Hình 3 - Ví dụ môi trường mạng

6.2. Quản lý và lập kế hoạch an ninh mạng

Khi xem xét đến các kết nối mạng, tất cả thành viên trong tổ chức mà chịu trách nhiệm liên kết với các kết nối phải được làm rõ về các yêu cầu và các lợi ích kinh doanh, các rủi ro an ninh liên quan và các khía cạnh kiến trúc an ninh kỹ thuật/công nghệ thiết kế và các miền kiểm soát an ninh liên quan. Các yêu cầu và lợi ích kinh doanh phải ảnh hưởng nhiều đến quyết định và các hoạt động diễn ra trong quy trình mà xét đến các kết nối mạng, xác định các khía cạnh kiến trúc an ninh kỹ thuật/công nghệ thiết kế và các miền kiểm soát an ninh và sau đó tuần tự chọn lọc, thiết kế, thiết lập và bảo trì các mạng an ninh.

Quy trình tổng quan để thực hiện và duy trì an ninh mạng được yêu cầu có thể tổng kết như sau:

a) Xác định phạm vi/bối cảnh và sau đó đánh giá các rủi ro an ninh;

1) Thu thập thông tin trong môi trường mạng hiện tại và/ hoặc dự kiến:

i) Đánh giá chính sách an ninh thông tin doanh nghiệp cho các báo cáo về các rủi ro liên quan đến mạng mà luôn ở mức cao, và trong các kiểm soát an ninh mạng cần để thiết lập bất chấp các rủi ro được đánh giá,

CHÚ THÍCH Chính sách này cũng bao gồm vị trí của tổ chức trong (1) các yêu cầu an ninh điều chỉnh và luật pháp liên quan đến các kết nối mạng như được định nghĩa bởi các nhóm lãnh đạo hoặc luật pháp (bao gồm các tổ chức Chính phủ quốc gia), và (2) tính nhạy cảm của dữ liệu được lưu trữ hoặc truyền tải trên mạng.

ii) Thu thập và đánh giá thông tin trên (các) mạng hiện tại và/hoặc dự kiến - (các) kiến trúc, ứng dụng, dịch vụ, loại kết nối và các đặc tính khác - mà có một sự liên quan đến việc xác định và đánh giá các rủi ro, và xác định khả năng theo thuật ngữ của kiến trúc/ thiết kế an ninh kỹ thuật mạng.

iii) Thu thập thông tin khác để được đánh giá các tác động doanh nghiệp có thể bất lợi, các mối đe dọa và các lỗ hổng thông qua các kết nối mạng, (nó bao gồm giá trị để các vận hành kinh doanh của thông tin được truyền qua các kết nối mạng, bất kỳ thông tin có thể truy cập nào khác theo cách trái phép thông qua các kết nối đó, và của các dịch vụ được cung cấp).

2) Thực hiện đánh giá rủi ro an ninh mạng và đánh giá quản lý, và các lĩnh vực kiểm soát an ninh tương ứng với:

i) Tiến hành đánh giá quản lý và đánh giá rủi ro an ninh mạng bao gồm việc sử dụng thông tin rủi ro liên quan đến các kịch bản mạng và các chủ đề "công nghệ" (xem Điều 10 và 11) - định nghĩa các yêu cầu an ninh. (Chú ý rằng nó bao gồm (1) sự đánh giá của các rủi ro liên quan đến các vi phạm tiềm năng của các cơ quan luật pháp và các quy định có liên quan (gồm các cơ quan Chính phủ quốc gia) và (2) cách sử dụng các tác động tiêu cực tới kinh doanh tiềm năng được thỏa thuận, xác định độ nhạy/phân loại của dữ liệu được lưu trữ hoặc vận chuyển trên mạng).

b) Xác định các kiểm soát an ninh hỗ trợ - phi kỹ thuật và kỹ thuật không chỉ áp dụng cho các mạng (xem Điều 8),

c) Đánh giá các tùy chọn kiến trúc an ninh kỹ thuật/thiết kế, như các kịch bản mạng và các chủ đề "công nghệ", và việc chọn lọc và dẫn chứng kiến trúc/thiết kế an ninh kỹ thuật được ưu tiên và các kiểm soát an ninh liên quan (xem từ Điều 9 đến Điều 11 và Phụ lục A). [Chú ý rằng nó bao gồm các kiểm soát an ninh được yêu cầu để tuân theo các điều chỉnh liên quan và luật pháp liên quan đến các kết nối mạng mà được định nghĩa bởi các bộ phận lãnh đạo và luật pháp (bao gồm cơ quan Chính phủ quốc gia)],

d) Phát triển và thử nghiệm các giải pháp an ninh (xem Điều 12),

e) Thiết lập và vận hành các kiểm soát an ninh (xem Điều 13),

f) Giám sát và xem xét việc thiết lập (xem Điều 14). (Chú thích rằng nó bao gồm việc giám sát và đánh giá các kiểm soát an ninh được yêu cầu để tuân theo các sự điều chỉnh và luật pháp liên quan đến các kết nối mạng được định nghĩa theo các bộ phận lãnh đạo và luật pháp (bao gồm các cơ quan Chính phủ quốc gia):

1) Các đánh giá phải được thực hiện tuần tự, và trong trường hợp các thay đổi chính (theo nhu cầu doanh nghiệp, công nghệ, các giải pháp an ninh,…) và sự cần thiết của hệ quả từ các bước đầu tiên đã vạch ra bên trên phải được xem lại và cập nhật.

Tổng quan của quy trình quản lý và lập kế hoạch an ninh mạng được thể hiện trong Hình 3.

CHÚ THÍCH Xem TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011, ISO/IEC 27003, ISO/IEC 27004 VÀ ISO/IEC 27005.