CHƯƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN 10/4/2018 ThS.Nguyễn Duy duyn@uit.edu.vn Nội dung duyn@uit.edu.vn          An tồn thơng tin gì? Những tác nhân ảnh hưởng đến thơng tin Qui trình xây dựng ATTT doanh nghiệp Mối quan hệ khái niệm ATTT Phân loại kiểm soát Phân loại liệu Mơ hình phịng thủ theo chiều sâu Khuôn khổ an ninh (security framework) Quản lý rủi ro (risk managment) 10/4/2018 Nội dung duyn@uit.edu.vn          An tồn thơng tin (ATTT) gì? Những tác nhân ảnh hưởng đến thơng tin Qui trình xây dựng ATTT doanh nghiệp Mối quan hệ khái niệm ATTT Phân loại kiểm sốt Phân loại liệu Mơ hình phịng thủ theo chiều sâu Khuôn khổ an ninh (security framework) Quản lý rủi ro (risk managment) 10/4/2018 An tồn thơng tin (ATTT) gì? Những đặc điểm thơng tin duyn@uit.edu.vn Source: Internet 10/4/2018 An tồn thơng tin (ATTT) gì? Những trạng thái thơng tin duyn@uit.edu.vn Databases or Repositories Data-at-Rest Email Gateway DLP Prevent Web Gateway Data-in-Motion DLP Monitor Data-in-Use Data-in-Use Switch DLP Endpoint DLP Prevent Firewall Source: Mcafee 10/4/2018 An tồn thơng tin (ATTT) gì? Khái niệm duyn@uit.edu.vn  Bảo mật thông tin đảm bảo tính bảo mật, tính tồn vẹn tính sẵn sàng thông tin thiết bị lưu trữ, q trình sử dụng truyền thơng Source: Internet 10/4/2018 BẢO MẬT THƠNG TIN LÀ GÌ Source: Internet 10/4/2018 BẢO MẬT THƠNG TIN LÀ GÌ - tt duyn@uit.edu.vn Source: Internet 10/4/2018 An tồn thơng tin (ATTT) gì? Kĩ thuật bảo vệ yếu tố bảo mật duyn@uit.edu.vn  Tính bảo mật     Mã hóa liệu trạng thái lưu trữ (Disk Database) Mã hóa liệu đường truyền (IPSec, SSL, SSH, ) Quản lý truy cập (Vật lý Logic) Tính tồn vẹn    Hashing ( data security) Quản lý cấu hình (system security) Quản lý truy cập (Vật lý Logic) 10/4/2018 An tồn thơng tin (ATTT) gì? Kĩ thuật bảo vệ yếu tố bảo mật 10 duyn@uit.edu.vn  Tính sẵn sàng         RAID Clustering Load balancing Redundant power Backup Disk shadowing Roll-back functions Fail-over configurations 10/4/2018 Khuôn khổ an ninh (security framework) 39 duyn@uit.edu.vn  Security framework qui trình bảo mật tạo nhiều thực thể: chế bảo vệ administrative, technical physical, thủ tục, qui trình kinh doanh người làm việc với để cung cấp mức độ bảo mật cho môi trường hoạt động     ISO/IEC 27000 Series Enterprise Architecture Development Security Controls Development (CobiT) Process Management Development (ITIL) 10/4/2018 Khuôn khổ an ninh ISO/IEC 27000 Series 40 duyn@uit.edu.vn  Mục tiêu để cung cấp hướng dẫn cho tổ chức cách thiết kế, thực trì sách, quy trình cơng nghệ để quản lý rủi ro thông tin nhạy cảm       ISO/IEC 27000 Overview and vocabulary ISO/IEC 27001 ISMS requirements ISO/IEC 27002 Code of practice for information security management ISO/IEC 27003 Guideline for ISMS implementation ISO/IEC 27004 Guideline for information security management measurement and metrics framework ISO/IEC 27005 Guideline for information security risk management 10/4/2018 Khuôn khổ an ninh Enterprise Architecture Development 41 duyn@uit.edu.vn 10/4/2018 42 10/4/2018 Khuôn khổ an ninh CobiT 4.0 Framework 43 duyn@uit.edu.vn 10/4/2018 Khuôn khổ an ninh CobiT 4.0 Framework 44 10/4/2018 Khuôn khổ an ninh ITIL Framework 45 duyn@uit.edu.vn 10/4/2018 Khuôn khổ an ninh ITIL Framwork 46 10/4/2018 Nội dung 47 duyn@uit.edu.vn          An tồn thơng tin gì? Những tác nhân ảnh hưởng đến thơng tin Qui trình xây dựng ATTT doanh nghiệp Mối quan hệ khái niệm ATTT Phân loại kiểm sốt Phân loại liệu Mơ hình phịng thủ theo chiều sâu Khuôn khổ an ninh (security framework) Quản lý rủi ro (risk managment) 10/4/2018 Quản lý rủi ro (risk managment) 48 duyn@uit.edu.vn  Rủi ro bối cảnh an ninh khả thiệt hại xảy hậu thiệt hại xảy        Physical damage Human interaction Equipment malfunction Inside and outside attacks Misuse of data Loss of data Application error 10/4/2018 Quản lý rủi ro (risk managment) 49 duyn@uit.edu.vn  Quá trình phân tích rủi ro nhắm tới mục tiêu:     Xác định tài sản giá trị tài sản Xác định lỗ hổng bảo mật mối đe dọa Định lượng khả tác động đe dọa tới hoạt động kinh doanh Cung cấp cân kinh tế tác động mối đe dọa chi phí biện pháp đối phó 10/4/2018 Risk management steps in NIST SP 800-30 Quản lý rủi ro (risk managment) 50 10/4/2018 Source: CISSP 6th Quản lý rủi ro (risk managment) 51 duyn@uit.edu.vn 10/4/2018 Source: CISSP 6th Sơ đồ quan hệ rủi ro 52 duyn@uit.edu.vn 10/4/2018 53 ... management 10 /4/2 018 Khuôn khổ an ninh Enterprise Architecture Development 41 duyn@uit.edu.vn 10 /4/2 018 42 10 /4/2 018 Khuôn khổ an ninh CobiT 4.0 Framework 43 duyn@uit.edu.vn 10 /4/2 018 Khuôn khổ... pháp đối phó 10 /4/2 018 Risk management steps in NIST SP 800-30 Quản lý rủi ro (risk managment) 50 10 /4/2 018 Source: CISSP 6th Quản lý rủi ro (risk managment) 51 duyn@uit.edu.vn 10 /4/2 018 Source:... truyền thơng Source: Internet 10 /4/2 018 BẢO MẬT THƠNG TIN LÀ GÌ Source: Internet 10 /4/2 018 BẢO MẬT THƠNG TIN LÀ GÌ - tt duyn@uit.edu.vn Source: Internet 10 /4/2 018 An tồn thơng tin (ATTT) gì?