Yêu cầu bảo vệ trước phần mềm Độc hại (chẳng hạn như triển khai phần mềm chống phần mềm Độc hại)

Sử dụng email, nhắn tin tức thời IM và các thiết bị liên lạc điện tử khác...4Chính sách sử dụng Internet, Web và mạng công ty bằng thiết bị của công ty...5 YÊU CẦU BẢO VỆ TRƯỚC PHẦN MỀM

Sử dụng email, nhắn tin tức thời (IM) và các thiết bị liên lạc điện tử khác 4

Chính sách sử dụng Internet, Web và mạng công ty bằng thiết bị của công ty 5

YÊU CẦU BẢO VỆ TRƯỚC PHẦN MỀM ĐỘC HẠI (CHẲNG HẠN NHƯ TRIỂN KHAI PHẦN MỀM CHỐNG PHẦN MỀM ĐỘC HẠI) 6

CÀI ĐẶT VÀ SỬ DỤNG PHẦN MỀM HOẶC PHẦN CỨNG KHÔNG DO TỔ CHỨC PHÁT HÀNH TRÊN CÁC TÀI SẢN CỦA TỔ CHỨC, CHẲNG HẠN NHƯ THIẾT BỊ MÁY TÍNH CÁ NHÂN HOẶC THIẾT BỊ INTERNET VẠN VẬT (IoT) 7

Chính sách An toàn Thông tin: Quản lý Mật khẩu 8

ACL (Access Control List) 9

Snort trong Firewall pfSense 10

Tóm tắt Kế hoạch ứng phó sự cố PCI DSS cho OUHSC 11

Tóm tắt Kế hoạch khắc phục thảm họa (DRP) 12

Kế hoạch phục hồi thảm họa CNTT của Tổ chức XYZ 14

Sử dụng định dạng được cung cấp trong văn bản, thiết kế một kế hoạch ứng phó sự cố cho máy tính tại nhà của bạn Bao gồm các hành động cần thực hiện nếu mỗi sự kiện sau đây xảy ra: 17

Chính sách quản lý tài khoản mạng máy tính 19

Chính sách Truy cập Web cho nhân viên 23

Chính sách sử dụng các thiết bị cá nhân trong hệ thống mạng nội bộ 24

Thông tin 26

Hệ thống thông tin 26

Các tài nguyên thông tin 26

An toàn thông tin 26

Ba khía cạnh của ATTT 26

Quản lý an toàn thông tin: 26

Hệ thống quản lí an toàn thông tin 26

Chính sách an toàn thông tin 26

Nguyên tắc quản lý ATTT 27

Quản lí An toàn thông tin 27

Phân tích mối quan hệ giữa hiểm họa, điểm yếu và rủi ro? 28

Việc xác định rủi ro có vai trò như thế nào trong Quản lý an toàn thông tin? 29

Tầm quan trọng của luật pháp trong quản lý 30

Một số văn bản quy phạm pháp luật về an toàn thông tin của VN 30

Những nội dung cơ bản của Luật an toàn thông tin mạng 31

Vai trò của việc xây dựng kế hoạch 32

Xây dựng kế hoạch chiến lược 32

Các thành phần cơ bản của một kế hoạch chiến lược cấp tổ chức điển hình: 32

Quản trị ATTT 33

Khung công nghiệp NCSP 33

ISO 27014:2013 33

Xây dựng kế hoạch triển khai đảm bảo an toàn thông tin 33

Trách nhiệm trong kế hoạch ATTT 34

Lập kế hoạch ATTT 35

Xây dựng kế hoạch triển khai đảm bảo ATTT 35

Tìm hiểu Chính sách bảo mật của UC Berkeley 37

Tìm hiểu Chính sách an toàn của SANS 38

Lập kế hoạch 38

Chiến lược 38

Mô tả hoạch định chiến lược từ trên xuống Nó khác với hoạch định chiến lược từ dưới lên như thế nào? Cách nào thường hiệu quả hơn trong việc triển khai an toàn trong một tổ chức lớn, đa dạng? 38

SecSDLC khác với SDLC như thế nào? 40

Mục tiêu chính của SecSDLC là gì? Các bước chính của nó là gì và mục tiêu chính của mỗi bước là gì? 40

Tại sao cần bảo trì đối với hệ thống quản lý an toàn thông tin? 41

Các nội dung chính trong một kế hoạch ATTT là gì? 42

Chính sách an toàn thông tin 43

Tại sao nó lại quan trọng đối với sự thành công của chương trình An toàn thông tin? 43

Vai trò của CSATTT 43

CSATTT trong doanh nghiệp 43

Chính sách 44

Thủ tục: 44

Tiêu chuẩn: 44

Phân loại CSATTT 44

Các thành phần của EISP: 45

Trong số các biện pháp kiểm soát hoặc biện pháp đối phó được sử dụng để kiểm soát rủi ro An toàn thông tin, biện pháp nào được xem là ít tốn kém nhất? Các chi phí chính của loại kiểm soát này là gì? 45

Để một chính sách có hiệu lực, sau khi được cấp quản lý chấp thuận tổ chức cần phải làm gì? Một số cách để thực hiện điều này là gì? 46

Chính sách được coi là tĩnh hay động? Yếu tố nào có thể xác định trạng thái này? 47

Liệt kê và mô tả ba loại chính sách An toàn thông tin như được mô tả bởi NIST SP 800-14 48

Mục đích của EISP là gì? 49

Mục đích của ISSP là gì? 49

Mục đích của SysSP là gì? (System-Specific Security Policy) 50

Các giá trị, sứ mệnh và mục tiêu của tổ chức nên được tích hợp vào các văn bản chính sách ở mức độ nào? 50

Liệt kê và mô tả bốn yếu tố cần có trong EISP 50

Liệt kê và mô tả ba chức năng mà ISSP phục vụ trong tổ chức 51

Thành phần đầu tiên của ISSP khi nó được trình bày là gì? Tại sao? Thành phần chính thứ hai nên là gì? Tại sao? 51

Liệt kê và mô tả ba cách phổ biến trong đó các tài liệu ISSP được tạo và / hoặc

quản lý 51

Liệt kê và mô tả hai nhóm tài liệu chung có trong hầu hết các tài liệu SysSP 52

Liệt kê và mô tả ba cách tiếp cận để xây dựng CS Theo bạn, cái nào là phù hợp nhất để sử dụng cho một tổ chức nhỏ hơn và tại sao? Nếu tổ chức mục tiêu lớn hơn rất nhiều, thì cách tiếp cận nào sẽ phù hợp hơn và tại sao? 52

Khuôn mẫu CS ATTT 53

Trình bày về quy trình xây dựng Chính sách theo cách tiếp cận quản lý dự án 53

Trình bày nguyên tắc trong xây dựng chính sách 54

Nguyên tắc quản lý rủi ro an toàn thông tin 55

Các tiêu chuẩn tham chiếu 56

ISMS và quy trình quản lý rủi ro ATTT 56

Nhận dạng mối đe doạ 56

Các mối đe doạ phổ biến 57

Nhận dạng điểm yếu 58

Ước lượng rủi ro 58

Bài tập tính rủi ro 60

COSO là gì? tại sao COSO lại quan trọng? 61

COBIT là gì? COBIT thực hiện được những gì? 61

Các tài liệu trong bộ tiêu chuẩn ISO / IEC 27000 là gì? 62

Hệ thống quản lý ATTT là gì? Trình bày phương pháp thực hiện ISMS 63

Trình bày quá trình chứng nhận đạt chuẩn? Các yếu tố quan trọng của việc áp dụng thành công chuẩn là gì? 64

Trình bày các thành phần chính của kế hoạch dự phòng 65

Liệt kê quy trình CP gồm bảy bước do NIST đề xuất 65

Liệt kê và mô tả các đội thực hiện lập kế hoạch và thực hiện các kế hoạch và quy trình CP Vai trò chính của mỗi loại là gì? 65

Liệt kê và mô tả các tiêu chí được sử dụng để xác định xem một sự cố thực sự có đang xảy ra hay không 66

Liệt kê và mô tả các bộ thủ tục được sử dụng để phát hiện, ngăn chặn và giải quyết một sự cố 66

Liệt kê và mô tả một số chiến lược ngăn chặn được đưa ra trong văn bản điện tử Họ tập trung vào những nhiệm vụ nào? 67

Kế hoạch phục hồi sau thảm họa là gì, tại sao nó lại quan trọng đối với tổ chức? 67

Kế hoạch liên tục trong kinh doanh là gì, tại sao nó lại quan trọng? 68

Phân tích tác động kinh doanh là gì và được sử dụng để làm gì? 68

Tại sao kế hoạch liên tục phải được thử nghiệm và diễn tập? 68

Những chiến lược nào có thể được sử dụng để kiểm tra các CP? 69

Liệt kê và mô tả hai lựa chọn thay thế chuyên biệt không thường được sử dụng như một chiến lược BC 69

Sử dụng email, nhắn tin tức thời (IM) và các thiết bị liên lạc điện tử khác

3 Phạm vi

Chính sách này bao gồm việc sử dụng hợp lý bất kỳ email nào được gửi từ địa chỉ email

và áp dụng cho tất cả nhân viên, nhà cung cấp và đại lý hoạt động thay mặt cho công ty

4 Chính sách

4.1 Tất cả việc sử dụng email phải nhất quán với các chính sách và quy trình của công ty

về hành vi đạo đức, an toàn, tuân thủ luật pháp hiện hành và các thông lệ kinh doanh phù hợp

4.2 Tài khoản email công ty phải được sử dụng chủ yếu cho các mục đích liên quan đến kinh doanh; giao tiếp cá nhân được cho phép trên cơ sở hạn chế, nhưng việc sử dụng thương mại không liên quan đến công ty đều bị cấm

4.3 Tất cả dữ liệu công ty có trong email hoặc tệp đính kèm phải được bảo mật theo Tiêuchuẩn bảo vệ dữ liệu

4.4 Email chỉ nên được giữ lại nếu nó đủ điều kiện là hồ sơ kinh doanh của công ty Email

là hồ sơ kinh doanh của công ty nếu tồn tại lý do kinh doanh hợp pháp và liên tục để lưu giữ thông tin có trong email

4.5 Email được xác định là hồ sơ kinh doanh của công ty sẽ được lưu giữ theo Lịch trình lưu giữ hồ sơ

4.6 Không được sử dụng hệ thống email để tạo hoặc phân phối bất kỳ tin nhắn gây rối hoặc xúc phạm nào, bao gồm các bình luận xúc phạm về chủng tộc, giới tính, khuyết tật, tuổi tác, tín ngưỡng và tôn giáo, Nhân viên nhận được bất kỳ email nào có nội dung này

từ bất kỳ nhân viên nào nên báo cáo vấn đề ngay lập tức với người giám sát của họ.4.7 Người dùng bị cấm tự động chuyển tiếp email đến hệ thống email của bên thứ ba Các tin nhắn riêng lẻ được người dùng chuyển tiếp không được chứa thông tin mật hoặc thông tin cao hơn

