Đang tải... (xem toàn văn)
Bài giảng môn học AN TOÀN THÔNG TIN Số tín chỉ 3 Số tiết 30 tiết (Lý Thuyết) TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN GV ThS Nguyễn Thị Phong Dung Email ntpdung@ntt edu vn Chương 8 QUẢ[.]
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN TỒN THƠNG TIN Chương 8: QUẢN LÝ, CHÍNH SÁCH VÀ PHÁP LUẬT AN TỒN THƠNG TIN Số tín chỉ: Số tiết: 30 tiết (Lý Thuyết) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn QUẢN LÝ AN TỒN THƠNG TIN • Khái qt quản lý ATTT • Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin • Tài sản ATTT gồm: ❑ Phần cứng (máy chủ, thiết bị mạng,…) ❑ Phần mềm (hệ điều hành, phần mềm máy chủ dịch vụ,…) ❑ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh …) QUẢN LÝ AN TỒN THƠNG TIN • Khái qt quản lý ATTT • Quản lý an tồn thơng tin (Information security management) tiến trình (process) nhằm đảm bảo tài sản quan trọng quan, tổ chức, doanh nghiệp bảo vệ đầy đủ với chi phí phù hợp • Quản lý ATTT phải trả lời câu hỏi: ❑ Những tài sản cần bảo vệ? ❑ Những đe dọa có tài sản này? ❑ Những biện pháp thực để ứng phó với đe dọa đó? QUẢN LÝ AN TỒN THƠNG TIN • Q trình quản lý ATTT cần thực liên tục theo chu trình do: • Sự thay đổi nhanh chóng cơng nghệ: ▪ Nhiều công nghệ, kỹ thuật công cụ xuất ▪ Độ phức tạp hệ thống tăng nhanh ▪ Môi trường xuất rủi ro liên tục thay đổi: ▪ Xuất nhiều công cụ cho công, phá hoại ▪ Xuất nhiều mối đe dọa ▪ Trình độ tin tặc nâng lên nhanh chóng QUẢN LÝ AN TỒN THƠNG TIN • Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: QUẢN LÝ AN TỒN THƠNG TIN ❖ Đánh giá rủi ro ATTT (Security risk assessment) • Là phận quan trọng vấn đề quản lý rủi ro • Mỗi tài sản tổ chức cần xem xét, nhận dạng rủi ro có đánh giá mức rủi ro • Là sở để xác định mức rủi ro chấp nhận với loại tài sản; • Trên sở xác định mức rủi ro, đề biện pháp xử lý, kiểm soát rủi ro mức chấp nhận được, với mức chi phí phù hợp QUẢN LÝ AN TỒN THƠNG TIN ❖ Các phương pháp tiếp cận đánh giá rủi ro: • Phương pháp đường sở (Baseline approach) • Phương pháp khơng thức (Informal approach) • Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) • Phương pháp kết hợp (Combined approach) QUẢN LÝ AN TỒN THƠNG TIN ❖ Phương pháp đường sở (Baseline approach) • Mục đích Phương pháp đường sở thực thi kiểm soát an ninh mức dựa trên: ▪ Các tài liệu ▪ Các quy tắc thực hành ▪ Các thực tế tốt ngành áp dụng ▪ Ưu điểm: ▪ Khơng địi hỏi chi phí cho tài ngun bổ sung ▪ Cùng nhóm biện pháp triển khai nhiều hệ thống ▪ Nhược điểm: ▪ Không xem xét kỹ đến điều kiện nảy sinh rủi ro ▪ Mức cao: gây tốn kém, thấp: gây an toàn Phù hợp với tổ chức với hệ thống CNTT có quy mơ nhỏ, nguồn lực hạn chế QUẢN LÝ AN TỒN THƠNG TIN ❖ Phương pháp phân tích chi tiết rủi ro (Detailed risk analysis) ▪ Nhận dạng tài sản ▪ Nhận dạng mối đe dọa lỗ hổng tài sản ▪ Xác định xác suất xuất rủi ro hậu có rủi ro xảy ▪ Lựa chọn biện pháp xử lý rủi ro dựa kết đánh giá rủi ro giai đoạn ▪ Ưu điểm: ▪ Cho phép xem xét chi tiết rủi ro hệ thống CNTT tổ chức, lý giải rõ ràng chi phí cho biện pháp kiểm sốt rủi đề xuất ▪ Cung cấp thông tin tốt cho việc tiếp tục quản lý vấn đề an ninh hệ thống CNTT chúng nâng cấp, sửa đổi ▪ Nhược điểm: ▪ Chi phí lớn thời gian, nguồn lực yêu cầu kiến thức chun gia trình độ cao ▪ Có thể dẫn đến chậm trễ việc đưa biện pháp xử lý, kiểm soát rủi ro phù hợp ❖ Phù hợp tổ chức có hệ thống CNTT quy mơ lớn, tổ chức cung cấp tảng hạ tầng truyền thơng cho quốc gia; QUẢN LÝ AN TỒN THÔNG TIN ❖ Phương pháp kết hợp (Combined approach) ▪ Cung cấp mức bảo vệ hợp lý nhanh tốt ▪ Kiểm tra điều chỉnh biện pháp bảo vệ hệ thống theo thời gian ▪ Ưu điểm: ▪ Bắt đầu việc đánh giá rủi ro mức cao dễ nhận ủng hộ cấp quản lý, thuận lợi cho việc lập kế hoạch quản lý ATTT ▪ Giúp sớm triển khai biện pháp xử lý kiểm soát rủi ro từ giai đoạn đầu ▪ Có thể giúp giảm chi phí với đa số tổ chức ▪ Nhược điểm: ▪ Nếu đánh giá mức cao giai đoạn đầu khơng xác dẫn đến áp dụng biện pháp kiểm sốt khơng phù hợp, hệ thống gặp rủi ro thời gian chờ đánh giá chi tiết ❖ Phù hợp tổ chức với hệ thống CNTT quy mô vừa lớn ... dịch vụ,…) ❑ Thông tin (thông tin khách hàng, nhà cung cấp, hoạt động kinh doanh …) QUẢN LÝ AN TOÀN THƠNG TIN • Khái qt quản lý ATTT • Quản lý an tồn thơng tin (Information security management)... nhiều mối đe dọa ▪ Trình độ tin tặc nâng lên nhanh chóng QUẢN LÝ AN TỒN THƠNG TIN • Chu trình Plan-Do-Check-Act (PDCA) thực quản lý ATTT liên tục: QUẢN LÝ AN TỒN THƠNG TIN ❖ Đánh giá rủi ro ATTT...QUẢN LÝ AN TỒN THƠNG TIN • Khái qt quản lý ATTT • Tài sản (Asset) lĩnh vực ATTT thông tin, thiết bị, thành phần khác hỗ trợ hoạt động có liên quan đến thơng tin • Tài sản ATTT gồm: