CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –QUẢN LÝ AN TOÀN THÔNG TIN CHO TRUYỀN THÔNG LIÊN TỔ CHỨC, LIÊN NGÀNH

Giới thiệu

Hệ thống quản lý an toàn thông tin cho truyền thông liên ngành và liên tổ chức được hướng dẫn chi tiết trong các điều từ điều 5 đến điều 15 của tiêu chuẩn này, nhằm đảm bảo việc bảo vệ thông tin và nâng cao hiệu quả quản lý an toàn thông tin trong các tổ chức.

TCVN ISO/IEC 27002:2011 đề xuất các biện pháp quản lý nhằm đảm bảo việc trao đổi thông tin giữa các tổ chức, đồng thời quản lý việc công khai thông tin Trong một số trường hợp, việc chia sẻ thông tin nhạy cảm chỉ nên giới hạn trong cộng đồng các tổ chức, nơi thông tin không thể công khai Thông tin thường chỉ được cung cấp cho cá nhân cụ thể trong từng tổ chức hoặc yêu cầu bảo mật như ẩn danh Tiêu chuẩn này bổ sung các biện pháp quản lý tiềm năng và cung cấp hướng dẫn chi tiết để đáp ứng yêu cầu an toàn trong việc trao đổi thông tin liên tổ chức và liên ngành.

Cộng đồng chia sẻ thông tin

Để tối ưu hóa hiệu quả trong việc chia sẻ thông tin, các cộng đồng cần phải có lợi ích chung hoặc mối quan hệ liên kết để xác định rõ ràng phạm vi thông tin nhạy cảm Chẳng hạn, các cộng đồng có thể bao gồm các thị trường cụ thể, giới hạn thành viên trong các tổ chức thuộc cùng một ngành Ngoài ra, việc chia sẻ thông tin cũng có thể dựa trên các lợi ích chung khác như vị trí địa lý hoặc quyền sở hữu chung.

Quản lý cộng đồng

Cộng đồng chia sẻ thông tin thường được hình thành từ các tổ chức độc lập hoặc các bộ phận trong tổ chức, dẫn đến sự không rõ ràng và thiếu thống nhất về cơ cấu tổ chức cũng như chức năng quản lý cho tất cả các thành viên Để đảm bảo hiệu quả trong quản lý an toàn thông tin, cần có sự cam kết mạnh mẽ từ ban quản lý Do đó, việc định nghĩa rõ ràng các cơ cấu tổ chức và chức năng quản lý liên quan đến an toàn thông tin trong cộng đồng là rất quan trọng.

Sự khác nhau giữa các tổ chức thành viên của cộng đồng chia sẻ thông tin phải được xem xét Sự khác nhau này có thể bao gồm:

- Liệu các tổ chức thành viên đã vận hành hệ thống quản lý an toàn thông tin riêng của họ chưa, và

- Các quy tắc của các tổ chức thành viên về việc bảo vệ tài sản và tiết lộ thông tin.

Các thực thể hỗ trợ

Các cộng đồng chia sẻ thông tin thường quyết định thiết lập một thực thể hỗ trợ trung tâm nhằm tổ chức và thúc đẩy việc chia sẻ thông tin Thực thể này có khả năng cung cấp nhiều biện pháp quản lý hỗ trợ, bao gồm việc ẩn danh nguồn gốc và người nhận, giúp quá trình chia sẻ trở nên dễ dàng và hiệu quả hơn so với việc giao tiếp trực tiếp giữa các thành viên.

Trong việc tạo ra thực thể hỗ trợ, có nhiều mô hình tổ chức khác nhau được áp dụng Tiêu chuẩn này nêu rõ hai mô hình phổ biến, bao gồm thực thể truyền thông thông tin đáng tin cậy (TICE) và điểm báo cáo, tư vấn và cảnh báo (WARP), được mô tả chi tiết trong phụ lục D.

Truyền thông liên ngành

Nhiều cộng đồng chia sẻ thông tin trong các ngành khác nhau có lợi ích chung, tuy nhiên, thông tin này cũng có thể mang lại lợi ích cho các cộng đồng chia sẻ thông tin ở những lĩnh vực khác Do đó, có thể hình thành các cộng đồng chia sẻ thông tin liên ngành dựa trên những lợi ích chung, đặc biệt là bản chất của thông tin được chia sẻ Truyền thông liên ngành chính là cầu nối giữa các cộng đồng này.

Truyền thông liên ngành được thúc đẩy mạnh mẽ nhờ sự hỗ trợ từ các thực thể trong cộng đồng, giúp chia sẻ thông tin hiệu quả Điều này cho phép thiết lập các biện pháp quản lý và thỏa thuận trao đổi thông tin cần thiết giữa các thực thể hỗ trợ, thay vì giữa tất cả các thành viên trong cộng đồng Ngoài ra, một số hình thức truyền thông liên ngành có thể yêu cầu ẩn danh các tổ chức nguồn gốc hoặc tổ chức nhận, điều này cũng có thể được thực hiện thông qua sự hỗ trợ của các thực thể.

Tính phù hợp

Hệ thống quản lý an toàn thông tin (ISMS) phải tuân thủ TCVN ISO/IEC 27001:2009 và áp dụng các biện pháp quản lý theo TCVN ISO/IEC 27002:2011 Các tiêu chuẩn này và các nguồn tài liệu khác có thể được đánh giá phù hợp với TCVN ISO/IEC 27001:2009 mà không cần phải sửa đổi hay bổ sung thêm.

