Chương 10 Vấn đề bảo mật và kiểm soát Vấn đề bảo mật và kiểm soát các hệ thống thông tin quản lý các hệ thống thông tin quản lý Nội Dung Tính dể bị tổn thương của các HTTT: Tính dể bị tổn thương của các HTTT: • Nguyên nhân • Các quan tâm đối với người sử dụng & người xây dựng HT • Vấn đề chất lượng HT: phần mềm & dữ liệu Tạo lập môi trường kiểm soát: Tạo lập môi trường kiểm soát: • Các kiểm soát tổng quát & kiểm soát ứng dụng • Phát triển cấu trúc kiểm soát: chi phí & lợi ích • Vai trò của kiểm toán trong qui trình kiểm soát Bảo đảm chất lượng HT: Bảo đảm chất lượng HT: • các công cụ & phương pháp đảm bảo chất lượng phần mềm, • kiểm toán chất lượng dữ liệu & làm sạch dữ liệu Tính dể bị tổn thương của các HTTT  HTTT với DL lưu trữ trên các file máy tính có tiềm năng bị HTTT với DL lưu trữ trên các file máy tính có tiềm năng bị truy xuất bởi số lớn cá nhân & nhóm bên ngoài tổ chức truy xuất bởi số lớn cá nhân & nhóm bên ngoài tổ chức   DL càng tự động thì càng dể bị tổn thương bởi sự phá hủy, DL càng tự động thì càng dể bị tổn thương bởi sự phá hủy, sự gian trá, sai sót & sử dụng sai sự gian trá, sai sót & sử dụng sai  Các Cty dựa trên máy tính để xử lý các giao dịch kinh Các Cty dựa trên máy tính để xử lý các giao dịch kinh doanh quan trọng có thể ko thực hiện được các chức doanh quan trọng có thể ko thực hiện được các chức năng kinh doanh nếu họ mất khả năng sử dụng máy tính năng kinh doanh nếu họ mất khả năng sử dụng máy tính trong vài ngày. trong vài ngày. Tính dể bị tổn thương của các HTTT: Nguyên nhân  khi khối lượng lớn DL được lưu dưới dạng điện tử, chúng sẽ dể khi khối lượng lớn DL được lưu dưới dạng điện tử, chúng sẽ dể bị tổn thương từ nhiều loại đe dọa hơn DL được lưu trử thủ bị tổn thương từ nhiều loại đe dọa hơn DL được lưu trử thủ công. Các đe dọa đó là: công. Các đe dọa đó là: • Hư tổn phần cứng Hư tổn phần cứng • Hư tổn phần mềm Hư tổn phần mềm • Hành động của con người Hành động của con người • Sự thâm nhập Sự thâm nhập • Ăn cắp DL, dịch vụ, thiết bị Ăn cắp DL, dịch vụ, thiết bị • Cháy Cháy • Các vấn đề về điện Các vấn đề về điện • Các sai sót của người dùng Các sai sót của người dùng • Chương trình thay đổi Chương trình thay đổi • Các vấn đề truyền thông Các vấn đề truyền thông  Các đe dọa trên đến từ các yếu tố môi trường, tổ chức & kỹ thuật Các đe dọa trên đến từ các yếu tố môi trường, tổ chức & kỹ thuật do các quyết định quản trị tồi tệ do các quyết định quản trị tồi tệ Tính dể bị tổn thương của các HTTT: Nguyên nhân  Sự tiến bộ trong phần mềm máy tính & truyền thông đã Sự tiến bộ trong phần mềm máy tính & truyền thông đã làm tăng thêm các thương tổn này: thông qua mạng truyền làm tăng thêm các thương tổn này: thông qua mạng truyền thông, các HTTT ở ~ nơi khác nhau được kết nối với nhau thông, các HTTT ở ~ nơi khác nhau được kết nối với nhau   tiềm năng của việc truy xuất ko được cấp quyền, lạm tiềm năng của việc truy xuất ko được cấp quyền, lạm dụng, gian trá là ko giới hạn ở 1 nơi mà có thể xảy ra ở bất dụng, gian trá là ko giới hạn ở 1 nơi mà có thể xảy ra ở bất cứ điểm nào trên mạng cứ điểm nào trên mạng  Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách tường minh để được truy xuất 1 cách dể dàng bởi mọi tường minh để được truy xuất 1 cách dể dàng bởi mọi người trên