Có thể tất cả các bạn đã từng đặt ra suy nghĩ tại sao Magento lại là một trong những nền tảng thương mại điện tử tốt nhất? Câu trả lời rõ ràng nhất là vì những tính năng đặc biệt, vượt trội mà nó mang lại, bao gồm cả tính năng mà mình sẽ giới thiệu ngay bây giờ đó là Admin Action Log. Chức năng này giúp quản trị viên cửa hàng quản lý và theo dõi các hoạt động tốt hơn. Với sự trợ giúp này quản trị viên có thể xem lại toàn bộ lịch sử nhật ký trên trang quản trị và cũng có thể xem được các hành động được thực hiện trên cửa hàng của bạn. Đây là một tính năng rất quan trọng sẽ giúp quản trị viên cửa hàng quản lý chính xác hệ thống của mình. Trong bài viết này mình sẽ hướng dẫn bạn cách cấu hình Action Log trong Magento 2. Đây là một tình năng chỉ có trong phiên bản Magento Enterprise Edition.
Bước 1: Đăng nhập trang admin Magento 2 chọn STORES -> Configuration -> ADVANCED -> Admin -> Admin Actions Logging.
Tại đây bạn sẽ tích vào những ô để kích hoạt ghi nhật ký hành động theo mong muốn, sau đó bạn chọn Save Config để lưu lại.
Bước 2: Để xem được nhật ký hành động trên cửa hàng bạn chọn SYSTEM > Action Logs > Report
Bạn có thể chọn View để xem chi tiết và còn có thể filter được hành động theo các trường như thời gian, hành động, địa chỉ IP, tên người dùng, v.v..
Như vậy là mình đã hướng dẫn xong cách cấu hình Action Log trong Magento 2.
Cảm ơn bạn đã đọc bài viết.
Xem thêm các bài Hướng dẫn Magento 2.
4.5 2 votes
Article Rating
Callula Huy
Callula is the Marketing Executive at Magetop. With more than 5 years of copywriting under her belt, Callula is into creating valuable content that is straight to the point. Life student. Workaholic. Foreign languages and traveling aficionado.
Chúng ta đã từng nghe nói về các sự cố gây ra bởi Virus làm thiệt hại hàng triệu đô la mỹ, Hacker từ nhiều quốc gia tấn công vào các tổ chức tài chính để đánh cắp hàng triệu thông tin thẻ tín dụng, hàng loạt Website chính phủ và Website của các tập đoàn lớn bị thay đổi nội dung vì mục đích chính trị, phá hoại ... Cuối cùng, Hacker bị bắt và bị tống giam.
Những điều kể trên là những khía cạnh thú vị về an toàn thông tin, nhưng trên thực tế các hoạt động này không phải là những điều mà các tổ chức, cơ quan an ninh thường phải đối phó khi nhắc đến công việc hàng ngày của họ. Mặc dù Virus và Hacker hầu hết đều nằm trong tất cả các đầu đề chỉ mục liên quan đến an toàn thông tin. Quản lý an ninh mới là cốt lõi của tổ chức và cơ cấu an toàn thông tin.
Security Management - Quản lý An Ninh
Security management - Quản lý an ninh bao gồm quản lý rủi ro, chính sách an toàn thông tin, các tiêu chuẩn, các nguyên tắc, các khuyến nghị, phân loại thông tin, an ninh tổ chức và đào tạo về an ninh thông tin. Đó là những thành phần cốt lõi, là nền tảng của toàn bộ chương trình an toàn thông tin cho tổ chức. Mục tiêu chính của an ninh nói chung và chương trình an ninh nói riêng là để bảo vệ tổ chức và tài sản của tổ chức.
Risk analysis - Phân tích rủi ro là quá trình xác định các mối đe dọa có nguy cơ xảy ra đối với tài sản của tổ chức, ước tính thiệt hại và tổn thất có thể xảy ra mà công ty phải chịu nếu mối đe dọa trở thành hiện thực. Phân tích rủi ro sẽ giúp quản lý, xây dựng ngân sách cần thiết cho việc bảo vệ tài sản và phát triển các chính sách an toàn thông tin nhằm cung cấp định hướng cho các hoạt động liên quan đến an ninh.
Security education - Đào tạo nhận thức về an toàn thông tin cho tất cả nhân viên trong tổ chức, để mọi người có một sự hiểu biết nhất định, cũng như giúp cho việc triển khai các mục tiêu an ninh cho tổ chức được suôn sẻ nhờ sự hợp tác của các nhân viên.
Quy trình quản lý an ninh là một quy trình mang tính chất hoạt động liên tục theo chu trình tuần hoàn, bắt đầu với việc đánh giá rủi ro và xác định nhu cầu an ninh cần thiết, tiếp theo là theo dõi và đánh giá hệ thống, cùng với các vấn đề liên quan trong quá trình thực tiễn hóa quy trình. Bước tiếp theo như đã đề cập qua ở trên là đẩy mạnh nhận thức về an toàn thông tin cho toàn bộ nhân viên của tổ chức. Bước cuối cùng là triển khai chính sách và cơ chế kiểm soát an ninh, nhằm giải quyết những rủi ro và các nhu cầu an ninh cần thiết đã xác định ở bước đầu tiên.
Sau khi hoàn thành một vòng chu trình, mọi thứ sẽ bắt đầu lập lại từ đầu. Bằng phương pháp này, quy trình đánh giá và giám sát an ninh thông tin sẽ liên tục được cập nhật, giúp cho quy trình thích nghi và phát triển để đáp ứng các nhu cầu an ninh của tổ chức. Sự liên tục của quy trình an ninh cũng nhằm để bắt kịp tốc độ với sự phát triển của các mối đe dọa.
Quản lý an ninh đã thực sự "lột xác" trong nhiều năm qua, bởi vì những thứ như hệ thống mạng, hệ thống máy tính và ứng dụng đã có những bước tiến thay đổi vượt bậc, vì thế quản lý an ninh cũng phải đồng tiến bước để bắt kịp công nghệ, bắt kịp nhu cầu an ninh cần thiết. Trong thời kỳ đầu khi phát triển ngành khoa học máy tính, Thông tin chủ yếu được lưu trữ trong mainframe, phần lớn sử dụng cấu trúc hệ thống mạng tập trung [centralized network structure].
Hệ thống mainframe gồm các máy chủ cực kỳ mạnh, có năng lực tính toán cao được kết nối với nhiều thiết bị đầu cuối, gọi là dumb terminals, được cấu hình và quản lý qua kết nối bằng Console, tập trung tại một vị trí thay vì phân bổ đi nhiều nơi như ngày nay [Distributed Network]. Chỉ có một số người mới được quyền truy cập vào hệ thống mainframe, và chỉ có một nhóm nhỏ hiểu biết cách thức hoạt động của mainframe,điều này giúp giảm mạnh hàng loạt các rủi ro liên quan đến vấn đề an ninh.
Người dùng có thể truy cập thông tin dữ liệu trên hệ thống mainframe qua dumb terminals, chủ yếu chỉ làm mỗi nhiệm vụ Input/Output thông tin, không có màu, không có chuột, không có Floppy Disk, không có Hardisk ... Text editor chỉ là VI-editor, chỉ có khả năng đánh chữ từng 1 hàng một, đánh qua thì không thể dùng con trỏ để đi ngược lại sửa, phải đánh cho hết câu thì mới có thể thay thế chữ sai, chữ đúng ... Lúc bấy giờ, không có nhiều nhu cầu cho việc đảm bảo kiểm soát an ninh nghiêm ngặt đối với hệ thống mainframe.
Tất nhiên con người không bao giờ thỏa mãn với những gì đã có, vì thế công nghệ mainframe sớm trở nên cũ kỹ lỗi thời, thời nay hệ thống mạng được "lấp đầy" bởi hàng loạt các máy tính cá nhân với tốc độ và sức mạnh xử lý cực mạnh; người dùng bây giờ cũng đã có nhận thức về sự nguy hiểm mà các hệ thống máy tính phải đối mặt, thông tin dữ liệu không còn tập trung tại một chỗ trong "nhà kính", mà nó xuất hiện ở nhiều nơi như servers, workstations, và các loại hệ thống mạng khác. Thông tin còn được truyền qua nhiều dạng như Wires, Airways ...