4.8 Người dùng bị cấm sử dụng hệ thống email và máy chủ lưu trữ của bên thứ ba như Google, Yahoo, để tiến hành hoạt động kinh doanh, tạo hoặc ghi nhớ bất kỳ giao dịch ràng buộc nào hoặc lưu trữ hoặc giữ lại email thay mặt cho công ty

4.9 Nhân viên công ty không được kỳ vọng về quyền riêng tư đối với bất kỳ nội dung nào

họ lưu trữ, gửi hoặc nhận trên hệ thống email của công ty

4.10 Công ty có thể theo dõi tin nhắn mà không cần thông báo trước Công ty không có nghĩa vụ giám sát email

5 Tuân thủ chính sách

5.1 Tuân thủ

Xác minh việc tuân thủ chính sách này thông qua nhiều phương pháp khác nhau, bao gồm nhưng không giới hạn ở hướng dẫn định kỳ , giám sát video, báo cáo công cụ kinh doanh, kiểm tra nội bộ và bên ngoài cũng như phản hồi cho chủ sở hữu chính sách.5.2 Không tuân thủ

Một nhân viên bị phát hiện vi phạm chính sách này có thể phải chịu biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động

6 Các tiêu chuẩn, chính sách và quy trình liên quan

Tiêu chuẩn bảo vệ dữ liệu

Chính sách sử dụng Internet, Web và mạng công ty bằng thiết bị của công ty

3 Phạm vi áp dụng:

Chính sách này áp dụng cho tất cả nhân viên sử dụng Internet, Web và mạng công ty bằng thiết bị của công ty, bao gồm máy tính xách tay, máy tính bảng, điện thoại thông minh và các thiết bị di động khác

4 Chính sách:

4.1 Sử dụng hợp lý:

- Việc sử dụng cho mục đích cá nhân phải được giới hạn trong phạm vi hợp lý và không ảnh hưởng đến năng suất công việc

- Nhân viên chỉ sử dụng Internet, Web và mạng công ty cho mục đích công việc

- Nhân viên không được sử dụng Internet, Web và mạng công ty cho các hoạt động bất hợp pháp hoặc vi phạm đạo đức

4.2 Bảo mật:

- Nhân viên phải tuân thủ các quy định về bảo mật thông tin của công ty

- Nhân viên không được tiết lộ thông tin mật của công ty cho bên thứ ba

- Nhân viên phải sử dụng mật khẩu mạnh và bảo mật mật khẩu của mình cẩn thận

4.3 An toàn:

- Nhân viên phải tuân thủ các quy định về an ninh mạng của công ty

- Nhân viên không được cài đặt phần mềm trái phép hoặc truy cập vào các trang web độc hại.

- Nhân viên phải báo cáo ngay cho bộ phận IT nếu phát hiện bất kỳ sự cố an ninh mạngnào

Phần mềm độc hại (malware) là một mối đe dọa nghiêm trọng đối với an ninh mạng của

tổ chức Nó có thể gây ra thiệt hại đáng kể, bao gồm mất dữ liệu, gián đoạn hoạt động kinh doanh và tổn hại đến danh tiếng Chính sách này nhằm thiết lập các yêu cầu bắt buộc để bảo vệ tổ chức khỏi các mối đe dọa từ phần mềm độc hại

2 Mục đích

Mục đích của chính sách này là:

2.1 Giảm thiểu nguy cơ lây nhiễm phần mềm độc hại trên hệ thống và thiết bị của tổ chức

2.2 Bảo vệ tính toàn vẹn và tính sẵn sàng của dữ liệu tổ chức

2.3 Đảm bảo tính liên tục hoạt động kinh doanh trong trường hợp bị tấn công bằng phần mềm độc hại

4.1.2 Cập nhật phần mềm: Thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềmchống phần mềm độc hại trên tất cả các thiết bị được sử dụng

4.1.3 Giáo dục và nhận thức: Cung cấp chương trình đào tạo nhận thức về bảo mật cho nhân viên để giúp họ nhận biết và tránh các mối đe dọa từ phần mềm độc hại.

4.1.4 Kiểm soát truy cập: Giới hạn quyền truy cập vào hệ thống và dữ liệu của tổ chức chỉnhững người được ủy quyền

4.1.5 Lọc web: Sử dụng bộ lọc web để ngăn chặn truy cập vào các trang web độc hại.4.1.6 Sao lưu dữ liệu: Thực hiện sao lưu dữ liệu thường xuyên để phục hồi trong trường hợp bị tấn công bằng phần mềm độc hại

6 Kiểm soát và đánh giá

Bộ phận IT có trách nhiệm kiểm soát và đánh giá việc thực hiện chính sách này Các đánhgiá thường xuyên sẽ được thực hiện để đảm bảo tính hiệu quả của chính sách và cập nhật khi cần thiết

CÀI ĐẶT VÀ SỬ DỤNG PHẦN MỀM HOẶC PHẦN CỨNG KHÔNG DO TỔ CHỨC PHÁT HÀNH TRÊN CÁC TÀI SẢN CỦA TỔ CHỨC, CHẲNG HẠN NHƯ THIẾT BỊ MÁY TÍNH

CÁ NHÂN HOẶC THIẾT BỊ INTERNET VẠN VẬT (IoT)

Chính sách về Cài đặt và Sử dụng Phần mềm hoặc Phần cứng không do Tổ chức Phát hành trên các Tài sản của Tổ chức

1 Tổng quan

Việc cài đặt và sử dụng phần mềm hoặc phần cứng không do tổ chức phát hành trên các tài sản của tổ chức, chẳng hạn như thiết bị máy tính cá nhân hoặc thiết bị Internet vạn vật (IoT), có thể mang lại rủi ro bảo mật đáng kể Chính sách này nhằm thiết lập các quy định để quản lý việc cài đặt và sử dụng phần mềm hoặc phần cứng không do tổ chức phát hành trên các tài sản của tổ chức

2 Mục đích

Mục đích của chính sách này là:

2.1 Bảo vệ hệ thống và dữ liệu của tổ chức khỏi các mối đe dọa bảo mật

2.2 Đảm bảo tính toàn vẹn và tính sẵn sàng của hệ thống và dữ liệu của tổ chức

2.3 Tuân thủ các quy định và luật pháp liên quan đến bảo mật thông tin

3 Phạm vi

Chính sách này áp dụng cho tất cả nhân viên, nhà thầu và đối tác có quyền truy cập vào

hệ thống và mạng của tổ chức, bao gồm cả thiết bị do tổ chức cung cấp và thiết bị cá nhân được sử dụng cho mục đích công việc

4.3.3 Cập nhật phần mềm: Cập nhật phần mềm cơ sở của các thiết bị phần cứng không

do tổ chức phát hành thường xuyên để vá các lỗ hổng bảo mật

5 Tuân thủ chính sách

Mọi nhân viên, nhà thầu và đối tác có quyền truy cập vào hệ thống và mạng của tổ chức đều có trách nhiệm tuân thủ chính sách này Vi phạm chính sách này có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng

6 Kiểm soát và đánh giá

Bộ phận IT có trách nhiệm kiểm soát và đánh giá việc thực hiện chính sách này Các đánhgiá thường xuyên sẽ được thực hiện để đảm bảo tính hiệu quả của chính sách và cập nhật khi cần thiết

Chính sách An toàn Thông tin: Quản lý Mật khẩu

1 Mục đích:

Chính sách Quản lý Mật khẩu nhằm đảm bảo rằng mật khẩu được sử dụng một cách an toàn và hiệu quả, đồng thời giữ cho thông tin quan trọng của tổ chức được bảo vệ khỏi các mối đe dọa an ninh mạng

2 Tổng quan:

Tất cả nhân viên, nhà thầu và bên ngoài có quan hệ với tổ chức này phải tuân thủ chính sách này khi tạo, quản lý và sử dụng mật khẩu cho các tài khoản hệ thống của tổ chức

Mật khẩu phải được thay đổi định kỳ và không được chia sẻ với bất kỳ ai khác.

Mật khẩu không được ghi lại trên giấy hoặc trong email và phải được lưu trữ một cách an toàn

Mọi vi phạm chính sách này sẽ bị xem xét và có thể dẫn đến hậu quả kỷ luật

ACL (Access Control List)

Access Control List (ACL) hay còn được gọi kiểm soát truy cập Là một danh sách các điềukiện được áp đặt vào các cổng của router để lọc các gói tin đi qua nó Danh sách này chỉ

ra cho router biết loại dữ liệu nào được cho phép (allow) và loại dữ liệu nào bị hủy bỏ (deny) Sự cho phép và huỷ bỏ này có thể được kiểm tra dựa vào địa chỉ nguồn, địa chỉ đích, giao thức hoặc chỉ số cổng

Một bộ luật truy cập kiểm soát (ACL - Access Control List) cho một doanh

nghiệp nhỏ và vừa:

1 Cho phép truy cập Internet cho tất cả các thiết bị trong mạng nội bộ:

permit ip internal_network any

Cho phép tất cả các gói tin IP từ mạng nội bộ (internal_network) đi đến bất kỳ đích nào (any), cho phép các thiết bị trong mạng truy cập Internet

2 Cho phép truy cập vào các dịch vụ Web (HTTP/HTTPS):

permit tcp any any eq 80

Cho phép các gói tin TCP từ bất kỳ nguồn nào (any) đến bất kỳ đích nào (any) trên cổng

80 (HTTP)

permit tcp any any eq 443: Cho phép các gói tin TCP từ bất kỳ nguồn nào (any) đến bất

kỳ đích nào (any) trên cổng 443 (HTTPS)

3 Cho phép truy cập vào dịch vụ email (SMTP):

permit tcp any mail_server_ip eq 25: Cho phép các gói tin TCP từ bất kỳ nguồn nào (any) đến máy chủ email (mail_server_ip) trên cổng 25 (SMTP)

4 Hạn chế truy cập vào máy chủ quản trị:

deny ip any admin_server_ip: Từ chối tất cả các gói tin IP từ bất kỳ nguồn nào (any) đến máy chủ quản trị (admin_server_ip) Điều này giới hạn truy cập vào máy chủ quản trị từ bên ngoài

