Hình 4 - Lập kế hoạch an ninh mạng và quản lý quy trình

7. Xác định các rủi ro và việc chuẩn bị xác định kiểm soát an ninh

7.1. Giới thiệu chung

Như đã nói ở Điều 6, giai đoạn đầu tiên trong xác định và đánh giá các rủi ro liên quan đến mạng và việc chuẩn bị để xác định các kiểm soát an ninh là thu thập thông tin trong môi trường mạng hiện tại và/hoặc dự kiến. Điều 7.2 cung cấp hướng dẫn về điều này. Giai đoạn tiếp theo là xác định và đánh giá các rủi ro an ninh mạng, và các miền kiểm soát phù hợp. Điều 7.3 cung cấp hướng dẫn về điều này.

7.2. Thông tin trên mạng hiện tại và/hoặc dự kiến

7.2.1. Yêu cầu an ninh trong chính sách an ninh thông tin doanh nghiệp

Chính sách an ninh thông tin của một tổ chức (hoặc cộng đồng) có thể bao gồm các điều theo nhu cầu về sự cẩn mật, sự toàn vẹn, sự chống chối bỏ và sự sẵn có, như các quan điểm về các loại đe dọa và rủi ro, và các kiểm soát an ninh mạng mà cần để thiết lập bất chấp các rủi ro được đánh giá. Vì vậy bước đầu tiên phải được xem xét chính sách an ninh thông tin doanh nghiệp chi tiết của bất kỳ rủi ro liên quan đến mạng nào mà luôn được cân nhắc của các kiểm soát an ninh mạng phải được thiết lập.

Ví dụ, như một chính sách có thể nói rõ rằng:

● Tính sẵn có của các loại của thông tin hoặc dịch vụ đã biết là một sự quan hệ cơ bản,

● Không có các kết nối thông qua các đường chuyển mạch/ quay số là được phép,

● Mọi kết nối tới mạng Internet phải được đặt qua một cổng an ninh,

● Loại cổng an ninh đặc biệt phải được sử dụng,

● Không có hướng dẫn thanh toán giá trị mà không có chữ ký số.

Các yêu cầu này phải được tính toán dựa trên việc tiến hành xem xét đánh giá rủi ro và xác định của các khía cạnh thiết kế/kiến trúc an ninh kỹ thuật và các kiểm soát an ninh tiềm năng. Bất kỳ các yêu nào ở như vậy phải được ghi trong danh sách dự thảo của các miền kiểm soát an ninh tiềm năng, và khi cần thiết được phản ánh trong các tùy chọn thiết kế/kiến trúc an ninh kỹ thuật.

Hướng dẫn về chính sách an ninh thông tin được cung cấp trong TCVN ISO/IEC 27002:2011 và ISO/IEC 27005.

Bước tiếp theo phải được thu thập và đánh giá thông tin trên (các) mạng hiện tại và/hoặc dự kiến - (các) kiến trúc, các ứng dụng, các dịch vụ, các loại kết nối và các đặc tính khác - phải có một liên hệ với việc xác định và đánh giá các rủi ro, và xác định rõ các thuật ngữ khả thi trong thiết kế/kiến trúc an ninh kỹ thuật mạng. Các khía cạnh này được mô tả bên dưới.

Chi tiết phải được đạt được của các ứng dụng, dịch vụ và kiến trúc mạng hiện tại và/hoặc dự kiến liên quan, và được đánh giá để cung cấp các hiểu biết và bối cảnh cần thiết cho việc kiểm soát an ninh quản lý rủi ro an ninh và quản lý đánh giá và dẫn đến việc cân nhắc các tùy chọn kiến trúc an ninh kỹ thuật mạng. Bằng cách lọc các khía cạnh đó ở giai đoạn khả thi sớm nhất, quy trình của việc xác định và đánh giá các rủi ro an ninh và các kiểm soát an ninh phù hợp, và các tùy chọn kiến trúc an ninh kỹ thuật mạnh và quyết định cái nào nên thông qua, cái nào nên hiệu quả hơn và thậm chí dẫn đến một giải pháp an ninh khả thi hơn.