Internet, extranet và intranet không chỉ làm cho vấn đề an ninh trở nên phức tạp, mà chúng còn làm cho vấn đề an ninh ngày càng được xem trọng hơn. Các kiến trúc mạng cốt lõi [core network architecture] đã có sự thay đổi, môi trường máy tính độc lập [stand-alone computing environment] chuyển thành môi trường máy tính phân tán [distributed computing environment], đồng nghĩa với việc tăng vọt cấp số nhân những sự phức tạp.
Mặc dù kết nối mạng Internet đem lại rất nhiều tiện ích, dịch vụ, cũng như mở rộng tầm nhìn của các tổ chức đến với thế giới Internet, nhưng đồng thời nó cũng sẽ mở ra "floodgates" với các cơn lũ ẩn chứa nguy cơ rủi ro bảo mật tiềm tàng ồ ạt tràn ngập vào người dùng Internet.
Trên thế giới ngày nay, đa số các tổ chức lớn hầu như phụ thuộc rất nhiều vào máy tính, nếu máy tính và hiệu năng tính toán của chúng ngừng hoạt động thì sẽ xảy ra thảm họa. Máy vi tính xuất hiện khắp mọi nơi, mỗi cá nhân sở hữu từng máy, tích hợp trực tiếp vào hệ thống vận hành kinh doanh, cho nên nếu như không có máy tính, công việc sẽ bị gián đoạn, doanh thu sẽ bị sụt giảm, rất mệt mỏi. Nhiều tập đoàn lớn đã nhận thức được rằng thông tin dữ liệu là tài sản quý giá của họ, phải được bảo vệ an ninh tuyệt đối như các buildings, thiết bị sản xuất, và các tài sản vật chất khác. Khi mà hệ thống mạng và môi trường công nghệ thay đổi, thì nhu cầu tất yếu về an toàn thông tin là hết sức hợp lý.
An toàn thông tin là lĩnh vực rất rộng, không chỉ nói về Firewall, về Router có Acess List ... Tất cả các hệ thống an ninh đều phải được quản lý nghiêm ngặt, phần lớn về an toàn thông tin liên quan đến việc quản lý con người và quản lý những thủ tục, tiêu chuẩn, chính sách. Điều này mang đến cho chúng ta nhiều kinh nghiệm thực tiễn trong quá trình quản lý an ninh, trong đó tập trung chính vào việc bảo vệ tài sản của tổ chức.
Security Management Responsibilities - Trách nhiệm quản lý an ninh
Okay, ai sẽ là người chịu trách nhiệm ?
Trong lĩnh vực an toàn thông tin, điều hành quản lý chủ yếu liên quan đến việc xác định mục tiêu, phạm vi, chính sách, mức độ ưu tiên và hoạch định chiến lược. Người quản lý cần phải xác định một phạm vi rõ ràng, trước khi xảy ra tình trạng nhiều người đưa ra nhiều cách bảo mật khác nhau sẽ làm rối loạn chiến lược, cũng như cấu trúc an ninh, ngoài ra phải đưa ra được những mục tiêu thực tế dự kiến sẽ hoàn thành khi triển khai chương trình an toàn thông tin cho tổ chức.Quản lý cũng cần phải đánh giá mục tiêu kinh doanh của tổ chức, rủi ro an ninh, năng suất lao động của nhân viên. Cuối cùng, người quản lý phải xác định các bước tiến hành rõ ràng, minh bạch, để đảm bảo rằng tất cả những vấn đề này đều được hạch toán và giải quyết.
Nhiều tổ chức xem các yếu tố về hiệu suất và kinh doanh là sự cân bằng duy nhất, quan niệm về thông tin và an ninh không được xem trọng, dồn hết vào cho IT Administrator quản lý. Trong những trường hợp như thế này, người quản lý không sử dụng máy tính và thông tin bảo mật nghiêm túc, kết quả là vấn đề an ninh thông tin sẽ kém phát triển, không được sự hỗ trợ, thiếu kinh phí, dẫn đến không thành công. Vấn đề an toàn thông tin cần phải được ủng hộ và giải quyết ở cấp lãnh đạo cao nhất trong tổ chức. Các IT Administrator có thể tư vấn, tham gia đóng góp ý kiến về việc quản lý các vấn đề an ninh, nhưng tính bảo mật của tổ chức không được giao hoàn toàn cho IT hay Security Administrator.
