Microsoft Word DU THAO TAI LIEU HUONG DAN DANH GIA VA QUAN LY RUI RO ATTT FN BỘ THÔNG TIN VÀ TRUYỀN THÔNG CỤC AN TOÀN THÔNG TIN TÀI LIỆU HƯỚNG DẪN ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN Hà Nội –[.]
BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC AN TỒN THƠNG TIN TÀI LIỆU HƯỚNG DẪN ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO AN TỒN THƠNG TIN Hà Nội – 2021 MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT CHƯƠNG PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG 1.1 Phạm vi áp dụng 1.2 Đối tượng áp dụng 1.3 Giải thích từ ngữ, định nghĩa 1.4 Nguyên tắc quản lý rủi ro an tồn thơng tin 1.5 Tiêu chuẩn tham chiếu CHƯƠNG HƯỚNG DẪN XÁC ĐỊNH MỨC RỦI RO AN TỒN THƠNG TIN 2.1 Nhận biết tài sản 2.2 Điểm yếu 2.3 Mối đe dọa 2.4 Đánh giá hậu 2.5 Khả xảy cố 11 2.6 Xác định mức rủi ro 13 CHƯƠNG QUY TRÌNH ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO 14 3.1 Quy trình tổng quan đánh giá xử lý rủi ro 14 3.2 Thiết lập bối cảnh 15 3.3 Đánh giá rủi ro 17 3.4 Xử lý rủi ro 18 3.5 Chấp nhận rủi ro 19 3.6 Truyền thông tư vấn rủi ro an tồn thơng tin 19 3.7 Giám sát soát xét rủi ro an tồn thơng tin 19 CHƯƠNG BIỆN PHÁP KIỂM SOÁT RỦI RO 21 4.1 Hướng dẫn chung 21 4.2 Biện pháp kiểm soát quản lý 22 4.3 Biện pháp kiểm soát kỹ thuật 24 TÀI LIỆU THAM KHẢO 28 PHỤ LỤC DANH MỤC CÁC ĐIỂM YẾU THAM KHẢO 29 PHỤ LỤC DANH MỤC CÁC MỐI ĐE DỌA THAM KHẢO 35 PHỤ LỤC HƯỚNG DẪN ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO CHO HỆ THỐNG THÔNG TIN CỤ THỂ 37 PHỤ LỤC CÁC YỀU CẦU AN TOÀN BỔ SUNG 45 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Viết tắt Viết đầy đủ ATTT An tồn thơng tin ĐV Đơn vị HT Hệ thống HTTT Hệ thống thông tin Nghĩa tiếng Việt Events Sự kiện Threats Mối đe dọa Vulnerabilities Lỗ hổng bảo mật CHƯƠNG PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG 1.1 Phạm vi áp dụng Tài liệu đưa hướng dẫn đánh giá quản lý rủi ro an tồn thơng tin, bao gồm nội dung liên quan đến xác định mức rủi ro, quy trình đánh giá quản lý rủi ro, biện pháp kiểm soát 1.2 Đối tượng áp dụng Cơ quan, tổ chức liên quan đến hoạt động đánh giá an tồn thơng tin quản lý rủi ro an tồn thơng tin quan, tổ chức nhà nước Khuyến khích quan, tổ chức tham khảo, áp dụng tài liệu hướng dẫn để tăng cường bảo đảm an toàn, an ninh mạng cho hệ thống thông tin thuộc phạm vi quản lý 1.3 Giải thích từ ngữ, định nghĩa Trong hướng dẫn này, số từ ngữ hiểu sau: Khả xảy (likelihood): Khả xảy kiện, định nghĩa, đo lường hay xác định cách chủ quan hay khách quan, dạng định tính hay định lượng mô tả cách sử dụng thuật ngữ chung toán học (như xác suất tần suất khoảng thời gian định) Rủi ro (risk): Sự kết hợp hậu kiện an tồn thơng tin khả xảy kèm theo Rủi ro an tồn thơng tin liên quan đến vấn đề tiềm ẩn mà mối đe dọa khai thác điểm yếu một nhóm tài sản thơng tin gây thiệt hại tổ chức Đánh giá rủi ro (risk assessment): Quy trình tổng thể bao gồm nhận biết rủi ro, phân tích rủi ro ước lượng rủi ro Quản lý rủi ro (risk management): Q trình nhận biết, kiểm sốt giảm thiểu hay loại bỏ rủi ro gây ảnh hưởng đến hệ thống thông tin Quản lý rủi ro bao gồm: đánh giá, xử lý chấp nhận rủi ro Xử lý rủi ro (risk treatment): Quá trình điều chỉnh rủi ro Xử lý rủi ro để giải hậu tiêu cực, thực phương án giảm nhẹ rủi ro, loại bỏ rủi ro, ngăn chặn rủi ro giảm bớt rủi ro Mối đe dọa (Threat): Nguyên nhân tiềm ẩn gây cố khơng mong