Hơn nữa, việc cân nhắc các khía cạnh ứng dụng, dịch vụ và kiến trúc trên mạng hiện tại/dự kiến ở giai đoạn đầu phải cho phép thời gian và các khía cạnh đó được đánh giá và có thể điều chỉnh lại nếu một giải pháp an ninh có thể chấp nhận không thể đạt được trong thực tế trong môi trường hiện tại và/hoặc dự kiến.

Dựa trên vùng nó bao trùm, các mạng có thể phân loại chủ yếu thành:

● Mạng LAN sử dụng cho liên kết nối các hệ thống cục bộ, và

● Mạng WAN sử dụng để liên kết nối các hệ thống tới một bao phủ rộng khắp.

(Một vài nguồn cũng định nghĩa thuật ngữ mạng đô thị (MAN) cho một mạng WAN giới hạn cục bộ, ví dụ: trong một thành phố. Tuy nhiên, hiện nay các công nghệ tương tự được sử dụng cho các mạng WAN và do vậy không có các khác biệt đáng kể giữa mạng MAN và WAN nữa. Hơn nữa, theo mục đích của các mạng khu vực cá nhân tiêu chuẩn (PANs) phải được phân loại như các mạng LAN. Thuật ngữ khác sử dụng hiện nay là mạng khu vực toàn cầu (GAN), như một mạng WAN toàn cầu. Chú thích rằng hiện nay các thuật ngữ này sử dụng cho việc lưu trữ các mạng liên quan, như mạng khu vực lưu trữ (SAN) và lưu trữ gắn liền mạng (NAS), nhưng chúng không trong phạm vi của bộ TCVN 9801)

Giao thức khác biệt có các thuộc tính an ninh khác biệt và phải tạo ra sự quan tâm đặc biệt. Ví dụ:

● Giao thức phương tiện được sử dụng chủ yếu trong các mạng LAN và chúng cung cấp các cơ chế để điều chỉnh việc sử dụng của phương tiện được chia sẻ trên các hệ thống được kết nối. Như một phương tiện chia sẻ được sử dụng, tất cả thông tin trên mạng là có thể truy cập vật lý bởi tất cả các hệ thống được kết nối. Một ví dụ ở đây là trung tâm Ethernet.

● Giao thức kiểm soát an ninh truy cập được thiết kế để cho vào tới một mạng. Các ví dụ ở đây bao gồm IEEE 802.1x và WPA,

● Giao thức định tuyến được sử dụng để định nghĩa thông qua các nút khác biệt mà thông tin chuyển qua các phân vùng mạng, với cả mạng LAN và WAN. Thông tin có thể truy cập vật lý cho tất cả hệ thống qua định tuyến và việc định tuyến có thể được thay đổi, vô tình hoặc cố ý,

● Giao thức MPLS, mà nhiều mạng truyền tải dựa trên, cho phép một mạng lõi truyền tải được chia sẻ bởi các mạng cá nhân mà không cần bất kỳ thành phần nào của một mạng cá nhân được cảnh báo rằng các mạng cá nhân khác đang chia sẻ mạng lõi. Ứng dụng chính là việc thiết lập của các VPN khi các nhãn khác nhau sử dụng để xác định và phân luồng lưu lượng phụ thuộc vào các VPN khác nhau (một MPLS dựa trên VPN không dựa trên các cơ chế mã hóa dữ liệu). Nó cho phép các khách hàng doanh nghiệp thuê ngoài mạng nội bộ của họ tới một bên cung cấp dịch vụ và tránh nhu cầu để triển khai và quản lý mạng lõi IP của chính họ. Lợi ích chính là khả năng hội tụ các dịch vụ mạng, như dữ liệu và âm thanh qua một mạng, sử dụng các cơ chế QoS để đảm bảo hiệu năng thời gian thực.

Nhiều giao thức sử dụng trong các mạng không được thiết lập bất kỳ bảo mật nào. Ví dụ, các công cụ để thu thập các mật khẩu từ lưu lượng mạng là được sử dụng phổ biến bởi các kẻ tấn công. Nó biến các giao thức như Telnet các mật khẩu không mã hóa qua một lỗi nghiêm trọng của mạng công cộng.

