Trong quản lý an ninh mạng, hãy cung cấp cho nhân viên 3 ba nguyên tắc chính về quyền truy cập thông tin cần thiết cho công việc, ngăn chặn người không có thẩm quyền thay đổi các tài liệu quan trọng của công ty, cân bằng giữa tốc độ truy cập và kiểm soát an ninh. Cụ thể:

Nguyên tắc 1: Nguyên tắc ít đặc quyền nhất

Yêu cầu của nguyên tắc đặc quyền ít nhất là chỉ cung cấp cho nhân viên các quyền truy cập thông tin cần thiết để hoàn thành công việc của chính họ trong quản lý an ninh mạng doanh nghiệp, mà không cung cấp các quyền bổ sung khác. Chẳng hạn như báo cáo lưu chuyển tiền tệ của công ty.

Lúc này khi thiết lập quyền cần thiết lập nhân viên chung và quản lý cấp cao theo nguyên tắc ít quyền nhất, nếu là nhân viên phổ thông thì chức năng của nó sẽ truy vấn các thư mục mà nó truy cập được, nhưng nó sẽ không có quyền truy cập. Thư mục quyền, máy chủ sẽ từ chối quyền truy cập của nó.

{keywords}
Đảm bảo an ninh mạng là thử thách khó khăn đối với các doanh nghiệp vừa và nhỏ tại Việt Nam. (Ảnh minh họa)

Ngoài nguyên tắc đặc quyền ít nhất được phản ánh trong đặc quyền truy cập này, nguyên tắc phổ biến nhất là kiểm soát việc đọc và ghi. Vì vậy, để đảm bảo an toàn cho các ứng dụng mạng doanh nghiệp cần tuân thủ nguyên tắc “đặc quyền ít nhất” thay vì áp dụng nguyên tắc “đặc quyền tối đa” vì sự thuận tiện trong quản lý.

Nguyên tắc 2: Nguyên tắc toàn vẹn

Nguyên tắc toàn vẹn có nghĩa là trong quản lý an ninh mạng của công ty, cần đảm bảo rằng các cá nhân không được phép không thể thay đổi hoặc xóa thông tin, đặc biệt là ngăn những người không được phép thay đổi các tài liệu quan trọng của công ty, chẳng hạn như thông tin tài chính của công ty, thông tin liên hệ của khách hàng. Nguyên tắc toàn vẹn chủ yếu được phản ánh ở hai khía cạnh trong việc áp dụng an ninh mạng doanh nghiệp.

Người không có thẩm quyền không được thay đổi hồ sơ thông tin. Ví dụ, trong hệ thống ERP của một doanh nghiệp, mặc dù bộ phận tài chính có quyền truy cập thông tin của khách hàng nhưng bộ phận này không có quyền sửa đổi.

Có nghĩa là nếu ai đó sửa đổi, lịch sử sửa đổi phải được lưu cho truy vấn tiếp theo. Trong một số trường hợp, nếu người khác không được phép sửa đổi thông tin của người sáng lập, nó cũng có phần cứng nhắc. Ví dụ, người quản lý mua hàng có quyền sửa đổi hoặc làm mất hiệu lực đơn đặt hàng do người mua đặt. Xử lý tình huống này như thế nào?

Trong hệ thống ERP (Enterprise resource planning, hệ thống hoạch định nguồn lực doanh nghiệp), nó có thể được xử lý thông qua các đơn hàng thay đổi mua hàng.  Do đó, yêu cầu thứ hai của nguyên tắc toàn vẹn là lưu giữ nhật ký thay đổi cần thiết khi thực hiện các thay đổi để thuận tiện cho việc theo dõi tiếp theo.

Tóm lại, nguyên tắc toàn vẹn yêu cầu rằng trong công việc quản lý bảo mật, cần đảm bảo rằng những người không có thẩm quyền sửa đổi thông tin một cách bất hợp pháp, và tốt nhất là lưu giữ hồ sơ lịch sử về việc sửa đổi nội dung thông tin. Ví dụ, quản trị viên mạng có thể sử dụng quản lý nhật ký của Rishiqing. Chức năng, một bản ghi chi tiết về việc sửa đổi nội dung thông tin hàng ngày, có thể là tài liệu tham khảo tốt cho việc xem xét và kiểm tra sau này.

Nguyên tắc 3: Nguyên tắc cân bằng giữa tốc độ và kiểm soát

Khi có nhiều hạn chế khác nhau đối với thông tin, chắc chắn nó sẽ có tác động đến tốc độ truy cập thông tin. Ví dụ, khi đơn mua hàng cần thay đổi, nhân viên không thể trực tiếp sửa đổi chứng từ gốc mà cần phải sửa đổi đơn hàng thay đổi. Điều này sẽ ảnh hưởng nhất định đến hiệu quả công việc. Vấn đề đòi hỏi phải tìm được sự cân bằng giữa tốc độ truy cập và kiểm soát bảo mật, hoặc sự thỏa hiệp giữa hai yếu tố này.

Ngoài ra, doanh nghiệp sử dụng không gian mạng có trách nhiệm tuân thủ quy định của pháp luật về bảo vệ an ninh mạng; kịp thời cung cấp thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ đe dọa an ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan quản lý nhà nước có thẩm quyền, lực lượng bảo vệ an ninh mạng.

Cơ quan, tổ chức, cá nhân sử dụng không gian mạng có trách nhiệm thực hiện yêu cầu và hướng dẫn của cơ quan quản lý nhà nước có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng theo quy định tại Điều 42 của Luật An ninh mạng 2018, có hiệu lực thi hành tại Việt Nam kể từ ngày 1/1/2019.

Thúy Tình