PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG
Phạm vi áp dụng
Tài liệu này hướng dẫn đánh giá và quản lý rủi ro an toàn thông tin, bao gồm việc xác định mức độ rủi ro, quy trình đánh giá và quản lý rủi ro, cùng với các biện pháp kiểm soát cần thiết.
Đối tượng áp dụng
1 Cơ quan, tổ chức liên quan đến hoạt động đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong cơ quan, tổ chức nhà nước
2 Khuyến khích cơ quan, tổ chức tham khảo, áp dụng tài liệu hướng dẫn này để tăng cường bảo đảm an toàn, an ninh mạng cho hệ thống thông tin thuộc phạm vi quản lý của mình.
Giải thích từ ngữ, định nghĩa
Trong hướng dẫn này, một số từ ngữ được hiểu như sau:
1 Khả năng xảy ra (likelihood): Khả năng xảy ra một sự kiện, có thể được định nghĩa, được đo lường hay được xác định một cách chủ quan hay khách quan, dưới dạng định tính hay định lượng và được mô tả bằng cách sử dụng thuật ngữ chung hoặc bằng toán học (như xác suất hoặc tần suất trong một khoảng thời gian nhất định)
2 Rủi ro (risk): Sự kết hợp giữa hậu quả của một sự kiện an toàn thông tin và khả năng xảy ra kèm theo Rủi ro an toàn thông tin liên quan đến những vấn đề tiềm ẩn mà những mối đe dọa có thể khai thác những điểm yếu của một hoặc một nhóm tài sản thông tin và do đó gây ra thiệt hại đối với tổ chức
3 Đánh giá rủi ro (risk assessment): Quy trình tổng thể bao gồm nhận biết rủi ro, phân tích rủi ro và ước lượng rủi ro
4 Quản lý rủi ro (risk management): Quá trình nhận biết, kiểm soát và giảm thiểu hay loại bỏ rủi ro có thể gây ảnh hưởng đến hệ thống thông tin Quản lý rủi ro bao gồm: đánh giá, xử lý và chấp nhận rủi ro
5 Xử lý rủi ro (risk treatment): Quá trình điều chỉnh rủi ro Xử lý rủi ro để giải quyết các hậu quả tiêu cực, có thể được thực hiện bằng một trong các phương án như giảm nhẹ rủi ro, loại bỏ rủi ro, ngăn chặn rủi ro và giảm bớt rủi ro
6 Mối đe dọa (Threat): Nguyên nhân tiềm ẩn gây ra sự cố không mong muốn, kết quả là có thể gây thiệt hại cho một hệ thống hay tổ chức
7 Điểm yếu (Vulnerability): Nhược điểm của một tài sản hay kiểm soát có khả năng bị khai thác bởi một hay nhiều mối đe dọa
8 Phân tích rủi ro (Risk analysis): Quá trình đánh giá mối nguy (threats) và điểm yếu (Vulnerabilities) của tài sản thông tin.
Nguyên tắc quản lý rủi ro an toàn thông tin
Khi thực hiện quản lý rủi ro an toàn thông tin, các cơ quan, tổ chức cần tuân thủ những nguyên tắc sau: Quản lý rủi ro phải diễn ra thường xuyên và liên tục, phù hợp với quy chế và chính sách bảo đảm an toàn thông tin Việc xử lý rủi ro cần tập trung vào những điểm quan trọng, đảm bảo tính khả thi dựa trên sự cân đối giữa nguồn lực và giá trị mang lại Đồng thời, cần tuân thủ nguyên tắc phân tán rủi ro thông qua các biện pháp phi tập trung nhằm tránh, chuyển giao và giảm thiểu rủi ro.
Tiêu chuẩn tham chiếu
1 TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Các kỹ thuật an toàn
- Hệ thống quản lý an toàn thông tin - Các yêu cầu
2 TCVN 10295:2014- Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro ATTT
3 ISO/IEC 27005:2011, Informatinon Technology Security Techniques Informatinon Security Risk management system
4 NIST SP 800-30r1, Guide for Conducting Risk Assessments.
HƯỚNG DẪN XÁC ĐỊNH MỨC RỦI RO AN TOÀN THÔNG
Nhận biết tài sản
Khi thực hiện quản lý rủi ro an toàn thông tin, việc xem xét tài sản là điều quan trọng hàng đầu Các cơ quan và tổ chức cần xác định và thu thập thông tin đầy đủ về tài sản mà họ quản lý, đặc biệt là các thông tin liên quan đến đặc điểm, vị trí lưu trữ, mức độ quan trọng và giá trị của tài sản đó.
Sau khi xác định từng tài sản, cần tiến hành đánh giá các nguy cơ và điểm yếu liên quan Việc này giúp xác định hậu quả và mức độ ảnh hưởng của rủi ro đối với cơ quan, tổ chức Mức độ ảnh hưởng và khả năng xảy ra sự cố sẽ quyết định các mức rủi ro mà cơ quan, tổ chức cần quản lý và xử lý hiệu quả.
Hướng dẫn này tập trung vào việc bảo vệ hai loại tài sản quan trọng: thông tin và hệ thống thông tin Các cơ quan, tổ chức cần chú ý đến việc xác định rõ ràng tài sản thông tin và hệ thống thông tin của mình để đảm bảo an toàn và bảo mật.
Thông tin là thành phần quan trọng của hệ thống thông tin, và khi hệ thống này được bảo vệ, thông tin cũng sẽ được bảo vệ Trong trường hợp hệ thống chứa nhiều loại thông tin khác nhau với cùng mức độ quan trọng, có thể tồn tại những điểm yếu và mối đe dọa tương tự Do đó, việc nhóm các thông tin này lại để thực hiện đánh giá và quản lý rủi ro là cần thiết.
Một hệ thống thông tin lớn có thể được phân chia thành các hệ thống thông tin thành phần độc lập về chức năng và mục đích sử dụng Để đảm bảo an toàn, việc đánh giá và quản lý rủi ro cần được thực hiện cho từng hệ thống thành phần dựa trên mức độ rủi ro đã xác định.
Thông tin được phân loại thành nhiều loại khác nhau, bao gồm thông tin công khai, thông tin riêng, thông tin cá nhân và thông tin bí mật nhà nước Trong đó, thông tin bí mật nhà nước được chia thành ba mức độ: Mật, Tối Mật và Tuyệt Mật Để xác định đầy đủ các tài sản thông tin trong hệ thống, cần phân loại các loại thông tin như trên Ví dụ, thông tin công khai có thể bao gồm lịch họp và thông cáo báo chí, trong khi thông tin riêng liên quan đến quy trình nghiệp vụ.