5 Cho phép truy cập SSH vào các máy chủ:

permit tcp any server_subnet eq 22: Cho phép các gói tin TCP từ bất kỳ nguồn nào (any) đến bất kỳ máy chủ nào trong mạng con (server_subnet) trên cổng 22 (SSH) Điều này cho phép truy cập SSH từ bất kỳ nơi nào trong mạng nội bộ

6 Cho phép truy cập DNS:

permit udp any dns_server_ip eq 53: Cho phép các gói tin UDP từ bất kỳ nguồn nào (any) đến máy chủ DNS (dns_server_ip) trên cổng 53 (DNS)

7 Từ chối tất cả các truy cập không được xác định:

deny ip any any: Từ chối tất cả các gói tin IP không được xác định từ bất kỳ nguồn nào (any) đến bất kỳ đích nào (any) Điều này đảm bảo rằng chỉ có các truy cập được xác định bằng các quy tắc trước đó mới được chấp nhận, tất cả các truy cập khác sẽ bị từ chối

Snort trong Firewall pfSense

Snort là một hệ thống phát hiện xâm nhập (IDS) mã nguồn mở và miễn phí, được sử dụng

để giám sát lưu lượng mạng và phát hiện các hoạt động độc hại Snort có thể được tích hợp với pfSense, một hệ thống tường lửa mã nguồn mở, để cung cấp khả năng bảo mật nâng cao cho mạng của bạn Dưới đây là một ví dụ về cú pháp của một rule Snort:

alert [action] [protocol] [source IP] [source port] -> [destination IP] [destination port] ([options])

Ví dụ về một rule Snort đơn giản:

alert tcp any any -> any 80 (msg:"Possible web server attack detected"; content:"GET"; sid:100001;)

Trong rule trên:

alert: hành động mà Snort sẽ thực hiện khi một gói tin phù hợp với rule được phát hiện tcp: giao thức của gói tin (có thể là tcp, udp, hoặc icmp).

any: bất kỳ địa chỉ IP hoặc cổng nào.

80: cổng đích là 80.

msg: tin nhắn được hiển thị khi rule được kích hoạt.

content: nội dung mà Snort sẽ tìm kiếm trong gói tin.

sid: ID duy nhất của rule.

any any -> any 80: bất kỳ địa chỉ IP nào và từ bất kỳ cổng nào tới cổng 80 (HTTP).

FTP Bounce Attack:

alert tcp any any -> any 21 (msg:"FTP PORT bounce"; flow:to_server,established;

content:"PORT"; nocase; ftpbounce; pcre:"/ˆPORT/smi"; classtype:misc-attack;

sid:123456789; rev:1;)

Trong rule trên:

alert: Xác định hành động mà Snort sẽ thực hiện khi một luật được kích hoạt, trong

trường hợp này là cảnh báo

tcp: Xác định giao thức mà rule sẽ kiểm tra, trong trường hợp này là TCP.

any any -> any 21: Xác định nguồn và đích của gói tin mà rule sẽ áp dụng cho Trong

trường hợp này, bất kỳ địa chỉ IP nào và từ bất kỳ cổng nào tới cổng 21 (FTP)

msg:"FTP PORT bounce": Một thông điệp mô tả nội dung của cảnh báo, trong trường hợp

này là "FTP PORT bounce"

flow:to_server,established: Xác định flow mà rule sẽ áp dụng, trong trường hợp này là gói

tin được gửi tới máy chủ (to_server) và đã được thiết lập kết nối (established)

content:"PORT"; nocase: Điều kiện mà rule sẽ tìm kiếm trong dữ liệu của gói tin Trong

trường hợp này, là chuỗi "PORT", và nocase chỉ định rằng việc tìm kiếm sẽ không phân biệt chữ hoa và chữ thường

ftpbounce: Cơ chế "ftpbounce" được sử dụng để phát hiện các tấn công FTP bounce pcre:"/ˆPORT/smi": Sử dụng biểu thức chính quy (PCRE) để tìm kiếm chuỗi "PORT" ở đầu

dòng (ˆ), bất kể hoa thường (smi)

classtype:misc-attack: Loại tấn công được phân loại là "misc-attack".

sid:123456789: Unique ID cho rule này, giúp nhận biết rule trong các bản ghi log hoặc

khi xem thông báo cảnh báo

rev:1: Số phiên bản của rule, trong trường hợp này là phiên bản 1.

SSH Brute Force Attack:

drop tcp 10.1.2.100 any > 10.1.1.100 22 ( msg:"SSH Brute Force Attempt";

flow:established,to_server; content:"SSH"; nocase; offset:0; depth:4; detection_filter: track by_src, count 30, seconds 60; sid:1000001; rev:1;)

Trong rule trên:

drop: Hành động mà Snort sẽ thực hiện khi một gói tin khớp với rule, trong trường hợp

này là loại bỏ (drop) gói tin

tcp: Xác định giao thức mà rule sẽ kiểm tra, trong trường hợp này là TCP.

10.1.2.100 any > 10.1.1.100 22: Xác định nguồn và đích của gói tin mà rule sẽ áp dụng cho Trong trường hợp này, từ địa chỉ IP nguồn 10.1.2.100, từ bất kỳ cổng nào (any), tới địa chỉ IP đích 10.1.1.100 trên cổng 22 (SSH)

(msg:"SSH Brute Force Attempt"; flow:established,to_server; content:"SSH"; nocase; offset:0; depth:4; detection_filter: track by_src, count 30, seconds 60; sid:1000001; rev:1;):

msg:"SSH Brute Force Attempt": Một thông điệp mô tả nội dung của cảnh báo, trong

trường hợp này là "SSH Brute Force Attempt"

flow:established,to_server: Xác định flow mà rule sẽ áp dụng, trong trường hợp này là gói

tin đã thiết lập kết nối (established) và được gửi tới máy chủ (to_server)

content:"SSH"; nocase; offset:0; depth:4;: Điều kiện mà rule sẽ tìm kiếm trong dữ liệu

của gói tin Trong trường hợp này, là chuỗi "SSH", và nocase chỉ định rằng việc tìm kiếm

sẽ không phân biệt chữ hoa và chữ thường offset:0 và depth:4 xác định vị trí và chiều dài của dữ liệu mà Snort sẽ kiểm tra

detection_filter: track by_src, count 30, seconds 60;: Xác định bộ lọc phát hiện để giới

hạn số lượng cảnh báo, trong trường hợp này là theo nguồn (by_src), đếm tối đa 30 cảnh báo trong vòng 60 giây

sid:1000001: Unique ID cho rule này, giúp nhận biết rule trong các bản ghi log hoặc khi

xem thông báo cảnh báo

rev:1: Số phiên bản của rule, trong trường hợp này là phiên bản 1.

Tóm tắt Kế hoạch ứng phó sự cố PCI DSS cho OUHSC

Tài liệu này phác thảo kế hoạch ứng phó với các sự cố bảo mật liên quan đến dữ liệu chủ thẻ tại Trung tâm Khoa học Y tế Đại học Tennessee (OUHSC)

Vai trò và trách nhiệm chính:

 Business Unit (Đơn vị kinh doanh): Xác định thủ tục báo cáo cho nhân viên và chịutrách nhiệm về các hành động khác nhau sau khi vi phạm, bao gồm thông báo, khắc phục và chi trả chi phí

 Card Handlers/Back Office Personnel (Người xử lý thẻ/Nhân viên hậu cần): Thực hiện theo các quy trình báo cáo sự cố được nêu trong kế hoạch

 IT Staff (Nhân viên CNTT): Thực hiện theo các quy trình báo cáo sự cố và có thể được chỉ đạo bởi Nhóm phản hồi PCI

 Office of the Bursar (Văn phòng Thủ quỹ): Giám sát các sự cố và thông báo cho các đơn vị liên quan (bộ xử lý thanh toán, thương hiệu, ngân hàng) theo yêu cầu

 Office of Legal Counsel (Văn phòng Cố vấn Pháp lý): Xác định nghĩa vụ báo cáo pháp lý cho nhà nước

 OUHSC PCI Incident Response Team (Nhóm ứng phó sự cố PCI của OUHSC): Quản

lý tất cả các sự cố liên quan đến PCI, điều tra các vi phạm và đề xuất các hành động khắc phục

 PCI Governance Group (Nhóm quản trị PCI): Phê duyệt các thông báo vi phạm và xác định các yêu cầu báo cáo

3 Đánh giá vi phạm (nếu có): Nếu nghi ngờ có vi phạm, môi trường bị ảnh hưởng sẽ

bị cô lập và một cuộc điều tra chính thức sẽ được tiến hành Nhóm Quản trị PCI xác định nghĩa vụ báo cáo

4 Báo cáo: Tất cả các báo cáo cho các đơn vị bên ngoài (bộ xử lý thanh toán, thươnghiệu, ngân hàng, cơ quan thực thi pháp luật, chủ thẻ) đều cần có sự phê duyệt của Nhóm Quản trị PCI

 Bursar báo cáo cho bộ xử lý thanh toán, thương hiệu và ngân hàng khi cần thiết

 Đơn vị kinh doanh bị ảnh hưởng thực hiện các thông báo nội bộ, thực thi pháp luật và vi phạm của chủ thẻ theo chỉ dẫn

 Plan Documentation (Tài liệu Kế hoạch): Các bản sao của kế hoạch sẽ được lưu trữ

an toàn ở nhiều địa điểm khác nhau, bao gồm các bản sao vật lý dành cho quản lýcấp cao, Nhóm Khắc phục Thảm họa (DRT) và Nhóm Phục hồi Doanh nghiệp (BRT)

 Backup Strategy (Chiến lược sao lưu): Kế hoạch vạch ra chiến lược duy trì một trang web trùng lặp hoàn toàn để phục hồi nhanh chóng

 Risk Management (Quản lý rủi ro): Các mối đe dọa tiềm ẩn và tác động của chúngtới hoạt động kinh doanh đều được xem xét trong kế hoạch

Emergency Response Team (Nhóm ứng phó khẩn cấp) (ERT): ERT sẽ được kích hoạt khi có

sự cố để đánh giá tác động của nó và quyết định kích hoạt DRP Họ cũng sẽ chịu trách nhiệm về:

 Liên hệ với dịch vụ khẩn cấp

 Thành lập và quản lý đội khắc phục thảm họa

 Thông báo cho nhân viên và phân công nhiệm vụ

Disaster Recovery Team - Nhóm khắc phục thảm họa (DRT):

Những trách nhiệm gồm có:

 Thiết lập dịch vụ khẩn cấp trong vòng 2 giờ

 Khôi phục các dịch vụ chính trong vòng 4 giờ

 Phục hồi hoạt động bình thường trong vòng 8-24 giờ

 Phối hợp với những người ứng phó đầu tiên và báo cáo cho ERT

Liên hệ với nhân viên:

 Các nhà quản lý sẽ là đầu mối liên lạc của các bộ phận trong thời kỳ khủng hoảng

 Nhân viên được chỉ định sẽ liên hệ với đồng nghiệp để thảo luận về tình hình và

kế hoạch của công ty

 Nhân viên dự phòng được chỉ định trong trường hợp không có liên hệ chính

 Một đường dây nóng được ghi lại sẽ cung cấp thông tin cập nhật về tình hình và hoạt động trở lại

Cơ sở phục hồi thay thế:

 Nếu cần thiết, một trang web nóng tại một địa điểm được chỉ định có thể được kích hoạt

Thông báo về Nhân sự và Gia đình:

 Trong trường hợp khẩn cấp cần thông báo cho gia đình (ví dụ: nhập viện), có sẵn các thủ tục để liên hệ với họ một cách nhanh chóng

Quan hệ truyền thông:

 Nhân viên được phân công sẽ điều phối truyền thông trên các phương tiện truyền thông theo các hướng dẫn đã được phê duyệt trước

 Chiến lược truyền thông tập trung vào việc giảm thiểu dư luận tiêu cực và tối đa hóa cơ hội đưa tin tích cực

 Một nhóm truyền thông được chỉ định để xử lý tất cả các yêu cầu của giới truyền thông

Bảo hiểm:

 Công ty có nhiều chính sách bảo hiểm khác nhau như một phần của chiến lược khắc phục thảm họa và duy trì hoạt động kinh doanh.

