HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÀI TẬP LỚN MÔN CƠ SỞ AN TOÀN THÔNG TIN LỚP L02 Đề tài TÌM HIỂU VỀ QUẢN LÝ RỦI RO CHO HỆ THỐNG CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn VŨ THỊ VÂN PHỤ L[.]
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÀI TẬP LỚN MƠN CƠ SỞ AN TỒN THƠNG TIN LỚP L02 Đề tài TÌM HIỂU VỀ QUẢN LÝ RỦI RO CHO HỆ THỐNG CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn: VŨ THỊ VÂN PHỤ LỤC PHỤ LỤC LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ RỦI RO 1.1 Các khái niệm 1.2 Tầm quan trọng quản lý rủi ro 1.3 Tích hợp quản lý rủi ro vào SDLC 1.4 Các vai trị CHƯƠNG 2: ĐÁNH GIÁ RỦI RO 10 2.1 Bước 1: Đặc điểm hệ thống 10 2.1.1 Các thông tin liên quan đến hệ thống 11 2.1.2 Kỹ thuật thu thập thông tin 12 2.2 Bước 2: Nhận dạng mối đe dọa 13 2.2.1 Xác định nguồn đe dọa 14 2.2.2 Động hành động đe dọa 14 2.3 Bước 3: Nhận dạng lỗ hổng bảo mật 16 2.3.1 Kiểm tra nguồn lỗ hổng 16 2.3.2 Kiểm tra bảo mật hệ thống 17 2.3.3 Phát triển danh sách kiểm tra yêu cầu bảo mật 18 2.4 Bước 4: Phân tích kiểm soát 20 2.4.1 Phương thức kiểm soát 20 2.4.2 Các danh mục kiểm sốt 20 2.4.3 Kỹ thuật phân tích kiểm soát 21 2.5 Bước 5: Xác định khả xảy 21 2.6 Bước 6: Phân tích tác động 21 2.7 Bước 7: Xác định rủi ro 23 2.7.1 Ma trận mức độ rủi ro 24 2.7.2 Mô tả mức độ rủi ro 25 2.8 Bước 8: Đề xuất kiểm soát 25 2.9 Bước 9: Tài liệu kết 26 CHƯƠNG 3: GIẢM THIỂU RỦI RO 26 3.1 Các lựa chọn giảm thiểu rủi ro 27 3.2 Chiến lược giảm thiểu rủi ro 28 3.3 Cách tiếp cận để thực kiểm soát 29 3.4 Các loại kiểm soát 30 3.4.1 Kiểm soát an ninh kỹ thuật 30 3.4.1.1 Kiểm soát kỹ thuật hỗ trợ 31 3.4.1.2 Kiểm soát kỹ thuật ngăn chặn 31 3.4.1.3 Kiểm soát kỹ thuật phát phục hồi 32 3.4.2 Kiểm soát an ninh quản lý 33 3.4.2.1 Kiểm soát an ninh quản lý phịng ngừa 33 3.4.2.2 Kiểm sốt an ninh quản lý phát 33 3.4.2.3 Kiểm soát an ninh quản lý khơi phục 34 3.4.3 Kiểm sốt an ninh hoạt động 34 3.4.3.1 Kiểm soát hoạt động phịng ngừa 34 3.4.3.2 Kiểm sốt hoạt động phát 35 3.5 Phân tích lợi ích chi phí 35 3.6 Rủi ro lại 36 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO 37 LỜI NÓI ĐẦU Trong thời đại công nghệ thông tin (CNTT) phát triển mạnh mẽ, việc ứng dụng CNTT vào trình hoạt động tổ chức ngày trở nên phổ biến Việc ứng dụng nhằm hỗ trợ việc thực nhiệm vụ tổ chức trở nên dễ dàng hiệu Trong trình hoạt động hệ thống CNTT gặp khơng rủi ro hoạt động, quản lý rủi ro đóng vai trị quan trọng việc bảo vệ tài sản thông tin tổ chức sứ mệnh tổ chức khỏi rủi ro liên quan đến CNTT Vì việc quản lý rủi ro đóng vai trị quan trọng trình hoạt động hệ thống CNTT nhằm giảm thiểu tác động tiêu cực hệ thống Một quy trình quản lý rủi ro hiệu thành phần quan trọng chương trình bảo mật CNTT thành cơng Mục tiêu quy trình quản lý rủi ro tổ chức khơng bảo vệ tài nguyên CNTT tổ chức mà cịn bảo vệ tổ chức q trình thực nhiệm vụ tổ chức Mục tiêu: Việc thực quản lý rủi ro hệ thống CNTT tổ nhằm mục đích bảo vệ hệ thống tổ chức trước mối đe dọa giảm thiểu rủi ro