ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN QUỲNH DƯƠNG NGHIÊN CỨU GIẢI PHÁP, QUY TRÌNH QUẢN LÝ, ĐÁNH GIÁ RỦI RO AN TOÀN CÁC HỆ THỐNG THÔNG TIN VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Người hướng dẫn khoa học: TS PHÙNG VĂN ỔN Hà Nội - 2020 LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu Các nội dung nêu luận văn kết làm việc chưa công bố cơng trình khác./ Hà Nội, ngày tháng năm 2020 Tác giả luận văn Nguyễn Quỳnh Dương XÁC NHÂN CỦA XÁC NHẬN CỦA NGƯỜI HƯỚNG DẪN KHOA HỌC CHỦ NHIỆM KHOA CNTT TS PHÙNG VĂN ỔN LỜI CẢM ƠN Trước tiên em xin bày tỏ lịng kính trọng biết ơn sâu sắc đến Thầy giáo, TS PHÙNG VĂN ỔN - người hướng dẫn luận văn, tạo điều kiện động viên giúp đỡ em suốt trình thực hoàn thành luận văn Em chân thành cảm ơn Khoa Công nghệ thông tin, Khoa Sau Đại học - Trường Đại học Công nghệ - ĐHQG Hà Nội tạo điều kiện cho em có mơi trường học tập nghiên cứu thuận lợi để em hoàn thành tốt luận văn Em xin chân thành cảm ơn Giáo sư, Phó Giáo sư, Tiến sĩ tham gia giảng dạy tận tình lớp Cao học Quản lý Hệ thống thông tin K25, Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội Xin chân thành cảm ơn bạn đồng nghiệp tất bạn bè, người thân ủng hộ tạo điều kiện giúp đỡ tơi q trình thực luận văn Trong điều kiện hạn hẹp thời gian khả có hạn, luận văn khơng tránh khỏi thiếu sót định Rất mong nhận ý kiến đóng góp Q Thầy, bạn đồng nghiệp Trân trọng cảm ơn ! Hà Nội, ngày tháng năm 2020 Tác giả luận văn Nguyễn Quỳnh Dương MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ATTT : An tồn thơng tin CNTT : Cơng nghệ thơng tin HT : Hệ thống HTTT : Hệ thống thông tin ĐV : Đơn vị MỞ ĐẦU Lý chọn đề tài Với việc ứng dụng ngày sâu rộng công nghệ thông tin vào hoạt động quan, tổ chức, doanh nghiệp (gọi chung tổ chức), kéo theo rủi ro tiềm tàng an tồn hệ thống thơng tin tổ chức Bởi vậy, song hành với triển khai ứng dụng công nghệ thông tin vào hoạt động nghiệp vụ, tổ chức phải triển khai hoạt động nhằm bảo đảm an tồn hệ thống thơng tin Một u cầu bảo đảm an tồn hệ thống thông tin công tác quản lý, đánh giá rủi ro an tồn hệ thống thơng tin để ngăn ngừa, giảm thiểu tác động cố an tồn thơng tin xảy Thực tế nước ta, vấn đề an tồn thơng tin nhiều tổ chức quan tâm, số tiêu chuẩn, quy trình quản lý giải pháp đánh giá rủi ro an toàn hệ thống thông tin nghiên cứu, áp dụng Tuy nhiên, rủi ro an tồn thơng tin ln vấn đề tồn với ứn dụng vấn đề phải quan tâm giải trước nguy gây an toàn hệ thống Từ đó, ta thấy vấn đề nghiên cứu giải pháp, quy trình quản lý, đánh giá rủi ro an tồn cho hệ thống thơng tin nhằm bảo đảm an tồn thơng tin q trình ứng dụng cơng nghệ thông tin vấn đề thời ngày trở nên cấp thiết quan, tổ chức, doanh nghiệp trình xây dựng phát triển phủ điện tử Mục tiêu Mục tiêu nghiên cứu sở nghiên cứu kinh nghiệm quốc tế để đề xuất quy trình quản lý, đánh giá rủi ro an tồn hệ thống thơng tin cho tổ chức; lựa chọn đề xuất áp dụng giải pháp đánh giá, quản lý rủi ro an toàn hệ thống thông tin sở kết thử nghiệm thực tế Về mặt quản lý: Tạo quy trình phục vụ cơng tác quản lý, đánh giá rủi ro an tồn hệ thống thơng tin cho tổ chức, doanh nghiệp phủ điện tử Về mặt cơng nghệ: Nâng cao trình độ cơng nghệ việc đảm bảo an tồn thơng tin cho tổ chức, doanh nghiệp phủ điện tử Đối tượng phạm vi nghiên cứu Để đạt mục tiêu nêu trên, nội dung đề tài dự kiến cần thực sau: - Nghiên cứu số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an tồn thơng tin: ISO/IEC 27005, NIST SP 800-39r1; sở đề xuất quy trình quản lý, đánh giá rủi ro an toàn cho hệ thống thông tin - Nghiên cứu số giải pháp đánh giá, quản lý rủi ro an tồn thơng tin: Nessus (Tenable), NEXPOSE (Rapid7), Acunetix lựa chọn đề xuất áp dụng giải pháp đánh giá, quản lý rủi ro an tồn hệ thống thơng tin - Thử nghiệm đánh giá, quản lý lỗ hổng bảo mật dựng ứng Web (Trang thông tin điện tử Sở Giáo dục Đào tạo Hà Giang) Cấu trúc luận văn Luận văn gồm phần: Mở đầu, Nội dung Kết luận Phần nội dung luận văn gồm chương: Chương 1: Nghiên cứu số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an tồn thơng tin Chương 2: Nghiên cứu số giải pháp đánh giá, quản lý rủi ro an toàn thông tin Chương 3: Thử nghiệp đánh giá, quản lý lỗ hổng bảo mật ứng dụng Web CHƯƠNG NGHIÊN CỨU MỘT SỐ TIÊU CHUẨN, QUY TRÌNH QUẢN LÝ, ĐÁNH GIÁ RỦI RO AN TỒN THƠNG TIN 1.1 Nghiên cứu tiêu chuẩn, đánh giá rủi ro an tồn thơng tin ISO/IEC 27005:2011 - Quản lý rủi ro an toàn thông tin 1.1.1 Khái quát ISO/IEC 27005:2011 Quản lý rủi ro việc xác định, đánh giá xử lý rủi ro việc áp dụng hợp lý tiết kiệm nguồn lực để giảm thiểu, kiểm soát xác suất xảy ảnh hưởng rủi ro để tối đa hoá việc thực hội Mục tiêu quản lý rủi ro để đảm bảo ảnh hưởng rủi ro không làm lệch hướng mục tiêu hoạt động nghiệp vụ tổ chức Một cách ngắn gọn: Quản lý rủi ro hoạt động phối hợp vấn đề rủi ro để điều hành kiểm soát tổ chức ISO/IEC 27005:2011 thiết kế để hỗ trợ triển khai ISO/IEC 27001 dựa phương pháp quản lý rủi ro Quy trình quản lý rủi ro ATTT sau: Hình 1.1 Quy trình quản lý rủi ro ATT Quy trình quản lý rủi ro an tồn thơng tin bao gồm: Thiết lập bối cảnh, đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, truyền thông tư vấn rủi ro, giám sát soát xét rủi ro 1.1.2 Thiết lập bối cảnh - Đầu vào: Toàn thông tin tổ chức liên quan tới thiết lập bối cảnh quản lý rủi ro an tồn thơng tin - Đầu ra: Đặc tả kỹ thuật tiêu chí bản, phạm vi giới hạn tổ chức thực quy trình quản lý rủi ro an tồn thông tin - Hành động: Cần phải thiết lập bối cảnh nội bối cảnh bên tổ chức cho hoạt động quản lý rủi ro an toàn thơng tin, bao gồm việc thiết lập tiêu chí cần thiết cho hoạt động quản lý rủi ro an tồn thơng tin, định nghĩa phạm vi giới hạn thiết lập tổ chức thích hợp để vận hành hoạt động quản lý rủi ro an tồn thơng tin - Các tiêu chí bản: + Phương pháp tiếp cận quản lý rủi ro: Một phương pháp tiếp cận quản lý rủi ro thích hợp cần phải lựa chọn phát triển để giải tiêu chí như: tiêu chí ước lượng rủi ro, tiêu