MỤC LỤC MỤC LỤC DANH MỤC TỪ VIẾT TĂT DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU LỜI NÓI ĐẦU CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ QUẢN LÝ RỦI RO 1.1 Tại rủi ro nên tiến hành phân tích rủi ro? 1.2 Khi nên tiến hành phân tích rủi ro? 11 1.3 Ai nên tiến hành phân tích rủi ro? 15 1.4 Ai tổ chức nên tiến hành phân tích rủi ro đánh giá rủi ro? 15 1.5 Cách thức tiến hành đánh giá phân tích rủi ro? 15 1.6 Điều kết quản lý rủi ro tổ chức? 16 1.7 Đối tượng xét kết phân tích rủi ro? 16 1.8 Thế thành công phân tích rủi ro? 17 CHƯƠNG 2: QUẢN LÝ RỦI RO 18 2.1 Quản lý rủi ro phần Quản lý dự án phần mềm 20 2.1.1 Chu trình phát triển hệ thống thông tin 22 2.1.2 Quản lý rủi ro mơ hình Ước lượng dự án phần mềm 32 2.1.3 Các pha quy trình ước lượng 33 2.1.4 Vị trí ước lượng chi phí chu trình phát triển phần mềm 51 2.1.5 Ước lượng chi phí phần mềm Việt Nam 60 2.2 Vai trò trách nhiệm nhân viên 61 2.3 Chu trình bảo mật thơng tin Quy trình quản lý rủi ro 63 2.4 Phân tích rủi ro 67 2.4.1 Phân tích tác động Hazard 68 2.4.2 Phương pháp dùng Bảng câu hỏi 72 2.4.3 Quy trình bảng câu hỏi đánh giá rủi 73 2.5 Đánh giá rủi ro 73 2.6 Phân tích chi phí - lợi ích 89 2.7 Giảm thiểu rủi ro 90 CHƯƠNG 3: QUY TRÌNH ĐÁNH GIÁ RỦI RO 91 3.1 Quy trình đánh giá rủi ro 91 3.2 Thông tin tài sản 93 3.3 Phương pháp đánh giá rủi ro 95 3.3.1 Xác định tài sản 95 3.3.2 Xác định mối đe dọa 101 3.3.3 Xác định mức độ rủi ro 116 3.3.4 Điều khiển biện pháp tự vệ 125 3.3.5 Phân tích Chi phí lợi ích 128 3.3.6 Tài liệu 128 CHƯƠNG 4: ĐÁNH GIÁ RỦI RO BẰNG PHƯƠNG PHÁP ĐỊNH TÍNH 130 4.1 Phương pháp đánh giá rủi ro 130 4.1.1 Phương pháp phân tích rủi ro định tính 130 4.1.2 Phương pháp phân tích rủi ro định lượng 130 4.1.3 So sánh hai phương pháp 132 4.2 Khái niệm đánh giá rủi ro định tính 134 4.3 Quy trình đánh giá phân tích rủi ro FRAAP 145 4.4 Các biến thể FRAAP 147 DANH MỤC TÀI LIỆU THAM KHẢO 152 DANH MỤC TỪ VIẾT TĂT Từ viết tắt Tiếng Anh HIA Hazard Impact Analysis FRAAP Facilitated Risk Phân tích tác động Hazard Analysis Assessment Process VACE Tiếng Việt and Quy trình phân tích đánh giá rủi ro Vulnerability assessment and controls Đánh giá lỗ hổng hoạt evaluation động kiểm soát Risk management Quản lý rủi ro Risk analysis Phân tích rủi ro Risk assessment Đánh giá rủi ro Risk mitigation Giảm thiểu rủi ro SLOC Source Lines of Code Số dòng mã/Code ISMS Information System Security Management Hệ thống quản lý an tồn thơng tin DANH MỤC HÌNH VẼ Hình 2.1 Quy trình quản lý rủi ro ISO 31000 20 Hình 2.2 Vịng đời phát triển hệ thống 21 Hình 2.3 Mơ hình chu trình phát triển thác nước (Waterfail) 22 35 Hình 2.4: Quy trình ước lượng chi phí phần mềm 35 Hình 2.5 Chu trình bảo mật thơng tin 65 Hình 2.6 Quy trình quản lý rủi ro an tồn thơng tin 67 Hình 2.7 Bảng tính phân tích tác động mối đe dọa - HIA 69 Hình 2.8 Bảng tính phân tích tác động Hazard 71 Hình 2.9 Bảng tính phân tích tác động Hazard – hoàn chỉnh 72 Hình 4.1 Ma trận mức độ rủi ro 149 DANH MỤC BẢNG BIỂU Bảng 2.1 Một số thuật ngữ Quản lý rủi ro 19 Bảng 2.2 Thuật ngữ SDLC tương ứng với hoạt động quản trị rủi ro 30 Bảng 2.3 Hồ sơ mẫu ước lượng dự án 37 Bảng 2.4 Các phép đo hiệu trình 50 Bảng 2.5 Các đầu vào đầu đánh giá chia theo giai đoạn 51 Bảng 2.6 Vai trò người lao động bảo vệ thông tin 61 Bảng 2.7 Vai trò đặc trưng nhân viên 62 Bảng 2.8 Danh sách mối đe dọa 78 Bảng 2.9 Danh sách kiểm soát tổ chức CNTT 84 Bảng 3.1 Định nghĩa thành phần 94 Bảng 3.2 Nguồn gốc mối đe dọa 102 Bảng 3.3 Phân loại mối đe dọa theo nguồn gốc 103 Bảng 3.4 Phân loại mối đe dọa theo hậu 104 Bảng 3.5 Phân loại mối đe dọa theo yếu tố kỹ thuật 106 Bảng 3.6 Tác động tới mối đe dọa 113 Bảng 3.7 Tỷ lệ xảy 115 Bảng 3.8 Định nghĩa mức độ xác suất 116 Bảng 3.9 Định nghĩa mức độ tác động 118 Bảng 3.10 (a) Ma trận định mức rủi ro 121 Bảng 3.10 (b) Ma trận định mức rủi ro 122 Bảng 3.11 Xếp hạng mối đe dọa đo lường rủi ro 123 