Hệ thống thông tin bao gồm nhiều loại hình như hệ thống phục vụ nội bộ cơ quan, hệ thống phục vụ người dân và doanh nghiệp, hệ thống cơ sở hạ tầng thông tin, và hệ thống thông tin điều khiển công nghiệp Việc xác định các hệ thống thông tin cụ thể được quy định tại Điều 4 Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 Để đánh giá giá trị tài sản, cần xem xét các yêu cầu về tính bí mật (C), tính nguyên vẹn (I) và tính sẵn sàng (A) Giá trị tài sản được phân chia thành 05 mức dựa trên tích của các giá trị C, I, A.
Giá trị của thuộc tính bí mật được xác định dựa trên loại thông tin hoặc hệ thống thông tin mà nó xử lý Cụ thể, thông tin công khai được xếp hạng 1, thông tin riêng và thông tin cá nhân có mức độ bảo mật 2, thông tin Mật có thang điểm 3, thông tin Tối Mật được xếp hạng 4, và thông tin Tuyệt Mật đạt mức độ bảo mật cao nhất với thang điểm 5.
Giá trị của thuộc tính nguyên vẹn được xác định dựa trên yêu cầu về mức độ nguyên vẹn của thông tin hoặc loại thông tin mà hệ thống xử lý.
Tính nguyên vẹn được đánh giá theo thang điểm từ 1 đến 5: điểm 1 thể hiện tính nguyên vẹn thấp, điểm 2 thể hiện tính nguyên vẹn trung bình, điểm 3 cho thấy tính nguyên vẹn cao, điểm 4 biểu thị tính nguyên vẹn rất cao, và điểm 5 tương ứng với tính nguyên vẹn tuyệt đối.
Giá trị của thuộc tính sẵn sàng được xác định dựa trên yêu cầu về mức độ sẵn sàng của thông tin hoặc hệ thống thông tin Cụ thể, tính sẵn sàng được phân loại như sau: mức độ sẵn sàng thấp có thang điểm 1, sẵn sàng trung bình thang điểm 2, sẵn sàng cao thang điểm 3, sẵn sàng rất cao thang điểm 4, và sẵn sàng tuyệt đối với thang điểm 5.
Theo đó, giá trị tài sản sẽ được xác định theo giá trị của các thuộc tính C, A,
Giá trị tài sản Giá trị C+I+A
Bảng 1 Bảng giá trị tài sản
Dựa vào giá trị tài sản, chúng ta có thể xác định loại tài sản quan trọng cần được ưu tiên bảo vệ Thông qua các thuộc tính C, A, I của tài sản, ta có thể nhận diện những điểm yếu và mối đe dọa, từ đó đánh giá hậu quả và mức ảnh hưởng đến cơ quan, tổ chức khi xảy ra rủi ro đối với tài sản đó.
Cơ quan, tổ chức có thể tham khảo ví dụ về danh mục tài sản và các giá trị tương ứng tại Phụ lục 3 Hướng dẫn này.
Điểm yếu
Điểm yếu là những yếu tố có thể bị khai thác, dẫn đến mối đe dọa cho tài sản Chúng có thể được xác định qua nhiều tiêu chí và được phân loại thành các nhóm khác nhau Hướng dẫn này sẽ phân loại các điểm yếu thành những nhóm cụ thể để dễ dàng nhận diện và xử lý.
- Nhóm các điểm yếu liên quan đến tồn tại lỗ hổng, điểm yếu an toàn thông tin trong hệ thống;
Các điểm yếu liên quan đến việc thiếu hoặc không thực hiện các biện pháp quản lý bao gồm: không có quy định về việc sử dụng mật khẩu an toàn, không có quy định về lưu trữ dữ liệu có mã hóa và không có quy trình xử lý sự cố rõ ràng.
Để phát hiện các điểm yếu trong hệ thống an toàn thông tin, các cơ quan, tổ chức cần thực hiện kiểm tra và đánh giá an toàn thông tin nhằm xác định các lỗ hổng do thiếu biện pháp kỹ thuật như phòng chống xâm nhập, mã độc và tấn công Việc rà soát quy chế và chính sách bảo đảm an toàn thông tin cũng giúp tìm ra những điểm yếu do không đáp ứng các biện pháp quản lý theo quy định Thêm vào đó, từ kết quả đánh giá, các tổ chức có thể nhận diện thêm các điểm yếu khác ngoài những yêu cầu an toàn cơ bản đã được xác định.
Các cơ quan, tổ chức có thể tham khảo ví dụ về mối liên hệ giữa tài sản, mối đe dọa và điểm yếu trong Phụ lục 1 và Phụ lục 3 của Hướng dẫn này.
Mối đe dọa
Mối đe dọa xuất hiện khi các điểm yếu có khả năng bị khai thác, dẫn đến tác động tiêu cực đối với tài sản cần bảo vệ Những mối đe dọa này có thể đến từ nhiều nguyên nhân, bao gồm cả yếu tố khách quan và chủ quan, cũng như hành động cố ý hoặc vô ý.
Mối đe dọa có thể xuất hiện từ cả bên trong lẫn bên ngoài tổ chức, với khả năng ảnh hưởng đồng thời đến nhiều tài sản khác nhau Tác động của các mối đe dọa này sẽ thay đổi tùy thuộc vào loại tài sản bị ảnh hưởng.
Các mối đe dọa có thể được xác định thông qua các điểm yếu của thông tin và hệ thống thông tin Do đó, việc phân nhóm các điểm yếu sẽ hỗ trợ trong việc nhận diện các mối đe dọa một cách hiệu quả.
Các mối đe dọa có thể được phân loại thành ba nhóm chính: (1) Nhóm đe dọa liên quan đến sự tồn tại, điểm yếu và lỗ hổng trong hệ thống; (2) Nhóm đe dọa do thiếu hụt hoặc không thực hiện các biện pháp quản lý; và (3) Nhóm đe dọa xuất phát từ việc thiếu hụt hoặc không áp dụng các biện pháp kỹ thuật.
Cơ quan, tổ chức có thể tham khảo ví dụ về các mối đe dọa tại Phụ lục 2 Hướng dẫn này.