Các vấn đề tài chính và pháp lý:

 ERT sẽ đánh giá tác động tài chính của sự cố, bao gồm doanh thu bị mất, tài sản

có giá trị bị đánh cắp và dòng tiền

 Các kế hoạch giải quyết các nhu cầu tài chính trước mắt như vay mượn tạm thời

và trang trải các khoản thanh toán sắp tới

 Bộ phận pháp lý sẽ cộng tác với ERT để xác định xem có cần thực hiện các hành động pháp lý hay không

Kế hoạch này nhấn mạnh tầm quan trọng của các quy trình liên lạc, hợp tác và thực hành

để đảm bảo quá trình phục hồi suôn sẻ và hiệu quả sau thảm họa

Kế hoạch phục hồi thảm họa CNTT của Tổ chức XYZ

Phần 1 - Tổng quan về Kế hoạch:

1.1 Cập nhật kế hoạch:

 Xác định người chịu trách nhiệm cập nhật kế hoạch

 Nêu rõ tần suất cập nhật kế hoạch (ví dụ: hàng năm, sau mỗi thay đổi lớn về hệ thống CNTT)

 Quy định quy trình duyệt và phê duyệt các bản cập nhật

1.2 Lưu trữ tài liệu kế hoạch:

 Xác định vị trí lưu trữ an toàn cho các bản sao của kế hoạch

 Ví dụ: lưu trữ trong ổ cứng mạng được bảo mật, lưu trữ đám mây, hoặc bản sao cứng được lưu giữ tại địa điểm an toàn

 Quy định quy trình truy cập và sử dụng tài liệu kế hoạch

1.3 Chiến lược sao lưu:

 Mô tả phương pháp sao lưu dữ liệu quan trọng để đảm bảo khả năng phục hồi

 Xác định loại dữ liệu cần được sao lưu (ví dụ: dữ liệu hệ thống, dữ liệu ứng dụng,

dữ liệu người dùng)

 Nêu rõ phương thức sao lưu (ví dụ: sao lưu toàn bộ, sao lưu gia tăng), tần suất saolưu và vị trí lưu trữ bản sao lưu

1.4 Quản lý rủi ro:

 Đánh giá các rủi ro tiềm ẩn có thể ảnh hưởng đến hệ thống CNTT và khả năng phục hồi sau thảm họa

 Ví dụ: rủi ro về thiên tai, rủi ro về lỗi hệ thống, rủi ro về an ninh mạng

 Xác định các biện pháp phòng ngừa và giảm thiểu rủi ro

Phần 2 - Tình trạng khẩn cấp:

2.1 Kích hoạt và leo thang kế hoạch:

 Xác định các sự kiện hoặc tình huống kích hoạt quy trình phục hồi thảm họa

 Ví dụ: mất điện diện rộng, tấn công mạng, hỏa hoạn, sự cố phần cứng hoặc phần mềm nghiêm trọng.

 Nêu rõ quy trình leo thang sự cố khi tình huống vượt quá khả năng xử lý của nhómứng phó khẩn cấp

2.2 Địa điểm tập trung:

 Xác định địa điểm tập trung an toàn cho nhân viên trong trường hợp khẩn cấp

 Đảm bảo địa điểm có đủ không gian, tiện nghi và khả năng kết nối thông tin cần thiết

 Nêu rõ quy trình di chuyển và thông báo cho nhân viên về địa điểm tập trung

2.3 Kích hoạt nhóm ứng phó khẩn cấp:

 Xác định thành viên của nhóm ứng phó khẩn cấp và vai trò của từng thành viên

 Nêu rõ quy trình triệu tập và kích hoạt nhóm ứng phó khẩn cấp

 Quy định phương thức giao tiếp và phối hợp trong nhóm

2.4 Nhóm phục hồi thảm họa:

 Mô tả cấu trúc và trách nhiệm của nhóm phục hồi thảm họa

 Xác định các nhóm phụ chuyên trách cho từng lĩnh vực (ví dụ: nhóm phục hồi hệ thống, nhóm phục hồi dữ liệu, nhóm truyền thông)

 Nêu rõ quy trình phối hợp và thông tin giữa các nhóm phụ

2.5 Cảnh báo khẩn cấp, leo thang và kích hoạt DRP:

 Cảnh báo khẩn cấp:

o Xác định phương thức thông báo cho nhân viên, ban lãnh đạo và các bên liên quan về tình trạng khẩn cấp

o Ví dụ: hệ thống thông báo khẩn cấp, email, tin nhắn SMS, mạng xã hội

o Nêu rõ nội dung thông báo và quy trình cập nhật thông tin

 Quy trình quản lý DR:

o Xác định vai trò và trách nhiệm của ban lãnh đạo trong quá trình phục hồi thảm họa

o Nêu rõ quy trình ra quyết định và phân bổ nguồn lực

o Quy định phương thức báo cáo và cập nhật tình hình cho ban lãnh đạo

 Liên hệ với nhân viên:

o Xác định phương thức thông báo và cập nhật tình hình cho nhân viên trongquá trình phục hồi

o Ví dụ: hệ thống thông báo nội bộ, email, tin nhắn SMS, mạng xã hội

o Nêu rõ quy trình giải đáp thắc mắc và hỗ trợ nhân viên

 Nhân viên dự phòng:

o Xác định đội ngũ nhân viên dự phòng hỗ trợ trong trường hợp nhân viên chính không thể tham gia quá trình phục hồi

o Nêu rõ quy trình đào tạo và huấn luyện cho nhân viên dự phòng.

 Tin nhắn / Cập nhật được ghi lại:

o Xác định phương thức ghi lại và lưu trữ thông tin cập nhật về tình hình thảm họa và quá trình phục hồi

o Ví dụ: hệ thống thông báo tự động, bản ghi âm, video

o Nêu rõ quy trình truy cập và sử dụng thông tin cập nhật

Phần 3 - Truyền thông:

3.1 Liên hệ qua phương tiện truyền thông:

 Xác định người đại diện truyền thông trong trường hợp thảm họa

 Nêu rõ trách nhiệm và quyền hạn của người đại diện truyền thông

 Quy định phương thức thông tin và phối hợp với các phương tiện truyền thông

3.2 Chiến lược truyền thông:

 Xác định thông điệp chính thức muốn truyền tải đến các bên liên quan

 Nêu rõ cách thức truyền tải thông điệp qua các kênh truyền thông khác nhau

 Quy định phương thức xử lý các thông tin sai lệch hoặc tin đồn

3.3 Nhóm truyền thông:

 Xác định thành viên của nhóm truyền thông và vai trò của từng thành viên

 Nêu rõ quy trình phối hợp và thông tin trong nhóm truyền thông

 Quy định phương thức theo dõi và đánh giá hiệu quả của hoạt động truyền thông

3.4 Quy tắc xử lý phương tiện truyền thông:

 Nêu rõ các quy tắc và nguyên tắc khi tiếp xúc với các phương tiện truyền thông

 Ví dụ: tuân thủ thông điệp chính thức, không cung cấp thông tin sai lệch hoặc nhạy cảm, giữ thái độ chuyên nghiệp và lịch sự

 Quy định phương thức xử lý các tình huống phức tạp hoặc khó khăn khi tiếp xúc với truyền thông

Phần 4 - Bảo hiểm:

 Mô tả vai trò của bảo hiểm trong việc hỗ trợ tài chính cho quá trình phục hồi sau thảm họa

 Xác định các loại bảo hiểm phù hợp với nhu cầu của tổ chức

 Nêu rõ quy trình thông báo và yêu cầu bồi thường từ công ty bảo hiểm

Phần 5 - Các vấn đề tài chính và pháp lý:

Đánh giá tài chính:

 Xác định các tác động tài chính tiềm ẩn của thảm họa

 Ví dụ: chi phí phục hồi hệ thống, chi phí mất dữ liệu, chi phí gián đoạn kinh doanh

 Nêu rõ phương thức đánh giá và dự toán các khoản chi phí liên quan đến thảm họa

Yêu cầu tài chính:

 Xác định các nguồn tài chính cần thiết để hỗ trợ quá trình phục hồi

 Ví dụ: quỹ dự phòng, bảo hiểm, vay vốn ngân hàng

 Nêu rõ quy trình huy động và phân bổ tài chính cho các hoạt động phục hồi

Hành động pháp lý:

 Mô tả các vấn đề pháp lý có thể liên quan đến thảm họa

 Ví dụ: tuân thủ luật bảo mật dữ liệu, luật lao động, luật hợp đồng

 Nêu rõ quy trình tham vấn ý kiến luật sư và xử lý các vấn đề pháp lý

Phần 6 - Thực hành DRP:

 Nhấn mạnh tầm quan trọng của việc thực hành thường xuyên quy trình phục hồi thảm họa

 Nêu rõ tần suất và phương thức thực hành DRP

 Quy định phương thức đánh giá và cải thiện hiệu quả của DRP dựa trên kết quả thực hành

Sử dụng định dạng được cung cấp trong văn bản, thiết kế một kế hoạch ứng phó sự cố cho máy tính tại nhà của bạn Bao gồm các hành động cần thực hiện nếu mỗi sự kiện sau đây xảy ra:

Cuộc tấn công của vi rút

Mất điện

ISP thất bại

Những tình huống nào khác mà bạn nghĩ là quan trọng để lập kế hoạch?

