BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO

LỜI NÓI ĐẦUTạo và thực hiện một chương trình hiệu quả để đào tạo quản lý cấp cao sẽ lànền tảng cho chương trình nâng cao nhận thức về an ninh cho toàn bộ tổ chức.Nếukhông có sự hỗ trợ và

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÀI TẬP LỚN TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO

Môn: Quản Lý và Xây Dựng Chính Sách ATTT

Lớp: L04

Nhóm sinh viên thực hiện:

Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng

Giảng viên hướng dẫn:

Phạm Duy Trung

Khoa An toàn thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2021

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÀI TẬP LỚN

TẠO VÀ XÂY DỰNG CHÍNH SÁCH CHO QUẢN LÝ CẤP CAO

Môn: Quản Lý và Xây Dựng Chính Sách ATTT

Lớp: L04

Nhóm sinh viên thực hiện:

Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng

Giảng viên hướng dẫn:

Phạm Duy Trung

Khoa An toàn thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2021

MỤC LỤC

Mục lục 1

Danh mục kí hiệu và viết tắt 3

Lời cảm ơn 4

Lời nói đầu 5

Chương 1 Khảo sát nhận thức về bảo mật 6

1.1 Xác định nguồn nhân lực để thực hiện đánh giá khảo sát 6

1.2 Thực hiện khảo sát 7

Chương 2 Đánh giá rủi ro 9

2.1 Nhận biết tài sản 9

2.2 Điểm yếu 10

2.3 Mối đe dọa 10

2.4 Đánh giá hậu quả 11

2.5 Khả năng xảy ra sự cố 13

2.6 Quy trình tổng quan về đánh giá và xử lý rủi ro 13

2.7 Thiết lập bối cảnh 15

2.7.1 Thông tin tổng quan về hệ thống thông tin 15

2.7.2 Tiêu chí chấp nhận rủi ro 15

2.7.3 Phạm vi và giới hạn 15

2.7.4 Tổ chức thực hiện đánh giá và quản lý rủi ro 16

2.8 Đánh giá rủi ro 16

2.8.1 Nhận biết rủi ro 16

2.8.2 Phân tích rủi ro 17

2.8.3 Xử lý rủi ro 17

2.8.4 Thay đổi rủi ro 17

2.8.5 Duy trì rủi ro 17

2.8.6 Tránh rủi ro 18

Chương 3 Biện pháp kiểm soát rủi ro 19

3.1 Biện pháp kiểm soát về quản lý 20

3.1.1 Mục tiêu, nguyên tắc bảo đảm an toàn thông tin 20

3.1.2 Trách nhiệm bảo đảm an toàn thông tin 20

3.1.3 Phạm vi chính sách an toàn thông tin 20

3.1.4 Tổ chức bảo đảm an toàn thông tin 20

3.1.5 Bảo đảm nguồn nhân lực 20

3.1.6 Quản lý vận hành hệ thống 20

3.1.7 Các yêu cầu an toàn bổ sung 22

3.2 Biện pháp kiểm soát về kỹ thuật 22

3.2.1 Bảo đảm an toàn mạng 22

3.2.2 Bảo đảm an toàn máy chủ 23

3.2.3 Bảo đảm an toàn ứng dụng 24

3.2.4 Bảo đảm an toàn dữ liệu 24

Kết Luận 25

Tài liệu tham khảo 26

DANH MỤC KÍ HIỆU VÀ VIẾT TẮT

LỜI CẢM ƠN

Trong quá trình thực hiện bài tập lớn này, nhóm đã nhận được sự giúp đỡ tậntình của giảng viên hướng dẫn thầy Phạm Duy Trung – Giảng viên Khoa An toànthông tin Học viện Kỹ thuật Mật mã Nhóm cảm ơn thầy và sự cố gắng của cácthành viên trong nhóm để hoàn thành bài tập lớn này!