TCVN ISO/IEC 27001:2009 có một số điểm cần làm rõ khi áp dụng cho cộng đồng chia sẻ thông tin, đặc biệt là trong bối cảnh truyền thông liên ngành Một trong những điểm quan trọng là cần giải thích rõ ràng về định nghĩa tổ chức liên quan trong tiêu chuẩn này.

TCVN ISO/IEC 27001:2009 yêu cầu tổ chức thiết lập và vận hành Hệ thống Quản lý An ninh Thông tin (ISMS) trong bối cảnh hoạt động nghiệp vụ và các rủi ro mà họ phải đối mặt Trong bối cảnh này, cộng đồng chia sẻ thông tin đóng vai trò quan trọng, và các thành viên trong cộng đồng sẽ tự tổ chức để đảm bảo an toàn thông tin hiệu quả.

Ak là tổ chức thành viên k của cộng đồng (k= 1…n), bao gồm cả thực thể hỗ trợ

Hình 1 – Các cộng đồng và các tổ chức

Trong nhiều cộng đồng chia sẻ thông tin, không phải tất cả các thành viên đều được phép truy cập vào thông tin nhạy cảm Một số thành viên nằm trong phạm vi của hệ thống quản lý an toàn thông tin, trong khi những người khác không Chỉ những thông tin được đánh dấu cho phát hành rộng rãi mới có thể được truy cập bởi các thành viên ngoài phạm vi cộng đồng.

Hình 2 – Một phần thành viên cộng đồng trong phạm vi chia sẻ thông tin.

Các thành viên trong cộng đồng chia sẻ thông tin có thể sở hữu hệ thống quản lý an toàn thông tin riêng, dẫn đến việc một số quy trình có thể thuộc về cả hệ thống của thành viên lẫn cộng đồng Điều này có thể tạo ra khả năng lý thuyết về sự không tương thích và mâu thuẫn giữa các yêu cầu trong các quy trình đó Trường hợp này có thể được loại trừ khỏi phạm vi của hệ thống quản lý an toàn thông tin của thành viên, như được nêu trong điều 4.2.1 a) của TCVN ISO/IEC 27001:2009.

Khi lựa chọn phương pháp đánh giá rủi ro theo TCVN ISO/IEC 27001:2009, cộng đồng chia sẻ thông tin cần nhận thức rằng tác động của rủi ro có thể khác nhau đối với từng thành viên Vì vậy, việc chọn một phương pháp đánh giá rủi ro phù hợp là cần thiết để xử lý các tác động không đồng nhất, bao gồm cả việc xác định các tiêu chí đánh giá rủi ro.

Để đo hiệu lực của các biện pháp quản lý theo TCVN ISO/IEC 27001:2009, sự tham gia của tất cả thành viên trong cộng đồng chia sẻ thông tin là rất quan trọng Mỗi thành viên cần cung cấp phản hồi định kỳ cho nhà cung cấp thông tin và cộng đồng về hiệu quả của các biện pháp quản lý trong môi trường cụ thể của họ.

Mô hình truyền thông

Truyền thông thông tin nhạy cảm theo tiêu chuẩn này có thể tồn tại dưới nhiều hình thức, bao gồm văn bản, lời nói hoặc điện tử, nhằm đáp ứng các yêu cầu quản lý cụ thể Trong các phần tiếp theo của tiêu chuẩn, truyền thông nhạy cảm cá nhân sẽ được mô tả từ góc độ của các bên tham gia.

Nguồn gốc của một danh mục thông tin có thể đến từ cá nhân hoặc tổ chức tạo ra nó, và không nhất thiết phải là một thành viên trong cộng đồng.

Người khởi tạo là thành viên trong cộng đồng chia sẻ thông tin, có vai trò phổ biến thông tin đến các thành viên khác Họ có thể phát tán thông tin trực tiếp hoặc thông qua một thực thể hỗ trợ Đáng lưu ý, người khởi tạo và nguồn gốc thông tin không nhất thiết phải trùng khớp; họ có thể ẩn danh và che giấu danh tính của nguồn gốc thông tin Các cộng đồng này thường cung cấp các công cụ giúp thành viên bảo vệ danh tính của mình khi thực hiện vai trò người khởi tạo.

Người nhận là cá nhân hoặc nhóm nhận thông tin được chia sẻ trong cộng đồng, không nhất thiết phải là thành viên của cộng đồng đó Nếu thông tin đã được xác định sẵn sàng cho việc phổ biến rộng rãi, người nhận có thể không thuộc cộng đồng Các cộng đồng thường cung cấp các phương tiện để người nhận có thể ẩn danh, bảo vệ danh tính của họ khỏi người khởi tạo thông tin.

5 Chính sách an toàn thông tin

Chính sách an toàn thông tin

Tài liệu chính sách an toàn thông tin

Xem 4.1.1 của TCVN ISO/IEC 27002:2011 và bổ sung thêm hướng dẫn sau:

Tài liệu chính sách an toàn thông tin cần thiết lập cách thức cộng đồng hợp tác để xây dựng và quản lý các chính sách an toàn thông tin hiệu quả Nó phải được cung cấp cho tất cả nhân viên tham gia vào việc chia sẻ thông tin, đảm bảo rằng mọi người đều có quyền truy cập Đồng thời, chính sách cũng có thể quy định việc hạn chế chia sẻ tài liệu giữa các nhân viên của các thành viên trong cộng đồng.

Tài liệu chính sách an toàn thông tin phải đưa ra chính sách phổ biến và đánh dấu thông tin được sử dụng trong cộng đồng.

Soát xét lại chính sách an toàn thông tin

Xem 4.1.2 của TCVN ISO/IfEC 27002:2011 và bổ sung thêm hướng dẫn sau:

Để triển khai đầu vào quy trình soát xét, ban quản lý cần cung cấp thông tin chi tiết về những thay đổi quan trọng liên quan đến tất cả các thành viên trong cộng đồng chia sẻ thông tin.

6 Tổ chức đảm bảo an toàn thông tin

Tổ chức nội bộ

Không có thêm thông tin cụ thể nào cho truyền thông liên ngành liên tổ chức.

Các bên tham gia bên ngoài

Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

Giải quyết an toàn khi làm việc với khách hàng

Giải quyết an toàn trong các thỏa thuận với bên thứ ba

Tất cả thành viên trong cộng đồng cần nhận thức rõ về các điểm nhận dạng của bên thứ ba liên quan đến dịch vụ cộng đồng, đặc biệt khi bên thứ ba có kháng nghị đối với các bên liên quan trong việc xử lý thông tin mà họ cung cấp.

Các thỏa thuận với nhà sản xuất và nhà cung cấp dịch vụ cộng đồng cần phải bao gồm điều khoản cho phép thực hiện đánh giá và kiểm tra an toàn định kỳ đối với các dịch vụ mà họ cung cấp.

Trách nhiệm đối với tài sản

Kiểm kê tài sản

Quyền sở hữu tài sản

Sử dụng hợp lý tài sản

Thông tin từ các thành viên trong cộng đồng chia sẻ không chỉ là tài sản quý giá mà còn cần được bảo vệ và phát triển theo các quy tắc do cộng đồng hoặc người khởi tạo đề ra.

Phân loại thông tin

Hướng dẫn phân loại

Xem 6.2.1 của TCVN ISO/IEC 27002:2011 và bổ sung:

Thông tin phải được phân loại theo giá trị, yêu cầu pháp lý, độ nhạy cảm, độ tin cậy và độ quan trọng của chúng đối với tổ chức.

Theo tiêu chí trong TCVN ISO/IEC 27002:2011, thông tin cần được phân loại dựa trên độ tin cậy Việc này yêu cầu đánh giá uy tín của nguồn tin, nội dung kỹ thuật và chất lượng mô tả để đảm bảo tính chính xác và đáng tin cậy của thông tin.

Độ nhạy cảm của thông tin không chỉ phụ thuộc vào nhu cầu bảo mật mà còn bị ảnh hưởng bởi nhiều yếu tố khác như tác động của việc tiết lộ thông tin, mức độ phổ biến khẩn cấp và khả năng bảo vệ nguồn gốc thông tin.

Phải giải thích rõ ràng các cách đánh dấu phân loại được ấn định bởi các thành viên khác của cộng đồng chia sẻ thông tin.

Khi một email từ khách hàng hiển thị thông điệp “Vui lòng xem điều này như thông tin mật”, điều này có thể dẫn đến sự nhầm lẫn về ý định của người gửi Nếu tiêu đề email chứa cụm từ “thông tin mật công ty” (theo RFC 4021), thì không rõ ràng liệu thông tin này chỉ mang tính chất nhạy cảm đối với công ty hay chỉ dành riêng cho người nhận.

Gắn nhãn và xử lý thông tin

Bảo vệ trao đổi thông tin

Phổ biến thông tin

Việc phổ biến thông tin bên trong thành viên nhận phải bị giới hạn dựa vào các đánh dấu phổ biến được xác định trước bởi cộng đồng.

Thông tin không có đánh dấu phát tán rõ ràng cần được xem xét cẩn thận, dựa trên sự đồng thuận của cộng đồng chia sẻ Nếu không có thỏa thuận về cách thức phân tán, người nhận nên yêu cầu người khởi tạo cung cấp thông tin với các chỉ dẫn rõ ràng về phát tán.

Hạn chế phân tán thông tin được thực hiện thông qua việc áp dụng các biện pháp như giới hạn sao chép điện tử, ngăn chặn chụp ảnh màn hình, và cấm in ấn cũng như xuất dữ liệu.

Các thành phần và thuộc tính của thông tin được chia sẻ có mức độ nhạy cảm khác nhau Cụ thể, độ nhạy cảm của thông tin thực tế trong thông điệp có thể khác biệt so với nội dung mà nó truyền tải.

Chức năng quản lý bản quyền thông tin đóng vai trò quan trọng trong việc xác định các giới hạn sử dụng Vì vậy, việc xây dựng một mô hình hoặc chính sách bản quyền rõ ràng là cần thiết, giúp người dùng hiểu rõ quyền hạn của họ trong hệ thống và những điều bị cấm.

Lưu ý sử dụng thông tin

Mỗi quy trình trao đổi thông tin cần bắt đầu bằng một lưu ý sử dụng, trong đó liệt kê các yêu cầu đặc biệt mà người nhận cần thực hiện, bên cạnh các thông tin đánh dấu thông thường.