Kế hoạch ứng phó sự cố cho máy tính tại nhà

1 Mục tiêu

Kế hoạch này nhằm mục đích xác định các bước cụ thể cần thực hiện để giảm thiểu tác động và phục hồi nhanh chóng trong trường hợp xảy ra sự cố với máy tính tại nhà

2 Phạm vi

Kế hoạch này áp dụng cho các sự cố sau:

 Cuộc tấn công của vi rút: Bao gồm cả ransomware và các loại vi rút khác

 Mất điện: Bao gồm cả mất điện ngắn và mất điện dài.

 ISP thất bại: Bao gồm cả sự cố kết nối internet và sự cố dịch vụ ISP

3 Các hành động cần thực hiện

3.1 Cuộc tấn công của vi rút

3.1.1 Ngắt kết nối máy tính khỏi mạng internet

 Rút cáp mạng khỏi máy tính

 Tắt Wi-Fi trên máy tính.

3.1.2 Khởi động máy tính ở chế độ an toàn

 Bật máy tính và nhấn phím F8 hoặc F10 liên tục khi khởi động

 Chọn "Chế độ an toàn" từ menu khởi động

3.1.3 Chạy phần mềm diệt virus để quét và loại bỏ vi rút

 Mở phần mềm diệt virus và cập nhật cơ sở dữ liệu virus mới nhất

 Chạy quét toàn bộ hệ thống để tìm kiếm vi rút

 Loại bỏ bất kỳ vi rút nào được tìm thấy

3.1.4 Cập nhật phần mềm diệt virus và hệ điều hành

 Cập nhật phần mềm diệt virus lên phiên bản mới nhất

 Cập nhật hệ điều hành lên phiên bản mới nhất

3.1.5 Khôi phục dữ liệu từ bản sao lưu nếu cần thiết

 Nếu dữ liệu bị mất hoặc bị hỏng do vi rút, bạn có thể khôi phục dữ liệu từ bản sao lưu

3.2 Mất điện

3.2.1 Lưu tất cả công việc đang thực hiện

 Lưu tất cả các tài liệu đang mở

 Đóng tất cả các chương trình đang chạy

3.2.2 Tắt máy tính một cách an toàn

 Nhấp vào nút "Start" và chọn "Shut down"

 Chọn "Yes" để xác nhận việc tắt máy

3.2.3 Sử dụng bộ nguồn dự phòng (UPS) để cung cấp năng lượng cho máy tính trong khi mất điện

 Kết nối máy tính với UPS

 Bật UPS khi mất điện

3.2.4 Khởi động lại máy tính khi nguồn điện trở lại bình thường

 Bật máy tính sau khi nguồn điện trở lại bình thường

3.3 ISP thất bại

3.3.1 Kiểm tra xem có kết nối internet hay không

 Mở trình duyệt web và truy cập một trang web

 Kiểm tra biểu tượng Wi-Fi hoặc Ethernet trên máy tính để xem có kết nối internet hay không

3.3.2 Khởi động lại modem và bộ định tuyến

 Tắt modem và bộ định tuyến

 Chờ 30 giây

 Bật modem và bộ định tuyến.

3.3.3 Liên hệ với ISP để báo cáo sự cố

 Gọi điện thoại hoặc truy cập trang web của ISP để báo cáo sự cố

 Cung cấp thông tin về sự cố cho ISP

3.3.4 Sử dụng điểm truy cập di động để kết nối internet nếu cần thiết

 Sử dụng điện thoại thông minh của bạn làm điểm truy cập di động để kết nối máy tính với internet

4 Những tình huống khác

Ngoài các sự cố được liệt kê ở trên, còn có một số tình huống khác mà bạn nên lập kế hoạch, bao gồm:

 Lỗi ổ cứng: Sao lưu dữ liệu thường xuyên để có thể khôi phục nếu ổ cứng bị lỗi

 Trộm cắp hoặc thất lạc máy tính: Báo cáo vụ việc với cảnh sát và sử dụng phần mềm theo dõi để tìm kiếm máy tính

 Thiệt hại do nước hoặc lửa: Bảo vệ máy tính khỏi các yếu tố môi trường có hại

5 Biện pháp phòng ngừa

Để giảm thiểu nguy cơ xảy ra sự cố, bạn nên thực hiện các biện pháp phòng ngừa sau:

 Cài đặt phần mềm diệt virus và cập nhật thường xuyên

 Cài đặt phần mềm chống phần mềm độc hại và cập nhật thường xuyên

 Sao lưu dữ liệu thường xuyên. Sử dụng ổ cứng ngoài hoặc dịch vụ lưu trữ đám mây để sao lưu dữ liệu quan trọng

 Cập nhật hệ điều hành và phần mềm. Cài đặt các bản cập nhật bảo mật mới nhất

để bảo vệ máy tính khỏi các lỗ hổng bảo mật

 Sử dụng mật khẩu mạnh cho tất cả các tài khoản. Sử dụng mật khẩu dài và phức tạp cho tất cả các tài khoản trực tuyến của bạn

 Bảo vệ máy tính khỏi các yếu tố môi trường có hại. Giữ máy tính ở nơi khô ráo, thoáng mát và tránh xa bụi bẩn và độ ẩm

6 Xem xét và cập nhật

Kế hoạch này nên được xem xét và cập nhật ít nhất mỗi năm một lần hoặc bất cứ khi nào

có thay đổi đối với hệ thống máy tính hoặc môi trường của bạn

Chính sách quản lý tài khoản mạng máy tính

- Mục đích:

 Đảm bảo an ninh mạng cho hệ thống thông tin của công ty B

 Bảo vệ dữ liệu nhạy cảm của công ty B

 Nâng cao hiệu quả hoạt động của hệ thống IT

- Phạm vi áp dụng:

 Tất cả nhân viên, đối tác, khách hàng sử dụng mạng máy tính của công ty B

 Tất cả các thiết bị được kết nối vào mạng máy tính của công ty B.

- Nội dung chính sách:

1 Quản lý tài khoản người dùng:

1.1 Phân cấp quyền hạn:

- Phân loại tài khoản người dùng:

 Tài khoản quản trị viên: Dành cho quản trị viên hệ thống, có quyền truy cập và quản lý tất cả các tài nguyên mạng

 Tài khoản nhân viên: Dành cho nhân viên văn phòng, có quyền truy cập vào các tàinguyên cần thiết cho công việc

 Tài khoản đối tác: Dành cho đối tác, có quyền truy cập giới hạn vào các tài nguyên liên quan đến công việc chung

 Tài khoản khách hàng: Dành cho khách hàng, có quyền truy cập giới hạn vào các tài nguyên nhất định

- Cấp quyền truy cập dựa trên vai trò:

 Mỗi vai trò được định nghĩa rõ ràng các quyền truy cập cụ thể

 Sử dụng hệ thống quản lý người dùng (Active Directory, LDAP) để gán quyền truy cập cho từng tài khoản

 Xem xét định kỳ và cập nhật quyền truy cập cho người dùng khi cần thiết.1.2 Quản lý mật khẩu:

- Tiêu chuẩn mật khẩu:

 Mật khẩu phải có ít nhất 12 ký tự, tốt nhất là từ 15 ký tự trở lên

 Mật khẩu phải bao gồm cả chữ hoa, chữ thường, số và ký tự đặc biệt

 Mật khẩu không được chứa thông tin cá nhân dễ đoán như tên, ngày sinh, số điện thoại

 Sử dụng mật khẩu khác nhau cho từng tài khoản

- Thay đổi mật khẩu:

 Yêu cầu người dùng thay đổi mật khẩu định kỳ (ít nhất mỗi 3 tháng)

 Không lưu trữ mật khẩu trong văn bản hoặc email

 Hạn chế chia sẻ mật khẩu với người khác

1.3 Theo dõi hoạt động của người dùng:

- Ghi nhật ký truy cập:

 Ghi lại thời gian đăng nhập, thời gian đăng xuất, địa chỉ IP, hoạt động truy cập củangười dùng.

 Lưu trữ nhật ký truy cập trong một khoảng thời gian nhất định (ít nhất 6 tháng)

- Theo dõi hoạt động bất thường:

 Phát hiện và cảnh báo các hoạt động truy cập bất thường (VD: đăng nhập từ địa chỉ IP lạ, truy cập vào các tệp nhạy cảm)

 Điều tra và xử lý các trường hợp truy cập bất thường

1.4 Xử lý vi phạm:

- Xác định rõ ràng các hành vi vi phạm:

 Truy cập trái phép vào tài khoản người dùng khác

 Sử dụng mạng công ty cho mục đích cá nhân

 Lắp đặt phần mềm độc hại

 Tiết lộ thông tin mật của công ty

- Quy trình xử lý vi phạm:

 Ghi nhận và báo cáo vi phạm

 Điều tra chi tiết sự việc

 Áp dụng biện pháp trừng phạt phù hợp (VD: cảnh cáo, đình chỉ công việc, chấm dứt hợp đồng)

2 Truy cập tài nguyên:

2.1 Hạn chế truy cập vào các thiết bị cá nhân:

 Cấm sử dụng thiết bị cá nhân để truy cập vào mạng công ty

 Cho phép truy cập vào mạng công ty thông qua VPN nếu cần thiết (VD: công tác

từ xa)

 Cài đặt phần mềm bảo mật cho thiết bị cá nhân trước khi truy cập vào mạng côngty

2.2 Kiểm soát truy cập vào dữ liệu:

- Phân loại dữ liệu:

 Dữ liệu công khai: Thông tin chung có thể truy cập được cho tất cả mọi người

 Dữ liệu nội bộ: Thông tin chỉ dành cho nhân viên công ty

 Dữ liệu mật: Thông tin nhạy cảm chỉ dành cho những người được ủy quyền

- Cài đặt quyền truy cập:

 Hạn chế truy cập vào dữ liệu nội bộ và dữ liệu mật chỉ dành cho những người được

3.1 Cài đặt phần mềm diệt virus:

- Cập nhật phần mềm diệt virus thường xuyên (ít nhất mỗi tuần)

- Quét virus định kỳ cho tất cả các máy tính (ít nhất mỗi tháng)

- Cấu hình phần mềm diệt virus để tự động cập nhật và quét virus

3.2 Cấu hình tường lửa:

- Cấu hình tường lửa để chặn các truy cập trái phép vào mạng

- Chặn các cổng truy cập không cần thiết

- Cho phép truy cập vào các cổng cần thiết cho các dịch vụ (VD: HTTP, FTP)

- Cập nhật phần mềm tường lửa thường xuyên (ít nhất mỗi tháng)

- Mã hóa dữ liệu nhạy cảm để bảo vệ an toàn

- Sử dụng các thuật toán mã hóa mạnh (VD: AES, RSA)

- Quản lý khóa mã hóa an toàn

4 Đào tạo:

4.1 Nội dung đào tạo:

- Nhận thức về an ninh mạng

- Cách sử dụng mật khẩu an toàn

- Cách truy cập và sử dụng tài nguyên mạng

- Các biện pháp phòng ngừa tấn công mạng

- Luật an ninh mạng

4.2 Đối tượng đào tạo:

- Tất cả nhân viên công ty

- Đối tác và khách hàng sử dụng mạng công ty

4.3 Hình thức đào tạo:

- Đào tạo trực tiếp

- Đào tạo trực tuyến.