Đánh giá hậu quả
Hậu quả được xác định khi mối đe dọa ảnh hưởng đến tài sản của cơ quan, tổ chức, gây ra tổn hại Mức ảnh hưởng (Impact) là giá trị dùng để xác định giá trị định lượng của hậu quả.
Việc xác định mức ảnh hưởng có thể dựa vào đối tượng bị ảnh hưởng, bao gồm quyền và lợi ích hợp pháp của tổ chức, cá nhân, lợi ích công cộng, cũng như trật tự, an toàn xã hội, quốc phòng và an ninh Ngoài ra, mức ảnh hưởng cũng có thể được đánh giá dựa trên phạm vi bị ảnh hưởng, chẳng hạn như cấp quốc gia, cơ quan, tổ chức hay cá nhân Hơn nữa, việc xác định hậu quả và mức ảnh hưởng cần xem xét các thuộc tính C và A.
I đối với tài sản như sau:
Tính bảo mật (C) Tính toàn vẹn (I) Tính sẵn sàng (A) Đặc biệt nghiêm trọng
Việc bị lộ thông tin trái phép làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh
Việc sửa đổi hoặc phá hủy trái phép thông tin làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh
Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh
Việc lộ thông tin trái phép gây ra những tổn hại nghiêm trọng đến lợi ích công cộng, trật tự và an toàn xã hội, đồng thời có thể ảnh hưởng xấu đến quốc phòng và an ninh quốc gia.
Việc sửa đổi hoặc phá hủy trái phép thông tin gây ra những tổn hại nghiêm trọng đến lợi ích công cộng, trật tự và an toàn xã hội, đồng thời đe dọa đến quốc phòng và an ninh quốc gia.
Gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin có thể gây tổn hại nghiêm trọng đến lợi ích công cộng, trật tự và an toàn xã hội, đồng thời ảnh hưởng xấu đến quốc phòng và an ninh quốc gia.
Việc lộ thông tin trái phép gây ra tổn hại nghiêm trọng đến sản xuất, lợi ích công cộng và an ninh xã hội, đồng thời ảnh hưởng tiêu cực đến quốc phòng và an ninh quốc gia.
Việc sửa đổi hoặc phá hủy trái phép thông tin có thể gây tổn hại nghiêm trọng đến sản xuất, lợi ích công cộng, trật tự và an toàn xã hội, cũng như ảnh hưởng tiêu cực đến quốc phòng và an ninh quốc gia.
Gián đoạn truy cập hoặc sử dụng thông tin và hệ thống thông tin có thể gây thiệt hại nghiêm trọng cho sản xuất, lợi ích công cộng, trật tự và an toàn xã hội, cũng như ảnh hưởng đến quốc phòng và an ninh quốc gia.
Việc lộ thông tin trái phép gây tổn hại nghiêm trọng đến quyền và lợi ích hợp pháp của tổ chức, cá nhân, đồng thời ảnh hưởng tiêu cực đến lợi ích công cộng.
Việc sửa đổi hoặc phá hủy trái phép thông tin gây tổn hại nghiêm trọng đến quyền và lợi ích hợp pháp của tổ chức, cá nhân, đồng thời ảnh hưởng xấu đến lợi ích công cộng.
Gián đoạn truy cập hoặc sử dụng thông tin và hệ thống thông tin có thể gây thiệt hại nghiêm trọng đến quyền lợi hợp pháp của tổ chức và cá nhân, đồng thời ảnh hưởng tiêu cực đến lợi ích công cộng.
Việc bị lộ thông tin trái phép làm tổn hại tới quyền và lợi ích
Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại tới quyền và lợi ích
Gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin có thể gây tổn hại đến quyền và lợi ích hợp pháp của tổ chức và cá nhân.
Bảng 2 Bảng giá trị Mức ảnh hưởng
Việc xác định hậu quả và mức ảnh hưởng phải dựa trên các tiêu chí cụ thể, tùy thuộc vào mục tiêu, chiến lược và yêu cầu thực tế của từng cơ quan, tổ chức.
Khả năng xảy ra sự cố
Khả năng xảy ra được xác định là xác suất mà một cơ quan hoặc tổ chức phải đối mặt với các hậu quả Để đánh giá khả năng xảy ra sự cố, cần xem xét các yếu tố liên quan.
1 Điểm yếu và khả năng khai thác: Khả năng thu thập thông tin về điểm yếu và các mối đe dọa đối với tài sản; Khả năng khai thác điểm yếu của tài sản; Khả năng thực hiện tấn công lặp lại, duy trì, mở rộng tấn công
2 Thông qua những sự cố đã ghi nhận trong quá khứ: Việc theo dõi, giám sát an toàn thông tin cho hệ thống, ta có thể xác định được tần suất thông tin bị lộ lọt, bị phá hủy, bị thay đổi, bị mã hóa đòi tiền chuộc; hệ thống thông tin bị tấn công làm ngừng hoạt động, bị chiếm quyền điều khiển, bị lợi dụng để tấn công các hệ thống thông tin khác, bị tấn công mã độc, bị tấn công từ chối dịch vụ.v.v
3 Giả định về khả năng xảy ra: Việc xác định khả năng xảy ra cũng có thể dựa trên các giả định về mối đe dọa hoặc dữ liệu về mối đe dọa thực tế từ các nguồn thông tin công khai Ví dụ: dữ liệu lịch sử về các cuộc tấn công mạng, các loại tấn công mạng, xu hướng tấn công mạng, tần suất tấn công, dữ liệu lịch sử về hành vi tội phạm mạng Cơ quan, tổ chức có thể sử dụng dữ liệu thu thập được và thực hiện phân tích, thống kê để xác định xác suất xảy ra sự cố
Khả năng xảy ra sự cố được phân loại thành 05 mức độ, với các tiêu chí xác định rõ ràng Chỉ cần thỏa mãn tối thiểu 01 tiêu chí trong số đó, chúng ta có thể xác định khả năng xảy ra sự cố.
Khả năng xảy ra Tiêu chí xác định
- Lỗ hổng có thể được thu thập từ các nguồn thông tin công khai;
Tấn công từ bên ngoài Internet có thể thực hiện mà không cần quyền truy cập vào hệ thống, nhờ vào việc sử dụng các công cụ khai thác tự động có sẵn trên mạng Điều này cho thấy rằng không cần có trình độ chuyên môn về an toàn thông tin để tiến hành các cuộc tấn công này.
