Các biện pháp kỹ thuật trong bảo mật thông tin

Thông tin doanh nghiệp là mục tiêu hấp dẫn của các cuộc tấn công

Các nghiên cứu của hiệp hội ngành công nghiệp Đức Bitkom" Bảo vệ doanh nghiệp 2022 " xác nhận rằng tin tặc nhận thức được giá trị kinh tế của thông tin và dữ liệu trong giới kinh doanh ngày nay: 36% số doanh nghiệp được khảo sát đã bị ảnh hưởng bởi các hành vi đánh cắp dữ liệu nhạy cảm và thông tin kỹ thuật số. Các mục tiêu dặc biệt được nhắm đến là dữ liệu liên lạc chiếm 68% và dữ liệu khách hàng chiếm 45%. Thiệt hại do tống tiền, vi phạm bằng sáng chế và mất doanh thu trực tiếp do bị đánh cắp dữ liệu gây ra lên tới vài tỷ euro.

Các doanh nghiệp và tổ chức cần tiếp tục tăng cường bảo mật hơn nữa khi xử lý  các dữ liệu quan trọng của họ. Các hướng dẫn bổ sung sẽ giúp cải thiện việc bảo mật toàn diện và giảm thiểu bề mặt tấn công.

3 biện pháp mới nhằm tăng cường bảo mật thông tin

93 biện pháp trong Phụ lục A của tiêu chuẩn ISO/IEC 27001:2022 đã được hệ thống lại theo 4 chủ đề: 

• Các biện pháp tổ chức
• Các biện pháp cá nhân
• Các biện pháp vật lý
• Các biện pháp kỹ thuật.

Ở chủ đề "Các biện pháp kỹ thuật" thì ba biện pháp mới về bảo mật thông tin chi tiết như sau: 

• 8.10 Xóa bỏ thông tin
• 8.11 Che dấu dữ liệu
• 8.12 Ngăn chặn rò rỉ dữ liệu

Xóa bỏ thông tin

Biện pháp kiểm soát 8.10 giải quyết các rủi ro do thông tin không còn cần thiết nhưng vẫn tồn tại trên hệ thống thông tin, thiết bị hoặc phương tiện lưu trữ khác. Việc xóa bỏ dữ liệu không cần thiết này sẽ ngăn ngừa việc tiết lộ dữ liệu - đảm bảo tuân thủ các yêu cầu pháp lý, luật định, và quy định hợp đồng về xóa bỏ dữ liệu. Khi thực hiện điều này, các doanh nghiệp và tổ chức nên xem xét các điểm sau: 

• Lựa chọn phương pháp xóa dữ liệu phù hợp với môi trường kinh doanh và pháp lý (ví dụ: ghi đè điện tử hoặc xóa bằng mật mã). 
• Lập tài liệu ghi chép về kết quả của quá trình xóa bỏ dữ liệu
• Cung cấp bằng chứng khi sử dụng nhà cung cấp dịch vụ để xóa thông tin

Nếu có bên thứ ba (nhà cung cấp dịch vụ lưu trữ dữ liệu) thay mặt công ty của bạn đảm nhận việc quản lý và lưu trữ dữ liệu, thì các yêu cầu về xóa bỏ dữ liệu cần phải được quy định rõ ràng trong hợp đồng dịch vụ.

Để đảm bảo loại bỏ thông tin nhạy cảm một cách đáng tin cậy - đồng thời đảm bảo sự tuân thủ các chính sách lưu trữ dữ liệu có liên quan và các luật định, quy định hiện hành - tiêu chuẩn mới cung cấp các quy trình, dịch vụ và công nghệ sau:

• Thiết lập các hệ thống chuyên dụng cho phép xóa bỏ thông tin một cách an toàn, ví dụ như, theo các chính sách lưu giữ hoặc theo các yêu cầu của các cá nhân liên quan.
• Xóa bỏ các phiên bản lỗi thời, bản sao hoặc tệp tạm thời trên tất cả các phương tiện lưu trữ;
• Chỉ sử dụng các phần mềm xóa an toàn và được phê duyệt để gỡ bỏ vĩnh viễn các thông tin. 
• Xóa bỏ thông qua các nhà cung cấp dịch vụ xử lý an toàn được phê duyệt và chứng nhận;
• Sử dụng các phương pháp xóa bỏ phù hợp với loại phương tiện lưu trữ cụ thể, như khử từ tính của các ổ đĩa cứng.

