HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA ANTỒN THƠNG TIN BÁO CÁO MƠN HỌC QUẢN LÍ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN  Đề tài: Khả giảm thiểu mối đe dọa từ nội doanh nghiệp sách An tồn thơng tin Nhóm sinh viên thực hiện: TRẦN TUẤN LÂM                    PHẠM VĂN THÁI                 TRẦN ANH TUẤN Giảng viên hướng dẫn: PHẠM DUY TRUNG Hà Nội, 12-2021 MỤC LỤC MỤC LỤC .2 DANH MỤC CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH ATTT 1.1 Khái niệm sách ATTT 1.2 Mục đích sách ATTT 1.3 Chính sách ATTT bao gồm 1.4 Yêu cầu đặt sách ATTT CHƯƠNG TỔNG QUAN VỀ MỐI ĐE DỌA TRONG NỘI BỘ DOANH NGHIỆP 2.1 Nhân viên nội gì? .9 2.2 Mối đe dọa nội gì? 2.3 Vì mối đe dọa nội lại nguy hiểm? 10 2.4 Các loại mối đe dọa nội 11 2.4.1 Đe dọa không chủ ý 11 2.4.2 Đe doạ có chủ đích 11 2.4.3 Các mối đe dọa khác 12 2.5 Mối đe dọa nội xảy nào? 12 2.5.1 Bạo lực .12 2.5.2 Gián điệp 13 2.5.3 Phá hoại 13 2.5.4 Trộm cắp 14 2.5.5 Mối đe dọa không gian mạng 14 CHƯƠNG CÁC PHƯƠNG PHÁP ĐÁNH GIÁ KHẢ NĂNG GIẢM THIỂU MỐI ĐE DỌA TỪ NỘI BỘ DOANH NGHIỆP CỦA CHÍNH SÁCH ATTT .15 3.1 Trường hợp sơ suất nội .15 3.2 Thu thập sách ATTT 16 3.3 Phân loại trường hợp 17 3.3.1 Động 17 3.3.2 Sự kiện kết tủa 18 3.3.3 Mục tiêu công .19 CHƯƠNG PHÂN TÍCH CÁC CHÍNH SÁCH ATTT TRONG VIỆC GIẢM THIỂU CÁC MỐI ĐE DỌA TỪ NỘI BỘ DOANH NGHIỆP .20 4.1 Lỗi người 21 4.2 Chính sách không tuân thủ .21 4.3 Email .21 4.4 Xử lý tài nguyên không cách 22 4.5 Vận chuyển liệu 22 4.6 Kỹ nghệ xã hội 23 4.7 Bảo vệ chống lại vi-rút phần mềm độc hại .23 4.8 Dữ liệu bảo vệ không cách 23 4.9 Dữ liệu chép vào thiết bị khơng an tồn 24 4.10 Tổng hợp .24 CHƯƠNG KẾT LUẬN .27 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Ý nghĩa ATTT An tồn thơng tin LỜI NÓI ĐẦU Trong thời kỳ chuyển đổi số, vấn đề bảo mật thông tin liệu nội thách thức doanh nghiệp Công nghệ thông tin mạng internet yếu tố thiếu việc vận hành quản lý doanh nghiệp, tổ chức Tuy nhiên, không kết hợp bảo mật tốt dẫn tới rủi ro tiềm ẩn vô lớn Những liệu nội công ty bị mất, rị rỉ thơng tin khách hàng, gây tổn thất cho khách hàng, người liên quan cho doanh nghiệp Khách hàng dễ niềm tin dẫn đến vụ kiện không mong muốn cho doanh nghiệp Kẻ xấu làm tê liệt hệ thống, kiểm sốt thơng tin, liệu doanh nghiệp, tạo tin giả gây ảnh hưởng danh tiếng, hoạt động sản xuất kinh doanh Bên cạnh đó, hacker lợi dụng sơ hở việc bảo mật doanh nghiệp để gửi đường link giả mạo, phần mềm độc hại, sau đánh cắp liệu cách dễ dàng Lúc này, doanh nghiệp đối mặt với thơng tin giả mạo, thất thốt, rị rỉ liệu, bị tung tin sai thật công ty điều gây tổn hại nghiêm trọng đến hệ thống, liệu danh tiếng tổ chức Vì việc quản lý xây dựng sách ATTT hiệu nội doanh nghiệp điều cần thiết Nội dung chúng em xin trình bày khả mà sách ATTT doanh nghiệp giảm thiểu mối đe dọa nội doanh nghiệp CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH ATTT 1.1 Khái niệm sách ATTT Là tài liệu giải thích cách doanh nghiệp tổ chức thu thập – lưu trữ – quản lý – sử dụng – chia sẻ thông tin người dùng, đối tác, nhân viên Chính sách ATTT phải thỏa mãn yêu cầu bảo mật thông tin người dùng Là tuyên bố hình thức nhằm mơ tả mục tiêu, ưu tiên mục đích quản lí an tồn hệ thống thông tin cách đạt mục tiêu Ví dụ sách dọn dẹp bàn làm việc:  Các máy tính phải khóa khơng có người sử dụng  Các tủ tài liệu chứa thơng tin hạn chế nhạy cảm phải đóng khóa khơng sử dụng  Mật khơng ghi lên tờ ghi dán máy tính, khơng viết chúng vị trí dễ tiếp cận  Các in có chứa thơng tin bị hạn chế nhạy cảm phải xóa khỏi máy in 1.2 Mục đích sách ATTT  Bảo vệ người thông tin  Đưa quy tắc cho hoạt động người dùng, quản trị hệ thống, quản lí nhân viên an ninh  Cho phép nhân viên an ninh giám sát, thăm dò điều tra  Xác định phê chuẩn hậu vi phạm  Xác định quan điểm sở thống AT tổ chức  Hỗ trợ tối thiểu hóa rủi ro  Hỗ trợ tuân thủ quy định luật lệ 1.3 Chính sách ATTT bao gồm  Phạm vi Đảm bảo phạm vi cần giải tất thơng tin hệ thống, chương trình, liệu, mạng nội tất nhân viên tổ chức bạn Ngồi ra, tổ chức có sách riêng phạm vi cho phịng, phận làm việc  Phân loại thơng tin Người điều hành tổ chức cần cung cấp định nghĩa, nội dung cụ thể việc đảm bảo an ninh thông tin giải pháp bảo mật mạng thay “bí mật” “hạn chế”  Mục tiêu quản lý rõ ràng Tổ chức cần phải đưa mục tiêu rõ ràng quản lý xử lý, khắc phục cố liên quan tới ATTT phân loại (ví dụ nghĩa vụ pháp lý, quy định hợp đồng việc đảm bảo an ninh)  Bối cảnh Một sách ATTT phải đặt trong bối cảnh cụ thể, có hướng dẫn quản lý tài liệu bổ sung theo sát bối cảnh (ví dụ: tất cấp quản lý chấp thuận, tất tài liệu xử lý thơng tin khác phải phù hợp với nó)  Có tài liệu hỗ trợ Bao gồm tài liệu hỗ trợ (ví dụ: vai trị trách nhiệm, q trình, tiêu chuẩn cơng nghệ, thủ tục, hướng dẫn, cách khắc phục ứng cứu cố)  Hướng dẫn cụ thể Bao gồm tài liệu hướng dẫn phương pháp an ninh cho hệ thống nội bộ, phương pháp sử dụng internet an toàn mạng xã hội hay yêu cầu bảo mật cho toàn tổ chức (ví dụ: tất quyền truy cập vào hệ thống máy tính phải yêu cầu xác minh danh tính xác thực, khơng chia sẻ chế xác thực cá nhân)  Có trách nhiệm rõ ràng Tổ chức cần đưa trách nhiệm cụ thể xác lập (ví dụ: phận công nghệ nhà cung cấp đường dây viễn thông, phận kỹ thuật chuyên bảo mật hệ thống mạng, website khắc phục cố)  Hậu Bao gồm hậu cho khơng tn thủ theo sách ATTT tổ chức (ví dụ sa thải chấm dứt hợp đồng làm việc) 1.4      Yêu cầu đặt sách ATTT Kiểm sốt mối đe dọa hệ thống Bao gồm việc bảo vệ người thông tin Thiết lập luật lệ cho người dùng Xác định hậu vi phạm Tối thiểu hóa rủi ro cho tổ chức CHƯƠNG TỔNG QUAN VỀ MỐI ĐE DỌA TRONG NỘI BỘ DOANH NGHIỆP 2.1 Nhân viên nội gì? Nhân viên nội người có quyền truy cập có kiến thức nguồn lực tổ chức, bao gồm nhân sự, sở vật chất, thông tin, thiết bị, mạng hệ thống Ví dụ nhân viên nội bao gồm:  Một người mà tổ chức tin cậy, bao gồm nhân viên, thành viên tổ chức người mà tổ chức cung cấp thông tin nhạy cảm quyền truy cập  Một người cấp huy hiệu thiết bị truy cập xác định họ người có quyền truy cập thường xuyên liên tục (ví dụ: nhân viên thành viên tổ chức, nhà thầu, nhà cung cấp, người giám sát người sửa chữa)  Một người mà tổ chức cung cấp máy tính quyền truy cập mạng  Một người phát triển sản phẩm dịch vụ tổ chức; nhóm bao gồm người biết bí mật sản phẩm cung cấp giá trị cho tổ chức  Một người hiểu biết nguyên tắc tổ chức, bao gồm định giá, chi phí, điểm mạnh điểm yếu tổ chức  Một người hiểu biết chiến lược mục tiêu kinh doanh tổ chức, giao phó kế hoạch tương lai phương tiện để trì tổ chức cung cấp phúc lợi cho người tổ chức  Trong phạm vi chức phủ, nhân viên nội người có quyền truy cập vào thơng tin bảo vệ, bị xâm phạm, gây thiệt