NHÓM SINH VIÊN THỰC HIỆN

BÀI TẬP LỚN

Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng

LỜI NÓI ĐẦU

Tạo và thực hiện một chương trình hiệu quả để đào tạo quản lý cấp cao sẽ lànền tảng cho chương trình nâng cao nhận thức về an ninh cho toàn bộ tổ chức.Nếukhông có sự hỗ trợ và chấp nhận của quản lý cấp cao, nhận thức về bảo mậtchươngtrình cho tổ chức đang gặp nguy hiểm nghiêm trọng Nhân viên sẽ làm theo ví dụ

và tìm đến ban quản lý để được hướng dẫn và chỉ đạo Người điều hành không rõràng hiểu tầm quan trọng và tác động của một chương trình nâng cao nhận thức anninh vững chắc đối với tổ chức đang gây ra một sự bất công nghiêm trọng đối vớikhông chỉ các nhân viên của tổ chức,nhưng cả các cổ đông Cung cấp cho quản lýcấp cao các công cụ và kiến thức cần thiết để hiểu các mối đe dọa mà tổ chức phảiđối mặt là mục tiêu của cấp cao chương trình nâng cao nhận thức về quản lý.Thông tin được trình bày cho quản lý cấp cao phải được thu thập và tổ chức cẩnthận cung cấp mối tương quan rõ ràng giữa các mối đe dọa và tác động tiềm tàngđối với việc kinh doanh

NHÓM SINH VIÊN THỰC HIỆN

BÀI TẬP LỚN

Thân Văn Tâm Bùi Thị Nguyện Cao Thị Phượng

CHƯƠNG 1 KHẢO SÁT NHẬN THỨC VỀ BẢO MẬT

Tạo và thực hiện một chương trình hiệu quả để đào tạo quản lý cấp cao sẽ lànền tảng cho chương trình nâng cao nhận thức về an ninh cho toàn bộ tổ chức.Nếukhông có sự hỗ trợ và chấp nhận của quản lý cấp cao, nhận thức về bảo mậtchương trình cho tổ chức đang gặp nguy hiểm nghiêm trọng Nhân viên sẽ làmtheo ví dụ và tìm đến ban quản lý để được hướng dẫn và chỉ đạo Người điều hànhkhông hiểu tầm quan trọng và tác động của một chương trình nâng cao nhận thức

an ninh vững chắc đối với tổ chức đang gây ra hậu quả nghiêm trọng đối với khôngchỉ các nhân viên của tổ chức Cung cấp cho quản lý cấp cao các công cụ và kiến thức cần thiết để hiểu các mối đe dọa mà tổ chức phải đối mặt là mục tiêu của cấpcao chương trình nâng cao nhận thức về quản lý Thông tin được trình bày choquản lý cấp cao phải được thu thập và tổ chức cẩn thận cung cấp mối tương quan

rõ ràng giữa các mối đe dọa và tác động tiềm tàng đối với việc kinh doanh Nhậnthức về an ninh phải được truyền đạt và chấp nhận một cách đơn giản và hiệu quả

1.1 Xác định nguồn nhân lực để thực hiện đánh giá khảo sát.

Bước đầu tiên trong việc tạo ra chương trình nâng cao nhận thức an ninh sẽ

là xác định nhiều nguồn lực trong tổ chức với thông tin cần thiết để xây dựngchương trình Các nhóm khảo sát phải bao gồm các đại diện từ các tổ chức sau:

 Nguồn nhân lực - Có thể cung cấp các chính sách, tiêu chuẩn và ví dụhiện hành về điều tra và vi phạm chính sách

 Pháp lý - Có thể cung cấp thông tin liên quan đến các vấn đề pháp lý,quy định hoặc luật định yêu cầu và giải thích các luật hiện hành liênquan đến bảo mật CNTT

 Kiểm toán nội bộ - Có thể cung cấp các vấn đề bảo mật hiện tại, báocáo kiểm toán và thông tin chi tiết về cách trình bày thông tin choquản lý cấp cao một cách hiệu quả

 Người quản lý kinh doanh - Có thể cung cấp thông tin liên quan đếnđánh giá rủi ro,ví dụ về các sự cố, cách chúng được xử lý và tác độngđến hoạt động kinh doanh

 Tài chính và Kế toán - Cung cấp thông tin liên quan đến các vấn đề anninh tài chínhtác động đến công việc kinh doanh

 Giám đốc Công nghệ Thông tin - Có thể cung cấp thông tin về hệthống và bảo mật ứng dụng

 Đại diện hình ảnh công ty - Có thể cung cấp thông tin về tác động của

sự cố đối với công chúng hình ảnh và danh tiếng của tổ chức

 Đào tạo và Phát triển - Có thể hỗ trợ tạo ra chương trình đào tạo chínhthức cho tổ chức Họ cũng có thể sẵn sàng thực hiện các buổi đào tạo

1.2 Thực hiện khảo sát

Chọn ít nhất ba thành viên chủ chốt của ban quản lý cấp cao trong tổ chức đểđược phỏng vấn và viết một email cho người quản lý cấp cao, phác thảo ý định vàhỏi về sự sẵn sàng của người quản lý cấp cao cho các cuộc phỏng vấn Nếu ngườiquản lý cấp cao không có mặt để phỏng vấn cá nhân,đề nghị một cuộc phỏng vấnqua điện thoại và cố gắng giữ ít hơn 30 phút Chuẩn bị là quan trọng để đảm bảorằng nhận được câu trả lời cần thiết để phát triển chương trình và hiểu rõ ràng nộidung cần thiết Dưới đây là các câu hỏi mẫu như một điểm khởi đầu:

1 Bảo mật Công nghệ Thông tin có ý nghĩa như thế nào đối với bạn?

2 Bạn hiểu gì về Bảo mật CNTT và vai trò của nó trong tổ chức?

3 Quản lý cấp cao có những mối quan tâm chính nào liên quan đến bảo mậtCNTT?

4 Bạn có kiến thức hoặc đào tạo về bảo mật ở mức độ nào?

5 (Các) loại hình đào tạo bảo mật nào mang lại lợi ích cho quản lý cấp cao?

6 Các sự cố và vấn đề bảo mật được thông báo với quản lý cấp cao như thếnào?

7 Hiệu quả của đội ứng phó sự cố như thế nào?

8 Bạn đánh giá mức độ nhận thức về bảo mật trong tổ chức như thế nào?

9 Bạn có đề xuất gì để tăng mức độ nhận biết?

10 Một số vấn đề bảo mật hiện tại mà tổ chức đang phải đối mặt là gì?

11 Các chính sách bảo mật hiện đang có hiệu lực như thế nào?

12 Bạn có đề xuất gì để cải thiện nhận thức về bảo mật trong tổ chức?

Thực hiện khảo sát nhân viên CNTT để có được quan điểm của họ về nhận thứcbảo mật trong tổ chức Họ sẽ không chỉ cung cấp một quan điểm thực tế về tìnhhình, mà còn có thể cung cấp các vấn đề thực tế trong cuộc sống mà họ giải quyếthàng ngày.Khi đã tổng hợp tất cả các câu hỏi được xác định cho chương trình nângcao nhận thức và trước đó để lên lịch thực hiện chương trình nâng cao nhận thức.Hỏi người quản lý hoặc người giám sát, người quen thuộc với các thành viên củaquản lý được lựa chọn để hỗ trợ trong việc thực hiện chương trình nâng cao nhận

thức Thực hiện ghi lại các câu hỏi và các câu trả lời của các quản lý cấp cao để cócác danh sách khảo sát phục vụ cho việc tạo 1 chương trình nâng cao nhận thức antoàn thông tin.

CHƯƠNG 2 ĐÁNH GIÁ RỦI RO

Sau khi thực hiện khảo sát các quản lý cấp cao, ta thực hiện đánh giá các rủi

ro tiềm ẩn của công ty Khi thực hiện đánh giá và quản lý rủi ro an toàn thông tin,

cơ quan, tổ chức cần xây dựng một bức tranh đầy đủ về các rủi ro an toàn thông tin

mà tổ chức có khả năng gặp phải, đánh giá sắp xếp mức độ ưu tiên và xây dựng hệthống các biện pháp kiểm soát tổng thể, thống nhất và đầy đủ để giảm thiểu rủi ro.Trong chương này, nội dung hướng dẫn tập trung vào việc xác định tài sản, cácđiểm yếu và mối đe dọa đối với mỗi tài sản để từ đó xác định hậu quả, mức ảnhhưởng đến cơ quan, tổ chức khi xảy ra rủi ro đối với tài sản đó, cụ thể như hướngdẫn dưới đây

đó có thể đánh giá xem mỗi tài sản khi gặp rủi ro thì sẽ gây ra hậu quả, mức độ ảnhhưởng thế nào đối với cơ quan, tổ chức Mức độ ảnh hưởng và khả năng xảy ra sự

cố sẽ quyết định các mức rủi ro mà cơ quan, tổ chức cần phải xử lý Hướng dẫnnày tập trung vào việc hướng dẫn 02 loại tài sản cần bảo vệ là

