TIÊU CHUẨN QUỐC GIA TCVN 27008:2018 (ISO TR 27008:2011) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHUYÊN GIA ĐÁNH GIÁ VỀ KIỂM SOÁT AN TOÀN THÔNG TIN

TIÊU CHUẨN QUỐC GIA

TCVN 27008:2018

ISO/IEC TR 27008:2011

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHUYÊN GIA ĐÁNH GIÁ VỀ KIỂM SOÁT AN TOÀN THÔNG TIN

Information technology – Security techniques – Guidelines for auditors on information security controls

Lời nói đầu

TCVN 27008:2018 hoàn toàn tương đương với ISO/IEC TR 27008:2011.

TCVN 27008:2018 do Học viện Công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn này hỗ trợ quy trình quản lý rủi ro hệ thống quản lý an toàn thông tin (ISMS) được xác định trong phạm vi các tiêu chuẩn TCVN ISO/IEC 27001:2009, TCVN 10295:2014 và các biện pháp kiểm soát trong TCVN ISO/IEC 27002:2011.

Tiêu chuẩn này cung cấp hướng dẫn để soát xét các biện pháp kiểm soát an toàn thông tin cho một tổ chức ví dụ trong tổ chức, quy trình nghiệp vụ và môi trường hệ thống, bao gồm cả kiểm thử việc tuân thủ kỹ thuật.

Tham khảo thêm tiêu chuẩn ISO/IEC 27007 đưa ra các chỉ dẫn để đánh giá các thành phần hệ thống quản lý và TCVN ISO/IEC 27006:2017 về soát xét tuân thủ ISMS cho mục đích chứng nhận.

 

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHUYÊN GIA ĐÁNH GIÁ VỀ KIỂM SOÁT AN TOÀN THÔNG TIN

Information technology – Security techniques – Guidelines for auditors on information security controls

1  Phạm vi áp dụng

Tiêu chuẩn này cung cấp hướng dẫn soát xét việc triển khai và vận hành các biện pháp kiểm soát, bao gồm kiểm tra sự tuân thủ kỹ thuật theo các biện pháp kiểm soát của các hệ thống thông tin theo các tiêu chuẩn an toàn thông tin đã được tổ chức thiết lập.

Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình và quy mô của tổ chức kể cả các cơ quan nhà nước, doanh nghiệp và các tổ chức phi lợi nhuận có thể tiến hành các soát xét biện pháp kiểm soát an toàn thông tin và kiểm tra sự tuân thủ kỹ thuật. Tiêu chuẩn này không phải là tiêu chuẩn sử dụng để đánh giá các hệ thống quản lý.

2  Tài liệu viện dẫn

Tài liệu viện dẫn dưới đây rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng bản mới nhất, bao gồm cả các sửa đổi.

ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng.

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ, định nghĩa được đưa ra trong TCVN 11238:2015 và một số thuật ngữ, định nghĩa dưới đây:

3.1

Đối tượng soát xét (review object)

Hạng mục cụ thể được soát xét.

3.2

Mục tiêu soát xét (review objective)

Tuyên bố mô tả kết quả cần đạt được sau soát xét.

3.3

Tiêu chuẩn thực thi an toàn (security implementation standard)

Tài liệu quy định các cách thức được phép để thực hiện an toàn.

3.4

Hệ thống quản lý an toàn thông tin (ISMS: Information Security Management Systems)

Hệ thống bao gồm các chính sách, thủ tục, hướng dẫn và các nguồn lực và các hoạt động liên quan, được quản lý chung bởi một tổ chức, trong việc theo đuổi bảo vệ tài sản thông tin của mình

4  Cấu trúc tiêu chuẩn

Tiêu chuẩn này mô tả về quy trình soát xét biện pháp kiểm soát an toàn thông tin bao gồm cả việc kiểm tra sự tuân thủ kỹ thuật.

Thông tin nền tảng được cung cấp tại Điều 5.

Điều 6 cung cấp tổng quan về soát xét các biện pháp kiểm soát an toàn thông tin.

Điều 7 trình bày các phương pháp soát xét và Điều 8 nêu các hoạt động.

Phụ lục A sẽ hỗ trợ kiểm tra sự tuân thủ kỹ thuật và Phụ lục B tập trung vào việc thu thập thông tin ban đầu.

5  Nền tảng

Các biện pháp kiểm soát an toàn thông tin của mỗi tổ chức cần được lựa chọn dựa trên kết quả đánh giá rủi ro như là một phần của một quy trình quản lý rủi ro an toàn thông tin để giảm thiểu rủi ro đến một mức chấp nhận được. Tuy nhiên, các tổ chức quyết định không triển khai ISMS có thể chọn các cách thức khác để chọn lựa, triển khai và duy trì các biện pháp kiểm soát an toàn thông tin.

Các thành phần điển hình của các biện pháp kiểm soát an toàn thông tin của tổ chức được thực hiện bằng việc triển khai các biện pháp kiểm soát an toàn thông tin kỹ thuật, ví dụ khi tài sản thông tin bao gồm cả các hệ thống thông tin.

Các biện pháp kiểm soát an toàn kỹ thuật của một tổ chức cần phải được xác định, lập tài liệu, triển khai và duy trì theo các tiêu chuẩn kỹ thuật an toàn thông tin. Theo thời gian, các yếu tố nội bộ chẳng hạn như sự sửa đổi các hệ thống thông tin, các cấu hình chức năng bảo mật và những thay đổi của các hệ thống thông tin lân cận và các yếu tố bên ngoài như sự tiến bộ của các kỹ thuật tấn công có thể ảnh hưởng tiêu cực đến hiệu lực của các biện pháp kiểm soát an toàn thông tin và cuối cùng là đến các tiêu chuẩn an toàn thông tin của tổ chức. Các tổ chức cần phải có một chương trình nghiêm ngặt cho biện pháp kiểm soát thay đổi an toàn thông tin. Các tổ chức cần thường xuyên soát xét xem liệu các tiêu chuẩn thực thi an toàn có được triển khai và được vận hành phù hợp. Việc kiểm tra sự tuân thủ kỹ thuật được nêu trong tiêu chuẩn TCVN ISO/IEC 27002:2011 là một trong những biện pháp kiểm soát và được thực hiện một cách thủ công và/hoặc bằng soát xét kỹ thuật với sự hỗ trợ của các công cụ tự động. Việc này có thể được thực hiện bởi một người có vai trò không liên quan đến việc thi hành biện pháp kiểm soát, ví dụ: bởi chủ sở hữu hệ thống hoặc nhân viên phụ trách kiểm soát cụ thể hoặc bởi các chuyên gia an toàn thông tin nội bộ hay bên ngoài bao gồm cả chuyên gia đánh giá công nghệ thông tin.

Kết quả soát xét việc kiểm tra sự tuân thủ kỹ thuật sẽ đánh giá mức độ tuân thủ kỹ thuật thực tế theo các tiêu chuẩn thực thi an toàn thông tin của tổ chức. Chứng cứ này cung cấp sự đảm bảo khi tình trạng của các kiểm soát kỹ thuật phù hợp với các tiêu chuẩn an toàn thông tin, hay nói cách khác là cơ sở để cải tiến. Các báo cáo đánh giá cần được thiết lập rõ ràng ngay từ đầu khi soát xét và tính toàn vẹn của quy trình báo cáo cần được đảm bảo. Các bước cần được thực hiện để đảm bảo rằng:

• các bên có trách nhiệm liên quan nhận trực tiếp từ các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin một bản sao báo cáo;

• các bên không phù hợp hoặc không có thẩm quyền không nhận được bản sao báo cáo từ các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin;

• Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin được phép thực hiện công việc của họ mà không bị cản trở.

Các soát xét kiểm soát an toàn thông tin và cụ thể là việc kiểm tra sự tuân thủ kỹ thuật có thể giúp tổ chức để:

• xác định và hiểu được mức độ của các vấn đề tiềm ẩn hay thiếu hụt trong việc triển khai và vận hành các biện pháp kiểm soát an toàn thông tin, các tiêu chuẩn an toàn thông tin và các biện pháp kiểm soát kỹ thuật an toàn thông tin của tổ chức;

• xác định và hiểu các tác động tiềm ẩn cho tổ chức bởi các điểm yếu và mối đe dọa an toàn thông tin đã bị xem nhẹ một cách không phù hợp;

• phân mức ưu tiên các hoạt động giảm nhẹ rủi ro an toàn thông tin;

• xác nhận rằng những điểm yếu hoặc thiếu sót về an toàn thông tin đã được xác định trước đó hoặc mới xuất hiện đã được giải quyết thỏa đáng;

• hỗ trợ các quyết định ngân sách trong quy trình đầu tư và các quyết định quản lý khác liên quan đến tăng cường quản lý an toàn thông tin của tổ chức.

Tiêu chuẩn này tập trung vào việc soát xét các biện pháp kiểm soát an toàn thông tin, bao gồm cả kiểm tra sự tuân thủ kỹ thuật theo tiêu chuẩn thực hiện an toàn thông tin đã được thiết lập bởi tổ chức. Tiêu chuẩn này không có ý định cung cấp bất kỳ hướng dẫn cụ thể về kiểm tra tuân thủ liên quan đến đo lường, đánh giá rủi ro hoặc đánh giá ISMS tương ứng theo quy định tại tiêu chuẩn TCVN 10542:2014 (ISO/IEC 27004), TCVN 10295:2014 hoặc ISO/IEC 27007.

Việc sử dụng tiêu chuẩn này như một điểm khởi đầu trong quy trình xác định các thủ tục soát xét các biện pháp kiểm soát an toàn thông tin sẽ thúc đẩy một mức độ nhất quán hơn về an toàn thông tin trong tổ chức. Điều này cung cấp sự linh hoạt cần thiết để tùy chỉnh việc soát xét dựa trên các nhiệm vụ và mục tiêu nghiệp vụ, các chính sách và yêu cầu tổ chức, thông tin đã biết về các mối đe dọa và điểm yếu, các cân nhắc hoạt động, sự phụ thuộc vào nền tảng và hệ thống thông tin và mức rủi ro mong muốn.

CHÚ THÍCH: TCVN 9788:2013 định nghĩa “mức rủi ro mong muốn” là lượng và loại rủi ro mà tổ chức mong muốn theo đuổi hoặc duy trì.

6  Tổng quan về soát xét các biện pháp kiểm soát an toàn thông tin

6.1  Quy trình soát xét

Khi bắt đầu việc soát xét an toàn liên quan đến thông tin cá nhân, chuyên gia đánh giá liên quan tới soát xét này và các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin thường bắt đầu bằng việc thu thập thông tin sơ bộ, soát xét phạm vi công việc theo kế hoạch, phối hợp với các nhà quản lý và các đầu mối phù hợp khác trong các bộ phận thích hợp của tổ chức và khai triển việc đánh giá rủi ro soát xét để phát triển các tài liệu soát xét hướng dẫn công việc soát xét trên thực tế. Để soát xét có hiệu quả, các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin được chỉ định cần phải được chuẩn bị tốt; cả về các biện pháp kiểm soát cũng như việc kiểm thử (ví dụ như việc vận hành các công cụ thích hợp, mục tiêu kỹ thuật của kiểm thử), ở cấp độ này, các thành phần của công tác đánh giá cũng có thể được phân cấp ưu tiên tùy theo các rủi ro được nhận thức nhưng chúng cũng có thể được lên kế hoạch theo một quy trình hoặc hệ thống nghiệp vụ cụ thể hoặc đơn giản là được thiết kế để xử lý tất cả các khu vực thuộc phạm vi soát xét theo trình tự.

Thông tin sơ bộ có thể đến từ nhiều nguồn khác nhau:

• sách, tìm kiếm trên Internet, sổ tay kỹ thuật, tiêu chuẩn và các nghiên cứu khái quát chung khác đối với các nguy cơ phổ biến và các biện pháp kiểm soát về lĩnh vực này, các hội nghị, hội thảo, thảo luận, diễn đàn;

• các kết quả của các soát xét, kiểm thử và đánh giá trước đó, dù chỉ một phần hoặc hoàn toàn đồng nhất với phạm vi đánh giá hiện tại và cho dù có hoặc không được tiến hành bởi các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin (ví dụ như các kiểm thử an toàn trước kia được thực hiện bởi các chuyên gia an toàn thông tin cũng có thể cung cấp nhiều kiến thức về sự an toàn của các hệ thống ứng dụng chính);

• thông tin về các sự cố an toàn thông tin liên quan, các tình huống cận nguy, các vấn đề và những thay đổi về hỗ trợ, được thu thập từ các quy trình trợ giúp công nghệ thông tin (CNTT), quản lý thay đổi CNTT, quản lý sự cố CNTT và các nguồn tương tự;

• danh sách soát xét chung và các bài viết của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin hoặc các chuyên gia an toàn thông tin có chuyên môn trong lĩnh vực này.

Có thể thích hợp nếu soát xét lại phạm vi soát xét đã được lập kế hoạch theo thông tin sơ bộ, đặc biệt là nếu kế hoạch soát xét theo phạm vi ban đầu đã được chuẩn bị trong nhiều tháng trước. Ví dụ: các cuộc soát xét khác có thể đã không bao trùm các mối quan tâm mà đáng lẽ phải được điều tra chuyên sâu hoặc ngược lại có thể đã làm tăng sự đảm bảo ở một số khu vực, cho phép các công việc hiện tại tập trung đến những nơi khác.

Phối hợp với các nhà quản lý và các đầu mối soát xét ở giai đoạn đầu này là một hoạt động quan trọng. Khi kết thúc quy trình soát xét, những người này sẽ cần phải hiểu được những kết quả tìm được để có những phản hồi tích cực vào báo cáo đánh giá. Sự đồng cảm, tôn trọng lẫn nhau và việc có những nỗ lực để giải thích quy trình soát xét cải thiện đáng kể chất lượng và tác động tới kết quả.

Trong khi các cá nhân khác nhau có những cách thức khác nhau để lập tài liệu về công việc của họ thì nhiều chức năng soát xét lại sử dụng các quy trình soát xét chuẩn được hỗ trợ bởi các mẫu văn bản cho giấy tờ làm việc, như danh sách soát xét, câu hỏi kiểm soát nội bộ, lịch trình kiểm thử, ma trận kiểm soát rủi ro v.v..

Danh sách soát xét (hoặc tương tự) là một tài liệu quan trọng vì nhiều lý do:

• Đưa ra các khu vực được lập kế hoạch cho công việc soát xét, có thể với mức chi tiết cho mỗi kiểm thử soát xét và các phát hiện mong đợi/ý tưởng:

• Cung cấp cấu trúc cho công việc, giúp đảm bảo rằng phạm vi kế hoạch được đề cập đầy đủ;

• Phân tích cần thiết để tạo ra danh sách kiểm tra trước hết sẽ chuẩn bị cho các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin về soát xét trên hiện trường sau đó, công việc hoàn thiện danh sách kiểm tra theo quy trình soát xét sẽ bắt đầu quy trình phân tích mà từ đó báo cáo soát xét sẽ được đưa ra;

• Tài liệu sẽ cung cấp khung để ghi lại các kết quả soát xét ngoài hiện trường và soát xét trên hiện trường, ví dụ: nơi để hỏi và nhận xét về chứng cứ soát xét thu thập được;

• Việc soát xét biện pháp kiểm soát an toàn thông tin có thể được thực hiện bởi nhà quản lý hoặc chuyên gia đánh giá khá, đây là một phần của quy trình đảm bảo chất lượng soát xét;

• Một khi đã hoàn thiện đầy đủ, nó (cùng với các chứng cứ soát xét) sẽ cấu thành một hồ sơ lịch sử khá chi tiết về công việc soát xét, như đã được thực hiện và các phát hiện vừa tìm được có thể được yêu cầu để chứng minh hoặc hỗ trợ các báo cáo soát xét, thông báo cho ban quản lý và /hoặc hỗ trợ các cuộc soát xét được kế hoạch trong tương lai.

Các chuyên gia đánh giá an toàn thông tin cẩn thận trọng trong việc sử dụng bản danh sách kiểm tra soát xét chung được viết bởi người khác, bên cạnh việc có thể tiết kiệm thời gian thì điều này có thể sẽ làm mất đi một số các lợi ích đã nói ở trên. Điều này ít khi là vấn đề với các soát xét tuân thủ hoặc chứng nhận đơn giản do các yêu cầu phải được đáp ứng nhìn chung thường khá rõ ràng.

Phần chủ yếu của soát xét trên hiện trường bao gồm một loạt các kiểm thử được tiến hành bởi các chuyên gia đánh giá hoặc theo yêu cầu của chuyên gia đánh giá, để thu thập chứng cứ soát xét và để soát xét chúng, thường là bằng việc so sánh với các kết quả dự kiến hoặc dự đoán tự thu được từ các nghĩa vụ tuân thủ liên quan, các tiêu chuẩn hoặc một đánh giá tổng quan hơn về các thực hành tốt. Ví dụ: về phương pháp kiểm thử để đánh giá an toàn thông tin về kiểm soát các phần mềm độc hại có thể kiểm tra xem tất cả các nền tảng ứng dụng trên máy tính đã có phần mềm phòng chống virus phù hợp hay không. Các kiểm thử soát xét như vậy thường sử dụng kỹ thuật lấy mẫu vì có rất ít nguồn lực soát xét phù hợp để kiểm thử một cách thấu đáo. Các thực hành lấy mẫu khác nhau giữa các chuyên gia đánh giá và các tình huống có thể bao gồm các lựa chọn ngẫu nhiên, lựa chọn phân tầng và các kỹ thuật lấy mẫu thống kê phức tạp khác (ví dụ, lấy mẫu bổ sung nếu kết quả ban đầu không đạt yêu cầu, để chứng minh mức độ của một điểm yếu trong biện pháp kiểm soát). Theo nguyên tắc chung, việc kiểm thử đầy đủ hơn là có thể thực hiện được nếu chứng cứ có thể được thu thập và kiểm tra bằng phương tiện điện tử, ví dụ như sử dụng các truy vấn SQL đối với một cơ sở dữ liệu thì chứng cứ soát xét được thu thập từ các hệ thống hoặc cơ sở dữ liệu quản lý tài sản. Phương pháp lấy mẫu đánh giá phải được hướng dẫn, ít nhất là một phần, bởi những rủi ro gắn liền với khu vực hoạt động được đánh giá.

Chứng cứ thu thập được trong quá trình soát xét cần được lưu ý, nhắc đến hoặc kiểm kê trong các giấy tờ làm việc soát xét. Cùng với các phân tích, phát hiện, đề xuất và báo cáo soát xét, chứng cứ soát xét cần phải được bảo vệ hợp lý bởi các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin, đặc biệt là với các chứng cứ có độ nhạy cảm cao/ hoặc có giá trị. Dữ liệu được trích xuất từ cơ sở dữ liệu cung cấp cho mục đích soát xét, ví dụ, cần được bảo đảm an toàn với cùng mức như các cơ sở dữ liệu đó khi sử dụng các biện pháp kiểm soát truy cập, mã hóa.v.v.. Các công cụ soát xét tự động, các truy vấn, các chương trình tiện ích/trích xuất dữ liệu, v.v.. cần được kiểm soát chặt chẽ. Tương tự như vậy, các bản in được thực hiện hoặc cung cấp cho chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin quản lý nói chung cần được bảo vệ vật lý bằng khóa và chìa khóa để ngăn chặn việc tiết lộ hoặc sửa đổi trái phép. Trong trường hợp với các cuộc soát xét nhạy cảm, các rủi ro và do đó cả các biện pháp kiểm soát an toàn thông tin cần phải được xác định và chuẩn bị ngay ở giai đoạn đầu của soát xét.

Sau khi hoàn tất danh sách kiểm tra soát xét, tiến hành một loạt các kiểm thử soát xét và thu thập đầy đủ chứng cứ soát xét, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin nên kiểm tra chứng cứ, xác định mức độ mà các rủi ro an toàn thông tin đã được xử lý và soát xét các tác động tiềm ẩn của mọi rủi ro tồn đọng, ở giai đoạn này, một báo cáo soát xét theo mẫu nào đó sẽ thường được soạn thảo, chất lượng được soát xét trong chức năng soát xét và được thảo luận với quản lý, đặc biệt là quản lý của các đơn vị nghiệp vụ, các phòng chức năng hoặc các nhóm được soát xét trực tiếp nhất và có thể cả các bộ phận liên quan khác của tổ chức.

Những người quản lý cuộc đánh giá cần bình tĩnh soát xét chứng cứ để kiểm tra xem:

• có đủ chứng cứ soát xét để cung cấp một cơ sở thực tế hỗ trợ tất cả các phát hiện soát xét;

• tất cả những phát hiện và kiến nghị đều có liên quan đến phạm vi soát xét và các vấn đề không cần thiết đều đã được loại trừ;

Nếu công việc soát xét bổ sung được lên kế hoạch cho các phát hiện thì điều này cần được đánh dấu trong báo cáo.

Cũng như với việc lên kế hoạch soát xét, quy trình phân tích về cơ bản là dựa trên rủi ro mặc dù đã được cung cấp tốt hơn bởi chứng cứ thu thập được trong soát xét trên hiện trường. Trong khi việc soát xét tuân thủ đơn giản có thể thường tạo ra một loạt các kết quả qua/không qua tương đối đơn giản kèm các kiến nghị hiển nhiên thì các soát xét an toàn thông tin thường tạo ra các vấn đề đòi hỏi có sự suy nghĩ và thảo luận của ban quản lý trước khi quyết định xem những hành động nào là phù hợp. Trong một số trường hợp, ban quản lý có thể bầu chọn để chấp nhận các rủi ro nhất định đã được xác định bởi các soát xét an toàn thông tin và họ có thể quyết định không cam kết các khuyến nghị soát xét chính xác như đã được tuyên bố: đây là quyền của ban quản lý nhưng họ còn có trách nhiệm giải trình cho các quyết định của họ. Về vấn đề này, các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin sẽ thực hiện một vai trò tư vấn, chứ không thực thi, mặc dù họ có ảnh hưởng lớn và được hậu thuẫn bởi các thực hành soát xét vững chắc và chứng cứ thực tế.

Các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần cung cấp cho tổ chức chủ đề soát xét với sự đảm bảo hợp lý rằng các hoạt động an toàn thông tin (không phải tất cả sẽ triển khai một hệ thống quản lý) đạt được các mục tiêu đề ra. Mỗi soát xét cần cung cấp một công bố về sự khác biệt giữa thực tế và tham chiếu. Khi tham chiếu là một chính sách nội bộ, chính sách này cần đủ rõ ràng đủ để được là một tài liệu tham khảo. Các tiêu chí được liệt kê trong Phụ lục B có thể được xem là để đảm bảo điều này. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin sau đó cần soát xét các chính sách và thủ tục nội bộ trong phạm vi soát xét. Việc thiếu tiêu chí liên quan vẫn có thể được áp dụng không chính thức trong tổ chức. Sự thiếu tiêu chí được xác định là quan trọng có thể là nguyên nhân của sự không phù hợp tiềm ẩn.

6.2  Nguồn lực

Cuộc soát xét biện pháp kiểm soát an toàn thông tin đòi hỏi các kỹ năng phân tích đối tượng và kỹ năng báo cáo chuyên nghiệp. Nếu liên quan đến việc kiểm tra sự tuân thủ kỹ thuật thì sẽ yêu cầu các kỹ năng chuyên môn bổ trợ bao gồm kiến thức kỹ thuật chi tiết về cách thức các chính sách bảo mật đã được triển khai trong phần mềm, phần cứng, trên các liên kết thông tin liên lạc và trong các quy trình kỹ thuật liên quan. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần phải có:

• nhận thức đúng về các rủi ro của hệ thống thông tin và các kiến trúc an toàn, dựa trên sự hiểu biết về các khung, khái niệm nền tảng hệ thống thông tin;

• kiến thức về các thực hành an toàn thông tin tốt, ví dụ các biện pháp kiểm soát an toàn thông tin được phát triển bởi TCVN ISO/IEC 27002:2011 và các tiêu chuẩn an toàn khác;

• khả năng kiểm tra thường xuyên thông tin kỹ thuật phức tạp ở mức độ đủ sâu để xác định bất kỳ những rủi ro lớn và cơ hội cải tiến;

• nhận thức đúng về những hạn chế thực tế của cả các soát xét an toàn thông tin và công nghệ thông tin.

Khuyến nghị rằng bất cứ ai được giao nhiệm vụ tiến hành soát xét các biện pháp kiểm soát an toàn thông tin, những người không có kinh nghiệm về đánh giá trước đây nên chính thức làm quen với các nguyên tắc cơ bản về đánh giá chuyên nghiệp: đạo đức, tính độc lập, tính khách quan, bảo mật thông tin, trách nhiệm, sự thận trọng, quyền truy cập hồ sơ, các chức năng, tài sản, nhân sự, thông tin với nhiệm vụ trong việc xử lý hậu quả và bảo vệ kết quả thu được, các thành phần của các phát hiện và kiến nghị và quy trình tiếp theo.

Để đạt được mục tiêu soát xét, một nhóm soát xét có thể được thiết lập bao gồm các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin với các năng lực chuyên môn liên quan khác nhau. Trong trường hợp ngay lập tức không có chuyên gia đánh giá có kỹ năng hay năng lực như vậy, những rủi ro và lợi ích trong việc thuê các chuyên gia lĩnh vực liên quan cần được soát xét, theo hình thức nội bộ hoặc bên ngoài, các nguồn lực để thực hiện việc soát xét trong phạm vi yêu cầu.

Chuyên gia đánh giá soát xét kiểm soát an toàn thông tin cũng cần xác minh rằng tổ chức và nhân viên có trách nhiệm về an toàn thông tin đã có mặt, có đầy đủ hiểu biết về an toàn thông tin và các nhiệm vụ cụ thể của họ và họ có đủ nguồn lực cần thiết đề sử dụng.

Như một phần của chương trình chống gian lận của tổ chức, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có thể cần phải phối hợp chặt chẽ với chuyên viên kiểm toán tài chính tại mỗi giai đoạn của việc lên kế hoạch đánh giá, tiến hành đánh giá và soát xét đánh giá.

7  Phương pháp soát xét

7.1  Tổng quan

Khái niệm cơ bản của việc soát xét các biện pháp kiểm soát thường bao gồm các thủ tục soát xét, việc lập báo cáo soát xét và thực hiện soát xét. Các định dạng và nội dung của thủ tục soát xét bao gồm các mục tiêu soát xét và phương pháp soát xét.

Chuyên gia đánh giá soát xét kiểm soát an toàn thông tin có thể sử dụng ba phương pháp soát xét trong quá trình soát xét kiểm soát an toàn thông tin gồm:

• kiểm tra;

• phỏng vấn;

• kiểm thử.

Các phần tương ứng bao gồm một tập các thuộc tính và giá trị thuộc tính cho mỗi phương pháp soát xét. Đối với thuộc tính chiều sâu, giá trị thuộc tính tập trung bao gồm và xây dựng dựa trên sự chặt chẽ và mức độ soát xét chi tiết đã xác định cho giá trị thuộc tính được khái quát hóa. Giá trị thuộc tính chi tiết bao gồm và xây dựng dựa trên sự chặt chẽ và mức độ soát xét chi tiết đã xác định cho giá trị thuộc tính tập trung. Đối với thuộc tính bao hàm, giá trị thuộc tính cụ thể bao gồm và xây dựng dựa trên số lượng và kiểu của các đối tượng soát xét được xác định cho giá trị thuộc tính đại diện. Giá trị thuộc tính toàn diện bao gồm và xây dựng dựa trên số lượng và kiểu của các đối tượng soát xét được xác định cho giá trị thuộc tính cụ thể.

Các phương pháp “kiểm tra” và “kiểm thử” có thể được hỗ trợ bằng việc sử dụng các công cụ tự động được công nhận rộng rãi. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cũng cần soát xét tác động của việc vận hành các công cụ này khi hoạt động bình thường trên đối tượng soát xét. Khi một phần soát xét dựa trên một công cụ như vậy, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần chứng minh hoặc cung cấp chứng cứ cho thấy công cụ này cung cấp kết quả đáng tin cậy.

7.2  Phương pháp soát xét: Kiểm tra

7.2.1  Khái quát

Quy trình kiểm tra, thanh tra, soát xét, quan sát, nghiên cứu hoặc phân tích một hoặc nhiều đối tượng soát xét nhằm để hiểu rõ hơn, làm sáng tỏ hoặc thu được chứng cứ, các kết quả được sử dụng để hỗ trợ việc xác định sự tồn tại, chức năng, độ chính xác, tính hoàn thiện và tiềm năng cho cải tiến của biện pháp kiểm soát theo thời gian.

Đối tượng soát xét thường bao gồm:

• các đặc tả (Ví dụ: các chính sách, kế hoạch, thủ tục, yêu cầu hệ thống, thiết kế);

• các cơ chế (Ví dụ: chức năng được triển khai trong phần cứng, phần mềm, phần mềm cải cứng);

• các quy trình (Ví dụ: vận hành hệ thống, quản trị, quản lý, các thao tác).

Các hành động thông thường của chuyên gia đánh giá về biện pháp kiểm soát an toàn thông tin có thể bao gồm:

• soát xét các chính sách, các kế hoạch và thủ tục an toàn thông tin;

• phân tích tài liệu thiết kế hệ thống và thông số kỹ thuật giao diện;

• quan sát hoạt động sao lưu hệ thống và soát xét các kết quả của các bài tập kế hoạch dự phòng;

• quan sát quá trình ứng phó sự cố;

• nghiên cứu tài liệu hướng dẫn kỹ thuật và hướng dẫn người sử dụng/nhà quản trị;

• kiểm tra, nghiên cứu và quan sát sự vận hành của cơ chế công nghệ thông tin trong phần cứng/phần mềm hệ thống thông tin;

• kiểm tra, nghiên cứu và quan sát các hoạt động quản lý thay đổi và đăng nhập liên quan đến hệ thống thông tin;

• kiểm tra, nghiên cứu hoặc quan sát các biện pháp bảo mật vật lý liên quan đến hoạt động của hệ thống thông tin.

7.2.2  Các thuộc tính

7.2.2.1  Kiểm tra khái quát

Các bài kiểm tra thường bao gồm các soát xét ở mức độ cao, kiểm tra, quan sát hoặc kiểm duyệt đối tượng soát xét. Đây là loại bài kiểm tra được thực hiện bằng cách sử dụng nhiều chứng cứ hoặc tài liệu giới hạn (Ví dụ: các mô tả mức chức năng đối với các cơ chế, các mô tả quy trình mức cao đối với các quy trình; và tài liệu thực tế đối với các đặc tả kỹ thuật). Các kiểm tra khái quát cung cấp một mức độ hiểu biết về biện pháp kiểm soát cần thiết để xác định rằng biện pháp kiểm soát đã được thực hiện và không có lỗi rõ ràng.

7.2.2.2  Kiểm tra tập trung

Các bài kiểm tra này thường bao gồm các soát xét ở mức độ cao, kiểm tra, quan sát hoặc kiểm duyệt và các công việc khác hơn nữa để nghiên cứu/phân tích chuyên sâu về đối tượng soát xét. Đây là loại bài kiểm tra được thực hiện bằng cách sử dụng nhiều chứng cứ hoặc tài liệu quan trọng (Ví dụ: các mô tả mức chức năng và nơi thích hợp và sẵn sàng có thông tin thiết kế mức cao cho các cơ chế; các mô tả quy trình mức cao và các thủ tục thực hiện cho các quy trình đó; các tài liệu thực tế và các tài liệu liên quan đối với các đặc tả kỹ thuật). Các kiểm tra tập trung cung cấp một mức độ hiểu biết về biện pháp kiểm soát an toàn cần thiết cho việc xác định xem biện pháp đó đã được thực hiện chưa và không có lỗi rõ ràng. Chúng cũng cung cấp cơ sở tin cậy rằng biện pháp đó đã được thực hiện đúng và hoạt động như dự định.

7.2.2.3  Kiểm tra chi tiết

Các bài kiểm tra này thường bao gồm soát xét ở mức cao, kiểm tra, quan sát hoặc kiểm duyệt và các công việc khác nữa để nghiên cứu/phân tích chuyên sâu, chi tiết, kỹ lưỡng về đối tượng soát xét. Đây là loại bài kiểm tra được thực hiện bằng cách sử dụng nhiều chứng cứ hoặc tài liệu mở rộng (Ví dụ: các mô tả mức chức năng và nơi thích hợp và sẵn sàng có, thông tin thiết kế mức cao cho các cơ chế; các mô tả quy trình mức cao và các thủ tục thực hiện cho các quy trình đó; các tài liệu thực tế và các tài liệu liên quan đối với các đặc tả kỹ thuật). Các kiểm tra chi tiết cung cấp một mức độ hiểu biết về biện pháp kiểm soát cần thiết để xác định xem biện pháp đó đã được triển khai chưa và không có lỗi rõ ràng và xem liệu có các cơ sở để tin tưởng rằng các biện pháp kiểm soát đó đã được thực hiện đúng và vận hành theo dự định một cách liên tục và nhất quán và có sự hỗ trợ để cải tiến liên tục hiệu lực của biện pháp kiểm soát đó.

7.2.2.4  Kiểm tra đại diện

Kiểm tra này sử dụng một mẫu đại diện của các đối tượng soát xét (theo từng loại và số lượng trong loại đó) để cung cấp một mức bảo đảm cần thiết xác nhận rằng biện pháp kiểm soát đã được triển khai và không thấy lỗi rõ ràng.

7.2.2 5  Kiểm tra đặc biệt

Kiểm tra này sử dụng một mẫu đại diện của các đối tượng soát xét (theo từng loại và số lượng trong loại đó) và các đối tượng soát xét đặc biệt khác được coi là đặc biệt quan trọng để đạt được mục tiêu soát xét. Kiểm tra này cũng cung cấp một mức độ bảo đảm cần thiết để xác định xem biện pháp kiểm soát đã được triển khai chưa và không thấy lỗi rõ ràng và xem liệu có các cơ sở để tin tưởng rằng biện pháp đã được triển khai đúng và hoạt động như dự định.

7.2.2.6  Kiểm tra toàn diện

Kiểm tra này sử dụng một mẫu đủ lớn của các đối tượng soát xét (theo loại và số lượng trong loại đó) và các đối tượng soát xét cụ thể khác được coi là đặc biệt quan trọng để đạt được mục tiêu soát xét nhằm cung cấp một mức độ bảo đảm cần thiết để xác định xem biện pháp kiểm soát đó đã được triển khai chưa và không thấy lỗi rõ ràng và xem liệu có các cơ sở nào nữa để tin tưởng rằng biện pháp đó đã được triển khai đúng và hoạt động như dự định một cách liên tục và nhất quán và có sự hỗ trợ để cải tiến tục hiệu lực của biện pháp đó.

7.3  Phương pháp soát xét: Phỏng vấn

7.3.1  Khái quát

Quy trình tiến hành các cuộc thảo luận với các cá nhân hoặc các nhóm trong một tổ chức để có được sự hiểu biết, nhận được giải thích hoặc dẫn đến vị trí của chứng cứ. Các kết quả được sử dụng để hỗ trợ việc xác định sự tồn tại, chức năng, độ chính xác, tính đầy đủ và tiềm năng cải thiện của biện pháp an toàn theo thời gian.

Đối tượng soát xét thường bao gồm các cá nhân hoặc nhóm người.

Các hoạt động chính của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin trong việc phỏng vấn gồm:

• nhà quản lý;

• các chủ sở hữu tài sản thông tin và nhiệm vụ;

• các cán bộ an toàn thông tin;

• các quản lý an toàn thông tin;

• cán bộ nhân sự;

• những người quản lý nguồn nhân lực;

• những người quản lý trang thiết bị;

• các cán bộ đào tạo;

• những người vận hành hệ thống thông tin;

• những nhà quản trị mạng và hệ thống;

• những người quản lý địa điểm;

• các nhân viên an toàn vật lý;

• người dùng.

7.3.2  Các thuộc tính

7.3.2.1  Phỏng vấn chung

Các cuộc phỏng vấn này bao gồm các cuộc thảo luận cấp cao trên diện rộng với các cá nhân hoặc nhóm người. Đây là loại phỏng vấn được thực hiện bằng cách sử dụng bộ các câu hỏi khái quát, mức cao. Phỏng vấn chung cung cấp một mức độ hiểu biết về biện pháp an toàn cần thiết để xác định xem biện pháp đó đã được triển khai chưa và không có lỗi rõ ràng.

7.3.2.2  Phỏng vấn tập trung

Bên cạnh sự cần thiết của cuộc phỏng vấn chung, cuộc phỏng vấn tập trung bao gồm các cuộc thảo luận sâu trong các khu vực cụ thể với các cá nhân hoặc nhóm người. Đây là loại phỏng vấn sử dụng thêm các câu hỏi sâu về các khu vực cụ thể mà các ứng phó đã cho thấy sự cần thiết phải điều tra sâu hơn. Phỏng vấn tập trung cung cấp một mức độ hiểu biết về biện pháp cần thiết cho việc xác định xem biện pháp đó đã được thực hiện chưa và không có sai sót rõ ràng và xem liệu có các cơ sở nào khác để tin tưởng rằng biện pháp đó đã được triển khai đúng và hoạt động như dự định.

7.3.2.3  Phỏng vấn chi tiết

Bên cạnh sự cần thiết của cuộc phỏng vấn tập trung, các cuộc phỏng vấn chi tiết có các câu hỏi sâu hơn, mang tính thăm dò ở các khu vực cụ thể mà các ứng phó đã cho thấy sự cần thiết phải điều tra sâu hơn hoặc những nơi được chỉ định bởi các thủ tục soát xét. Phỏng vấn chi tiết cung cấp một mức độ hiểu biết về biện pháp an toàn cần thiết để xác định xem biện pháp đó đã được triển khai chưa và không có sai sót rõ ràng và xem liệu có các cơ sở nào nữa để tin tưởng rằng biện pháp đó đã được triển khai đúng và vận hành một cách liên tục và nhất quán như dự định và có sự hỗ trợ để liên tục cải tiến hiệu lực của biện pháp đó.

7.3.3  Thuộc tính bao hàm

Các thuộc tính bao hàm giải quyết phạm vi hoặc bề rộng của quy trình phỏng vấn và bao gồm các loại cá nhân sẽ được phỏng vấn (theo vai trò về tổ chức về trách nhiệm liên quan), số lượng các cá nhân được phỏng vấn (theo loại) và các cá nhân cụ thể sẽ được phỏng vấn.

7.3.3.1  Phỏng vấn đại diện

Phỏng vấn này sử dụng một mẫu đại diện của các cá nhân giữ vai trò quan trọng trọng về tổ chức để cung cấp một mức độ bao hàm cần thiết xác định rằng biện pháp an toàn đó đã được triển khai và không thấy lỗi rõ ràng.

7.3.3.2  Phỏng vấn cụ thể

Phỏng vấn này sử dụng một mẫu đại diện của các cá nhân giữ vai trò quan trọng về tổ chức và các cá nhân cụ thể khác được xem là đặc biệt quan trọng để đạt được mục tiêu soát xét nhằm cung cấp một mức độ bao hàm cần thiết để xác định xem biện pháp an toàn đó đã được triển khai chưa và không gặp sai sót rõ ràng và xem liệu có các cơ sở nào khác để tin tưởng rằng biện pháp đó đã được triển khai đúng và vận hành như dự định.

7.3.3.3  Phỏng vấn toàn diện

Phỏng vấn này sử dụng một mẫu đủ lớn của các cá nhân giữ vai trò quan trọng về tổ chức và cá nhân cụ thể khác được coi là quan trọng để đạt được mục tiêu soát xét nhằm cung cấp một mức độ bảo đảm cần thiết để xác định xem biện pháp đó đã được triển khai chưa và không có sai sót rõ ràng và xem liệu có các cơ sở nào khác để tin tưởng rằng biện pháp đó đã được triển khai đúng và vận hành một cách liên tục và nhất quán theo dự định và có sự hỗ trợ để liên tục cải tiến hiệu lực của biện pháp này.

7.4  Phương pháp soát xét: kiểm thử

7.4.1  Khái quát

Quy trình kiểm thử một hoặc nhiều đối tượng soát xét theo các điều kiện quy định để so sánh thực tế với các phản ứng mong đợi. Các kết quả được sử dụng để hỗ trợ việc xác định sự tồn tại, hiệu quả, chức năng, tính chính xác, tính hoàn thiện và tiềm năng cải tiến của biện pháp kiểm soát theo thời gian. Việc kiểm thử phải được thực hiện với sự thận trọng lớn từ các chuyên gia có năng lực và các tác động có thể đối với hoạt động của tổ chức phải được xem xét và phê duyệt bởi nhà quản lý trước khi bắt đầu kiểm thử và cũng xem xét các tùy chọn chạy kiểm thử bên ngoài hệ điều hành windows, trong các điều kiện nguồn nuôi thấp hoặc thậm chí trong các môi trường kiểm thử được mô phỏng tốt. Các sai sót hoặc sự không sẵn sàng của hệ thống do kiểm thử có thể có tác động đáng kể đến hoạt động nghiệp vụ bình thường của tổ chức. Điều này có thể dẫn đến những hậu quả cả về tài chính và ảnh hưởng đến uy tín của tổ chức, do đó phải đặc biệt thận trọng trong việc lên kế hoạch kiểm thử và lập hợp đồng chính xác (bao gồm cả việc xem xét các khía cạnh pháp lý).

Các kết quả tích cực và tiêu cực của sai sót trong các cuộc kiểm thử phải được điều tra một cách cẩn thận bởi chuyên gia đánh giá soát xét biện pháp an toàn thông trước khi đưa ra bất cứ suy luận nào.

Đối tượng soát xét điển hình bao gồm các cơ chế (Ví dụ: phần cứng, phần mềm, phần mềm cài cứng) và các quy trình (ví dụ như vận hành, quản trị, quản lý hệ thống, các thao tác).

Các hành động tiêu biểu của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có thể bao gồm:

• kiểm thử các cơ chế kiểm soát truy cập, định danh, xác thực và soát xét;

• kiểm thử các cài đặt cấu hình bảo mật;

• kiểm thử các thiết bị kiểm soát truy cập vật lý;

• tiến hành kiểm thử thâm nhập đối với các thành phần hệ thống thông tin quan trọng;

• kiểm thử hoạt động sao lưu hệ thống thông tin;

• kiểm thử khả năng ứng phó sự cố;

• kiểm thử khả năng thực hiện kế hoạch dự phòng:

• kiểm thử phản ứng của các hệ thống an toàn có khả năng phát hiện, cảnh báo và ứng phó với sự xâm nhập;

• kiểm thử các thuật toán cơ chế mã hóa và hàm băm;

• kiểm thử id người dùng và các cơ chế quản lý đặc quyền;

• kiểm thử các cơ chế cấp quyền;

• xác minh khả năng phục hồi theo tầng của các biện pháp an toàn.

CHÚ THÍCH: Các thuộc tính không áp dụng để kiểm thử.

7.4.2  Các loại kiểm thử

7.4.2.1  Kiểm thử mù

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin làm việc với đối tượng soát xét mà không có biết trước về đặc điểm của chúng ngoài các thông tin công bố công khai. Đối tượng soát xét được chuẩn bị cho việc soát xét, biết trước tất cả các chi tiết của về cuộc soát xét. Soát xét mù chủ yếu là kiểm tra các kỹ năng của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin. Độ rộng và chiều sâu của một soát xét mù có thể chỉ lớn bằng kiến thức và năng lực có thể của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin. Do đó cuộc kiểm thử này bị hạn chế sử dụng trong các đánh giá an toàn và cần phải tránh. Điều này cũng thường được gọi là đạo đức Hacking.

7.4.2.2  Kiểm thử mù kép

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin làm việc với đối tượng soát xét mà chỉ biết rất hạn chế về sự bảo vệ của chúng ngoài các thông tin công bố công khai. Đối tượng soát xét cũng không được thông báo trước về phạm vi của soát xét hoặc các vec-tor kiểm thử được sử dụng. Soát xét kiểm thử mù kép, chuẩn bị của đối tượng soát xét theo các mối lo bất định.

7.4.2.3  Kiểm thử hộp xám

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin làm việc với đối tượng soát xét mà chỉ biết rất hạn chế về sự bảo vệ và tài sản của chúng nhưng lại có đầy đủ kiến thức về các vectơ kiểm thử có sẵn. Đối tượng soát xét được chuẩn bị cho việc soát xét, biết trước tất cả các chi tiết của cuộc soát xét. Soát xét hộp xám kiểm thử các kỹ năng của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin. Bản chất của việc kiểm thử là tính hiệu quả. Bề rộng và chiều sâu kiểm thử phụ thuộc vào chất lượng của các thông tin được cung cấp cho chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin trước khi kiểm thử, cũng như kiến thức áp dụng của chuyên gia đánh giá soát xét các biện pháp kiểm soát, an toàn thông tin. Do đó, việc kiểm thử này được sử dụng hạn chế trong các đánh giá an toàn và cần được tránh. Loại kiểm thử này thường được gọi là kiểm thử điểm yếu và thường được khởi xướng dưới dạng một hoạt động tự đánh giá.

7.4.2.4  Kiểm thử hộp xám đôi

Chuyên gia đánh giá soát xét các biện pháp kiểm soát an toàn thông tin làm việc với đối tượng soát xét mà chỉ biết rất hạn chế về sự bảo vệ và tài sản của chúng nhưng lại đầy đủ kiến thức về các véc-tơ kiểm thử có sẵn. Đối tượng soát xét được thông báo trước về phạm vi và khung thời gian của cuộc soát xét ngoại trừ vectơ kiểm thử. Soát xét hộp xám đôi kiểm thử sự chuẩn bị của đích đối với các mối đe dọa chưa được xác định. Bề rộng và chiều sâu phụ thuộc vào chất lượng của các thông tin cung cấp cho chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin và đối tượng soát xét trước khi kiểm thử cũng như kiến thức áp dụng của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin.

7.4.2.5  Kiểm thử song song

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin và đối tượng soát xét được chuẩn bị cho việc soát xét và đều biết trước tất cả các chi tiết của cuộc soát xét. Cuộc soát xét song song kiểm thử khả năng bảo vệ và các biện pháp kiểm soát của đích. Tuy nhiên, nó không thể kiểm tra sự chuẩn bị của đích với các mối lo bất định. Bản chất thực sự của bài kiểm tra này là tính triệt để vì chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin đã được biết đầy đủ về tất cả các cuộc kiểm thử và phản hồi của chúng. Bề rộng và chiều sâu phụ thuộc vào chất lượng của các thông tin cung cấp cho chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin trước cuộc kiểm thử theo như kiến thức áp dụng của chuyên gia đánh giá. Loại soát xét này thường được gọi là soát xét “trong nội bộ” và chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin thường là một bộ phận tích cực trong các quy trình bảo mật chung.

7.4.2.6  Kiểm thử đảo ngược

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin làm việc với đối tượng soát xét với đầy đủ hiểu biết về quy trình và an toàn hoạt động của chúng nhưng đối tượng soát xét lại không biết về những gì, cách thức hoặc thời gian chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin sẽ kiểm thử. Bản chất thực sự của kiểm thử này là để soát xét sự chuẩn bị của đích với các mối lo bất định và vec-tơ của chúng. Bề rộng và chiều sâu phụ thuộc vào chất lượng của các thông tin cung cấp cho chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin, sự sáng tạo và kiến thức áp dụng của chuyên gia đánh giá.

Hình 1 – Các kiểu kiểm thử

7.4.3  Các thủ tục soát xét mở rộng

Ngoài các thủ tục soát xét được áp dụng với các biện pháp kiểm soát riêng lẻ, thủ tục soát xét mở rộng có thể được áp dụng cho việc soát xét toàn bộ. Thủ tục soát xét mở rộng được thiết kế để làm việc và bổ sung cho các thủ tục soát xét ở trên nhằm tăng cường các cơ sở để tin tưởng về hiệu lực của các biện pháp kiểm soát.

Thủ tục soát xét mở rộng và các mục tiêu soát xét liên quan cũng có liên kết chặt chẽ với mức độ rủi ro của hệ thống thông tin.

8  Các hoạt động

8.1  Chuẩn bị

Việc thiết lập và duy trì một tập các kỳ vọng phù hợp trước, trong và sau cuộc soát xét là tối quan trọng để đạt được một kết quả chấp nhận. Điều đó sẽ cung cấp thông tin cho phép quản lý đưa ra các quyết định hợp lý dựa trên rủi ro về việc làm thế nào để triển khai và vận hành hệ thống thông tin tốt nhất. Sự chuẩn bị kỹ lưỡng của tổ chức và các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin là một khía cạnh quan trọng để tiến hành các soát xét có hiệu lực. Hoạt động chuẩn bị cần phải giải quyết một loạt các vấn đề liên quan đến chi phí, tiến độ, tính sẵn sàng về chuyên môn và các hoạt động soát xét.

Từ góc độ tổ chức, chuẩn bị cho việc soát xét bao gồm các hoạt động chính sau đây:

• đảm bảo rằng các chính sách thích hợp cho các soát xét đều sẵn sàng và được hiểu bởi tất cả các thành viên tổ chức;

• đảm bảo rằng tất cả các bước đã được lập kế hoạch triển khai thực hiện các biện pháp trước khi soát xét đều đã được hoàn tất thành công và có sự soát xét phù hợp của quản lý (điều này chỉ áp dụng nếu kiểm soát được đánh dấu là “hoạt động đầy đủ” và không ở trong giai đoạn chuẩn bị thực hiện);

• đảm bảo rằng các biện pháp được lựa chọn đã được giao cho các đơn vị phù hợp trong tổ chức để phát triển và triển khai;

• thiết lập mục tiêu và phạm vi soát xét (tức là: mục đích của việc soát xét và những gì sẽ được soát xét);

• thông báo cho các cán bộ quan trọng của tổ chức về việc soát xét sắp tới và phân bổ các nguồn lực cần thiết để thực hiện soát xét;

• thiết lập các kênh truyền thông phù hợp cho các cán bộ tổ chức có quan tâm đến việc soát xét;

• thiết lập khung thời gian để hoàn thành việc soát xét và các điểm mốc quyết định quan trọng theo yêu cầu của tổ chức để quản lý việc soát xét một cách hiệu quả;

• xác định và lựa chọn chuyên gia đánh giá hoặc đoàn đánh giá soát xét biện pháp kiểm soát an toàn thông tin chịu trách nhiệm thực hiện soát xét, xem xét các vấn đề về tính độc lập của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin;

• thu thập thông tin để cung cấp cho các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin (Ví dụ:các tài liệu biện pháp kiểm soát an toàn thông tin bao gồm các biểu đồ tổ chức, chính sách, thủ tục, kế hoạch, đặc tả kỹ thuật, thiết kế, hồ sơ, hướng dẫn quản lý/điều hành, tài liệu hệ thống thông tin, thỏa thuận kết nối, kết quả đánh giá trước đây);

• thiết lập một cơ chế giữa các tổ chức và các chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin để giảm thiểu sự mơ hồ hoặc những hiểu lầm trong việc triển khai biện pháp hoặc các điểm thiếu sót của biện pháp kiểm soát đã được xác định trong suốt quá trình soát xét.

Ngoài các hoạt động lập kế hoạch mà tổ chức thực hiện để chuẩn bị cho việc soát xét, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần bắt đầu chuẩn bị cho việc soát xét bằng cách sau:

• có được sự hiểu biết chung về các hoạt động của tổ chức (bao gồm cả nhiệm vụ, chức năng, quy trình nghiệp vụ) và cách thức các tài sản thông tin có trong phạm vi soát xét hỗ trợ những hoạt động của tổ chức;

• có được sự hiểu biết về cấu trúc của các tài sản thông tin (tức là: kiến trúc hệ thống);

• có được sự hiểu biết thấu đáo về tất cả các biện pháp sẽ được soát xét;

• nghiên cứu các ấn phẩm liên quan được tham chiếu trong các biện pháp kiểm soát;

• xác định các đơn vị tổ chức chịu trách nhiệm triển khai và phát triển các biện pháp được soát xét có hỗ trợ cho an toàn thông tin;

• thiết lập các đầu mối liên lạc phù hợp trong tổ chức cần cho việc soát xét;

• có được các công cụ cần thiết cho việc soát xét (Ví dụ: chính sách, thủ tục, kế hoạch, đặc tả kỹ thuật, thiết kế, hồ sơ, hướng dẫn sử dụng / quản trị điều hành, tài liệu hệ thống thông tin, thỏa thuận kết nối);

• có được các kết quả đánh giá trước đây mà có thể được tái sử dụng một cách thích hợp cho việc soát xét (Ví dụ: báo cáo, soát xét, các điểm yếu quét được, kiểm tra an toàn vật lý, phát triển và đánh giá kiểm thử);

• gặp gỡ các cán bộ phù hợp của tổ chức để đảm bảo sự hiểu biết chung về các đối tượng soát xét và sự chặt chẽ, phạm vi của soát xét;

• phát triển kế hoạch soát xét.

Để chuẩn bị cho việc soát xét các biện pháp kiểm soát an toàn thông tin, các thông tin nền tảng cần thiết cần được tập hợp và cung cấp cho chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin. Trong phạm vi hỗ trợ cần thiết với soát xét cụ thể, tổ chức cần xác định và sắp xếp truy cập đối với các thành viên của tổ chức (cá nhân hoặc nhóm người) chịu trách nhiệm phát triển, lập tài liệu, truyền bá, rà soát, điều hành, duy trì và cập nhật tất cả các biện pháp an toàn, chính sách an toàn và các thủ tục liên quan đến việc triển khai các biện pháp kiểm soát tuân thủ chính sách an toàn. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cũng cần truy cập vào các chính sách bảo mật cho hệ thống thông tin và các thủ tục triển khai, mọi tài liệu liên quan (Ví dụ: kế hoạch an toàn, hồ sơ, lịch trình, báo cáo đánh giá, báo cáo sau khi hành động, thỏa thuận, gói công nhận) liên quan đến việc triển khai và vận hành các biện pháp kiểm soát, các đối tượng được soát xét.

Sự sẵn có của các tài liệu cần thiết cũng như sự tiếp cận với cán bộ quan trọng của tổ chức và các hệ thống thông tin được soát xét là tối quan trọng để đánh giá thành công các biện pháp kiểm soát an toàn thông tin.

8.2  Xây dựng kế hoạch

8.2.1  Tổng quan

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần lập kế hoạch để soát xét các biện pháp kiểm soát và cần xác định loại xem nên rà soát biện pháp kiểm soát nào (Ví dụ: soát xét một phần hoặc toàn bộ) và các biện pháp/biện pháp tăng cường sẽ được đưa vào soát xét dựa trên mục đích/phạm vi soát xét. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần ước lượng và giảm thiểu rủi ro và tác động (nếu có thể) của việc soát xét đến hoạt động bình thường của tổ chức và chọn các thủ tục soát xét phù hợp sẽ được sử dụng trong suốt quá trình soát xét dựa trên các biện pháp và biện pháp tăng cường được đưa vào soát xét và các thuộc tính chiều sâu và độ bao trùm liên quan của chúng..

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần hiệu chỉnh các thủ tục xét được chọn theo mức độ rủi ro hệ thống thông tin và môi trường hoạt động thực tế của tổ chức. Họ cũng cần xây dựng quy trình soát xét bổ sung, nếu cần thiết để giải quyết các biện pháp an toàn, các biện pháp tăng cường và các nhu cầu đảm bảo bổ sung mà không được đề cập trong tài liệu này.

Kế hoạch phải được thiết kế bao gồm cả giai đoạn xác định bối cảnh, thiết lập các cơ sở cho hành vi dự kiến trong bối cảnh xác định, đặc tả của các kiểm thử/đánh giá và phương pháp xác nhận những phát hiện tìm thấy trong bối cảnh của việc đánh giá. Kế hoạch cần bao gồm phát triển chiến lược để áp dụng thủ tục soát xét mở rộng, nếu cần thiết thì tối ưu hóa các thủ tục soát xét để giảm sự lặp lại nỗ lực và cung cấp các giải pháp soát xét có chi phí hiệu quả. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin sau đó phải hoàn chỉnh kế hoạch soát xét và có được sự chấp thuận cần thiết để thực hiện kế hoạch.

8.2.2  Phạm vi

Các tài liệu cần cung cấp thông tin tổng quan về các yêu cầu an toàn của các tài sản thông tin và mô tả các biện pháp hiện hành hoặc được lập kế hoạch để đáp ứng những yêu cầu đó. Kiểm toán viên soát xét biện pháp kiểm soát an toàn thông tin bắt đầu với các biện pháp được mô tả trong tài liệu an toàn thông tin và soát xét mục đích của việc soát xét. Soát xét có thể là một soát xét toàn diện về tất cả các biện pháp kiểm soát an toàn thông tin trong tổ chức hoặc là soát xét một phần của các biện pháp bảo vệ tài sản thông tin (Ví dụ: trong quá trình giám sát liên tục, các tập con của các biện pháp trong các tài sản thông tin được soát xét trên cơ sở liên tục). Đối với soát xét một phần, chủ sở hữu tài sản thông tin phối hợp với các cán bộ của tổ chức có quan tâm đến việc soát xét để xác định các biện pháp sẽ được soát xét. Việc lựa chọn các biện pháp phụ thuộc vào lịch trình giám sát liên tục được thiết lập, các hạng mục trên kế hoạch hành động và các cột thời gian phù hợp. Các biện pháp có sự biến động lớn hơn cần được soát xét thường xuyên hơn.

8.2.3  Thủ tục soát xét

Một thủ tục soát xét bao gồm một tập các mục tiêu soát xét, mỗi mục tiêu soát xét lại tập các phương pháp soát xét tiềm năng và các đối tượng soát xét. Các tuyên bố xác định về một mục tiêu soát xét có liên kết chặt chẽ với nội dung của soát xét (tức là chức năng kiểm soát). Điều này đảm bảo truy xuất nguồn gốc của kết quả soát xét theo các yêu cầu kiểm soát cơ bản. Việc áp dụng một thủ tục soát xét đối với một biện pháp kiểm soát sẽ cho các phát hiện soát xét. Những phát hiện soát xét này sau đó được sử dụng để giúp xác định, hiệu lực tổng thể của kiểm soát. Các đối tượng soát xét xác định các danh mục cụ thể sẽ được soát xét và bao gồm các đặc tả kỹ thuật, cơ chế, quy trình và cá nhân.

Phụ lục A cung cấp các ví dụ về các thủ tục soát xét đối với việc kiểm tra sự tuân thủ kỹ thuật và các biện pháp kiểm soát tăng cường. Các hướng dẫn thực hành trong Phụ lục A được thiết kế để biên dịch chứng cứ để xác định liệu các kiểm soát có được thực hiện một cách chính xác, hoạt động như dự định và cho các kết quả mong muốn nhằm đáp ứng các yêu cầu an toàn thông tin của các tài sản thông tin. Đối với mỗi kiểm soát và tăng cường kiểm soát được bao gồm trong việc soát xét, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin phát triển thủ tục đánh giá tương ứng như đề cập trong Phụ lục A. Tập các thủ tục soát xét lựa chọn sẽ khác nhau giữa các soát xét tùy theo mục đích hiện tại của soát xét (Ví dụ: soát xét kiểm soát hàng năm, giám sát liên tục). Phụ lục A cung cấp một giấy ghi công việc để lựa chọn các thủ tục soát xét phù hợp với việc soát xét dựa trên sự chú trọng đặc biệt của soát xét được.

Thủ tục soát xét có thể được thay đổi do:

• việc lựa chọn các phương pháp và các đối tượng soát xét cần thiết để đưa ra các quyết định phù hợp một cách có hiệu quả cao nhất và để đáp ứng các mục tiêu soát xét;

• việc lựa chọn các giá trị thuộc tính độ sâu và bao hàm của phương pháp soát xét cần thiết để đáp ứng các kỳ vọng soát xét dựa trên các đặc điểm của các biện pháp đang được soát xét và các quyết định cụ thể sẽ được đưa ra;

• việc loại bỏ các thủ tục soát xét đối với các biện pháp nếu chúng đã được soát xét bởi một quy trình soát xét đầy đủ khác;

• việc phát triển các thủ tục soát xét thích ứng theo hệ thống/nền tảng cụ thể và tổ chức cụ thể nhằm thực hiện soát xét một cách thành công;

• sự kết hợp các kết quả soát xét từ các soát xét trước đó nếu chúng được xem là phù hợp;

• việc đưa ra những điều chỉnh thích hợp các trong thủ tục soát xét để có thể có được chứng cứ soát xét cần thiết từ các nhà cung cấp bên ngoài;

• việc lựa chọn các phương pháp soát xét trong đó có cân nhắc một cách thỏa đáng đến các tác động về tổ chức của chúng trong khi vẫn đảm bảo rằng các mục tiêu đánh giá được đáp ứng.

8.2.4  Các xem xét đối tượng liên quan

Các tổ chức có thể xác định, lập tài liệu và cấu hình tài sản thông tin của họ theo nhiều cách khác nhau và nội dung và khả năng áp dụng của chứng cứ soát xét hiện tại cũng sẽ thay đổi. Điều này có thể dẫn đến sự cần thiết phải áp dụng một loạt các phương pháp soát xét đối với các đối tượng soát xét khác nhau nhằm tạo ra các chứng cứ soát xét cần thiết để xác định xem các biện pháp đó có hiệu lực khi áp dụng chúng hay không. Vì vậy, danh sách các phương pháp và các đối tượng soát xét được cung cấp cùng với mỗi thủ tục soát xét được coi là tiềm năng để phản ánh nhu cầu có thể lựa chọn các phương pháp và đối tượng thích hợp nhất cho mỗi soát xét cụ thể. Các phương pháp và đối tượng soát xét được chọn là các phương pháp và đối tượng soát xét được cho là cần thiết để tạo ra chứng cứ soát xét cần có. Các phương pháp tiềm năng và các đối tượng trong các thủ tục soát xét được cung cấp như một nguồn lực để hỗ trợ việc lựa chọn các phương pháp và đối tượng thích hợp, chứ không phải với mục đích để hạn chế lựa chọn. Như vậy, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần dùng soát xét của họ trong việc lựa chọn từ các phương pháp soát xét tiềm năng và danh sách tổng hợp của các đối tượng soát xét liên quan đến mỗi phương pháp được lựa chọn.

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần lựa chọn những phương pháp và đối tượng có đóng góp hiệu quả nhất; vào việc đưa ra các quyết định liên quan đến mục tiêu soát xét. Phép đo chất lượng của các kết quả soát xét được dựa trên tính đúng đắn của lý do được đưa ra, chứ không phải là tập cụ thể các phương pháp và đối tượng áp dụng. Trong nhiều trường hợp, phải việc áp dụng mọi phương pháp soát xét cho mọi đối tượng soát xét để có được những kết quả soát xét mong muốn là không cần thiết. Và đối với các soát xét cụ thể và soát xét toàn diện, có thể thích hợp nếu sử dụng một phương pháp hiện không được liệt kê trong tập các phương pháp tiềm năng hoặc không sử dụng một phương pháp đã được liệt kê.

8.2.5  Các phát hiện trước

8.2.5.1  Tổng quan

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần tận dụng thông tin soát xét các biện pháp hiện có để đạt hiệu quả soát xét cao hơn việc tái sử dụng các kết quả soát xét từ các soát xét được chấp nhận hoặc, phê chuẩn trước đó có thể được xem xét trong bộ chứng cứ để xác định hiệu lực tổng thể của biện pháp kiểm soát.

Khi xem xét việc tái sử dụng các kết quả soát xét trước đó và giá trị kết quả của chúng đối với việc soát xét hiện tại, chuyên gia đánh giá soát xét các biện pháp kiểm soát an toàn thông tin cần xác định:

• độ tin cậy của các chứng cứ;

• sự phù hợp của các phân tích trước đó;

• khả năng áp dụng các chứng cứ đối với điều kiện tài sản thông tin hiện nay.

Trong những tình huống nhất định, có thể cần phải bổ sung các kết quả soát xét trước đây hiện đang được xem xét cho việc tái sử dụng cùng các hoạt động soát xét bổ sung để giải quyết đầy đủ các mục tiêu soát xét. Ví dụ, nếu một đánh giá độc lập do bên thứ ba thực hiện cho một sản phẩm công nghệ thông tin không thử nghiệm một thiết lập cấu hình cụ thể mà được tổ chức sử dụng trong hệ thống thông tin thì chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có thể cần phải bổ sung các kết quả kiểm tra ban đầu với việc thử nghiệm bổ sung xem xét thiết lập cấu hình đó cho môi trường hệ thống thông tin hiện tại.

Các phần sau đây cần được xem xét khi phê chuẩn việc tái sử dụng kết quả soát xét trước đây trong các soát xét hiện tại.

8.2.5.2  Các điều kiện thay đổi

Các biện pháp kiểm soát được xem là có hiệu lực trong các soát xét trước đây có thể trở nên không hiệu lực do có các điều kiện thay đổi liên quan đến tài sản thông tin hoặc môi trường xung quanh. Do vậy, các kết quả soát xét được thấy là có thể được chấp nhận trước đây có thể không còn cung cấp chứng cứ đáng tin cậy để xác định hiệu lực của biện pháp kiểm soát và yêu cầu cần có một cuộc soát xét mới. Việc áp dụng các kết quả soát xét trước đây cho soát xét hiện tại đòi hỏi việc xác định bất kỳ các thay đổi đã xảy ra kể từ cuộc soát xét trước đây và tác động của những thay đổi này lên kết quả soát xét trước đó. Ví dụ, việc tái sử dụng kết quả soát xét trước đây liên quan đến việc kiểm tra các chính sách và thủ tục an toàn của một tổ chức có thể được chấp nhận nếu xác định được rằng đã không có bất kỳ thay đổi đáng kể nào đối với các chính sách, thủ tục và môi trường rủi ro xác định.

8.2.5.3  Sự chấp nhận tái sử dụng soát xét

Việc chấp nhận sử dụng kết quả soát xét trước đây trong một soát xét biện pháp kiểm soát cần được phối hợp và chấp thuận bởi người dùng các kết quả soát xét. Điều cần thiết là chủ sở hữu tài sản thông tin phối hợp với các cán bộ phù hợp thuộc tổ chức (Ví dụ: giám đốc thông tin, giám đốc an toàn thông tin, chủ sở hữu thông tin/nhiệm vụ) khi quyết định việc chấp nhận sử dụng kết quả đánh giá trước đây. Quyết định sử dụng lại kết quả soát xét phải được ghi trong kế hoạch soát xét và báo cáo cuối cùng.

Soát xét an toàn có thể bao gồm những phát hiện từ soát xét an toàn trước đây miễn là:

• điều này được cho phép rõ ràng trong kế hoạch đánh giá;

• chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có căn cứ vững chắc để tin rằng những phát hiện này vẫn còn có giá trị;

• bất kỳ thay đổi về công nghệ hoặc thủ tục đối với các biện pháp hoặc quy trình mà chúng được áp dụng đều được xem xét an toàn đầy đủ trong cuộc soát xét hiện tại;

• việc sử dụng và bất kỳ tác động quản lý rủi ro tiềm ẩn của việc chấp nhận các phát hiện đánh giá trước đây được ghi rõ trong báo cáo đánh giá.

8.2.5.4  Khía cạnh thời gian

Nói chung, khi khoảng thời gian giữa cuộc soát xét hiện tại và trước đó tăng lên thì độ tin cậy/tính thiết thực của các kết quả soát xét trước đây sẽ suy giảm. Điều này chủ yếu do thực tế là tài sản thông tin và môi trường trong đó các tài sản thông tin hoạt động thường thay đổi theo thời gian, có thể làm vô hiệu các điều kiện hoặc giả định ban đầu mà các soát xét trước đây dựa vào.

8.2.6  Phân công công việc

Sự độc lập của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có thể là một yếu tố quan trọng trong một số loại soát xét nhất định, đặc biệt là đối với tài sản thông tin có mức rủi ro vừa và cao. Mức độ độc lập được yêu cầu giữa các cuộc soát xét phải nhất quán. Ví dụ, sẽ là không hợp lý khi tái sử dụng các kết quả từ lần tự đánh giá trước đây mà không có yêu cầu về tính độc lập của kiểm soát viên soát xét biện pháp kiểm soát an toàn thông tin, trong khi soát xét hiện tại lại đòi hỏi một mức độ độc lập cao hơn.

8.2.7  Hệ thống bên ngoài

Các phương pháp và thủ tục soát xét trong Phụ lục A cần phải được điều chỉnh phù hợp với việc soát xét các hệ thống thông tin bên ngoài. Bởi vì tổ chức không thường xuyên kiểm soát trực tiếp các biện pháp kiểm soát an toàn được sử dụng trong các hệ thống thông tin bên ngoài hoặc thiếu tầm nhìn đối với việc phát triển, triển khai và soát xét các biện pháp đó, các phương pháp soát xét thay thế có thể cần phải được áp dụng. Điều này có thể dẫn đến sự cần thiết phải điều chỉnh các thủ tục soát xét được mô tả trong Phụ lục A. Nếu được yêu cầu thì các bảo đảm của các biện pháp được chấp thuận cho hệ thống thông tin đều được ghi trong hợp đồng hoặc các thỏa thuận mức dịch vụ. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần soát xét các hợp đồng hoặc thỏa thuận này và nếu thích hợp thì điều chỉnh các thủ tục soát xét để soát xét xem các kết quả soát xét biện pháp hoặc các biện pháp kiểm soát có được cung cấp thông qua các thỏa thuận này không. Ngoài ra, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần xem xét mọi soát xét đã được tiến hành hoặc đang trong quá trình được tiến hành, bởi các tổ chức vận hành các hệ thống thông tin bên ngoài được tin cậy để bảo vệ các tài sản thông tin đang được soát xét. Thông tin dùng được từ những đánh giá này, nếu được xem là đáng tin cậy, cần được đưa vào báo cáo.

8.2.8  Tài sản thông tin và tổ chức

Thủ tục soát xét có thể được điều chỉnh để giải quyết các phụ thuộc riêng theo hệ thống/nền tảng cụ thể hoặc tổ chức cụ thể. Tình trạng này xuất hiện thường xuyên trong các thủ tục soát xét liên quan đến các biện pháp kiểm soát an toàn từ các biện pháp kiểm soát kỹ thuật an toàn thông tin (tức là, kiểm soát truy cập, đánh giá và giải trình trách nhiệm, nhận dạng và xác thực, bảo vệ hệ thống và thông tin liên lạc). Kết quả thử nghiệm gần đây cũng có thể được áp dụng cho soát xét hiện tại nếu các phương pháp thử nghiệm đó cung cấp độ minh bạch cao (Ví dụ: những gì đã được thử nghiệm, thời gian thử nghiệm, cách thức thử nghiệm). Giao thức thử nghiệm dựa trên tiêu chuẩn có thể cung cấp các ví dụ về cách thức tổ chức có thể giúp đạt được mức độ minh bạch này.

8.2.9  Thủ tục soát xét mở rộng

Tổ chức có sự linh hoạt lớn trong việc đạt được các yêu cầu đảm bảo kiểm soát an toàn thông tin. Ví dụ, đối với một yêu cầu như đảm bảo rằng sai sót được giải quyết một cách kịp thời, tổ chức có thể đáp ứng yêu cầu này trên cơ sở từng biện pháp kiểm soát, từng loại biện pháp kiểm soát, từng hệ thống hoặc thậm chí ngay cả ở cấp độ tổ chức. Khi cân nhắc sự linh hoạt này, thủ tục soát xét mở rộng tại 7.5 được áp dụng trên cơ sở từng soát xét chủ yếu về cách thức tổ chức lựa chọn để đạt được sự đảm bảo cho các tài sản thông tin được soát xét. Phương pháp ứng dụng phải được ghi trong kế hoạch soát xét. Hơn nữa, tổ chức lựa chọn các mục tiêu soát xét phù hợp từ thủ tục soát xét mở rộng trên cơ sở mức độ rủi ro tài sản thông tin. Việc áp dụng thủ tục soát xét mở rộng nhằm để bổ sung các thủ tục soát xét khác nhằm tăng cơ sử tin tưởng rằng các biện pháp kiểm soát được triển khai một cách chính xác, hoạt động như dự kiến và đem lại các kết quả mong muốn đáp ứng các yêu về an toàn thông tin.

8.2.10  Tối ưu hóa

Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có thể có một mức độ linh hoạt nhất định trong việc tổ chức một kế hoạch soát xét đáp ứng nhu cầu của tổ chức. Vì vậy đây là một cơ hội để thu được những chứng cứ cần thiết trong việc xác định hiệu lực của biện pháp kiểm soát an toàn, trong khi vẫn làm giảm chi phí đánh giá tổng thể.

Việc kết hợp và củng cố các thủ tục soát xét là một lĩnh vực mà sự linh hoạt này có thể được áp dụng. Trong quá trình soát xét, các phương pháp soát xét được áp dụng nhiều lần với một loạt các đối tượng soát xét trong lĩnh vực kiểm soát an toàn thông tin nhất định.

Để tiết kiệm thời gian, giảm chi phí soát xét và tối đa hóa tính hữu ích của kết quả soát xét, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần soát xét các thủ tục soát xét cho các khu vực kiểm soát và kết hợp hoặc củng cố các thủ tục này (hoặc các phần của thủ tục) bất cứ khi nào có thể hoặc khả thi.

Ví dụ: chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có thể mong muốn tổ chức các cuộc phỏng vấn với các cán bộ trong tổ chức về các chủ đề liên quan đến an toàn thông tin. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin đồng thời có thể có nhiều cơ hội cho các cuộc hợp nhất quan trọng và tiết kiệm chi phí bằng cách kiểm tra tất cả các chính sách và thủ tục an toàn được áp dụng hoặc tổ chức các nhóm về các chính sách và thủ tục liên quan mà có thể được soát xét như là một thực thể thống nhất. Việc thu thập và kiểm tra các thiết lập cấu hình từ các thành phần phần cứng và phần mềm tương tự trong hệ thống thông tin có liên quan là một ví dụ khác có thể cung cấp hiệu quả soát xét đáng kể.

Một khu vực khác để cân nhắc trong khi tối ưu hóa quá trình soát xét là trình tự mà trong đó các biện pháp kiểm soát được soát xét. Việc soát xét một số biện pháp kiểm soát trước khi những biện pháp kiểm soát khác có thể cung cấp thông tin tạo điều kiện cho sự hiểu biết và soát xét các biện pháp khác.Ví dụ: các khu vực kiểm soát có thể tạo ra mô tả chung về tài sản thông tin. Việc soát xét trước các biện pháp kiểm soát an toàn này trong quá trình soát xét có thể cung cấp một sự hiểu biết cơ bản về các tài sản thông tin có thể hỗ trợ trong việc soát xét các biện pháp kiểm soát an toàn khác. Hướng dẫn bổ sung của nhiều biện pháp kiểm soát cũng xác định các biện pháp kiểm soát liên quan có thể cung cấp thông tin hữu ích trong việc tổ chức các thủ tục soát xét. Nói cách khác, trình tự tiến hành soát xét có thể tạo điều kiện cho việc tái sử dụng các thông tin soát xét của một biện pháp kiểm soát trong việc soát xét các biện pháp khác có liên quan.

8.2.11  Hoàn tất kế hoạch soát xét

Sau khi lựa chọn các thủ tục soát xét (bao gồm cả các thủ tục cần phát triển không có trong tài liệu này), điều chỉnh các thủ tục theo các điều kiện tài sản thông tin cụ thể và tổ chức cụ thể, tối ưu hóa các thủ tục cho hiệu quả, áp dụng các thủ tục soát xét mở rộng khi cần thiết, và giải quyết các sự kiện tiềm tàng bất ngờ ảnh hưởng đến việc soát xét, kế hoạch soát xét được hoàn thành và lịch trình được thiết lập bao gồm những mốc thời gian quan trọng cho quy trình soát xét.

Sau khi kế hoạch soát xét hoàn tất, kế hoạch được xem xét và phê duyệt bởi các cán bộ phù hợp trong tổ chức để đảm bảo rằng kế hoạch này là đầy đủ, hoàn toàn phù hợp với các mục tiêu an toàn của tổ chức và soát xét rủi ro của tổ chức, có hiệu quả chi phí liên quan đến các nguồn lực được phân bổ cho soát xét. Trong trường hợp việc soát xét có thể làm gián đoạn hoạt động bình thường của tổ chức (ví dụ như bằng cách ngăn chặn các sai sót có thể (tạm thời) hoặc cá nhân của hệ thống do kiểm tra xâm nhập), kế hoạch soát xét cần thể hiện rõ mức độ và thời gian cho các gián đoạn này.

8.3  Tiến hành soát xét

Sau khi kế hoạch soát xét được tổ chức phê duyệt, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin thực hiện kế hoạch theo các mốc thời gian và lịch trình đã được chấp thuận.

Các mục tiêu soát xét đạt được bằng cách áp dụng các phương pháp soát xét đối với các đối tượng soát xét được lựa chọn và biên dịch/đưa ra các thông tin cần thiết để đưa ra quyết định liên quan đến từng mục tiêu đánh giá. Mỗi tuyên bố quyết định có trong một thủ tục soát xét được thực hiện bởi một chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần đưa ra một trong những phát hiện sau đây.

• thỏa mãn (S),

• thỏa mãn một phần (P),

• phát hiện khác ngoài thỏa mãn (O).

Phát hiện là thỏa mãn chỉ ra rằng, biện pháp kiểm soát đã giải quyết bởi tuyên bố quyết định, thông tin soát xét được thu nhận (tức là, chứng cứ được thu thập) chỉ ra rằng mục tiêu soát xét đối với biện pháp kiểm soát đã được đáp ứng cho kết quả hoàn toàn chấp nhận được. Phát hiện là thỏa mãn một phần chỉ ra rằng một phần của biện pháp kiểm soát không giải quyết được mục tiêu kiểm soát hoặc, tại thời điểm soát xét, việc thực hiện biện pháp kiểm soát vẫn đang được tiến hành, với sự đảm bảo hợp lý rằng biện pháp kiểm soát sẽ đạt được kết quả thỏa mãn (S). Phát hiện khác ngoài thỏa mãn chỉ ra rằng biện pháp kiểm soát đã được giải quyết bởi tuyên bố quyết định, thông tin soát xét thu được cho thấy các bất thường tiềm tàng trong hoạt động hoặc triển khai biện pháp kiểm soát mà có thể cần phải được tổ chức giải quyết. Phát hiện khác ngoài thỏa mãn cũng có thể chỉ ra rằng vì những lý do nêu trong báo cáo soát xét, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin đã không thể có được đầy đủ thông tin để đưa ra quyết định cụ thể đã đề ra trong tuyên bố quyết định.

Các phát hiện của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin (tức là, các quyết định được đưa ra) phải không thiên vị, báo cáo thực tế về những gì đã được tìm thấy phải liên quan đến biện pháp kiểm soát được soát xét. Đối với mỗi phát hiện khác ngoài thỏa mãn, chuyên gia đánh giá soát xét kiểm soát an toàn thông tin cần chỉ ra các bộ phận của biện pháp kiểm soát bị ảnh hưởng bởi phát hiện này (nghĩa là những khía cạnh của biện pháp kiểm soát được cho là không thỏa mãn hoặc không thể được soát xét) và mô tả xem biện pháp kiểm soát này khác với tình trạng theo kế hoạch hoặc dự kiến như thế nào. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cũng cần lưu ý khả năng thỏa hiệp đề giữ bí mật, tính toàn vẹn và tính sẵn sàng do các phát hiện khác ngoài thỏa mãn. Nếu soát xét cho thấy sự không phù hợp chính (tức là những phát hiện “khác ngoài thỏa mãn” lại đi chệch đáng kể so với tình trạng theo kế hoạch), trong đó có thể mang theo một nguy cơ đáng kể cho tổ chức, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin phải ngay lập tức thông báo cho người có trách nhiệm về biện pháp kiểm soát này và ban quản lý rằng các thủ tục giảm nhẹ có thể được bắt đầu ngay lập tức.

8.4  Phân tích và báo cáo kết quả

Kế hoạch báo cáo cung cấp các mục tiêu cho việc soát xét và lộ trình chi tiết về cách thức để tiến hành soát xét như vậy. Đầu ra và kết quả cuối cùng của soát xét là báo cáo soát xét, những tài liệu này ghi lại cấp độ đảm bảo thông tin dựa trên các kiểm soát an toàn thông tin được thực hiện. Bản báo cáo bao gồm thông tin từ chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin (dưới hình thức các kết quả đánh giá) cần thiết để xác định hiệu lực của các biện pháp kiểm soát được sử dụng và hiệu lực tổng thể của tổ chức trong việc thực hiện các biện pháp kiểm soát được lựa chọn và thích hợp dựa trên các phát hiện của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin.. Báo cáo này là một yếu tố quan trọng trong việc xác định những rủi ro an toàn thông tin cho các hoạt động (tức là, nhiệm vụ, chức năng), tài sản của tổ chức, các cá nhân và các tổ chức khác v.v..

Kết quả soát xét phải được lập tài liệu ở mức độ chi tiết thích hợp với soát xét phù hợp với một định dạng báo cáo theo quy định ở, chính sách của tổ chức. Mẫu báo cáo cũng phải phù hợp cho loại soát xét kiểm soát được thực hiện (ví dụ, tự đánh giá của chủ sở hữu hệ thống thông tin, xác minh và xác nhận độc lập, các soát xét biện pháp kiểm soát độc lập của chuyên gia đánh giá v.v..)..

Chủ sở hữu hệ thống thông tin dựa vào các ý kiến chuyên môn an toàn thông tin và đánh giá kỹ thuật của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin để soát xét biện pháp kiểm soát an toàn và cung cấp các khuyến nghị cụ thể về cách để sửa chữa những yếu kém hoặc thiếu sót của các biện pháp kiểm soát và giảm hoặc loại bỏ các điểm yếu được xác định.

Thông tin soát xét được cung cấp bởi chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin (tức là, các phát hiện là thỏa mãn hoặc không thỏa mãn, định danh các bộ phận của biện pháp kiểm soát an toàn không cho kết quả khả quan và mô tả các kết quả tiềm năng thỏa hiệp với tài sản thông tin) được cung cấp cho các nhà quản lý trong báo cáo soát xét an toàn ban đầu (dự thảo). Chủ sở hữu tài sản có thể chọn hành động dựa trên các khuyến nghị lựa chọn của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin trước khi báo cáo được hoàn thành nếu có cơ hội cụ thể để khắc phục những điểm yếu hoặc thiếu sót trong các biện pháp kiểm soát hoặc khắc phục/làm rõ những hiểu lầm hay diễn giải kết quả soát xét. Chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin cần soát xét lại các biện pháp kiểm soát đã được sửa chữa, tăng cường, hoặc bổ sung trong quá trình này một lần nữa trước khi đưa ra báo cáo cuối cùng. Việc cung cấp báo cáo cuối cùng cho ban quản lý sẽ đánh dấu sự kết thúc chính thức của cuộc soát xét biện pháp kiểm soát an toàn thông tin.

Do các kết quả soát xét rốt cục sẽ ảnh hưởng đến nội dung của các biện pháp kiểm soát an toàn thông tin, kế hoạch hành động và các mốc quan trọng nên chủ sở hữu tài sản thông tin cần xem xét những phát hiện của chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin và với sự đồng ý của ban quản lý đề xác định các bước thích hợp cần thiết để khắc phục những yếu kém, thiếu sót được xác định trong cuộc soát xét. Bằng cách sử dụng các thẻ thỏa mãn và khác ngoài thỏa mã, mẫu báo cáo về các phát hiện soát xét cần cung cấp sự rõ ràng cho các nhà quản lý về các điểm yếu và khuyết điểm an toàn thông tin và tạo điều kiện cho một cách tiếp cận có nguyên tắc và cấu trúc để giảm thiểu rủi ro phù hợp với quy trình quản lý rủi ro an toàn thông tin. Ví dụ, chủ sở hữu tài sản thông tin tham khảo ý kiến với các nhà quản lý có thể quyết định rằng các phát hiện soát xét nhất định được đánh dấu là khác ngoài thỏa mãn là có tính chất không quan trọng và hiện tại không có nguy cơ đáng kể cho tổ chức. Ngoài ra, chủ sở hữu và người quản lý có thể quyết định rằng các phát hiện đánh giá được đánh dấu là khác ngoài thỏa mãn là rất lớn, đòi hỏi phải có hành động khắc phục hậu quả ngay lập tức. Trong mọi trường hợp, tổ chức cần xem xét từng phát hiện là khác ngoài thỏa mãn của chuyên gia đánh giá soát xét các biện pháp kiểm soát an toàn thông tin và áp dụng phán quyết liên quan đến mức độ nghiêm trọng của phát hiện này (tức là, các ảnh hưởng bất lợi tiềm ẩn đến hoạt động của tổ chức, tài sản, cá nhân, tổ chức khác có v.v..), và cho dù kết quả này là đáng kể, đủ để được xứng đáng với điều tra thêm hoặc hành động khắc phục hậu quả. Sự tham gia của quản lý cấp cao trong quá trình giảm thiểu tác động có thể cần thiết để đảm bảo rằng các nguồn lực của tổ chức được phân bổ hiệu quả phù hợp với các ưu tiên về tổ chức, cung cấp nguồn lực đầu tiên cho các tài sản thông tin hỗ trợ hầu hết các quy trình nghiệp vụ quan trọng cho tổ chức hoặc điều chỉnh những khiếm khuyết có mức độ rủi ro cao nhất. Cuối cùng, các phát hiện soát xét và mọi hành động giảm thiểu tiếp theo khởi xướng bởi các chủ sở hữu tài sản thông tin cùng với các cán bộ được chỉ định trong tổ chức sẽ thúc đẩy cập nhật thủ tục quản lý rủi ro an toàn thông tin và các biện pháp kiểm soát an toàn thông tin. Do đó, các tài liệu quan trọng được sử dụng bởi các nhà quản lý để xác định tình trạng an toàn thông tin của các tài sản thông tin sẽ được cập nhật để phản ánh kết quả của soát xét.

Tại các mốc thời gian quan trọng hoặc các khoảng thời gian cố định sau khi soát xét, ví dụ ba tháng sau khi báo cáo cuối cùng, soát xét tiếp theo tập trung vào các vấn đề nổi bật hay “mở” thường được thực hiện. Điều này bao gồm việc kiểm tra tính hiệu lực của các giải pháp được thực hiện cho các phát hiện trước đó. Tổ chức cũng có thể chọn để thực hiện các hoạt động tiếp theo cho đánh giá tiếp theo, đặc biệt là đối với những vấn đề mà là không quan trọng, cấp bách.

 

Phụ lục A

(Tham khảo)

Hướng dẫn thực hành kiểm tra sự tuân thủ kỹ thuật

Phụ lục A cung cấp hướng dẫn thực hành cho việc kiểm tra sự tuân thủ kỹ thuật bằng cách sử dụng các biện pháp kỹ thuật điển hình được nêu trong TCVN ISO/IEC 27002:2011. Mỗi biện pháp trong Phụ lục A được tổ chức một cách cơ bản theo cấu trúc của các tuyên bố và hướng dẫn sau:

“Biện pháp kỹ thuật” (gồm “thông tin kỹ thuật bổ sung”).

1. Tiêu chuẩn thực thi an toàn (gồm “chú thích kỹ thuật về tiêu chuẩn thực thi an toàn”).

1.1  Hướng dẫn thực hành, chứng cứ được giả định, phương pháp.

1.2  Hướng dẫn thực hành, chứng cứ được giả định, phương pháp v.v..

2. Tiêu chuẩn thực thi an toàn (gồm “chú thích kỹ thuật về tiêu chuẩn thực thi an toàn”).

2.1  Hướng dẫn thực hành, chứng cứ được giả định, phương pháp.

2.2  Hướng dẫn thực hành, chứng cứ được giả định, phương pháp v.v..

Mỗi biện pháp kỹ thuật có thông tin kỹ thuật bổ sung đưa ra để hỗ trợ chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin. Biện pháp kiểm soát cơ bản nhất quán với trong bộ “các tiêu chuẩn thực thi an toàn” mà cần được soát xét thường xuyên bởi tổ chức để xác minh liệu các tiêu chuẩn có khả năng áp dụng có được triển khai và vận hành một cách thỏa đáng hay không?

Mỗi “tiêu chuẩn thực thi an toàn” có bổ sung “chú thích kỹ thuật về tiêu chuẩn thực thi an toàn” để cung cấp thêm thông tin cho quá trình soát xét. Nó cũng cung cấp thêm một bộ các “hướng dẫn thực hành”, “chứng cứ được giả định” và “phương pháp”.

“Hướng dẫn thực hành” cung cấp một thủ tục kiểm tra việc tuân thủ để áp dụng cho tiêu chuẩn thực thi an toàn, “chứng cứ được giả định” đưa ra một vài ví dụ về hệ thống, tệp tin, tài liệu và các hạng mục khác mà được chấp nhận trong thủ tục kiểm tra tuân thủ. Lưu ý rằng tên của chứng cứ có thể khác nhau giữa các tổ chức. Tuy nhiên tên sử dụng trong Phụ lục này thường được chấp thuận trong lĩnh vực kiểm tra sự tuân thủ kỹ thuật. “Phương pháp” cung cấp cách tiếp cận thích hợp để kiểm tra sự tuân thủ kỹ thuật theo hướng dẫn thực hành bên trên.

Phụ lục A không cung cấp hướng dẫn thực hành toàn diện cho việc kiểm tra sự tuân thủ kỹ thuật nhưng Phụ lục này vẫn giúp các tổ chức dùng để soát xét liệu các tiêu chuẩn thực thi an toàn có được triển khai và vận hành thỏa đáng hay không?

A.1  Kiểm tra kỹ thuật đối với biện pháp kiểm soát phòng ngừa các mã độc.
Biện pháp kiểm soát		TCVN ISO/IEC 27002:2011 9.4.1 Biện pháp kiểm soát chống lại mã độc. Các biện pháp quản lý việc phát hiện, ngăn chặn và phục hồi để bảo vệ chống lại mã độc và các thủ tục tuyên truyền nâng cao nhận thức của người dùng phải được thực hiện.
Thông tin kỹ thuật bổ sung		Mã độc là một thuật ngữ chung dùng để chỉ một đoạn mã bao gồm phần mềm, chương trình, kịch bản được thiết kế gây thiệt hại cho hệ thống máy tính bằng cách ăn cắp thông tin, gian lận, hoạt động gián điệp, làm hỏng và phá hoại. Khi mã độc đã được đưa vào một hệ thống máy tính, hệ thống có thể bị thiệt hại hoặc các thông tin của hệ thống có thể bị đánh cắp. Hành vi đó cũng sẽ có thể gây thiệt hại các hệ thống khác. Phần mềm độc hại bao gồm vi-rút máy tính, sâu, trojan, bot, phần mềm gián điệp, phần mềm quảng cáo, mã độc và các phần mềm không mong muốn khác. Trong điều kiện kết nối mạng của tổ chức với mạng Internet, chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin nên soát xét rằng các chức năng phát hiện/phòng ngừa mã độc đang được đặt tại ranh giới của mạng Internet một cách toàn diện và hiệu quả, những chức năng đó thích hợp với công việc. Đặc biệt, để xem xét liệu các chức năng phát hiện / phòng ngừa có đang làm việc một cách phù hợp, chuyên gia đánh giá kiểm soát biện pháp an toàn thông tin phải xác nhận xem các tệp tin hoặc chữ ký mẫu được sử dụng để phát hiện phần mềm độc hại đã được cập nhật chưa. Một số hệ thống phát hiện / phòng ngừa được kiến trúc để phát hiện phần mềm độc hại bằng cách sử dụng các tệp tin hoặc chữ ký mẫu và một vài trong số đó được kiến trúc để phát hiện hành vi bất thường của hệ thống máy tính mà không cần sử dụng bất kỳ tệp tin hoặc chữ ký mẫu nào. Vì có một số mô hình để kết nối với Internet như kết nối mạng của tổ chức với Internet thông qua cổng hoặc kết nối trực tiếp mỗi máy tính với Internet, nên chuyên gia đánh giá kiểm soát an toàn thông tin cần đảm bảo rằng hệ thống phát hiện / phòng ngừa làm việc một cách phù hợp theo từng hoàn cảnh. CHÚ Ý: Chuyên gia đánh giá kiểm soát an toàn thông tin cần biết rằng khả năng của hệ thống phát hiện/ngăn ngừa bị hạn chế đối với các mã độc chưa biết, chẳng hạn như tấn công Zero day.
	Tiêu chuẩn thực thi an toàn	Việc cài đặt và cập nhật thường xuyên phần mềm phát hiện và sửa chữa mã độc để quét máy tính và các phương tiện là một biện pháp phòng ngừa hoặc được làm thường xuyên; việc kiểm tra được thực hiện cần bao gồm: 1) Kiểm tra mã độc cho mọi tệp tin trên phương tiện điện tử hoặc quang học và các tệp tin nhận được qua mạng trước khi sử dụng; 2) Kiểm tra mã độc cho các tệp tin đính kèm thư điện tử và các tệp tin tải về trước khi sử dụng; việc kiểm tra này phải được thực hiện tại các địa điểm khác nhau, ví dụ: tại máy chủ thư điện tử, máy tính bàn và khi vào mạng của tổ chức; 3) Kiểm tra mã độc hại cho các trang web.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Tại cổng, lối vào mạng của tổ chức, hệ thống phát hiện /phòng chống phần mã độc hại cận làm việc phù hợp với một loạt các dịch vụ hoặc giao thức mạng như: www, mail, FTP.
	1.1	Hướng dẫn thực hành	Hướng dẫn thực hành sau đây được áp dụng cho “tiêu chuẩn thực thi an toàn” 1), 2) và 3). 1) Kiểm tra xem hệ thống phát hiện mã độc và sửa chữa được thiết lập một cách toàn diện và có hiệu quả đối với bất kỳ tệp tin trên phương tiện truyền thông điện tử hoặc quang học và các tệp tin nhận được qua mạng bằng cách xem xét các đặc tả kỹ thuật hoặc sơ đồ mạng. Chuyên gia đánh giá kiểm soát an toàn thông xem xét kiểm tra xem hệ thống phát hiện/phòng ngừa đã được thiết lập cách toàn diện và hiệu quả bằng cách xem xét các đặc tả kỹ thuật hệ thống hoặc sơ đồ mạng. 2) Kiểm tra xem hệ thống phát hiện mã độc và sửa chữa được thiết lập một cách toàn diện và có hiệu quả đối với bất kỳ tệp tin đính kèm thư điện tử và các tải về bằng cách xem xét các đặc tả kỹ thuật hệ thống hoặc sơ đồ mạng bao gồm các máy chủ thư điện từ, máy tính bàn và các cổng. Hệ thống phát hiện mã độc và sửa chữa đôi khi được mô tả rõ ràng trong các đặc tả hệ thống như một thiết bị chuyên quyền, tuy nhiên, chuyên gia đánh giá kiểm soát an toàn thông tin lưu ý rằng thiết bị này cũng được đặt trong các máy chủ được thiết kế để cung cấp một số chức năng/dịch vụ khác (www, mail, FTP) và do đó nó vốn đã có trong đặc tả hệ thống nhưng không được mô tả rõ ràng. Đối với máy tính để bàn, chuyên gia đánh giá kiểm soát an toàn thông tin xem xét lưu ý rằng hệ thống phát hiện các mã độc hại và sửa chữa vốn cũng đã có trong đặc tả hệ thống mà không có mô tả rõ ràng. 3) Kiểm tra xem hệ thống phát hiện mã độc và sửa chữa đã được thiết lập một cách toàn diện và có hiệu quả cho các trang web bằng cách rà soát các đặc tả hệ thống hoặc sơ đồ mạng bao gồm máy chủ web. Đối với máy tính để bàn sử dụng cho soát xét hoặc duyệt các trang web, chuyên gia đánh giá kiểm soát an toàn thông tin lưu ý rằng hệ thống phát hiện mã độc và sửa chữa vốn đã nằm trong đặc tả hệ thống và không có mô tả rõ ràng. Trong trường hợp này, hệ thống phát hiện mã độc và sửa chữa có thể đặt sẵn trong trình duyệt. Đối với máy chủ web, hệ thống phát hiện mã độc và sửa chữa đôi khi được mô tả rõ ràng trong các đặc tả hệ thống như một thiết bị chuyên quyền, tuy nhiên, chuyên gia đánh giá kiểm soát an toàn thông tin lưu ý rằng nó cũng được đặt sạn trong các máy chủ web có trong đặc tả hệ thống mà không có mô tả rõ ràng.
		Chứng cứ giả định	Đặc tả hệ thống, sơ đồ mạng
		Phương pháp	Kiểm tra/soát xét
		Hướng dẫn thực hành	Hướng dẫn thực hành sau đây tương ứng được áp dụng cho tiêu chuẩn thực thi an toàn 1), 2) và 3). 1) Kiểm tra xem hệ thống phát hiện mã độc và sửa chữa đã được đặt và đang làm việc phù hợp để phát hiện bất kỳ tệp tin trên phương tiện điện tử hoặc quang học và các tệp tin nhận được qua mạng bằng cách quan sát các phương tiện xử lý thông tin. Kiểm tra xem phần mềm quản lý có đang làm việc phù hợp trong hệ thống tích hợp khi mà hệ thống phát hiện mã độc và sửa chữa được quản lý thành một hệ thống tích hợp. 2) Kiểm tra xem hệ thống phát hiện mã độc và sửa chữa đã được thực hiện, đang làm việc phù hợp để phát hiện bất kỳ tệp tin đính kèm thư điện tử và các tệp tin tải về tại các máy chủ thư điện tử, các máy tính bàn được lấy mẫu và các cổng bằng cách quan sát các phương tiện xử lý thông tin. Đối với thư điện tử, kiểm tra xem hệ thống phát hiện có hoạt động không chỉ cho các tệp tin đính kèm mà còn với mã độc trên các thư điện tử. 3) Kiểm tra xem hệ thống phát hiện mã độc và sửa chữa đã được đặt và nó đang làm việc một cách thích hợp để phát hiện bất kỳ trang web bằng cách quan sát các phương tiện xử lý thông tin. Đối với máy tính để bàn sử dụng cho soát xét hoặc duyệt web, kiểm tra xem hệ thống phát hiện có làm việc cho kiểm soát Active X, kịch bản v.v.. Đối với máy chủ web, kiểm tra xem hệ thống phát hiện hoạt động không chỉ cho các tệp tin html mà còn cả mã độc trong các dịch vụ web như Apache, IIS, v.v..
		Chứng cứ giả định	Các phương tiện của hệ thống phát hiện mã độc và sửa chữa đã được thiết lập, ví dụ: • Máy chủ tệp tin; • Máy chủ thư điện tử; • Các máy tính để bàn được lấy mẫu; • Máy tính di động; • Một hệ thống phát hiện mã độc và sửa chữa chuyên quyền được đặt tại cổng (ranh giới giữa mạng của tổ chức và Internet); • Máy chủ Web; • PROXY máy chủ; • Trình duyệt web; • Các loại khác (thiết bị để ngăn chặn USB được cắm vào).
		Phương pháp	Kiểm tra/Quan sát
	1.3	Hướng dẫn thực, hành	Thu thập các tệp tin đăng nhập từ hệ thống phát hiện và sửa chữa và kiểm tra rằng các hồ sơ nhật ký đăng nhập cho thấy rằng hệ thống đang được chạy và hoạt động cần thiết đã được thực hiện khi phần mềm độc hại đã được phát hiện. CHÚ THÍCH: Đối với máy tính để bàn, các nhật ký đầu ra thông thường từ hệ thống phát hiện và sửa chữa được lưu trữ trong máy tính. Đối với các máy chủ và các thiết bị bên ngoài, những nhật ký này được đôi khi chuyển giao và lưu trữ trong các hệ thống khác thông qua giao thức chuyển giao như nhật ký hệ thống. Đối với máy tính để bàn được sử dụng để soát xét hoặc trình duyệt các trang web, chức năng phát hiện trong trình duyệt web có thể không tạo ra hồ sơ nhật ký cho thấy rằng các chức năng đang được chạy. Thay vào đó hầu hết các trình duyệt hiển thị thông báo khi các đoạn scrip trái phép được phát hiện.
		Chứng cứ giả định	• Hệ thống phát hiện trong dịch vụ; • Đầu ra tệp tin đăng nhập từ hệ thống phát hiện; • Hồ sơ về cảnh báo của hệ thống phát hiện; • Tin nhắn từ hệ thống phát hiện trong trình duyệt web;
		Phương pháp	Kiểm tra/Quan sát
	Tiêu chuẩn thực thi an toàn	Phần mềm phát hiện mã độc và sửa chữa để quét các máy tính và phương tiện là một biện pháp phòng ngừa phải được cập nhật thường xuyên.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Trong hầu hết các trường hợp, đều có các chức năng để cập nhật tự động các tệp tin hoặc chữ ký mẫu.
	2.1	Hướng dẫn thực hành	Kiểm tra thiết kế của phần mềm phát hiện mà độc và sửa chữa để cập nhật các tệp tin hoặc chữ ký mẫu tự động hoặc thường xuyên.
		Chứng cứ giả định	Thiết kế hoặc đặc điểm kỹ thuật của hệ thống phát hiện.
		Phương pháp	Kiểm tra/soát xét
	2.2	Hướng dẫn thực hành	Kiểm tra xem việc thiết lập phần mềm phát hiện mã độc và sửa chữa để cập nhật các tệp tin hoặc chữ ký mẫu tự động hoặc thường xuyên.
		Chứng cứ giả định	Các thiết lập của hệ thống phát hiện
		Phương pháp	Kiểm tra/Quan sát
	2.3	Hướng dẫn thực hành	Kiểm tra xem tệp tin hoặc chữ ký mẫu đã được cập nhật thông qua quan sát các tên sản phẩm, phiên bản cập nhật và nhật ký cập nhật của các tệp tin hoặc chữ ký mẫu của chúng. CHÚ THÍCH: Thông tin về tên sản phẩm và phiên bản của hệ thống phát hiện và sửa chữa có thể được quan sát trong các tệp tin trợ giúp của sản phẩm.
		Chứng cứ giả định	Thông tin về hệ thống phát hiện/phòng ngừa là: • Tên sản phẩm; • Phiên bản của sản phẩm; • Phiên bản của tệp tin hoặc chữ ký mẫu.
		Phương pháp	Kiểm tra/Quan sát
A.2  Kiểm tra kỹ thuật đối với biện pháp kiểm soát trên nhật ký đánh giá
Biện pháp kiểm soát		TCVN ISO/IEC 27002:2011 9.10.1 nhật ký đánh giá
		Nhật ký đánh giá ghi lại các hoạt động người dùng, các trường hợp ngoại lệ và các sự kiện an toàn thông tin phải, được tạo và lưu giữ trong một thời gian để hỗ trợ cho việc điều tra trong tương lai và giám sát kiểm soát truy cập.
Thông tin kỹ thuật bổ sung		Để phát hiện các hoạt động xử lý thông tin trái phép, điều quan trọng là phải ghi lại các nhật ký đánh giá được sử dụng đề theo dõi các hoạt động của người sử dụng, những người quản trị hệ thống, các sự kiện và hệ thống an toàn. Các nhật ký đánh giá phải có các thông tin sau đây để phân tích xem có các hoạt động trái phép, các sự kiện an toàn không: • Tên truy cập của người dùng; • Ngày và thời gian; • Sự kiện quan trọng như đăng nhập và đăng xuất; • Tên thiết bị đầu cuối; • Địa chỉ mạng và các giao thức. Để tạo hồ sơ cần thiết bao gồm những thông tin trên, những thiết bị tạo ra nhật ký cần được bật hoặc một số quy tắc sẽ được áp dụng đối với chúng. Phương pháp ghi nhật ký phụ thuộc vào cấu trúc, kiến trúc hệ thống và các ứng dụng được triển khai. Chuyên gia đánh giá soát xét biện pháp an toàn thông tin cần xem xét sự khác biệt của phương pháp ghi nhật ký đối với các kiến trúc hệ thống khác nhau chẳng hạn như máy chủ và máy tính cá nhân. CHÚ THÍCH: Ví dụ về các cấu trúc hệ thống cần được quan tâm là: • Hệ thống máy chủ khách; • Hệ thống dựa trên web; • Hệ thống máy khách loại nhẹ; • Sự ảo hóa; • Việc sử dụng ASP (Nhà cung cấp dịch vụ ứng dụng), SaaS (phần mềm dịch vụ) hoặc điện toán đám mây. Ví dụ về các kiến trúc hệ thống cần được quan tâm là: • Hệ điều hành UNIX, Linux; • Phần mềm Windows; • Máy tính lớn. Ví dụ về các loại nhật ký cần được quan tâm là: • Nhật ký hệ thống; • Nhật ký ứng dụng.
1	Tiêu chuẩn thực thi an toàn	Cần đưa ra các nhật ký đánh giá ghi lại các hoạt động của người sử dụng, các trường hợp ngoại lệ và các sự kiện an toàn thông tin. Nhật ký đánh giá phải bao gồm: a) ID người dùng; b) Ngày, giờ và các chi tiết của sự kiện quan trọng, ví dụ đăng nhập và đăng xuất; c) Tên thiết bị đầu cuối hoặc vị trí nếu có thể; d) Các hồ sơ về các cố gắng truy cập hệ thống thành công và bị từ chối; e) Các hồ sơ về các cố gắng truy cập dữ liệu và tài nguyên khác thành công và bị từ chối; f) Các thay đổi cấu hình hệ thống; h) Sử dụng các tiện ích hệ thống và các ứng dụng; i) Các tệp tin được truy cập và loại truy cập; j) Các địa chỉ và giao thức mạng; k) Các cảnh báo đưa ra bởi hệ thống kiểm soát truy cập; l) Sự kích hoạt và vô hiệu hóa hệ thống bảo vệ, chẳng hạn như hệ thống chống virus và hệ thống phát hiện xâm nhập.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Để tìm ra sự kiện bảo mật và nguyên nhân của chúng, chuyên gia đánh giá soát xét biện pháp an toàn thông tin kiểm tra và phân tích tình trạng hoạt động của hệ thống, việc sử dụng và thay đổi hồ sơ trong nhật ký. Để điều tra các sự kiện, nguyên nhân của sự cố, nhật ký đánh giá từ nhiều hệ thống cần được kết hợp lại. Với mục đích này, việc hiểu được vị trí và loại tệp tin nhật ký đánh giá từ việc xem xét hệ thống cấu trúc/kiến trúc/cấu hình rất quan trọng.
	1.1	Hướng dẫn thực hành			Kiểm tra xem thiết kế hệ thống của ghi nhập ký có được thực hiện dựa trên tiêu chuẩn thực thi an toàn.
		Chứng cứ giả định			• Tài liệu đặc tả kỹ thuật • Tài liệu xác định yêu cầu • Tài liệu thiết kế phần mềm
		Phương pháp			Kiểm tra/soát xét
	1.2	Hướng dẫn thực hành			Kiểm tra xem việc thiết lập các tệp tin cấu hình hệ thống của nhật ký có như mô tả trong các tài liệu thiết kế hệ thống không.
		Chứng cứ giả định			• Tài liệu thiết kế phần mềm • Các tệp tin cấu hình hệ thống
		Phương pháp			Kiểm tra/Quan sát
	1.3	Hướng dẫn thực hành			Kiểm tra các hồ sơ của các tệp tin nhật ký đánh giá thực tế được như mô tả trong tài liệu thiết kế hệ thống. CHÚ THÍCH: Trong các nhật ký đánh giá, có một số hồ sơ xuất hiện liên tục và một số các hồ sơ như hồ sơ lỗi thì không. Để kiểm tra xem hệ thống có ghi lại các hồ sơ chỉ xuất hiện trong một số trường hợp cụ thể hay không, chuyên gia đánh giá soát xét biện pháp an toàn thông tin có thể cần phải sử dụng các biện pháp khác nhau bao gồm tạo ra các trường hợp kiểm thử, kiểm tra một tài liệu thiết kế hệ thống.
		Chứng cứ giả định			Tệp tin nhật ký
		Phương pháp			Kiểm tra/Quan sát
	1.4	Hướng dẫn thực hành			Kiểm tra tính toàn vẹn của hồ sơ trong các nhật ký đánh giá để xác định nhật ký thích hợp. CHÚ THÍCH: Một vài hồ sơ phải được ghi lại trong nhật ký đánh giá đang bị mất do hiệu năng và năng lực của hệ thống, hoặc một vài lý do khác, mặc dù các thiết lập cho nhật ký là phù hợp.
		Chứng cứ giả định			Tệp tin nhật ký
		Phương pháp			Kiểm tra/Quan sát
	Tiêu chuẩn thực thi an toàn	Các nhật ký đánh giá phải được giữ trong một thời gian để hỗ trợ cho việc điều tra trong tương lai và biện pháp theo dõi truy cập.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Trong một số trường hợp, thời gian lưu trữ nhật ký đánh giá được xác định theo mục đích nghiệp vụ, hợp đồng và luật pháp / quy định. Ví dụ, các nhật ký đánh giá chứa cảnh báo đưa ra bởi hệ thống kiểm soát truy cập cần được lưu giữ cho đến khi việc điều tra các sự kiện, nguyên nhân của sự cố đã được hoàn thành. CHÚ THÍCH: với các hệ thống tương đối mới mà hoạt động mới chỉ bắt đầu, các nhật ký đánh giá chưa được lưu trữ trong thời gian thỏa thuận. Trong trường hợp này, để đạt được Hướng dẫn thực hành 2.3 thì các hướng dẫn thực hành 2.1 và 2.2 cần thiết để được kiểm tra.
	2.1	Hướng dẫn thực hành		Kiểm tra xem thời gian lưu trữ các nhật ký đánh giá có như được mô tả trong các tài liệu thiết kế hệ thống không.
		Chứng cứ giả định		• Tệp tin nhật ký • Tài liệu thiết kế hệ thống.
		Phương pháp		Kiểm tra/Quan sát
	2.2	Hướng dẫn thực hành		Kiểm tra xem việc thiết lập thời gian lưu trữ các nhật ký đánh giá trong hệ thống có như được mô tả trong tài liệu thiết kế hệ thống không hoặc việc thiết lập ghi đè hay xóa bỏ nhật ký đánh giá trước thời hạn lưu trữ đã không được áp dụng.
		Chứng cứ giả định		Nhật ký hệ thống Tài liệu thiết kế hệ thống
		Phương pháp		Kiểm tra/Quan sát
	2.3	Hướng dẫn- thực hành		Kiểm tra xem thời gian lưu trữ các nhật ký đánh giá có dài hơn thời gian được chấp thuận không bằng cách quan sát các nhãn thời gian của tệp tin nhật ký hoặc hồ sơ thời gian trong nhật ký.
		Chứng cứ giả định		Nhật ký hệ thống Tài liệu thiết kế hệ thống
		Phương pháp		Kiểm tra/quan sát

