Trong chương này, chúng tôi sẽ giải thích các chính sách bảo mật là cơ sở bảo mật cho cơ sở hạ tầng công nghệ của công ty bạn.
Theo một cách nào đó, chúng là cơ quan quản lý các hành vi của nhân viên đối với việc sử dụng công nghệ tại nơi làm việc, có thể giảm thiểu nguy cơ bị tấn công, rò rỉ thông tin, sử dụng Internet không tốt và nó cũng đảm bảo bảo vệ tài nguyên của công ty.
Trong cuộc sống thực, bạn sẽ nhận thấy các nhân viên trong tổ chức của bạn sẽ luôn có xu hướng nhấp vào các tệp đính kèm URL xấu hoặc bị nhiễm vi-rút hoặc email có vi-rút.
Vai trò của Chính sách bảo mật trong việc thiết lập giao thức
Sau đây là một số gợi ý giúp thiết lập các giao thức u cho chính sách bảo mật của một tổ chức.
- Ai nên có quyền truy cập vào hệ thống?
- Nó nên được cấu hình như thế nào?
- Làm thế nào để giao tiếp với các bên thứ ba hoặc hệ thống?
Các chính sách được chia thành hai loại:
- Chính sách người dùng
- Chính sách CNTT.
Các chính sách người dùng thường xác định giới hạn của người dùng đối với tài nguyên máy tính tại nơi làm việc. Ví dụ, những gì họ được phép cài đặt trong máy tính của họ, nếu họ có thể sử dụng các bộ lưu trữ di động.
Trong khi đó, các chính sách CNTT được thiết kế cho bộ phận CNTT, nhằm đảm bảo các thủ tục và chức năng của các lĩnh vực CNTT.
- Chính sách chung – Đây là chính sách xác định quyền của nhân viên và cấp độ truy cập vào hệ thống. Nói chung, nó được bao gồm ngay cả trong giao thức truyền thông như một biện pháp phòng ngừa trong trường hợp có bất kỳ thảm họa nào.
- Chính sách Máy chủ – Điều này xác định ai sẽ có quyền truy cập vào máy chủ cụ thể và với những quyền nào. Phần mềm nào nên được cài đặt, mức độ truy cập internet, cách chúng được cập nhật.
- Chính sách cấu hình và truy cập tường lửa – Nó xác định ai nên có quyền truy cập vào tường lửa và loại quyền truy cập nào, như giám sát, các quy tắc sẽ thay đổi. Những cổng và dịch vụ nào nên được phép và nếu nó nên được gửi đến hoặc gửi đi.
- Chính sách sao lưu – Nó xác định ai là người chịu trách nhiệm sao lưu, cái gì nên là bản sao lưu, nơi nên sao lưu, thời gian lưu trữ và tần suất sao lưu.
- Chính sách VPN – Các chính sách này thường đi cùng với chính sách tường lửa, nó xác định những người dùng phải có quyền truy cập VPN và có những quyền gì. Đối với các kết nối site-to-site với các đối tác, nó xác định cấp độ truy cập của đối tác vào mạng của bạn, loại mã hóa sẽ được đặt.
Cấu trúc của một chính sách bảo mật
Khi bạn biên dịch một chính sách bảo mật, bạn nên ghi nhớ một cấu trúc cơ bản để biến một cái gì đó trở nên thực tế. Một số điểm chính cần được xem xét là:
- Mô tả Chính sách và việc sử dụng để làm gì?
- Chính sách này nên được áp dụng ở đâu?
- Chức năng và trách nhiệm của nhân viên bị ảnh hưởng bởi chính sách này.
- Các thủ tục liên quan đến chính sách này.
- Hậu quả nếu chính sách không tương thích với tiêu chuẩn của công ty.
Các loại chính sách
Trong phần này, chúng ta sẽ thấy các loại chính sách quan trọng nhất.
- Chính sách cho phép – Đây là một chính sách hạn chế trung bình trong đó chúng tôi với tư cách là quản trị viên chỉ chặn một số cổng phần mềm độc hại nổi tiếng liên quan đến quyền truy cập internet và chỉ một số hành vi khai thác được xem xét.