Bảng 3.12 Định giá trị theo khả xảy mối đe dọa 123 Bảng 3.13 124 Bảng 3.14 (a) Danh mục kiểm soát 126 Bảng 3.14 (b) Danh mục kiểm soát 127 Bảng 4.1 Đánh giá rủi ro định tính 132 Bảng 4.2 Đánh giá rủi ro định lượng 132 Bảng 4.3 Ưu nhược điểm đánh giá rủi ro định tính định lượng 133 Bảng 4.4 Thành phần đội đánh giá rủi ro 136 Bảng 4.5 Định nghĩa mối đe dọa 138 Bảng 4.6 Ưu tiên thành phần xác suất 140 Bảng 4.7 Định nghĩa thành phần xác suất 140 Bảng 4.8 Xác suất mối đe dọa 141 Bảng 4.9 Xác suất tách động 141 Bảng 4.10 Định nghĩa xác suất tác động 142 Bảng 4.11 Gán giá trị tác động mối đe dọa 142 Bảng 4.12 Tính tốn yếu tố nguy 143 Bảng 4.13 Biện pháp bảo vệ 144 Bảng 4.14 150 Bảng 4.15 150 LỜI NÓI ĐẦU Trong trình kiểm định, đánh giá bảo mật cho hệ thống thông tin nhằm đưa điểm yếu nguy rủi ro, chuyên gia bảo mật thường tiến hành việc quét kiểm tra rủi ro tiềm ẩn chưa nhận diện, ấy, rủi ro xảy bất ngờ nhóm dự án Và bất ngờ tiêu cực mang đến hậu không lường trước Quản lý rủi ro q trình xác định trước rủi ro xảy dự án, phân tích, có giải pháp phù hợp nhằm mục tiêu tăng hội thành công giảm thiệt hại cho dự án Giáo trình dành riêng giới thiệu kỹ thuật thu thập, phân loại, đánh giá, kiểm soát giảm thiểu rủi ro xảy dự án cơng nghệ thơng tin nói chung tổ chức sử dụng nhằm đảm bảo an hệ thống vận hành cách an toàn bảo mật Giáo trình gồm chương nội dung sau: Chương 1: Tổng quan quản lý rủi ro dự án Trả lời câu hỏi Tại sao? Khi nào? Ai cách thức tổ chức quản lý rủi ro dự án sao? Đối tượng thang đo đánh giá hiệu trình đánh giá rủi ro Chương 2: Trong chương trình bày quy trình quản lý rủi ro trình hỗ trợ quản lý kinh doanh việc đáp ứng nhiệm vụ bảo vệ tài sản tổ chức Quản lý rủi ro trình tổng hợp sử dụng để xác định, kiểm soát giảm thiểu tác động kiện không chắn Chương 3: Trong chương trình bày cách phân tích phương pháp đánh giá rủi ro khác nhau, xây dựng quy trình đánh giá rủi ro đáp ứng cho dự án công nghệ thông tin nói chung Chương 4: Trong chương trình bày số quy trình đánh giá rủi ro định tính định lượng; kỹ thuật sử dụng bảng hỏi phân loại mối đe dọa giảm thiểu ảnh hưởng chúng dự án công nghệ thơng tin Giáo trình biên soạn dựa u cầu thực tế đào tạo kỹ sư An toàn thông tin, Kỹ sư Kỹ thuật phần mềm trường đại học Việt Nam, nội dung xây dựng với mục tiêu tiếp cận kiến thức kỹ thuật phân tích đánh giá giảm thiểu mối đe dọa quản lý dự án công nghệ thông tin nên không tránh khỏi thiếu sót, mong nhận đóng góp đồng nghiệp bạn đọc gần xa Thái Nguyên, tháng năm 2021 Nhóm tác giả CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ QUẢN LÝ RỦI RO 1.1 Tại rủi ro nên tiến hành phân tích rủi ro? Quản lý gắn liền với việc tính khả thi thực suốt trình định thực với doanh nghiệp Một đánh giá rủi ro thức cung cấp tài liệu để chứng minh tính khả thi thực Kết trình phân tích đánh giá rủi ro thường sử dụng hai lần Lần diễn định thực hiện; phân tích rủi ro có nghĩa định có nên tiến hành dự án hay không, đánh giá rủi ro, loại kiểm soát biện pháp bảo vệ cần phải thực Đối với đánh giá rủi ro, đầu xác định biện pháp đối phó cần thực quản lý xác định định tốt chấp nhận rủi ro Lần sử dụng khác, kết sử dụng vấn đề phát sinh tổ chức phải q trình đạt Các tài liệu tạo trình quản lý rủi ro cho phép tổ chức người tham gia, thảo luận, xem xét, định thực Một quy trình quản lý rủi ro cho phép doanh nghiệp điều khiển vận mệnh Với q trình phân tích rủi ro hiệu chỗ, việc kiểm soát bảo vệ thực cần thiết thực Doanh nghiệp đối mặt với việc phải thực kiểm soát bắt buộc tuân thủ yêu cầu kiểm toán Bất kỳ dự án phải đối diện với kiện có tác động đến mục tiêu dự án Những kiện dự báo trước dự báo trước Một dự báo trước, nhóm dự án có biện pháp dự phịng chủ động hạn chế tác động xảy rủi ro Có rủi ro dễ dàng nhìn thấy trước bắt đầu tiến hành dự án, có rủi ro nhìn thấy xảy Dự án có nhiều cố xảy minh chứng cho việc nhóm dự án khơng thấy đa số rủi ro xảy dự