hại cho an ninh quốc gia an tồn cơng cộng 2.2 Mối đe dọa nội gì? Mối đe dọa nội khả nhân viên nội sử dụng quyền truy cập hiểu biết ủy quyền họ tổ chức để gây hại cho tổ chức Tác hại bao gồm hành vi có chủ đích xấu, tự mãn vơ ý ảnh hưởng tiêu cực đến tính tồn vẹn, tính bảo mật tính sẵn có tổ chức, liệu, nhân sở tổ chức Cơ quan An ninh mạng Cơ sở hạ tầng (CISA) định nghĩa mối đe dọa nội mối đe dọa mà nhân viên nội sử dụng quyền truy cập ủy quyền họ, dù cố ý không cố ý, để làm tổn hại đến nhiệm vụ, tài nguyên, nhân sự, sở vật chất, thông tin, thiết bị, mạng cơ, hệ thống Mối đe dọa biểu thành thiệt hại thơng qua hành vi nội sau:        Gián điệp Khủng bố Làm tổn hại trái phép Tham nhũng, bao gồm tham gia vào tội phạm có tổ chức xuyên quốc gia Sự phá hoại Bạo lực nơi làm việc Sự mát suy giảm có chủ ý khơng cố ý nguồn lực lực phận 2.3 Vì mối đe dọa nội lại nguy hiểm? Trong báo cáo SANS năm 2019 mối đe dọa nâng cao, chuyên gia bảo mật xác định lỗ hổng lớn phòng thủ mối đe dọa nội thiếu tầm nhìn baseline hành vi người dùng thông thường quản lý tài khoản người dùng đặc quyền, khiến cho chúng trở thành mục tiêu hấp dẫn trường hợp lừa đảo xâm phạm thông tin đăng nhập Phát mối đe dọa nội nhiệm vụ dễ dàng đội an ninh Nhân viên nội có quyền truy cập hợp pháp vào tổ chức thông tin, tài sản tổ chức việc phân biệt người dùng bình thường có chủ đích xấu thách thức Họ người biết nơi đặt vị trí nhạy cảm thường có level truy cập cao Do đó, việc vi phạm liệu nhân viên nội gây gây tốn đáng kể cho tổ chức so với việc gây kẻ cơng bên ngồi Trong nghiên cứu Cost of Insider Threats vào năm 2018 viện Ponemon, chuyên gia nhận thấy tổn thất trung bình hàng năm mối đe dọa 10 CHƯƠNG CÁC PHƯƠNG PHÁP ĐÁNH GIÁ KHẢ NĂNG GIẢM THIỂU MỐI ĐE DỌA TỪ NỘI BỘ DOANH NGHIỆP CỦA CHÍNH SÁCH ATTT Chương mơ tả phương pháp thu thập đánh giá hiệu sách ATTT doanh nghiệp việc đối phó với việc sơ suất làm tổn hại nội cách thảo luận phương pháp thu thập trường hợp sơ suất làm tổn hại nội bộ, sau nêu chi tiết sách thu thập cuối đánh giá trường hợp (dựa mơ hình mơ tả đặc tính cơng) 3.1 Trường hợp sơ suất nội Khái niệm nhân viên nội vừa rõ ràng vừa dễ hiểu Mô tả cải tiến Grietzer et al để đưa định nghĩa ý nghĩa mối đe dọa sơ suất (hoặc không cố ý) nội Việc sử dụng định nghĩa hỗ trợ chuyên gia việc thu thập thông tin trường hợp sơ suất nội Hình Một mơ hình để nắm bắt mối đe dọa nội có chứa số yếu tố chính: “Catalyst” đề cập đến lý bao quát cho cố, "Actor Characteristics” 15 nắm bắt trạng thái tác nhân, “Attack Characteristics” trình bày chi tiết yếu tố liên quan đến công cuối “Organisation Characteristics” bao gồm tài sản tổ chức lỗ hổng bảo mật Các chuyên gia thu thập 60 trường hợp cố đáp ứng mô tả đặc điểm mối đe dọa sơ suất nội từ số từ nguồn khác nhau, bao gồm: viết, báo cáo thức viết có liên quan khác Các chuyên gia không đặt hạn chế quy mô trường hợp thu thập, việc đồng nghĩa với việc chuyên gia xác định thu thập trường hợp mà kích thước phạm vi cố khơng phải tiêu chí lựa chọn chuyên gia Các chuyên gia thu thập trường hợp với mục đích đưa phận tiêu biểu loại cố loạt ngành công nghiệp bị ảnh hưởng mối đe dọa nội Những trường hợp mà chuyên gia có thu thập tất cố phản ánh phát báo cáo vòng 10 năm qua Các chuyên gia sử dụng mơ hình đặc điểm mối đe dọa nội trước để cung cấp sở cho việc phân tích trường hợp thu thập Mơ hình tạo để nắm bắt tất điểm liệu quan trọng liên kết với trường hợp mối đe dọa nội (cả chủ đích xấu khơng chủ đích xấu) Mơ hình tạo điều kiện thuận lợi cho việc nắm bắt điểm cố, làm bật yếu tố thích hợp liên quan đến trường hợp mà chuyên gia thu thập Điều cung cấp cho chuyên gia tập liệu quán tất trường hợp thu thập Một ví dụ mơ hình nhìn thấy Hình Mơ hình đặc điểm sử dụng để mã hóa tập hợp trường hợp thu thập chuyên gia, cách sử dụng lập trình viên 3.2 Thu thập sách ATTT Các chuyên gia thu thập mẫu 10 sách ATTT cơng bố cơng khai Internet, qua loạt lĩnh vực khác nhau: học thuật (3 sách), quyền địa phương (3 sách), y tế (1 sách), tài (1 sách), khoa học cơng nghệ (1 sách) thực thi pháp luật (1chính sách) Các sách ATTT chọn đưa nhìn phân bổ ngành 16 nghề trường hợp thu thập mối đe dọa nội Ngoài sách thực tế thu thập, chuyên gia sử dụng sách mẫu,công khai mạng Lý cho việc bao gồm sách mẫu mẫu phân tích chuyên gia việc mẫu sách số tổ chức sử dụng thực tế điều thấy trước Do thiếu tính khả dụng, sách chọn khơng liên kết với tổ chức đại diện trường hợp sơ suất nội chuyên gia Tất sách ATTT sử dụng nghiên cứu chuyên gia ẩn danh 3.3 Phân loại trường hợp Mơ hình Hình thiết kế để nắm bắt hai cố nội chủ đích xấu khơng chủ đích xấu Việc ánh xạ trường hợp thu thông qua thông tin tài liệu,cho thấy cần thiết phải mở rộng phạm vi số thành phần mơ hình Điều nhằm đảm bảo tất thông tin liên quan thu thập cho trường hợp mối đe dọa nội Dưới chuyên gia thảo luận ngắn gọn sửa đổi yêu cầu 3.3.1 Động Một thay đổi rõ ràng xác định khơng có ý đồ xấu xảy cố tất trường hợp phân tích Điều sau nhấn mạnh Jones Ashenden, người 17 Hình Phân tích lý do, hành động tác động mối đe dọa nội việc khơng có chủ đích xấu động yếu tố giúp tách cố sơ suất nội khỏi hành vi cố ý mối đe dọa nội 3.3.2 Sự kiện kết tủa Công việc trước chuyên gia mô tả kiện kết tủa kiện quan trọng có khả khiến nhân viên nội trở thành mối đe dọa cho sếp họ Khái niệm 'điểm tới hạn' không áp dụng trực tiếp xem xét cố làm tổn hại nội Các trường hợp nghiên cứu tiết lộ có kiện khiến cá nhân tác động tiêu cực đến tổ chức họ.Magklaras Furnell đề xuất lý cho sơ suất sử dụng sai hệ thống máy tính: kiến thức hệ thống khơng đầy đủ,các yếu tố ảnh hưởng đến cơng việc liên quan đến hiệu suất (ví dụ: khối lượng cơng việc q tải), cuối thiếu nhận thức đào tạo bảo mật Khi xem xét cố lộ thông tin nội bộ, quan tâm đến lý nhân viên mắc lỗi lần chuyên gia mở rộng kiện kết tủa để xem xét lý chung cố, ví dụ rị rỉ liệu nhạy cảm qua email đào tạo không đầy đủ nhận thức chưa đắn sách 18 3.3.3 Mục tiêu cơng Khi xem xét mối đe dọa có chủ đích xấu nội , mục tiêu công vạch rõ ràng Ví dụ, nhân viên chép liệu tổ chức nhạy cảm để chuyển cho đối thủ cạnh tranh có mục tiêu xác định làm rị rỉ thơng tin tổ chức đối thủ Ngược lại với kiện kết tủa, xem xét mục tiêu công cố, chuyên gia quan tâm đến mục đích nhân viên nội cố xảy (ví dụ: người dùng cố tải liệu đến máy chủ tệp an toàn) Phân loại trường hợp thu thập đưa sở để so sánh phát chuyên gia với số sách ATTT có Trong q trình phân loại, rõ ràng có số chủ đề lặp lại, tất trường hợp đe dọa nội Hình minh họa việc cô đọng lại trường hợp thu thập được, chúng sử dụng để phân tích phạm vi tiện ích sách ATTT có, chia nhỏ thành ba loại chính: • Lý - Ngun nhân cố gì? • Hành động - Điều