CHÚ THÍCH Telnet là chương trình giả lập đầu cuối để làm việc online trên một máy tính từ xa.

Nhiều giao thức có thể được sử dụng trong kết nối với các cấu trúc liên kết mạng và phương tiện khác nhau, và bằng cách sử dụng mạng có dây như các công nghệ không dây. Trong nhiều trường hợp, nó có tác động xa hơn nữa dựa trên các đặc tính an ninh.

Loại ứng dụng sử dụng qua một mạng phải được chú ý trong bối cảnh an ninh. Các loại ứng dụng bao gồm:

● Các ứng dụng khách hàng nhỏ,

● Các ứng dụng cho máy tính để bàn,

● Các ứng dụng dựa trên giả lập đầu cuối,

● Các ứng dụng và nền tảng tin nhắn,

● Các ứng dụng dựa trên lưu trữ và chuyển tiếp hoặc luân phiên, và

● Các ứng dụng máy chủ - khách.

Các ví dụ, sau thể hiện cách các thuộc tính ứng dụng ảnh hưởng các yêu cầu an ninh cho các môi trường mạng mà chúng có thể sử dụng:

● Ứng dụng tin nhắn (mà cung cấp mã hóa và các chữ ký số cho các tin nhắn) có thể cung cấp một mức độ an ninh phù hợp mà không cần thiết lập của các kiểm soát an ninh riêng trong mạng,

● Ứng dụng khách hàng nhỏ có thể cần để tải xuống mã di động cho tính năng thông thường. Trong khi sự cẩn mật có thể không phải là vấn đề chính trong bối cảnh này, tính toàn vẹn là quan trọng và mạng phải cung cấp các cơ chế thích hợp cho nó. Cách khác, nếu các đòi hỏi cao hơn cần được thỏa mãn, việc ký số của mã di động sẽ cung cấp sự toàn vẹn và sự xác thực bổ sung. Điều đó thường được hoàn tất trong chính một nền tảng ứng dụng, bởi thế không cần phải cung cấp các dịch vụ này trên mạng,

● Ứng dụng dựa trên lưu trữ và chuyển tiếp hoặc bộ cuộn lưu tạm thời dữ liệu quan trọng trên các nút trung gian cho quy trình sau đó. Nếu các yêu cầu về tính toàn vẹn và tính cẩn mật, các kiểm soát an ninh phù hợp sẽ cần trong mạng để bảo vệ dữ liệu truyền. Tuy nhiên, dựa trên việc lưu trữ tạm thời của dữ liệu trên các máy chủ trung gian, các kiểm soát an ninh này có thể không đủ. Vì vậy, các kiểm soát an ninh bổ sung có thể cần để áp dụng để bảo vệ dữ liệu đã được lưu trữ trên các nút trung gian.

Loại các dịch vụ (như DNS, thư điện tử, âm thanh) sử dụng qua một mạng phải được cân nhắc trong bối cảnh an ninh.

Khi đánh giá kiến trúc mạng, các ứng dụng và dịch vụ, việc xem xét phải được đưa ra cho các kết nối mạng hiện tại nội bộ, từ hoặc đến tổ chức/cộng đồng, và tới mạng mà một kết nối được dự kiến. Các kết nối hiện tại của tổ chức/cộng đồng có thể giới hạn hoặc ngăn các kết nối mới, như bằng các thỏa thuận hoặc hợp đồng. Sự tồn tại của các kết nối khác tới hoặc từ mạng mà một kết nối được yêu cầu có thể giới thiệu các lỗ hổng an ninh bổ sung do đó các rủi ro cao hơn, có thể đảm bảo các kiểm sotas bổ sung và/hoặc mạnh mẽ hơn.