- Có thể thực hiện tấn công lặp lại mà không cần thay đổi thiết lập và các điều kiện kỹ thuật sau lần tấn công đầu tiên
(2) Tần suất: Nhiều hơn 1 lần/tháng
(4) Cơ hội: Dự kiến, chắc chắn sẽ xảy ra trong hầu hết các trường hợp
- Lỗ hổng có thể được thu thập thông qua việc tương tác thụ động với hệ thống từ bên ngoài;
Việc thực hiện tấn công yêu cầu người dùng có quyền tối thiểu và có thể sử dụng các công cụ khai thác tự động được công khai trên mạng Để thực hiện tấn công này, người dùng cần có kiến thức cơ bản về an toàn thông tin.
Có thể tiến hành tấn công lặp lại bằng cách điều chỉnh các thiết lập và điều kiện kỹ thuật cơ bản mà không cần hiểu rõ quy luật thay đổi.
(2) Tần suất: Nhiều hơn 1 lần/quý nhưng ít hơn 1 lần/tháng
(4) Cơ hội: Có khả năng xảy ra trong hầu hết các trường hợp
- Lỗ hổng có thể được thu thập thông qua việc sử dụng các công cụ dò quét từ bên ngoài;
Để thực hiện tấn công, cần có tài khoản đặc quyền và kiến thức về an toàn thông tin; việc này có thể được hỗ trợ bởi các công cụ khai thác tự động.
- Có thể thực hiện tấn công lặp lại và xác định được chắc chắn các tham số cần thiết lập để thực hiện tấn công lặp lại
(2) Tần suất: Có khả năng xảy ra một số lần
(4) Cơ hội: Có khả năng xảy ra một số lần
- Lỗ hổng có thể được thu thập thông qua việc sử dụng các công cụ dò quét trực tiếp từ bên trong hệ thống;
Để thực hiện một cuộc tấn công, cần có tài khoản đặc quyền, sử dụng các công cụ khai thác chuyên dụng và đòi hỏi trình độ cao về an toàn thông tin.
Để thực hiện tấn công lặp lại, cần thay đổi các thiết lập và điều kiện kỹ thuật cơ bản, tuy nhiên, điều quan trọng là phải nắm vững quy luật của những thay đổi này.
(2) Tần suất: Ít hơn 1 lần/năm
(4) Cơ hội: Chỉ xảy ra trong một số trường hợp Ít khi (1)
- Lỗ hổng có thể được thu thập yêu cầu nắm được sâu về thiết kế, cấu trúc hệ thống, mã nguồn ứng dụng;
Để thực hiện tấn công, cần có tài khoản đặc quyền và sử dụng các công cụ khai thác chuyên dụng Ngoài ra, người thực hiện cần có trình độ chuyên gia về an toàn thông tin, và việc khai thác điểm yếu thường đòi hỏi phải lặp lại nhiều lần.
Tấn công lặp lại có thể được thực hiện bằng cách điều chỉnh các thiết lập và điều kiện kỹ thuật, tuy nhiên, điều này đòi hỏi phải hiểu rõ quy luật thay đổi và các tham số cần có mức độ ngẫu nhiên nhất định.
(2) Tần suất: Nhiều hơn 1 lần/quý nhưng ít hơn 1 lần/tháng
Xác định mức rủi ro
Mức rủi ro chia thành 05 mức và được xác định dựa vào hai tham số giá trị tài sản, mức ảnh hưởng và khả năng xảy ra:
Mức rủi ro Giá trị tài sản+Mức ảnh hưởng+Khả năng xảy ra
Dựa vào bảng giá trị mức rủi ro, các cơ quan và tổ chức có thể xác định tài sản, điểm yếu và mối đe dọa cần được ưu tiên xử lý.
QUY TRÌNH ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO
Quy trình tổng quan về đánh giá và xử lý rủi ro
Hoạt động đánh giá và quản lý rủi ro bao gồm bốn bước chính: đầu tiên là thiết lập bối cảnh để hiểu rõ môi trường và các yếu tố liên quan; tiếp theo là đánh giá rủi ro nhằm xác định và phân tích các mối đe dọa tiềm ẩn; sau đó là xử lý rủi ro, nơi các biện pháp giảm thiểu được triển khai; cuối cùng là chấp nhận rủi ro, quyết định xem có nên chấp nhận những rủi ro còn lại hay không.
Quá trình quản lý rủi ro bao gồm hai hoạt động chính: truyền thông và tư vấn rủi ro, cùng với giám sát và soát xét rủi ro Đầu tiên, cơ quan, tổ chức cần thiết lập bối cảnh bằng cách cung cấp thông tin tổng quan về mục tiêu, quy mô và các thành phần của hệ thống cần bảo vệ Tiếp theo, việc đánh giá rủi ro yêu cầu nhận diện, phân tích và ước lượng rủi ro, nhằm xác định tài sản, điểm yếu, mối đe dọa, hậu quả và mức ảnh hưởng khi rủi ro xảy ra Sau đó, cơ quan, tổ chức cần xác định phương án xử lý rủi ro thông qua các biện pháp quản lý và kỹ thuật để giảm thiểu các mối đe dọa Đồng thời, mức chấp nhận rủi ro cũng cần được xác định, bao gồm các rủi ro còn lại sau khi xử lý, vì có thể tồn tại những rủi ro không thể xử lý triệt để Cuối cùng, quá trình truyền thông và tư vấn rủi ro yêu cầu trao đổi, tham vấn ý kiến từ các bên liên quan để thu thập thông tin đầu vào, trong khi quá trình giám sát và soát xét rủi ro đảm bảo tính hiệu quả và tuân thủ trong việc thực hiện đánh giá và xử lý rủi ro.
Cụ thể các bước được trong quy trình đánh giá và xử lý rủi ro hướng dẫn chi tiết như dưới đây.
Thiết lập bối cảnh
3.2.1 Thông tin tổng quan về hệ thống thông tin
Cơ quan, tổ chức cần cung cấp thông tin tổng quan về hệ thống cần bảo vệ, bao gồm mục tiêu, quy mô, phạm vi và các thành phần, với các thông tin chi tiết như sau:
1 Thông tin Chủ quản hệ thống thông tin
2 Thông tin Đơn vị vận hành
3 Chức năng, nhiệm vụ, cơ cấu tổ chức của đơn vị vận hành
4 Các cơ quan, tổ chức liên quan
5 Phạm vi, quy mô của hệ thống
3.2.2 Tiêu chí chấp nhận rủi ro
Việc xử lý toàn bộ rủi ro là một nhiệm vụ khó khăn đối với bất kỳ cơ quan hay tổ chức nào Do đó, cần xem xét giảm thiểu các rủi ro đến mức chấp nhận được.
