QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN Đề tài: Khả giảm thiểu mối đe dọa từ nội doanh nghiệp sách an tồn thơng tin Giảng viên: Phạm Duy Trung Nhóm 25: Trần Tuấn Lâm Phạm Văn Thái Trần Anh Tuấn NỘI DUNG CHƯƠNG 1: Tổng quan mối đe dọa nội doanh nghiệp CHƯƠNG 2: Các phương pháp đánh giá hiệu sách ATTT doanh nghiệp việc giảm thiểu mối đe dọa nội CHƯƠNG 3: Phân tích sách ATTT việc giảm thiểu mối đe dọa từ nội doanh nghiệp CHƯƠNG 4: Kết luận CHƯƠNG 1: TỔNG QUAN VỀ MỐI ĐE DỌA TRONG NỘI BỘ DOANH NGHIỆP Người nội gì? - Là người có quyền truy cập có kiến ​ thức nguồn lực tổ chức, bao gồm nhân sự, sở vật chất, thông tin, thiết bị, mạng hệ thống Ví dụ người nội ■ Một người mà tổ chức tin cậy, bao gồm thành viên tổ chức người mà tổ chức cung cấp thông tin nhạy cảm quyền truy cập ■ Một người mà tổ chức cung cấp máy tính quyền truy cập mạng ■ Một người phát triển sản phẩm dịch vụ tổ chức; nhóm bao gồm người biết bí mật sản phẩm cung cấp giá trị cho tổ chức ■ Một người hiểu biết chiến lược mục tiêu kinh doanh tổ chức, giao phó kế hoạch tương lai phương tiện để trì tổ chức cung cấp phúc lợi cho người tổ chức Mối đe dọa nội gì? - Là khả người nội sử dụng quyền truy cập hiểu biết ủy quyền họ tổ chức để gây hại cho tổ chức Tác hại bao gồm hành vi có chủ đích xấu, tự mãn vơ ý ảnh hưởng tiêu cực đến tính tồn vẹn, tính bảo mật tính sẵn có tổ chức, liệu, nhân sở tổ chức Biểu qua hành vi        Gián điệp Khủng bố Tiết lộ thông tin trái phép Tham nhũng, bao gồm tham gia vào tội phạm có tổ chức xuyên quốc gia Sự phá hoại Bạo lực nơi làm việc Sự mát suy giảm có chủ ý khơng cố ý nguồn lực lực phận Các loại mối đe dọa nội 1.Đe dọa không chủ ý: Sơ suất: người nội thuộc loại khiến tổ chức bị đe dọa bất cẩn Những người nội không cẩn thận thường quen thuộc với sách ATTT CNTT lại chọn phớt lờ chúng, tạo rủi ro cho tổ chức Ví dụ: làm thiết bị lưu trữ di động có chứa thơng tin nhạy cảm bỏ qua thông báo cài đặt cập nhật vá bảo mật hệ thống, phần mềm Các loại mối đe dọa nội (tiếp) 1.Đe dọa khơng chủ ý: ■ Tình cờ : Người nội kiểu nhầm lẫn gây rủi ro ngồi ý muốn cho tổ chức Ví dụ: nhập sai địa email, vơ tình gửi tài liệu kinh doanh nhạy cảm cho đối thủ cạnh tranh, mở tệp đính kèm chứa vi-rút email lừa đảo vứt bỏ tài liệu nhạy cảm không cách… Các loại mối đe dọa nội (tiếp) Đe doạ có chủ đích: - Là hành động thực để gây tổn hại cho tổ chức lợi ích cá nhân hành động bất mãn cá nhân Người nội có chủ đích thường coi “người nội có chủ đích xấu” Động lợi ích cá nhân gây hại cho tổ chức Email Trong phần lớn sách khảo sát (60%) có đề cập việc sử dụng email cách, (ví dụ: “cho phép sử dụng e-mail cá nhân với điều kiện sử dụng thời gian rảnhvà khối lượng công việc cá nhân khơng nhiều ”) Rất điều khoản đưa để ngăn chặn việc sử dụng sai email , ví dụ đính kèm nhầm tệp (20%) gửi đến không người nhận (27%) Xử lý tài ngun khơng cách Phần lớn