xuống mức chấp nhận được, tránh gây tổn thất lớn cho tổ chức Cấu trúc tài liệu : Tài liệu gồm chương chính: ● Chương 1: Tổng quan quản lý rủi ro: Đưa tầm quan trọng, khái niệm vai trị q trình quản lý rủi ro ● Chương 2: Đánh giá rủi ro: Đưa bước thực đánh giá rủi ro ● Chương 3: Giảm thiểu rủi ro: Đề xuất biện pháp giảm thiểu rủi ro hệ thống CNTT CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ RỦI RO 1.1 Các khái niệm Trước vào tìm hiểu quản lý rủi ro ta cần hiểu rõ số khái niệm sau: lỗ hổng, rủi ro quản lý rủi ro Lỗ hổng điểm yếu mà sử dụng để gây hại cho Về chất chúng lỗ hổng bị khai thác hiểm họa để làm hại Một lỗ hổng hệ điều hành ứng dụng cụ thể mà chạy, vị trí vật lý nơi có văn phịng chúng ta, trung tâm liệu phân bố vượt q khả hệ thống điều hịa khơng khí, thiếu máy phát điện dự phịng yếu tố khác Rủi ro khả xấu xảy Để rủi ro xảy mơi trường cụ thể cần phải có hiểm họa lỗ hổng mà hiểm họa cụ thể khai thác Quản lý rủi ro trình tổ chức tiến hành nhằm quản lý rủi ro, nguy hệ thống thông tin tài sản thông tin tổ chức Quá trình để xác định thơng tin cần bảo vệ, phân tích hiểm họa lỗ hổng ảnh hưởng đến hệ thống, phát triển phương pháp giảm thiểu tác động hiểm họa lỗ hổng lên hệ thống Cho phép nhà quản lý CNTT cân chi phí hoạt động chi phí biện pháp bảo vệ để đạt lợi ích q trình thực nhiệm vụ cách bảo vệ hệ thống CNTT liệu hỗ trợ nhiệm vụ tổ chức họ 1.2 Tầm quan trọng quản lý rủi ro Có thể thường nghe tới công ty A bị hacker cơng đánh cắp vài nghìn tỷ, tập đồn B bị rị rỉ thơng tin vài chục triệu khách hàng mường tượng rủi ro thứ to tát Thế nhưng, rủi ro mà tổ chức gặp phải thực xuất đâu, phần hệ thống thơng tin, từ việc nhỏ vơ tình lộ mật tài khoản công ty truy cập vào trang web, làm đổ nước chết máy tính cơng ty hay vơ tình xóa database Tất chúng rủi ro hệ thống thông tin mà tổ chức có sử dụng cơng nghệ thơng tin gặp phải Vì để hạn chế tối đa tác động rủi ro cần có phương pháp quản lý rủi ro hệ thống công nghệ thông tin cách hiệu Người đứng đầu đơn vị tổ chức phải đảm bảo tổ chức có lực cần thiết để hồn thành nhiệm vụ Các chủ sở hữu nhiệm vụ phải xác định khả bảo mật hệ thống CNTT họ phải cung cấp mức hỗ trợ mong muốn đối mặt với mối đe dọa thực tế Hầu hết tổ chức có ngân sách eo hẹp cho bảo mật CNTT việc chi tiêu cho bảo mật CNTT phải xem xét kỹ lưỡng định quản lý khác Một phương pháp luận quản lý rủi ro có cấu trúc tốt, sử dụng hiệu quả, giúp ban lãnh đạo xác định biện pháp kiểm sốt thích hợp để cung cấp khả bảo mật thiết yếu cho hệ thống 1.3 Tích hợp quản lý rủi ro vào SDLC Giảm thiểu tác động tiêu cực đến tổ chức cần có sở vững việc định lý mà tổ chức thực quy trình quản lý rủi ro cho hệ thống CNTT họ Quản lý rủi ro hiệu phải tích hợp hồn tồn vào SDLC (Software Development Life Cycle: vòng đời phát triển hệ thống) Một hệ thống cơng nghệ thơng tin có SDLC trải qua giai đoạn: khởi đầu, phát triển, thực hiện, vận hành bảo trì, xử lý Trong số trường hợp, hệ thống CNTT chiếm số giai đoạn lúc Tuy nhiên, phương pháp luận quản