- E-learning

- Tài liệu hướng dẫn

5 Quản lý thiết bị:

5.1 Đăng ký và quản lý thiết bị:

- Đăng ký tất cả các thiết bị được kết nối vào mạng

- Cài đặt phần mềm quản lý thiết bị (MDM) để theo dõi và kiểm soát thiết bị

- Xóa dữ liệu khỏi thiết bị khi không còn sử dụng nữa

6 Theo dõi và đánh giá:

6.1 Theo dõi hiệu quả thực hiện chính sách:

- Theo dõi việc tuân thủ chính sách của người dùng

- Theo dõi số lượng vi phạm chính sách

- Theo dõi hiệu quả hoạt động của hệ thống an ninh mạng

6.2 Đánh giá định kỳ chính sách:

- Đánh giá chính sách ít nhất mỗi năm một lần

- Cập nhật chính sách khi cần thiết để phù hợp với thực tế hoạt động

7 Phụ trách:

- Ban lãnh đạo công ty chịu trách nhiệm phê duyệt và ban hành chính sách

- Bộ phận IT chịu trách nhiệm thực hiện và giám sát việc thực hiện chính sách

- Mỗi nhân viên chịu trách nhiệm tuân thủ chính sách

Chính sách Truy cập Web cho nhân viên

- Mục Đích: Chính sách này nhằm đảm bảo việc sử dụng Internet trong doanh nghiệp B được thực hiện một cách an toàn và hiệu quả, đồng thời giảm thiểu rủi roliên quan đến bảo mật thông tin và nội dung không phù hợp

- Phạm Vi: Chính sách này áp dụng cho tất cả nhân viên và các cá nhân có quyền truy cập vào hệ thống mạng và internet của doanh nghiệp B

- Nội dung quy định:

1 Mục đích sử dụng:

- Internet được cung cấp cho nhân viên nhằm phục vụ các mục đích sau:

 Truy cập tài khoản vào nền tảng công nghệ tích hợp các phần mềm quản lý doanh nghiệp

 Truy cập vào các website cần thiết để hoàn thành nhiệm vụ được giao

 Tìm kiếm, tra cứu thông tin nhằm cải thiện chất lượng công việc

 Tham gia các hoạt động học tập, nghiên cứu chuyên môn

- Việc sử dụng internet cho mục đích cá nhân chỉ được phép trong thời gian nghỉgiải lao hoặc sau giờ làm việc, miễn là không ảnh hưởng đến hiệu quả công việc và tuân thủ các quy định của công ty

- Tải xuống các phần mềm và tài liệu cần thiết cho công việc

- Tham gia các hoạt động học tập trực tuyến

3 Các hành vi bị cấm:

- Truy cập các website có nội dung khiêu dâm, bạo lực, trái pháp luật hoặc vi phạm đạo đức

- Tải xuống các phần mềm và tài liệu có bản quyền mà không được phép

- Sử dụng internet để chơi game, xem phim, nghe nhạc trong giờ làm việc

- Gửi thư rác, tin nhắn rác hoặc tham gia vào các hoạt động spam

- Tiết lộ thông tin mật của công ty cho bên ngoài

- Sử dụng internet cho các mục đích cá nhân trong giờ làm việc, trừ khi được phép

4 An toàn thông tin:

- Không chia sẻ thông tin nhạy cảm hoặc thông tin liên quan đến doanh nghiệp trên các trang web công cộng hoặc không được phép

- Tránh mở các đường dẫn không an toàn hoặc tải về các tệp tin không rõ nguồngốc từ các trang web không đáng tin cậy.

- Không cài đặt hoặc sử dụng các công cụ truy cập web không được phê duyệt

từ phía quản trị viên

- Bảo mật mật khẩu truy cập vào các tài khoản web và không chia sẻ mật khẩu với người khác

- Quản trị viên hệ thống có trách nhiệm kiểm tra và giám sát việc sử dụng Internet của nhân viên để đảm bảo tuân thủ chính sách này và phát hiện kịp thời các rủi ro bảo mật

6 Xử lý vi phạm:

- Vi phạm nhẹ: Nhắc nhở, khiển trách

- Vi phạm nghiêm trọng: Kỷ luật, thậm chí chấm dứt hợp đồng lao động

7 Hiệu Lực: Chính sách này có hiệu lực ngay từ lúc công bố và được áp dụng cho tất cả các nhân viên trong doanh nghiệp B Mọi thay đổi hoặc điều chỉnh của chính sách sẽ được thông báo và cập nhật đến tất cả nhân viên một cách kịp thời

Chính sách sử dụng các thiết bị cá nhân trong hệ thống mạng nội bộ

- Mục Đích: Chính sách này được thiết lập nhằm đảm bảo an toàn và bảo mật cho

hệ thống mạng nội bộ của doanh nghiệp B, đồng thời hạn chế rủi ro từ việc sử dụng các thiết bị cá nhân không kiểm soát

- Phạm Vi: Chính sách này áp dụng cho tất cả các nhân viên và cá nhân có quyền truy cập vào hệ thống mạng nội bộ của doanh nghiệp B bằng các thiết bị cá nhân của mình

- Nội dung quy định:

1 Phân loại thiết bị:

- Các thiết bị cá nhân (như laptop, điện thoại di động, máy tính bảng) sử dụng trong hệ thống mạng nội bộ của doanh nghiệp B phải được phân loại và đăng

ký với bộ phận IT hoặc quản trị viên hệ thống

2 Các yêu cầu đối với thiết bị:

- Thiết bị phải được cài đặt hệ điều hành và phần mềm bảo mật mới nhất

- Hệ điều hành và phần mềm bảo mật phải được cập nhật thường xuyên

- Thiết bị phải được cài đặt phần mềm chống virus và phần mềm chống phần mềm độc hại, tường lửa

- Mật khẩu truy cập thiết bị phải mạnh và được bảo mật cẩn thận.

3 Các hành vi được phép:

- Truy cập vào các website và dịch vụ được phép của công ty

- Sử dụng các ứng dụng được phép của công ty

- Lưu trữ dữ liệu công ty trên thiết bị cá nhân với sự cho phép của bộ phận quảnlý

4 Các hành vi bị cấm:

- Truy cập vào các website và dịch vụ bị cấm của công ty

- Sử dụng các ứng dụng không được phép của công ty

- Truy cập vào các hệ thống mạng, máy tính hoặc dữ liệu của công ty mà không được phép

- Lưu trữ dữ liệu mật của công ty trên thiết bị cá nhân mà không được phép

- Chia sẻ mật khẩu truy cập thiết bị với người khác

- Kết nối thiết bị cá nhân với hệ thống mạng nội bộ mà không được phép

- Chơi game, xem phim, nghe nhạc: Sử dụng thiết bị cá nhân cho mục đích giải trí trong thời gian làm việc

- Sử dụng mạng xã hội: Sử dụng mạng xã hội trong thời gian làm việc có thể ảnh hưởng đến hiệu quả công việc

- Gửi email cá nhân: Sử dụng tài khoản email công ty để gửi email cá nhân

CÁC KHÁI NIỆM CƠ BẢN

Thông tin

Các yếu tố đem lại hiểu biết, nhận thức cho con người cũng như các sinh vật khác

Tồn tại khách quan, có thể được tạo ra, truyền đi, lưu trữ, chọn lọc

Thông tin được hình thành, tồn tại và vận động trong các hệ thống thông tin

Hệ thống thông tin

Là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền, xử lý và lưu trữ thông tin trên mạng

Các tài nguyên thông tin

Tài nguyên nhân lực

Tài nguyên phần mềm

Tài nguyên phần cứng

Tài nguyên mạng

Tài nguyên dữ liệu

An toàn thông tin

là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin [72/2013/NĐ-CP]

An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại đến an

ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân [72/2013/NĐ-CP]

Ba khía cạnh của ATTT

+ Tính bảo mật: thông tin chỉ đc truy cập bởi những người dc ủy quyền

+ Tính toàn vẹn: thông tin chỉ dc chỉnh sửa bởi những người dc ủy quyền

+ Tính sẵn sàng: thông tin có thể dc truy cập bởi những người dc quyền truy cập khi họ cần thông tin

Quản lý an toàn thông tin:

Là các hành động lên các đối tượng tham gia đối với hệ thống thông tin của một cơ quan

tổ chức, nhằm đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng của hệ thống thông tin của cơ quan, tổ chức

Hệ thống quản lí an toàn thông tin

ISMS là phương tiện quản lí cấp cao nhằm quản lí và kiểm soát mức độ an toàn, giảm thiểu tối đa các rủi ro và đảm bảo mức độ an toàn tiếp tục đáp ứng được yêu cầu của doanh nghiệp, khách hàng, pháp luật

Chính sách an toàn thông tin

Là tập hợp những chỉ thị và hướng dẫn về ATTT

Là tập hợp các điều luật, các quy định bảo đảm sự bảo vệ có hiệu quả các hệ thống xử lý thông tin chống lại các hiểm họa ATTT

Là tập hợp các điều luật, các qui định và các giải pháp thực tế để giám sát sự điều khiển,

sự bảo vệ và việc phân phối các thông tin nhạy cảm trong hệ thống (“Sách da cam” - 1983)

=> thể hiện ý chí và quyết tâm của các cấp lãnh đạo đối với việc bảo vệ HTTT, bao gồm đầy đủ các yếu tố: thông tin (Information), hạ tầng thông tin (phần cứng, phần mềm, mạng và các hệ thống khác, ) và các ứng dụng

Nguyên tắc quản lý ATTT

Đại diện ban lãnh đạo ATTT (Giám đốc ATTT) là lãnh đạo cao nhất của tổ chức

Các lãnh đạo tổ chức cần nhận ra các rủi ro ATTT và đi đầu trong việc thúc đẩy các biện pháp ATTT

