Đang tải... (xem toàn văn)
Bảng câu hỏi điều tra tổng hợp tình hình an toàn thông tin
BẢNG CÂU HỎI ĐIỀU TRA TỔNG HỢP TÌNH HÌNH AN TOÀN THÔNG TIN (ATTT) PHẦN 1: THÔNG TIN CHUNG I. THÔNG TIN VỀ ĐƠN VỊ ĐƯỢC KHẢO SÁT: 1. Tên đơn vị: ………………………………………… ………… ………….…… 2. Địa chỉ: 3. Điện thoại:……………………………………………………………………………… II. THÔNG TIN VỀ CÁN BỘ ĐIỀN PHIẾU KHẢO SÁT: 1. Họ và tên:……………………………………………………………………… 2. Chức vụ:………………………………………………………………………. 3. Bộ phận công tác:……………………………………………………………… 4. Điện thoại:………………………………………………………………….… 5. Email:………………………………………………………………………… PHẦN 2: HIỆN TRẠNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN I. Số liệu thống kê về phần mềm bản quyền tại các đơn vị: ST T Tên thiết bị Số lượng Phần mềm có bản quyền Phần mềm nguồn mở Phần mềm tự do, miễn phí khác Có bản quyền Không bản quyền Nhu cầu trong thời gian tới Hiện đang sử dụng Nhu cầu trong thời gian tới (1) (2) (3) (4) (5) (6) I Máy chủ 1 Hệ điều hành 2 Hệ quản trị cơ sở dữ liệu 3 Phần mền máy chủ ứng dụng(application server, web server, email server, groupware) 4 Phần mềm an ninh, bảo mật, công cụ quản trị mạng 5 Phần mềm khác II Máy trạm 1 Hệ điều hành 2 Microsoft office 2003 3 Microsoft office 2007 4 Phần mềm văn phòng khác 5 Phần mềm quản trị cơ sở dữ liệu (nếu có) 6 Phần mềm công cụ và ứng dụng khác (trình duyệt web, antivirus, từ điển, bộ gõ tiếng việt….) 7 Phần mềm khác III Máy sách tay 1 Hệ điều hành 2 Microsoft office 2003 3 Microsoft office 2007 4 Phần mềm văn phòng khác 5 Phần mềm hệ quản trị cơ sở dữ liệu (nếu có) 6 Phần mềm công cụ và ứng dụng khác (trình duyệt web, antivirus, từ điển, bộ gõ tiếng việt….) 7 Phần mềm khác Ghi chú: (1) Số máy tính hiện đang cài đặt và sử dụng phần mềm do mua bản quyền mà có; (2) Số máy tính hiện đang cài đặt và sử dụng phần mềm thương mại có yêu cầu bản quyền nhưng không mua bản quyền mà cài đặt, sử dụng phần mềm bẻ khóa; (3) Số máy tính có nhu cầu cài đặt và sử dụng phần mềm do mua bản quyền mà có trong thời gian tới; (4) Số máy tính hiện đang cài đặt cà sử dụng phần mềm nguồn mở; (5) Số máy tính có nhu cầu cài đặt và sử dụng phần mềm nguồn mở trong thời gian tới; (6) Số máy tính hiện đang cài đặt và sử dụng phần mềm (không phải phần mềm nguồn mở) được chủ sở hữu công bố cho sử dụng tự do, miễn phí; II: Nhận thức về ATTT 1. Hệ thống của quý vị đã từng bị tấn công mạng (Cyber Attack) hay không (tính từ 1/2011)? Không biết Không bị tấn công Có bị tấn công nhưng không rõ số lần Có bị tấn công và được theo dõi đầy đủ Chú ý : Tấn công mạng được nói đến trong Bản điều tra này có nghĩa là hành động từ trong hay ngoài tổ chức CỐ Ý PHÁ HOẠI làm suy yếu tính nguyên vẹn, bảo mật, tính khả dụng của dữ liệu, chương trình, hệ thống, hoặc khả năng lưu chuyển thông tin trong một hay nhiều máy tính. Các ví dụ tấn công được liệt kê ở câu hỏi dưới. 2. Các tấn công mà cơ quan/tổ chức của quý vị gặp phải kể từ tháng 1 năm 2011 (Có thể lựa chọn tất cả những mục thích hợp) Sự xâm nhập hệ thống từ người bên ngoài vào mạng bên trong Trang 2/11 Sự xâm nhập hệ thống từ những người bên ngoài nhưng nắm rõ bên