Quản lý an ninh phụ thuộc nhiều vào việc xác định và định giá chính xác tài sản của tổ chức, sau đó tiến hành thực hiện hóa chính sách an ninh, các thủ tục, các tiêu chuẩn và các hướng dẫn để cung cấp tính toàn vẹn, tính bảo mật và tính sẵn sàng cho các tài sản của tổ chức. Nhiều công cụ quản lý khác nhau được sử dụng để phân loại dữ liệu và thực hiện phân tích và đánh giá rủi ro. Những công cụ này dùng để xác định các lỗ hổng, mức độ tổn thất và xếp hạng mức độ nghiêm trọng của các lỗ hổng được xác định để đưa ra được các biện pháp đối phó, nhằm mục đích giảm thiểu mức độ rủi ro một cách hiệu quả.
Người quản lý có trách nhiệm cung cấp sự bảo vệ cho các nguồn tài nguyên nói chung và tổ chức nói riêng. Những nguồn tài nguyên có thể đến từ nguồn nhân lực [human], vốn tài chính [financial capital], hardware và các biểu mẫu thông tin. Khi tiến hành xây dựng chương trình an ninh cho tổ chức, người quản lý phải đảm bảo được rằng chương trình chắc chắn có thể nhận ra được những mối đe dọa gây ảnh hưởng đến các nguồn tài nguyên và phải đảm bảo các biện pháp bảo vệ đưa ra có hiệu lực thật sự.
Các nguồn lực và kinh phí cần thiết phải luôn luôn sẵn sàng, nội dung chi tiết chiến lược phải được chuẩn bị đầy đủ. Người quản lý phải phân công trách nhiệm và xác định vai trò cần thiết, để có được chương trình bảo mật thực tế, không quá viễn vông, giữ cho nó luôn bền vững và tiến triển mạnh mẽ. Người quản lý cũng phải tích hợp chương trình vào môi trường kinh doanh hiện tại và theo dõi những thành quả của chương trình [ Đảm bảo xuyên suốt 24/24, không xuất hiện các sự cố an ninh ...] Sự hỗ trợ từ phía lãnh đạo là phần quan trọng nhất trong chương trình bảo mật. Một cái gật đầu và nháy mắt sẽ không cung cấp được sự hỗ trợ cần thiết bằng những hành động thực tế.
The Top-Down & Bottom-Up Approach to Security
Các tổ chức có thể giải quyết những vấn đề liên quan đến quản lý an ninh bằng những phương pháp khác nhau.
Theo truyền thống, các tổ chức đã quen với phương pháp tiếp cận Bottom-Up [Từ dưới lên trên], với phương pháp này sẽ phụ thuộc vào quá trình hoạt động của các nhân viên nghiệp vụ trong tổ chức, trong lúc làm việc gặp phải các vấn đề liên quan đến an ninh thông tin thì họ sẽ thông báo lên phía người quản lý an ninh [ví dụ khi bị thất thoát dữ liệu, bị Malware tấn công máy tính, bị mất tài khoản thông tin .]Với phương pháp này người quản lý sẽ không có một sự chuẩn bị, nắm bắt, quản lý về những mối đe dọa tiềm tàng, ảnh hưởng của nó, sự phân bố nguồn nhân lực hợp lý, phương pháp này đã không ít lần phải chịu sự thất bại.
Ngược lại với Bottom-Up là Top-Down [Từ trên xuống dưới], Top-down là phương pháp đã chứng tỏ được sự thành công khi áp dụng nó. Với phương pháp này, người quản lý hiểu biết toàn bộ cục diện chiến lược an ninh của tổ chức [mối đe dọa, tác động ảnh hưởng, phân bố nhân lực...] để tiến hành quy trình quản lý an ninh bằng cách thiết lập một Framework về an toàn thông tin như Federal Information Security Management [FISMA]
và ISO27000. Sau đó, kết quả mang lại là sự quản lý an ninh một cách hệ thống xuyên suốt từ trên xuống dưới, xuống đến toàn bộ các nhân viên trong tổ chức.
Xây dựng một chương trình bảo mật cũng tương tự như xây một ngôi nhà. Khi thiết kế và triển khai thực hiện một chương trình bảo mật, các chuyên gia bảo mật phải xác định và dự kiến được những chức năng và kết quả mà chương trình mang lại. Nhiều khi, các tổ chức chỉ thực hiện theo kiểu khóa vật lý máy tính và cài đặt Firewalls, họ cho rằng như vậy là đã an toàn, mà không dành thời gian để tìm hiểu nhu cầu bảo mật tổng thể, mức đảm bảo mà họ mong đợi cho toàn bộ tổ chức của họ.