Tiêu chí chấp nhận rủi ro được xác định dựa trên các chính sách, mục tiêu và mục đích bảo đảm an toàn thông tin của tổ chức, cũng như lợi ích của các bên liên quan.
Mỗi tổ chức cần xác định mức độ chấp nhận rủi ro riêng, dựa trên các tiêu chí như nguồn lực xử lý rủi ro so với hiệu quả đạt được và khả năng xử lý rủi ro phù hợp với điều kiện thực tế của tổ chức.
Tiêu chí chấp nhận rủi ro có thể bao gồm nhiều ngưỡng khác nhau, tùy thuộc vào mục tiêu bảo đảm an toàn thông tin của tổ chức Hướng dẫn này khuyến nghị một số tiêu chí chấp nhận rủi ro để giúp các tổ chức xác định và quản lý rủi ro hiệu quả.
1 Hệ thống thông tin cấp độ cấp độ 5 không chấp nhận tồn tại rủi ro
2 Hệ thống thông tin cấp độ 3 hoặc cấp độ 4, chỉ chấp nhận tồn tại các rủi ro ở mức thấp
3 Hệ thống thông tin cấp độ 1 hoặc cấp độ 2, không chấp nhận tồn tại các rủi ro mức trung bình
3.2.3 Phạm vi và giới hạn
Cơ quan, tổ chức cần xác định rõ phạm vi và giới hạn của việc đánh giá và quản lý rủi ro nhằm bảo vệ toàn bộ tài sản trong quá trình thực hiện Để làm được điều này, cần thu thập và phân tích thông tin liên quan, bao gồm nhưng không giới hạn ở các yếu tố quan trọng khác.
1 Phạm vi quản lý an toàn thông tin a) Các mục tiêu bảo đảm an toàn thông tin của cơ quan, tổ chức b) Các quy định pháp lý phải tuân thủ c) Quy chế, chính sách bảo đảm an toàn thông tin của tổ chức
2 Phạm vi kỹ thuật a) Sơ đồ tổng thể (vật lý, logic) và các thành phần trong hệ thống (thiết bị mạng, bảo mật, máy chủ, thiết bị đầu cuối…) b) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin; c) Danh mục các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống và các ảnh hưởng
3.2.4 Tổ chức thực hiện đánh giá và quản lý rủi ro
Cơ quan, tổ chức cần thiết lập phương án và kế hoạch để đánh giá và quản lý rủi ro an toàn thông tin Nội dung của phương án và kế hoạch, cùng với trách nhiệm của các đơn vị, bộ phận liên quan, cần được tích hợp vào quy chế bảo đảm an toàn thông tin của cơ quan, tổ chức để thực hiện hiệu quả.
Để tổ chức thực hiện đánh giá và quản lý rủi ro an toàn thông tin, cần thực hiện một số nội dung quan trọng, bao gồm việc xác định các tài sản thông tin, đánh giá mức độ rủi ro, thiết lập các biện pháp kiểm soát an ninh, thực hiện các quy trình giám sát và đánh giá định kỳ, cũng như đào tạo nhân viên về nhận thức an toàn thông tin.
1 Phương án, kế hoạch thực hiện đánh giá và quản lý rủi ro
2 Quy trình tổ chức thực hiện đánh giá và quản lý rủi ro
3 Cơ chế phối hợp với các bên liên quan trong quá trình thực hiện
4 Phương án, kế hoạch giám sát quy trình đánh giá và quản lý rủi ro
Cơ quan, tổ chức có thể tham khảo nội dung hướng dẫn xác định các hậu quả tại mục 7 tiêu chuẩn TCVN 10295:2014.
Đánh giá rủi ro
Nhận biết rủi ro là quá trình xác định các rủi ro, hậu quả và mức thiệt hại liên quan Như đã trình bày trong Chương 2, từ mục 2.1 đến 2.3, để xác định rủi ro, các cơ quan và tổ chức cần thực hiện các bước cụ thể.
1 Nhận biết về tài sản để xác định danh mục các tài sản của cơ quan, tổ chức cần bảo vệ bao gồm thông tin, hệ thống thông tin
2 Nhận biết về mối đe dọa để xác định các mối đe dọa đối với mỗi tài sản
3 Nhận biết về điểm yếu để xác định các điểm yếu có thể tồn tại đối với mỗi tài sản
Kết quả của bước nhận biết rủi ro là danh mục các mối đe dọa và điểm yếu đối với các tài sản được xác định
Phân tích rủi ro là bước quan trọng để xác định mức độ ảnh hưởng và hậu quả đối với cơ quan, tổ chức, dựa trên việc nhận biết rủi ro Theo hướng dẫn ở Chương 2, mục 2.4 và 2.5, để thực hiện phân tích rủi ro, các cơ quan, tổ chức cần tuân theo các bước cụ thể nhằm đánh giá và quản lý rủi ro hiệu quả.
1 Đánh giá các hậu quả để xác định mức ảnh hưởng đối với cơ quan, tổ chức khi tài sản bị khai thác điểm yếu gây ra các mối nguy
2 Đánh giá khả năng xảy ra đối với từng loại sự cố
Kết quả của bước phân tích rủi ro là xác định được các hậu quả, mức ảnh hưởng mà cơ quan, tổ chức phải xử lý
3.3.3 Ước lượng rủi ro Ước lượng rủi ro để xác định ra các rủi ro và mức rủi ro tương ứng mà cơ quan, tổ chức phải xử lý Mức rủi ro được xác định dựa vào 02 tham số được xác định ở bước trên là mức ảnh hưởng và khả năng xảy ra sự cố (Như đã hướng dẫn ở Chương 2 tại mục 2.6).
Xử lý rủi ro
Cơ quan, tổ chức có thể áp dụng nhiều phương án khác nhau để xử lý rủi ro nhằm đảm bảo an toàn thông tin Các phương án này bao gồm thay đổi rủi ro, duy trì rủi ro, tránh rủi ro và chia sẻ rủi ro, giúp đạt được các mục tiêu bảo mật của đơn vị.
