ISO 27002:2022, Kiểm soát 8.1 – Quản lý cấu hình

Trong khi việc chuyển sang làm việc từ xa và sử dụng ngày càng nhiều thiết bị di động giúp tăng năng suất của nhân viên và tiết kiệm tiền cho các tổ chức, các thiết bị đầu cuối của người dùng như máy tính xách tay, điện thoại di động và máy tính bảng dễ bị đe dọa mạng. Điều này là do tội phạm mạng thường khai thác các thiết bị này để truy cập trái phép vào mạng công ty và xâm phạm tài sản thông tin .

Ví dụ, tội phạm mạng có thể nhắm mục tiêu vào nhân viên bằng một cuộc tấn công lừa đảo, thuyết phục nhân viên tải xuống tệp đính kèm phần mềm độc hại và sau đó sử dụng thiết bị đầu cuối của người dùng bị nhiễm phần mềm độc hại này để phát tán phần mềm độc hại trên toàn bộ mạng công ty. Cuộc tấn công này có thể dẫn đến mất tính khả dụng, tính toàn vẹn hoặc tính bảo mật của tài sản thông tin .

Theo một cuộc khảo sát được thực hiện với 700 chuyên gia CNTT, khoảng 70% các tổ chức đã gặp phải tình trạng xâm phạm tài sản thông tin và cơ sở hạ tầng CNTT do cuộc tấn công liên quan đến thiết bị đầu cuối của người dùng vào năm 2020.

Kiểm soát 8.1 đề cập đến cách các tổ chức có thể thiết lập, duy trì và triển khai chính sách, quy trình và biện pháp kỹ thuật cụ thể theo chủ đề để đảm bảo rằng các tài sản thông tin được lưu trữ hoặc xử lý trên thiết bị đầu cuối của người dùng không bị xâm phạm, mất hoặc bị đánh cắp.

Mục đích của Kiểm soát 8.1

Kiểm soát 8.1 cho phép các tổ chức bảo vệ và duy trì tính bảo mật, tính bí mật, tính toàn vẹn và tính khả dụng của các tài sản thông tin được lưu trữ trên hoặc có thể truy cập thông qua các thiết bị đầu cuối của người dùng bằng cách đưa ra các chính sách, quy trình và biện pháp kiểm soát phù hợp .

Bảng Thuộc tính

Kiểm soát 8.1 mang tính phòng ngừa. Nó yêu cầu các tổ chức triển khai các chính sách, quy trình và biện pháp kỹ thuật áp dụng cho tất cả các thiết bị đầu cuối của người dùng lưu trữ hoặc xử lý tài sản thông tin để chúng không bị xâm phạm, mất hoặc bị đánh cắp.

Quyền sở hữu kiểm soát 8.1

Xem xét rằng việc tuân thủ Kiểm soát 8.1 đòi hỏi phải tạo ra, duy trì và tuân thủ chính sách, quy trình và biện pháp kỹ thuật cụ thể theo chủ đề trên toàn tổ chức, giám đốc an ninh thông tin phải chịu trách nhiệm tuân thủ các yêu cầu của Kiểm soát 8.1.

Hướng dẫn chung về tuân thủ

Tiêu chuẩn Kiểm soát 8.1 yêu cầu các tổ chức tạo chính sách theo chủ đề cụ thể, nêu rõ cách cấu hình an toàn các thiết bị đầu cuối của người dùng và cách người dùng xử lý các thiết bị này.

Tất cả nhân viên phải được thông báo về Chính sách này và Chính sách này phải bao gồm những nội dung sau:

• Loại thông tin nào, đặc biệt là ở cấp độ phân loại nào, có thể được xử lý, lưu trữ hoặc sử dụng trong các thiết bị đầu cuối của người dùng.
• Thiết bị phải được đăng ký như thế nào.
• Yêu cầu về bảo vệ vật lý cho thiết bị.
• Hạn chế cài đặt chương trình phần mềm trên thiết bị.
• Quy định về cài đặt phần mềm trên thiết bị và cập nhật phần mềm.
• Quy tắc về cách thiết bị đầu cuối của người dùng có thể được kết nối với mạng công cộng hoặc với mạng tại các cơ sở ngoài địa điểm.
• Kiểm soát truy cập.
• Mã hóa phương tiện lưu trữ thông tin tài sản.
• Thiết bị sẽ được bảo vệ như thế nào để chống lại các cuộc tấn công của phần mềm độc hại.
• Cách thiết bị có thể bị vô hiệu hóa hoặc khóa. Cách thông tin chứa trong thiết bị có thể bị xóa từ xa.
• Phương pháp và quy trình sao lưu.
• Quy định về sử dụng ứng dụng và dịch vụ web.
• Phân tích hành vi của người dùng cuối.
• Cách sử dụng phương tiện lưu trữ di động như ổ USB và cách vô hiệu hóa các cổng vật lý như cổng USB.
• Làm thế nào để sử dụng khả năng phân tách để tách biệt tài sản thông tin của tổ chức khỏi các tài sản khác được lưu trữ trên thiết bị của người dùng.