Nhóm chuyên gia bảo mật tham gia vào quá trình này nên bắt đầu từ phía trên cùng [Top], với những ý tưởng rộng lớn và đi sâu vào công việc xuống tới tận chi tiết cấu hình và thông số hệ thống. Tại mỗi bước thực hiện quá trình, nhóm nghiên cứu phải ghi nhớ các mục tiêu an ninh tổng thể, để bổ sung thêm mức độ chi tiết cho những mục tiêu đó. Điều này giúp cho nhóm nghiên cứu tránh bị phân mảng những mục tiêu chính bởi nhiều phương hướng thực hiện khác nhau cùng một lúc.
Bước kế tiếp là phát triển và triển khai thực thi các thủ tục, tiêu chuẩn, các tài liệu hỗ trợ cho chính sách an ninh, xác định phương pháp đối phó cũng như đặt chúng vào đúng vị trí cần thiết. Một khi các mục này được phát triển, chương trình bảo mật sẽ gia tăng độ chi tiết bởi các tài liệu chuẩn [baselines] và các tài liệu cấu hình dành cho các phương pháp kiểm soát an ninh.
Nếu chương trình bảo mật bắt đầu với một nền tảng vững chắc và phát triển về lâu về dài với mục tiêu được hoạch định rõ ràng, thì tổ chức không phải thay đổi cơ cấu an ninh một cách quyết liệt khi thực hiện được nửa giai đoạn. Quy trình có thể là một phương pháp, tiết kiệm thời gian, kinh phí, nguồn lực, cung cấp một sự cân bằng giữa chức năng và an ninh.
Phương pháp Top-down không phải là một tiêu chuẩn, nhưng nó giúp cho chúng ta có cái nhìn sâu sắc hơn, giúp tổ chức có được phương pháp tiếp cận một cách kiểm soát hơn. Chúng ta có thể cung cấp tầm nhìn cùng với sự hiểu biết về việc lên kế hoạch và triển khai thực hiện, làm thế nào để chương trình tiến triển một cách có tổ chức, qua đó giúp tránh được một kết quả không mấy tốt đẹp, bản chất là một đống khổng lồ rời rạc, những giải pháp bảo mật sai lầm.
Security Administration & Supporting Controls
Nếu tổ chức hiện tại không có vai trò nhân viên an ninh, thì vai trò này nên được thiết lập bởi người quản lý.Vai trò nhân viên an ninh chủ yếu chịu trách nhiệm trực tiếp giám sát một phần lớn các khía cạnh của một chương trình bảo mật. Tùy thuộc vào các tổ chức, vào nhu cầu bảo mật và kích cỡ của môi trường làm việc, quản lý an ninh [Security Administration] có thể bao gồm một người hoặc một nhóm người làm việc tại một trung tâm hoặc theo mô hình phân tán
Bất kể là
môi trường làm việc thuộc kích thước lớn hay nhỏ, quản lý an ninh đòi hỏi phải có một cơ cấu báo cáo rõ ràng, hiểu rõ trách nhiệm của mình, kiểm định và theo dõi hiệu năng của chương trình bảo mật để đảm bảo không xảy ra sai sót vì thiếu thông tin hoặc thiếu sự hiểu biết.
Chủ sở hữu thông tin [Information owners] sẽ là người cấp phép cho người dùng có thể truy cập vào tài nguyên của họ và có thể làm được những gì sau khi truy cập thành công. Công việc quản lý an ninh là để đảm bảo những điều này được thực hiện chính xác, không được phép sai sót. Các phương thức kiểm soát sau đây nên sử dụng để đạt được yêu cầu của ban quản lý an ninh :
Administrative controls - Kiểm soát hành chính : Bao gồm việc phát triển và xuất bản các chính sách,tiêu chuẩn, thủ tục và các tài liệu hướng dẫn, quản lý rủi ro, kiểm tra và sàng lọc nhân sự, tiến hành đào tạo nâng cao nhận thức về bảo mật, kiểm soát việc thay đổi các thủ tục.
