Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 61 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
61
Dung lượng
181,09 KB
Nội dung
QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN Đề tài: Khả giảm thiểu mối đe dọa từ nội doanh nghiệp sách an tồn thơng tin Giảng viên: Phạm Duy Trung Nhóm 25: Trần Tuấn Lâm Phạm Văn Thái < Trần Anh Tuấn > NOI DUNG CHƯƠNG 1: Tổng quan mối đe dọa nội doanh nghiệp CHƯƠNG 2: Các phương pháp đánh giá hiệu sách ATTT doanh nghiệp việc giảm thiểu mối đe dọa nội CHƯƠNG 3: Phân tích sách ATTT việc giảm thiểu mối đe dọa từ nội doanh nghiệp CHƯƠNG 4: Kết luận CHƯƠNG 1: TỔNG QUAN VỀ MỐI ĐE DỌA TRONG NỘI BỘ DOANH NGHIỆP Người nội gì? TA1ẤJ1A r •A ẦẢ /\ 1w r •Ả - Là bât kỳ người có quyên truy cập có kiên thức vê nguồn lực tơ chức, bao gồm nhân sự, • sở vật chât, thông tin, thiêt bị, mạng hệ thông r ? \r Ấ, ,1 A ?JẲ1r1 Ă1 Ầ » Ạ 1• Ầ y /\ Ả /\ Ví dụ người nội ■ Một người mà tô chức tin cậy, bao gôm thành viên tô chức người mà tô chức cung cấp thông tin nhạy cảm quyền truy cập ■ Một người mà tơ chức cung cấp máy tính quyền truy cập mạng ■ Một người phát triển sản phẩm dịch vụ tơ chức; nhóm bao gơm người biết bí mật sản phẩm cung cấp giá trị cho tô chức ■ Một người hiểu biết chiến lược mục tiêu kinh doanh tơ chức, giao phó kế hoạch tương lai phương tiện để trì tô chức cung cấp phúc lợi cho người tô chức Mối đe dọa nội gì? - Là khả người nội sử dụng quyền truy cập hiểu biết ủy quyền họ tổ chức để gây hại cho tổ chức Tác hại bao gồm hành vi có chủ đích xấu, tự mãn vơ ý ảnh hưởng tiêu cực đến tính tồn vẹn, tính bảo mật tính sẵn có tổ chức, liệu, nhân sở tổ chức Biểu qua hành vi ■ ■ ■ ■ ■ ■ Gián điệp Khủng bố Tiết lộ thông tin trái phép Tham nhũng, bao gồm tham gia vào tội phạm có tổ chức xuyên quốc gia Sự phá hoại Bạo lực nơi làm việc ••• ■ Sự mát suy giảm có chủ ý khơng cố ý nguồn lực lực phận Các loại mối đe dọa nội Đe dọa không chủ ý: Sơ suất: người nội thuộc loại khiến tổ chức bị đe dọa bất cẩn Những người nội không cẩn thận thường quen thuộc với sách ATTT CNTT lại chọn phớt lờ chúng, tạo rủi ro cho tổ chức Ví dụ: làm thiết bị lưu trữ di động có chứa thơng tin nhạy cảm bỏ qua thông báo cài đặt cập nhật vá bảo mật hệ thống, phần mềm Các loại mối đe dọa nội (tiếp) Email Trong phần lớn sách khảo sát (60%) có đề cập việc sử dụng email cách, (ví dụ: “cho phép sử dụng e-mail cá nhân với điều kiện sử dụng thời gian rảnhvà khối lượng công việc cá nhân khơng nhiều ”) Rất điều khoản đưa để ngăn chặn việc sử dụng sai email , ví dụ đính kèm nhầm tệp (20%) gửi đến khơng người nhận (27%) Xử lý tài nguyên không cách Phần lớn sách xem xét (73%) có hướng dẫn việc xử lý an tồn nguồn tài nguyên, nhiên, số có sách chứa thông tin việc loại bỏ an toàn phần cứng (67%) so với việc xử lý an tồn tài