muốn, kết gây thiệt hại cho hệ thống hay tổ chức Điểm yếu (Vulnerability): Nhược điểm tài sản hay kiểm sốt có khả bị khai thác hay nhiều mối đe dọa Phân tích rủi ro (Risk analysis): Quá trình đánh giá mối nguy (threats) điểm yếu (Vulnerabilities) tài sản thông tin 1.4 Nguyên tắc quản lý rủi ro an tồn thơng tin Cơ quan, tổ chức thực quản lý rủi ro an tồn thơng tin cần dựa ngun tắc đây: a) Quản lý rủi ro phải thực thường xuyên, liên tục theo quy chế, sách quy trình bảo đảm an tồn thơng tin quan, tổ chức b) Việc xử lý rủi ro cần thực sở trọng tâm, trọng điểm, bảo đảm tính khả thi sở cân đối nguồn lực thực giá trị đem lại c) Tuân thủ nguyên tắc phân tán rủi ro thông qua biện pháp phi tập trung, tránh, chuyển giao, giảm thiểu rủi ro 1.5 Tiêu chuẩn tham chiếu TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu TCVN 10295:2014- Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý rủi ro ATTT ISO/IEC 27005:2011, Informatinon Technology Security Techniques Informatinon Security Risk management system NIST SP 800-30r1, Guide for Conducting Risk Assessments CHƯƠNG HƯỚNG DẪN XÁC ĐỊNH MỨC RỦI RO AN TỒN THƠNG TIN Khi thực đánh giá quản lý rủi ro an tồn thơng tin, quan, tổ chức cần xây dựng tranh đầy đủ rủi ro an tồn thơng tin mà tổ chức có khả gặp phải, đánh giá xếp mức độ ưu tiên xây dựng hệ thống biện pháp kiểm soát tổng thể, thống đầy đủ để giảm thiểu rủi ro Trong chương này, nội dung hướng dẫn tập trung vào việc xác định tài sản, điểm yếu mối đe dọa tài sản để từ xác định hậu quả, mức ảnh hưởng đến quan, tổ chức xảy rủi ro tài sản đó, cụ thể hướng dẫn 2.1 Nhận biết tài sản Tài sản vấn đề cần xem xét thực quản lý rủi ro an tồn thơng tin Theo đó, quan, tổ chức tổ chức cần xác định thu thập thông tin đầy đủ tài sản quản lý, đặc biệt thơng tin liên quan đến đặc điểm, nơi lưu trữ, mức độ quan trọng giá trị, đặc thù tài sản Mỗi tài sản sau xác định, cần đánh giá nguy cơ, điểm yếu tài sản đó, từ đánh giá xem tài sản gặp rủi ro gây hậu quả, mức độ ảnh hưởng quan, tổ chức Mức độ ảnh hưởng khả xảy cố định mức rủi ro mà quan, tổ chức cần phải xử lý Hướng dẫn tập trung vào việc hướng dẫn 02 loại tài sản cần bảo vệ thông tin hệ thống thơng tin Trong đó, việc xác định tài sản thông tin hệ thống thông tin, quan, tổ chức cần ý sau: Coi thông tin đơn vị tài sản thành phần hệ thống thông tin, hệ thống thông tin bảo vệ thơng tin bảo vệ Trường hợp, hệ thống có nhiều loại thơng tin khác nhau, thơng tin có mức độ quan trọng, tồn điểm yếu mối đe dọa giống đưa vào thành nhóm để thực đánh giá quản lý rủi ro Một hệ thống thơng tin lớn chia thành nhiều hệ thống thông tin thành phần tương đối độc lập chức năng, mục đích sử dụng Việc áp dụng biện pháp đánh giá quản lý rủi ro áp dụng cho hệ thống thành phần theo mức rủi ro xác định Thông tin bao gồm không giới hạn loại sau: Thông tin công khai, thông tin riêng, thông tin cá nhân thơng tin bí mật nhà nước Thơng tin bí mật nhà nước chia làm 03 mức: Mật, Tối Mật Tuyệt Mật Để xác định đầy đủ tài sản thơng tin có hệ thống, ta xác định loại thơng tin có loại Ví dụ thơng tin cơng khai bao gồm thơng tin lịch họp, thơng tin thơng cáo báo trí…; thơng tin riêng bao gồm thơng tin quy trình nghiệp vụ… Hệ thống thông tin bao gồm không giới hạn loại hình: Hệ thống thơng tin phục vụ hoạt động nội quan, tổ chức; Hệ thống thông tin phục vụ người dân, doanh nghiệp; Hệ thống sở hạ tầng thông tin; Hệ thống thông tin Điều khiển công nghiệp Việc xác định hệ thống thông tin cụ thể quy định Điều Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 Để xác định giá trị tài sản, ta dựa vào yêu cầu tính bí mật (C), tính nguyên vẹn (I) tính sẵn sàng (A) tài sản Giá trị tài sản chia làm 05 mức theo thang điểm tính từ tích giá trị C, I, A ví dụ đây: - Đối với thuộc tính bí mật giá trị xác định vào loại thơng tin loại thơng tin hệ thống xử lý Ví dụ: thông tin công khai thang điểm 1; thông tin riêng, thông tin cá nhân thang điểm 2; thông tin Mật thang điểm 3; thông tin Tối Mật thang điểm 4; thông tin Tuyệt Mật thang điểm - Đối với thuộc tính ngun vẹn giá trị xác định vào yêu cầu mức độ nguyên vẹn thông tin loại thông tin mà hệ thống xử lý Ví dụ: tính ngun vẹn thấp thang điểm 1; tính ngun vẹn trung bình thang điểm 2; tính nguyên vẹn cao thang điểm 3; tính nguyên vẹn cao điểm 4; tính nguyên vẹn tuyệt đối thang điểm - Đối với thuộc tính sẵn sàng giá trị xác định vào yêu cầu mức sẵn sàng thông tin hệ thống thông tin Ví dụ: tính sẵn sàng thấp thang điểm 1; tính tính sẵn sàng trung bình thang điểm 2; tính tính sẵn sàng cao thang điểm 3; tính tính sẵn sàng cao điểm 4; tính tính sẵn sàng tuyệt đối thang điểm Theo đó, giá trị tài sản xác định theo giá trị thuộc tính C, A, I sau: Giá trị tài sản Giá trị C+I+A Thấp (1) 1-3 Trung bình (2) 4-6 Cao (3) 7-9 Rất cao (4) 10-12 Cực cao (5) 13-15 Bảng Bảng giá trị tài sản Căn vào giá trị tài sản, ta xác định loại tài sản quan trọng cần ưu tiên bảo vệ Căn vào thuộc tính C, A, I tài sản ta xác định điểm yếu, mối đe dọa làm sở để xác định hậu quả, mức ảnh hưởng tới quan, tổ chức xảy rủi ro tài sản Cơ quan, tổ chức tham khảo ví dụ danh mục tài sản giá trị tương ứng Phụ lục Hướng dẫn 2.2 Điểm yếu Điểm yếu hiểu điểm mà bị khai thác gây mối đe dọa cho tài sản Các điểm yếu có nhiều tiêu chí xác định phân làm nhóm khác Để thuận tiện cho việc xác định điểm yếu, hướng dẫn điểm yếu phân không giới hạn nhóm sau: - Nhóm điểm yếu liên quan đến tồn lỗ hổng, điểm yếu an tồn thơng tin hệ thống; - Nhóm điểm yếu liên quan đến thiếu không đáp ứng biện pháp quản lý: Khơng có quy định sử dụng mật an tồn; khơng có quy định lưu trữ có mã hóa, khơng có quy định quy trình xử lý cố.v.v - Nhóm điểm yếu liên quan đến thiếu không đáp ứng biện pháp kỹ thuật: Khơng có biện pháp phịng chống xâm nhập, khơng có biện pháp phịng chống mã độc, khơng có biện pháp phịng chống cơng.v.v Để xác định điểm yếu tồn hệ thống, quan, tổ chức cần thực kiểm tra, đánh giá an tồn thơng tin để tìm lỗ hổng, điểm yếu tồn hệ thống Thực rà soát quy chế, sách bảo đảm an tồn thơng tin để tìm điểm yếu từ việc chưa đáp ứng biện pháp quản lý theo quy định Thực kiểm tra, đánh giá trạng hệ thống để xác định điểm yếu xuất phát từ việc chưa đáp ứng biện pháp kỹ thuật theo quy định Bên cạnh đó, từ kết đánh giá thực tế, quan, tổ chức xác định thêm điểm yếu khác hệ thống, điểm yếu xuất phát từ yêu cầu đáp ứng yêu cầu an toàn theo quy định Cơ quan, tổ chức tham khảo ví dụ mối liên hệ tài sản, mối đe dọa điểm yếu Phụ lục 1, Phụ lục Hướng dẫn 2.3 Mối đe dọa Mối đe dọa xác định điểm yếu có nguy bị khai thác gây tác động tài sản cần bảo vệ Các mối đe dọa xuất phát từ lý khách quan hay chủ quan, cố ý vơ ý Một mối đe dọa phát sinh từ bên bên tổ chức Một số mối đe dọa gây ảnh hưởng đồng thời lên nhiều tài sản gây