Các biện pháp AT cần được thực hiện không chỉ đối với bản thân công ty mà còn đối với chuỗi cung ứng bao gồm các đối tác kinh doanh và các công ty thuê ngoài

Các công ty cần liên lạc thích hợp với các bên liên quan bằng cách tiết lộ thông tin về cácbiện pháp và rủi ro ATTT trong trường hợp bình thường cũng như trong trường hợp khẩn cấp

1 Tập trung vào khách hàng;

2 Lãnh đạo;

3 Sự tham gia của mọi người;

4 Cách tiếp cận theo quy trình;

5 Cách tiếp cận hệ thống đối với quản lý;

6 Cải tiến liên tục;

Quản lí An toàn thông tin

Trọng tâm chính là đảm bảo tính bí mật, toàn vẹn và sẵn sàng của TT

Nội dung chính

1 Thúc đẩy các biện pháp AT dưới sự lãnh đạo của ban quản lý

■ Xây dựng cấu trúc hoặc quy trình để quản lý rủi ro ATTT

● Nhận biết rủi ro ATTT và phát triển chính sách toàn công ty (CSATTT)

● Xây dựng hệ thống quản lý rủi ro ATTT

● Đảm bảo nguồn lực (ngân sách, lực lượng lao động, v.v.) cho các biện pháp AT

■Xác định các rủi ro ATTT và thực hiện các biện pháp

● Xác định các rủi ro ATTT và xây dựng kế hoạch giải quyết chúng

● Thiết lập các hệ thống để giải quyết hiệu quả các rủi ro ATTT

● Thực hiện chu trình PDCA cho các biện pháp AT

■ Thiết lập một hệ thống để chuẩn bị cho sự cố xảy ra

● Xây dựng nhóm ứng phó sự cố ATTT và các thủ tục liên quan

● Xây dựng nhóm khôi phục và các quy trình liên quan để chuẩn bị cho thiệt hại

do sự cố ATTT

2 Thúc đẩy các biện pháp AT trong chuỗi cung ứng

■ Hiểu tình trạng ATTT và các biện pháp trong toàn bộ chuỗi cung ứng bao gồm các đối tác kinh doanh và các công ty gia công

3 Thúc đẩy giao tiếp với các bên liên quan và các bên liên quan khác

■ Thu thập, sử dụng và cung cấp TT về mối đe dọa ATTT thông qua các hoạt động chia

An toàn môi trường và vật lý

Quản lý tác nghiệp và truyền thông

Kiểm soát truy cập

Phân tích mối quan hệ giữa hiểm họa, điểm yếu và rủi ro?

1 Hiểm họa (Threat):

o Là những tác nhân hoặc sự kiện có thể gây ra tổn hại cho hệ thống thông tin Hiểm họa có thể là tự nhiên (như động đất, lũ lụt), con người (như hacker, nhân viên nội bộ) hoặc công nghệ (như phần mềm độc hại, lỗi hệ thống)

2 Điểm yếu (Vulnerability):

o Là những điểm yếu hoặc lỗ hổng trong hệ thống thông tin mà khi bị khai thác có thể gây ra tổn thất Điểm yếu có thể xuất phát từ phần mềm, phầncứng, quy trình làm việc, hoặc do con người

3 Rủi ro (Risk):

o Là sự kết hợp giữa khả năng xảy ra của hiểm họa và mức độ tổn hại khi điểm yếu bị khai thác Rủi ro có thể được mô tả như một hàm số của hiểm họa, điểm yếu và giá trị tài sản bị đe dọa

Mối quan hệ giữa ba yếu tố này có thể được biểu diễn theo công thức:

RISK= f(Asset,Threat,Vulnerability)

Việc xác định rủi ro có vai trò như thế nào trong Quản lý an toàn thông tin?

Việc xác định rủi ro là bước quan trọng và nền tảng trong quy trình Quản lý an toàn thôngtin vì những lý do sau:

1 Phát hiện và đánh giá rủi ro:

o Giúp tổ chức nhận diện được các rủi ro tiềm ẩn và đánh giá mức độ nghiêmtrọng của chúng Điều này là bước đầu tiên để hiểu rõ những gì cần được bảo vệ và mức độ ưu tiên của các biện pháp bảo vệ

2 Xác định biện pháp bảo vệ:

o Khi đã nhận diện được rủi ro, tổ chức có thể triển khai các biện pháp kiểm soát và bảo vệ phù hợp để giảm thiểu hoặc loại bỏ rủi ro Điều này bao gồm cập nhật phần mềm, đào tạo nhân viên, cải thiện quy trình, và triển khai các công nghệ bảo mật

3 Quản lý chi phí hiệu quả:

o Việc hiểu rõ rủi ro giúp tổ chức phân bổ nguồn lực một cách hiệu quả hơn, đảm bảo rằng các biện pháp bảo vệ được triển khai đúng nơi, đúng chỗ, tránh lãng phí tài nguyên vào những rủi ro không đáng kể

4 Tuân thủ quy định và tiêu chuẩn:

o Nhiều quy định và tiêu chuẩn bảo mật yêu cầu tổ chức phải thực hiện quy trình đánh giá và quản lý rủi ro Việc này giúp tổ chức tuân thủ các quy định pháp lý và tránh các hình phạt từ cơ quan quản lý

5 Tăng cường khả năng phục hồi:

o Bằng cách hiểu rõ và quản lý rủi ro, tổ chức có thể chuẩn bị tốt hơn cho các tình huống sự cố và có kế hoạch khắc phục hậu quả nhanh chóng, giảm thiểu thiệt hại và khôi phục hoạt động kinh doanh

6 Nâng cao nhận thức và văn hóa bảo mật:

o Quá trình xác định và quản lý rủi ro góp phần nâng cao nhận thức về an toàn thông tin trong toàn bộ tổ chức, tạo ra một văn hóa bảo mật, nơi mọi người đều có ý thức và trách nhiệm bảo vệ tài sản thông tin của tổ chức.

Tầm quan trọng của luật pháp trong quản lý

Răn đe, ngăn chặn các hành vi sai trái, xâm phạm quyền lợi chính đáng của các cá nhân,

tổ chức khác

Làm cơ sở để xử phạt đối với những hành vi vi phạm

Đảm bảo tính hiệu quả trong quản lý

Xây dựng hành lang pháp lý để bảo vệ quyền, lợi ích hợp pháp của cá nhân, tổ chức, xã hội và nhà nước trong lĩnh vực thông tin

Một số văn bản quy phạm pháp luật về an toàn thông tin của VN

Năm 1999, Quốc hội nước CHXHCNVN đã Ban hành Bộ luật Hình sự 1999, trong đó có ba điều quy định về tội phạm máy tính Bộ luật này được sửa đổi vào năm 2009 và phần quyđịnh về tội phạm máy tính tiếp tục được bổ sung thành 5 điều:

 Điều 224 Tội phát tán vi rút, chương trình tin học có tính năng gây hại cho hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số

 Điều 225 Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số

 Điều 226 Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông, mạng Internet

 Điều 226a Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạngInternet hoặc thiết bị số của người khác

 Điều 226b Tội sử dụng mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số thực hiện hành vi chiếm đoạt tài sản

Năm 2000:

 Pháp lệnh Bảo vệ bí mật nhà nước

 Pháp lệnh Cơ yếu (năm 2011 thay thế bằng văn bản luật có giá trị pháp lý cao hơn– Luật Cơ yếu)

Năm 2005:

 Luật Sở hữu trí tuệ

 Luật Giao dịch điện tử

Năm 2006: Luật Công nghệ thông tin

Một số nghị định để hướng dẫn thi hành

Nghị định 03/2002/NĐ-CP Quy định chi tiết thi hành Pháp lệnh Bảo vệ bí mật nhà nướcNghị định số 56/2006/NĐ-CP về Xử phạt vi phạm hành chính trong hoạt động văn hóa – thông tin

Nghị định số 57/2006/NĐ-CP về Thương mại điện tử

Nghị định số 100/2006/NĐ-CP Quy định chi tiết và hướng dẫn thi hành một số điều của Bộluật Dân sự và Luật Sở hữu trí tuệ về quyền tác giả và quyền liên quan

Nghị định số 105/2006/NĐ-CP Quy định chi tiết và hướng dẫn thi hành một số điều của Luật Sở hữu trí tuệ về bảo vệ quyền sở hữu trí tuệ và quản lý nhà nước về sở hữu trí tuệ (Nghị định này về sau được sửa đổi, bổ sung bởi Nghị định số 119/2010/NĐ-CP)

Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 Quy định chi tiết thi hành Luật Giao dịch điện tử về Chữ kí số và dịch vụ chứng thực chữ kí số

Nghị định số 27/2007/NĐ-CP ngày 23/02/2007 về Giao dịch điện tử trong hoạt động tài chính

Nghị định số 35/2007/NĐ-CP ngày 08/03/2007 về Giao dịch điện tử trong hoạt động ngân hàng

Nghị định số 63/2007/NĐ-CP Quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin

Nghị định số 64/2007/NĐ-CP về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước

Nghị định 73/2007/NĐ-CP Về hoạt động nghiên cứu, sản xuất, kinh doanh và sử dụng mật

mã để bảo vệ thông tin không thuộc phạm vi bí mật Nhà nước

Chương II Bảo đảm an toàn thông tin mạng, gồm có 21 điều (từ Điều 09 đến Điều 29) và chia thành 04 mục:

■ Mục 1 Bảo vệ thông tin mạng, gồm có 07 điều (từ Điều 09 đến Điều 15)

■ Mục 2 Bảo vệ thông tin cá nhân, gồm có 05 điều (từ Điều 16 đến Điều 20)

■ Mục 3 Bảo vệ hệ thống thông tin, gồm 07 điều (từ Điều 21 đến Điều 27)

■ Mục 4 Ngăn chặn xung đột thông tin trên mạng, gồm 02 điều (từ Điều 28 đến Điều 29)

Chương III Mật mã dân sự, gồm có 07 điều (từ Điều 30 đến Điều 36)

Chương IV Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng, gồm có 03 điều (từ Điều 37 đến Điều 39)

Chương V Kinh doanh trong lĩnh vực an toàn thông tin mạng, gồm có 09 điều, chia làm

Chương VIII Điều khoản thi hành, gồm có 02 điều (từ Điều 53 đến Điều 54)

Vai trò của việc xây dựng kế hoạch

Lập kế hoạch là phương tiện chủ đạo để quản lý tài nguyên trong các tổ chức

Đòi hỏi việc liệt kê một chuỗi các hành động nhằm đạt được các mục tiêu, cụ thể trong một khoảng thời gian xác định và kiểm soát việc thực hiện các bước này