- Chính sách thận trọng – Đây là chính sách hạn chế cao trong đó mọi thứ đều bị chặn liên quan đến việc truy cập internet, chỉ cho phép một danh sách nhỏ các trang web và giờ đây các dịch vụ bổ sung được phép cài đặt trong máy tính và duy trì nhật ký cho mọi người dùng.
- Chính sách người dùng chấp nhận – Chính sách này điều chỉnh hành vi của người dùng đối với hệ thống hoặc mạng hoặc thậm chí là một trang web, do đó, nó nói rõ ràng những gì người dùng có thể làm và không thể trong một hệ thống. Giống như họ được phép chia sẻ mã truy cập, họ có thể chia sẻ tài nguyên, v.v.
- Chính sách Tài khoản Người dùng – Chính sách này xác định những gì người dùng phải làm để có hoặc duy trì một người dùng khác trong một hệ thống cụ thể. Ví dụ: truy cập một trang web thương mại điện tử. Để tạo chính sách này, bạn nên trả lời một số câu hỏi như –
- Mật khẩu có nên phức tạp hay không?
- Người dùng nên có độ tuổi nào?
- Tối đa được phép thử đăng nhập hay không?
- Khi nào người dùng nên bị xóa, kích hoạt, chặn?
- Chính sách Bảo vệ Thông tin – Chính sách này nhằm điều chỉnh quyền truy cập thông tin, nóng để xử lý thông tin, cách lưu trữ và cách thức chuyển thông tin.
- Chính sách Truy cập Từ xa – Chính sách này chủ yếu dành cho các công ty lớn nơi người dùng và các chi nhánh của họ ở bên ngoài trụ sở chính của họ. Nó cho biết người dùng nên truy cập những gì, khi nào họ có thể làm việc và trên phần mềm nào như SSH, VPN, RDP.
- Chính sách quản lý tường lửa – Chính sách này liên quan rõ ràng đến việc quản lý nó, cổng nào nên bị chặn, cập nhật nào nên được thực hiện, cách thực hiện thay đổi trong tường lửa, nhật ký sẽ được lưu giữ trong bao lâu.
- Chính sách Truy cập Đặc biệt – Chính sách này nhằm giữ cho mọi người luôn kiểm soát và giám sát các đặc quyền đặc biệt trong hệ thống của họ và mục đích là tại sao họ có nó. Những nhân viên này có thể là trưởng nhóm, quản lý, quản lý cấp cao, quản trị viên hệ thống và những người dựa trên chỉ định cao như vậy.
- Chính sách Mạng – Chính sách này nhằm hạn chế quyền truy cập của bất kỳ ai đối với tài nguyên mạng và làm rõ tất cả những ai sẽ truy cập vào mạng. Nó cũng sẽ đảm bảo liệu người đó có được xác thực hay không. Chính sách này cũng bao gồm các khía cạnh khác như, ai sẽ ủy quyền cho các thiết bị mới sẽ được kết nối với mạng? Tài liệu về các thay đổi của mạng. Bộ lọc web và các cấp độ truy cập. Ai nên có kết nối không dây và loại xác thực, tính hợp lệ của phiên kết nối?
- Chính sách sử dụng email – Đây là một trong những chính sách quan trọng nhất nên được thực hiện vì nhiều người dùng cũng sử dụng email công việc cho mục đích cá nhân. Kết quả là thông tin có thể bị rò rỉ ra bên ngoài. Một số điểm chính của chính sách này là nhân viên phải biết tầm quan trọng của hệ thống này mà họ có đặc quyền sử dụng. Họ không nên mở bất kỳ tệp đính kèm nào trông đáng ngờ. Dữ liệu riêng tư và bí mật không được gửi qua bất kỳ email được mã hóa nào.
Chính sách Bảo mật Phần mềm – Chính sách này liên quan đến phần mềm được cài đặt trong máy tính của người dùng và những gì họ cần phải có. Một số điểm chính của chính sách này là Phần mềm của công ty không nên được cung cấp cho bên thứ ba. Chỉ cho phép danh sách trắng của phần mềm, không được cài đặt phần mềm khác trong máy tính. Warez và phần mềm vi phạm bản quyền không được phép.
Bảo mật máy tính – Danh sách kiểm tra
Trong chương này, chúng tôi sẽ thảo luận về một danh sách kiểm tra nâng cao mà chúng tôi sẽ sử dụng để giáo dục người dùng và nhân viên CNTT, khi nói đến bất kỳ vấn đề bảo mật nào, chúng nên diễn đạt như một cách tự nhiên.