ngun giấy (74%) Điển hình xử lý an toàn tài nguyên giấy đặt tài liệu vào vị trí, theo phân loại (ví dụ: “tài liệu bị hạn chế riêng tư đặt thùng rác bí mật, tài liệu tối mật phải tiêu hủy”) Xử lý tài nguyên không cách (tiếp) Ngược lại, xem xét xử lý phần cứng, sách thường mang tính quy định Ví dụ: sách ATTT học thuật thu thập yêu cầu người lao động phải đảm bảo liệu cần làm cách an tồn khỏi thiết bị tháo bỏ chúng Vận chuyển liệu Thuật ngữ "vận chuyển liệu" sử dụng để mơ tả q trình vận chuyển liệu (bao gồm băng, đĩa, thiết bị USB liệu giấy) đến khu vực khác tổ chức tới tổ chức đối tác Vận chuyển liệu (tiếp) Sự an toàn vận chuyển liệu phần lớn không đề cập sách ATTT xét Chỉ 13% sách có điều khoản để kiểm sốt hành động này.Ví dụ: sách học thuật cung cấp biện pháp ngăn ngừa điều cách quy định “phải sử dụng phương tiện giao thông vận tải người giao thông đáng tin cậy" Kỹ nghệ xã hội Không đề cập nhiều sách khảo sát, 33% chứa hướng dẫn cách ngăn chặn công kỹ nghệ xã hội, nhiên, hai ba sách từ học viện có đề cập đến vấn đề Thơng tin phổ biến cung cấp kỹ nghệ xã hội tập trung vào mức độ đáng tin cậy thơng tin nhận qua email (ví dụ: “bạn không thiết phải tin làm theo nội dung email mà bạn nhận được- cụ thể bạn không reply lại email bắt cung cấp tên người dùng mật khẩu”) Ngăn chặn vi-rút phần mềm độc hại Ngăn chặn phần mềm độc hại đề mục đề cập tất sách mẫu chuyên gia Các phương pháp ngăn chặn phần mềm độc hại quy định tốt, tất sách yêu cầu “cài đặt cập nhật thường xuyên phần mềm chống vi-rút thích hợp” Bảo vệ chống lại vi-rút phần mềm độc hại (tiếp) Điều mục nhấn mạnh vào việc người thực phải kiểm sốt bảo mật cách tồn vẹn Điều khơng hợp lí đặt vào trường hợp người lao động, mà họ khơng có nhiều kiến thức kinh nghiệm việc phòng chống vấn đề Việc người lao động tải xuống phần mềm độc hại giả dạng phần mềm chống vi-rút điều hồn tồn xảy thực tế Dữ liệu bảo vệ không cách Nhiều sách ATTT (73%) phân tích chứa điều khoản coi bảo vệ liệu nhạy cảm Trong điều khoản này, điều khoản thường đề cập đến đảm bảo tổ chức người tổ chức tuân thủ Đạo luật bảo vệ liệu, ví dụ: cơng việc có liên quan đến tính bảo mật liệu nhạy cảm, người thực cơng việc có điều khoản kèm theo "Đảm bảo tuân thủ Đạo luật bảo vệ liệu" •••• Dữ liệu bảo vệ khơng cách (tiếp) - Các sách khác có đề cập nhiều biện pháp kiểm soát cần sử dụng để đảm bảo liệu (cả vật lý điện tử) bảo vệ toàn vẹn - Hơn nửa (53%) sách phân tích làm thuyên giảm vấn đề mát liệu, ví dụ, sách ATTT học thuật yêu cầu cần xem xét vấn đề liên quan đến “ý nghĩa bảo mật bảo vệ liệu việc công bố đầu mục thư mục ” Dữ liệu chép vào thiết bị không an toàn - Vấn đề đề cập tất sách ATTT phân tích - Có ba phương pháp tiếp cận mà sách thực liên quan đến việc sử dụng thiết bị di động: ■ Nghiêm cấm chép liệu vào