Khái quát kiểm soát RR TMĐT tiếp..Phân tích rủi ro Risk Analysis• Là thực hiện đánh giá tồn diện và chi tiết các RR tiềm ẩnvà các lỗ hổng bảo mât, tính tồn vẹn, tính sẵn sàng củacác thơn
Chương 6 Thương mại điện tử Việt Nam và những vấn đề trở ngại 1 NỘI DUNG 1 Khái quát kiểm soát RR TMĐT 2 Các biện pháp quản trị RR an toàn TT 3 Các biện pháp xử lý rủi ro khác CA RA 2 Khoa TMĐT_ĐHTM 1 Khái quát kiểm soát RR TMĐT Phân tích rủi ro (Risk Analysis) • Là nhận biết, đánh giá khả năng của tất cả RR tiềm ẩn và tác động đến tổ chức nếu đe dọa xảy ra Để phân tích RR, các đe dọa cần được phân tích riêng Mặc dù có thể có nhiều đe dọa đến các hệ thống, bộ phận khác nhau, hệ thống máy chủ có thể là RR cao nhất, nhưng nó không phải là mối quan tâm duy nhất 3 Khoa TMĐT_ĐHTM 1 Khái quát kiểm soát RR TMĐT (tiếp ) Phân tích rủi ro (Risk Analysis) • Là thực hiện đánh giá toàn diện và chi tiết các RR tiềm ẩn và các lỗ hổng bảo mât, tính toàn vẹn, tính sẵn sàng của các thông tin… • Là việc xác định, đánh giá và xếp hạng các RR với mục đích tiết kiệm các nguồn lực cũng như giảm thiểu kiểm soát, tổn thất và tác động không mong muốn và tối đa hóa việc thực hiện các cơ hội, bao gồm: 4 Khoa TMĐT_ĐHTM Những khái niệm liên quan kiểm soát RR TMĐT Quy trình phân tích rủi ro • Xác định phạm vi, mục tiêu các đối tượng cần bảo vệ (Map Objectives) • Nhận biết các đe dọa, tấn công (ID threats) • Đánh giá lỗ hổng (Assess Vulnerabilities • Xác định xác suất xảy ra (Determine Risk Likelihood • Xác định tổn hại (Determine Threat Impact) • Xác định cấp độ RR (Determine Level or Risk) • Lập hồ sơ (Documentation) PP định tính phân tích RR Theo tần xuất xuất hiện của RR: có 4 mức qua ước lượng sự quan trọng của nó ▫ Mức thường xuyên ▫ Mức hay xảy ra ▫ Mức đôi khi, thỉnh thoảng ▫ Mức hiếm (ít) khi PP định tính phân tích RR Theo thời điểm xuất hiện/xảy ra: có 4 mức để ước lượng thời điểm rủi ro xuất hiện, tùy sự tác động của nó ▫ Mức ngay lập tức ▫ Mức rất gần ▫ Mức sắp xảy ra ▫ Mức rất lâu Ví dụ: phân tích tình huống website du lịch bị tấn công DOS vào các thời điểm: mùa du lịch, các mùa khác; giả dụ thời gian bị tấn công 3 h Các nguyên tắc phân tích RR theo OWASP • OWASP (The Open Web Application Security Project) đề xuất các nguyên tắc phân tích RR, mức điểm từ 0 - 9, với đánh giá xác suất xảy ra trên hai yếu tố 1 Yếu tố đe dọa: Mức độ kĩ năng đe dọa (Skill level): nhóm đe dọa có kĩ năng đe dọa ntn? Không có kĩ năng (1), Một số kĩ năng (3), Có nhiều kĩ năng dùng máy tính (4), Kĩ năng lập trình và mạng (6), Kĩ năng truy nhập bảo mật (9) Các nguyên tắc phân tích RR theo OWASP 1 Yếu tố đe dọa: Động cơ (Motive): của phát hiện, tìm ra lỗ hổng là gì? • Không vì được phần thưởng, lợi ích (1), • Có thể được phần /khen thưởng (4), • Được khen thưởng, vụ lợi (9) Các nguyên tắc phân tích RR theo OWASP Cơ hội, thời cơ (Opportunity): những nguồn lực và cơ hội nào cần thiết để tấn công khai thác lỗ hổng xảy ra full access or expensive resources required (0), special access or resources required (4), some access or resources required (7), no access or resources required (9)