Thay đổi rủi ro là phương án thực hiện các biện pháp nhằm giảm mức rủi ro đã xác định, với mục tiêu đưa các rủi ro tồn đọng về mức chấp nhận được Để thực hiện phương án này, các cơ quan, tổ chức cần xây dựng hệ thống biện pháp kiểm soát phù hợp, dựa trên các tiêu chí về chi phí, đầu tư và thời gian triển khai Việc lựa chọn biện pháp phải cân nhắc giữa nguồn lực bỏ ra và lợi ích mang lại cho tổ chức Các biện pháp kiểm soát rủi ro được phân chia thành hai nhóm chính: quản lý và kỹ thuật, được hướng dẫn chi tiết tại Chương 4.
Duy trì rủi ro là chiến lược chấp nhận các rủi ro đã xác định mà không áp dụng biện pháp giảm thiểu nào Việc lựa chọn rủi ro có thể chấp nhận được phụ thuộc vào mức độ rủi ro và tiêu chí chấp nhận cụ thể.
Tránh rủi ro là phương án xử lý khi cơ quan, tổ chức đối mặt với mức rủi ro quá cao Phương án này bao gồm việc thay đổi, loại bỏ hoặc dừng hoạt động của hệ thống và quy trình nghiệp vụ nhằm tránh rủi ro đã xác định Đây là lựa chọn phù hợp khi rủi ro vượt quá khả năng chấp nhận của tổ chức.
Chia sẻ rủi ro là phương án chuyển giao một phần rủi ro cho cơ quan hoặc tổ chức khác Phương án này thường được áp dụng khi cơ quan, tổ chức nhận thấy rằng việc xử lý rủi ro cần có chuyên môn hoặc nguồn lực mà các tổ chức khác có thể cung cấp tốt hơn.
Chấp nhận rủi ro
Chấp nhận rủi ro là quá trình đánh giá các rủi ro còn tồn tại và chưa được xử lý để xác định mức độ rủi ro sau khi đã thực hiện các biện pháp xử lý có thể chấp nhận được hay không.
Rủi ro tồn đọng được chấp nhận khi mức rủi ro được xác định là thấp hơn mức rủi ro mà cơ quan, tổ chức có thể chấp nhận, dựa trên tiêu chí chấp nhận rủi ro đã nêu tại Mục 3.2.2.
Truyền thông và tư vấn rủi ro an toàn thông tin
Truyền thông và tư vấn rủi ro an toàn thông tin là hoạt động quan trọng nhằm nâng cao nhận thức cho các bên liên quan về đánh giá và quản lý rủi ro Hoạt động này không chỉ giúp các bên thống nhất quan điểm mà còn hỗ trợ trong việc lựa chọn phương án chia sẻ rủi ro hiệu quả.
Các cơ quan và tổ chức cần lập kế hoạch truyền thông rủi ro một cách định kỳ hoặc khi có sự cố bất ngờ Hoạt động truyền thông rủi ro cần được duy trì liên tục và thực hiện thường xuyên để đảm bảo hiệu quả.
Cơ quan, tổ chức có thể tham khảo nội dung hướng dẫn xác định các hậu quả tại mục 11 tiêu chuẩn TCVN 10295:2014.
Giám sát và soát xét rủi ro an toàn thông tin
Giám sát và soát xét rủi ro là quá trình quan trọng để đảm bảo hoạt động đánh giá và quản lý rủi ro an toàn thông tin diễn ra liên tục và tuân thủ các quy chế, chính sách bảo mật của cơ quan, tổ chức.
3.7.1 Giám sát và soát xét các yếu tố rủi ro
Rủi ro có thể biểu hiện dưới dạng sự không ổn định, mối đe dọa, điểm yếu và khả năng xảy ra hoặc hậu quả có thể thay đổi mà không có dấu hiệu trước Vì vậy, việc kiểm tra liên tục là cần thiết để kịp thời phát hiện những thay đổi này.
Việc giám sát và soát xét các yếu tố rủi ro cần bảo đảm các yếu tố sau:
1 Quản lý được các tài sản mới, sự thay đổi của tài sản, giá trị của tài sản
2 Sự thay đổi, xuất hiện mới các mối đe dọa
3 Sự thay đổi, xuất hiện mới các điểm yếu
4 Sự thay đổi, xuất hiện mới các rủi ro
Việc giám sát và soát xét các yếu tố rủi ro mang lại kết quả là cập nhật thường xuyên và liên tục sự thay đổi của các yếu tố rủi ro đã được đề cập.
3.7.2 Giám sát soát xét và cải tiến quản lý rủi ro Để bảo đảm hoạt động đánh giá và quản lý rủi ro an toàn thông tin được mang lại hiệu quả, việc giám sát, soát xét và cải tiến quy trình quản lý rủi ro an toàn thông tin cần được thực hiện thường xuyên, liên tục
Các tiêu chí giám sát, soát xét và cải tiến quản lý rủi ro bao gồm các yếu tố như quy định pháp lý, phương pháp đánh giá rủi ro, loại tài sản và giá trị tài sản, tiêu chí tác động, ước lượng rủi ro, chấp nhận rủi ro, cùng với các nguồn lực cần thiết để đảm bảo hiệu quả trong quản lý rủi ro.
Cơ quan, tổ chức có thể tham khảo nội dung hướng dẫn xác định các hậu quả tại mục 12 tiêu chuẩn TCVN 10295:2014.
BIỆN PHÁP KIỂM SOÁT RỦI RO
Hướng dẫn chung
Theo quy định pháp luật, hệ thống thông tin phải đảm bảo các yêu cầu an toàn tối thiểu, nhưng mỗi hệ thống có đặc thù và mức độ an toàn riêng Do đó, các cơ quan, tổ chức cần đánh giá và quản lý rủi ro để rà soát và bổ sung các biện pháp kiểm soát rủi ro phù hợp với yêu cầu thực tế Khi triển khai các biện pháp này, cần xem xét các yêu cầu cơ bản đã có Nếu biện pháp đã có trong yêu cầu cơ bản, cần thực hiện theo quy định; nếu cần bổ sung yêu cầu an toàn mới, cần đưa ra phương án cụ thể để thực hiện.
Các biện pháp kiểm soát cơ bản đối với hệ thống thông tin được quy định trong Điều 19 Nghị định 85/2016/NĐ-CP và các Thông tư liên quan Các yêu cầu an toàn được phân chia thành hai nhóm chính: yêu cầu quản lý và yêu cầu kỹ thuật Yêu cầu kỹ thuật tập trung vào thiết kế và giải pháp công nghệ trong quá trình xây dựng hệ thống, trong khi yêu cầu quản lý đề cập đến chính sách, quy trình và tổ chức nhằm bảo đảm an toàn thông tin trong quá trình vận hành và khai thác hệ thống.