sách xem xét (73%) có hướng dẫn việc xử lý an toàn nguồn tài nguyên, nhiên, số có sách chứa thơng tin việc loại bỏ an toàn phần cứng (67%) so với việc xử lý an toàn tài nguyên giấy (74%) Điển hình xử lý an tồn tài ngun giấy đặt tài liệu vào vị trí, theo phân loại (ví dụ: “tài liệu bị hạn chế riêng tư đặt thùng rác bí mật, tài liệu tối mật phải tiêu hủy”) Xử lý tài nguyên không cách (tiếp) Ngược lại, xem xét xử lý phần cứng, sách thường mang tính quy định Ví dụ: sách ATTT học thuật thu thập yêu cầu người lao động phải đảm bảo liệu cần làm cách an tồn khỏi thiết bị tháo bỏ chúng Vận chuyển liệu Thuật ngữ "vận chuyển liệu" sử dụng để mơ tả q trình vận chuyển liệu (bao gồm băng, đĩa, thiết bị USB liệu giấy) đến khu vực khác tổ chức tới tổ chức đối tác Vận chuyển liệu (tiếp) Sự an tồn vận chuyển liệu phần lớn khơng đề cập sách ATTT xét Chỉ 13% sách có điều khoản để kiểm sốt hành động này.Ví dụ: sách học thuật cung cấp biện pháp ngăn ngừa điều cách quy định “phải sử dụng phương tiện giao thông vận tải người giao thông đáng tin cậy" Kỹ nghệ xã hội Không đề cập nhiều sách khảo sát, 33% chứa hướng dẫn cách ngăn chặn công kỹ nghệ xã hội, nhiên, hai ba sách từ học viện có đề cập đến vấn đề Thông tin phổ biến cung cấp kỹ nghệ xã hội tập trung vào mức độ đáng tin cậy thông tin nhận qua email (ví dụ: “bạn khơng thiết phải tin làm theo nội dung email mà bạn nhận được- cụ thể bạn không reply lại email bắt cung cấp tên người dùng mật khẩu”) Ngăn chặn vi-rút phần mềm độc hại Ngăn chặn phần mềm độc hại đề mục đề cập tất sách mẫu chuyên gia Các phương pháp ngăn chặn phần mềm độc hại quy định tốt, tất sách yêu cầu “cài đặt cập nhật thường xuyên phần mềm chống vi-rút thích hợp” Bảo vệ chống lại vi-rút phần mềm độc hại (tiếp) Điều mục nhấn mạnh vào việc người thực phải kiểm sốt bảo mật cách tồn vẹn Điều khơng hợp lí đặt vào trường hợp người lao động, mà họ khơng có nhiều kiến thức kinh nghiệm việc phòng chống vấn đề Việc người lao động tải xuống phần mềm độc hại giả dạng phần mềm chống vi-rút điều hồn tồn xảy thực tế Dữ liệu bảo vệ không cách Nhiều sách ATTT (73%) phân tích chứa điều khoản coi bảo vệ liệu nhạy cảm Trong điều khoản này, điều khoản thường đề cập đến đảm bảo tổ chức người tổ chức tuân thủ Đạo luật bảo vệ liệu, ví dụ: cơng việc có liên quan đến tính bảo mật liệu nhạy cảm, người thực cơng việc có điều khoản kèm theo "Đảm bảo tuân thủ Đạo luật bảo vệ liệu" Dữ liệu bảo vệ không cách (tiếp) - Các sách khác có đề cập nhiều biện pháp kiểm soát cần sử dụng để đảm bảo liệu (cả vật lý điện tử) bảo vệ toàn vẹn - Hơn nửa (53%) sách phân tích làm thuyên giảm vấn đề mát liệu, ví dụ, sách ATTT học thuật yêu cầu cần xem xét vấn đề liên quan đến “ý nghĩa bảo mật bảo vệ liệu việc công bố đầu mục thư mục ” Dữ liệu chép vào thiết bị khơng an tồn - Vấn đề đề cập tất sách ATTT phân tích - Có ba phương pháp tiếp cận mà sách thực