chí tác động, tiêu chí chấp nhận rủi ro + Tiêu chí ước lượng rủi ro: Để ước lượng rủi ro an tồn thơng tin tổ chức liên quan đến: Giá trị chiến lược quy trình thơng tin nghiệp vụ; Mức quan trọng tài sản thơng tin có liên quan; Tầm quan trọng tính sẵn sàng, tính bí mật tính tồn vẹn hoạt động mang tính nghiệp vụ vận hành; Những nhận thức mong muốn bên liên quan hậu xấu danh tiếng uy tín tổ chức + Tiêu chí tác động: Được xác định theo mức thiệt hại khoản chi phí tổ chức mà nguyên nhân gây từ kiện an tồn thơng tin mà có liên quan đến: Mức phân loại tài sản thông tin bị tác động; Vi phạm an tồn thơng tin (làm giảm tính bí mật, tính tồn vẹn tính sẵn sàng); Yếu vận hành (nội bên thứ ba); Tổn hại giá trị nghiệp vụ tài chính; Thiệt hại uy tín + Tiêu chí chấp nhận rủi ro: Thường phụ thuộc vào sách, mục đích, mục tiêu tổ chức lợi ích bên liên quan Tiêu chí chấp nhận rủi ro thiết lập sau: Tiêu chí nghiệp vụ; Khía cạnh pháp lý quy định; Sự vận hành; Cơng nghệ; Tài chính; Các yếu tố xã hội người - Bối cảnh bên (external context): Mơi trường bên ngồi, nơi mà tổ chức theo đuổi để đạt mục tiêu mình; bao gồm: Mơi trường văn hóa, xã hội, trị, pháp lý, quy định, tài chính, cơng nghệ, kinh tế, môi trường tự nhiên môi trường cạnh tranh, phạm vi quốc tế, quốc gia, khu vực địa phương; xu hướng động lực tác động đến mục tiêu tổ chức; mối quan hệ với bên liên quan bên tổ chức, nhận thức, giá trị bên liên quan - Bối cảnh nội (internal context): Môi trường nội nơi mà tổ chức theo đuổi để đạt mục tiêu mình; bao gồm: Quản trị, cấu tổ chức, vai trò trách nhiệm giải trình; sách, mục tiêu chiến lược tổ chức đưa để đạt mục đích; lực, hiểu nguồn lực tri thức (Ví dụ nguồn vốn, thời gian, người, quy trình, hệ thống công nghệ); hệ thống thông tin, luồng thơng tin quy trình đưa định (cả thức khơng thức); mối quan hệ với bên liên quan bên tổ chức nhận thức giá trị bên liên quan bên tổchức đó; văn hóa tổ chức; tiêu chuẩn, hướng dẫn mơ hình mà tổ chức chấp nhận; hình thức phạm vi mối quan hệ hợp đồng 1.1.3 Đánh giá rủi ro an tồn thơng tin Đánh giá rủi ro nhằm xác định giá trị tài sản thông tin, nhận biết đe dọa xảy điểm yếu cịn tồn (hoặc tồn tại), nhận biết biện pháp kiểm soát có hiệu biện pháp việc nhận biết rủi ro, xác định hậu tiềm ẩn cuối phân loại, xếp thứ tự ưu tiên rủi ro tìm dựa vào tiêu chí đánh giá rủi ro quy trình thiết lập bối cảnh ... pháp quản lý rủi ro Quy trình quản lý rủi ro ATTT sau: Hình 1.1 Quy trình quản lý rủi ro ATT Quy trình quản lý rủi ro an tồn thơng tin bao gồm: Thiết lập bối cảnh, đánh giá rủi ro, xử lý rủi ro, ... đánh giá rủi ro an tồn thơng tin, bao gồm: Đánh giá rủi ro an tồn thơng tin mức cao (xem xét đến giá trị nghiệp vụ tài sản thông tin rủi ro từ quan điểm nghiệp vụ tổ chức) đánh giá chi tiết rủi. .. giá rủi ro an tồn thơng tin: ISO/IEC 27005, NIST SP 800-39r1; sở đề xuất quy trình quản lý, đánh giá rủi ro an tồn cho hệ thống thơng tin - Nghiên cứu số giải pháp đánh giá, quản lý rủi ro an