Cung cấp định hướng cho tương lai của tổ chức

Xây dựng kế hoạch chiến lược

Là quá trình xác định và chỉ rõ định hướng (chiến lược) dài hạn mà một tổ chức thực hiện,

và việc phân bổ, thu nhận các nguồn lực cần thiết để theo đuổi nỗ lực này

Lập kế hoạch sử dụng quy trình ba bước:

 Xác định mục tiêu cho một lĩnh vực cần cải tiến hoặc nhu cầu về khả năng mới, sau đó tổ chức ghi lại tiến trình hiện tại để hoàn thành mục tiêu đó (hiện tại chúng

Lập kế hoạch chiến lược từ trên xuống

Nhóm An toàn thông tin phải hiểu và hỗ trợ các kế hoạch chiến lược (hay chiến lược) của tất cả các đơn vị kinh doanh Vai trò này đôi khi có thể mâu thuẫn với vai trò của bộ phận

CNTT, vì vai trò của IT là cung cấp thông tin và tài nguyên thông tin một cách hiệu quả

và hiệu quả, trong khi vai trò của An toàn thông tin là bảo vệ tất cả các tài sản thông tin

An toàn có thể bắt đầu như một nỗ lực cơ bản (cách tiếp cận từ dưới lên) hoặc với các kế hoạch do quản lý cấp cao xây dựng (cách tiếp cận từ trên xuống)

Để phát triển và thực hiện việc lập kế hoạch hiệu quả:

 Phải tạo ra các tài liệu đại diện cho các quan điểm triết học, đạo đức và kinh doanh của công ty - cụ thể: sứ mệnh, tầm nhìn, giá trị và chiến lược của tổ chức

 Lập kế hoạch chiến lược đưa ra định hướng dài hạn mà tổ chức sẽ thực hiện và hướng dẫn các nỗ lực của tổ chức

 Chiến lược chung ban đầu được chuyển thành chiến lược cụ thể và sau đó được chuyển thành kế hoạch chiến thuật và hoạt động cấp thấp hơn

Các thành phần cơ bản của một kế hoạch chiến lược cấp tổ chức điển hình:

6 Mục tiêu của Đơn vị Kinh doanh Chính (hoặc Sản phẩm/Dịch vụ)

7 Phụ lục (nếu có, bao gồm phân tích thị trường, khảo sát nội bộ/bên ngoài, ngân sách

và dự kiến R&D)

Quản trị ATTT

là quá trình tạo và duy trì cấu trúc tổ chức quản lý chức năng ATTT trong một tổ chức

Có 05 mục tiêu chính:

 điều chỉnh chiến lược ATTT và các mục tiêu kinh doanh;

 sử dụng các phương pháp quản lý rủi ro để hướng dẫn việc ra quyết định của ATTT;

 thực hiện các thực hành quản lý tài nguyên hợp lý cho các chương trình ATTT;

 đo lường hiệu suất của các chức năng ATTT;

 mang lại giá trị cho tổ chức

Khuyến nghị bốn thực hành cần thiết cho hội đồng quản trị:

 Đặt ATTT vào chương trình làm việc của hội đồng quản trị

 Xác định các nhà lãnh đạo ATTT, quy trách nhiệm cho họ và đảm bảo hỗ trợ họ

 Đảm bảo tính hiệu quả của CSATTT của tổ chức thông qua việc xem xét và phê duyệt

 Chỉ định ATTT cho một ủy ban chính và đảm bảo hỗ trợ đầy đủ cho ủy ban đó.Lợi ích:

 Gia tăng giá trị cổ phiếu cho các tổ chức

 Tăng khả năng dự đoán và giảm tính không chắc chắn của hoạt động kinh doanh bằng cách giảm rủi ro liên quan đến ATTT xuống mức có thể xác định và chấp nhận được

 Bảo vệ khỏi nguy cơ ngày càng tăng về trách nhiệm dân sự hoặc pháp lý do TT không chính xác hoặc thiếu sự quan tâm thích hợp

 Tối ưu hóa việc phân bổ các nguồn lực AT hạn chế

 Đảm bảo tuân thủ CS và CSATTT hiệu quả

 Một nền tảng vững chắc để quản lý rủi ro hiệu quả, cải tiến quy trình và ứng phó

sự cố nhanh chóng

 Đảm bảo phần nào rằng các quyết định quan trọng không dựa trên TT sai

 Trách nhiệm giải trình đối với việc bảo vệ TT trong các hoạt động kinh doanh quantrọng, chẳng hạn như sáp nhập và mua lại, khôi phục quy trình kinh doanh và phản ứng theo quy định

Khung công nghiệp NCSP

(National Cyber Security Partnership) về quản trị an toàn thông tin

ISO 27014:2013

là tiêu chuẩn thuộc chuỗi ISO 27000 về Quản trị An toàn Thông tin Tài liệu ngắn đáng chú ý này (11 trang) cung cấp các khuyến nghị ngắn gọn để đánh giá một chương trình quản trị an toàn thông tin

Xây dựng kế hoạch triển khai đảm bảo an toàn thông tin

Việc triển khai ATTT thường được bắt đầu theo một trong hai cách: từ dưới lên hoặc từ trên xuống

Hướng tiếp cận từ trên xuống:

 để thành công, quản lý cấp cao phải nỗ lực và cung cấp hỗ trợ đầy đủ cho tất cả các bộ phận

 Sự tham gia và hỗ trợ của người dùng cuối cũng rất quan trọng đối với sự thành công này Người dùng cuối chính cần được chỉ định cho các nhóm lập kế hoạch và thiết kế tương tự như nhóm thiết kế ứng dụng chung (JAD) được sử dụng trong phát triển hệ thống

 các quy trình và thủ tục phải được lập thành văn bản và tích hợp vào văn hóa tổ chức, phải được xác nhận, thúc đẩy và hỗ trợ bởi ban quản lý của tổ chức

Trách nhiệm trong kế hoạch ATTT

Giám đốc Thông tin (CIO): chịu trách nhiệm phát triển và duy trì một chương trình

ATTT toàn cơ quan và có các trách nhiệm sau đối với việc lập kế hoạch ATTT:

 Chỉ định một nhân viên ATTT của cơ quan cấp cao (SAISO), người sẽ thực hiện trách nhiệm của CIO về lập kế hoạch ATTT

 Phát triển và duy trì các CS, thủ tục và kỹ thuật kiểm soát ATTT để giải quyết việc lập kế hoạch ATTT

 Quản lý việc xác định, thực hiện và đánh giá các biện pháp kiểm soát AT chung

 Đảm bảo rằng nhân viên có vai trò quan trọng đối với các kế hoạch ATTT được đàotạo

 Hỗ trợ các quan chức cơ quan cấp cao về trách nhiệm của họ đối với các kế hoạchATTT

 Xác định và điều phối các biện pháp kiểm soát AT chung cho tổ chức

Chủ sở hữu HTTT chịu trách nhiệm về việc mua sắm, phát triển, tích hợp, sửa đổi tổng

 Đảm bảo rằng người dùng HT và nhân viên hỗ trợ nhận được khóa đào tạo AT cần thiết (ví dụ: hướng dẫn về các quy tắc hành vi)

 Cập nhật kế hoạch ATTT bất cứ khi nào xảy ra thay đổi quan trọng  Hỗ trợ xác định, triển khai và đánh giá các biện pháp kiểm soát AT chung

Chủ sở hữu TT: có thẩm quyền theo luật định hoặc hoạt động đối với TT cụ thể và chịu

trách nhiệm thiết lập các biện pháp kiểm soát đối với việc tạo ra, thu thập, xử lý, phổ biến, loại bỏ TT đó và có các trách nhiệm liên quan đến các kế hoạch ATTT sau:

 Thiết lập các quy tắc để sử dụng và bảo vệ thích hợp dữ liệu/TT của đối tượng (cácquy tắc hành vi)

 Cung cấp đầu vào cho chủ sở hữu HTTT về các yêu cầu AT và kiểm soát AT đối với (các) HTTT chứa TT

 Quyết định ai có quyền truy cập vào HTTT và với những loại đặc quyền hoặc quyền truy cập

 Hỗ trợ xác định và đánh giá các biện pháp kiểm soát AT chung ở vị trí TT cư trú

Cán bộ ATTT của cơ quan cấp cao: chịu trách nhiệm là người liên lạc chính của CIO với

chủ sở hữu HTTT của cơ quan và cán bộ AT HTTT:

 Thực hiện các trách nhiệm của CIO đối với việc lập kế hoạch ATTT,

 Phối hợp việc phát triển, xem xét và chấp nhận các kế hoạch ATTT với chủ sở hữu HTTT, cán bộ AT HTTT và quan chức có thẩm quyền,

 Điều phối việc xác định, thực hiện và đánh giá các biện pháp kiểm soát an toàn chung,

 Có trình độ chuyên môn, bao gồm đào tạo và kinh nghiệm, được yêu cầu để phát triển và xem xét các kế hoạch ATTT

Nhân viên ATTT là quan chức cơ quan được SAISO giao trách nhiệm, ủy quyền cho quan

chức, viên chức quản lý hoặc chủ sở hữu HTTT để đảm bảo rằng trạng thái an toàn hoạt động thích hợp được duy trì cho một HT hoặc chương trình thông tin Cán bộ ATTT có các trách nhiệm sau liên quan đến kế hoạch ATTT:

 Hỗ trợ nhân viên ATTT của cơ quan cấp cao trong việc xác định, thực hiện và đánhgiá các biện pháp kiểm soát an toàn chung,

 Đóng vai trò tích cực trong việc phát triển và cập nhật kế hoạch ATTT cũng như phối hợp với chủ sở hữu HTTT bất kỳ thay đổi nào đối với HT và đánh giá tác động

an toàn của những thay đổi đó

Cán bộ ủy quyền là quan chức quản lý cấp cao hoặc nhà điều hành có thẩm quyền

chính thức đảm nhận trách nhiệm vận hành HTTT ở mức độ rủi ro có thể chấp nhận được đối với hoạt động của cơ quan, tài sản của cơ quan và có các trách nhiệm sau liên quan đến các kế hoạch AT:

 Phê duyệt các kế hoạch AT HT

Phê duyệt kế hoạch ATTT:

 Chính sách tổ chức cần xác định rõ ai chịu trách nhiệm phê duyệt kế hoạch ATTT

và các thủ tục được phát triển để đệ trình kế hoạch, bao gồm bất kỳ ngôn ngữ ghi nhớ đặc biệt nào hoặc tài liệu khác

 do cơ quan yêu cầu

 Viên chức cấp phép được chỉ định, độc lập với chủ sở hữu HT, thường phê duyệt kếhoạch