Technical controls - Kiểm soát kỹ thuật [hay còn gọi là kiểm soát logical] : Bao gồm việc triển khai thực hiện và duy trì cơ chế kiểm soát truy cập, quản lý tài nguyên và mật khẩu, phương pháp định danh và xác thực, thiết bị an ninh và cấu hình cơ sở hạ tầng.
Physical controls - Kiểm soát vật lý : Bao gồm kiểm soát truy cập từng cá nhân ra vào các cơ sở và các phòng ban, khóa vật lý hệ thống, loại bỏ ổ CDROM, bảo vệ vành đai vật lý tòa nhà chứa hệ thống, giám sát những sự kiện phá hoại, tấn công và kiểm soát môi trường vật lý.
Hình trên đây minh họa một bức tranh tổng thể, kết hợp với nhau giữa các phương pháp kiểm soát Administrative, Technical và Physical để cung cấp một mức độ bảo vệ cần thiết
Data Classification
Chúng ta không thể thực hiện bất cứ công việc gì nếu như lãnh đạo không hỗ trợ, điều này là chắc chắn, chúng ta cần có những nhân viên để làm việc khi quy trình vận hành, nhưng yếu tố lớn nhất để thành công một chương trình bảo mật là phải đảm bảo được an ninh bắt nguồn từ phía các lãnh đạo cấp cao trong công ty [Top]. Với sự dẫn dắt của lãnh đạo cấp cao, chúng ta có thể bảo đảm sự thành công bằng cách thiết lập một đề án Data Classification [Phân Loại Dữ Liệu], phân loại để chi ? Để nhân viên toàn tổ chức nhận ra được tầm quan trọng của dữ liệu mà họ đang làm việc hàng ngày với nó.
Thông tin tổ chức là sự sở hữu độc quyền hoặc bí mật cần phải được bảo vệ. Phân loại dữ liệu là một cách hữu ích nhất để xếp loại tài sản thông tin [informational assets] của tổ chức. Có hai phương pháp phổ biến nhất để phân loại dữ liệu là Military và Public/Private.
Nhiều tổ chức lưu trữ và xử lý rất nhiều thông tin điện tử quan trọng về khách hàng và nhân viên của họ, vì thế họ rất cần những biện pháp phòng vệ thích hợp để bảo vệ những thông tin này.
Cả hai phương pháp phân loại Military và Public/Private đều thực hiện công việc bằng cách xếp loại [categories] thông tin. Bước đầu tiên của quá trình này là để đánh giá, giá trị của thông tin. Khi giá trị này được xác định, nó sẽ trở nên dễ dàng hơn cho việc phân bố nguồn lực dùng để bảo vệ dữ liệu. Sẽ là một việc làm vô nghĩa nếu như chúng ta phải bỏ ra kinh phí quá lớn để bảo vệ một cái gì đó có giá trị thấp hoặc vô giá trị.
Mỗi cấp độ phân loại muốn được thiết lập cần có yêu cầu cụ thể và các thủ tục cần thiết. Mô hình phân loại dữ liệu theo Military và Commercial đều đã có các cấp độ rõ ràng. Một khi tổ chức quyết định một mô hình sử dụng, có thể đánh giá dữ liệu bằng các tiêu chí như sau :
- The value of the data - Giá trị của dữ liệu
- Its age - Thời gian tồn tại của nó
- Laws - Liên quan đến luật
- Regulations pertaining to its disclosure - Quy chế liên quan đến việc công bố dữ liệu
- Replacement cost - Chi phí thay thế nếu xảy ra mất mát
Military Data Classification
Hệ thống phân loại dữ liệu Military được sử dụng rộng rãi trong Department of Defense - DoD [Bộ Quốc Phòng]. Hệ thống này có năm mức độ phân loại:
- Unclassified : Không phân loại
- Sensitive : Nhạy cảm
- Confidential : Bí mật
- Secret : Bí mật cấp độ nghiêm trọng
- Top Secret : Tối mật !
Mỗi mức độ đại diện cho sự gia tăng độ nhạy cảm của thông tin. Sensitivity là mức độ mong muốn thông tin cần được lưu trữ và bảo mật. Nếu có một cá nhân nắm giữ một số thông tin mật, anh ta được quyền truy cập vào thông tin ở mức độ unclassified, sensitive hoặc confidential.