Dựa trên tất cả các chương và đặc biệt là về các chính sách bảo mật, bảng sau có danh sách danh sách kiểm tra liên quan đến hầu hết các thành phần đã được thảo luận trong hướng dẫn này.
| Danh mục | Tình trạng của nhiệm vụ |
| Phòng máy chủ | |
| Giá đỡ máy chủ được lắp đặt đúng cách | |
| Điều hòa nhiệt độ hiện tại | |
| Hệ thống giám sát và cảnh báo nhiệt độ được cung cấp | |
| Tự động phát hiện khói / lửa có sẵn | |
| Máy dò ngăn nước xâm nhập có sẵn | |
| Bình chữa cháy được đặt tại chỗ | |
| Hệ thống dây mạng LAN cục bộ được thực hiện đúng cách | |
| Dịch vụ quan trọng của doanh nghiệp | |
| Nguồn điện dự phòng có sẵn | |
| Hệ thống RAID có sẵn | |
| Hệ thống UPS được cung cấp | |
| Hệ thống khẩn cấp được cung cấp | |
| Tài liệu được cập nhật | |
| Hỗ trợ chuyên nghiệp được cung cấp | |
| SLA đã được ký kết | |
| Kế hoạch khẩn cấp được chuẩn bị | |
| Tài khoản Internet Doanh nghiệp | |
| Dòng dự phòng | |
| Có bảo hiểm cho thiết bị ICT | |
| Hệ thông thông tin | |
| Máy chủ được cài đặt theo Hướng dẫn sử dụng chính sách thiết lập | |
| GPO tiêu chuẩn được định cấu hình trên Máy chủ | |
| Bảo mật hệ thống đã xong | |
| Tài liệu hệ thống được cập nhật | |
| Sao lưu dữ liệu được định cấu hình đúng cách và được thực hiện thường xuyên theo các chính sách sao lưu | |
| Để kiểm tra việc đặt tên phù hợp cho tất cả các máy tính, thiết bị mạng có phù hợp với Chính sách CNTT | |
| Phần mềm danh sách trắng tiêu chuẩn được căn chỉnh trên tất cả các PC | |
| Tất cả PC trong hệ thống miền | |
| Các đặc quyền của quản trị viên được lấy từ người dùng máy tính | |
| Đặc quyền của chương trình ở mức cần thiết tối thiểu | |
| Bảo mật thông tin | |
| Quản lý danh tính và quyền truy cập được định cấu hình | |
| Khả năng truy cập dữ liệu được giảm thiểu đến mức cần thiết | |
| Phần mềm bảo vệ chống vi-rút được cài đặt trên mỗi PC | |
| Nhân tố con người | |
| Hệ thống ICT và Chính sách sử dụng email được triển khai (nên được kiểm tra theo các biện pháp bảo vệ kỷ luật) | |
| Đào tạo nâng cao nhận thức của nhân viên được cung cấp thường xuyên | |
| Các trách nhiệm được lập thành văn bản | |
| Bảo trì hệ thống thông tin | |
| Các bản cập nhật bảo mật được cài đặt trên tất cả PC | |
| Hệ thống thông báo và cảnh báo nội bộ ICT được cấu hình | |
| Kế hoạch hành động cập nhật bảo mật đã xong | |
| Đã có kế hoạch triển khai bản cập nhật bảo mật | |
| Chung | |
| Lược đồ địa chỉ IP mạng thẳng hàng | |
| An ninh mạng | |
| Các quy tắc truy cập tường lửa và các cổng mở tuân thủ chính sách tường lửa | |
| Bảo vệ thông tin nhạy cảm được áp dụng | |
| Hạn chế các dịch vụ thông tin liên lạc được kích hoạt | |
| VPN được định cấu hình đúng với các đối tác | |
| Bảo mật WLAN được bật trên tất cả các thiết bị WIFI | |
| Truy cập internet hạn chế được định cấu hình | |
| Các quy định của BYOD được thực hiện | |
| Quản lý mạng | |
| Hệ thống quản lý băng thông được định cấu hình | |
| Hệ thống giám sát mạng có sẵn | |
| Tệp DRP được cập nhật |
Xin lưu ý rằng danh sách này có thể được sửa đổi tùy theo nhu cầu của công ty và nhân viên của bạn.