thực khơng xác? • Tác động - Tác động cố gì? Sự phân loại, liệt kê trên, cung cấp thông tin trọng tâm liên quan trực tiếp đến loại điều khoản quy định sách ATTT Lấy ví dụ, chuyên gia xem xét tác động việc liệu vật lý điện tử tổ chức thường có phần riêng biệt sách để kiểm soát việc quản lý liệu lưu trữ phần cứng phương tiện điện tử 19 CHƯƠNG PHÂN TÍCH CÁC CHÍNH SÁCH ATTT TRONG VIỆC GIẢM THIỂU CÁC MỐI ĐE DỌA TỪ NỘI BỘ DOANH NGHIỆP Kết Bảng I cung cấp nhìn tổng quan phạm vi sách ATTT so sánh với lý hành động mối đe dọa nội bộ, thấy trường hợp phân tích chuyên gia Ở đây, Lý nguyên nhân cố (ví dụ: sử dụng phần mềm khơng xác) Hành động điều thực khơng xác (ví dụ: email bị gửi nhầm người nhận) Trong Bảng 1, số sách tương ứng với ngành sau: 1–3 Viện hàn lâm, 4–6 Chính quyền địa phương, Y tế, Tài chính, Khoa học công nghệ, 10 Thực thi pháp luật 11–15 Chính sách mẫu Dấu tích màu xanh cho biết Bảng 1: Độ bao quát sách ATTT đối chiếu với nguyên hành động mối đe dọa nội sách có chứa điều khoản để giảm thiểu lý hành động liệt kê dấu thập đỏ biểu thị việc thiếu độ bao quát sách Phần 20 lại mục cung cấp nhìn chi tiết việc phân tích sách chuyên gia, bao gồm thảo luận điều khoản liên quan tới sách ATTT thu thập 4.1 Lỗi người 80% sách bảo mật phân tích chứa điều khoản coi cố rủi ro lỗi người nhân tố gây cố đưa số hình thức kiểm sốt chỗ để chống lại Ví dụ, sách học thuật khảo sát có chứa điều khoản nêu rõ biện pháp kiểm soát phải áp dụng để bảo chống lại “lỗ hổng bảo mật, ví dụ: đánh địa khơng xác chuyển hướng sai, độ tin cậy chung tính khả dụng dịch vụ ” Điều trái ngược với kiểm soát ngăn chặn việc sử dụng sai phần mềm tổ chức, nơi 80% sách xét khơng u cầu thực loại đào tạo phần mềm nào.Tuy nhiên, điều xuất thường xuyên sách ATTT mẫu sách doanh nghiệp Ví dụ, sách thực từ quyền địa phương u cầu để đảm bảo tính tồn vẹn liệu tổ chức, nhân viên nên “được đào tạo ứng dụng họ yêu cầu truy cập gói phần mềm họ yêu cầu sử dụng” Tuy nhiên, sách ghi lại đánh giá tính phù hợp tính hiệu việc đào tạo thực 4.2 Chính sách khơng tn thủ Khi xem xét "Chính sách khơng tuân thủ", chuyên gia tập trung vào việc liệu có quy định mà nhân viên phải đào tạo bảo mật thông tin hay khơng Trường hợp phân tích chun gia làm bật hai lý dẫn đến việc khơng tn thủ sách: sách khơng đầy đủ xác định kém, nhân viên sách ATTT Nghiên cứu sâu tài liệu cho thấy lý tiềm ẩn khác việc điều xảy ra; ví dụ, sách khơng tun truyền tốt sách làm cho nhân viên khó thực nhiệm vụ họ 21 4.3 Email Trong phần lớn sách khảo sát (60%) có số cân nhắc để sử dụng email, điều thường tập trung vào cách sử dụng email (ví dụ: “sử dụng e-mail cá nhân cho phép với điều kiện sử dụng thời gian rảnhvà khối lượng công việc khơng nhiều ”) Rất lời nhắc đưa để bảo vệ chống lại việc sử dụng sai email việc đính kèm nhầm tệp (20%) gửi đến không người nhận (27%) 4.4 Xử lý tài nguyên khơng cách Phần lớn sách xem xét (73%) có hướng dẫn việc xử lý an tồn nguồn tài ngun, nhiên, có sách chứa thông tin việc loại bỏ an toàn phần cứng (67%) so với việc xử lý an toàn tài nguyên làm từ giấy (74%) Điển hình xử lý an tồn tài ngun làm từ giấy đặt tài liệu vào vị trí, theo phân loại (ví dụ: “tài liệu bị hạn chế bí mật đặt thùng rác bí mật, vật liệu bí mật phải cắt nhỏ ”) Ngược lại, xem xét két xử lý phần cứng, sách thường mang tính quy định Ví dụ: sách