lý rủi ro giống giai đoạn SDLC mà việc đánh giá thực Quản lý rủi ro trình lặp lặp lại thực giai đoạn SDLC Cách thức quản lý rủi ro thực để hỗ trợ giai đoạn SDLC sau: ● Giai đoạn – Khởi đầu: Ở giai đoạn cần thiết hệ thống CNTT thể hiện, mục đích phạm vi hệ thống CNTT lập thành văn Các rủi ro xác định sử dụng để hỗ trợ phát triển yêu cầu hệ thống, bao gồm yêu cầu bảo mật khái niệm bảo mật vận hành ● Giai đoạn – Phát triển: Hệ thống CNTT thiết kế, mua, lập trình, phát triển xây dựng Các rủi ro xác định giai đoạn sử dụng để hỗ trợ phân tích bảo mật hệ thống CNTT dẫn đến thay đổi kiến trúc thiết kế trình phát triển hệ thống ● Giai đoạn – Thực hiện: Các tính bảo mật hệ thống phải định cấu hình, kích hoạt, kiểm tra xác minh Quá trình quản lý rủi ro hỗ trợ việc đánh giá việc triển khai hệ thống so với u cầu mơi trường hoạt động mơ hình hóa Các định liên quan đến rủi ro xác định phải thực trước vận hành hệ thống ● Giai đoạn – Vận hành bảo trì: Hệ thống thực chức nó, thơng thường, hệ thống sửa đổi liên tục thông qua việc bổ sung phần cứng phần mềm thay đổi quy trình, sách thủ tục tổ chức ● Giai đoạn - Xử lý: Giai đoạn liên quan đến việc xử lý thông tin, phần cứng phần mềm Các hoạt động bao gồm di chuyển, lưu trữ, loại bỏ phá hủy thông tin làm phần cứng phần mềm Các hoạt động quản lý rủi ro thực thành phần hệ thống bị loại bỏ thay để đảm bảo phần cứng phần mềm xử lý cách, liệu cịn lại xử lý thích hợp trình di chuyển hệ thống tiến hành cách an tồn 1.4 Các vai trị Q trình quản lý rủi ro có tham gia nhân có vai trị sau: ● Quản lý cấp cao: Đây người chịu trách nhiệm cuối việc hoàn thành nhiệm vụ, phải đảm bảo nguồn lực cần thiết sử dụng hiệu để phát triển khả cần thiết việc hoàn thành nhiệm vụ Họ phải đánh giá kết hợp kết hoạt động đánh giá rủi ro vào trình định Một chương trình quản lý rủi ro hiệu giảm thiểu rủi ro liên quan đến CNTT đòi hỏi hỗ trợ tham gia quản lý cấp cao ● Giám đốc thông tin (CIO): CIO chịu trách nhiệm việc lập kế hoạch, lập ngân sách hiệu suất CNTT quan bao gồm thành phần bảo mật thông tin quan Các định đưa lĩnh vực phải dựa chương trình quản lý rủi ro hiệu ● Hệ thống chủ sở hữu thông tin: Có trách nhiệm đảm bảo biện pháp kiểm sốt thích hợp áp dụng để giải tính tồn vẹn, tính bảo mật tính khả dụng hệ thống CNTT liệu mà họ sở hữu Hệ thống chủ sở hữu thông tin phải chịu trách nhiệm thay đổi hệ thống CNTT họ Do đó, họ thường phải phê duyệt ký tên vào thay đổi hệ thống (ví dụ: cải tiến hệ thống, thay đổi lớn phần mềm phần cứng) Vì vậy, chủ sở hữu phải hiểu rõ vai trò họ trình quản lý rủi ro hỗ trợ đầy đủ cho trình ● Giám đốc kinh doanh: Các nhà quản lý chịu trách nhiệm hoạt động kinh doanh quy trình mua cơng nghệ phải đóng vai trị quan trọng q trình quản lý rủi ro Những người quản lý cá nhân có thẩm quyền trách nhiệm đưa định cần thiết để hoàn thành nhiệm vụ Sự tham gia họ vào trình quản lý rủi ro cho phép đạt bảo mật thích hợp cho hệ thống CNTT, quản lý cách, mang lại hiệu với chi phí tài nguyên tối thiểu ● ISSO: Người