Các biện pháp kiểm soát đưa ra trong TCVN 11930:2017 được phân thành
Hệ thống thông tin cần được bảo vệ theo 05 mức độ khác nhau Khi lựa chọn biện pháp kiểm soát rủi ro, cần dựa vào mức độ rủi ro để xác định các biện pháp phù hợp theo TCVN 11930:2017 và các tiêu chuẩn liên quan Chẳng hạn, nếu mức ảnh hưởng được xác định là cấp độ 5, thì các biện pháp kiểm soát cần được áp dụng sẽ tương ứng với cấp độ 5 trong TCVN 11930:2017.
Các biện pháp bổ sung là những biện pháp cần thiết cho hệ thống thông tin ở cấp độ cao hơn Chẳng hạn, nếu một hệ thống thông tin được phân loại ở cấp độ 3, thì cần áp dụng các biện pháp kiểm soát tương ứng với hệ thống thông tin ở cấp độ này.
4, thì các biện pháp này được coi là biện pháp bổ sung
Các cơ quan, tổ chức có thể tham khảo hai bộ tiêu chuẩn ISP/IEC 27000 cho các biện pháp quản lý và SP800-53 cho các biện pháp kỹ thuật nhằm tăng cường kiểm soát bổ sung.
Các biện pháp kiểm soát kiểm soát cơ bản và bổ sung được hướng dẫn cụ thể như dưới đây.
Biện pháp kiểm soát về quản lý
4.2.1 Các yêu cầu an toàn cơ bản theo TCVN 11930
4.2.1.1 Mục tiêu, nguyên tắc bảo đảm an toàn thông tin Đưa ra mục tiêu, nguyên tắc bảo đảm an toàn thông tin của tổ chức
4.2.1.2 Trách nhiệm bảo đảm an toàn thông tin Đưa ra các quy định về trách nhiệm bảo đảm an toàn thông tin của đơn vị chuyên trách về an toàn thông tin, các cán bộ làm về an toàn thông tin và các đối tượng thuộc phạm vi điều chỉnh của chính sách an toàn thông tin
4.2.1.3 Phạm vi chính sách an toàn thông tin Đưa ra phạm vi chính sách, đối tượng áp dụng chính sách bảo đảm an toàn thông tin của tổ chức
4.2.1.4 Tổ chức bảo đảm an toàn thông tin
Cơ cấu tổ chức bảo đảm an toàn thông tin của tổ chức cần được xác định rõ ràng, bao gồm đơn vị chuyên trách về an toàn thông tin và cơ chế phối hợp với các cơ quan, tổ chức có thẩm quyền Để đảm bảo nguồn nhân lực cho an toàn thông tin, tổ chức cần xây dựng chính sách và quy trình quản lý, bao gồm tuyển dụng cán bộ và quy định bảo đảm an toàn thông tin trong quá trình làm việc cũng như khi chấm dứt hoặc thay đổi công việc.
4.2.1.6 Quản lý thiết kế, xây dựng hệ thống Đưa ra chính sách/quy trình thực hiện quản lý thiết kế, xây dựng hệ thống của tổ chức, bao gồm: Thiết kế an toàn hệ thống thông tin; Phát triển phần mềm thuê khoán; Thử nghiệm và nghiệm thu hệ thống
4.2.1.7 Quản lý vận hành hệ thống a) Quản lý an toàn mạng: Đưa ra chính sách/quy trình thực hiện quản lý an toàn hạ tầng mạng của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường của hệ thống; Cập nhật, sao lưu dự phòng và khôi phục hệ thống sau khi xảy ra sự cố; Truy cập và quản lý cấu hình hệ thống; Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác b) Quản lý an toàn máy chủ và ứng dụng: Đưa ra chính sách/quy trình thực hiện quản lý an toàn máy chủ và ứng dụng của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ; Truy cập mạng của máy chủ; Truy cập và quản trị máy chủ và ứng dụng; Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố; Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống; Kết nối và gỡ bỏ hệ thống máy chủ và dịch vụ khỏi hệ thống; Cấu hình tối ưu và tăng cường bảo mật cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác c) Quản lý an toàn dữ liệu: Đưa ra chính sách/quy trình thực hiện quản lý an toàn dữ liệu của tổ chức, bao gồm: Yêu cầu an toàn đối với phương pháp mã hóa; Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa; Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu; Trao đổi dữ liệu qua môi trường mạng và phương tiện lưu trữ; Sao lưu dự phòng và khôi phục dữ liệu; Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ d) Quản lý an toàn thiết bị đầu cuối: Đưa ra chính sách/quy trình thực hiện quản lý an toàn thiết bị đầu cuối của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường cho thiết bị đầu cuối; Kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa; Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống; Cấu hình tối ưu và tăng cường bảo mật cho máy tính người sử dụng; Kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin cho thiết bị đầu cuối đ) Quản lý phòng chống phần mềm độc hại: Đưa ra chính sách/quy trình thực hiện quản lý phòng chống phần mềm độc hại của tổ chức, bao gồm: Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; Cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động và việc truy cập các trang thông tin trên mạng; Gửi nhận tập tin qua môi trường mạng và các phương tiện lưu trữ di động; Thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; Kiểm tra và xử lý phần mềm độc hại e) Quản lý giám sát an toàn hệ thống thông tin: Đưa ra chính sách/quy trình thực hiện quản lý phòng chống phần mềm độc hại của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường của hệ thống giám sát; Đối tượng giám sát bao gồm; Kết nối và gửi nhật ký hệ thống; Truy cập và quản trị hệ thống giám sát;
Để đảm bảo an toàn thông tin, tổ chức cần giám sát và lưu trữ thông tin một cách hiệu quả, theo dõi và cảnh báo các sự cố Quản lý điểm yếu an toàn thông tin là yếu tố quan trọng, bao gồm việc thiết lập chính sách quản lý, cập nhật thông tin về các điểm yếu, phân loại và đánh giá mức độ nghiêm trọng, cũng như phối hợp với các chuyên gia để xử lý trước khi hệ thống được đưa vào sử dụng Đối với quản lý sự cố an toàn thông tin, tổ chức cần xây dựng quy trình phân nhóm, phát hiện, phân loại và ứng phó với sự cố, bao gồm cả kế hoạch ứng cứu cho các tình huống thông thường và nghiêm trọng Cuối cùng, việc quản lý an toàn người sử dụng đầu cuối cũng cần được chú trọng, với các biện pháp quản lý truy cập, sử dụng tài nguyên nội bộ và đảm bảo cài đặt máy tính an toàn.
