Tổng quan

Tiêu chuẩn ISO / IEC 27033-4: 2014

Giới thiệu

Phần lớn các tổ chức thương mại và chính phủ có hệ thống thông tin của họ được kết nối bằng mạng, với các kết nối mạng là một hoặc nhiều loại sau:

- Trong tổ chức.
- Giữa các tổ chức khác nhau.
- Giữa tổ chức và công chúng.

Hơn nữa, với sự phát triển nhanh chóng của công nghệ mạng công khai (đặc biệt với Internet) mang lại cơ hội kinh doanh đáng kể, các tổ chức đang ngày càng tiến hành kinh doanh điện tử trên quy mô toàn cầu và cung cấp các dịch vụ công trực tuyến. Các cơ hội bao gồm việc cung cấp thông tin liên lạc dữ liệu với chi phí thấp hơn, sử dụng Internet đơn giản như một phương tiện kết nối toàn cầu, thông qua các dịch vụ phức tạp hơn do Nhà cung cấp dịch vụ Internet (ISP) cung cấp. Điều này có nghĩa là việc sử dụng các điểm gắn kết cục bộ với chi phí tương đối thấp ở mỗi đầu của mạch điện cho các hệ thống cung cấp dịch vụ và giao dịch điện tử trực tuyến quy mô đầy đủ, sử dụng các ứng dụng và dịch vụ dựa trên web. Hơn nữa, công nghệ mới (bao gồm tích hợp dữ liệu, thoại và video) tăng cơ hội làm việc từ xa (còn được gọi là teleworking hoặc telecommuting). Các nhà viễn thông có thể giữ liên lạc thông qua việc sử dụng các phương tiện từ xa để truy cập vào các mạng tổ chức và cộng đồng cũng như các thông tin và dịch vụ hỗ trợ kinh doanh liên quan.

Tuy nhiên, trong khi môi trường này tạo điều kiện cho các lợi ích kinh doanh đáng kể, có những mối đe dọa bảo mật mới cần được quản lý. Với các tổ chức chủ yếu dựa vào việc sử dụng thông tin và các mạng liên kết để tiến hành hoạt động kinh doanh của họ, việc mất tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin và dịch vụ có thể gây ra những tác động tiêu cực đáng kể đến hoạt động kinh doanh. Do đó, cần phải bảo vệ đúng cách các mạng và hệ thống thông tin và thông tin liên quan của chúng. Nói cách khác, việc triển khai và duy trì an ninh mạng đầy đủ là rất quan trọng đối với sự thành công của hoạt động kinh doanh của bất kỳ tổ chức nào.

Trong bối cảnh đó, ngành viễn thông và công nghệ thông tin đang tìm kiếm các giải pháp bảo mật toàn diện hiệu quả về chi phí, nhằm bảo vệ mạng chống lại các cuộc tấn công nguy hiểm và các hành động không chính xác vô tình, do đó đáp ứng các yêu cầu kinh doanh về tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin và dịch vụ. Bảo mật mạng cũng là điều cần thiết để đạt được thanh toán chính xác cho việc sử dụng mạng. Khả năng bảo mật trong sản phẩm rất quan trọng đối với an ninh mạng tổng thể (bao gồm các ứng dụng và dịch vụ). Tuy nhiên, khi có nhiều sản phẩm được kết hợp để cung cấp các giải pháp tổng thể, thì khả năng tương tác hoặc sự thiếu hụt chúng sẽ xác định sự thành công của giải pháp. Bảo mật không chỉ phải là một chủ đề quan tâm đối với mỗi sản phẩm hoặc dịch vụ,

Mục đích của ISO / IEC 27033-4 , Bảo mật thông tin liên lạc giữa các mạng sử dụng cổng bảo mật, là cung cấp hướng dẫn về cách xác định và phân tích các mối đe dọa an ninh mạng liên quan đến cổng bảo mật, xác định các yêu cầu an ninh mạng đối với cổng bảo mật dựa trên phân tích mối đe dọa, giới thiệu thiết kế kỹ thuật để đạt được kiến ​​trúc an ninh kỹ thuật mạng nhằm giải quyết các mối đe dọa và các khía cạnh kiểm soát liên quan đến các kịch bản mạng điển hình và giải quyết các vấn đề liên quan đến việc triển khai, vận hành, giám sát và xem xét các biện pháp kiểm soát an ninh mạng với các cổng bảo mật.

Cần nhấn mạnh rằng ISO / IEC 27033-4 có liên quan đến tất cả nhân viên tham gia vào việc lập kế hoạch chi tiết, thiết kế và triển khai các cổng bảo mật (ví dụ: kiến ​​trúc sư và nhà thiết kế mạng, người quản lý mạng và cán bộ an ninh mạng).

1 Phạm vi

Phần này của ISO / IEC 27033 đưa ra hướng dẫn để đảm bảo thông tin liên lạc giữa các mạng sử dụng cổng bảo mật (tường lửa, tường lửa ứng dụng, Hệ thống bảo vệ xâm nhập, v.v.) theo chính sách bảo mật thông tin được lập thành văn bản của các cổng bảo mật, bao gồm:

a) Xác định và phân tích các mối đe dọa an ninh mạng liên quan đến các cổng bảo mật;
b) Xác định các yêu cầu an ninh mạng đối với các cổng bảo mật dựa trên phân tích mối đe dọa;
c) Sử dụng các kỹ thuật thiết kế và thực hiện để giải quyết các mối đe dọa và các khía cạnh kiểm soát liên quan đến các kịch bản mạng điển hình; và
d) Giải quyết các vấn đề liên quan đến việc thực hiện, vận hành, giám sát và xem xét các biện pháp kiểm soát cổng an ninh mạng.

2 Tài liệu tham khảo

Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27033-1 , Công nghệ thông tin - Kỹ thuật bảo mật - An ninh mạng - Phần 1: Tổng quan và khái niệm

Xem Preview Tiêu chuẩn ISO / IEC 27033-4: 2014

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.