Khi sử dụng các dịch vụ đám mây, điều quan trọng là phải kiểm tra tính khả thi của các quy trình xóa dữ liệu được cung cấp. Nếu việc này được chấp thuận, tổ chức nên sử dụng quy trình xóa bỏ hoặc yêu cầu nhà cung cấp đám mây xóa bỏ thông tin. Nếu có thể, các quy trình xóa này nên được tự động hóa như một phần của các hướng dẫn chuyên môn. 

Để ngăn chặn việc vô tình tiết lộ thông tin nhạy cảm, tất cả bộ nhớ thiết bị được trả lại cho các nhà cung cấp phải được xóa dữ liệu trước khi bàn giao. Đối với một số thiết bị (chẳng hạn như điện thoại thông minh), việc xóa dữ liệu chỉ có thể thực hiện được thông qua việc hủy hoặc xóa bỏ các chức năng bên trong (ví dụ: khôi phục cài đặt gốc). Tùy theo mức độ nhạy cảm của thông tin để lựa chọn quy trình phù hợp.

Quá trình xóa bỏ phải được ghi chép lại và đặc biệt là các dữ liệu nhạy cảm, để có thể chứng minh được việc xóa bỏ dữ liệu đã được thực hiện đúng trong trường hợp có nghi ngờ. 

Che giấu dữ liệu

Đối với một loạt thông tin nhạy cảm như xử lý dữ liệu cá nhân, các yêu cầu quy định hoặc yêu cầu cụ thể của doanh nghiệp hoặc quy định ngành trong việc che giấu, giả danh hóa hoặc ẩn danh thông tin. Các biện pháp bảo mật thông tin chéo trong quá trình giả danh hóa được hướng dẫn cụ thể ở mục 8.11. 

Các kỹ thuật giả danh hoặc ẩn danh giúp che giấu dữ liệu cá nhân, làm mờ dữ liệu thật và ẩn đi các liên kết chéo của thông tin. Để thực hiện điều này một cách hiệu quả, điều quan trọng là phải giải quyết triệt để tất cả các yếu tố liên quan của thông tin nhạy cảm. Trong khi ẩn danh, các dữ liệu không thể khôi phục được, nhưng trong trường hợp giả danh hóa, thì vẫn hoàn toàn có thể truy hồi được danh tính thực thông qua thông tin chéo bổ sung. Do đó, thông tin chéo bổ sung cần được giữ riêng biệt và bảo vệ một cách cẩn thận trong quá trình giả danh hóa.

Các kỹ thuật khác để che giấu dữ liệu bao gồm:

• Mã hóa;
• Thay thế các giá trị bằng 0 hoặc xóa ký tự.
• Sử dụng các số và ngày tháng khác. 
• Mã hóa - thay thế bằng một giá trị khác để ẩn dữ liệu nhạy cảm;
• Thay thế các giá trị bằng hàm băm của chúng.

Khi thực hiện các kỹ thuật này, điều quan trọng là phải xem xét một số khía cạnh:

• Người dùng không được phép truy cập vào tất cả dữ liệu mà chỉ có thể xem được các dữ liệu họ thực sự cần.
• Trong một số trường hợp, không phải tất cả dữ liệu trong tập dữ liệu đều hiển thị cho người dùng. Trong trường hợp này, các thủ tục làm xáo trộn dữ liệu cần được thiết kế và thực hiện. (Ví dụ: dữ liệu bệnh nhân trong hồ sơ bệnh án không được hiển thị cho tất cả nhân viên mà chỉ những nhân viên có vai trò cụ thể liên quan đến điều trị mới được xem).
• Trong một số trường hợp, việc che giấu dữ liệu sẽ không nên quá rõ ràng đối với những người truy cập dữ liệu (ví dụ: che giấu sự che dấu), chẳng hạn, có thể rút ra kết luận về ngày thực tế thông qua các danh mục dữ liệu (ví dụ như: mang thai, xét nghiệm máu, v.v.). ).
• Yêu cầu pháp lý hoặc quy định (ví dụ: yêu cầu che giấu dữ liệu thẻ thanh toán trong quá trình xử lý hoặc lưu trữ);

Nói chung, việc che giấu dữ liệu, giả danh hóa hoặc ẩn danh đều yêu cầu một số điểm chung:

• Sức mạnh của việc che giấu dữ liệu, giả danh hóa hoặc ẩn danh phụ thuộc phần lớn vào việc sử dụng dữ liệu đã xử lý;
• Quyền truy cập vào dữ liệu đã xử lý phải được bảo đảm bằng các cơ chế bảo mật thích hợp;
• Xem xét các thỏa thuận hoặc hạn chế liên quan đến việc sử dụng dữ liệu đã xử lý;
• Cấm việc ghép nối dữ liệu đã được xử lý với các thông tin khác để nhận dạng chủ thể dữ liệu. 
• Theo dõi và kiểm soát chăt chẽ việc cung cấp và nhận dữ liệu đã được xử lý một cách an toàn. 