Thông tin cần biết của cá nhân này sẽ không được mở rộng tới mức độ Secret hoặc Top Secret. Khái niệm "need-to-know" [cần phải biết] nó tương tự như các nguyên tắc đặc quyền tối thiểu, trong đó người nhân viên chỉ được quyền truy cập vào các thông tin mà người đó cần biết để hoàn thành công việc được giao, các thông tin còn lại miễn được phép để ý tới.
Bảng dưới đây cung cấp chi tiết về mô hình phân loại dữ liệu Military và Public/Private :
Commercial Business Classifications
Military Classifications
Top secret
Confidential
Secret
Private
Confidential
Sensitive
Sensitive
Public
Unclassified
Public/Private Data Classification
Việc phân loại Public/Private hay còn gọi là Commercial được dựa trên bốn mức độ như sau :
Public—Thông tin được xếp loại vào đây không cần thiết phải tiết lộ, nhưng nếu xảy ra trường hợp đó, nó cũng không gây ra bất cứ thiệt hại nào cả.
Sensitive—Thông tin được xếp loại vào đây đòi hỏi mức độ bảo vệ tương đối để tránh thất thoát dữ liệu bí mật.
Private—Thông tin được xếp loại vào đây chỉ được phép sử dụng trong nội bộ tổ chức, nếu bị thất thoát ra ngoài gây thiệt hại cho công ty.
Confidential—Thông tin được xếp loại vào đây thuộc loại nhạy cảm cao nhất, nếu bị thất thoát ra ngoài sẽ gây thiệt hại vô cùng lớn cho công ty.
Roles and Responsibility - Vai trò và Trách nhiệm
Như chúng ta đã trao đổi qua về tầm quan trọng của việc phân loại dữ liệu, một vấn đề cũng quan trọng không kém là sự phân chia rõ ràng về vai trò và trách nhiệm. Điều này sẽ là một sự hỗ trợ rất lớn khi xử lý bất kỳ vấn đề liên quan đến bảo mật. Tất cả mọi người đều phải chấp nhận sự áp dụng của chính sách bảo mật, bao gồm nhân viên, chuyên gia tư vấn và các công ty cung cấp giải pháp.
Danh sách dưới đây nhấn mạnh một số vị trí của tổ chức chịu những trách nhiệm và vai trò khác nhau, liên quan đến an ninh của tổ chức. Vai trò thường bao gồm chủ sở hữu [owner], giám sát dữ liệu [data custodian], người dùng [user], và kiểm toán an ninh [security auditor]:
Data Owner - Chủ sở hữu dữ liệu
Thường là một thành viên trong ban lãnh đạo cấp cao. Sau tất cả mọi thứ, lãnh đạo cấp cao sẽ là người chịu trách nhiệm về tài sản, nếu tài sản bị tổn hại, thì người này phải chịu trách nhiệm. Chủ sở hữu dữ liệu có thể ủy quyền công việc cho các nhân viên cấp dưới nhưng không thể giao hoàn toàn trách nhiệm cho họ, tóm lại lãnh đạo cao nhất sẽ là người chịu trách nhiệm cuối cùng nếu xảy ra sự cố.
Data Custodian - Giám sát viên dữ liệu
Thường là nhân viên thuộc bộ phận CNTT. Giám sát viên dữ liệu không quyết định những gì sẽ phải kiểm soát, mà chỉ thực hiện việc kiểm soát thay mặt Data Owner. Ngoài ra còn phụ trách những việc khác như quản lý tài sản, kiểm soát truy cập, thêm hoặc loại bỏ đặc quyền cho người dùng dữ liệu, bảo đảm các phương pháp kiểm soát thích hợp đã được triển khai là một phần công việc hàng ngày của Data Custodian.
User - Người dùng
Đây là vai trò phổ biến nhất mà chúng ta hầu hết ai cũng quen thuộc, bởi vì đây là bộ phận end-user, các nhân viên trong tổ chức. Người dùng có những trách nhiệm như sau : Tuân thủ các yêu cầu, chính sách và thủ tục mà tổ chức đã đặt ra, thực hành các biện pháp giảm thiểu rủi ro [ practie due care].
