CISSP - Change management – Quản lý thay đổi

Thay đổi trong hệ thống thông tin bao gồm các nội dung nâng cấp, vá lỗi, bổ sung tính năng, thay đổi phần cứng, …

Khi thực hiện thay đổi, có thể sẽ xảy ra thiếu sót, trùng lắp, … dẫn đến hệ thống không còn ổn định hay xuất hiện những lỗ hổng bảo mật mới. Cách duy nhất để khắc phục chuyện này là quản lý thay đổi một cách có hệ thống.

Công việc này thông thường bao gồm việc lập kế hoạch (planning), thử nghiệm (testing), ghi vết (logging), đánh giá (auditing), giám sát (monitoring) các hoạt động có ảnh hưởng đến các cơ chế bảo mật và các kiểm soát bảo mật.

Hai mục tiêu chính của việc quản lý thay đổi là đảm bảo rằng sau khi thay đổi không làm giảm hoặc làm ảnh hưởng đến bảo mật và có thể rollback lại bất cứ thay đổi nào để đưa hệ thống về trạng thái trước đó.

Quản lý thay đổi đều cần thiết cho bất kỳ một hệ thống nào, tuy nhiên nó là yêu cầu bắt buộc đối với những hệ thống đạt phân loại B2, B3, và A1 trong hệ thống phân loại ITSEC (Information Technology Security Evaluation and Criteria – Xem tài liệu đính kèm)

Triển khai hệ thống quản lý thay đổi làm tăng mức độ an toàn của hệ thống bằng cách ngăn chặn các thay đổi không chủ ý, không có tổ chức đối với hệ thống bảo mật đã được thiết lập và đang vận hành.

Quản lý thay đổi giám sát các thay đổi ở mọi khía cạnh của hệ thống như cấu hình phần cứng, phần mềm, hệ điều hành. Đồng thời nên được tích hợp trong các giai đoạn thiết kế, phát triển, thử nghiệm, đánh giá, cài đặt, phân phối, … và cả ngay trong lúc đang vận hành và trong quá trình sửa đổi.

Thêm một yêu cầu cho việc quản lý thay đổi là phải tập hợp và lưu giữ tất cả các tài liệu, văn bản cho mỗi thành phần của hệ thống, từ phần cứng đến phần mềm, từ cấu hình cho đến các chức năng.

Tóm lại, hệ thống quản lý thay đổi cần đạt được mục tiêu:

– Thực hiện việc thay đổi một cách có giám sát và có trật tự. Tất cả thay đổi luôn luôn được kiểm soát

– Luôn có một quy trình chuẩn để kiểm thử tất cả các thay đổi để xác nhận rằng thay đổi đó luôn cho ra kết quả như mong đợi

– Tất cả các thay đổi đều có thể đảo ngược (rollback)

– Người dùng luôn được thông báo về việc thay đổi trước khi chúng xảy ra

– Những anh hưởng của việc thay đổi phải được phân tích một cách có hệ thống

– Giảm thiểu các anh hưởng xấu của thay đổi

Dịch và bổ sung theo Certified Information Systems Security Professional Study Guide – fourth edition – Wiley publishing

Source: phongbt.wordpress.com