Ngăn chặn sự rò rỉ dữ liệu

Biện pháp kiểm soát 8.12 được thiết kế để ngăn chặn sự rò rỉ dữ liệu và xây dựng các biện pháp cụ thể để áp dụng cho tất cả các hệ thống, mạng và thiết bị khác xử lý, lưu trữ hoặc truyền thông tin nhạy cảm. Để giảm thiểu sự rò rỉ dữ liệu nhạy cảm, các tổ chức nên xem xét những điều sau:

• Xác định và phân loại thông tin (ví dụ: dữ liệu cá nhân, mô hình định giá và thiết kế sản phẩm);
• Giám sát các kênh mà dữ liệu có thể bị rò rỉ ra ngoài, chẳng hạn như email, truyền tệp, thiết bị di động và bộ nhớ di động;
• Các biện pháp ngăn chặn rò rỉ dữ liệu (ví dụ: cách ly các email chứa thông tin nhạy cảm);

Để ngăn chặn rò rỉ dữ liệu trong các cấu trúc CNTT phức tạp, hiện đại với vô số dữ liệu rất khác nhau, các tổ chức cũng cần các công cụ phù hợp để

• Xác định và giám sát thông tin nhạy cảm có nguy cơ bị tiết lộ trái phép (ví dụ: trong dữ liệu phi cấu trúc trên hệ thống của người dùng),
• Phát hiện việc tiết lộ dữ liệu nhạy cảm (ví dụ: khi dữ liệu được tải lên dịch vụ đám mây không đáng tin cậy của bên thứ ba hoặc được gửi qua email); Và
• Chặn các hành động của người dùng hoặc đường truyền dữ liệu qua mạng có thể tiết lộ thông tin quan trọng (ví dụ: ngăn chặn việc sao chép các mục cơ sở dữ liệu sang bảng tính).

Các tổ chức nên xác định xem có cần thiết phải hạn chế quyền của người dùng trong việc sao chép, dán hoặc tải dữ liệu lên các dịch vụ, thiết bị và phương tiện lưu trữ bên ngoài tổ chức hay không. Nếu cần, cũng có thể cần triển khai các công cụ ngăn chặn rò rỉ dữ liệu thích hợp hoặc định rõ cấu hình các công nghệ hiện có một cách thích hợp.

Ví dụ: người dùng có thể được cấp quyền xem và chỉnh sửa dữ liệu từ xa - nhưng không được phép sao chép và dán dữ liệu đó ngoài tầm kiểm soát của tổ chức. Nếu vẫn cần xuất dữ liệu, chủ sở hữu dữ liệu có thể phê duyệt tùy theo từng trường hợp và yêu cầu người dùng chịu trách nhiệm về các sự cố không mong muốn, nếu cần thiết. 

Việc ngăn chặn rò rỉ dữ liệu cũng được áp dụng rõ ràng để bảo vệ thông tin mật hoặc bí mật kinh doanh có thể bị lạm dụng cho mục đích gián điệp hoặc có ý nghĩa quan trọng đối với cộng đồng. Trong trường hợp này, các biện pháp cũng nên được thiết kế để làm cho kẻ tấn công nhầm lẫn - ví dụ: bằng cách thay thế bằng thông tin giả, kỹ thuật đảo ngược hoặc sử dụng các mồi câu để dẫn dụ kẻ tấn công.

Rò rỉ dữ liệu có thể được hỗ trợ bằng các biện pháp kiểm soát bảo mật tiêu chuẩn, chẳng hạn như thông qua các chính sách theo chủ đề cụ thể để kiểm soát quyền truy cập và quản dữ liệu an toàn (xem thêm Biện pháp/Kiểm soát 5.12 và 5.15).

Điều quan trọng cần lưu ý khi sử dụng các công cụ giám sát:

Để bảo vệ thông tin của chính mình, nhiều công cụ chắc chắn cũng giám sát các hoạt động liên lạc và trực tuyến của nhân viên cũng như tin nhắn từ bên thứ ba. Việc giám sát này đặt ra các vấn đề pháp lý khác nhau phải được xem xét trước khi sử dụng các công cụ giám sát thích hợp. Cần phải cân bằng mức độ giám sát với các quy định về quyền riêng tư, bảo vệ dữ liệu, việc làm, chặn dữ liệu và luật viễn thông.