4.2.2 Các yêu cầu an toàn bổ sung
Cơ quan, tổ chức có thể tham khảo các biện pháp kiểm sát theo tiêu chuẩn TCVN ISO/IEC 27002:2020, bao gồm 15 nhóm biện pháp kiểm soát như sau: Chính sách an toàn thông tin, Tổ chức bảo đảm an toàn thông tin, An toàn nguồn nhân lực, Quản lý tài sản, Kiểm soát truy cập, Mật mã, An toàn vật lý và môi trường, An toàn vận hành, An toàn truyền thông, Tiếp nhận, phát triển và bảo trì hệ thống, Các mối quan hệ với nhà cung cấp, Quản lý sự cố an toàn thông tin, Các khía cạnh an toàn thông tin trong quản lý hoạt động nghiệp vụ liên tục, và Soát xét về an toàn thông tin.
Biện pháp kiểm soát về kỹ thuật
4.3.1 Các yêu cầu an toàn cơ bản theo TCVN 11930
4.3.1.1 Bảo đảm an toàn mạng a) Thiết kế hệ thống
- Đưa ra yêu cầu về thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng
Để đảm bảo an toàn cho hệ thống mạng, cần triển khai các biện pháp bảo vệ cụ thể như quản lý truy cập an toàn, giám sát hệ thống thông tin tập trung và phòng chống xâm nhập Cần có phương án quản lý truy cập giữa các vùng mạng, cân bằng tải và dự phòng nóng cho thiết bị mạng, cũng như bảo vệ máy chủ cơ sở dữ liệu và ngăn chặn phần mềm độc hại Kiểm soát truy cập từ bên ngoài và bên trong mạng, bao gồm phân quyền truy cập và giới hạn kết nối, là điều thiết yếu Hệ thống cũng cần được quản lý nhật ký để theo dõi hoạt động và đảm bảo an toàn thông tin Việc triển khai các thiết bị phòng chống xâm nhập và phần mềm độc hại, cùng với bảo vệ thiết bị hệ thống, sẽ giúp duy trì an toàn cho toàn bộ hệ thống trong quá trình vận hành.
4.3.1.2 Bảo đảm an toàn máy chủ a) Xác thực: Đưa ra biện pháp cấu hình/thiết lập chính sách xác thực trên máy chủ để bảo đảm việc xác thực khi đăng nhập vào máy chủ an toàn b) Kiểm soát truy cập: Đưa ra biện pháp cấu hình/thiết lập chính sách kiểm soát truy cập trên máy chủ để bảo đảm việc truy cập, sử dụng máy chủ an toàn sau khi đăng nhập thành công c) Nhật ký hệ thống: Đưa ra biện pháp quản lý nhật ký hệ thống (log) trên các máy chủ về: Bật chức năng ghi log; Thông tin ghi log; Thời gian, Dung lượng ghi log; Quản lý log d) Phòng chống xâm nhập: Đưa ra biện pháp cấu hình/thiết lập cấu hình bảo mật trên máy chủ để bảo bảo vệ tấn công xâm nhập từ bên ngoài đ) Phòng chống phần mềm độc hại: Đưa ra biện pháp cấu hình/thiết lập cấu hình bảo mật trên máy chủ về: Cài đặt phần mềm phòng chống mã độc; Dò quét mã độc; Xử lý mã độc; Quản lý tập trung phần mềm phòng chống mã độc để phòng chống mã độc cho máy chủ e) Xử lý máy chủ khi chuyển giao: Đưa ra biện pháp xóa sạch dữ liệu; sao lưu dự phòng dữ liệu khi chuyển giao hoặc thay đổi mục đích sử dụng
4.3.1.3 Bảo đảm an toàn ứng dụng a) Xác thực Đưa ra biện pháp cấu hình/thiết lập chính sách xác thực trên ứng dụng để bảo đảm việc xác thực khi đăng nhập vào máy chủ an toàn b) Kiểm soát truy cập: Đưa ra biện pháp cấu hình/thiết lập chính sách kiểm soát truy cập trên ứng dụng để bảo đảm việc truy cập, sử dụng ứng dụng an toàn sau khi đăng nhập thành công c) Nhật ký hệ thống: Đưa ra biện pháp quản lý nhật ký hệ thống (log) trên các ứng dụng về: Bật chức năng ghi log; Thông tin ghi log; Thời gian, dung lượng ghi log; Quản lý log d) Bảo mật thông tin liên lạc: Đưa ra biện pháp mã hóa và sử dụng giao thức mạng hoặc kênh kết nối mạng an toàn khi trao đổi dữ liệu qua môi trường mạng đ) Chống chối bỏ: Đưa ra biện pháp sử dụng và bảo vệ chữ ký số để bảo vệ tính bí mật và chống chối bỏ khi gửi/nhận thông tin quan trọng qua mạng e) An toàn ứng dụng và mã nguồn: Đưa ra biện pháp cấu hình/thiết lập chức năng bảo mật cho ứng dụng và phương án bảo vệ mã nguồn ứng dụng
4.3.1.4 Bảo đảm an toàn dữ liệu a) Nguyên vẹn dữ liệu: Đưa ra biện pháp lưu trữ, quản lý thay đổi, khôi phục dữ liệu bảo đảm tính nguyên vẹn của dữ liệu b) Bảo mật dữ liệu: Đưa ra biện pháp lưu trữ, quản lý thay đổi, khôi phục dữ liệu bảo đảm tính bí mật của dữ liệu c) Sao lưu dự phòng: Đưa ra biện pháp sao lưu dự phòng dữ liệu: Các thông tin yêu cầu sao lưu dự phòng; Phân loại dữ liệu sao lưu dự phòng; Hệ thống sao lưu dự phòng…
4.3.2 Các yêu cầu an toàn bổ sung
Cơ quan, tổ chức có thể tham khảo các tiêu chuẩn quốc tế để xác định biện pháp bổ sung cho quản lý sự cố an toàn thông tin, giám sát, kiểm tra và đánh giá an toàn thông tin Các tiêu chuẩn này cũng bao gồm kỹ thuật an toàn mạng, an toàn máy chủ, an toàn thông tin cho ứng dụng, an toàn dữ liệu và an toàn thiết bị đầu cuối Danh mục các tiêu chuẩn cụ thể được nêu tại Phụ lục 4 của hướng dẫn này.