Due care là một thuật ngữ dùng trong pháp lý, được sử dụng để xác định tính trách nhiệm tại một tòa án pháp luật. Nếu một người nào đó thực hành "due care", họ sẽ được đánh giá là có trách nhiệm, giúp cho xác suất chứng minh họ cẩu thả, chứng minh họ phải chịu trách nhiệm về sự cố xảy ra sẽ được giảm xuống đáng kể.
Due care còn được định nghĩa : hành động giảm thiểu rủi ro.
Bằng cách xây dựng một nhóm quản lý an ninh [security administration group], tổ chức đảm bảo sẽ không bị mất tập trung về vấn đề an ninh, mà có một cơ cấu phân cấp rõ ràng, ngoài ra công việc chính của các nhân viên an ninh là đảm bảo hoàn thành chỉ thị do người quản lý an ninh đề ra.
Thông thường, lãnh đạo cấp cao thường ít quan tâm đến các vấn đề an ninh thông tin, bất chấp thực tế rằng khi có sự cố an ninh nghiêm trọng xảy ra, lãnh đạo cấp cao phải giải thích lý do cho đối tác kinh doanh, cổ đông và công chúng. Có khi sau một sự cố, lãnh đạo cấp cao mới nhìn nhận ra được vấn đề và mong muốn tham gia quản lý chương trình bảo mật của tổ chức. Vì thế, một mối quan hệ mật thiết giữa nhóm quản lý an ninh và lãnh đạo cấp cao cần được phát triển ngay từ buổi đầu.
Người quản lý yếu kém có thể làm suy yếu toàn bộ nỗ lực xây dựng an ninh thông tin trong tổ chức. Trong số các lý do yếu kém như : không hoàn toàn hiểu được sự cần thiết của nhu cầu an ninh, đem mục tiêu an ninh của tổ chức ra cạnh tranh với các mục tiêu của những người quản lý khác, xem quản lý an ninh là việc tốn kém và không cần thiết, quản lý áp dụng dịch vụ theo kiểu làm cho có chứ không hỗ trợ thực sự để bảo mật.
Công nghệ tối tân, thiết bị tốt, chính sách, thủ tục, phương pháp hợp lý là những thứ cần thiết để cung cấp mức độ chính xác cho vấn đề an ninh, nhưng nếu thiếu đi sự quản lý an ninh và sự hỗ trợ an ninh, thì đây mới là vấn đề thực sự.
Một ví dụ về Quản Lý An Ninh :
Bất cứ ai đã từng tham gia xây dựng một chương trình an ninh cũng đều hiểu rằng nó phải đảm bảo được sự cân bằng giữa việc bảo vệ an ninh và không ảnh hưởng đến các chức năng cần thiết của end-users dùng để hoàn thành công việc.
Một trường hợp thường xảy ra vào lúc bắt đầu các dự án về an ninh là các cá nhân xây dựng xác định được kết quả cuối cùng mà họ cần đạt được, bằng những ý tưởng táo bạo để hoàn thành công việc một cách nhanh chóng, đem lại hiệu quả cao, nhưng họ quên một điều ! Đó là tham khảo ý kiến end-user về những hạn chế mà end-user sẽ phải chấp hành. End-users, sau khi nghe về những hạn chế, họ thông báo lên người quản lý dự án rằng có thể họ sẽ không thực hiện được một số phần công việc, nếu như việc triển khai bảo mật diễn ra. Điều này thường khiến cho các dự án, các chương trình bảo mật bị ngưng lại.
Để giảm thiểu tình trạng này, trước tiên người quản lý dự án an ninh cần phải khởi tạo một số đánh giá phù hợp, thẩm định và lên kế hoạch làm thế nào để áp dụng phương pháp bảo mật vào môi trường một cách từ tốn, không ào ào, làm thế nào để người dùng cảm thấy vẫn dễ sử dụng và chấp nhận những giới hạn mới này theo thời gian.
Việc không tham khảo ý kiến người dùng đầu cuối hoặc không hiểu rõ quy trình kinh doanh của tổ chức trong giai đoạn lên kế hoạch, sẽ rất nhức đầu, tốn kém thời gian và tiền bạc. Người chịu trách nhiệm xây dựng chương trình bảo mật cần phải nhận ra rằng họ có trách nhiệm phải hiểu rõ về môi trường làm việc, cũng như lên kế hoạch hợp lý trước giai đoạn kich-off thực hiện một chương trình bảo mật cho tổ chức.
------------------------