án, minh chứng cho việc nhóm dự án thấy rủi ro khơng có biện pháp phòng ngừa hợp lý Việc cố xảy mà khơng có kế hoạch dự phịng dẫn đến mục tiêu dự án bị tác động Mức độ ảnh hưởng nhỏ làm trễ tiến độ, vượt ngân sách, giảm chất lượng, rối loạn nội tổ chức, xa làm thất bại tồn dự án, ảnh hưởng đến uy tín tổ chức quan hệ với khách hàng Vì thế, nói đến quản lý rủi ro tức nói đến việc quản lý chủ động, tích cực xử lý cố, thụ động Ý nghĩa lớn quản lý rủi ro khai phá rủi ro tiềm ẩn chưa nhận diện thành rủi ro nhận diện, song hành với việc phân tích có giải pháp hợp lý để đối phó với rủi ro Vì phải quản lý rủi ro? Dự án tồn vô số rủi ro tiềm ẩn chưa nhận diện, ấy, rủi ro xảy bất ngờ nhóm dự án Và bất ngờ tiêu cực mang đến hậu không lường trước Quản lý rủi ro q trình xác định trước rủi ro xảy dự án, phân tích, có giải pháp phù hợp nhằm mục tiêu tăng hội thành công giảm thiệt hại cho dự án Đây quy trình dành cho loại dự án, không quan tâm đến quy mô, tính chất dự án Việc quản lý rủi ro cần thực theo quy trình có thứ tự, dùng cơng cụ phù hợp, có giải pháp hiệu Quản lý rủi ro thông thường trải qua trình sau: lập kế hoạch quản lý rủi ro, xác định rủi ro, phân tích rủi ro định tính, phân tích rủi ro định lượng, lập kế hoạc đối phó rủi ro, kiểm sốt rủi ro Việc quản lý rủi ro tốt đưa đến: chủ động phát hội nguy có khả xảy làm tác động đến mục tiêu dự án, từ thực giải pháp phù hợp nhằm làm tăng khả hội giảm tác động nguy Tiết kiệm chi phí thời gian thực dự án từ giai đoạn lập kế hoạch Việc xác định rủi ro từ đầu dự án giúp phát sớm cố, có giải pháp dự phịng làm giảm chi phí, thời gian cho dự án Ý nghĩa thứ hai việc loại bỏ thơng tin khơng chắn việc ước tính xác khoản chi phí dự phịng đi, điều giúp tiết kiệm thời gian chi phí cho dự án Tăng giá trị cho kế hoạch, làm kế hoạch thực tế giá trị Rủi ro thực với lĩnh vực kiến thức khác yêu cầu, thời gian, chi phí, nhân dự, chất lượng, đấu thầu Nếu áp dụng q trình phân tích rủi ro vào u cầu làm yêu cầu rõ ràng hơn, đầy đủ xác Áp dụng quản lý rủi ro thời gian làm cho việc ước tính 10 thời gian xác Áp dụng quản lý rủi ro vào nhân lựa chọn nhân phù hợp cho dự án hơn… Hạn chế loại bỏ thay đổi không cần thiết xảy trình thực thi dự án giúp tránh phát sinh cách khơng kiểm sốt u cầu nguồn lực, thời gian, chi phí… Đánh giá chi tiết cụ thể hội/nguy thành phần nhỏ hay hạng mục cơng việc dự án có đối sách phù hợp Việc thành công dự án nỗ lực tổng hòa chi tiết công việc việc phối hợp lĩnh vực kiến thức lại với Áp dụng quản lý rủi ro vào hạng mục công việc chắn mạng lại thành công cho hạng mục cơng việc cho tồn dự án Đánh giá chi tiết cụ thể hội/nguy từ phương diện: yêu cầu, thời gian, chi phí, chất lượng, nhân sự, truyền thông, mua sắm, đấu thầu có đối sách phù hợp Cơ hội nguy dự án đến từ lĩnh vực kiến thức khác tác động đến hiệu dự án - Việc hoàn thành xuất sắc lĩnh vực mang lại hội thành công lớn cho dự án - Việc áp dụng quản lý rủi ro vào tất lĩnh vực kiến thức cách toàn diện phương pháp tối ưu nhằm loại bỏ nguy phát huy hội từ nhiều góc nhìn khác - Đánh giá chi tiết cụ thể hội/nguy từ mơi trường bên ngồi, mơi trường nội bộ, ràng buộc, giả định dự án có đối sách phù hợp Giúp nhà quản trị hiểu rõ dự án/hoạt động kinh doanh áp dụng trình quản lý rủi ro - Giúp cơng tác quản lý tổ chức mang tính hệ thống, bản, chuyên nghiệp - Ảnh hưởng tích cực đến văn hóa tổ chức, tinh thần làm việc nhân viên, trách - Tăng thỏa mãn khách hàng, nâng cao giá trị thương hiệu, uy tín nhiệm với cộng đồng 1.2 Khi nên tiến hành phân tích rủi ro? Một phân tích rủi ro nên tiến hành nguồn tiền nguồn lực chi tiêu Trước bắt đầu nhiệm vụ, dự án, chu kỳ phát triển, doanh nghiệp nên tiến hành phân tích cần thiết cho dự án Sự hiểu biết khái niệm, nội dung 11 Chớp Bão cát Biển động Vịi rồng Mơi trường Nhiễu điện Mất điện Hỏa hoạn Lỗi phần cứng Lỗi phần mềm Truyền thông bị gián đoạn Lỗi chủ quan Thay đổi liệu Thay đổi