Người nhận phải yêu cầu người khởi tạo làm sáng tỏ nếu lưu ý sử dụng không được hiểu đầy đủ hoặc không được triển khai.

Độ tin cậy của thông tin

Mỗi quy trình trao đổi thông tin cần thể hiện mức độ tin cậy mà người khởi tạo đặt vào độ chính xác và độ tin cậy của thông tin được truyền đạt.

Do ràng buộc kỹ thuật và hậu quả tiềm ẩn, việc kiểm tra tính hợp lệ của toàn bộ thông tin trước khi truyền là không khả thi Nếu có các giới hạn, chúng cần được chỉ rõ trong thông điệp.

Sự không chắc chắn về độ tin cậy của thông điệp trở nên đặc biệt quan trọng khi nguồn gốc không rõ ràng hoặc ẩn danh Do đó, việc chỉ ra nơi mà người khởi tạo có thể kiểm tra tính hợp lệ của thông tin là rất cần thiết để đảm bảo tính xác thực của nó.

Giảm tính nhạy cảm của thông tin

Người khởi tạo quy trình trao đổi thông tin cần chỉ rõ rằng độ nhạy cảm của thông tin cung cấp có thể bị giảm sút do các sự kiện bên ngoài hoặc theo thời gian.

Dù độ nhạy cảm của thông tin có thể giảm theo thời gian, việc bảo vệ thông tin vẫn là điều cần thiết Hướng dẫn phân loại cần được xây dựng với các mặc định để đảm bảo sự suy giảm độ nhạy cảm được xem xét và áp dụng đúng cách.

Bảo vệ nguồn ẩn danh

Thành viên cộng đồng cần phải xóa bỏ mọi thông tin nhận dạng nguồn gốc trong tất cả các tài liệu truyền thông mà họ tạo ra hoặc nhận, nếu yêu cầu ẩn danh được đặt ra.

Người khởi tạo thông tin cần đảm bảo có sự chấp thuận từ nguồn gốc trước khi chia sẻ thông tin với cộng đồng Họ cũng phải xác định và hỏi nguồn gốc nếu đó là nhà cung cấp đầu tiên Quy trình bảo vệ nguồn gốc không chỉ xem xét nội dung mà còn cả nguồn gốc của thông điệp, vì phân tích nội dung có thể giúp phát hiện nguồn gốc Trước khi phổ biến, người khởi tạo cần yêu cầu soát xét nguồn gốc để kiểm tra thông tin ẩn danh và danh sách người nhận dự kiến.

Thông điệp cho biết rằng các ATM không hoạt động hôm nay do một loại virus mới mà tường lửa không nhận diện được, nhưng máy chủ chính sách đã phát hiện ra Điều này cho thấy nguồn gốc của thông điệp có thể được xác định nếu chỉ có một ngân hàng bị ngắt dịch vụ công cộng vào ngày thông báo được phát đi.

Có nhiều cơ chế kỹ thuật cho phép xác thực mà vẫn giữ được tính ẩn danh Một ví dụ là việc sử dụng các bí mật mã hóa được chia sẻ, giúp xác nhận thông tin từ một thành viên trong cộng đồng mà không làm lộ danh tính thực sự của người khởi tạo.

Bảo vệ người nhận ẩn danh

Với sự chấp thuận của người khởi tạo, các thành viên cộng đồng phải có khả năng nhận các truyền thông mà không tiết lộ nhận dạng của họ.

Tiếp nhận ẩn danh được thực hiện thông qua cả phương tiện kỹ thuật như mã hóa và phương tiện thủ tục như định tuyến qua một thực thể hỗ trợ Cần đảm bảo rằng việc này không vi phạm các quy định pháp luật và không làm giảm mức độ tin cậy trong cộng đồng.

Tiếp nhận ẩn danh là yếu tố quan trọng để đảm bảo hiệu quả trong truyền thông liên ngành, vì các cộng đồng ngành thường muốn bảo vệ thông tin cá nhân của thành viên.

Quyền phát hành tiếp

Thông tin chỉ được phổ biến trong cộng đồng chia sẻ khi có sự chấp thuận chính thức từ người khởi tạo Nếu không được đánh dấu phát tán, việc chia sẻ thông tin là không hợp lệ.

Mỗi người nhận phải có trách nhiệm nhận được sự cho phép cần thiết để phát hành rộng rãi từ người khởi tạo trước khi phổ biến tiếp.

Trong truyền thông liên ngành, người khởi tạo không thể xác định tất cả các tổ chức sẽ nhận thông tin Do đó, việc ban hành chấp thuận phát hành chung hoặc theo từng ngành cụ thể là cần thiết để đảm bảo thông tin được chia sẻ một cách hợp lý.

Giao thức đèn giao thông được sử dụng để hướng dẫn cách thức phổ biến thông tin một cách hiệu quả mà không cần sự chấp thuận bổ sung.

8 Đảm bảo an toàn thông tin từ nguồn nhân lực

Trước khi tuyển dụng

Các vai trò và trách nhiệm

Thẩm tra

Điều khoản và điều kiện tuyển dụng

Các quy định thẩm tra thông tin trong cộng đồng chia sẻ chưa được nhất quán cho tất cả thành viên Cần xác định mức độ kiểm tra xác minh tối thiểu áp dụng cho tất cả nhân viên hoặc nhà thầu của các thành viên có quyền truy cập vào thông tin được chia sẻ trong cộng đồng.

