BÁO CÁO THỰC TẬP-Quản lý rủi ro an toàn mạng máy tính

Trong tài liệu này, chúng tôi chỉ đề cập đến các chuẩn quản 2009-lý rủi ro và tầm quan trọng của chúng trong lĩnh vực đảm bảo an toàn cho mạng máy tính cóquy mô dưới 100 máy và các ví dụ

VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

BÁO CÁO KẾT QUẢ NGHIÊN CỨU

Đề tài : T2009-27 Quản lý rủi ro an toàn mạng máy tính

(Managing computer network security risks)

Hà Nội, tháng 12 năm 2009

MỤC LỤC

1 GIỚI THIỆU CHUNG 1

1.1 Mục đích 1

1.2 Phạm vi 1

1.3 Tổng quan về đề tài 2

1.3.1 Mục tiêu 2

1.3.2 Nội dung 2

1.3.3 Kết quả 2

1.3.4 Yêu cầu khoa học, kinh tế xã hội 3

1.3.5 Tiến độ thực hiện và kinh phí từng giai đoạn 3

2 KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH QUY MÔ DƯỚI 100 MÁY 4

2.1 Mục đích khảo sát 4

2.2 Nội dung khảo sát 4

2.3 Kết quả khảo sát 4

2.4 Kết luận 7

3 NGUYÊN TẮC CHUNG VÀ ĐỊNH NGHĨA XUNG QUANH KHÁI NIỆM RỦI RO 8

3.1 Các khái niệm cơ bản 8

3.1.1 Tài sản (asset) 8

3.1.2 Hủy hoại tài sản 9

3.1.3 Hậu quả mà các thực thể phải gánh chịu 9

3.1.4 Nguyên nhân không chắc chắn của việc hủy hoại tài sản 9

3.1.5 Nguy cơ (threat) 10

3.1.6 Điểm yếu (vulnerability) 10

3.2 Định nghