Giới thiệu về Nguyên tắc bảo mật thông tin môn Bảo mật thông tin | Trường Đại học Bách Khoa Hà Nội
Phòng thí nghiệm Công nghệ Thông tin (ITL) tại Việc Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) thúc đẩy nền kinh tế Hoa Kỳ và sự thịnh vượng chung bằng cách cung cấp sự lãnh đạo về mặt kỹ thuật cho cơ sở hạ tầng tiêu chuẩn và đo lường của Quốc gia. Tài liệu được sưu tầm, biên soạn dưới dạng file PDF gồm 132 trang, giúp các bạn học tốt, ôn tập hiệu quả, đạt kết quả cao trong các bài thi, bài kiểm tra sắp tới. Mời bạn đón xem!
Môn: Bảo mật thông tin hust 11 tài liệu
Trường: Đại học Bách Khoa Hà Nội 2.9 K tài liệu
Tác giả:
Preview text:
Giới thiệu về Bảo mật Thông tin
Ấn phẩm Đặc biệt 800-12 NIST (SP800-12) Tháng Sáu năm 2017
Báo cáo về Công nghệ Hệ thống Máy tính
Phòng thí nghiệm Công nghệ Thông tin (ITL) tại Việc Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST)
thúc ẩy nền kinh tế Hoa Kỳ và sự thịnh vượng chung bằng cách cung cấp sự lãnh ạo về mặt kỹ thuật cho
cơ sở hạ tầng tiêu chuẩn và o lường của Quốc gia. ITL phát triển các bài kiểm tra, phương pháp kiểm tra,
dữ liệu tham chiếu, các triển khai bằng chứng về khái niệm, và phân tích về mặt kỹ thuật ể tăng cường sự
phát triển và sử dụng hiệu quả công nghệ thông tin. Trách nhiệm của ITL bao gồm việc phát triển các tiêu
chuẩn và hướng dẫn quản lý, quản trị, kỹ thuật và vật lý ể có ược tính bảo mật và quyền riêng tư hiệu-quả-
về-chi-phí của những thông tin khác ngoài thông tin liên-quan-ến-an-ninh-quốc-gia trong các hệ thống liên
bang. Loạt Ấn phẩm Đặc biệt 800 báo cáo về các nghiên cứu, hướng dẫn, và nỗ lực tiếp cận trong bảo
mật các hệ thống cũng như các hoạt ộng cộng tác của nó với các tổ chức ngành, chính phủ và học thuật. Dẫn nhập
Các tổ chức phụ thuộc rất nhiều vào việc sử dụng các sản phẩm và dịch vụ công nghệ thông tin (CNTT) ể
vận hành các hoạt ộng hàng-ngày của mình. Việc ảm bảo ược tính bảo mật của các sản phẩm và dịch vụ
này là iều cực kỳ quan trọng ối với sự thành công của tổ chức. Ấn phẩm này giới thiệu những nguyên tắc
bảo mật thông tin mà các tổ chức có thể tận dụng ể tìm hiểu về những nhu cầu bảo mật thông tin của các
hệ thống liên quan của mình. Từ khóa
assurance; computer security; information security; introduction; risk management; security controls;
security requirements bảo ảm, bảo mật máy tính, bảo mật thông tin, giới thiệu, quản lý rủi ro, các biện
pháp kiểm soát bảo mật, các yêu cầu bảo mật Lời cảm ơn
Các tác giả muốn gửi lời cảm ơn ến những người ã dành thời gian ể xem xét và ưa ra những bình luận về
bản thảo của ấn phẩm này, ặc biệt là elia Paulsen, Ned Goren, Isabel Van Wyk, and Rathini Vijayaverl của
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). Các tác giả cũng xin trân trọng cảm ơn những tác giả ban
ầu, Barbara Guttman và Edward A. Roback, cũng như những cá nhân ã óng góp cho phiên bản ban ầu của ấn phẩm này. Table of Contents 1.
Giới thiệu .................................................................................................................................. 8 1.1.
Mục ích ................................................................................................................. 8 1.2.
Độc giả Mục tiêu ............................................................................................... 8 1.3.
Tổ chức ................................................................................................................ 9 1.4.
Những Thuật ngữ Quan trọng ............................................................................ 10 1.5.
Nền tảng Pháp lý ối với các Chương trình Bảo mật Thông tin Liên bang ............... 11 1.6.
Các Ấn phẩm NIST Liên quan .............................................................................. 12 2.
Các Thành phần của Bảo mật Thông tin .......................................................................... 14 2.1.
Bảo mật thông tin hỗ trợ cho sứ mệnh của tổ chức ..................................... 15 2.2.
Bảo mật thông tin là một thành phần không thể thiếu của quản lý hiệu quả ............ 15 2.3.
Các biện pháp bảo vệ bảo mật thông tin ược triển khai tương xứng với rủi ro .... 16 2.4.
Những vai trò và trách nhiệm bảo mật thông tin ược xác ịnh rõ ràng ................... 17 2.5.
Trách nhiệm bảo mật thông tin ối với chủ sở hữu hệ thống vượt ra khỏi tổ
chức của riêng họ ................................................................................... 17 2.6.
Bảo mật thông tin yêu cầu một phương pháp tiếp cận toàn diện và ược
tích hợp…………………………………………………………………………..18 2.6.1.
Sự phụ thuộc lẫn nhau của các biện pháp kiểm soát bảo mật
.................................. 18 2.6.2.
Những phụ thuộc khác ........................................................................ 18 2.7.
Bảo mật thông tin ược ánh giá và giám sát thường xuyên
....................................... 19 2.8.
Bảo mật thông tin bị ràng buộc bởi các yếu tố xã hội và văn hóa
............................... 20 3.
Những Vai trò và Trách nhiệm .................................................................................. 21 3.1.
Chức năng Điều hành Rủi ro (Quản lý Cấp cao) (Risk Executive Function - Senior
Management) ......................................................................................................................... 22 3.2.
Giám ốc Điều hành (Chief Executive Officer - CEO) ..................................... 22 3.3.
Giám ốc Thông tin (Chief Information Officer - CIO) ..................................... 23 3.4.
Chủ sở hữu/Người quản lý Thông tin (Information Owner/Steward) .......................... 23 3.5.
Viên chức Bảo mật Thông tin Cấp cao của Cơ quan (Senior Agency Information
Security Officer - SAISO) ..................................................................................................... 23 3.6.
Viên chức Cấp phép (Authorizing Official - AO) ............................................. 24 3.7.
Đại diện ược Chỉ ịnh của Viên chức Cấp phép (Authorizing Official Designated
Representative)................................................................................................. 24 3.8.
Viên chức Cấp cao về Quyền riêng tư của Cơ quan (Senior Agency Official for
Privacy - SAOP) ................................................................................................................ 25 3.9.
Nhà cung cấp Biện pháp kiểm soát Chung (Common Control Provider) ................... 25 3.10.
Chủ sở hữu Hệ thống (System Owner)
............................................................................ 25 3.11.
Nhân viên Bảo mật Hệ thống (System Security Officer -
SSO).................................. 26 3.12.
Kiến trúc sư Bảo mật Thông tin (Information Security Architect)
............................ 26 3.13.
Kỹ sư Bảo mật Thông tin (Information Security Engineer - SSE)
............................. 26 3.14.
Người ánh giá Kiểm soát Bảo mật (Security Control Assessor)
............................ 27 3.15.
Quản trị viên Hệ thống (System Administrator) .............................................. 27 3.16.
Người dùng (User) .................................................................................................. 27 3.17.
Các Vai trò Hỗ trợ ................................................................................................. 28 4.
Các Mối e dọa và Lỗ hổng: Tổng quan Tóm tắt ............................................................. 29 4.1.
Các Ví dụ về các Nguồn và Sự kiện Đe dọa Thù ịch ................................. 30 4.1.1.
Gian lận và Trộm cắp ........................................................................... 31 4.1.2.
Mối e dọa Nội bộ ........................................................................................ 32 4.1.3.
Tin tặc Độc hại ........................................................................................ 32 4.1.4.
Mã Độc hại .................................................................................................. 34 4.2.
Các Ví dụ về các Nguồn và Sự kiện Đe dọa Không-Thù-ịch
........................................ 35 4.2.1.
Các Lỗi và Sai sót ...................................................................................... 35 4.2.2.
Mất i sự Hỗ trợ về Vật chất và Cơ sở hạ tầng
........................................... 36 4.2.3.
Tác ộng ến Quyền riêng tư Cá nhân của Chia sẻ Thông
tin.................................. 36 5.
Chính sách Bảo mật Thông tin
................................................................................................... 37 5.1.
Các Tiêu chuẩn, Hướng dẫn và Thủ tục ........................................................... 37 5.2.
Chính sách Chương trình ................................................................................... 38 5.2.1.
Những Thành phần Cơ bản của Chính sách Chương trình
....................................... 39 5.3.
Chính sách Cụ-thể-theo-Vấn-ề
............................................................................................. 40 5.3.1.
Các Chủ ề Ví dụ cho Chính sách Cụ-thể-với-Vấn-ề
................................................. 40 5.3.2.
Các Thành phần Cơ bản của Chính sách Cụ-thể-theo-Vấn-ề
.................................. 41 5.4.
Chính sách Cụ-thể-Theo-Hệ-thống
........................................................................................ 43 5.4.1.
Các Mục tiêu Bảo mật
........................................................................................................... 43 5.4.2.
Các Quy tắc Bảo mật Vận hành
.......................................................................................... 43 5.4.3.
Triển khai Chính sách Cụ-thể-theo-Hệ-thống
................................................................. 44 5.5.
Những Phụ thuộc lẫn nhau
..................................................................................................... 45 5.6.
Những Cân nhắc về Chi phí
.................................................................................................... 46 6.
Quản lý Rủi ro Bảo mật Thông tin
............................................................................................. 46 6.1. Phân loại
....................................................................................................................................... 48 6.2. Lựa chọn
...................................................................................................................................... 49 6.3. Triển khai
...................................................................................................................................... 49 6.4. Đánh giá
........................................................................................................................................ 49 6.5. Cấp phép
...................................................................................................................................... 49 6.6. Giám sát
........................................................................................................................................ 50 7. Đảm bảo
............................................................................................................................................ 50 7.1. Cấp phép
...................................................................................................................................... 50 7.1.1.
Cấp phép và Đảm bảo
........................................................................................................... 51 7.1.2.
Cấp phép Sản phẩm ể Vận hành trong Tình huống Tương tự
................................ 52 7.2.
Kỹ thuật Bảo mật
........................................................................................................................ 52 7.2.1.
Hoạch ịnh và Đảm bảo
....................................................................................................... 52 7.2.2.
Thiết kế và Triển khai Biện pháp Bảo ảm
...................................................................... 52 7.3.
Đảm bảo Vận hành
..................................................................................................................... 55 7.3.1.
Đánh giá Biện pháp kiểm soát Bảo mật và Quyền riêng tư
........................................ 55 7.3.2.
Các Phương pháp và Công cụ Kiểm toán
....................................................................... 56 7.3.3.
Các Phương pháp và Công cụ Giám sát
......................................................................... 58 7.4.
Những phụ thuộc lẫn nhau
...................................................................................................... 61 7.5.
Những Cân nhắc về Chi phí
.................................................................................................... 61 8.
Những Cân nhắc Bảo mật trong Hỗ trợ và Vận hành Hệ thống ........................................ 61 8.1.
Hỗ trợ Người dùng
.................................................................................................................... 62 8.2.
Hỗ trợ Phần mềm
....................................................................................................................... 63 8.3. Quản lý Cấu hình
........................................................................................................................ 64 8.4. Sao lưu
.......................................................................................................................................... 64 8.5.
Các Biện pháp kiểm soát Phương tiện lưu trữ
.................................................................. 64 8.6. Tài liệu
........................................................................................................................................... 65 8.7. Bảo trì
........................................................................................................................................... . 66 8.8. Phụ thuộc lẫn
nhau.................................................................................................................... 66 8.9.
Những Cân nhắc về Chi phí
.................................................................................................... 67 9. Mật mã
............................................................................................................................................... 68 9.1. Sử dụng Mật mã
......................................................................................................................... 68 9.1.1. Mã hóa Dữ liệu
........................................................................................................................ 69 9.1.2. Tính Toàn vẹn
......................................................................................................................... 69 9.1.3. Chữ ký Điện tử
........................................................................................................................ 70 9.1.4.
Xác thực Người dùng
........................................................................................................... 71 9.2.
Các Vấn ề Triển khai
............................................................................................................... 71 9.2.1.
Lựa chọn các Tiêu chuẩn Thiết kế và Triển khai
........................................................... 72 9.2.2.
Quyết ịnh giữa Triển khai Phần mềm, Phần cứng hoặc Firmware ........................ 72 9.2.3. Quản lý Khóa
........................................................................................................................... 73 9.2.4.
Tính bảo mật của các Mô-un Mật mã
.............................................................................. 73 9.2.5.
Áp dụng Mật mã cho mạng
.................................................................................................. 74 9.2.6.
Tuân thủ các Quy tắc Xuất khẩu
........................................................................................ 75 9.3. Những Phụ thuộc
....................................................................................................................... 75 9.4.
Những Cân nhắc về Chi phí
.................................................................................................... 76 9.4.1. Chi phí Trực tiếp
..................................................................................................................... 76 9.4.2. Chi phí Gián tiếp
..................................................................................................................... 76 10.
Các Họ Biện pháp Kiểm soát .................................................................................................. 77 10.1.
Kiểm soát Truy cập (AC)
...................................................................................................... 77 10.2.
Đào tạo và Nâng cao nhận thức (AT)
................................................................................ 78 10.3.
Kiểm toán và Trách nhiệm giải trình (AU)
....................................................................... 79 10.4.
Đánh giá, Cấp phép và Giám sát (CA)
.............................................................................. 79 10.5.
Quản lý Cấu hình (CM)
.......................................................................................................... 80 10.6.
Hoạch ịnh Dự phòng (CP)
................................................................................................. 81 10.7.
Nhận dạng và Xác thực (IA)
................................................................................................ 82 10.8.
Tham gia Cá nhân (IP)
........................................................................................................... 83 10.9.
Ứng phó Sự cố (IR)
................................................................................................................ 84 10.10. Bảo trì (MA)
.............................................................................................................................. 85
10.11. Bảo vệ Phương tiện (MP)
..................................................................................................... 86
10.12. Cấp phép Quyền riêng tư (PA)
........................................................................................... 86
10.13. Bảo vệ Môi trường và Bảo vệ Vật lý (PE)
........................................................................ 87
10.14. Hoạch ịnh (PL)
...................................................................................................................... 88
10.15. Quản lý Chương trình (PM)
................................................................................................. 88
10.16. Bảo mật Nhân sự (PS)
.......................................................................................................... 89
10.17. Đánh giá Rủi ro
(RA).............................................................................................................. 90
10.18. Mua lại Hệ thống và Dịch vụ (SA)
...................................................................................... 91
10.19. Bảo vệ Hệ thống và Giao tiếp (SC)
.................................................................................... 91
10.20. Tính toàn vẹn của Hệ thống và Thông tin (SI)
................................................................ 92 Phụ lục A – Tham khảo
......................................................................................................................... 93
Phụ lục B – Bảng Chú giải thuật ngữ ............................................................................................. 100
Phụ lục C – Từ viết tắt ........................................................................................................................ 117 1. Giới thiệu 1.1. Mục ích
Ấn phẩm này óng vai trò như một iểm-khởi-ầu cho những người mới ối với bảo mật thông tin cũng
như cho những ai không quen thuộc với các ấn phẩm và hướng dẫn của NIST về bảo mật thông
tin. Mục ích của ấn phẩm này là nhằm cung cấp một cái nhìn tổng quan cấp-cao về các nguyên
tắc bảo mật thông tin bằng cách giới thiệu những khái niệm có liên quan và các họ biện pháp
kiểm soát bảo mật thông tin (như ược ịnh nghĩa trong NIST SP 800-53, Các Biện pháp Kiểm soát
Bảo mật và Quyền riêng tư ối với các
Hệ thống và Tổ chức Thông tin Liên bang - Security and Privacy Controls for Federal Information
Systems and Organizations) mà các tổ chức có thể tận dụng ể bảo vệ các hệ thống1 và thông tin
của mình một cách hiệu quả. Để hiểu tốt hơn về ý nghĩa và mục ích của các họ biện pháp kiểm
soát bảo mật ược mô tả sau này, ấn phẩm này bắt ầu bằng việc giúp người ọc làm quen với các
nguyên tắc bảo mật thông tin khác nhau.
Sau phần giới thiệu về các nguyên tắc bảo mật này, ấn phẩm sẽ cung cấp các mô tả chi tiết về
nhiều họ biện pháp kiểm soát bảo mật cũng như những lợi ích của từng họ biện pháp kiểm soát.
Vấn ề không phải là áp ặt các yêu cầu lên tổ chức mà là khám phá những kỹ thuật ang sẵn có ể
áp dụng một họ biện pháp kiểm soát cụ thể cho hệ thống của một tổ chức và giải thích ược
(những) lợi ích của việc sử dụng các biện pháp kiểm soát ã chọn.
Vì ấn phẩm này chỉ cung cấp phần giới thiệu về bảo mật thông tin, các bước chi tiết chẳng hạn
như cách các biện pháp kiểm soát bảo mật ược triển khai như thế nào hoặc làm thế nào ể kiểm
tra tính hiệu quả của các biện pháp kiểm soát bảo mật sẽ không ược ề cập ến. Thay vào ó, các
ấn phẩm ộc lập khác ể có thể cung cấp thêm thông tin chi tiết về chủ ể cụ thể sẽ ược ghi chú là một iểm tham chiếu.
1.2. Độc giả Mục tiêu
Đối tượng ộc giả mục tiêu của ấn phẩm này là những người mới ối với các nguyên tắc bảo mật
thông tin và những nguyên lý cần thiết ể bảo vệ thông tin và các hệ thống theo cách tương xứng
với rủi ro. Ấn phẩm này cung cấp một nền tảng cơ bản bao gồm các khái niệm và ý tưởng cho
bất kỳ nhân viên nào ược giao nhiệm vụ hoặc quan tâm ến việc tìm hiểu cách thức ể bảo vệ các hệ thống.
1 Hệ thống ược ịnh nghĩa trong SP 800-53 là bất kỳ tổ hợp nào ược tổ chức bao gồm các nguồn tài nguyên và thủ tục ược thống
nhất và iều chỉnh bởi sự tương tác hoặc phụ thuộc lẫn nhau ể hoàn thành một tập hợp các chức năng cụ thể.
Vì lý do này, ấn phẩm này là một nguồn rất tốt cho bất kỳ ai ang tìm kiếm một hiểu biết tốt hơn về
các yếu tố cơ bản trong bảo mật thông tin hoặc một quan iểm cao-cấp về chủ ề này. Những mách
nước và kỹ thuật ược mô tả trong ấn phẩm này có thể ược áp dụng cho bất kỳ kiểu thông tin hoặc
hệ thống nào trong bất kỳ loại hình tổ chức nào. Mặc dù có thể có những khác biệt trong cách mà
các tổ chức, học viện và khu vực tư nhân xử lý, lưu trữ và truyền bá thông tin trong các hệ thống
tương ứng của họ, những nguyên tắc cơ bản về bảo mật thông tin vẫn có thể áp dụng ược cho tất cả. 1.3. Tổ chức
Ấn phẩm này ược tổ chức như sau:
• Chương 1 mô tả về mục ích, ối tượng ộc giả, những thuật ngữ quan trọng, nền tảng pháp lý ối
với bảo mật thông tin, và một danh sách các ấn phẩm NIST có liên-quanến-bảo-mật thông tin
và quản lý rủi ro thông tin.
• Chương 2 liệt kê 8 thành phần quan trọng liên-quan-ến-bảo-mật thông tin.
• Chương 3 phác thảo một số vai trò, vai trò hỗ trợ, và trách nhiệm tương ứng ược quy cho
những vai trò này trong việc mang lại tính bảo mật thông tin cho tổ chức.
• Chương 4 giới thiệu thiệu những mối e dọa và lỗ hổng, phân biệt những iểm khác nhau giữa
chúng, và ưa ra các ví dụ về các nguồn và sự kiện e dọa khác nhau.
• Chương 5 thảo luận về chính sách bảo mật thông tin và những iểm khác biệt giữa Chính sách
Chương trình, Chính sách Ban-hành-Cụ-thể, và Chính sách Cụ-thể-theo- Hệ-thống.
• Chương 6 xem xét cách thức ể quản lý rủi ro và những mô tả tóm tắt về 6 bước của Khuôn
khổ Quản lý Rủi ro NIST (RMF).
• Chương 7 tập trung vào bảo ảm thông tin và những biện pháp có thể ược thực hiện ể bảo vệ thông tin và hệ thống.
• Chương 8 giới thiệu về hỗ trợ và vận hành hệ thống, vốn là chức năng chức năng chung ể vận hành một hệ thống.
• Chương 9 cung cấp một cái nhìn tổng quan ngắn gọn về mật mã cũng như một số ấn phẩm
trong loạt ấn phẩm NIST 800 chứa những thông tin bổ sung và chi tiết hơn về các công nghệ mật mã cụ thể.
• Chương 10 giới thiệu 20 họ biện pháp kiểm soát quyền riêng tư và bảo mật thông tin.
• Phụ lục A cung cấp một danh sách các Tài liệu tham khảo.
• Phụ lục B cung cấp Bảng chú giải các thuật ngữ ược sử dụng xuyên suốt tài liệu.
• Phụ lục C cung cấp một danh sách bao gồm các Từ viết tắt ược sử dụng xuyên suốt tài liệu.
1.4. Những Thuật ngữ Quan trọng
Thuật ngữ Hệ thống Thông tin ược ịnh nghĩa theo 44 U.S.C Sec. 3502 là “một tập hợp tùy ý bao
gồm các tài nguyên thông tin ược tổ chức ể thu thập, xử lý, duy trì, sử dụng, chia sẻ, truyền bá
hoặc loại bỏ thông tin”.
Đối với ấn phẩm này, thuật ngữ hệ thống ược sử dụng ể thay thế cho thuật ngữ hệ thống thông
tin ể phản ảnh khả năng áp dụng rộng rãi hơn của những nguồn tài nguyên thông tin ở bất kỳ quy
mô hay ộ phức tạp nào, ược tổ chức một cách rõ ràng ể thu thập, xử lý, sử dụng, chia sẻ, truyền
bá, duy trì hoặc hủy bỏ dữ liệu hoặc thông tin. Một số thuật ngữ quan trọng khác cần phải làm quen bao gồm2:
• Thông tin – (1) Các sự kiện hoặc ý tưởng, vốn có thể ược trình bày (mã hóa) dưới nhiều dạng
dữ liệu khác nhau, (2) Kiến thức (ví dụ, dữ liệu, hướng dẫn) trong bất kỳ phương tiện hoặc
hình thức nào có thể ược truyền ạt giữa các thực thể hệ thống.
• Bảo mật Thông tin – Sự bảo vệ thông tin và các hệ thống thông tin khỏi bị truy cập, sử dụng,
công bố, phá hủy, sửa ổi, hoặc hủy bỏ trái phép ể ảm bảo tính bí mật, toàn vẹn và sẵn sàng.
• Tính Bí mật – Việc duy trì các hạn chế ược phép ối với việc truy cập và tiết lộ thông tin, bao
gồm các phương tiện ể bảo vệ quyền riêng tư cá nhân và thông tin ộc quyền. • Tính Toàn vẹn
– Việc bảo vệ chống lại sự sửa ổi hoặc phá hủy thông tin không thích hợp và ảm bảo tính xác
thực và không-khước-từ của thông tin.
o Tính Toàn vẹn Dữ liệu – Thuộc tính rằng dữ liệu ã không bị sửa ổi theo cách trái phép.
Tính toàn vẹn dữ liệu bao gồm lưu trữ, trong quá trình xử lý, và khi ang truyền tải.
o Tính Toàn vẹn Hệ thống – Chất lượng mà một hệ thống có khi nó thực hiện chức năng
ã ịnh của nó theo cách không bị sụt giảm, không bị thao túng trái phép, dù là vô tình hay cố ý.
• Tính Sẵn sàng – Việc ảm bảo tính kịp thời và truy cập áng tin cậy vào và sử dụng thông tin.
• Các Biện pháp kiểm soát Bảo mật3 - Các biện pháp kiểm soát quản lý, vận hành và kỹ thuật
(nghĩa là bảo vệ và ối phó) ược thi hành cho một hệ thống ể bảo vệ tính bí mật, sẵn sàng và
toàn vẹn của hệ thống và thông tin của nó.
2 Những thuật ngữ và ịnh nghĩa này ược trích từ CNSSI 4009, Bảng chú giải thuật ngữ của Ủy ban về Hệ thống An ninh Quốc gia
(CNSS), ban hành ngày 6 tháng Tư năm 2015.
3 Trong tài liệu này, thuật ngữ các biện pháp kiểm soát bảo mật, bảo vệ, bảo vệ tính bảo mật, và biện pháp bảo mật
(tương ứng trong tiếng Anh nguyên bản là security controls, safeguards, security protections, security measures) ược sử dụng thay thế cho nhau.
1.5. Nền tảng Pháp lý ối với các Chương trình Bảo mật Thông tin Liên bang
Trong Chính phủ Liên bang, có rất nhiều luật lệ và quy ịnh bắt buộc rằng các tổ chức liên bang
phải bảo vệ các hệ thống của họ, những thông tin ã ược xử lý, lưu trữ, hoặc truyền tải bởi các hệ
thống và những nguồn tài nguyên công nghệ có liên quan (ví dụ, viễn thông). Một mẫu của các
ạo luật và quy ịnh này ược liệt kê dưới ây.
• Đạo luật Bảo mật Máy tính năm 1987 (Computer Security Act of 1987) yêu cầu các cơ quan
xác ịnh những hệ thống nhạy cảm, tiến hành ào tạo về bảo mật máy tính và phát triển các kế
hoạch bảo mật máy tính. Đạo luật Bảo mật Máy tính năm 1987 ã ược thay thế bởi Đạo luật
Quản lý An ninh Thông tin Liên bang năm 2002 (Federal Information Secrrity Management Act
- FISMA), ược mô tả dưới ây. • Quy
ịnh Quản lý Tài nguyên Thông tin Liên bang (Federal Information Resource
Management Regulation – FIRMR) là quy ịnh chính về việc sử dụng, quản lý và mua lại các
nguồn tài nguyên máy tính trong Chính phủ liên bang. Luật này ã bị bãi bỏ theo Đạo luật Cải
cách Quản lý Công nghệ Thông tin năm 1996 (Information Technology Management Reform
Act of 1996 - ITMRA), ược ổi tên thành Đạo luật Clinger-Cohen.
• Đạo luật Chính-phủ-Điện-tử năm 2002 (E-Government Act of 2002) nhằm tăng cường quản lý
và thúc ẩy các dịch vụ và quy trình của chính phủ iện tử bằng cách thành lập Giám ốc Thông
tin (CIO) Liên bang trong Văn phòng Quản lý và Ngân sách (Office of Management and Budget
- OMB), và bằng cách thiết lập một khuôn khổ rộng rãi về các biện pháp yêu cầu sử dụng công
nghệ thông tin dựa-trên-Internet ể nâng cao khả năng tiếp cận của người dân với thông tin,
dịch vụ của chính phủ và cải tiến cách thức hoạt ộng của chính phủ.
• Đạo luật Quản lý Bảo mật Thông tin Liên bang (Federal Information Security Management Act
– FISMA) ược ban hành như một phần của Đạo luật Chính phủ Điện tử năm 2002 nhằm giải
quyết các nhu cầu bảo mật thông tin cụ thể, vốn bao gồm nhưng không giới hạn ở việc cung
cấp: một khuôn khổ toàn diện ể ảm bảo tính hiệu quả của các biện pháp kiểm soát bảo mật
thông tin về các nguồn thông tin hỗ trợ các hoạt ộng và tài sản của liên bang; ồng thời phát
triển và duy trì các biện pháp kiểm soát tối thiểu cần thiết ể bảo vệ thông tin và các hệ thống
liên bang (như ã ược viết trong SEC. 301 của Luật Công 107-347).
• Đạo luật Hiện ại hóa Bảo mật Thông tin Liên bang năm 2014 (Federal Information
Security Modernization Act of 2014) là một bản sửa ổi của FISMA ưa ra một số sửa ổi nhằm
hiện ại hóa các hoạt ộng an ninh liên bang cũng như thúc ẩy và tăng cường việc sử dụng giám sát liên tục.
• Thông tri OMB A-130 (OMB Circular A-130), Quản lý Tài nguyên Thông tin Liên bang
(Management of Federal Information Resources) yêu cầu các cơ quan liên bang thiết lập các
chương trình bảo mật và quyền riêng tư thông tin có chứa các yếu tố cụ thể.
• Bản ghi nhớ OMB nếu có.
Đây không phải là một danh sách toàn diện bao gồm các luật lệ và quy ịnh có liên quan ến các hệ
thống liên bang. Có nhiều yêu cầu cụ thể hơn ược áp ặt cho các cơ quan liên bang, tùy thuộc vào
loại thông tin họ ang lưu trữ, xử lý và công bố. Ngoài ra, một số các luật hiện hành ảnh hưởng ến
các tổ chức phi-chính-phủ không ược ưa vào danh sách này. Ví dụ về các luật này bao gồm: Đạo
luật về Trách nhiệm giải trình và Cung cấp thông tin Bảo hiểm Y tế (HIPAA), yêu cầu bảo vệ quyền
riêng tư và bảo mật thông tin về sức khỏe y tế; và Đạo luật Sarbanes-Oxley (SOX), yêu cầu bảo
vệ công chúng khỏi những sai sót kế toán và các hành vi gian lận trong các hệ thống tài chính.
Các nhà quản lý liên bang chịu trách nhiệm cho việc tìm hiểu và tuân thủ các yêu cầu pháp lý hiện
hành. Tuy nhiên, luật pháp và quy ịnh thường không cung cấp các hướng dẫn chi tiết ể bảo vệ
thông tin. Thay vào ó, chúng chỉ ịnh các yêu cầu rộng rãi và linh hoạt chẳng hạn như hạn chế tính
sẵn có của dữ liệu cá nhân ối với người dùng ược ủy quyền. Ấn phẩm này cung cấp hướng dẫn
về việc phát triển một phương pháp bảo mật thông tin tổng thể và hiệu quả nhằm áp ứng các luật
hoặc chính sách hiện hành.
1.6. Các Ấn phẩm NIST Liên quan
Khi nói ến bảo mật thông tin và quản lý rủi ro, có một bộ Tiêu chuẩn Xử lý Thông tin Liên bang
(Federal Information Processing Standard - FIPS) và Ấn phẩm Đặc biệt (Special Publications -
SP) của NIST ược áp dụng. Chúng bao gồm:
• FIPS 199 – Tiêu chuẩn Phân loại Bảo mật dành cho Thông tin và Hệ thống Thông tin
Liên bang (Standards for Security Categorization of Federal Information and Information
Systems), liệt kê các tiêu chuẩn dành cho phân loại thông tin và hệ thống, từ ó cung cấp một
khuôn khổ và hiểu biết chung về cách thể hiện bảo mật theo cách thúc ẩy quá trình quản lý
hiệu quả và báo cáo nhất quán.
• FIPS 200 – Yêu cầu Bảo mật Tối thiểu ối với Thông tin và Hệ thống Thông tin Liên bang
(Minimum Security Requirements for Federal Information and Information Systems), chỉ ịnh các
yêu cầu bảo mật tối thiểu ối với thông tin và hệ thống hỗ trợ cho các cơ quan iều hành của
Chính phủ Liên bang cũng như một quy trình dựa-trênrủi-ro ể lựa chọn các biện pháp bảo mật
cần thiết ể áp ứng các yêu cầu bảo mật tối thiểu.
• SP 800-18 – Hướng dẫn Phát triển các Kế hoạch Bảo mật dành cho các Hệ thống
(Guide for Developing Security Plans for Systems), mô tả các thủ tục ể phát triển một
kế hoạch bảo mật hệ thống, cung cấp một cái nhìn tổng quan về các yêu cầu bảo mật của các
hệ thống, và mô tả các biện pháp kiểm soát ang sử dụng hoặc ã ược lên kế hoạch ể áp ứng các yêu cầu này.
• SP 800-30 – Hướng dẫn Tiến hành Đánh giá Rủi ro (Guide for Conducting Risk Assessments),
cung cấp hướng dẫn ể tiến hành ánh giá rủi ro của các hệ thống và tổ chức liên bang.
• SP 800-34 – Hướng dẫn Lập kế hoạch Dự phòng cho các Hệ thống Thông tin Liên bang
(Contingency Planning Guide for Federal Information Systems), hỗ trợ các tổ chức trong việc
tìm hiểu mục ích, tiến trình, và ịnh dạng của việc phá triển các kế hoạch dự phòng cho hệ
thống thông tin (Information System Contingency Plans – ISCPs) bằng các hướng dẫn thực tiễn và thực tế.
• SP 800-37 – Hướng dẫn Áp dụng Khuôn khổ Quản lý Rủi ro cho các Hệ thống (Guide for
Applying the Risk Management Framework to Systems): Phư ng pháp tiếp cận Vòng ời Bảo
mật, cung cấp các hướng dẫn ể áp dụng Khuôn khổ Quản lý Rủi ro cho các hệ thống liên bang,
bao gồm việc tiến hành các hoạt ộng phân loại bảo mật, lựa chọn và triển khai biện pháp kiểm
soát bảo mật, ánh giá biện pháp kiểm soát bảo mật, cấp phép hệ thống và giám sát kiểm soát bảo mật.
• SP 800-39 – Quản lý Rủi ro Bảo mật Thông tin: Tổ chức, Sứ mệnh và Góc nhìn Hệ thống
Thông tin (Managing Information Security Risk: Organization, Mission, and Information System
View), cung cấp các hướng dẫn ể thiết lập một chương trình ược tích hợp trên quy-mô-toàn-
tổ-chức ể quản lý rủi ro bảo mật thông tin ối với các hoạt ộng của tổ chức (ví dụ: sứ mệnh,
chức năng, hình ảnh và danh tiếng ), tài sản, cá nhân, các tổ chức khác, và Quốc gia từ việc
vận hành và sử dụng các hệ thống liên bang.
• SP 800-53 – Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư dành cho Hệ thống và Tổ
chức (Security and Privacy Controls for Systems and Organizations), cung cấp hướng dẫn cho
việc lựa chọn và chỉ ịnh các biện pháp kiểm soát bảo mật cho các tổ chức và hệ thống hỗ trợ
các cơ quan iều hành của Chính phủ Liên bang nhằm áp ứng các yêu cầu của FIPS Publication 200.
• SP 800-53A – Đánh giá các Biện pháp kiểm soát Bảo mật và Quyền riêng tư trong các Hệ
thống và Tổ chức: Xây dựng các Kế hoạch Đánh giá Bảo mật Hiệu quả (Assessing
Security and Privacy Controls in Systems and Organizations: Building Effective Assessment
Plans): cung cấp (i) hướng dẫn cho việc xây dựng các kế hoạch ánh giá bảo mật hiệu quả, (i)
hướng dẫn xây dựng kế hoạch ánh giá bảo mật và kế hoạch ánh giá quyền riêng tư hiệu quả;
và (i ) một bộ các thủ tục toàn diện ể ánh giá tính hiệu quả của các biện pháp kiểm soát bảo
mật và kiểm soát quyền riêng tư ược sử dụng trong các hệ thống và tổ chức hỗ trợ các cơ
quan iều hành của Chính phủ Liên bang.
• SP 800-60 – Hướng dẫn Ánh xạ các Loại Thông tin và Hệ thống Thông tin với các Thể loại Bảo
mật (Guide for Mapping Types of Information and Information Systems to Security Categories),
hỗ trợ các cơ quan lập bản ồ một cách nhất quán mức ộ tác ộng ến bảo mật ối với các loại: (i)
thông tin (ví dụ: quyền riêng tư, y tế, ộc quyền, tài chính, nhạy cảm với nhà thầu, bí mật thương
mại , iều tra); và (i ) các hệ thống (ví
dụ: tối quan trọng với sứ mệnh, hỗ trợ sứ mệnh, hành chính).
• SP 800-128 – Hướng dẫn Quản lý Cấu hình Tập-trung-vào-Bảo-mật của Hệ thống
Thông tin (Guide for Security-Focused Configuration Management of Information Systems),
cung cấp hướng dẫn cho các tổ chức chịu trách nhiệm quản lý và quản trị bảo mật của các hệ
thống liên bang và môi trường hoạt ộng có liên quan.
• SP 800-137 – Giám sát Liên tục Bảo mật Thông tin (ISCM) ối với các Tổ chức và Hệ thống
Thông tin Liên bang (Information Security Continuous Monitoring (ISCM) for Federal
Information Systems and Organizations), hỗ trợ các tổ chức trong việc phát triển một chiến
lược ISCM và triển khai chương trình ISCM, cung cấp nhận thức về các mối e dọa và lỗ hổng,
tính tường minh của tài sản của tổ chức, và tính hiệu quả của các biện pháp kiểm soát bảo mật ã ược triển khai. 2.
Các Thành phần của Bảo mật Thông tin
Ấn phẩm này ề cập ến tám thành phần then chốt liên-quan-ến-bảo-mật thông tin ể giúp người ọc
hiểu rõ hơn về cách các yêu cầu và biện pháp kiểm soát bảo mật ược thảo luận trong Chương
10 hỗ trợ cho các hoạt ộng chung của tổ chức như thế nào. Tám khái niệm này bao gồm:
1. Bảo mật thông tin hỗ trợ cho sứ mệnh của tổ chức.
2. Bảo mật thông tin là một yếu tố không thể thiếu trong quản lý hợp lý.4 3. Các biện pháp
bảo vệ bảo mật thông tin ược thực hiện tương xứng với rủi ro.
4. Vai trò và trách nhiệm bảo mật thông tin ược quy ịnh rõ ràng.
5. Trách nhiệm bảo mật thông tin của chủ sở hữu hệ thống vượt ra ngoài phạm vi tổ chức của họ.
6. Bảo mật thông tin òi hỏi một cách tiếp cận toàn diện và ược tích hợp.
7. Bảo mật thông tin ược ánh giá và giám sát một cách thường xuyên.
4 Trong bối cảnh của ấn phẩm này, quản lý hợp lý ề cập ến sự cẩn trọng trong việc thực hiện tất cả các bước thực tế ể ảm bảo rằng
các quyết ịnh quản lý bảo mật thông tin ược ưa ra theo cách không chỉ bảo vệ thông tin ược lưu trữ, xử lý và truyền tải bởi một tổ
chức mà còn các hệ thống thuộc phạm vi quản lý của tổ chức.
8. Bảo mật thông tin bị ràng buộc bởi các yếu tố xã hội và văn hóa.
2.1. Bảo mật thông tin hỗ trợ cho sứ mệnh của tổ chức
Trong Chương 1, bảo mật thông tin ược ịnh nghĩa là việc bảo vệ thông tin và hệ thống khỏi bị truy
cập, sử dụng, tiết lộ, gián oạn, sửa ổi/ iều chỉnh hoặc phá hủy trái phép nhằm ảm bảo tính bảo
mật, tính toàn vẹn và tính sẵn sàng. Việc triển khai cẩn thận các biện pháp kiểm soát bảo mật
thông tin là iều tối quan trọng ể bảo vệ tài sản thông tin cũng như danh tiếng, vị thế pháp lý, nhân
sự và các tài sản hữu hình hoặc vô hình khác của tổ chức.
Việc tổ chức không có khả năng lựa chọn và thực hiện các quy tắc và thủ tục bảo mật thích hợp
có khả năng gây ra tác ộng tiêu cực ến sứ mệnh của tổ chức. Tuy nhiên, các quy tắc và thủ tục
bảo mật ược lựa-chọn-kỹ-càng ược áp dụng ể bảo vệ các tài sản quan trọng sẽ hỗ trợ cho sứ
mệnh tổng thể của tổ chức. Trong môi trường có mã ộc ngày nay, các vi phạm hệ thống và các
mối e dọa nội bộ, các vấn ề bảo mật ược công bố có thể gây ra những hậu quả nghiêm trọng, ặc
biệt là ối với lợi nhuận và danh tiếng của tổ chức. Các tổ chức khu-vực-tư-nhân và khu-vực-công
cải thiện cả lợi nhuận và dịch vụ cho khách hàng khi có các biện pháp bảo vệ bảo mật thích hợp.
Do ó, bảo mật thông tin là một phương tiện ể ạt ược mục ích chứ không phải là bản thân mục ích.
Điều quan trọng là phải hiểu ược sứ mệnh của tổ chức và cách mỗi hệ thống hỗ trợ sứ mệnh ó
như thế nào. Sau khi xác ịnh ược vai trò của hệ thống, các yêu cầu bảo mật tiềm ẩn trong vai trò
ó cũng có thể ược xác ịnh. Bảo mật sau ó có thể ược tuyên bố một cách rõ ràng về mặt sứ mệnh của tổ chức.
Vai trò và chức năng của một hệ thống có thể không chỉ bị ràng buộc trong một tổ chức duy nhất.
Trong một hệ thống liên-tổ-chức, mỗi tổ chức ều ược hưởng lợi từ việc bảo mật hệ thống. Ví dụ:
ể thương mại iện tử thành công, mỗi người tham gia ều yêu cầu kiểm soát bảo mật ể bảo vệ tài
nguyên của họ. Bảo mật tốt trên hệ thống của người mua cũng mang lại lợi ích cho người bán,
hệ thống của người mua ít có khả năng bị sử dụng ể lừa ảo, trở nên không khả dụng hoặc gây
ảnh hưởng tiêu cực ến người bán. (Điều ngược lại cũng úng).
2.2. Bảo mật thông tin là một thành phần không thể thiếu của quản lý hiệu quả
Nhân viên quản lý chịu trách nhiệm sau cùng trong việc xác ịnh mức ộ rủi ro có thể chấp nhận
ược ối với một hệ thống cụ thể và toàn bộ tổ chức, có tính ến chi phí của các biện pháp kiểm soát
bảo mật. Vì rủi ro bảo mật thông tin không thể ược loại bỏ hoàn toàn nên mục tiêu là tìm ra sự
cân bằng tối ưu giữa việc bảo vệ thông tin hoặc hệ thống và việc sử dụng các nguồn lực sẵn có.
Điều tối quan trọng là các hệ thống và quy trình liên quan phải có khả năng bảo vệ ược thông tin,
tài sản tài chính, tài sản vật chất và nhân viên, ồng thời xem xét tính sẵn sàng của nguồn lực.
Khi thông tin và hệ thống của tổ chức ược liên kết với các hệ thống bên ngoài, trách nhiệm của
cấp quản lý sẽ vượt ra ngoài ranh giới của tổ chức. Điều này có thể yêu cầu cấp quản lý (1) biết
ược mức ộ hoặc loại bảo mật chung nào ược sử dụng trên (các) hệ thống bên ngoài và/hoặc (2)
tìm kiếm sự ảm bảo rằng hệ thống bên ngoài cung cấp bảo mật ầy ủ cho thông tin và hệ thống
của tổ chức. Ví dụ: nhà cung cấp dịch vụ ám mây (CSP) và người tham gia chuỗi cung ứng ám
mây có thể ảm nhận vai trò quản lý ể lưu trữ, xử lý và truyền tải thông tin của tổ chức. Tuy nhiên,
iều ó không khiến tổ chức5 thoát khỏi mọi trách nhiệm liên-quan-ến-bảo-mật. Tổ chức có trách
nhiệm ảm bảo rằng CSP và những người tham gia chuỗi cung ứng trên nền tảng ám mây cung
cấp mức ộ bảo mật thích hợp cho thông tin ược lưu trữ, xử lý và truyền i.
2.3. Các biện pháp bảo vệ bảo mật thông tin ược triển khai tương xứng với rủi ro
Rủi ro ối với một hệ thống không bao giờ có thể ược loại bỏ một cách hoàn toàn. Do ó, iều cực
kỳ quan trọng là phải quản lý rủi ro bằng cách ạt ược sự cân bằng giữa khả năng sử dụng và việc
thực hiện các biện pháp bảo vệ bảo mật. Mục tiêu chính của quản lý rủi ro là triển khai thực hiện
các biện pháp bảo vệ bảo mật tương xứng với rủi ro. Việc áp dụng các biện pháp bảo vệ không
cần thiết có thể gây ra lãng phí tài nguyên và khiến hệ thống trở nên khó sử dụng và khó bảo trì
hơn. Ngược lại, việc không áp dụng các biện pháp bảo vệ cần thiết ể bảo vệ hệ thống có thể
khiến hệ thống và thông tin của nó dễ bị tổn thương trước các vi phạm về tính bí mật, tính toàn
vẹn và tính sẵn sàng, tất cả những iều này có thể gây cản trở hoặc thậm chí phá vỡ sứ mệnh của tổ chức.
Các tổ chức liên bang sử dụng những mức ộ tác ộng (cao, trung bình và thấp) ể xác ịnh và phân
loại tác ộng mà việc mất i tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của thông tin và/hoặc hệ
thống có thể gây ra ối với hoạt ộng của tổ chức và cho phép họ xác ịnh các biện pháp bảo vệ
thích hợp. Việc phân loại chính xác thông tin và hệ thống là iều không thể thiếu trong việc xác ịnh
cách bảo vệ thông tin tương xứng với rủi ro. Các thể loại bảo mật truyền tải tác ộng mà việc mất
i tính bí mật, tính toàn vẹn hoặc tính sẵn sàng có thể gây ra ối với sứ mệnh của tổ chức. Để xác
5 Tổ chức là một thực thể có quy mô, mức ộ phức tạp hoặc vị trí bất kỳ trong phạm vi của một cơ cấu tổ chức (ví dụ: cơ quan liên
bang hoặc bất kỳ thành phần vận hành nào của tổ chức ó, nếu phù hợp).
ịnh mức ộ tác ộng của hệ thống, các tổ chức có thể tham khảo thêm hướng dẫn trong FIPS 199,
NIST SP 800-30 và NIST SP 800-60.
Việc xác ịnh chính xác mức ộ tác ộng ến hệ thống sẽ cung cấp những thông tin cần thiết ể lựa
chọn ược bộ các biện pháp kiểm soát bảo mật thích hợp từ NIST SP 80053. Quá trình lựa chọn
bao gồm ánh giá chi phí ể triển khai thực hiện và duy trì các biện pháp kiểm soát bảo mật cũng
như những lợi ích bảo mật dự kiến (tức là giảm thiểu rủi ro) từ việc áp dụng các biện pháp kiểm soát ó.
Lợi ích bảo mật có cả các chi phí trực tiếp và gián tiếp. Chi phí trực tiếp bao gồm mua, cài ặt và
quản lý các biện pháp bảo vệ bảo mật (ví dụ: phần mềm kiểm soát truy cập hoặc các hệ thống
chữa-cháy). Chi phí gián tiếp có thể ảnh hưởng ến cả hệ thống và hiệu suất của hoạt ộng kinh
doanh, tinh thần của nhân viên hoặc các yêu cầu ào tạo lại. Trong một số trường hợp, chi phí gián
tiếp có thể vượt quá chi phí trực tiếp của biện pháp kiểm soát. Cấp quản lý của tổ chức chịu trách
nhiệm cho việc cân nhắc chi phí so với lợi ích của việc triển khai thực hiện biện pháp bảo vệ thích
hợp và ưa ra quyết ịnh dựa-trên-rủi-ro.
2.4. Những vai trò và trách nhiệm bảo mật thông tin ược xác ịnh rõ ràng
Vai trò và trách nhiệm của chủ sở hữu hệ thống, nhà cung cấp biện pháp kiểm soát chung, các
viên chức cấp phép, nhân viên bảo mật hệ thống, người dùng và những người khác ều rõ ràng
và ược ghi lại. Nếu trách nhiệm không ược nêu rõ ràng, các nhà quản lý có thể gặp khó khăn
trong việc buộc nhân viên phải chịu trách nhiệm về những kết quả tác ộng trong tương lai.
Việc ghi nhận lại trách nhiệm bảo mật thông tin không phụ thuộc vào quy mô của tổ chức. Thậm
chí ngay cả những tổ chức nhỏ cũng có thể chuẩn bị một tài liệu nêu rõ chính sách của tổ chức
và xác ịnh trách nhiệm bảo mật thông tin cho một hệ thống hoặc cho toàn bộ tổ chức.
Vai trò và trách nhiệm ược thảo luận một cách ngắn gọn trong Chương 3 của ấn phẩm này. Để
biết thêm thông tin chi tiết cụ thể về những người tham gia bảo mật thông tin chính, hãy tham
khảo Phụ lục D của NIST SP 800-37.
2.5. Trách nhiệm bảo mật thông tin ối với chủ sở hữu hệ thống vượt
ra khỏi tổ chức của riêng họ
Người dùng của một hệ thống không phải lúc nào cũng nằm trong phạm vi ranh giới của hệ thống
mà họ ang sử dụng hoặc có quyền truy cập. Ví dụ: khi có kết nối giữa hai hoặc nhiều hệ thống,
trách nhiệm bảo mật thông tin có thể ược chia sẻ giữa các tổ chức tham gia. Trong trường hợp
ó, chủ sở hữu hệ thống chịu trách nhiệm cho việc chia sẻ các biện pháp bảo mật ược tổ chức sử
dụng ể mang lại niềm tin cho người dùng rằng hệ thống ủ an toàn và có khả năng áp ứng các yêu
cầu bảo mật. Ngoài việc chia sẻ thông tin liên-quan-ến-bảo-mật, nhóm ứng phó sự cố còn có
nhiệm vụ ứng phó với các sự cố bảo mật một cách kịp thời nhằm ngăn ngừa thiệt hại cho tổ chức,
nhân sự và các tổ chức khác.
2.6. Bảo mật thông tin yêu cầu một phương pháp tiếp cận toàn diện và ược tích hợp
Việc cung cấp bảo mật thông tin hiệu quả òi hỏi một cách tiếp cận toàn diện, xem xét nhiều lĩnh
vực khác nhau cả trong và ngoài lĩnh vực bảo mật thông tin. Cách tiếp cận này áp dụng trong
toàn bộ vòng ời của hệ thống.
Ví dụ: phòng-thủ-có-chiều-sâu là một nguyên tắc bảo mật ược sử dụng ể bảo vệ thông tin và hệ
thống của tổ chức khỏi các mối e dọa bằng cách triển khai các biện pháp ối phó bảo mật nhiều-
lớp. Phòng-thủ-có-chiều-sâu sử dụng các biện pháp phòng vệ hành chính (ví dụ: các chính sách,
thủ tục) và công nghệ bảo mật (ví dụ: hệ thống phát hiện xâm nhập, tường lửa, thiết lập cài ặt cấu
hình và phần mềm chống vi-rút) song song với các biện pháp phòng vệ bảo mật vật lý (ví dụ: các
cổng, nhân viên bảo vệ) ể giảm thiểu xác suất tấn công thành công vào hệ thống. Những biện
pháp này không chỉ giúp giảm khả năng một vi phạm bảo mật sẽ gây tổn hại ến quyền truy cập
vào tài sản hệ thống hoặc có tác ộng bất lợi ến tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng mà
còn cung cấp cho tổ chức thông báo gần-như-theo-thời-gian-thực sau khi một cuộc tấn công ược khởi ầu.
2.6.1. Sự phụ thuộc lẫn nhau của các biện pháp kiểm soát bảo mật
Các biện pháp kiểm soát bảo mật hiếm khi ược áp dụng như các giải pháp ộc-lập cho một vấn ề.
Chúng thường hiệu quả hơn khi ược kết hợp với một biện pháp kiểm soát hoặc bộ bao gồm các
biện pháp kiểm soát khác. Các biện pháp kiểm soát bảo mật, khi ược lựa chọn một cách úng ắn,
có thể có tác ộng tổng hợp ến tính bảo mật chung của hệ thống. Mỗi biện pháp kiểm soát bảo mật
trong NIST SP 800-53 có một phần kiểm soát liên quan liệt kê (các) biện pháp kiểm soát bảo mật