 

A.3  Kiểm tra kỹ thuật đối với biện pháp kiểm soát quản lý đặc quyền.
Biện pháp kiểm soát		TCVN ISO/IEC 27002:2011 10.2.2 Quản lý đặc quyền Việc phân bổ và sử dụng đặc quyền cần được hạn chế và kiểm soát.
Thông tin kỹ thuật bổ sung		Quản lý đặc quyền là quan trọng, bởi vì việc sử dụng đặc quyền không phù hợp gây tác động đáng kể đến hệ thống. Quản lý đặc quyền là quan trọng, bởi vì việc sử dụng đặc quyền không phù hợp gây tác động đáng kể đến hệ thống. Tình trạng phân bổ đặc quyền cần được mô tả trong các tài liệu xác định đặc quyền (tài liệu định nghĩa đặc quyền). Vì các đặc quyền truy cập liên quan đến mỗi sản phẩm hệ thống (hệ điều hành, hệ quản trị cơ sở dữ liệu và mỗi ứng dụng) là khác nhau. Ví dụ về các loại đặc quyền là. • Root (hệ điều hành UNIX, Linux); • Người quản trị (hệ điều hành Windows); • Người điều hành sao lưu (hệ điều hành Windows); • Người dùng chuyên nghiệp (hệ điều hành Windows); • Sa (DBMS); • quản trị cơ sở dữ liệu (DBMS); Việc phân bổ đặc quyền tối thiểu phải trên cơ sở nhu cầu sử dụng. Ngoài ra, nó là không nhất thiết phải được phân bổ đều đặn. Phương pháp quản lý đặc quyền sẽ khác nhau trong các hệ thống khác nhau. Ví dụ về quản lý đặc quyền dựa trên hệ thống là: • Trong hệ điều hành, danh sách điều khiển truy cập định nghĩa đặc quyền; • Trong DBMS có nhiều loại đặc quyền mặc định; • Trong ứng dụng có thể xác định nhiều đặc quyền mặc định cho chức năng quản lý ứng dụng, do vậy chuyên gia đánh giá kiểm soát biện pháp an toàn thông tin trước tiên cần xác định cấp độ kiểm tra; • Trong hệ điều hành an toàn, có chức năng kiểm soát truy cập bắt buộc.
1	Tiêu chuẩn thực thi an toàn	Các đặc quyền truy cập liên quan đến mỗi sản phẩm hệ thống, ví dụ như hệ điều hành, hệ quản trị cơ sở dữ liệu và mỗi ứng dụng và người dùng cần được phân bổ đặc quyền cần phải được xác định.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Hoạt động của người sử dụng đặc quyền cần được giám sát, ví việc sử dụng không phù hợp các đặc quyền sẽ gây ra một tác động đáng kể tới hệ thống. Các phương pháp phát hiện việc sử dụng không phù hợp các đặc quyền là khác nhau nếu kiến trúc hệ thống khác nhau. CHÚ THÍCH: Các kiến trúc hệ thống đại diện là • Máy tính lớn; • Hệ điều hành Windows; • Hệ điều hành UNIX, Linux; • Hệ điều hành an toàn.
	1.1	Hướng dẫn thực hành		Kiểm tra xem việc phân bổ quyền đã được mô tả tài liệu định nghĩa trong đặc quyền chưa.
		Chứng cứ giả định		Tài liệu định nghĩa đặc quyền
		Phương pháp		Kiểm tra/Quan sát
	1.2	Hướng dẫn thực hành		Kiểm tra xem việc thiết lập cấu hình hệ thống có như mô tả trong các tài liệu định nghĩa đặc quyền không. Phương pháp kiểm tra hoạt động đặc quyền là khác nhau theo kiến trúc hệ thống. Ví dụ về các phương pháp kiểm tra hoạt động đặc quyền. 1) (Trong trường hợp ‘Máy tính lớn’) Kiểm tra xem tình trạng sử dụng đặc quyền có thích hợp không bằng cách kiểm tra báo cáo RACF. 2) (Trong trường hợp của hệ điều hành UNIX, Linux hoặc Windows) kiểm tra xem tình trạng sử dụng các đặc quyền có phù hợp không bằng cách điều tra các nhật ký điều tra về việc sử dụng đặc quyền. CHÚ THÍCH: 1) RACF (phương tiện kiểm soát truy cập tài nguyên) là phần mềm trung gian quản lý an toàn trong máy tính lớn. 2) Trong hệ điều hành UNIX hay Linux, sẽ rất nguy hiểm nếu chỉ kiểm tra đăng nhập bằng root để điều tra việc sử dụng không phù hợp của người chủ. Lý do cho điều đó là người dùng thông thường có thể trở thành người chủ bằng cách sử dụng lệnh ‘su’ sau khi đăng nhập vào trong hệ điều hành UNIX hay Linux.
		Chứng cứ giả định		• Tài liệu định nghĩa đặc quyền • Danh sách kiểm soát truy cập • Báo cáo RACF
		Phương pháp		Kiểm tra/Quan sát
2	Tiêu chuẩn thực thi an toàn	Đặc quyền cần được trao cho một tên đăng nhập (ID) người dùng khác với các ID được sử dụng cho các hoạt động nghiệp vụ bình thường.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Trong trường hợp truy cập bởi đặc quyền, có khả năng thực hiện hoạt động trái phép một cách ngẫu nhiên và tình hình sử dụng đặc quyền thường trở thành điểm nóng cho các truy cập trái phép. Người dùng nên sử dụng ID bình thường cho hoạt động không cần đặc quyền. Nếu đăng nhập bằng đặc quyền ‘roof’ được cho phép, thì không thể xác định được ai đã đăng nhập vào hệ thống từ nhật ký.
	2.1	Hướng dẫn thực hành	Kiểm tra xem những người dùng có đặc quyền có ID người dùng thông thường bên cạnh ID đặc quyền không bằng cách quan sát các ACL (danh sách điều khiển truy cập) của hệ thống.
		Chứng cứ giả định	Danh sách quản lý truy cập.
		Phương pháp	Kiểm tra/Quan sát
	2.2	Hướng dẫn thực hành	Kiểm tra xem đặc quyền có sử dụng một ID người dùng khác với ID nghiệp vụ bình thường không bằng cách quan sát các tệp tin nhật ký. Trong trường hợp của hệ điều hành UNIX hoặc Linux, kiểm tra các tăng cường cấu hình hệ thống mà hệ thống từ chối truy nhập bằng ‘root’. CHÚ THÍCH: Chuyên gia đánh giá soát xét biện pháp an toàn thông tin cố gắng phỏng vấn để kiểm tra xem đặc quyền có sử dụng ID người dùng khác cho nghiệp vụ thông thường dùng nhật ký chỉ ra đặc quyền chỉ sử dụng ID đặc quyền.
		Chứng cứ giả định	• Tệp tin nhật ký; • Cấu hình hệ thống đăng nhập vào bằng cách ‘root’.
		Phương pháp	Kiểm tra/Quan sát
	2.2	Hướng dẫn thực hành	Kiểm tra thời gian lưu trữ nhật ký đánh giá có nhiều hơn thời gian cho phép khi quan sát tem thời gian của tệp tin nhật ký hoặc bản ghi thời gian bên trong nhật ký.
		Chứng cứ giả định	• Tệp tin nhật ký: • Cấu hình hệ thống đăng nhập vào bằng cách ‘root’.
		Phương pháp	Kiểm tra/Quan sát

 

A.4  Kiểm tra kỹ thuật đối với biện pháp kiểm soát sao lưu.
Biện pháp kiểm soát		TCVN ISO/IEC 27002:2011 9.5.1 Sao lưu thông tin Các bản sao lưu của thông tin và phần mềm cần được thực hiện và kiểm thử thường xuyên phù hợp với chính sách sao lưu đã được chấp thuận.
Thông tin kỹ thuật bổ sung		Để sao lưu một cách thích hợp, tiêu chuẩn của tổ chức phải được xác định phù hợp với chính sách sao lưu và nó phải được thể hiện vào tài liệu thiết kế sao lưu. Sao lưu được sử dụng để khôi phục lại các thông tin hoặc phần mềm cần thiết trong trường hợp của một sự kiện mất dữ liệu ví dụ một thảm họa hay hư hỏng phương tiện lưu trữ. Khi một tổ chức thiết kế sao lưu, vị trí sao lưu, đường dẫn sao lưu và phương pháp sao lưu phù hợp cần được lựa chọn phù hợp với chính sách sao lưu của tổ chức. Đối với vị trí sao lưu, tổ chức cần lựa chọn sao lưu tại chỗ hoặc sao lưu ngoại vi. Sao lưu tại chỗ được coi là nhanh hơn nhiều so với sao lưu ngoại vi khi sao lưu và khôi phục. Sao lưu ngoại vi sao lưu thường được lựa chọn để ngăn chặn ảnh hưởng của thiên tai như hỏa hoạn, lũ lụt, động đất. Đối với đường dẫn sao lưu, cho dù là hình thức tại chỗ hoặc từ xa thì cũng đều được lựa chọn. Sao lưu trực tuyến có nghĩa là dữ liệu được sao lưu qua mạng hoặc đường dây thông tin liên lạc. Sao lưu ngoại tuyến có nghĩa là dữ liệu sao lưu được vận chuyển vật lý bằng phương tiện lưu trữ di động như DLT hoặc đĩa CD/DVD. Phương pháp sao lưu được phân loại theo một số tùy chọn như sao lưu đầy đủ, sao lưu thêm và sao lưu một phần. Sao lưu đầy đủ có nghĩa là tất cả các dữ liệu được lựa chọn để sao lưu đều được sao lưu. Phương pháp này cần nhiều thời gian và dung lượng dữ liệu hơn so với các phương pháp khác, nhưng là phương pháp đơn giản nhất và dễ dàng nhất để khôi phục dữ liệu. Sao lưu thêm có nghĩa là sao lưu dữ liệu đã thay đổi kể từ lần sao lưu cuối cùng. Phương pháp này cần ít thời gian và dung lượng dữ liệu hơn các phương pháp khác, nhưng là phương pháp phức tạp nhất để khôi phục dữ liệu. Sao lưu một phần thực hiện sao lưu dữ liệu đã thay đổi kể từ lần sao lưu đầy đủ cuối cùng. Phương pháp này cần ít thời gian và dung lượng dữ liệu hơn so với sao lưu đầy đủ và là phương pháp đơn giản và dễ dàng hơn khi phục hồi so với sao lưu thêm.
	Tiêu chuẩn thực thi an toàn	Mức độ (ví dụ sao lưu đầy đủ hoặc một phần) và tần suất sao lưu cấn phản ánh các yêu cầu nghiệp vụ của tổ chức, các yêu cầu an toàn của thông tin có liên quan và sự quan trọng của các thông tin để tiếp tục các hoạt động của tổ chức.
	Lưu ý kỹ thuật tiêu chuẩn thực thi an toàn	Để phù hợp với yêu cầu nghiệp vụ, tổ chức cần chọn thời gian sao lưu/khôi phục dữ liệu thích hợp và dung lượng dữ liệu dành cho sao lưu. Hội thẩm cần đánh giá xem phương pháp sao lưu phù hợp đã được lựa chọn để thỏa mãn các yêu cầu của tổ chức. Dưới đây là các ví dụ về tần suất cần được quan tâm: • Sao chép trung thực hoặc theo thời gian thực (nếu tầm quan trọng của thông tin ở mức cao nhất); • Hàng ngày (nếu việc khôi phục dữ liệu đã được sao lưu ít nhất là trong ngày là cần thiết); • Hàng tuần; • Hàng Tháng.
	1.1	Hướng dẫn thực hành		Kiểm tra xem thiết kế sao lưu có được dựa trên tiêu chuẩn thực hiện an toàn không.
		Chứng cứ giả định		• Tài liệu đặc tả sao lưu; • Tài liệu định nghĩa yêu cầu nghiệp vụ và an toàn; • Tài liệu thiết kế sao lưu.
		Phương pháp		Kiểm tra/Đánh giá.
	1.2	Hướng dẫn thực hành		Kiểm tra xem việc thiết lập các tệp tin cấu hình hệ thống sao lưu có như được mô tả trong tài liệu thiết kế sao lưu không.
		Chứng cứ giả định		• Tài liệu thiết kế sao lưu • Các tệp tin cấu hình hệ thống sao lưu
		Phương pháp		Kiểm tra/Đánh giá
	1.3	Hướng dẫn thực hành		Kiểm tra xem sao lưu có được thực hiện như được ghi trong tài liệu thiết kế sao lưu không.
		Chứng cứ giả định		• Tài liệu thiết kế sao lưu; • Tệp tin nhật ký; • Phương tiện sao lưu.
		Phương pháp		Kiểm tra/Quan sát
2	Tiêu chuẩn thực thi an toàn	Thủ tục phục hồi phải được kiểm tra và kiểm thử thường xuyên để đảm bảo rằng chúng có hiệu quả và họ có thể được hoàn thành trong thời gian được phân bổ trong thủ tục thực hiện phục hồi.
	Tiêu chuẩn thực thi an toàn	Sự phức tạp và thời gian cần thiết để phục hồi khác nhau giữa các phương pháp thực hiện; ví dụ sao lưu đầy đủ hoặc từng phần. Kế hoạch kiểm thử và kiểm tra các thủ tục phục hồi cần được chuẩn bị và lập thành tài liệu.
	2.1	Hướng dẫn thực hành		Kiểm tra xem kế hoạch kiểm thử và kiểm tra có được kiểm tra thường xuyên không.
		Chứng cứ giả định		• Hồ sơ về việc kiểm tra kế hoạch kiểm thử và kiểm tra
		Phương pháp		Kiểm tra/Đánh giá
A.5  Kiểm tra kỹ thuật đối với biện pháp quản lý an toàn mạng
Biện pháp kiểm soát		TCVN ISO/IEC 27002:2011 9.6.2 An toàn của dịch vụ mạng
		Các Tính năng bảo mật, mức dịch vụ và yêu cầu quản lý của tất cả các dịch vụ mạng cần phải được xác định và bao gồm trong bất kỳ thỏa thuận dịch vụ mạng, cho dù các dịch vụ này được cung cấp trong nội bộ hoặc thuê ngoài.
Biện pháp kiểm soát		Dịch vụ mạng là dịch vụ, được cung cấp trên các máy tính nối mạng môi trường cho dù đó là trong nội bộ hay thuê ngoài. Khi một tổ chức sử dụng các dịch vụ mạng, thông tin bí mật của tổ chức có thể truyền trong các dịch vụ mạng bên ngoài. Vì vậy, chuyên gia đánh giá cần xem xét tài khoản mà các chức năng bảo mật cần thiết như mã hóa và / hoặc xác thực được cung cấp bởi các nhà cung cấp dịch vụ mạng. Ví dụ về các hệ thống được sử dụng cho các dịch vụ mạng là: • DNS • DHCP • Firewall/VPN • Dò chống Virus • IDS/IPS
	Tiêu chuẩn thực thi an toàn	Các thỏa thuận an toàn cần thiết cho các dịch vụ cụ thể, chẳng hạn như tính năng bảo mật, mức dịch vụ và yêu cầu quản lý cần được xác định. Các tổ chức phải đảm bảo rằng các nhà cung cấp dịch vụ mạng có thực hiện các biện pháp này.
	Tiêu chuẩn thực thi an toàn	Để sử dụng dịch vụ mạng, sắp xếp an toàn là rất quan trọng để bảo vệ thông tin đi qua nó. Các yêu cầu về tính năng bảo mật thường được bao gồm trong các yêu cầu nghiệp vụ. Ví dụ về các tính năng bảo mật liên quan đến dịch vụ mạng được, mô tả như sau: • Mã hóa chống lại nghe trộm; • Kiểm soát truy cập mạng chống lại truy cập trái phép; • IDS / IPS chống lại hoạt động độc hại; • Lọc URL chống truy cập WEB trái phép; • Đáp ứng sự cố cho các sự kiện an toàn không mong muốn.
	1.1	Hướng dẫn thực hành	Kiểm tra xem tài liệu hợp đồng bao gồm SLA (Thỏa thuận mức dịch vụ) được cung cấp từ nhà cung cấp dịch vụ có thỏa mãn các yêu cầu nghiệp vụ, pháp lý và an toàn của tổ chức không.
		Chứng cứ giả định	• Tài liệu hợp đồng • Tài liệu định nghĩa yêu cầu
		Phương pháp	Kiểm tra/soát xét.
	1.2	Hướng dẫn thực hành	Trọng trường hợp trong nhà, kiểm tra xem các thiết lập của hệ thống sử dụng cho các dịch vụ mạng được như mô tả trong tài liệu thiết kế dịch vụ mạng.
		Chứng cứ giả định	• Cấu hình hệ thống • Tài liệu thiết kế dịch vụ mạng
		Phương pháp	Kiểm tra/soát xét
	1.3	Hướng dẫn thực hành	Trong trường hợp trong nội bộ, kiểm tra xem hồ sơ của các tệp tin nhật ký thực tế từ các hệ thống dịch vụ mạng có như được mô tả trong các tài liệu thiết kế dịch vụ mạng không. Ví dụ về hồ sơ của các dịch vụ mạng: • Xác thực; • Mã hóa; • Các điều khiển kết nối mạng; • Tốc độ của kênh; • Đáp ứng (Trong trường hợp hệ thống trực tuyến); • Khoảng thời gian chết.
		Chứng cứ giả định	• Tệp tin nhật ký; • Tin nhắn cảnh báo; • Tài liệu, thiết kế dịch vụ mạng
		Phương pháp	Kiểm tra / Quan sát