trong (ví dụ: do nhân viên cũ còn giữ mật khẩu, …) Xâm nhập hệ thống bởi người trong tổ chức (ví dụ: từ máy để bàn bên trong mạng xâm nhập trái phép vào máy chủ, …) Hệ thống nhiễm phải trojan hay rootkit 1 (những mã độc hại - malware 2 không tự lây lan được) Hệ thống nhiễm phải virus hay worm (những mã độc hại - malware tự lây lan) Các kiểu tấn công làm suy giảm hiệu năng mạng (ví dụ: dò quét (scan) mạng với cường độ cao gây quá tải) Tấn công từ chối dịch vụ (DOS) Thay đổi diện mạo, nội dung website (trang chủ) Phá hoại dữ liệu hay hệ thống (ví dụ: cố tình xóa dữ liệu quan trọng, …) Không gặp phải tấn công nào 3. Theo quý vị những động cơ nào được nghi ngờ là nguyên nhân gây ra những hành động trên (có thể lựa chọn tất cả những mục thích hợp) Không có động cơ rõ ràng (ví dụ: kẻ tấn công tình cờ tìm thấy điểm yếu và khai thác nó) Nhằm chiếm dụng tài nguyên hệ thống để dẫn tới những cuộc tấn công nặc danh Nhằm thể hiện kĩ năng tấn công Phá hoại hệ thống có chủ đích Thù hằn cá nhân (ví dụ: nhân viên hoặc người ngoài có thù hằn cá nhân) Nhằm tạo lợi thế cạnh tranh thương mại (ví dụ: tình báo công nghiệp) Chiếm đoạt tài nguyên hệ thống của cơ quan để sử dụng cho mục đích cá nhân Tạo nguồn thu tài chính bất hợp pháp Không rõ động cơ 4. Hệ thống của quý vị có khả năng ghi nhận các hành vi thử tấn công (kể cả chưa thành công) hay không? Không Có Nếu câu trên trả lời là “có” thì hệ thống của quý vị có thể phát hiện địa chỉ IP của những hành vi đó không? Không Có 5. Các IP đó xuất hiện từ đâu nhiều hơn? Nước ngoài Trong nước Không rõ III. Bảo vệ hệ thống IT: 1 Rookit: là một phần mềm giúp tin tặc khai thác lỗi bảo mật đoạt quyền truy cập điều khiển ở cấp độ nhà quản trị trên các hệ thống bị tấn công (định nghĩa trên wikipedia tiếng việt không được chuẩn) 2 Malware: là các phần mềm làm sai chức năng chương trình ứng dụng gồm: virus, spyware, và trojan . Trang 3/11 6. Tổ chức của quý vị có quy trình thao tác chuẩn (Standard operating procedures) để phản hồi lại những cuộc tấn công máy tính hay không ? Có Không Không rõ 7. Nếu chưa có quy trình trên, quý vị có ý định hay kế hoạch xây dựng nó không ? Không Có Trong vòng 3 tháng tới Trong vòng 6 tháng tới Trong vòng 12 tháng tới Chưa rõ 8. Nếu tổ chức của quý vị bị tấn công máy tính, quý vị sẽ thông báo tin này đến ai? (chọn tất cả các mục nào có thể) Trong nội bộ phòng/trung tâm tin học Lãnh đạo cấp cao tổ chức Cơ quan cấp trên của tổ chức (nếu có) Các tổ chức hỗ trợ xử lý sự cố mất ATTT (vd: VNCERT) Cơ quan pháp luật (Công an, …) Không thông báo 9. Thường thì sau bao lâu quý vị sẽ thông báo thông tin này? Ngay lập tức Ngay trong ngày Trong vòng 1 tuần 10. Những lần bị tấn công máy tính mà đơn vị đã báo cáo cho cơ quan hữu trách chiếm bao nhiêu phần trăm trong tổng số những lần bị tấn công? 76% - 100% 51% - 75% 26% - 50% 1% - 25% 0% 11. Nếu quý vị chọn là không thông báo thông tin bị tấn công máy tính hoặc bất kỳ loại hình tội phạm máy tính nào cho các cơ quan chức năng, lý do quan trọng nhất là gì? Gây tiếng xấu cho tổ chức Ảnh hưởng lợi thế cạnh tranh Sự thiếu quan tâm