Trong thời gian làm việc

Chấm dứt hoặc thay đổi công việc

9 Đảm bảo an toàn vật lý và môi trường

10 Quản lý truyền thông và vận hành

Các trách nhiệm và thủ tục vận hành

Quản lý chuyển giao dịch vụ của bên thứ ba

Lập kế hoạch và chấp nhận hệ thống

Bảo vệ chống lại mã độc và mã di động

Quản lý chống lại mã độc hại

Thông tin từ các thành viên trong cộng đồng chia sẻ cần được quét mã độc hiện tại, bất kể dịch vụ truyền thông có cung cấp tính năng quét virus cho bản tin hay không.

Kiểm soát các mã di động

Sao lưu

Quản lý an toàn mạng

Xử lý phương tiện

Trao đổi thông tin

Các chính sách và thủ tục trao đổi thông tin

Các thỏa thuận trao đổi

Tất cả các cộng đồng chia sẻ thông tin cần thiết lập các thỏa thuận trao đổi thông tin, và chỉ cho phép các thành viên tham gia khi các thỏa thuận này được ký kết và chấp nhận.

Vận chuyển phương tiện vật lý

Thông điệp điện tử

Tất cả các cộng đồng chia sẻ thông tin cần thiết lập quy tắc bảo vệ thông tin trong quá trình truyền tải Chỉ những thành viên chấp nhận và thực hiện các quy tắc này mới được phép tham gia cộng đồng Mọi thực thể hỗ trợ cũng phải tuân thủ và triển khai các quy tắc đó.

Cộng đồng chia sẻ thông tin cần xem xét triển khai các cơ chế thay thế cho việc chia sẻ thông tin không dựa vào thông điệp điện tử, đồng thời cho phép các thành viên quy định những thông điệp cụ thể được phát tán qua các kênh khác.

Các hệ thống thông tin nghiệp vụ

Các dịch vụ thương mại điện tử

Giám sát

Ghi nhật ký đánh giá

Khi cộng đồng chia sẻ thông tin yêu cầu, các thành viên phải ghi lại quy trình phổ biến nội bộ của thông tin được chia sẻ.

Giám sát sử dụng hệ thống

Bảo vệ các thông tin nhật ký

Nhật ký của người điều hành và người quản trị

Ghi nhật ký lỗi

Đồng bộ thời gian

12 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

Xử lý đúng trong các ứng dụng

Quản lý mã hóa

Chính sách sử dụng các biện pháp quản lý mã hóa

Các kỹ thuật mã hóa đóng vai trò quan trọng trong việc triển khai các quy tắc phân tán nhằm chia sẻ thông tin hiệu quả, chẳng hạn như trong quản lý bản quyền của dữ liệu.

Quản lý khóa

An toàn cho các tệp tin hệ thống

Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển

Quản lý các điểm yếu kỹ thuật

13 Quản lý các sự cố an toàn thông tin

Báo cáo về các sự kiện an toàn thông tin và các điểm yếu

Báo cáo các sự kiện an toàn thông tin

Các thành viên trong cộng đồng chia sẻ thông tin cần xem xét xem các sự kiện đã được báo cáo cho những người khác hay chưa Cộng đồng cần thống nhất và hướng dẫn việc công bố các sự cố mà các thành viên quan tâm Đồng thời, các thành viên phải cân nhắc kỹ lưỡng trong bối cảnh thực tế để đảm bảo rằng chỉ những sự kiện có liên quan mới được báo cáo.

Xu hướng hiện nay cho thấy rằng nhiều sự cố thường được giữ bí mật, với các thành viên trong cộng đồng không tiết lộ thông tin để bảo vệ uy tín của tổ chức Tuy nhiên, việc chia sẻ thông tin về sự cố với các thành viên khác có thể thúc đẩy sự hợp tác và phối hợp, giúp ngăn ngừa sự cố, phản ứng nhanh chóng và cải thiện an toàn thông tin trong cộng đồng Các sự kiện và sự cố có thể được báo cáo mà không cần tiết lộ tất cả các hậu quả của chúng.

Các thành viên cần nhanh chóng kiểm tra các sự kiện được báo cáo để đánh giá tác động đến hoạt động của họ Chẳng hạn, thông báo từ một thành viên cung cấp dịch vụ bảo trì có thể yêu cầu các thành viên khác xem xét độ tin cậy của nhà cung cấp thay thế trước khi tiến hành bảo trì.

Báo cáo các điểm yếu về an toàn thông tin

Hệ thống cảnh báo sớm

Bổ sung biện phát quản lý sau vào 12.1 của TCVN ISO/IEC 27002:2011, báo cáo về các sự kiện an toàn thông tin và các điểm yếu.

Hệ thống cảnh báo sớm cần được thiết lập trong cộng đồng để chia sẻ thông tin, nhằm truyền đạt các thông tin ưu tiên một cách hiệu quả ngay khi chúng xuất hiện.

Thông tin ưu tiên giúp cộng đồng tránh hoặc giảm thiểu các sự kiện không mong muốn Việc chia sẻ thông tin này là rất quan trọng và cần thiết, ngay cả khi nó chưa được phân tích hoặc xác nhận đầy đủ.