liên quan đến việc sử dụng thiết bị di động:  Nghiêm cấm chép liệu vào ổ nhớ di động mang khỏi tổ chức  Yêu cầu tất thiết bị tháo rời, chứa liệu nhạy cảm, cần mã hóa trước chúng mang khỏi tổ chức  Bắt buộc thiết bị di động, máy tính xách tay phần cứng bảo mật ẩn khỏi tầm nhìn bị xóa khỏi tổ chức khơng sử dụng CHƯƠNG KẾT LUẬN Bài viết nêu bật lên lĩnh vực chung, sách ATTT tổ chức, thiếu sót xét đến khả tạo điều kiện ngăn chặn cố nội Các chuyên gia khảo sát 15 trường hợp sách ATTT để xác định lĩnh vực bao quát mối đe dọa nội Rõ ràng số loại cố thường xử lý loại cố khác sách ATTT mẫu chuyên gia Ví dụ, điều khoản thấy tất sách khảo sát bảo vệ chống lại lây nhiễm phần mềm độc hại để ngăn chặn việc chép liệu vào thiết bị khơng an tồn Có thể lập luận hai kiểm soát mặt kỹ thuật đơn giản để triển khai giám sát, số lượng lớn mối đe dọa tiềm ẩn khác khó để quản lý với biện pháp kiểm sốt cơng nghệ Lấy ví dụ, khó để đảm bảo email chứa tệp đính kèm người nhận xác Cơng việc trình bày viết sử dụng để thiết lập rủi ro nhân viên nội sơ suất gây tổ chức, mức độ mà sách ATTT doanh nghiệp giúp giảm thiểu rủi ro Các chuyên gia đề xuất chun mơn hóa mơ hình tồn để nắm bắt điểm liệu thích hợp mà sau đọng lại thành tập hợp nguyên nhân, vector công tác động tổ chức Hiện chuyên gia sử dụng mơ hình thơng tin để đưa đánh giá sách ATTT truy cập công khai, để làm bật điểm mạnh điểm yếu chúng xử lý mối đe dọa Trong tương lai công việc chuyên gia xét mẫu lớn trường hợp mối đe dọa nội mẫu sách ATTT thông tin rộng để xác định xem liệu mơ hình chun gia sử dụng để xác định sách sàng lọc tùy chọn kiểm soát rủi ro cần giải hay không Nghiên cứu vấn đề nội vấn đề quan trọng việc nghiên cứu chuyên gia nhấn mạnh thiết để có sách mạnh mẽ xem xét việc giảm thiểu cố Trong tương lai, chuyên gia xem xét phương pháp mà sách ATTT thiết kế để giải trực tiếp mối đe dọa nội Nhờ phân tích sách chuyên gia, họ tạo tập câu hỏi sách ATTT để giúp thực việc tự đánh giá mức độ bao quát sách, cố nội Bộ câu hỏi nhìn thấy Hình Trong công việc tương lai, chuyên gia xem xét phát triển thêm câu hỏi để cung cấp hướng dẫn luồng riêng biệt sử dụng để tạo phân tích sách ATTT có Tất nhiên sách ATTT tốt mảnh ghép nhỏ tranh lớn cịn nhiều yếu tố khác góp phần vào việc tác động lên hiệu sách ... quan mối đe dọa nội doanh nghiệp CHƯƠNG 2: Các phương pháp đánh giá hiệu sách ATTT doanh nghiệp việc giảm thiểu mối đe dọa nội CHƯƠNG 3: Phân tích sách ATTT việc giảm thiểu mối đe dọa từ nội doanh. .. tổ chức Tác động đe dọa nội đến doanh nghiệp - Gây tổn hại nghiêm trọng đến hệ thống, tài nguyên, liệu danh tiếng - Gây tổn hại tài chính, doanh thu - Tạo lợi cạnh tranh cho doanh nghiệp đối thủ... tình gửi tài liệu kinh doanh nhạy cảm cho đối thủ cạnh tranh, mở tệp đính kèm chứa vi-rút email lừa đảo vứt bỏ tài liệu nhạy cảm không cách… Các loại mối đe dọa nội (tiếp) Đe doạ có chủ đích: -