phần mềm Đe dọa đánh bom Tiết lộ Phá hoại nhân viên Gian lận Đình cơng Trộm cắp Sử dụng trái phép Phá hoại Lỗi khách quan Thay đổi liệu Thay đổi phần mềm Tiết lộ Người vận hành / lỗi người dùng Bước Ưu tiên mối đe dọa Một mối đe dọa nhập vào Yếu tố nguy cơ, nhóm nghiên cứu xác định tần suất mối đe dọa xác định có khả xảy Bởi đánh 139 giá rủi ro định tính, tần số biểu diễn thấp đến cao đưa giá trị số cách áp dụng yếu tố liệt kê Bảng 4.7 Bảng 4.6 Ưu tiên thành phần xác suất Thấp Thấp đến trung bình Trung bình Trung bình đến Cao Cao Mỗi thành viên nhóm nhập giá trị theo kinh nghiệm liệu thống kê xác suất xuất mối đe dọa xảy Các đội phải cung cấp tập hợp định nghĩa tương tự người liệt kê Bảng 4.7 (việc thống định nghĩa đảm bảo thành viên nhóm đánh giá tiến hành đánh giá giá trị dựa bảng tham chiếu thống nhất) Bảng 4.7 Định nghĩa thành phần xác suất ProbabilityFactor Thấp Definition Chắc chắn khơng có mối đe dọa xảy Thấp đến trung bình vịng 12 tháng tới Không mối đe dọa xảy vịng 12 tháng tới Trung bình Có thể mối đe dọa xảy vòng 12 tháng Trung bình đến Cao Có khả đe dọa xảy vòng 12 Cao tháng tới Rất mối đe dọa xảy vịng 12 Các thành viên làm cơng việc cách độc lập sau trung bình kết quả, đội toàn thể xem xét mối đe dọa lúc thời gian đạt đồng thuận Một cách khác để thể tỷ lệ mối đe dọa xảy xác suất xảy Điều tương tự bảng xếp hạng tỷ lệ xảy hàng năm, thảo luận trước Tuy nhiên, khác biệt không cố gắng để tìm giá trị xác suất số tuyệt đối, phải dựa nhiều vào kiến thức thành viên nhóm Đây lý 140 thang điểm nhóm nghiên cứu quan trọng Đó kinh nghiệm họ ảnh hưởng đến kết tính tốn Bảng 4.8 Xác suất mối đe dọa Mối đe dọa Tần suất Đe doạ Tác động đe dọa Yếu tố rủi ro Mất điện Cố ý tiết lộ Gian lận Lỗi người dùng nhập Một xác suất xảy xác định, số ghi lại cột "mối đe dọa Xác suất", thể Bảng 4.8 Bước Tác động mối đe dọa Tại thời điểm này, thành viên nhóm nghiên cứu ước tính ảnh hưởng mát mối đe dọa xảy Bước xác định xác suất mối đe dọa xảy ra; Bước để xác định ảnh hưởng đến tài sản xem xét mối đe dọa cụ thể xảy Để chắn kết hồn chỉnh tối đa, nhóm đánh giá phải định trước xem xét tác động thực cho dù mối đe dọa có hay khơng có điều kiện xảy thời điểm Nhóm nghiên cứu sau tiếp cận mối đe dọa Làm việc độc lập theo nhóm, nhóm nghiên cứu tính tốn tác động đe dọa nhập giá trị vào vị trí thích hợp Bảng tính xác định mối đe dọa Các bảng giống sử dụng bước sử dụng bước (Bảng 4.9) Bảng 4.9 Xác suất tách động Thấp Thấp đến trung bình Trung bình Trung bình đến Cao Cao Mỗi thành viên nhóm nhập giá trị theo kinh nghiệm liệu thống kê ảnh hưởng đến việc xác định mối đe dọa xảy Nếu thành viên nhóm khơng có kiến thức mối đe dọa nên để trống trường chuyển sang đe dọa nguy hiểm khác Việc làm cần thiết để có thống tránh kết đánh giá bị sai khác trình độ kinh nghiệm khơng đồng thành viên nhóm Ngoài giá trị khái niệm đánh giá phải có quy chuẩn chung để đảm bảo trình đánh giá chặt chẽ thống 141 Các nhóm phải cung cấp tập hợp định nghĩa tương tự Bảng 4.10 để đảm bảo tính thống suốt q trình đánh giá rủi ro Bảng 4.10 Định nghĩa xác suất tác động Yếu tố tác động Thấp Thấp đến trung bình Định nghĩa Nhóm làm việc phận bị ảnh hưởng; khơng có tác động đến trình kinh doanh Một nhiều phận bị ảnh hưởng; chút chậm trễ việc đáp ứng mục tiêu nhiệm vụ Hai hay nhiều phòng ban đơn vị kinh doanh Trung bình bị ảnh hưởng; bốn đến chậm trễ sáu việc đáp ứng mục tiêu nhiệm vụ Trung bình đến Hai đơn vị kinh doanh nhiều bị ảnh hưởng; Cao chậm trễ hai ngày mục tiêu nhiệm vụ họp Cao Toàn nhiệm vụ doanh nghiệp bị ảnh hưởng Bảng 4.11 Gán giá trị tác động mối đe dọa Mối đe dọa Nhiễu loạn điện/Mất điện Cố ý tiết lộ thơng tin nhạy cảm có chủ ý Gian lận Lỗi người dùng nhập Tần suất Tác động 3 Yếu tố Rủi ro Bước Xác định yếu tố nguy Trong bước này, nhóm nghiên cứu thêm giá trị ưu tiên mối đe dọa ảnh hưởng mối đe dọa với để đạt yếu tố nguy mối đe dọa xác định Các yếu tố nguy dao động từ mức thấp đến cao 10 ( Bảng 4.12) 142 Sau tất yếu tố nguy tính tốn, đội phải xác định điều khiển biện pháp tự vệ mối đe dọa thu yếu tố nguy cao Thơng thường khơng có doanh nghiệp có đủ nguồn lực để kiểm tra tất rủi ro dự án họ Vì vậy, cần thiết để xác định yếu tố nguy xác định để xem xét thêm Những nguy có giá trị nên theo dõi cách thường xuyên để đảm bảo yếu tố nguy không tăng đến mức độ chấp nhận Các mối đe dọa với yếu tố nguy không đòi hỏi hành động vào thời điểm Bảng 4.12 Tính tốn yếu tố nguy Mối đe dọa Tần suất Tác động Yếu tố Rủi ro Nhiễu điện/mất điện Tiết lộ có chủ ý 3 Gian lận Lỗi nhập người dùng 7 Bước Xác định biện pháp bảo vệ điều khiển Trong bước này, nhóm nghiên cứu phân tích mối đe dọa xác định với yếu tố nguy cao chọn điều khiển kỹ thuật, hành chính, vật lý cung cấp mức độ chấp nhận chi phí-hiệu bảo vệ cho tài sản xem xét Các mơ hình cho mục tiêu bảo vệ thơng tin thành lập bao gồm bốn lớp: tránh, đảm bảo, phát phục hồi: - Tránh điều khiển biện pháp bảo vệ chủ động mà cố gắng để tối đa hóa nguy xâm nhập cờ hay cố ý - Bảo đảm điều khiển công cụ chiến lược sử dụng để đảm bảo hiệu liên tục điều khiển có biện pháp bảo vệ - Kiểm sốt phát kỹ thuật chương trình sử dụng để đảm bảo phát sớm, ngăn chặn, phản ứng hành vi vi phạm an ninh - Phục hồi điều khiển có kế hoạch dịch vụ để đáp ứng nhanh chóng khơi phục lại mơi trường an tồn điều tra nguồn gốc hành vi vi phạm 143 Nhóm nghiên cứu nên tập trung vào điều khiển mà cho phép nhiệm vụ doanh nghiệp với chức cung cấp mức độ đầy đủ bảo hộ Nó thận trọng để thiết lập danh sách điều khiển có lớp giúp doanh nghiệp đáp ứng mục tiêu kinh doanh Ví dụ điều khiển bảo vệ cho lớp bảo mật bao gồm thành phần liệt kê Bảng 3.14 (a) Ngoài điều khiển thảo luận trên, số mối đe dọa yêu cầu bảo vệ vật lý số kết hợp điều khiển Các nhóm nghiên cứu xem xét biện pháp bảo vệ bổ sung biện pháp đối phó xác định chi phí cho việc thực trì điều khiển đề xuất Đội để vào bảo vệ đề nghị chi phí liên quan "Tự vệ có thể" "Chi phí bảo vệ" cột bảng tính (Bảng 4.13) Nó mang lại lợi ích cho tất biện pháp bảo vệ liệt kê xem xét xếp hạng chúng theo khuyến nghị nhóm nghiên cứu (Bảng 4.13) Điều cho phép quản lý để xem xem xét đội bóng vá nghị bảo vệ chi phí-hiệu Nó biện pháp tự vệ làm giảm nguy rủi ro nhiều mối đe dọa, làm tăng chi phí-hiệu Bảng 4.13 Biện pháp bảo vệ Mối đe dọa Sự cố điện Khả Mức độ Yếu tố Biện pháp bảo vệ xuất tác động rủi ro (nếu có) Hệ thống lưu điện UPS - Tiêu chuẩn xử Cố ý tiết lộ thông tin lý thơng tin 3 - Chương trình nâng cao nhận thức nhân viên Chi phí bảo vệ $38,000 - 45 Giờ lao động - 20 để phát triển thuyết trình, cho nhân viên tham dự 144 - Danh sách điều - Cài Gian lận khiển truy cập - Nhật ký logs Lỗi người dùng nhập đặt phần mềm - Khả tồn Chỉnh sửa kiểm lập trình tra bổ sung 4.3 Quy trình đánh giá phân tích rủi ro FRAAP Hầu hết doanh nghiệp cố gắng quản lý loại đe dọa tương tự mối đe dọa mà tổ chức khác phải đối mặt Với thay đổi văn hoá kinh doanh, chuyên gia bảo mật phải sửa đổi trình phản hồi mối đe dọa môi trường kinh doanh cách nhanh chóng Các tổ chức ngày phải bảo vệ tính tồn vẹn, bí mật, sẵn có nguồn thơng tin tin cậy Mặc dù có quan tâm gia tăng an ninh cấp cao quản lý, thực tế hoạt động doanh nghiệp kinh doanh Một chương trình an ninh hiệu phải hỗ trợ đơn vị kinh doanh cấp dịch vụ đáng tin cậy chất lượng cao giúp họ bảo vệ tài sản doanh nghiệp Quy trình Đánh giá Phân tích Rủi ro - FRAAP phát triển quy trình hiệu có kỷ luật để đảm bảo rủi ro liên quan đến bảo mật thông tin hoạt động kinh doanh xem xét lập thành văn Q trình liên quan đến việc phân tích hệ thống, ứng dụng, tảng, quy trình kinh doanh phân đoạn hoạt động kinh doanh thời điểm Bằng cách thiết lập nhóm chuyên gia vấn đề nội bộ, FRAAP dựa vào người tổ chức để hồn thành quy trình đánh giá rủi ro Các chuyên gia bao gồm nhà quản lý doanh nghiệp, người quen thuộc với nhu cầu sứ mệnh tài