của cơ quan pháp luật Không nghĩ rằng thủ phạm sẽ bị bắt Giải quyết dân sự là tốt nhất Không định dạng được rõ ràng thủ phạm tấn công (vd: worm…) Sự việc không nghiêm trọng tới mức phải thông báo Lý do khác (Vui lòng nêu rõ) Trang 4/11 12. Để đề phòng các trường hợp thiệt hại do bị tấn công máy tính, Tổ chức của quý vị có sử dụng một hình thức mua bảo hiểm nào không? Có 130 Không 131 Không rõ 132 IV. Biện pháp kỹ thuật thông dụng nhất: 13. Theo như quản trị hệ thống của tổ chức quý vị (hay chính là quý vị), tổ chức của quý vị đang sử dụng các công nghệ đảm bảo ATTT nào? Bộ lọc chống thư rác (Anti-Spam) Phần mềm chống virus (Anti-Virus) Chứng chỉ số, chữ ký số (Digital Certificate, Digital Signature) Mạng riêng ảo VPN 3 Mã hoá (Encryption) Đặt mật khẩu cho tài liệu Hệ thống phát hiện xâm nhập (IDS) trên máy chủ Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng Tường lửa (Firewall) Công cụ đánh giá tính toàn vẹn của tài liệu Sinh trắc học (Biometrics, ví dụ kiểm tra vân tay, …) Thẻ thông minh, mật khẩu dùng 1 lần (One-time-password (OTP), …) Mật khẩu có thể được sử dụng lại (Reusable password) Kiểm soát truy cập (Access Control, ví dụ thẻ ra vào phòng máy chủ, …) Lọc nội dung Web Hệ thống quản lý log file (Log Management) Hệ thống quản lý sự kiện an ninh (SIEM- Security Incident & Event Management) Hệ thống quản lý mật khẩu đặc quyền Hệ thống quản lý chống thất thoát dữ liệu (Data Loss Protection) Quản lý định danh (Identity Management) Dò quét đánh giá an ninh mạng Dò quét đánh giá an ninh ứng dụng Quản lý bản vá (Patch Management) Khác Những phương pháp khác ( chưa được nêu trên) 14. Tổ chức của quý vị đang sử dụng thiết bị firewall của hãng nào? Check Point Cisco Fortinet Juniper Khác . . . . . . . Không sử dụng 3 Mạng riêng ảo VPN: viết tắt cho Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng. Trang 5/11 15. Tổ chức của quý vị sử dụng các hệ thống phòng chống xâm nhập (IPS hoặc IDP) của hãng nào? Check Point Cisco IBM-ISS Juniper Tiping Point Khác . . . . . . . Không sử dụng 16. Tổ chức của quý vị đang sử dụng phần mềm diệt virus của hãng nào? AVG Avira BitDefender BKAV CMC Internet Security Kasperky McAfee Panda Sophos Symantec Trend Micro Khác . . . . . . . 17. Các máy tính trong mạng lan của đơn vị có được đặt lịch quét virus: khi khởi động máy hàng ngày hàng tuần hàng tháng không bao giờ khác…… 18. Để theo dõi các sự kiện an ninh mạng đã xảy ra thì một trong những kỹ thuật là sử dụng log file. Tổ chức của quý vị có sử dụng hình thức log files 4 nào không? Không Có Log file của hệ điều hành Log file của các thiết bị mạng Log file của ứng dụng Log file của các phần mềm, thiết bị an toàn mạng Khác . . . . . . . 19. Log file truy cập được giữ lại trong bao nhiêu lâu? Được lưu trữ/ Không bị ghi đè Ghi đè lên bản cũ nhất khi kích thước log file tới hạn Hơn 60 ngày 21-60 ngày 14-20 ngày 7-13 ngày 4 log files: được tạo ra bởi các thiết bị, phần mềm để ghi lại các thông tin trong quá trình hoạt động Trang 6/11 3-6 ngày Không rõ Khác (vui lòng nêu ra) . . . . . . . 