Hơn nữa, Hướng dẫn chung lưu ý rằng các tổ chức nên cân nhắc việc cấm lưu trữ thông tin nhạy cảm trên thiết bị đầu cuối của người dùng bằng cách triển khai các biện pháp kiểm soát kỹ thuật.

Các biện pháp kiểm soát kỹ thuật này có thể bao gồm việc vô hiệu hóa các chức năng lưu trữ cục bộ như thẻ SD.

Khi đưa những khuyến nghị này vào thực tế, các tổ chức nên áp dụng Quản lý cấu hình như đã nêu trong Kiểm soát 8.9 và sử dụng các công cụ tự động.

Hướng dẫn bổ sung về trách nhiệm của người dùng

Tất cả nhân viên phải được thông báo về các biện pháp bảo mật cho thiết bị đầu cuối của người dùng và các quy trình mà họ phải tuân thủ. Hơn nữa, họ phải được nhận thức về trách nhiệm của mình trong việc áp dụng các biện pháp và quy trình này.

Các tổ chức phải hướng dẫn nhân viên tuân thủ các quy tắc và thủ tục sau:

• Khi một dịch vụ không còn cần thiết hoặc khi phiên làm việc kết thúc, người dùng phải đăng xuất khỏi phiên làm việc và chấm dứt dịch vụ.
• Nhân viên không được để thiết bị của mình không có người trông coi. Khi không sử dụng thiết bị, nhân viên phải duy trì tính bảo mật của thiết bị chống lại việc truy cập hoặc sử dụng trái phép bằng cách áp dụng các biện pháp kiểm soát vật lý như khóa chìa và các biện pháp kiểm soát kỹ thuật như mật khẩu mạnh.
• Nhân viên phải hết sức cẩn thận khi sử dụng thiết bị đầu cuối có chứa thông tin nhạy cảm ở những nơi công cộng không an toàn.
• Thiết bị đầu cuối của người dùng cần được bảo vệ chống trộm cắp, đặc biệt là ở những khu vực nguy hiểm như phòng khách sạn, phòng hội nghị hoặc phương tiện giao thông công cộng.

Ngoài ra, các tổ chức cũng được khuyến cáo nên thiết lập một quy trình đặc biệt cho việc mất hoặc bị đánh cắp thiết bị đầu cuối của người dùng. Quy trình này nên được tạo ra có tính đến các yêu cầu về mặt pháp lý, hợp đồng và bảo mật.

Hướng dẫn bổ sung về việc sử dụng thiết bị cá nhân (BYOD)

Mặc dù việc cho phép nhân viên sử dụng thiết bị cá nhân cho mục đích công việc giúp tổ chức tiết kiệm tiền, nhưng lại khiến thông tin nhạy cảm gặp phải những rủi ro mới.

Kiểm soát 8.1 liệt kê năm khuyến nghị mà các tổ chức nên cân nhắc khi cho phép nhân viên sử dụng thiết bị của riêng họ cho các nhiệm vụ liên quan đến công việc:

1. Cần phải có các biện pháp kỹ thuật như công cụ phần mềm để tách biệt việc sử dụng thiết bị cho mục đích cá nhân và công việc để thông tin của tổ chức được bảo vệ.
2. Nhân viên chỉ được phép sử dụng thiết bị của mình sau khi họ đồng ý với những điều sau:
3. Nhân viên thừa nhận nhiệm vụ của mình là bảo vệ vật lý các thiết bị và thực hiện các cập nhật phần mềm cần thiết.
4. Nhân viên đồng ý không tuyên bố quyền sở hữu đối với tài sản thông tin của tổ chức.
5. Nhân viên đồng ý rằng thông tin chứa trong thiết bị có thể bị xóa từ xa khi thiết bị bị mất hoặc bị đánh cắp, tùy thuộc vào các yêu cầu pháp lý về dữ liệu cá nhân .
6. Thiết lập chính sách về quyền sở hữu trí tuệ được tạo ra thông qua việc sử dụng thiết bị đầu cuối của người dùng.
7. Cách thức truy cập vào các thiết bị cá nhân của nhân viên, xét đến các hạn chế theo luật định về việc truy cập đó.
8. Cho phép nhân viên sử dụng thiết bị cá nhân của họ có thể dẫn đến trách nhiệm pháp lý do sử dụng phần mềm của bên thứ ba trên các thiết bị này. Các tổ chức nên xem xét các thỏa thuận cấp phép phần mềm mà họ có với nhà cung cấp của mình.