sản xem xét nhân viên có hiểu biết chi tiết lỗ hổng hệ thống tiềm ẩn biện pháp kiểm soát liên quan Các phiên FRAAP tuân theo chương trình tiêu chuẩn hỗ trợ thành viên dự án nhân viên an ninh thông tin 145 Người điều hành có trách nhiệm đảm bảo thành viên nhóm giao tiếp hiệu tuân thủ tuyên bố phạm vi dự án FRAAP chia thành ba giai đoạn: trước FRAAP, phiên FRAAP sau FRAAP Trong phiên FRAAP: nhóm thu thập phân tích để xác định mối đe dọa tiềm ẩn tính tồn vẹn, tính bảo mật tính sẵn (bộ ba thuộc tính an tồn thơng tin) hệ thống thơng tin Sau đó, nhóm thiết lập mức độ ưu tiên mối đe dọa dựa xác suất mối đe dọa tác động tương đối Ảnh hưởng tác động đến hoạt động kinh doanh phân loại rộng rãi mối đe dọa theo mức độ rủi ro mức độ ưu tiên chúng Nhóm thường khơng cố gắng thu thập phát triển số cụ thể khả xảy mối đe dọa ước tính tổn thất hàng năm trừ có sẵn liệu để xác định yếu tố Thay vào đó, nhóm dựa vào kiến thức chung mối đe dọa lỗ hổng bảo mật thu từ trung tâm ứng phó cố quốc gia, hiệp hội nghề nghiệp tài liệu, kinh nghiệm thành viên Khi tập hợp nhóm, kinh nghiệm cho phép thành viên tin nỗ lực bổ sung để phát triển rủi ro lượng hóa xác khơng hiệu mặt chi phí vì: - Các ước tính tốn nhiều thời gian nỗ lực để xác định xác minh phát triển - Tài liệu rủi ro trở nên đồ sộ nên khơng thể thực - Các ước tính tổn thất cụ thể nói chung khơng cần thiết để xác định xem có cần kiểm sốt hay khơng Sau xác định mối đe dọa thiết lập mức độ rủi ro tương đối cho mối đe dọa, nhóm xác định biện pháp kiểm sốt thực để giảm rủi ro, tập trung vào biện pháp kiểm soát hiệu chi phí Khơng giống phân tích rủi ro 30 phút, nhóm sử dụng tập hợp chung mối đe dọa thiết kế để giải loại mối đe dọa khác Cuối cùng, định kiểm soát cần thiết nằm chủ sở hữu tài sản Chủ sở hữu tính đến chất nguồn thơng tin nhạy cảm mức độ quan trọng hoạt động kinh doanh chi phí kiểm sốt Kết luận nhóm mối đe dọa tồn tại, mức độ rủi ro chúng biện pháp kiểm soát cần thiết ghi lại để chủ sở hữu doanh nghiệp sử dụng việc phát triển kế hoạch hành động nhằm thực biện pháp kiểm soát cần thiết 146 Sau phiên FRAAP hoàn tất, chuyên gia bảo mật hỗ trợ chủ doanh nghiệp xác định biện pháp kiểm soát hiệu chi phí đáp ứng nhu cầu kinh doanh Khi mối đe dọa định biện pháp kiểm soát chấp nhận rủi ro kinh doanh, người quản lý kinh doanh cấp cao chuyên gia kỹ thuật tham gia ký vào tài liệu hoàn thành Tài liệu tất giấy tờ liên quan thuộc sở hữu đơn vị kinh doanh tài trợ giữ lại thời gian xác định thủ tục quản lý hồ sơ (thường bảy năm) Mỗi quy trình phân tích rủi ro chia thành ba phiên riêng biệt: - Cuộc họp trước FRAAP thường kéo dài khoảng bao gồm chủ doanh nghiệp, trưởng dự án, người ghi chép người hỗ trợ - Phiên FRAAP kéo dài khoảng bốn bao gồm 15 đến 30 người, phiên có tới 50 người diễn Hậu FRAAP nơi kết phân tích hoàn thành báo cáo tổng hợp quản lý Q trình đến năm ngày làm việc để hoàn thành 4.4 Các biến thể FRAAP Trong năm qua, rõ ràng gần tổ chức có yêu cầu đặc biệt riêng q trình đánh giá rủi ro Đây mơ hình dẫn u cầu kiểm soát cụ thể dựa yêu cầu quy định thực đánh giá rủi ro yếu tố khác trình kinh doanh tổ chức Trong phần này, xem xét số sửa đổi Quy trình đánh giá phân tích rủi ro FRAAP tiêu chuẩn Kiến trúc FRAAP thực để giải vấn đề xung quanh khả xử lý vấn đề dự án tổ chức kinh doanh Một tổ chức phải tạo môi trường làm việc an tồn bảo mật thơng tin cho nhân viên dịch vụ mà họ cung cấp Cơ sở hạ tầng FRAAP kiểm tra tảng, mạng, hệ điều hành, quy trình kinh doanh, chương trình (chẳng hạn chương trình bảo mật thông tin) chức kinh doanh khác Các yếu tố đánh giá rủi ro tiêu chuẩn Xác định chủ sở hữu tài sản thành thu đánh giá rui ro Tạo tuyên bố phạm vi dự án Tiến hành sàng lọc trước để đảm bảo yêu cầu đánh giá rủi ro 147 Lựa chọn đội chất lượng Thống tất định nghĩa Tạo bảng kiểm soát phản ánh nhu cầu cụ thể tổ chức Kiến trúc FRAAP thiết lập mức rủi ro để từ thực biện pháp kiểm soát, biện