialto other users)
• Downloadphầnmềmthươngmại hoặcbấtkỳtàiliệucóbảnquyền thuộcsởhữubênthứba,trừkhiviệctảivềđượcphéphoặcchophéptheothỏathuậnTMhoặchợpđồngnhượngquyền
• Xâmnhậpvàokhuvựctrái phép
• Phỉbáng,nóixấuvà/hoặctài liệusaivềtên DN, đồngnghiệp và/hoặccáckháchhàngtrênmạng xãhội,diễn đànvàbấtkỳdạngxuấtbảntrựctuyến khác.
• Cốýthựchiệncáchoạtđộngthảihồicácnhânviênhoặcnguồntàinguyênmạng
• Giớithiệubấtkỳhình thứccủaphầnmềmđộchạivàomạngcông ty
Thôngtinđượcsởhữucủacôngtyđượctổ
chứctrênwebsitecủabênthứba
• Nếubạnsảnxuất,thuthập vàhoặcxửlí thôngtinliên
quandoanhnghiệptrongquátrìnhlàmviệc,thông tinvẫnlàtài sảncủadoanhnghiệp.Điềunàybaohàm nhữngthôngtinđượclưutrữtrênwebsitebênthứbanhưcácnhà cungcấpdịchvụwebmainvàcác trang mạngxãhộinhưFacebookandLinkedIn.
Giámsát (Monitoring)
–Doanhnghiệpchấp nhận nhữngngườidùngInternetlàmộtcôngcụkinhdoanhcógiátrị.Tuynhiên, sử
dụngsaicó tácđộngxấu tớihiệuquảnhânviênvà
việctừchốicủadoanhnghiệp.[businessname]acceptsthat the useoftheinternetisavaluable businesstool. However,misuse of thisfacilitycanhaveanegativeimpact uponemployeeproductivity andthe reputationofthebusiness.
• Giámsát (Monitoring)
–Ngoàira, cácnguồnlựcliênquantớiinternetcủacôngtyđượcsửdụngchocácmụcđíchkinhdoanh.
Vìvậy,côngtyduytrìquyền giámsátcácgiao thông
mạng,cùngvớicác trangđượctruycập.Nộidungcụthểcủabấtkỳgiao dịchnào sẽkhôngđượcgiám sáttrừkhi cómộtsựnghinghờcủasửdụngkhôngđúng
• Xửphạt(Sanctions):Trườnghợpngườitatin rằngkhimộtnhânviênkhôngtuânthủchínhsáchcôngty,họ phảiđốimặtvớithủtụckỷluậtcủacông ty. Nếunhân
viênđượctìmthấycóviphạmchínhsáchcủahọ,họsẽ
phảiđốimặtvớiánkỷluậthoặcsa thải. Cáchìnhphạtápdụngthựctếsẽphụthuộcvàocácnhântốnhưmứcđộnghiêmtrọngvàghichépkỷluậtcủanhânviên.[Nhữngthủtụcnàysẽđượccụthể chodoanhnghiệpcủabạn.Chúngnênphảnánhquytrình kỷluậtvàhoạtđộngbình thườngcủabạn.Bạn nênthiếtlậpnhữngthủtụctừđầu vàbaogồmchúng trongchínhsáchsửdụngchấpnhận đượccủabạn.]
• Hợpđồng(Agreement):Tấtcảcácnhânviêncôngty,
nhàthầuhoặcnhânviêntạmthờiđãđượccấpquyềnsửdụngInternet củacông tyđượcyêu cầukývàothỏa thuậnnàybảoxácnhậnsựhiểubiếtcủahọvàchấpnhậnchínhsáchnày
• Monitoring(Giámsát)
• Têndoanhnghiệpchấpnhậnrằngviệcsửdụngemaillàmộtcôngcụkinh doanhcógiátrị.Tuynhiên,lạm dụngcủacơ sở nàycóthể cótácđộngtiêucựckhinăngsuấtcủanhânviênvàdanhtiếngcủadoanhnghiệp.
• Ngoàira,tấtcảcáctàinguyênemail củacôngtyđượccungcấpchomụcđíchkinhdoanh.Vìvậy,côngty
duytrìquyềnkiểmtrabấtkỳhệ thống,kiểmtrabấtkỳ
dữliệughitrongcáchệ thống.