Các biện pháp kỹ thuật trong bảo mật thông tin - kết luận

Trong bối cảnh tổng thể của 3 nguyên tắc bảo mật thông tin - tính toàn vẹn và tính sẵn sàng bảo mật - các quy trình xử lý dữ liệu được mô tả ở đây đóng một vai trò quan trọng trong việc tăng cường bảo vệ dữ liệu nhạy cảm. Với việc giám sát liên tục các luồng dữ liệu và thông tin, che giấu thông tin nhạy cảm và các chính sách xóa bỏ dữ liệu nghiêm ngặt, các tổ chức có thể cải thiện một cách bền vững khả năng bảo vệ chống sự cố rò rỉ dữ liệu và mất dữ liệu - đồng thời ngăn chặn việc vô tình tiết lộ thông tin quan trọng. Ngoài ra, các quy trình này còn góp phần quyết định vào an ninh mạng trên toàn doạnh nghiệp và giảm thiểu bề mặt tấn công của tin tặc và gián điệp công nghiệp.

Đối với các doanh nghiệp và tổ chức, vấn đề hiện nay là thiết lập các quy trình và công cụ cần thiết một cách thích hợp và tích hợp chúng vào quy trình kinh doanh của họ để chứng minh, cùng với những vấn đề khác, việc thực hiện tuân thủ các yêu cầu, ví dụ như trong các cuộc đánh giá chứng nhận trong tương lai. Chúng tôi hỗ trợ bạn với quan điểm chuyên nghiệp của các chuyên gia giàu kinh nghiệm của chúng tôi. Với chuyên môn đánh giá và chứng nhận hơn 35 năm, chúng tôi tự đề cử mình là người liên hệ của bạn về các chủ đề bảo mật thông tin và chứng nhận theo ISO/IEC 27001:2022.

Bản cập nhật có ý nghĩa gì đối với chứng nhận của bạn?

ISO/IEC 27001:2022 được xuất bản vào ngày 25 tháng 10 năm 2022. Điều này dẫn đến thời hạn và khung thời gian chuyển đổi sau đây cho người dùng:

Ngày cuối cùng cho các cuộc đánh giá lần đầu và tái chứng nhận theo tiêu chuẩn ISO 27001:2013 “cũ”.

• Sau ngày 30/04/2024, DQS sẽ chỉ thực hiện các đánh giá cấp chứng chỉ ban đầu và đánh giá lại theo tiêu chuẩn mới ISO/IEC 27001:2022.

Chuyển đổi tất cả các chứng chỉ hiện hành theo ISO/IEC 27001:2013 “cũ” sang ISO/IEC 27001:2022 mới

• Có giai đoạn chuyển tiếp ba năm bắt đầu từ ngày 31 tháng 10 năm 2022
• Các chứng chỉ được cấp theo tiêu chuẩn ISO/IEC 27001:2013 hoặc EN ISO/IEC 27001:2017 có hiệu lực muộn nhất vào ngày 31/10/2025 hoặc phải bị thu hồi vào ngày này.

DQS: Đối tác đáng tin cậy của bạn về chứng nhận bảo mật thông tin. 

Nhờ các giai đoạn chuyển tiếp, các công ty có đủ thời gian để điều chỉnh hoạt động quản lý bảo mật thông tin của mình cho phù hợp với các yêu cầu mới và đạt được chứng nhận. Tuy nhiên, không nên đánh giá thấp thời gian và nỗ lực của toàn bộ quá trình thay đổi - đặc biệt nếu bạn không có đủ nhân sự chuyên môn để sử dụng. Nếu muốn đảm bảo an toàn, bạn nên giải quyết vấn đề càng sớm càng tốt và gọi cho các chuyên gia có kinh nghiệm nếu cần.

Với tư cách là chuyên gia đánh giá và chứng nhận với hơn 35 năm kinh nghiệm, chúng tôi sẽ sẵn lòng hỗ trợ bạn trong quá trình đánh giá delta. Tìm hiểu từ nhiều đánh giá viên giàu kinh nghiệm của chúng tôi về những thay đổi quan trọng nhất và mức độ liên quan của chúng đối với tổ chức của bạn. Chúng tôi mong chờ tin từ bạn.