ATTT học thuật thu thập yêu cầu nhân viên phải đảm bảo liệu "được làm cách an toàn khỏi thiết bị tháo bỏ chúng ” Quy định nhấn mạnh vào việc người lao động phải đảm bảo liệu nhạy cảm cần xóa cách an tồn khỏi phần cứng nào, xem phân bổ nhiệm vụ không phù hợp Khả người lao động phổ thông nhắc nhở đầy đủ việc không cao 4.5 Vận chuyển liệu Thuật ngữ "vận chuyển liệu" sử dụng để mơ tả tiến trình vật lý vận chuyển liệu (bao gồm băng, đĩa, thiết bị USB liệu giấy) đến khu vực khác tổ chức (ví dụ: đến địa điểm khác) tới tổ chức đối tác Sự an toàn vận chuyển liệu phần lớn khơng đề cập sách ATTT xét Chỉ 13% sách có điều khoản để kiểm sốt hành động này.Ví dụ: sách học thuật cung cấp biện pháp bảo vệ chống lại điều cách quy định “phải sử dụng phương tiện giao thông vận tải người giao thơng đáng tin cậy" Đã có số cố ghi lại 22 nơi mặt hàng vận chuyển khơng đóng gói đầy đủ bị hư hỏng trình vận chuyển Chỉ sách mà chuyên gia xem xét cân nhắc khía cạnh việc vận chuyển liệu với yêu cầu “việc đóng gói phải đủ để bảo vệ gói hàng chống lại thiệt hại vật chất phát sinh trình vận chuyển ” 4.6 Kỹ nghệ xã hội Khi so sánh loại cố với tập sách ATTT thu thập mà chuyên gia phân tích sách cho điều khoản cung cấp hướng dẫn mức độ đáng tin cậy thông tin Đối với hầu hết phần, khơng đề cập tốt sách khảo sát, với 33% chứa hướng dẫn cách ngăn chặn công kỹ thuật xã hội, nhiên, hai ba sách từ học viện có thông tin vấn đề Thông tin phổ biến cung cấp kỹ thuật xã hội tập trung vào mức độ đáng tin cậy thông tin nhận qua email (ví dụ: "bạn khơng thiết phải tin mà bạn nhận email - cụ thể bạn không trả lời yêu cầu email bắt cung cấp tên người dùng mật ') 4.7 Bảo vệ chống lại vi-rút phần mềm độc hại Bảo vệ chống lại phần mềm độc hại lĩnh vực đề cập tất sách mẫu chuyên gia Các kiểm soát để bảo vệ chống lại phần mềm độc hại quy định tốt, tất sách yêu cầu “phần mềm chống vi-rút phù hợp cài đặt bảo trì ” Trong số trường hợp, điều xử lý CNTT tổ chức, nơi khác, có danh sách nhà cung cấp phần mềm chống vi-rút chấp nhận cuối số sách tổ chức yêu cầu cài đặt trì phần mềm mà khơng nhắc đến việc thứ nên cài máy tính Trong trường hợp nhấn mạnh vào việc nhân viên trì việc kiểm sốt bảo mật tồn vẹn, điều coi kỳ vọng khơng hợp lí đặt vào nhân viên, họ có hội quen với cách tiếp cận tốt để ngăn chặn vấn đề Quả thực việc nhân viên tải xuống phần mềm độc hại giả dạng phần mềm chống vi-rút điều hồn tồn xảy 23 4.8 Dữ liệu bảo vệ không cách Khi xem xét liệu liệu có bảo vệ không cách hay không, chuyên gia đề cập đến việc liệu liệu có bị sai sót hay để lộ hay khơng Nhiều sách ATTT (73%) phân tích chứa điều khoản coi bảo vệ liệu nhạy cảm Điều đơn giản số điều khoản thường đề cập đến đảm bảo tổ chức nhân viên tổ chức tuân thủ chẳng hạn Đạo luật bảo vệ liệu đề cập đến tính bảo mật liệu nhạy cảm mà nhân viên giao nhiệm vụ "Đảm bảo tuân thủ Đạo luật bảo vệ liệu" Các sách khác chi tiết biện pháp kiểm soát biện pháp cần sử dụng để đảm bảo liệu (cả vật lý điện tử) bảo vệ đầy đủ Các sách đưa hướng dẫn để bảo vệ liệu theo số cách Các trường hợp đe dọa nội phân tích làm bật cấu hình sai máy chủ web thường nguyên nhân gây liệu online bị hiển thị sai Hơn nửa (53%) sách phân tích giảm nhẹ loại mát liệu, ví dụ, sách ATTT học thuật yêu cầu cần xem xét vấn đề liên quan đến “ý nghĩa bảo mật bảo vệ liệu việc công bố đầu mục thư mục ” 4.9 Dữ liệu chép vào thiết bị khơng an tồn Việc bảo vệ chống liệu, cách chép liệu vào thiết bị khơng an tồn, vấn đề đề cập tất sách ATTT xem xét Có ba phương pháp tiếp cận mà sách thực xem xét việc sử dụng thiết bị di động Cái đơn giản nhất,nghiêm cấm chép liệu vào ổ nhớ rời mang khỏi tổ chức Phương pháp tiếp cận thứ hai yêu cầu tất thiết bị tháo rời, chứa liệu nhạy cảm, cần mã hóa trước chúng mang khỏi tổ chức Cuối cùng, cách tiếp cận thứ ba bắt buộc thiết bị di động, máy tính xách tay phần cứng bảo mật ẩn khỏi tầm nhìn bị xóa khỏi tổ chức khơng sử dụng 24 4.10 Tổng kết Phân tích trình bày cho thấy có nhiều khác biệt tất sách mẫu chuyên gia Tuy nhiên, có mức độ tương đồng lĩnh vực định sách phân tích Ví dụ, tất số sách khảo sát có hướng dẫn việc ngăn ngừa lây nhiễm phần mềm độc hại phương pháp chép an toàn liệu vào thiết bị di động Ngược lại, khơng có lĩnh vực hồn tồn bị bỏ qua tất sách chắn lại có số lĩnh vực đề cập thưa thớt Ví dụ, sách cân nhắc việc giảm nhẹ chống lại việc liệu bị bị hư hỏng trình vận chuyển Điều xem xét việc sử dụng email cách; xem xét vấn đề gửi nhầm email người nhận đính kèm nhầm tệp vào email Kết Bảng minh họa điều đó, phần lớn, sách bao gồm phân tích chuyên gia cung cấp mức độ bao phủ rộng "Hành động" "Lý do" liên quan đến cố nội Hai số sách ATTT khảo sát khơng Hình Các câu hỏi sử dụng để đánh giá mức độ phù hợp sách ATTT chống lại mối đe dọa nội cung cấp điều khoản để chống lại nguyên với trường hợp sơ suất làm tổn hại nội mà chuyên gia xác định Những lý mà chuyên gia phát phần lớn có liên quan đến đào tạo nhân viên, chẳng hạn, 25 việc cung cấp đào tạo bao gồm sách ATTT thơng tin tổ chức cách để sử dụng xác gói phần mềm khác Các hành động, nói chung, liên quan đến việc kiểm sốt cơng nghệ tiến trình vật lý cho dễ dàng để ủy thác sách ATTT Có lẽ cần lưu ý sách ATTT mẫu chun gia, khơng có sách cung cấp đầy đủ độ bao quát để chống lại tất mối đe dọa nội tiềm ẩn Ngay sách với độ bao quát tốt (chính sách Bảng 1), cung cấp hướng dẫn giúp ngăn ngừa 80% nguyên 86,7% hành động liên quan đến mối đe dọa nội Dưới đây, chuyên gia cung cấp phân tích mức độ phù hợp sách so sánh với trường hợp nội thu thập, dựa lĩnh vực ngành sách Phân tích giả định sách thực cách hoàn hảo, điều tất nhiên khơng có thực tế Các sách 1–3 từ khu vực học thuật kết hợp tồn khoảng cách sách liên quan đến trường hợp lỗi người, liệu bị lộ chiếm 20% trường hợp nghiên cứu Các sách thu thập từ quyền địa phương (chính sách 4–6) có lỗ hổng lý cho cố biểu mẫu cấu hình khơng xác lỗi người, chiếm 21,7% trường hợp Các hành động không cung cấp giảm nhẹ tệp đính kèm nhầm vào email (10%) liệu bị bị hỏng q trình vận chuyển (3,3%) Các sách thu thập từ ngành y tế đưa hướng dẫn cho trường hợp mà nguyên nhân thiếu nhận thức sách, điều có nghĩa 55% trường hợp khảo sát có nguy bị công Cũng xét cho số lượng hạn chế hành động (bảo vệ khỏi phần mềm độc hại chép liệu vào thiết bị khơng an tồn), có nghĩa sách dễ bị công 83,3% trường hợp Chính sách (lĩnh vực tài chính) thiếu thơng tin để bảo vệ chống lại 58,8% nguyên cố nội bộ,cũng để hổng tới 51,5% trường hợp khảo sát Cácchính sách ngành khoa học công nghệ thiếu điều khoản chiếm 65% nguyên cho cố nội bộ, cung cấp độ bao phủ tốt chống lạicác hành động liên quan đến trường hợp có 32,6% khơng bao quát Cuối cùng,chính sách 10 (thực