• Đểđảmbảoviệctuânthủchínhsách này,côngtycũngcóquyềnsửdụngphần mềm giámsátđểkiểmtrakhi việcsửdụngvànộidungcủaemail. Nhưgiámsát đượcchocácmụcđích hợpphápduynhấtvàsẽđượcthựchiệntheothủtụcmộtthỏathuậnvớinhânviên
• Xửphạt(Sanctions):Trườnghợpngườitatin rằngkhimộtnhânviênkhôngtuânthủchínhsáchcôngty,họ phảiđốimặtvớithủtụckỷluậtcủacông ty. Nếunhân
viênđượctìmthấycóviphạmchínhsáchcủahọ,họsẽ
phảiđốimặtvớiánkỷluậthoặcsa thải. Cáchìnhphạtápdụngthựctếsẽphụthuộcvàocácnhântốnhưmứcđộnghiêmtrọngvàghichépkỷluậtcủanhânviên.[Nhữngthủtụcnàysẽđượccụthể chodoanhnghiệpcủabạn.Chúngnênphảnánhquytrình kỷluậtvàhoạtđộngbình thườngcủabạn.Bạn nênthiếtlậpnhữngthủtụctừđầu vàbaogồmchúng trongchínhsáchsửdụngchấpnhận đượccủabạn.]
• Hợpđồng(Agreement):Tấtcảcácnhânviêncôngty,
nhàthầuhoặcnhânviêntạmthờiđãđượccấpquyềnsửdụngInternet củacông tyđượcyêu cầukývàothỏa thuậnnàybảoxácnhậnsựhiểubiếtcủahọvàchấpnhậnchínhsáchnày
Cáctiêuchuẩn
• Cáctiêu chuẩnrấtquantrọngkhiphát triểnmôitrường TMĐTantoàn.Vídụ,tiêuchuẩn đồngýchomua sắm
máytính, máychủvà tườnglửasẽgiúpcungcấpnhấtquánvàsẽhỗtrợgia tăngsựtin cậytrongmôitrườngkỹ thuật.
Quytrìnhkiểmsoátkỹthuật
• Cácthủtụcđểhỗtrợkiểmsoátkỹthuậtlàrấtquantrọngđặc biệtlànhữngngườicóchỉđịnhvàloạibỏquyềntruycập.Không thuhồiquyềntruycậpcủanhân viênđãđể lạichodoanhnghiệp,cáccánhânvớicácđốitácthứba,là mộtbảomậtquantrọngcủakhôngnhiều
tổchức
Hệthống quảntrịan toàn thông tin
• Mộthệthốngquảntrịantoàn thôngtin chứcnăngđầy
đủsẽcungcấpmộtkhuônkhổtrongđócácđiềukhiểnkỹ thuật,chínhsách,tiêu chuẩnvàcác thủtụccó thểđượcpháttriểnhoạt độngvàxem xét lại.
• ISO/IEC27001làmộttiêu chuẩnquốctếcungcấpmộtkhuônkhổđểthựchànhthông tinantoàn tốt.ThamkhảocáchướngdẫnvềbảovệhệthốngTMĐTcủabạn(Securingyoure-commercesystem)
• Chínhsáchantoàn(SecurityPolicy)
–Thiếtlậpmộtchínhsáchtoàntồntại
–Đưaramộtcamkết quảnlýchínhsách
–Đưaramộtmôtảngắngọnvềcácchínhsách,cácnguyêntắc,tiêu chuẩnvàcác yêu cầutuânthủ
An toàntổchức(Securityorganization)
–Điềukhiểnchỉđịnh phânbổtráchnhiệmantoàncánhân
–Thỏathuậnvớinhucầuvềkiếnthức chuyêngiabảomật
–Xemxét cácmốiquanhệcáchệthốngthông tinvớicácphía bênngoàinhưcácnhàthầu,đốitácvàcác côngtygiacôngphầnmềm
Kiểmsoátvàphânloạitàisản(assetsclassification
andcontrol)
–Đòihỏiviệcbiênsoạnmộtbảngkiểmkê tàisảncủarácảcáchệthốngthông tin
–Chitiếtvềquyềnsởhữu,vịtrí vàtầmquantrọngcũngđượcbaogồm
–Cầnphảicógiấyphépphầnmềmcho tấtcảcáchệđiềuhànhvàphầnmềmứngdụngđanghiệnhành
• An toànnhânviên(Personelsecurity)
• An toànmôitrườngvàan toànvậtlý
• Quảntrịtácnghiệpvàtruyềnthông
• Kiểmsoáttruycập(Accesscontrol)
• Bảotrì vàpháttriểnhệthống(Systemsdevelopmentandmaintenance)
• Quảntrịkinhdoanhliêntục (Businesscontinuity management)
• Sựbằnglòng(Compliance)
KiểmsoátantoànTMĐTphổbiến(Commone-commercesecuritycontrols)
• Xácthựcngườidùng(Userauthentication)
• Kiểmsoáttruycập(Accesscontrol)
• Mãhóadữliệu(Dataencryption)
• Tườnglửa(Firewall)
• Pháthiệnxâm nhập(Intrusiondetection)
Ngănchặncácvấnđềtừvirus,trojanvàworm(Preventingproblemsfrom viruses,Trojansandworms)
• Phầnmềmchốngvirusnênđượcsửdụngđểbảovệchốnglạivirus.Nócó thểpháthiệnvirus,ngănchặntruy cậptớicácfilebịnhiễmvàkiểmdịchbấtkìfilenàobịnhiễm
• Phầnmềmchốngvirus(Anti-virussoftware):
• Virusmáyquét(Virusscanners):phảiđượccậpnhậtthườngxuyên,thườnglà bằngcáchkếtnốiđếntrangweb củanhàcungcấpđểnhậnra cácvirusmới
• PhầnmềmHeuristics:pháthiệnvirusbằngcácháp dụngcácquy tắcchungvềnhữnggìgiốngnhưvirus.Trongkhi nókhôngcầncậpnhậtthườngxuyên,phầnmềmnày cpsthểdễ bịđưacảnhbáo sai.
