Mục đích của Kiểm soát 8.21
Trong điện toán, một ‘dịch vụ mạng’ có thể được mô tả rộng rãi là một hệ thống chạy trên ‘lớp ứng dụng mạng’, chẳng hạn như email , in ấn hoặc máy chủ tệp . Các dịch vụ mạng cũng bao gồm các ứng dụng được quản lý và các giải pháp bảo mật như tường lửa hoặc nền tảng chống vi-rút cổng , hệ thống phát hiện xâm nhập và dịch vụ kết nối.
Các dịch vụ mạng thường đại diện cho các thành phần chức năng quan trọng nhất của mạng và rất quan trọng đối với hoạt động hàng ngày của mạng ICT thương mại hiện đại. Do đó, bảo mật là tối quan trọng và việc sử dụng các dịch vụ mạng cần được giám sát chặt chẽ và quản lý trực tiếp để giảm thiểu rủi ro liên quan đến lỗi, xâm nhập và gián đoạn kinh doanh.
Bảng Thuộc tính
Biện pháp kiểm soát 8.21 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách thiết lập một bộ quy tắc quản lý việc sử dụng cả dịch vụ mạng và mạng máy chủ.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Bảo mật hệ thống và mạng | #Sự bảo vệ |
Quyền sở hữu kiểm soát 8.21
Kiểm soát 8.21 đề cập đến các khái niệm kỹ thuật liên quan đến việc bảo trì và quản lý một số thành phần chính của mạng lưới ICT của tổ chức. Do đó, quyền sở hữu phải thuộc về Trưởng phòng CNTT hoặc tổ chức tương đương.
Hướng dẫn chung về tuân thủ
Kiểm soát 8.21 xác định ba loại bảo mật chính khi giải quyết khái niệm rộng hơn về bảo mật dịch vụ mạng:
- Tính năng bảo mật
- Mức độ dịch vụ
- Yêu cầu dịch vụ
Tất cả các nhà cung cấp dịch vụ mạng nội bộ và bên ngoài cần lưu ý đến ba biện pháp này và tổ chức cần thực hiện các bước để đảm bảo rằng các nhà cung cấp luôn hoàn thành nghĩa vụ của mình.
Các tổ chức nên đánh giá nhà cung cấp dịch vụ mạng dựa trên khả năng quản lý dịch vụ của họ theo một bộ SLA rõ ràng và giám sát việc tuân thủ tốt nhất có thể.
Một phần của đánh giá hoạt động này phải bao gồm các tài liệu tham khảo có nguồn gốc đáng tin cậy chứng thực khả năng quản lý dịch vụ một cách an toàn và hiệu quả của nhà cung cấp dịch vụ mạng.
Các quy tắc bảo mật mạng phải bao gồm:
- Bất kỳ dịch vụ mạng và mạng liên quan nào được phép truy cập.
- Các yêu cầu xác thực để truy cập vào các dịch vụ mạng nói trên, bao gồm ai được phép truy cập, họ có thể truy cập ở đâu và khi nào.
- Cách thức nhân viên xin phép trước để truy cập các dịch vụ mạng, bao gồm xác nhận cuối cùng và phân tích tình huống kinh doanh.
- Một bộ kiểm soát quản lý mạng mạnh mẽ giúp bảo vệ các dịch vụ mạng khỏi việc sử dụng sai mục đích và truy cập trái phép.
- Cách thức nhân viên được phép truy cập vào các dịch vụ mạng (tức là từ xa hoặc chỉ tại chỗ).
- Quy trình ghi nhật ký nêu chi tiết thông tin quan trọng về quyền truy cập dịch vụ mạng và nhân viên sử dụng chúng – ví dụ: thời gian, vị trí và dữ liệu thiết bị.
- Giám sát việc sử dụng các dịch vụ mạng.
Hướng dẫn – Bảo mật dịch vụ mạng
Phiên bản Control 8.21 cũng có các ghi chú hướng dẫn về cách tăng cường bảo mật trên tất cả các dịch vụ mạng, bao gồm chức năng phụ trợ và hoạt động của người dùng.
- Các tổ chức nên cân nhắc các tính năng bảo mật như xác thực , mã hóa và kiểm soát kết nối .
- Cần thiết lập các thông số cứng nhắc để quyết định kết nối với các dịch vụ mạng.
- Người dùng có thể chọn lượng dữ liệu được lưu trữ tạm thời (bộ nhớ đệm) bởi dịch vụ mạng để vừa tăng hiệu suất tổng thể vừa đảm bảo dữ liệu không bị lưu trữ quá mức đến mức gây ra rủi ro bảo mật rõ ràng.
- Hạn chế quyền truy cập vào các dịch vụ mạng.
Những thay đổi và khác biệt so với ISO 27002:2013
ISO 27002:2022-8.21 thay thế ISO 27002:2003-13.1.2 (Bảo mật dịch vụ mạng).
27002:2022-8.21 có một số bổ sung quan trọng so với phiên bản năm 2013, trong đó phiên bản sau tập trung hoàn toàn vào bảo mật dịch vụ mạng (có cùng một bộ ghi chú hướng dẫn) và bỏ qua mọi hướng dẫn chung về các quy tắc mạng (xem các điểm 1-7 ở trên trong phần ‘Hướng dẫn chung’).