Quản lý các sự cố an toàn thông tin và cải thiện

Các trách nhiệm và thủ tục

Rút bài học kinh nghiệm từ các sự cố an toàn thông tin

Việc điều tra dựa trên thông tin từ cộng đồng chia sẻ là cần thiết để giảm thiểu rủi ro và nâng cao hiểu biết về các mối nguy mà cộng đồng và hệ thống thông tin quan trọng phải đối mặt Các cuộc điều tra này có thể được thực hiện bởi các thành viên trong cộng đồng hoặc bởi một tổ chức hỗ trợ nếu có.

Sau khi các sự cố được báo cáo, các thành viên trong cộng đồng chia sẻ thông tin cần thực hiện soát xét sự cố để cập nhật kế hoạch phản hồi an toàn thông tin, thủ tục liên quan và hồ sơ rủi ro Điều này là cần thiết ngay cả khi thành viên không bị ảnh hưởng bởi sự cố Mỗi thành viên phải đảm bảo rằng các phản hồi sự cố được đánh giá, đồng thời nhận diện bài học và cải tiến cho quy trình của riêng mình, nhằm thúc đẩy cải tiến liên tục trong quy trình phản hồi.

Thu thập chứng cứ

14 Quản lý sự liên tục của hoạt động nghiệp vụ

Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ

Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức

Hướng dẫn triển khai Đánh giá rủi ro về sự liên tục trong hoạt động của tổ chức yêu cầu các thành viên trong cộng đồng chia sẻ thông tin xem xét cẩn thận việc cung cấp thông tin nhạy cảm từ các thành viên khác Việc này đảm bảo rằng tất cả các khía cạnh liên quan đến rủi ro được phân tích và đánh giá một cách toàn diện.

Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm vấn đề đảm bảo an toàn thông tin

vấn đề đảm bảo an toàn thông tin

Kế hoạch đảm bảo tính liên tục trong hoạt động của tổ chức cần được thực hiện bởi các thành viên trong cộng đồng chia sẻ thông tin, nhằm đáp ứng nhu cầu trao đổi thông tin nhạy cảm với những thành viên khác trong quá trình khôi phục.

Khung hoạch định sự liên tục trong hoạt động nghiệp vụ

Kiểm tra, duy trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ 21

Sự tuân thủ các quy định pháp lý

Xác định các điều luật hiện đang áp dụng được

Xem 14.1.1 của TCVN ISO/IEC 27002:2011và bổ sung thêm hướng dẫn sau:

Cộng đồng chia sẻ thông tin cần tuân thủ các điều luật, thỏa thuận và quy định liên quan đến việc chia sẻ thông tin, bao gồm cả các quy định về chống độc quyền Việc này có thể hạn chế sự tham gia của một số tổ chức hoặc đặt ra các ràng buộc cho đại diện của họ.

Quyền sở hữu trí tuệ (IPR)

Bảo vệ các hồ sơ của tổ chức

Bảo vệ dữ liệu và sự riêng tư của thông tin cá nhân

Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin

Quy định về quản lý mã hóa

Trách nhiệm với cộng đồng chia sẻ thông tin

Bổ sung thêm vào 14.1 của TCVN ISO/IEC 27002:2011, sự tuân thủ các quy định pháp lý, như sau: Biện pháp quản lý

Để khắc phục hậu quả và xác định trách nhiệm, cần phải làm rõ và được tất cả thành viên trong cộng đồng chia sẻ thông tin đồng thuận, nhằm giải quyết các tình huống khi thông tin bị tiết lộ một cách cố ý hoặc vô tình.

Khắc phục hậu quả tối thiểu cần bao gồm việc thông báo đầy đủ và chi tiết về mọi tiết lộ trái phép cho người khởi tạo, nhằm giúp họ nhận diện thông tin bị tiết lộ.

Thông báo cần phải cung cấp nguồn gốc thông tin, ngay cả khi dữ liệu đã được làm sạch và không tiết lộ nguồn gốc ban đầu Điều này có thể được thực hiện thông qua việc sử dụng một bên thứ ba đáng tin cậy, chẳng hạn như thực thể truyền thông thông tin tin cậy (TICE).

Việc tiết lộ thông tin trái phép có thể gây ra hậu quả nghiêm trọng cho các bên liên quan, bao gồm việc loại bỏ hoặc hạn chế quyền truy cập của một số thành viên trong một khoảng thời gian nhất định Điều này nhằm mục đích khôi phục lại sự tin cậy trong cộng đồng.

Sự tuân thủ các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật

Xem xét việc đánh giá các hệ thống thông tin

Các biện pháp quản lý đánh giá các hệ thống thông tin

Bảo vệ các công cụ đánh giá hệ thống thông tin

Chức năng đánh giá của cộng đồng

Bổ xung thêm vào 14.3 của TCVN ISO/IEC 27002:2005, xem xét việc đánh giá các hệ thống thông tin, như sau:

Mọi cộng đồng chia sẻ thông tin cần xác định rõ quyền của các thành viên trong việc đánh giá hệ thống của nhau cũng như các nhà cung cấp dịch vụ đáng tin cậy.

Người có thẩm quyền đánh giá các hệ thống thành viên bị giới hạn bởi bên thứ ba đáng tin cậy nhưTICE hoặc WARP.

Chia sẻ thông tin nhạy cảm A.1 Giới thiệu

Thông tin nhạy cảm là tài sản quý giá cần được quản lý an toàn khi chia sẻ giữa các tổ chức Việc phổ biến thông tin này đúng thời điểm giúp giải quyết các vấn đề nghiệp vụ và đưa ra quyết định chính xác hơn, mặc dù nó rất quan trọng đối với tổ chức.