tác động khác tùy thuộc vào tài sản bị ảnh hưởng Như phân tích trên, mối đe dọa xác định dựa vào điểm yếu thông tin, hệ thống thông tin Do đó, việc xác định mối đe dọa dựa vào việc phân nhóm điểm yếu mục 2.2 Trên sở đó, mối đe dọa phân, khơng giới hạn nhóm sau: (1) Nhóm mối đe dọa từ việc tồn tại, điểm yếu, lỗ hổng hệ thống; (2) Nhóm mối đe dọa từ việc thiếu không đáp úng biện pháp quản lý; (3) Nhóm mối đe dọa từ việc thiếu không đáp úng biện pháp kỹ thuật Cơ quan, tổ chức tham khảo ví dụ mối đe dọa Phụ lục Hướng dẫn 2.4 Đánh giá hậu Hậu xác định mối đe dọa xảy với tài sản gây tổn hại quan, tổ chức Mức ảnh hưởng (Impact) giá trị sử dụng để xác định giá trị định lượng hậu Việc xác định mức ảnh hưởng dựa vào đối tượng bị ảnh hưởng như: quyền lợi ích hợp pháp tổ chức, cá nhân, sản xuất, lợi ích cơng cộng trật tự, an tồn xã hội quốc phịng, an ninh Việc xác định mức ảnh hưởng dựa vào phạm vi bị ảnh hưởng như: cấp quốc gia, quan, tổ chức hay cá nhân Việc xác định hậu quả, mức ảnh hưởng dựa vào thuộc tính C, A, I tài sản sau: 10 Mức ảnh hưởng Tính bảo mật (C) Tính tồn vẹn (I) Tính sẵn sàng (A) Việc bị lộ thông tin trái phép làm ảnh Đặc biệt hưởng nghiêm trọng nghiêm đến quốc phòng, an trọng ninh (5) Việc sửa đổi phá hủy trái phép thông tin làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm ảnh hưởng nghiêm trọng đến quốc phịng, an ninh Việc bị lộ thơng tin trái phép làm tổn hại đặc biệt nghiêm trọng tới lợi ích Nghiêm cơng cộng trật tự, trọng an tồn xã hội (4) làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia Việc sửa đổi phá hủy trái phép thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia Việc sửa đổi phá hủy trái phép thông tin làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại tới quốc phòng, an ninh quốc gia Việc sửa đổi phá hủy trái phép thông tin làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân làm tổn hại tới lợi ích công cộng Việc sửa đổi phá hủy trái phép thông tin làm tổn hại tới quyền lợi ích Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại nghiêm trọng tới quốc phịng, an ninh quốc gia Việc bị lộ thơng tin trái phép làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng Vừa cộng trật tự, an phải (3) toàn xã hội làm tổn hại tới quốc phịng, an ninh quốc gia Việc bị lộ thơng tin trái phép làm tổn hại nghiêm trọng tới quyền lợi ích hợp Nhỏ (2) pháp tổ chức, cá nhân làm tổn hại tới lợi ích cơng cộng Việc bị lộ thông tin Không trái phép làm tổn hại đáng kể tới quyền lợi ích (1) Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng trật tự, an tồn xã hội làm tổn hại tới quốc phòng, an ninh quốc gia Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân làm tổn hại tới lợi ích công cộng Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại tới quyền ... DỤNG 1.1 Phạm vi áp dụng Tài liệu đưa hướng dẫn đánh giá quản lý rủi ro an tồn thơng tin, bao gồm nội dung liên quan đến xác định mức rủi ro, quy trình đánh giá quản lý rủi ro, biện pháp kiểm soát... cơ, rủi ro xảy e) Q trình giám sát soát xét rủi ro, quan, tổ chức giám sát đánh giá tuân thủ, tính hiệu việc thực việc đánh giá xử lý rủi ro Cụ thể bước quy trình đánh giá xử lý rủi ro hướng dẫn. .. tổ chức thực đánh giá quản lý rủi ro an tồn thơng tin: Phương án, kế hoạch thực đánh giá quản lý rủi ro Quy trình tổ chức thực đánh giá quản lý rủi ro Cơ chế phối hợp với bên liên quan trình thực