thi pháp luật) cung cấp thơng tin có khả bảo vệ khỏi 26 20% nguyên trường hợp nghiên cứu, có khả dễ bị công 24,3% số trường hợp khảo sát 27 CHƯƠNG KẾT LUẬN Chính sách ATTT tổ chức tuyên bố quan trọng kỳ vọng nhân viên, hành vi văn hóa doanh nghiệp Các mối đe dọa nội mối quan tâm thực tất tổ chức đe dọa đáng kể tới hệ thống, liệu danh tiếng tổ chức, có lẽ cịn gây nhân viên nội có chủ đích xấu Bài viết nêu bật lên lĩnh vực chung, sách ATTT tổ chức, thiếu sót xét đến khả tạo điều kiện ngăn chặn cố nội Các chuyên gia khảo sát 15 trường hợp sách ATTT để xác định lĩnh vực bao quát mối đe dọa nội Rõ ràng số loại cố thường xử lý loại cố khác sách ATTT mẫu chuyên gia Ví dụ, điều khoản thấy tất sách khảo sát bảo vệ chống lại lây nhiễm phần mềm độc hại để ngăn chặn việc chép liệu vào thiết bị khơng an tồn Có thể lập luận hai kiểm soát mặt kỹ thuật đơn giản để triển khai giám sát, số lượng lớn mối đe dọa tiềm ẩn khác khó để quản lý với biện pháp kiểm sốt cơng nghệ Lấy ví dụ, khó để đảm bảo email chứa tệp đính kèm người nhận xác Cơng việc trình bày viết sử dụng để thiết lập rủi ro nhân viên nội sơ suất gây tổ chức, mức độ mà sách ATTT doanh nghiệp giúp giảm thiểu rủi ro Các chuyên gia đề xuất chun mơn hóa mơ hình tồn để nắm bắt điểm liệu thích hợp mà sau đọng lại thành tập hợp nguyên nhân, vector công tác động tổ chức Hiện chuyên gia sử dụng mơ hình thơng tin để đưa đánh giá sách ATTT truy cập công khai, để làm bật điểm mạnh điểm yếu chúng xử lý mối đe dọa Trong tương lai công việc chuyên gia xét mẫu lớn trường hợp mối đe dọa nội mẫu sách ATTT thông tin rộng để xác định xem liệu mô hình chun gia sử dụng để xác định sách sàng lọc tùy chọn kiểm soát rủi ro cần giải hay không 28 Nghiên cứu vấn đề nội vấn đề quan trọng việc nghiên cứu chuyên gia nhấn mạnh thiết để có sách mạnh mẽ xem xét việc giảm thiểu cố Trong tương lai, chuyên gia xem xét phương pháp mà sách ATTT thiết kế để giải trực tiếp mối đe dọa nội Nhờ phân tích sách chuyên gia, họ tạo tập câu hỏi sách ATTT để giúp thực việc tự đánh giá mức độ bao quát sách, cố nội Bộ câu hỏi nhìn thấy Hình Trong công việc tương lai, chuyên gia xem xét phát triển thêm câu hỏi để cung cấp hướng dẫn luồng riêng biệt sử dụng để tạo phân tích sách ATTT có Tất nhiên sách ATTT tốt mảnh ghép nhỏ tranh lớn cịn nhiều yếu tố khác góp phần vào việc tác động lên hiệu sách Các chuyên gia nhận hạn chế cách tiếp cận họ việc sử dụng sách ATTT công khai Trong công việc tương lai, chuyên gia xem xét mở rộng nghiên cứu ban đầu họ để đưa thông tin chi tiết , phân tích sách ATTT cơng ty không công khai, liên quan đến trường hợp sơ suất nội Ngoài ra, chuyên gia muốn mở rộng công việc họ để bao gồm chi tiết tác động mức độ nghiêm trọng trường hợp đe dọa nội 29 ... hệ thống, kiểm sốt thơng tin, liệu doanh nghiệp, tạo tin giả gây ảnh hưởng danh tiếng, hoạt động sản xuất kinh doanh Bên cạnh đó, hacker lợi dụng sơ hở việc bảo mật doanh nghiệp để gửi đường link... dựng sách ATTT hiệu nội doanh nghiệp điều cần thiết Nội dung chúng em xin trình bày khả mà sách ATTT doanh nghiệp giảm thiểu mối đe dọa nội doanh nghiệp CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH ATTT 1.1... TỔNG QUAN VỀ MỐI ĐE DỌA TRONG NỘI BỘ DOANH NGHIỆP 2.1 Nhân viên nội gì? .9 2.2 Mối đe dọa nội gì? 2.3 Vì mối đe dọa nội lại nguy hiểm? 10 2.4 Các loại mối đe dọa