HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Giảng viên: TS Hồng Xn Dậu Điện thoại/E-mail: dauhx@ptit.edu.vn Bộ mơn: An tồn thơng tin - Khoa CNTT1 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT NỘI DUNG CHƢƠNG Quản lý an tồn thơng tin Giới thiệu chuẩn quản lý ATTT ISO/IEC 27000 Pháp luật sách ATTT Vấn đề đạo đức ATTT www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT 6.1 Quản lý an tồn thơng tin Khái quát quản lý ATTT Đánh giá rủi ro ATTT www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT  Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin  Tài sản ATTT gồm:  Phần cứng (máy chủ, thiết bị mạng,…)  Phần mềm (hệ điều hành, phần mềm máy chủ dịch vụ,…)  Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh,…) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT  Quản lý an tồn thơng tin (Information security management) tiến trình (process) nhằm đảm bảo tài sản quan trọng quan, tổ chức, doanh nghiệp bảo vệ đầy đủ với chi phí phù hợp;  Quản lý ATTT phải trả lời câu hỏi:  Những tài sản cần bảo vệ?  Những đe dọa có tài sản này?  Những biện pháp thực để ứng phó với đe dọa đó? www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT  Quản lý ATTT gồm khâu:     Xác định rõ mục đích đảm bảo ATTT; Xây dựng hồ sơ tổng hợp rủi ro; Đánh giá rủi ro với tài sản ATTT cần bảo vệ; Xác định triển khai biện pháp quản lý, kỹ thuật kiểm soát, giảm rủi ro mức chấp nhận www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT  Quá trình quản lý ATTT cần thực liên tục theo chu trình do:  Sự thay đổi nhanh chóng cơng nghệ: • Nhiều cơng nghệ, kỹ thuật cơng cụ xuất • Độ phức tạp hệ thống tăng nhanh  Môi trường xuất rủi ro liên tục thay đổi: • Xuất nhiều cơng cụ cho cơng, phá hoại • Xuất nhiều mối đe dọa • Trình độ tin tặc nâng lên nhanh chóng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT  Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Đánh giá rủi ro ATTT  Đánh giá rủi ro ATTT (Security risk assessment)  Là phận quan trọng vấn đề quản lý rủi ro;  Mỗi tài sản tổ chức cần xem xét, nhận dạng rủi ro có đánh giá mức rủi ro;  Là sở để xác định mức rủi ro chấp nhận với loại tài sản;  Trên sở xác định mức rủi ro, đề biện pháp xử lý, kiểm soát rủi ro mức chấp nhận được, với mức chi phí phù hợp www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Đánh giá rủi ro ATTT  Các phương pháp tiếp cận đánh giá rủi ro:     Phương pháp đường sở (Baseline approach) Phương pháp khơng thức (Informal approach) Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) Phương pháp kết hợp (Combined approach) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 10 ... THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Khái quát quản lý ATTT  Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên... TIN - KHOA CNTT1 Trang 23 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Bộ chuẩn ISO/IEC 27000 - ISO/IEC 27001  ISO/IEC 27001:2005: Plan-Do-Check-Act... TIN - KHOA CNTT1 Trang 24 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƢƠNG – QUẢN LÝ, CHÍNH SÁCH & PHÁP LUẬT ATTT Bộ chuẩn ISO/IEC 27000 - ISO/IEC 27001  ISO/IEC 27001:2005: Plan-Do-Check-Act