pháp an tồn đối phó hợp lý thận trọng Trước tiến hành đánh giá rủi ro ứng dụng mới, tổ chức nên tiến hành FRAAP sở hạ tầng để kiểm tra việc quản lý thay đổi áp dụng quy trình sản xuất Việc thực biện pháp bảo vệ kiểm soát hợp lý thận trọng phải ánh xạ trở lại trình xác định yêu cầu biện pháp đối phó Việc thực biện pháp kiểm sốt mà khơng thiết lập nhu cầu phản tác dụng không hiệu chi phí Kiến trúc FRAAP thiết lập nhu cầu kinh doanh biện pháp kiểm soát cung cấp cho tổ chức hai sản phẩm quan trọng: tiêu chuẩn kiểm soát khả cho khách hàng, khách hàng nhân viên thấy cách tổ chức bảo vệ tài sản Tất biến thể FRAAP bắt đầu với đánh giá rủi ro tiêu chuẩn yếu tố đánh giá rủi ro Sau hồn thành, nhóm thực quy trình đánh giá rủi ro Trong Kiến trúc FRAAP, nhóm đánh giá xác định mối đe dọa giống trước Khi tất mối đe dọa ghi lại nhóm đánh giá chỉnh sửa kết hợp mối đe dọa tương tự, nhóm tiến hành thiết lập mức độ rủi ro mối đe dọa thể khơng có biện pháp kiểm soát Điều thực cách sử dụng định nghĩa thống xác suất tác động 148 Hình 4.1 Ma trận mức độ rủi ro Nhóm sử dụng ma trận thể Hình 4.1 để thiết lập mức rủi ro cho mối đe dọa Khi nhóm chuyên gia đánh giá duyệt qua mối đe dọa xác định thiết lập mức độ rủi ro thích hợp, thơng tin ghi lại Phiếu công tác đánh giá mức độ rủi ro (Bảng 4.14) Khi nhóm thiết lập mức rủi ro bản, nhóm yêu cầu để xác định biện pháp kiểm sốt có để chọn từ danh sách biện pháp kiểm soát thoả thuận trước Trước tiên, nhóm yêu cầu xác định biện pháp kiểm soát thực để giải mối đe dọa cụ thể Chất lượng việc kiểm soát kiểm tra bước tiếp theo; trình này, cần đảm bảo tất biện pháp kiểm sốt có xác định Sau nhập biện pháp kiểm sốt có, nhóm đánh giá chọn biện pháp kiểm soát từ danh sách kiểm soát mối đe dọa mở đánh giá lại mức độ rủi ro với biện pháp kiểm sốt có Việc ghi lại q trình kiểm sốt giống Bảng 4.15 Kiến trúc FRAAP cho phép tổ chức xác định mức độ xử lý hoạt động an toàn Kết từ phiên họp ghi lại báo cáo tóm tắt quản lý tương tự báo cáo thảo luận chương trước Kế hoạch hành động tạo từ FRAAP sử dụng thiết kế để tạo kiến trúc mà từ tiêu chuẩn, thủ tục thông lệ thực 149 Bảng 4.14 Mối đe dọa Áp dụng Có/Khơng Bảo mật Thư điện tử khơng an tồn chứa thơng tin bí mật Đánh cắp thơng tin nội Nhân viên khơng thể xác minh danh tính khách hàng (ví dụ: giả mạo điện thoại) Thơng tin bí mật để chế độ hiển thị rõ ràng bàn làm việc Các thảo luận xã hội bên ngồi văn phịng dẫn đến việc tiết lộ thơng tin nhạy cảm Những người khơng có thẩm quyền lấy thơng tin từ thùng rác thùng chứa chất thải khác Thông tin gửi cho bên thứ ba bị sử dụng sai mục đích Máy tính khơng giám sát cấp quyền truy cập trái phép vào tệp Mật khơng u cầu cho tất máy trạm Gửi hai nhiều kê / tài liệu khách hàng khác phong bì Xác suất 1= Thấp 2= Trung bình 3= Cao Mức độ = Thấp =Trung bình = Cao Mức độ Kiểm rủi ro soát Cao Trung bình 1 Thấp 3 Cao 1 Thấp 3 Cao Trung bình Thấp 3 Cao Mức độ rủi ro Không Bảng 4.15 Mối đe dọa Bảo mật Thư điện tử khơng an tồn chứa Áp dụng Có/Khơng Xác suất 1= Thấp 2= Trung bình 3= Cao M ức độ = Thấp =Trung bình = Cao M ức độ rủi ro 3 Cao Ki ểm sốt Chính sách phân loại thơng tin Mức độ rủi ro Trung bình 150 thơng tin bí mật Đánh cắp thơng tin nội Nhân viên khơng thể xác minh danh tính khách hàng (ví dụ: giả mạo điện thoại) Thơng tin bí mật để chế độ hiển thị rõ ràng bàn làm việc Các thảo luận xã hội bên ngồi văn phịng dẫn đến việc tiết lộ thơng tin nhạy cảm Những người khơng có thẩm quyền lấy thơng tin từ thùng rác thùng chứa chất thải khác Thông tin gửi cho bên thứ ba bị sử dụng sai mục đích Máy tính khơng giám sát cấp quyền truy cập trái phép vào tệp Trung bình 1 Thấp Trung bình Cao Chính sách phân loại thông tin tiêu chuẩn xử lý thực Thấp Thỏa thuận không tiết lộ mức độ dịch vụ giải việc sử dụng tiết lộ phù hợp Thấp Cao 1 Thấp Thấp Chính sách phân loại thơng tin tiêu chuẩn xử lý thực 3 tiêu chuẩn xử lý thực Quy tắc ứng xử