Hướng dẫn bổ sung về kết nối không dây

Các tổ chức nên phát triển và duy trì các quy trình cho:

• Cách cấu hình kết nối không dây trên thiết bị.
• Cách sử dụng kết nối không dây hoặc có dây với băng thông đủ lớn để tuân thủ các chính sách cụ thể của từng chủ đề .

Hướng dẫn bổ sung về Kiểm soát 8.1

Khi thiết bị đầu cuối của người dùng được đưa ra khỏi cơ sở của tổ chức, tài sản thông tin có thể phải chịu rủi ro bị xâm phạm cao hơn. Do đó, các tổ chức có thể phải thiết lập các biện pháp kiểm soát khác nhau cho các thiết bị được sử dụng bên ngoài cơ sở.

Hơn nữa, Control 8.1 cảnh báo các tổ chức về việc mất thông tin do hai rủi ro liên quan đến kết nối không dây:

• Kết nối không dây với băng thông thấp có thể dẫn đến lỗi sao lưu dữ liệu.
• Thiết bị đầu cuối của người dùng đôi khi có thể bị ngắt kết nối khỏi mạng không dây và các bản sao lưu theo lịch trình có thể không thành công.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/8.1 thay thế 27002:2013/(6.2.1 và 12.2.8)

Sự khác biệt về cấu trúc

Ngược lại với phiên bản 2022 đề cập đến các thiết bị đầu cuối của người dùng theo một Kiểm soát (8.1), Phiên bản 2013 bao gồm hai kiểm soát riêng biệt: Chính sách thiết bị di động trong Kiểm soát 6.2.1 và Thiết bị người dùng không giám sát trong Kiểm soát 11.2.8.

Hơn nữa, trong khi Control 8.1 trong Phiên bản 2022 áp dụng cho tất cả các thiết bị đầu cuối của người dùng như máy tính xách tay, máy tính bảng và điện thoại di động thì Phiên bản 2013 chỉ áp dụng cho các thiết bị di động.

Phiên bản 2022 quy định các yêu cầu bổ sung về trách nhiệm của người dùng

Mặc dù cả hai Phiên bản đều có những yêu cầu tương tự nhau về trách nhiệm của người dùng, Phiên bản 2022 có thêm một yêu cầu bổ sung:

• Nhân viên phải hết sức cẩn thận khi sử dụng thiết bị đầu cuối có chứa thông tin nhạy cảm ở những nơi công cộng không an toàn.

Phiên bản 2022 toàn diện hơn về BYOD

So với Phiên bản 2013, mục kiểm soát 8.1 trong Phiên bản 2022 đưa ra ba yêu cầu mới về việc sử dụng thiết bị cá nhân của nhân viên (BYOD):

• Thiết lập chính sách về quyền sở hữu trí tuệ được tạo ra thông qua việc sử dụng thiết bị đầu cuối của người dùng.
• Cách thức truy cập vào các thiết bị cá nhân của nhân viên, xét đến các hạn chế theo luật định về việc truy cập đó.
• Cho phép nhân viên sử dụng thiết bị cá nhân của họ có thể dẫn đến trách nhiệm pháp lý do sử dụng phần mềm của bên thứ ba trên các thiết bị này. Các tổ chức nên xem xét các thỏa thuận cấp phép phần mềm mà họ có với nhà cung cấp của mình.

Phiên bản 2022 yêu cầu Chính sách cụ thể hơn về chủ đề

Tương tự như Phiên bản 2013, Phiên bản 2022 cũng yêu cầu các tổ chức áp dụng chính sách theo chủ đề cụ thể về thiết bị đầu cuối của người dùng.

Tuy nhiên, bản kiểm soát 8.1 trong phiên bản 2022 toàn diện hơn vì nó chứa ba yếu tố mới cần được đưa vào:

1. Phân tích hành vi của người dùng cuối.
2. Cách sử dụng các thiết bị di động như ổ USB và cách vô hiệu hóa các cổng vật lý như cổng USB.
3. Làm thế nào để sử dụng khả năng phân tách để tách biệt tài sản thông tin của tổ chức khỏi các tài sản khác được lưu trữ trên thiết bị của người dùng.