 Thông tin

 Hệ thống thông tin

Trong đó, việc xác định tài sản thông tin và hệ thống thông tin, cơ quan, tổchức cần chú ý như sau: Coi thông tin là đơn vị tài sản thành phần của hệ thốngthông tin, khi hệ thống thông tin được bảo vệ thì thông tin cũng được bảo vệ.Trường hợp, hệ thống có nhiều loại thông tin khác nhau, các thông tin có cùngmức độ quan trọng, có thể tồn tại những điểm yếu và mối đe dọa giống nhau thì cóthể đưa vào thành một nhóm để thực hiện đánh giá và quản lý rủi ro Một hệ thốngthông tin lớn có thể được chia thành nhiều hệ thống thông tin thành phần tương đốiđộc lập nhau về chức năng, mục đích sử dụng Việc áp dụng biện pháp đánh giá vàquản lý rủi ro được áp dụng cho từng hệ thống thành phần theo mức rủi ro xác địnhđược Thông tin bao gồm nhưng không giới hạn các loại sau: Thông tin công khai,thông tin riêng, thông tin cá nhân và thông tin bí mật nhà nước

2.2 Điểm yếu.

Điểm yếu có thể được hiểu là điểm mà có thể bị khai thác gây ra các mối đedọa cho tài sản Các điểm yếu có thể có nhiều tiêu chí xác định và được phân làmcác nhóm khác nhau Để thuận tiện cho việc xác định các điểm yếu, trong hướngdẫn này các điểm yếu được phân nhưng không giới hạn các nhóm sau:

-Nhóm các điểm yếu liên quan đến tồn tại lỗ hổng, điểm yếu an toàn thôngtin trong hệ thống;

- Nhóm các điểm yếu liên quan đến thiếu hoặc không đáp ứng các biện phápquản lý: Không có quy định về sử dụng mật khẩu an toàn; không có quy định vềlưu trữ có mã hóa, không có quy định về quy trình xử lý sự cố.v.v

- Nhóm các điểm yếu liên quan đến thiếu hoặc không đáp ứng các biện pháp

kỹ thuật: Không có biện pháp phòng chống xâm nhập, không có biện pháp phòngchống mã độc, không có biện pháp phòng chống tấn công.v.v Để xác định đượccác điểm yếu tồn tại trong hệ thống, cơ quan, tổ chức cần thực hiện kiểm tra, đánhgiá an toàn thông tin để tìm ra các lỗ hổng, điểm yếu tồn tại trên hệ thống Thựchiện rà soát quy chế, chính sách bảo đảm an toàn thông tin để tìm ra các điểm yếu

từ việc chưa đáp ứng các biện pháp quản lý theo quy định Thực hiện kiểm tra,đánh giá hiện trạng của hệ thống để xác định các điểm yếu xuất phát từ việc chưađáp ứng các biện pháp kỹ thuật theo quy định Bên cạnh đó, từ kết quả đánh giáthực tế, cơ quan, tổ chức có thể xác định thêm các điểm yếu khác của hệ thống,ngoài các điểm yếu xuất phát từ yêu cầu đáp ứng các yêu cầu an toàn cơ bản theoquy định

2.3 Mối đe dọa.

Mối đe dọa được xác định khi mỗi điểm yếu có nguy cơ bị khai thác thì sẽgây ra tác động gì đối với tài sản cần bảo vệ Các mối đe dọa có thể xuất phát từnhững lý do khách quan hay chủ quan, cũng có thể là do cố ý hoặc vô ý Một mối

đe dọa có thể phát sinh từ bên trong hoặc bên ngoài tổ chức Một số mối đe dọa cóthể gây ảnh hưởng đồng thời lên nhiều tài sản và gây ra các tác động khác nhau tùythuộc vào tài sản nào bị ảnh hưởng Như đã phân tích ở trên, các mối đe dọa có thểđược xác định dựa vào các điểm yếu của thông tin, hệ thống thông tin Do đó, việcxác định các mối đe dọa có thể dựa vào việc phân nhóm các điểm yếu ở mục 2.2.Trên cơ sở đó, các mối đe dọa có thể được phân, nhưng không giới hạn các nhómnhư sau:

1 Nhóm các mối đe dọa từ việc tồn tại, điểm yếu, lỗ hổng trong hệthống.

2 Nhóm các mối đe dọa từ việc thiếu hoặc không đáp úng các biện phápquản lý

3 Nhóm các mối đe dọa từ việc thiếu hoặc không đáp úng các biện pháp

kỹ thuật

2.4 Đánh giá hậu quả.