nhân viên xung đột lợi ích đề cập đến quyền sở hữu công ty biện pháp trừng phạt thực hành vi vi phạm Trung bình Thấp 151 DANH MỤC TÀI LIỆU THAM KHẢO [1] Alain Abran, Pierre N Robillard Function Points Analysis: An Empirical Study of Its Measurement Process, IEEE Transaction on Software Engineering, pp 895 – 910, 1996 [2] Bente Anda, Hans Christian Benestad and Siw Elisabeth Hove A multi – case study of software effort estimation based on Use Case Points, IEEE Transaction on Software Engineering, pp 407 – 416, 2005 [3] Charles R Symons, Function Points Analysis: Difficulties and Improvement, IEEE Transaction on Software Engineering, pp – 11, 1998 [4] Đặng Văn Đức, Phân tích thiết kế hướng đối tượng UML, NXB Giáo Dục, 2002 [5] Ian Sommerville, Software Engineering, 7th Edition, Addison – Wesley, 2001 [6] Parastoo Mohagheghi, Bente Anda, Reidar Conradi Effort Estimation of Use Case for Incremental Large – Scale Software Development, IEEE Transaction on Software Engineering, pp 303 – 311 [7] Peter Merrick, Software Metrics and Effort Estimation, Extract from thesis of Peter Merrick, University of East Anglia, Norwich [8] Shivprasad Koirala, How to prepare quotation using Use Case Points, trang web http://www.codeproject.com/gen/design/usecasepoints.asp [9] Trịnh Bảo Ngọc, Các hướng tiếp cận ước lượng chi phí phần mềm ứng dụng Việt Nam, Luận văn thạc sỹ khoa học ngành Công nghệ Thông tin trường Đại học Bách Khoa Hà Nội [10] Trang web http://sunset.usc.edu/research/COCOMOII/ [11] Shinji Kusumoto, Fumikazu Matukawa, Katsuro Inoue, Graduate School of Information Science and Technology, Osaka University Shigeo Hanabusa, Yuusuke Maegawa, Production Technology Department, Hitachi Systems & Services, Ltd Estimating Effort by Use Case Points: Method, Tool and Case Study, Proceedings of the 10th International Symposium on Software Metrics (METRICS’04) [11] Peltier, “Information Security Risk Analysis”, Auerbach Publications, 2005 [12] Tipton, H.F, “Information Security management Handbook”, 6th Ed Taylor & Francis, 2008 [13] Jordan E, Silcock L, “Beating IT Risks”, Chichester, Wiley, 2006 152 [14] “Managing Information Security Risks Organization, Mission, and Information System View”,National Institute of Standards and Technology Gaithersburg, 2011 [15] Malcolm Harkins, “Managing Risk and Information Security”, Apress Media, 2013 [16] Tiêu chuẩn quốc gia ISO/IEC 27005:2008 “Công nghệ thông tin- Kỹ thuật an tồn - Quản lý rủi ro an ninh thơng tin” (Information technology - Security techniques - Information security risk management) [17] KENNETH E KENDALL, JULIE E KENDALL, “SYSTEMS ANALYSIS and DESIGN 8th”, Prentice Hall, 2011 [18] Morrie Gasser, “BUILDING A SECURE COMPUTER SYSTEM”, Van Nostrand Reinhold, 1988 [19] Mark G Graff, Kenneth R van Wyk, “Secure Coding Principles and Practices, O'Reilly”, 2003 [20] John R Vacca, Computer and Information Security Handbook, Morgan Kaufmann, 2009 [21] Saurabh Bagchi, Bruce S Davie, Adrian Farrel, Bingrui Foo, Vijay K Garg, Matthew W Glause, Gaspar Modelo-Howard, Prashant Krishnamurthy, Pete Loshin, James D McCabe, Lionel M Ni, Larry L Peterson, Rajiv Ramaswami, Kumar N Sivarajan, Eugene H Spafford, George Varghese, Yu-Sung Wu, Pei Zheng, “Network Security Know It All”, Morgan Kaufmann, 2008 153 ... giá hiệu trình đánh giá rủi ro Chương 2: Trong chương trình bày quy trình quản lý rủi ro trình hỗ trợ quản lý kinh doanh việc đáp ứng nhiệm vụ bảo vệ tài sản tổ chức Quản lý rủi ro trình tổng... rủi ro thơng thường trải qua q trình sau: lập kế hoạch quản lý rủi ro, xác định rủi ro, phân tích rủi ro định tính, phân tích rủi ro định lượng, lập kế hoạc đối phó rủi ro, kiểm soát rủi ro Việc... phó rủi ro phân tích nguy rủi ro dự án công nhận (sử dụng định) khả ảnh hưởng rủi ro Bước Lựa chọn vấn đề rủi ro Là phương pháp xác định cách thích hợp để đối phó với rủi ro dự án mà rủi ro thực