20. Tổ chức của quý vị có tuân theo hoặc có ý định tuân theo những chỉ dẫn của các chuẩn ATTT nào dưói đây không? Không Có ISO/IEC 27001 5 Cobit 6 HiPAA 7 PCI 8 Common Criteria 9 Khác . . . . . . . 21. Trong thời gian tới, tổ chức của quí vị có dự kiến triển khai Hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001 không: Không có kế hoạch Chỉ triển khai ISMS và tuân thủ ISO/IEC 27001 Triển khai ISMS và tuân thủ ISO/IEC 27001 và lấy chứng nhận ISO/IEC 27001 22. Tổ chức của quý vị có Quy chế về ATTT (Security Policy) chưa? (đã được lãnh đạo phê duyệt và đưa vào áp dụng) Có Chưa có: + Sẽ xây dựng Quy chế trong thời gian tới + Chưa có ý định xây dựng Quy chế này 23. Tổ chức của quí vị có dự định thuê ngoài (out-source) các dịch vụ về đảm bảo an toàn thông tin không: Không Có: + Dịch vụ phát hiện và phòng chống virus máy tính + Dịch vụ đánh giá điểm yếu an ninh mạng + Dịch vụ đánh giá điểm yếu cho web-site + Dịch vụ tư vấn hệ thống an toàn thông tin + Dịch vụ theo dõi an toàn, an ninh mạng + Dịch vụ khác 5 ISO/IEC 27001: tiêu chuẩn đánh giá quản lý chất lượng và hệ thống an toàn an ninh thông tin doanh nghiệp do tổ chức DAS/UKAS vương quốc Anh cấp 6 CobiT có mục tiêu kiểm soát về thông tin và công nghệ liên quan 7 HIPAA: quy tắc bảo mật HIPAA tạo ra tiêu chuẩn quốc gia để bảo vệ các hồ sơ sức khỏe cá nhân và cung cấp cho kiểm soát thông tin đó. 8 PCI: là viết tắt cho Peripheral Component Interconnect, mà là một thuật ngữ được sử dụng để mô tả một giao diện kết nối phổ biến để gắn các thiết bị ngoại vi máy tính với một bo mạch chủ của máy tính, bảng mạch chính. 9 Common Criteria là một tiêu chuẩn quốc tế (IEC 15408) xác nhận bảo mật máy tính và đã phát triển có tầm quan trọng rộng rãi Trang 7/11 24. Cơ quan quý vị sử dụng thiết bị lưu trữ nào ? Ổ cứng máy chủ, máy cá nhân (DAS - Direct Attached Storage) Ổ cứng cắm ngoài, USB Flash, . Đĩa CD, DVD, . Băng từ Thiết bị lưu trữ chuyên dụng NAS (Network Attached Storage), SAN (Storage Area Network) Thiết bị khác: . . 25. Dữ liệu số ở cơ quan quý vị được bảo quản như thế nào ? Lưu trữ trên các thiết bị online Lưu trữ trên các thiết bị lưu trữ ngoài Bảo quản trong các thiết bị lưu trữ chuyên dụng hoặc kho lưu trữ chuyên dụng Hình thức bảo quản khác: . . 26. Việc sao lưu để bảo quản ở cơ quan quý vị được thực hiện như thế nào ? Hàng ngày Hàng tuần Hàng tháng Khác (Ghi rõ): . 27. Đơn vị có Website không: Có không Nếu có: • Ai là người nắm giữ tài khoản đăng nhập Website: Quản trị mạng Văn thư Chánh Văn phòng khác . • Đơn vị có cập nhật thông tin thường xuyên, chính xác, rà soát phát hiện các sai sót trên website: Có không • Đơn vị có cử cán bộ tham gia các khóa đào tạo về kỹ năng vận hành và quản trị các website: Có không 28. Đơn vị có máy chủ: Có không Nếu có: • Có cài dịch vụ Domain: Có không • Các máy client trong mạng lan có Join vào Domain: Có không 29. Đơn vị có máy tính dùng riêng cho soạn thảo văn bản mật không: Có không Nếu có: • Máy tính soạn thảo văn bản mật có được kết nối internet: Có không • Ai là người quản lý máy tính dùng để soạn thảo văn bản mật đó: Trang 8/11 Văn thư Chánh văn phòng