Có nhiều loại kết nối mạng phổ biến mà một tổ chức/cộng đồng cần dùng. Một vài loại kết nối có thể được tạo ra thông qua các mạng cá nhân (mà truy cập bị giới hạn tới một cộng đồng đã biết), và một vài có thể được tạo ra thông qua các mạng công cộng (mà truy cập là sẵn có cho bất kỳ tổ chức hoặc cá nhân nào) Hơn nữa, các loại kết nối mạng này có thể sử dụng cho một sự thay đổi của các dịch vụ, ví dụ: thư điện tử, và có thể bao hàm việc sử dụng các phương tiện của mạng Internet, Intranet và Extranet, với mỗi sự khác biệt về các xem xét an ninh. Mỗi loại của các kết nối có nhiều lỗ hổng và các rủi ro an ninh tương ứng khác nhau và cho nên cuối cùng yêu cầu một tập khác nhau của các kiểm soát an ninh.

Cách thức của việc phân loại các loại mạng phổ biến mà có thể được yêu cầu để chỉ đạo kinh doanh, được tuân theo bởi:

- Liên kết nối giữa các phần khác nhau của cùng tổ chức trong cùng khu vực kiểm soát an ninh, như một vùng hoặc toàn nhà kiểm soát an ninh đơn lẻ,

- Liên kết nối giữa các phần khác nhau theo địa lý của cùng tổ chức, ví dụ: các văn phòng khu vực với một khu trụ sở chính, qua một mạng vùng rộng. Hầu hết nếu không phải tất cả người dùng có thể truy cập các hệ thống thông tin sẵn có thông qua mạng, nhưng không phải tất cả người dùng trong tổ chức xác thực truy cập cho tất cả ứng dụng hoặc thông tin.

- Kết nối giữa một vùng của tổ chức và cá nhân đang làm việc trong các khu vực xa, hoặc việc thiết lập các liên kết từ xa cho các hệ thống máy tính của tổ chức bởi các nhân viên đang làm việc từ gia đình hoặc các vùng xa mà không được liên kết thông qua một mạng được duy trì bởi tổ chức,

- Các kết nối giữa các tổ chức khác nhau trong một cộng đồng đóng, ví dụ: bởi vì các tình huống ràng buộc pháp lý hoặc hợp đồng, hoặc của các quyền lợi kinh doanh giống nhau, ví dụ: ngân hàng hoặc bảo hiểm. Các kết nối này không cung cấp truy cập toàn dải các ứng dụng sử dụng bởi mỗi sự tham gia các tổ chức,

- Các kết nối với các tổ chức khác, như truy cập cơ sở dữ liệu từ xa giữ bởi các tổ chức khác. Trong loại kết nối này, tất cả người dùng, bao gồm tổ chức kết nối, là được xác thực trước riêng lẻ bởi tổ chức bên ngoài mà thông tin đã được truy cập,

- Các kết nối với tên miền công cộng phổ biến, với truy cập được khởi tạo bởi các người dùng của tổ chức để truy cập công khai cơ sở dữ liệu, các website và/hoặc phương tiện thư điện tử (ví dụ: qua Internet),

- Các kết nối tới mạng điện thoại công cộng từ một môi trường IP, mà truy cập được khởi tạo cho PSTN từ một máy điện thoại trong mạng IP. Các kết nối này là phi kiểm soát an ninh như các cuộc gọi có thể nhận từ bất kỳ khu vực nào trên thế giới.

Theo cách thức phân loại được sử dụng, các loại kết nối khác nhau trong môi trường mạng hiện tại và/hoặc dự kiến phải được đánh giá cho hệ quả an ninh của họ và thông tin thu được phải được sử dụng trong quy trình xác định và đánh giá cập các rủi ro an ninh và các kiểm soát an ninh tương ứng, và các tùy chọn an ninh kiến trúc an ninh mạng và việc quyết định cái nào được thông qua.

7.2.2.4. Đặc tính mạng khác

Các đặc tính khác của (các) mạng hiện tại và /hoặc dự kiến phải được đánh giá. Nó quan trọng đặc biệt để xác định dù mạng sử dụng/chỉ sử dụng trong một mạng công cộng - một mạng có thể truy cập bởi bất kỳ ai, hay một mạng cá nhân, ví dụ: một mạng bao gồm các đường thuê bao hoặc tự chủ, vì thế dẫn đến an toàn hơn một mạng công cộng. Nó quan trọng để biết loại dữ liệu được truyền bởi mạng, ví dụ một:

● Mạng dữ liệu - một mạng truyền dữ liệu cơ bản và sử dụng các giao thức dữ liệu,

● Mạng âm thanh - một mạng có dành cho điện thoại nhưng cũng sử dụng dữ liệu, hoặc

● Mạng "lai" chứa cả dữ liệu và âm thanh, và có thể cả video.