ổ nhớ di động mang khỏi tổ chức ■ Yêu cầu tất thiết bị tháo rời, chứa liệu nhạy cảm, cần mã hóa trước chúng mang khỏi tổ chức ■ Bắt buộc thiết bị di động, máy tính xách tay phần cứng bảo mật ẩn khỏi tầm nhìn bị xóa khỏi tổ chức khơng sử dụng Bài viết nêu bật lên lĩnh vực chung, sách ATTT tổ chức, thiếu sót xét đến khả tạo điều kiện ngăn chặn cố nội Các chuyên gia khảo sát 15 trường hợp sách ATTT để xác định lĩnh vực bao quát mối đe dọa nội Rõ ràng số loại cố thường xử lý loại cố khác sách ATTT mẫu chuyên gia Ví dụ, điều khoản thấy tất sách khảo sát bảo vệ chống lại lây nhiễm phần mềm độc hại để ngăn chặn việc chép liệu vào thiết bị không an tồn Có thể lập luận hai kiểm soát mặt kỹ thuật đơn giản để triển khai giám sát, số lượng lớn mối đe dọa tiềm ẩn khác khó để quản lý với biện pháp kiểm soát cơng nghệ Lấy ví dụ, khó để đảm bảo email chứa tệp đính kèm người nhận xác Cơng việc trình bày viết sử dụng để thiết lập rủi ro nhân viên nội sơ suất gây tổ chức, mức độ mà sách ATTT doanh nghiệp giúp giảm thiểu rủi ro Các chun gia đề xuất chun mơn hóa mơ hình tồn để nắm bắt điểm liệu thích hợp mà sau đọng lại thành tập hợp nguyên nhân, vector công tác động tổ chức Hiện chun gia sử dụng mơ hình thơng tin để đưa đánh giá sách ATTT truy cập cơng khai, để làm bật điểm mạnh điểm yếu chúng xử lý mối đe dọa Trong tương lai công việc chuyên gia xét mẫu lớn trường hợp mối đe dọa nội mẫu sách ATTT thơng tin rộng để xác định xem liệu mơ hình chun gia sử dụng để xác định sách sàng lọc tùy chọn kiểm soát rủi ro cần giải hay không Nghiên cứu vấn đề nội vấn đề quan trọng việc nghiên cứu chuyên gia nhấn mạnh thiết để có sách mạnh mẽ xem xét việc giảm thiểu cố Trong tương lai, chuyên gia xem xét phương pháp mà sách ATTT thiết kế để giải trực tiếp mối đe dọa nội Nhờ phân tích sách chuyên gia, họ tạo tập câu hỏi sách ATTT để giúp thực việc tự đánh giá mức độ bao quát sách, cố nội Bộ câu hỏi nhìn thấy Hình Trong cơng việc tương lai, chuyên gia xem xét phát triển thêm câu hỏi để cung cấp hướng dẫn luồng riêng biệt sử dụng để tạo phân tích sách ATTT có Tất nhiên sách ATTT tốt mảnh ghép nhỏ tranh lớn nhiều yếu tố khác góp phần vào việc tác động lên hiệu sách ... quan mối đe dọa nội doanh nghiệp CHƯƠNG 2: Các phương pháp đánh giá hiệu sách ATTT doanh nghiệp việc giảm thiểu mối đe dọa nội CHƯƠNG 3: Phân tích sách ATTT việc giảm thiểu mối đe dọa từ nội doanh. .. tác nhân đe dọa khơng chủ ý có chủ đích xấu Mối đe dọa nội xảy Bạo lực nào? Hành động bao gồm đe dọa bạo lực, hành vi đe dọa khác tạo môi trường đe dọa, thù địch lạm dụng Mối đe dọa nội xảy... tổ chức Tác động đe dọa nội đến doanh nghiệp - Gây tổn hại nghiêm trọng đến hệ thống, tài nguyên, liệu danh tiếng Gây tổn hại tài chính, doanh thu Tạo lợi cạnh tranh cho doanh nghiệp đối thủ Chịu