Nhận biết rủi ro giúp nhà quản trị chủ động quản trị rủi ro, đánh giá mức độ rủi ro, chủ động thực hiện các biện pháp bảo vệ phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí.§ Nhận b
CHƯƠNG 3 Giải pháp mang tính kỹ thuật đối phó với rủi ro troTnhSg DưtơhngưĐắơc QnugangmHảoại TS Nguyễn Thị Diệu Linh điện Gtiảửng viên Đại học Kinh tế - Đại học Huế NỘI DUNG 1 Nhận biết rủi ro trong TMĐT 2 Phân tích rủi ro trong TMĐT 3 Đánh giá mối đe dọa của rủi ro trong TMĐT 2 1 Nhận biết rủi ro Ý nghĩa của việc nhận biết RR TMĐT Nhận biết rủi ro là cốt lõi của quá trình QTRR Nhận biết rủi ro giúp nhà quản trị chủ động quản trị rủi ro, đánh giá mức độ rủi ro, chủ động thực hiện các biện pháp bảo vệ phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí § Nhận biết RR thông tin TMĐT là nhận biết các đe dọa, tấn công, lỗ hổng ATTT § Nếu một đe dọa không được nhận biết nó không thể được kiểm soát Một lỗ hổng không được phát hiện sớm, được vá, một tấn công không được đối phó, sẽ có những tác động xấu tới các mục tiêu của DN 4 Cách thức tiếp cận nhận biết rủi ro TMĐT như thế nào? 5 6 7 Các khái niệm liên quan nhận biết rủi ro TMĐT Nhận biết rủi ro (Risk Identification): là liệt kê các RR mà DN, KH có thể gặp phải và đánh giá (sơ bộ) mức độ xảy ra của chúng Đây là bước tiếp sau xây dựng kế hoạch QTRR Nhận biết RR thông tin trong TMĐT bao gồm nhận biết các đe dọa an toàn (security threats) và + xác định các lỗ hổng bảo mật/an toàn (computing vulnerabilities) 8 Các khái niệm liên quan nhận biết rủi ro TMĐT Khái niệm đe dọa an toàn Đe dọa (threat): theo nghĩa rộng • là các nguồn nguy hiểm; • bất kì lực lượng đối lập, • điều kiện, nguồn hoặc tình huống => có khả năng ảnh hướng tới thực hiện/phá vỡ KH hoặc làm giảm khả năng thực hiện nhiệm vụ, KH 9 Khái niệm đe dọa an toàn Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất an toàn Nguồn đe dọa: • Khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có điều kiện vi phạm để gây hại (khả năng xảy ra) • Có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng (động đất, sóng thần…) 10