quản trị mạng khác……… • Vị trí địa lý của máy tính dùng để soạn thảo văn bản mật: Gần của sổ. Gần của ra vào. Được giám sát nghiêm ngặt (có lực lượng trực bảo vệ ngoài giờ hành chính). Đặt tại phòng riêng, hạn chế người ra vào. 30. Đơn vị có hệ thống, thiết bị phòng cháy chữa cháy: Có. Không. Nếu có: • Vị trí đặt phương tiện, thiết bị phòng cháy chữa cháy: Trong phòng lưu trữ thông tin (phòng máy chủ, kho lưu trữ ). Tại văn phòng cơ quan. Tại phòng bảo vệ. Gần hệ thống điện tập trung. • Đơn vị có hệ thống báo cháy: Có. Không. 31. Đơn vị có sử dụng các phần mềm khóa máy tính, khóa ổ cứng, khóa thư mục: Có. Không. Nếu có: • Liệt kê các phần mềm đơn vị dùng: …………… • Hiện trạng bản quyền của các phần mềm: Phần mềm có bản quyền. Phần mềm miễn phí. Phần mềm bản quyền nhưng được crack. 32. Đơn vị có sử dụng phần mềm xóa dữ liệu hay không (phần mềm xóa dữ liệu hoàn toàn, không thể khôi phục dữ liệu bằng các phần mềm phục hồi dữ liệu) Có. Không. Nếu có: • Liệt kê các phần mềm quý vị sử dụng: 33. Hệ điều hành windows có được update các bản vá lỗi không: Có. Không. Nếu có: • Các hình thức được sử dụng: Update trực tiếp trên mạng (thông qua phần mềm hỗ trợ của Microsoft). Trang 9/11 Download bản update từ 1 máy nối mạng rồi copy trên các máy cần update V. Đào tạo nhân lực: 34. Tổ chức của quý vị có kế hoạch đào tạo về ATTT không ? Có Không 35. Tổ chức của quý vị cần đào tạo theo các nội dung nào dưới đây Cần ngay Trong vòng 1 năm Trong nhiều năm Cơ bản Đảm bảo ATTT cho dữ liệu và phần mềm ứng dụng Đảm bảo ATTT cho dịch vụ cung cấp cho người sử dụng, khách hàng Phòng chống các phần mềm độc hại (malware) Đảm bảo ATTT cho hệ thống mạng nội bộ Quản lý Quản lý ATTT cho tổ chức Xây dựng chính sách đảm bảo ATTT Phối hợp ứng cứu sự cố ATTT 36. Hình thức đào tạo nào là phù hợp nhất đối với tổ chức của quý vị Tập trung 2 – 3 ngày 4 -5 ngày Trên 5 ngày Không tập trung 1 buổi/ngày 2 – 3 buổi/tuần 37. Vấn đề khó khăn nhất quý vị gặp phải trong việc thực thi bảo vệ an toàn cho hệ thống thông tin là gì? Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTT Sự thiếu hiểu biết về an toàn thông tin trong tổ chức Việc nâng cao nhận thức cho người sử dụng về bảo mật máy tính Việc xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung với các vấn đề khác của tổ chức Việc cần thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles) Việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện Việc phản ứng nhanh và chính xác khi xảy ra những vụ tấn công máy tính Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management) Những hệ thống máy tính không được quản lý tốt Các vấn đề khác với các vấn đề nêu trên Khác (chưa được liệt kê) . . . . . . . Trang 10/11 [...]...Người Lập bảng (ký, ghi rõ họ tên) Lãnh đạo đơn vị (ký, ghi rõ họ tên và đóng dấu) Trang 11/11 . BẢNG CÂU HỎI ĐIỀU TRA TỔNG HỢP TÌNH HÌNH AN TOÀN THÔNG TIN (ATTT) PHẦN 1: THÔNG TIN CHUNG I. THÔNG TIN VỀ ĐƠN VỊ ĐƯỢC KHẢO SÁT:. thống an toàn an ninh thông tin doanh nghiệp do tổ chức DAS/UKAS vương quốc Anh cấp 6 CobiT có mục tiêu kiểm soát về thông tin và công nghệ liên quan 7