Hậu quả là được xác định khi mối đe dọa xảy ra với tài sản sẽ gây tổn hại thếnào đối với cơ quan, tổ chức Mức ảnh hưởng (Impact) là giá trị được sử dụng đểxác định giá trị định lượng của hậu quả Việc xác định mức ảnh hưởng có thể dựavào đối tượng bị ảnh hưởng như: quyền và lợi ích hợp pháp của tổ chức, cá nhân,sản xuất, lợi ích công cộng và trật tự, an toàn xã hội quốc phòng, an ninh Việc xácđịnh mức ảnh hưởng có thể dựa vào phạm vi bị ảnh hưởng như: cấp quốc gia, cơquan, tổ chức hay cá nhân Việc xác định hậu quả, mức ảnh hưởng có thể dựa vàocác thuộc tính C, A, I đối với tài sản như sau:

Đặc biệt nghiêm

trọng (5)

Việc bị lộ thôngtin trái phép làm

ản hưởng nghiêmtrọng đến quốcphòng, an ninh

Việc sửa đổihoặc phá hủy tráiphép thông tinlàm ảnh hưởngnghiêm trọng đếnquốc phòng, anninh

Việc gián đoạntruy cập hoặc sửdụng thông tin/hệthống thông tinlàm ảnh hưởngnghiêm trọng đếnquốc phòng, anninh

Nghiêm trọng

(4)

Việc bị lộ thôngtin trái phép làmtổn hại đặc biệtnghiêm trọng tớilợi ích công cộng

và trật tự, an toàn

xã hội hoặc làmtổn hại nghiêm

Việc sửa đổihoặc phá hủy tráiphép thông tinlàm tổn hại đặcbiệt nghiêm trọngtới lợi ích côngcộng và trật tự,

an toàn xã hội

Việc gián đoạntruy cập hoặc sửdụng thông tin/hệthống thông tinlàm tổn hại đặcbiệt nghiêm trọngtới lợi ích côngcộng và trật tự,

trọng tới quốcphòng, an ninhquốc gia

hoặc làm tổn hạinghiêm trọng tớiquốc phòng, anninh quốc gia

an toàn xã hộihoặc làm tổn hạinghiêm trọng tớiquốc phòng, anninh quốc gia

Vừa phải (3)

Việc bị lộ thôngtin trái phép làmtổn hại nghiêmtrọng tới sảnxuất, lợi ích côngcộng và trật tự,

an toàn xã hộihoặc làm tổn hạitới quốc phòng,

an ninh quốc gia

Việc sửa đổihoặc phá hủy tráiphép thông tinlàm tổn hạinghiêm trọng tớisản xuất, lợi íchcông cộng và trật

tự, an toàn xã hộihoặc làm tổn hạitới quốc phòng,

an ninh quốc gia

Việc gián đoạntruy cập hoặc sửdụng thông tin/hệthống thông tinlàm tổn hạinghiêm trọng tớisản xuất, lợi íchcông cộng và trật

tự, an toàn xã hộihoặc làm tổn hạitới quốc phòng,

an ninh quốc gia

Nhỏ (2)

Việc bị lộ thôngtin trái phép làmtổn hại nghiêmtrọng tới quyền

và lợi ích hợppháp của tổ chức,

cá nhân hoặc làmtổn hại tới lợi íchcông cộng

Việc sửa đổihoặc phá hủy tráiphép thông tinlàm tổn hạinghiêm trọng tớiquyền và lợi íchhợp pháp của tổchức, cá nhânhoặc làm tổn hạitới lợi ích côngcộng

Việc gián đoạntruy cập hoặc sửdụng thông tin/hệthống thông tinlàm tổn hạinghiêm trọng tớiquyền và lợi íchhợp pháp của tổchức, cá nhânhoặc làm tổn hạitới lợi ích côngcộng

Không đáng kể

(1)

Việc bị lộ thôngtin trái phép làmtổn hại tới quyền

và lợi ích

Việc sửa đổihoặc phá hủy tráiphép thông tinlàm tổn hại tớiquyền và lợi ích

Việc gián đoạntruy cập hoặc sửdụng thông tin/hệthống thông tinlàm tổn hại tớiquyền và hợp