Thông tin khác, ví dụ:

● Hoặc mạng là một mạng MPLS hoặc mạng gói, hoặc mạng chuyển,

● Hoặc có hỗ trợ một QoS, như trong một mạng MPLS (QoS liên quan đến hiệu năng ổn định, sự đáng tin cậy và tính sẵn có. Các dịch vụ mạng phải được phân phát để cung cấp mức hiệu năng nhỏ nhất để có thể vận hành. Ví dụ: các dịch vụ âm thanh sẽ lặp lại và phá vỡ băng thông là không phù hợp. QoS đề cập tới một khả năng của hệ thống mạng để duy trì một dịch vụ cho sẵn ở hoặc trên mức hiệu năng tối thiểu nó yêu cầu).

cũng liên quan.

Hơn nữa, nó cũng thiết lập một kết nối hoặc vĩnh viễn hoặc tại thời điểm cần thiết.

Một khi các đặc tính này của mạng hiện tại và/hoặc dự kiến đã được xác định, và ở số lượng tối thiểu nó được thiết lập nếu mạng là công cộng hoặc cá nhân, và nếu việc xem xét đánh giá với việc tuân theo cho việc nhập trong quản lý rủi ro an ninh mạng và quản lý đánh giá. Phân loại đại khái mạng thành một vài mạng-gần giống với:

● Cộng đồng người dùng không biết,

● Cộng đồng người dùng đã biết và trong cộng đồng kinh doanh đóng (của nhiều hơn một tổ chức),

● Cộng đồng người dùng đã biết chủ yếu trong tổ chức.

Sau khi xem xét việc phân loại theo bối cảnh được sử dụng của mạng dùng/sử dụng hoặc là mạng công cộng hoặc cá nhân, và phân loại như sau:

- Cộng đồng người dùng không biết, và việc sử dụng của mạng công cộng,

- Cộng đồng người dùng đã biết trong một cộng đồng kinh doanh đóng và việc sử dụng mạng công cộng,

- Cộng đồng người dùng đã biết chủ yếu trong tổ chức, và việc sử dụng mạng công cộng,

- Cộng đồng người dùng không biết và việc sử dụng mạng cá nhân,

- Cộng đồng người dùng đã biết và trong cộng đồng kinh doanh đóng, và sử dụng mạng cá nhân,

- Cộng đồng người dùng đã biết chủ yếu trong tổ chức, và sử dụng mạng cá nhân.

Dù cho bất kỳ cách thức nào được đánh giá, lưu ý rằng các kết hợp nhất định có thể sẽ là mức rủi ro thấp hơn so với các cách khác. Các thông tin thu được phải được dùng trong quy trình xác định và đánh giá các rủi ro an ninh và kiểm soát an ninh tương ứng và các lựa chọn kiến trúc an ninh kỹ thuật mạng và việc quyết định cái nào sẽ được áp dụng.

Cuối cùng, thông tin khác phải được thu thập để được chuẩn bị hợp thức cho TCVN ISO/IEC 27001 và TCVN ISO/IEC 27002 tương thích với đánh giá rủi ro an ninh mạng và quản lý đánh giá, bao gồm định nghĩa rõ ràng ranh giới, phạm vi đánh giá. Việc thực hiện ở cơ hội sớm nhất sẽ tránh được sự mơ hồ, công việc không cần thiết này, và sẽ tăng cường sự nhấn mạnh và tính hiệu quả của việc đánh giá. Định nghĩa ranh giới/phạm vi phải chỉ ra rõ ràng cái gì tuân theo mà phải được xem xét khi thực hiện đánh giá rủi ro an ninh mạng và quản lý đánh giá:

- Loại thông tin,

- Quy trình doanh nghiệp,

- Thành phần phần cứng, phần mềm, các dịch vụ tiềm năng hay thực tế và các chi tiết (nếu nó được không biết rõ, trong các điều kiện chung),

- Môi trường tiềm năng hoặc thực tế (ví dụ: các lĩnh vực, các phương tiện),

- Hoạt động (vận hành).