quản lý chương trình bảo mật CNTT nhân viên bảo mật máy tính chịu trách nhiệm chương trình bảo mật tổ chức họ, bao gồm quản lý rủi ro Do đó, họ đóng vai trị hàng đầu việc đưa phương pháp phù hợp, có cấu trúc để giúp xác định, đánh giá giảm thiểu rủi ro hệ thống CNTT tổ chức họ ISSO đóng vai trị nhà tư vấn hỗ trợ ban lãnh đạo cấp cao để đảm bảo hoạt động diễn liên tục ● Người làm lĩnh vực CNTT: (quản trị viên mạng, hệ thống, ứng dụng sở liệu; chuyên gia máy tính; nhà phân tích bảo mật; nhà tư vấn bảo mật) chịu trách nhiệm thực yêu cầu bảo mật hệ thống CNTT họ Khi thay đổi xảy môi trường hệ thống CNTT (ví dụ: mở rộng kết nối mạng, thay đổi sở hạ tầng sách tổ chức có, giới thiệu cơng nghệ mới), người hành nghề bảo mật CNTT phải hỗ trợ sử dụng quy trình quản lý rủi ro để xác định đánh giá tiềm rủi ro triển khai biện pháp kiểm soát bảo mật cần để bảo vệ hệ thống CNTT ● Giảng viên bảo mật CNTT, chuyên gia vấn đề bảo mật: Nhân viên tổ chức người sử dụng hệ thống CNTT Việc sử dụng hệ thống CNTT liệu theo sách, nguyên tắc tổ chức quan trọng để giảm thiểu rủi ro bảo vệ tài nguyên CNTT tổ chức Để giảm thiểu rủi ro hệ thống CNTT, điều cần thiết người sử dụng hệ thống ứng dụng phải đào tạo nâng cao nhận thức bảo mật Do đó, giảng viên bảo mật CNTT chuyên gia bảo mật phải hiểu quy trình quản lý rủi ro để họ phát triển tài liệu đào tạo phù hợp với người dùng cuối CHƯƠNG 2: ĐÁNH GIÁ RỦI RO Đánh giá rủi ro quy trình phương pháp quản lý rủi ro Các tổ chức sử dụng đánh giá rủi ro để xác định mức độ mối đe dọa tiềm ẩn rủi ro liên quan đến hệ thống CNTT suốt SDLC Đầu q trình giúp xác định biện pháp kiểm sốt thích hợp để giảm loại bỏ rủi ro trình giảm thiểu rủi ro Để xác định khả xảy kiện bất lợi tương lai, mối đe dọa hệ thống CNTT phải phân tích với lỗ hổng tiềm ẩn biện pháp kiểm soát dành cho hệ thống CNTT Tác động đề cập đến mức độ tổn hại gây mối đe dọa thực lỗ hổng Mức độ tác động điều chỉnh tác động nhiệm vụ tiềm tạo giá trị tương đối cho tài nguyên CNTT bị ảnh hưởng (ví dụ: tính quan trọng nhạy cảm thành phần liệu hệ thống CNTT) Quá trình đánh giá rủi ro bao gồm chín bước chính: ● Bước 1: Đặc điểm hệ thống ● Bước 2: Nhận dạng mối đe dọa ● Bước 3: Nhận dạng lỗ hổng bảo mật ● Bước 4: Phân tích kiểm sốt ● Bước 5: Xác định khả xảy ● Bước 6: Phân tích tác động ● Bước 7: Xác định rủi ro ● Bước 8: Đề xuất kiểm soát ● Bước 9: Tài liệu kết 10 ... Tất chúng rủi ro hệ thống thông tin mà tổ chức có sử dụng cơng nghệ thơng tin gặp phải Vì để hạn chế tối đa tác động rủi ro cần có phương pháp quản lý rủi ro hệ thống công nghệ thông tin cách... quản lý rủi ro ● Chương 2: Đánh giá rủi ro: Đưa bước thực đánh giá rủi ro ● Chương 3: Giảm thiểu rủi ro: Đề xuất biện pháp giảm thiểu rủi ro hệ thống CNTT CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ RỦI RO. .. TỔNG QUAN VỀ QUẢN LÝ RỦI RO 1.1 Các khái niệm 1.2 Tầm quan trọng quản lý rủi ro 1.3 Tích hợp quản lý rủi ro vào SDLC 1.4 Các vai trò CHƯƠNG 2: ĐÁNH GIÁ RỦI RO 10 2.1 Bước 1: Đặc điểm hệ thống 10