các HT máy tính khác nhau người trên các HT máy tính khác nhau Tính dể bị tổn thương của các HTTT: Nguyên nhân Tính dể bị tổn thương của các HTTT: Nguyên nhân  Hacker: người truy xuất ko được cấp quyền tới 1 Hacker: người truy xuất ko được cấp quyền tới 1 mạng máy tính vì lợi nhuận, tội phạm hay ham mạng máy tính vì lợi nhuận, tội phạm hay ham thích cá nhân. Hacker dùng các cách như bom thích cá nhân. Hacker dùng các cách như bom logic, trojan horses, denial of service attack logic, trojan horses, denial of service attack  Virus máy tính: phần mềm lây lan từ HT này đến Virus máy tính: phần mềm lây lan từ HT này đến HT khác, làm nghẻn bộ nhớ máy tính hay phá HT khác, làm nghẻn bộ nhớ máy tính hay phá hủy chương trình, DL. hủy chương trình, DL.  Phần mềm Antivirus: được thiết kế để kiểm tra Phần mềm Antivirus: được thiết kế để kiểm tra HT máy tính & các đĩa có chứa các loại virus máy HT máy tính & các đĩa có chứa các loại virus máy tính tính Tính dể bị tổn thương của các HTTT: Nguyên nhân  Thảm họa: cháy, mất nguồn điện… Thảm họa: cháy, mất nguồn điện…   backup, backup, duplicate… duplicate…  Bảo mật: chính sách, qui trình & các đo lường kỹ Bảo mật: chính sách, qui trình & các đo lường kỹ thuật được dùng để tránh truy xuất ko được cấp thuật được dùng để tránh truy xuất ko được cấp quyền, sự thay đổi, trộm cắp hay sự hư hỏng vật quyền, sự thay đổi, trộm cắp hay sự hư hỏng vật lý đối với HTTT lý đối với HTTT  Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm nào trong chu kỳ xử lý từ nhập liệu, sai sót nào trong chu kỳ xử lý từ nhập liệu, sai sót chương trình, hoạt động máy tính & phần cứng chương trình, hoạt động máy tính & phần cứng Tính dể bị tổn thương của các HTTT: Các quan tâm đối với người sử dụng & người xây dựng HT Tính dể bị tổn thương của các HTTT: Các quan tâm đối với người sử dụng & người xây dựng HT Các điểm trong chu kỳ xử lý có thể xảy ra sai sót [...]... dụng   Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử dụng chương trình máy tính, & việc bảo mật của tập tin DL 1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ thông tin của tổ chức Bao gồm kiểm soát phần mềm, kiểm soát phần cứng vật lý, kiểm soát các hoạt động máy tính, kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện HT & kiểm soát quản trị Kiểm soát ứng dụng: kiểm soát cụ thể... tính Bao gồm các kiểm soát áp dụng trong lĩnh vực chức năng của HT cụ thể & qui trình được thảo chương Tạo lập môi trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng dụng Tạo lập môi trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng dụng    Kiểm soát bảo mật DL: Kiểm soát để bảo đảm tập tin DL ko bị truy xuất ko được cấp quyền, thay đổi hay phá hủy Kiểm soát quản trị: các qui định,... để bảo đảm các kiểm soát của tổ chức là được áp dụng & thi hành thích hợp 2 loại kiểm soát này đòi hỏi sự giám sát & nhập liệu từ người dùng cuối & các nhà QL Tạo lập môi trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng dụng  Kiểm soát ứng dụng bao gồm cả qui trình thủ công lẫn tự động để đảm bảo chỉ DL được cấp quyền là được xử lý 1 cách chính xác & đầy đủ bởi ứng dụng Gồm các loại: • Kiểm. .. dựng kiểm soát chặt chẻ ở mọi điểm trong chu kỳ xử lý nếu khu vực rủi ro cao nhất là bảo mật hay lợi ích do kiểm soát mang lại là ở chổ khác Kết hợp tất cả các kiểm soát phát triển cho 1 ứng dụng cụ thể sẽ xác định cấu trúc kiểm soát tổng thể Tạo lập môi trường kiểm soát: Phát triển cấu trúc kiểm soát: chi phí & lợi ích Căn cứ để xác định mức kiểm soát:  Tùy vào tầm quan trọng DL mà xây dựng kiểm soát. .. loại: • Kiểm soát nhập liệu • Kiểm soát xử lý • Kiểm soát kết xuất Tạo lập môi trường kiểm soát: Phát triển cấu trúc kiểm soát: chi phí & lợi ích     Để quyết định nên dùng kiểm soát nào, người xây dựng HTTT phải kiểm tra các kỹ thuật kiểm soát khác nhau trong tương quan giữa chúng với nhau & hiệu quả-chi phí tương đối của chúng Một kiểm soát bị yếu ở điểm nào đó có thể khắc phục bởi kiểm soát khác... vi phạm bảo mật, các chính sách & qui trình đặc biệt cần phải được kết hợp trong việc thiết kế & triển khai thực hiện HTTT  Kiểm soát: gồm các phương pháp, chính sách & qui trình tổ chức để đảm bảo sự an toàn cho tài sản của tổ chức, độ chính xác & tin cậy của các mẩu tin, & sự tuân thủ hoạt động điều hành theo các chuẩn quản trị Tạo lập môi trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng... của kiểm soát sẽ bị ảnh hưởng bởi hiệu suất, độ phức tạp & sự đắt đỏ của mỗi kỹ thuật kiểm soát  Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu ko được kiểm soát thích hợp Tạo lập môi trường kiểm soát: Vai trò của kiểm toán trong qui trình kiểm soát      để biết các kiểm soát HTTT có hiệu quả hay ko, tổ chức phải thực hiện việc kiểm toán HT Kiểm toán HTTTQL: xác định tất cả các kiểm soát. .. chi phối các HTTT & đánh giá hiệu quả của chúng để thực hiện điều này, kiểm toán viên phải hiểu xuên suốt các hoạt động điều hành, các tiện ích vật lý, truyền thông, các HT kiểm soát, các đối tượng bảo mật DL, cấu trúc tổ chức, con người, qui trình thủ công & các ứng dụng Kiểm toán viên thường phỏng vấn các cá nhân chủ chốt sử dụng & điều hành HTTT cụ thể liên quan đến các hoạt động & qui trình Kiểm toán... thử nghiệm, sử dụng, nếu cần có thể dùng phần mềm kiểm toán tự động Kiểm toán viên liệt kê & xếp hạng tất cả các điểm yếu của các kiểm soát & ước lượng xác suất xảy ra Tạo lập môi trường kiểm soát: Vai trò của kiểm toán trong qui trình kiểm soát Bảo đảm chất lượng HT: các công cụ & phương pháp đảm bảo chất lượng phần mềm      Giải pháp cho các vấn đề chất lượng phần mềm bao gồm việc sử dụng phương... thương của các HTTT: Vấn đề chất lượng HT: phần mềm & dữ liệu  phần mềm: bug & nhược điểm trong mã chương trình do độ phức tạp của mã ra quyết định / chuyển hướng ko thể xóa bỏ hoàn toàn  dữ liệu: ko chính xác, ko kịp thời, ko thống nhất với các nguồn TT khác có thể tạo các vấn đề nghiêm trọng trong điều hành & tài chánh đối với doanh nghiệp Tạo lập môi trường kiểm soát  để tối thiểu hoá các sai sót, . Chương 10 Vấn đề bảo mật và kiểm soát Vấn đề bảo mật và kiểm soát các hệ thống thông tin quản lý các hệ thống thông tin quản lý Nội Dung Tính dể bị tổn thương của các HTTT: Tính. trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng dụng Tạo lập môi trường kiểm soát: Các kiểm soát tổng quát & kiểm soát ứng dụng  Kiểm soát bảo mật DL: Kiểm soát để bảo đảm. lý, kiểm soát các hoạt động máy tính, soát phần cứng vật lý, kiểm soát các hoạt động máy tính, kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện kiểm soát bảo mật DL, kiểm soát trên