• Cácmốiđedọalâynhiễmviruscóthểđượcgiảm thiểubằngcách:
• Cáchsửdụngmộtngườikiểmtravirustrênkếtnốiinternetcủabạnđểbẫycảhaicáchnhậpvàdờikhỏicáchệthốngthông tin kinhdoanh
• Chạycheckerviruttrênmáychủđểbẫybấtkì virusnào
đócóquảnlýđểtránhviệckiểmtraởtrên
• Chạycheckervirustrênmáytính cánhâncủangườidùngđểbảođảmrằnghọđãkhông tảivềmộtvirustrựctiếp,hoặcvôtìnhgiớithiệumộtquảngcáothôngquamột
đĩa CDhoặccáchình thứckháccủaphươngtiện diđộng
• CácphươngphápkhácngănngừaVirus (Othermethodsofprevetingviruses)
• Càiđặtphầnmềmbảnválỗiđượccungcấpbởinhàcung
cấpcủacáchệthốngđiềuhànhcủabạnđểđónglỗhổngbảomậtcó thể bịkhaithácbởivirusbằngcáchsửdụngtườnglửađểngănchặntruycậptrái phépvàomạngcủabạn
• Tránhviệctảicácchươngtrìnhtráiphépvàcáctàiliệutừmạngvàđảmbảonhânviêncủabạntuânthủtheochính sáchnày
• Hệthốngcủabạnvẫncó thể bịlâynhiễmngaycảkhi bạnthựchiệncáchướngdẫntrên. Hãy thườngxuyên back-updữliệuvàphầnmềmcủabạnđểbạncó thể thay thế filebịnhiễmvớicácbảnsaosạch.
Cácdịch vụcảnhbáo Virus (Virusalertservices)
• Hãyxem xét đăngkí vàomộtdịchvụhoặcnhà cungcấpngườisẽcungcấpcáccảnhbáoviruschobạn.Mộtsốcósẵntrênmộtcơsởthanh toán,trongkhimộtsốkhácđượccungcấpbởicácnhàcungứngphầnmềmchốngviruschokháchhàngcủahọ.
Phầnmềmchốngphầnmềmgiánđiệp(Anti-spyware
software)
• Cósẵnphầnmềmquét cáchệthốngcủabạnvàpháthiệncácchươngtrìnhphầnmềmgiánđiệpđượcbiết đến.Phầnmềmgiánđiệpsauđócóthể đượcgỡbỏ
(remove)hoặccáchly (Quanrantine).Cũngnhưphần
mềmchốngvirus,điềuquantrọngđểgiữchocậpnhậnphầnmềmnày.
Nhữngnguyêntắccơbảnvềbảovệ
dữliệucá nhân trongTMĐT
• Nguyêntắc1: Ngănngừathiệthại
Mụctiêu: làngănngừaviệcsửdụngbấthợpphápdữliệucánhâncũngnhưnhữngthiệthại phátsinh từcácvi phạmđó
Bảovệdữliệucánhân:nỗlựctựbảovệcánhân,tổchức
tuyêntruyền,phổbiếnnângcaonhậnthức, xâydựng
luậtphápvàcáccơchếthựchiện
Cácbiệnphápchếtài xửlýviphạmvềbảovệdữliệucánhâncầnđượcxâydựngphùhợpvớimứcđộthiệthạitừviệcthu thậphoặcsửdụngthông tintráiphép
Nguyêntắc2:Thôngbáotrước
• Nguyêntắc3:Giớihạnphạmvithuthậpdữliệucánhân
• Nguyêntắc4:Sửdụngdữliệucánhân
• Nguyêntắc5:Quyền lựachọncủachủthể dữliệucánhân
• Nguyêntắc6:Tínhtoànvẹncủadữliệucánhân
• Nguyêntắc7:Anninh,an toàndữliệucánhân
• Nguyêntắc8:Tiếpcậnvàđiềuchỉnhdữliệucánhân
• Nguyêntắc9:Tráchnhiệm
Bạn đang đọc truyện trên: Truyen2U.Com