5 Mục tiêu cơ bản của chính sách bảo mật cho cơ sở hạ tầng CNTT
Một số mục tiêu cơ bản của chính sách bảo mật cho cơ sở hạ tầng CNTT như sau:
Điều cần thiết là xây dựng một chính sách bảo mật cho cơ sở hạ tầng CNTT và xác định các mục tiêu của nó.
Hình ảnh lịch sự: mclnkd.licdn.com/mpr/mpr/p/7/005/01e/150/0343cbc.jpg
Những mục tiêu này giúp xây dựng kế hoạch bảo mật và tạo điều kiện cho việc đánh giá định kỳ hệ thống bảo mật. Nhìn rộng ra, có năm mục tiêu cơ bản của chính sách bảo mật.
(a) Phòng ngừa:
Mục tiêu đầu tiên của bất kỳ chính sách bảo mật nào là ngăn chặn sự xuất hiện thiệt hại cho tài nguyên hoặc hệ thống đích.
(b) Phát hiện:
Phát hiện sớm là một mục tiêu quan trọng của bất kỳ chính sách bảo mật. Trong thực tế, phát hiện sớm giúp đạt được các mục tiêu khác của chính sách bảo mật.
(c) Giảm thiểu:
Cần phải đảm bảo rằng số tiền mất mát do mỗi tai nạn hoặc cuộc tấn công được giảm nhẹ.
(d) Phục hồi:
Một khi hệ thống gặp sự cố hoặc tấn công, việc khắc phục thảm họa là mục tiêu quan trọng cần đạt được để các hoạt động bình thường có thể được khôi phục sớm nhất có thể.
(e) Trách nhiệm:
Nó là cần thiết để thiết lập trách nhiệm cho các thiệt hại cho hệ thống. Mỗi chính sách bảo mật phải nhằm mục đích sửa chữa trách nhiệm khi xảy ra thiệt hại và phương pháp khen thưởng và trừng phạt phải được xác định để thúc đẩy tuân thủ các biện pháp an ninh.
Những mục tiêu này phụ thuộc lẫn nhau và đại diện cho một sự liên tục. Việc đạt được một mục tiêu, trực tiếp hoặc gián tiếp, giúp đạt được các mục tiêu khác. Trong thực tế, tất cả các mục tiêu này giúp chung trong việc đạt được mục tiêu chính là đảm bảo an ninh cho hệ thống thông tin. Các mối quan hệ giữa các mục tiêu này được trình bày trong Hình 13.1.
Các công cụ bảo mật và các biện pháp kiểm soát là khác nhau cho từng mục tiêu. Những biện pháp kiểm soát này có cấu trúc chi phí và mức độ hiệu quả khác nhau. Do đó, việc xây dựng kế hoạch bảo mật cơ sở hạ tầng CNTT sẽ đòi hỏi một nghiên cứu chi tiết về lỗ hổng của (a) các thành phần khác nhau của cơ sở hạ tầng CNTT và (b) các công cụ và biện pháp kiểm soát phù hợp cho từng thành phần. Một phân tích lợi ích chi phí cũng sẽ cần phải được thực hiện trước khi đưa ra quyết định cuối cùng liên quan đến kế hoạch bảo mật cho cơ sở hạ tầng CNTT.