Thông tin này, với sự phù hợp được tập trung trong Điều 7.2, phải được sử dụng trong việc đánh giá rủi ro an ninh mạng và quản lý rủi ro, các hoạt động mà được tổng kết trong Điều 7.3.

7.3. Rủi ro an ninh thông tin và vùng kiểm soát an ninh tiềm năng

Như phản ánh trước đây, phần lớn các tổ chức hiện nay là phụ thuộc vào việc sử dụng các mạng và các hệ thống và thông tin liên quan để hỗ trợ các vận hành kinh doanh. Hơn nữa, nhiều trường hợp xác định yêu cầu kinh doanh cho việc sử dụng các mạng giữa các hệ thống thông tin ở mỗi vùng của tổ chức, và để các vùng khác cả nội bộ và ngoài của tổ chức, bao gồm từ/đến cộng đồng chung. Khi một kết nối được tạo ra tới mạng khác, việc quan tâm đáng kể phải được tạo ra để đảm bảo rằng kết nối doanh nghiệp không bộc lộ các rủi ro bổ sung (từ mối đe dọa lợi dụng các lỗ hổng tiềm năng). Các rủi ro này, ví dụ: là hệ quả từ kết nối chính nó hoặc từ các kết nối mạng ở điểm cuối khác.

Một số rủi ro đó có thể liên quan tới việc đảm bảo tuân thủ luật pháp và quy định. (Sự quan tâm cụ thể nên được đưa ra với luật bảo vệ dữ liệu và quyền riêng tư). Nhiều quốc gia có luật pháp kiểm soát việc thu thập, xử lý và truyền dữ liệu cá nhân, chẳng hạn ví dụ: dữ liệu có liên quan tới một hoặc nhiều cá nhân cụ thể. Tùy vào luật pháp từng quốc gia, việc kiểm soát có thể nhằm vào đánh thuế thu thập, xử lý và phát tán thông tin cá nhân qua các mạng và thậm chí có thể hạn chế khả năng truyền dữ liệu đó tới các quốc gia khác, làm phát sinh các vấn đề hệ trọng về an ninh. Các ví dụ dữ liệu ít rõ ràng hơn có thể là đối tượng của luật pháp, chẳng hạn một số phần cứng và các địa chỉ IP)

Do vậy, các rủi ro đối mặt này có thể liên quan tới các liên hệ về truy cập trái phép về thông tin, thông tin gửi đi trái phép, việc giới thiệu mã độc, từ chối sự nhận tin hoặc nguồn, kết nối từ chối dịch vụ và sự không sẵn có của thông tin và dịch vụ. Chúng có thể liên quan việc thất thoát của:

● Sự cẩn mật của thông tin và mã (trong các mạng và hệ thống được kết nối trong các mạng),

● Tính toàn vẹn của thông tin và mã (trong các mạng và hệ thống được kết nối trong các mạng),

● Tính sẵn có của các dịch vụ thông tin và mạng (và các hệ thống kết nối tới các mạng),

● Sự chống chối bỏ của các giao dịch mạng (các cam kết),

● Sự tính toán của các giao dịch mạng,

● Thẩm quyền của thông tin (của người dùng và người quản trị mạng),

● Sự tin cậy của thông tin và mã (trong các mạng và hệ thống được kết nối trong các mạng),

● Khả năng kiểm soát an ninh việc sử dụng trái phép và sự khai thác của tài nguyên mạng, bao gồm các bối cảnh chính sách của tổ chức (như bán băng thông hoặc sử dụng băng thông cho chính lợi ích của họ) và chịu trách nhiệm trong mối quan hệ với luật pháp và điều lệ (như việc lưu trữ ảnh đồi trụy tre em),

● Khả năng kiểm soát an ninh việc lạm dụng truy cập có thẩm quyền.

Một mô hình khái niệm của an ninh mạng thể hiện vùng mà các loại rủi ro an ninh có thể xảy ra được thể hiện trong Hình 5.