Các cộng đồng chia sẻ thông tin, bao gồm tổ chức và cá nhân, có thể đa dạng về thành viên và có thể liên kết bí mật theo ngành nghề hoặc thị trường cụ thể Những cộng đồng này có thể bao gồm cả thành viên từ khu vực công và tư, với yêu cầu chung là chia sẻ thông tin nhạy cảm và tuân thủ quy trình quản lý đã được thỏa thuận Để đảm bảo an toàn trong việc trao đổi thông tin nhạy cảm, cần thiết phải thiết kế, triển khai và giám sát các quy trình cung cấp luồng thông tin an toàn, đảm bảo thông tin được phát tán đến đúng đối tượng và ngăn chặn việc sử dụng thông tin cho mục đích xấu hoặc phổ biến không kiểm soát.

Hiệu lực của việc phổ biến thông tin phụ thuộc vào mức độ tin cậy mà các thành viên có trong mối quan hệ của cộng đồng chia sẻ Các cơ chế an toàn thông tin liên quan đến truyền thông cần phải đảm bảo ngăn chặn việc phát tán thông tin đến các cá nhân hoặc tổ chức không mong muốn.

- Sử dụng hoặc thu thập dữ liệu cho các hoạt động độc hại;

- Công khai thông tin phổ biến mà không được sự cho phép của người khởi tạo thông tin;

Thông tin chưa được phân tích đầy đủ có thể dẫn đến các hoạt động không thích hợp, gây lãng phí tài nguyên và ảnh hưởng tiêu cực đến tổ chức Để các cộng đồng chia sẻ thông tin hoạt động hiệu quả, các tổ chức thành viên cần trao quyền cho người nhận thông tin để họ có thể hành động dựa trên dữ liệu nhận được, đồng thời không khuyến khích việc lạm dụng thông tin này cho lợi ích thương mại.

Quản lý an toàn thông tin liên ngành và liên tổ chức là cần thiết để ứng phó hiệu quả với các thách thức hiện tại Việc thực hiện không đúng cách có thể ảnh hưởng nghiêm trọng đến các điều kiện nghiệp vụ thông thường và dẫn đến gián đoạn trong trường hợp xảy ra sự cố.

- Các nguy cơ và điểm yếu an toàn mới.

- Tăng sự phụ thuộc giữa hệ thống và mạng.

- Hợp đồng, pháp luật, nghĩa vụ và các giới hạn và phát triển hoạt động nghiệp vụ

- Thiết lập các mô hình truyền thông phù hợp.

- Phối hợp quy trình tấn công và phản ứng.

Truyền thông an toàn và linh hoạt giữa các thành viên cộng đồng phải bao gồm các yếu tố sau:

- Quản lý và biết rõ rủi ro.

- Phổ biến và truyền thông.

Ba yếu tố này phải thực hiện với các giá trị cụ thể của chúng, chúng được liên kết chặt chẽ và bổ sung lẫn nhau.

Việc phát triển sự tin cậy trong một cộng đồng chia sẻ thông tin gặp nhiều khó khăn khi thiếu mối quan hệ cá nhân giữa các thành viên Để xây dựng lòng tin, các cá nhân cần gặp gỡ trực tiếp, vì việc chỉ sử dụng công nghệ truyền thông từ xa không đủ để tạo dựng sự tin cậy Hơn nữa, việc thiết lập các cơ chế đảm bảo độ tin cậy của nguồn thông tin trong khi vẫn giữ ẩn danh cho các nguồn này cũng là một thách thức lớn Các cá nhân thường cảm thấy thoải mái hơn khi họ tin rằng danh tính của mình được bảo mật.

Một cộng đồng chia sẻ thông tin có hiệu quả ngay cả khi không tất cả các thành viên đều chia sẻ mọi thông tin với nhau Các cơ chế phổ biến cần phải linh hoạt để cho phép việc chia sẻ thông tin có giới hạn cho những thành viên cụ thể hoặc theo từng chủ đề.

Khi chia sẻ thông tin giữa các cộng đồng, đặc biệt trong truyền thông liên ngành, các bộ phận điều khiển cổng kết nối phải đối mặt với nhiều khó khăn Các thành viên của các cộng đồng khác không cần biết nguồn gốc của thông tin, trong khi đó, các giao diện cần bảo vệ sự ẩn danh và các điều kiện phát hành Hơn nữa, các bộ phận này có thể thiếu kiến thức chuyên môn để nhận diện khi nào thông tin cộng đồng không được truyền đạt đúng cách Những vấn đề này thường thấy nhất trong truyền thông quốc tế hơn là trong truyền thông liên ngành.

A.3 Các lợi ích tiềm ẩn

Chia sẻ thông tin nhạy cảm giữa các thành viên trong cộng đồng có thể gia tăng rủi ro lộ thông tin Để duy trì hoạt động hiệu quả của cộng đồng, cần phải quản lý và giảm thiểu những rủi ro này, đồng thời đảm bảo rằng lợi ích thu được vượt trội hơn so với các rủi ro đã được chấp nhận.