Bảo mật máy tính – Tuân thủ pháp luật
Trong phần này, chúng tôi sẽ giải thích một số tuân thủ quan trọng xung quanh ngành công nghệ. Ngày nay, việc tuân thủ công nghệ đang trở nên quan trọng hơn vì nó đang phát triển quá nhanh và các vấn đề pháp lý đang đặt ra thường xuyên hơn bao giờ hết. Tuân thủ là gì, ví dụ chúng ta muốn phát triển một phần mềm quản lý sức khỏe, nó phải được phát triển theo các tiêu chuẩn của Tổ chức Y tế ở Quốc gia đó và nếu nó là quốc tế thì nó phải phù hợp với quốc gia đó. nó sẽ được bán trên thị trường, trong trường hợp này là Đạo luật về trách nhiệm giải trình và cung cấp thông tin y tế.
Tuân thủ chính là gì?
Một số quy định, tiêu chuẩn và luật pháp mà các công ty có thể cần phải tuân thủ như sau:
Đạo luật Sarbanes Oxley (SOX) năm 2002
Đạo luật Sarbanes Oxley được tạo ra cho các vụ bê bối tài chính nổi tiếng nhằm bảo vệ các cổ đông và công chúng khỏi các sai sót kế toán và các hành vi gian lận trong doanh nghiệp. Trong số các điều khoản khác, luật đặt ra các quy định về việc lưu trữ và lưu giữ hồ sơ kinh doanh trong hệ thống CNTT. Điều quan trọng là vì hầu hết các ngân hàng lớn nhất trong những năm gần đây đều bị vi phạm dữ liệu. Nếu bạn đang làm việc trong ngành tài chính, bạn nên kiểm tra đạo luật này và chi tiết của nó có thể được tìm thấy trực tuyến. Bạn có thể nhấp vào liên kết sau để biết thêm thông tin – https://en.wikipedia.org/wiki/Sarbanes%E2%80%93Oxley_Act
Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế năm 1996 (HIPAA)
Trong đạo luật này, Tiêu đề II bao gồm một phần hành chính yêu cầu tiêu chuẩn hóa hệ thống hồ sơ sức khỏe điện tử và bao gồm các cơ chế bảo mật được thiết kế để bảo vệ quyền riêng tư của dữ liệu và tính bảo mật của bệnh nhân. Nó phải có phần cứng hoặc phần mềm cung cấp các kiểm soát truy cập, kiểm soát tính toàn vẹn, kiểm tra và bảo mật đường truyền. Vì vậy, nếu bạn là quản trị viên hệ thống trong hệ thống y tế, bạn nên đọc và kiểm tra hệ thống của mình xem chúng có tuân thủ đạo luật này không. Để biết thêm thông tin, bạn có thể nhấp vào liên kết sau – https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act
Tuân thủ FERC
Việc tuân thủ này rất quan trọng vì nó liên quan đến ngành năng lượng. Các doanh nghiệp nên thực hiện các chính sách và thủ tục để không chỉ bảo vệ các tài sản điện tử quan trọng mà còn để báo cáo và phục hồi khi xảy ra tấn công mạng. Thông tin thêm về điều này có thể được tìm thấy trên liên kết sau – http://www.ferc.gov/enforcement/compliance.asp
Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS)
Điều này chủ yếu liên quan đến ngành cửa hàng bán lẻ trực tuyến. Đây là sự tuân thủ không có tác động trực tiếp đến pháp luật, nhưng nếu nó bị bỏ qua, bạn có thể bị tính phí cho các vi phạm luật khác. Nó được phát triển bởi American Express, Visa, MasterCard, Discover và JCB. Nó yêu cầu sử dụng tường lửa, mã hóa dữ liệu, giám sát và các biện pháp kiểm soát khác để đảm bảo thông tin bí mật. Thông tin thêm có thể được tìm thấy trên Wikipedia – https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
Chúng ta đã thảo luận về hầu hết các tuân thủ quan trọng có tác động lớn hơn, cũng cần đề cập đến việc Tuân thủ pháp luật có thể thay đổi tùy theo quốc gia nhưng những nội dung chính mà chúng tôi đề cập này hầu như tương tự nhau ở mọi quốc gia.