 

A.6. Kiểm tra kỹ thuật đối với biện pháp kiểm soát và trách nhiệm người dùng
Biện pháp kiểm soát		TCVN ISO /IEC 27002:2011 10.3.1 sử dụng mật khẩu Người sử dụng được yêu cầu tuân thủ các thực hành an toàn đúng đắn trong việc lựa chọn và sử dụng các mật khẩu.
Thêm ký thuật thông tin về kiểm soát		Để ngăn chặn truy cập trái phép vào các nguồn tài nguyên máy tính, mật khẩu sẽ được tạo ra và giữ bí mật trước những người không được phép truy cập vào chúng. Xác thực mật khẩu là phương pháp xác thực người dùng được sử dụng bởi một số nguồn tài nguyên như hệ điều hành, chương trình, cơ sở dữ liệu, mạng hoặc các trang web. Chất lượng của mật khẩu phụ thuộc vào độ dài và kiểu ký tự như ký tự chữ và dấu. người dùng có thể cấu hình các thông số của chính sách mật khẩu cho một số hệ điều hành như: Windows. Mặt khác, các nhà phát triển của ứng dụng có thể phát triển chức năng xác thực để cấu hình chính sách mật khẩu. Thẩm định cần đánh giá các chức năng ủy quyền với mật khẩu đặt ở tài nguyên máy tính được hiệu quả và những chức năng làm việc thích hợp.
1	Tiêu chuẩn thực hiện an toàn	Chọn mật khẩu chất lượng với đầy đủ độ dài tối thiểu có đặc điểm: 1) Dễ nhớ; 2) Không dựa trên những điều để người khác có thể dễ dàng suy đoán hoặc, có được nếu sử dụng các thông tin liên quan đến cá nhân, ví dụ tên, số điện thoại và ngày sinh v.v..; 3) Không dễ bị tổn hại trước các tấn công từ điển (tức là không bao gồm các từ có trong từ điển); 4) Không có tất cả các ký tự, con số hoặc chữ cái liên tiếp giống nhau.
	Chú thích kỹ thuật về tiêu chuẩn thực hiện an toàn	Các mật khẩu dễ nhớ cho người sử dụng thường là các điểm yếu thường thấy.
	1.1	Hướng dẫn thực hành	Kiểm tra quy tắc lựa chọn mật khẩu đã được mô tả trong chính sách mật khẩu của tổ chức.
		Chứng cứ giả định	Chính sách mật khẩu của tổ chức.
		Phương pháp	Kiểm tra/soát xét
	1.2	Hướng dẫn thực hành	Kiểm tra xem thiết lập cấu hình hệ thống chính sách mật khẩu của hệ thống) như mô tả trong chính sách mật khẩu của tổ chức.
		Chứng cứ giả định	• Cấu hình hệ thống (chính sách mật khẩu của hệ thống) • Chính sách mật khẩu của tổ chức
		Phương pháp	Kiểm tra/Quan sát
	1.3	Hướng dẫn thực hành	Kiểm tra xem tệp tin nhật ký đăng nhập xem những người dùng thay đổi mật khẩu
		Chứng cứ giả định	• Tệp tin nhật ký đăng nhập
		Phương pháp	Kiểm tra/Quan sát

 

Phụ lục B

(Tham khảo)

Thu thập thông tin ban đầu (khác ngoài IT)

Trưởng đoàn đánh giá soát xét biện pháp kiểm soát an toàn thông tin phải phân bổ chuyên gia đánh giá soát xét biện pháp kiểm soát an toàn thông tin có kinh nghiệm và năng lực liên quan cho mỗi lĩnh vực an toàn thông tin.

Câu hỏi ban đầu đối với nhân viên liên quan có thể bao gồm danh sách các lĩnh vực và không đầy đủ theo ví dụ được chỉ dẫn sau:

B.1  Nguồn nhân lực và an toàn

a. Cá nhân có trách nhiệm và/hoặc chịu trách nhiệm về hành động của mình?

b. Kiến thức an toàn thông tin và bảo mật sẵn có tại chỗ để trả lời các câu hỏi, thúc đẩy nhân viên và cung cấp hướng dẫn cần thiết.

c. Chính sách và thủ tục được áp dụng có rõ ràng và SMART (cụ thể, có khả năng đo lường được, có thể được chấp nhận, thực tế, trong khoảng thời gian nhất định).

d. Cá nhân được thuê có đáp ứng kiến thức “vận hành” như mong đợi.

e. Cá nhân có đáng tin cậy để xử lý thông tin nhạy cảm và các hệ thống đó sẽ gây nguy hiểm cho sự sống còn của tổ chức.

f. Hiệu quả của nhân viên có đáng tin cậy?

g. Làm thế nào để xác định được sự tin cậy và đo lường chúng.

B.2  Chính sách

a. Sự phân cấp:

i. Chính sách an toàn thông tin có xuất phát từ các mục tiêu nghiệp vụ và từ chính sách an toàn tổng thể không

ii. Làm cách nào để liên kết được tạo giữa IT, HR, chính sách tiếp nhận v.v..

b. Toàn diện

i. Chính sách giải quyết an toàn thông tin có trong tất cả ngành hoạt động nghiệp vụ (Nguồn nhân lực, vật lý, công nghệ thông tin, bán hàng, sản xuất, nghiên cứu và phát triển, liên hệ…).

ii. Có các chính sách hoàn chỉnh trong thiết kế bao gồm chiến lược, chiến thuật và vận hành.

c. Sự phát biểu

i. Chính sách có chấp thuận theo TCVN ISO/IEC 27002:2011 hoặc các mục tiêu kiểm soát và biện pháp kiểm soát có phù hợp với bối cảnh cụ thể.

ii. Có chính sách bằng văn bản để xác định rõ ràng (các) hành động phải chịu trách nhiệm.

iii. Hành động được dự kiến trong chính sách và thủ tục nên xem xét các câu hỏi “cơ bản” như: ai, khi nào, tại sao, cái gì, ở đâu và như thế nào.

• nếu cá nhân chịu trách nhiệm (ai) để thực hiện các hành động không được xác định, cá nhân đó có đạt được mục tiêu đề ra không?

• Nếu mốc thời gian (khi nào) để thực hiện hành động không được xác định, liệu các hành động có được thực hiện đúng thời gian không?

• Nếu mục đích và mục tiêu của hành động không được xác định (tại sao).

• Nếu hành động nội tại (cái gì) không được xác định, làm cách nào để có thể thực hiện nó?

• Nếu hành động không xác định được đối tượng, địa điểm, quy trình, tài sản thông tin hoặc “biện pháp kiểm soát” mà nó có ảnh hưởng, nó sẽ ảnh hưởng như thế nào (ở đâu)?

• Nếu hành động trong thủ tục không được xác định rõ ràng về những thứ được hoàn thành như thế nào và được thực hiện chính xác như thế nào?

• Nếu một hành động không được xác định các chỉ số và mục đích các biện pháp kiểm soát nhằm xác minh rằng nó tiến triển chính xác và đặt được các mục tiêu, làm cách nào để tổ chức đảm bảo rằng các mục tiêu có thể đạt được?

iv. Các biện pháp kiểm soát và môi trường kiểm tra tại chỗ để xác định nếu tuyên bố chính sách được thực hiện, triển khai và đạt được các mục tiêu?

v. Mục tiêu trong tuyên bố chính sách cần xem xét các tiêu chí SMART. Nếu không:

• Các mục tiêu không cụ thể không dễ dàng để nhận diện rõ ràng và (các) cá nhân có trách nhiệm để đạt được nó thông thường không được xác định.

• Nếu mục tiêu không thể đo lường được, có rất ít cơ hội mà một tổ chức có thể xác minh được mục tiêu có đạt được yêu cầu hay không.

• Nếu mục tiêu, không được truyền thông/truyền đạt và có thể được chấp nhận tới người phải đối phó với những thay lớn về biện pháp kiểm soát sẽ bị hiểu lầm, tránh né hoặc ngắt kết nối.

• Nếu mục tiêu liên quan tới năng lực thực sự của tổ chức không thực tế sẽ có rất ít cơ hội để đạt được mục tiêu.

• Nếu mục tiêu liên quan tới thời gian không được xác định (mục tiêu phải đạt được khi nào, khi nào bắt đầu hành động hỗ trợ…). Có một cơ hội tốt là không cần đưa ra hành động nào và mục tiêu chưa bao giờ gặp phải.

B.3  Tổ chức

Tập hợp các vai trò và xác định trách nhiệm, phân bổ vai trò, trách nhiệm cần thiết, đủ đáp ứng mục tiêu nghiệp vụ có xem xét đến bối cảnh và các ràng buộc.

Có liên kết với các cơ quan bên ngoài đã được xác định?

Trách nhiệm đảm bảo an toàn có được thuê ngoài nếu nội bộ tổ chức không có đủ năng lực thực hiện?

Việc đảm bảo an toàn thông tin có được đề cập trong hợp đồng?

B.4  An toàn vật lý và môi trường

B.4.1  Vị trí an toàn của thông?

a. ‘Khu vực’

i. Liệu những khu vực có thể truy cập đầy đủ tới công cộng có bị cô lập đến khu vực nghiệp vụ?

ii. Các khu vực được xác định có phải là nơi chứa nhiều thông tin quan trọng (bởi người hoặc hệ thống ICT).

iii. Có phải “khu vực bảo mật” được phân tách một cách phù hợp để tránh thay đổi thông tin?

b. Vị trí

i. Các vùng khác nhau được xác định rõ ràng và ở các vị trí phù hợp;

ii. Các đường biên (tường, sàn, trần nhà) được gán nhãn.

c. “Cổng” – Các điểm truy cập

i. Cửa và cửa sổ tại các đường biên được bảo vệ cả khi mở lẫn khi đóng;

ii. Kiểm soát truy cập thích hợp tại các lối ra/vào;

iii. Hệ thống có chống được xâm nhập không;

iv. Lối thoát hiểm cho phép đủ di chuyển thông tin, con người và trang thiết bị.

d. Lối đi và “đường dẫn”

i. Các chỉ dẫn để nhận biết các vùng và vị trí.

• Lối đi cho con người;

• Cáp (đường dẫn cho thông tin).

ii. Có đường dự phòng phòng?

iii. Các đường này có được bảo vệ và giám sát không?

e. Giám sát

i. Nguồn lực giám sát có thể nhìn thấy không thông qua mắt thường?

ii. Nguồn lực giám sát có thể nhìn thấy sự xâm nhập từ xa?

iii. Khi nào cần hoạt động giám sát.

iv. Hồ sơ được lưu trữ và phân tích ở đâu? như thế nào?

f. Đồ nội thất

i. Phù hợp để lưu trữ thông tin

ii. Vị trí đặt đúng

iii. Vận hành như mong muốn.

B.4.2  Các vị trí có an toàn cho Công nghệ thông tin và Truyền thông (ICT)? (Khía cạnh về môi trường).

a. Nguồn cấp điện.

i. Đầy đủ/phù hợp

ii. Có nguồn thay thế?

b. Cấp điều hòa không khí

i. Đầy đủ/phù hợp

ii. Có điều hòa thay thế?

c. Cấp dụng cụ chữa cháy

i. Đầy đủ/phù hợp

ii. Có thiết bị thay thế?

B.4.3  Các địa điểm có an toàn cho con người?

a. Lối thoát hiểm có sẵn (và có biện pháp kiểm soát phù hợp);

b. Các “rò rỉ” (nguồn cấp điện, nước, khí đốt, chất lỏng) là mối nguy hiểm tiềm ẩn cho con người;

c. Nhiệt độ, độ ẩm, vật liệu và các rung động là mối nguy hiểm tiềm ẩn cho con người;

d. Các trang thiết bị có được bố trí để tránh gây chấn thương cho con người;

e. Đồ nội thất được lắp đặt và duy trì để tránh gây chấn thương cho con người.

B.5  Quản lý sự cố

a. Các sự cố an toàn thông tin đã được xác định chưa?

b. Xây dựng năng lực đề phản ứng các sự cố an toàn thông tin.

i. Xây dựng tài liệu hướng dẫn?

ii. Phân công vai trò và trách nhiệm.

iii. Phân bổ phương tiện và nguồn lực.

 

Thư mục tài liệu tham khảo

[1] TCVN ISO/IEC 27001:2009, Công nghệ thông tin – Hệ thống quản lý an toàn thông tin các yêu cầu.

[2] TCVN ISO/IEC 27002:2011, Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an toàn thông tin.

[3] TCVN 10295:2014, Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin.

[4] TCVN ISO/IEC 27006:2017, Công nghệ thông tin – Các kỹ thuật an toàn – Các yêu cầu đối với các tổ chức đánh giá và cấp chứng nhận hệ thống quản lý an toàn thông tin

[5] ISO/IEC 27007:2011, Information technology – Security techniques – Guidelines for information security management systems auditing.

[6] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý.

[7] TCVN 9788:2013, Quản lý rủi ro – Từ vựng.

[8] NIST Special publication (SP) 800-53A, Guide for reviewing the controls in federal information systems, July 2008. Available from: http://csrc.nist.gov/publications/PubsSPs.html

[9] Institute For Security And Open Methodologies, Open-Source Security Testing Methodology Manual. Available from: http://www.isecom.org/osstmm/.

[10] Federal Office for Information Security (BSI), Germany, Standard 100-1, Information Security Management Systems (ISMS); 100-2, IT-Grundschutz Methodology; 100-3, Risk Analysis based on IT- Grundschutz and IT-Grundschutz Catalogues (available in German and English). Available from: https://www.bsi.bund.de/cln_174/EN/Publications/publications_node.html.

[11] Information Security Forum, The Standard of Good Practice for Information Security, 2007, Available from: https://www.securityforum.org/services/publicresearch/.

 

Mục lục

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

3.1  Đối tượng soát xét (review object)

3.2  Mục tiêu soát xét (review objective)

3.3  Tiêu chuẩn thực thi an toàn (security implementation Standard)

4  Cấu trúc tiêu chuẩn

5  Nền tảng

6  Tổng quan về soát xét các biện pháp kiểm soát an toàn thông tin

6.1  Quy trình soát xét

6.2  Nguồn lực

7  Phương pháp soát xét

7.1  Tổng quan

7.2  Phương pháp soát xét: Kiểm tra

7.2.1  Khái quát

7.2.2  Các thuộc tính

7.3  Phương pháp soát xét: Phỏng vấn

7.3.1  Khái quát

7.3.2  Các thuộc tính

7.3.3  Thuộc tính bao hàm

7.4  Phương pháp soát xét: kiểm thử

7.4.1  Khái quát

7.4.2  Các loại kiểm thử

7.4.3  Các thủ tục soát xét mở rộng

8  Các hoạt động

8.1  Chuẩn bị

8.2  Xây dựng kế hoạch

8.2.1  Tổng quan

8.2.2  Phạm vi

8.2.3  Thủ tục soát xét

8.2.4  Các xem xét đối tượng liên quan

8.2.5  Các phát hiện trước

8.2.6  Phân công công việc

8.2.7  Hệ thống bên ngoài

8.2.8  Tài sản thông tin và tổ chức

8.2.9  Thủ tục soát xét mở rộng

8.2.10  Tối ưu hóa

8.2.11  Hoàn tất kế hoạch soát xét

8.3  Tiến hành soát xét

8.4  Phân tích và báo cáo kết quả

Phụ lục A (Tham khảo) Hướng dẫn thực hành kiểm tra sự tuân thủ kỹ thuật

Phụ lục B (Tham khảo) Thu thập thông tin ban đầu

Thư mục tài liệu tham khảo