Các lợi ích tiềm ẩn của việc chia sẻ thông tin nhạy cảm bao gồm:

Cảnh báo sớm là rất quan trọng khi có bất kỳ thay đổi nào về tình trạng rủi ro, bao gồm các nguy cơ mới, xu hướng tấn công cập nhật và các điểm yếu mới được phát hiện.

- Cải thiện an toàn thông tin thông qua việc chia sẻ kinh nghiệm tốt nhất.

- Truy cập đến các thông tin có ích không có sẵn từ mọi nguồn công khai.

- Tiết kiệm chi phí thông qua việc loại bỏ các cố gắng bị trùng lặp.

- Đánh giá rủi ro tốt hơn thông qua các hiểu biết nhiều hơn về nguy cơ và điểm yếu.

- Tổ chức tốt hơn việc duy trì và can thiệp từ thông tin liên quan đến các hoạt động tương tự tại các tổ chức khác

- Chuẩn bị tốt hơn cho các sự cố an toàn thông tin

- Chấm điểm cho các biện pháp an toàn thông tin giữa các tổ chức tương tự.

- Trách nhiệm xã hội chung.

Tuân thủ các yêu cầu pháp luật và chính sách chung là điều cần thiết, tạo nền tảng cho quy trình giám sát và soát xét trong cộng đồng Điều này giúp xác định lợi ích và nhược điểm cụ thể mà các thành viên cộng đồng mang lại, đồng thời đánh giá tính liên tục của sự tham gia của họ.

Thông tin có thể được chia sẻ giữa các tổ chức thuộc nhiều loại hình và quy mô khác nhau, từ nhà nước đến tư nhân Tuy nhiên, lợi ích tối ưu thường đến từ sự hợp tác giữa các tổ chức trong cùng một ngành nghề hoặc có mục tiêu chung, vì họ chia sẻ những rủi ro an toàn thông tin đặc thù.

Chia sẻ thông tin giữa các ngành nghề mang lại nhiều lợi ích đáng kể, đặc biệt khi xác định các cộng đồng dựa trên các đặc tính như vị trí địa lý Việc kết nối và chia sẻ thông tin với các cộng đồng khác trong cấu trúc phân cấp sẽ giúp tối ưu hóa nguồn lực và cải thiện hiệu quả công việc.

A.5 Xác định và vận hành một cộng đồng chia sẻ thông tin

Cộng đồng chia sẻ thông tin cần thiết lập các quy tắc và điều kiện quản lý hoạt động của mình Những quy tắc và điều kiện này phải bao gồm các tiêu chí rõ ràng để đảm bảo sự an toàn và hiệu quả trong việc trao đổi thông tin.

- Các quy tắc và điều kiện quản trị thành viên của cộng đồng chia sẻ thông tin và tổ chức nội bộ của nó;

- Mục tiêu của cộng đồng chia sẻ thông tin và các lợi ích dự tính cho các thành viên;

- Thủ tục để các thành viên tham gia và dời khỏi cộng đồng chia sẻ thông tin;

- Các quy tắc và điều kiện quản trị các quy trình cộng đồng tập trung hoặc các thực thể như TICE hoặc WARP;

- Các quy tắc và điều kiện liên quan đến nghĩa vụ của các thành viên cộng đồng, các quy trình và quy định về trục xuất, kỷ luật;

- Các quy tắc rõ ràng về cách thức để các thành viên có thể sử dụng và truyền thông tin được chia sẻ;

- Các điều kiện và nghĩa vụ về tài chính, pháp luật khác của thành viên cộng đồng.

Các quy tắc và điều kiện của cộng đồng chia sẻ thông tin cũng phải:

Tiêu đề	Công Nghệ Thông Tin – Các Kỹ Thuật An Toàn – Quản Lý An Toàn Thông Tin Cho Truyền Thông Liên Tổ Chức, Liên Ngành
Trường học	Hà Nội
Chuyên ngành	Công Nghệ Thông Tin
Thể loại	tiêu chuẩn
Năm xuất bản	2014
Thành phố	Hà Nội

Định dạng
Số trang	42
Dung lượng	669,5 KB

Tài liệu tham khảo	Loại	Chi tiết
[1] ISO/IEC Guide 2:1996, Standardization and related activities -- General vocabulary	Khác
[4] ISO/IEC TR 13335-3:1998, Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security	Khác
[5] ISO/IEC 13888-1:1997, Information technology -- Security techniques -- Non-repudiation -- Part 1: General	Khác
[6] ISO/IEC 11770-1:1996, Information technology -- Security techniques -- Key management -- Part 1: Framework	Khác
[7] ISO/IEC 9796-2:2002, Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 2: Integer factorization based mechanisms	Khác
[8] ISO/IEC 9796-3:2000, Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 3: Discrete logarithm based mechanisms	Khác
[9] ISO/IEC 14888-1:1998, Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General	Khác
[10] ISO/IEC 15408-1:1999, Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model	Khác
[11] ISO/IEC TR 14516:2002, Information technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party services	Khác
[12] BS ISO 15489-1:2001, Information and documentation - Records management – Part 1:General	Khác
[13] ISO 10007:2003, Guidelines for Configuration Management	Khác
[14] ISO/IEC 12207:1995, Information technology -- Software life cycle processes	Khác
[15] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [16] OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture ofSecurity	Khác
[18] IEEE P1363 – 2000, Standard Specifications for Public-Key Cryptography	Khác
[19] ISO/IEC 18028-4, Information technology -- Security techniques – IT Netwwork security - Part	Khác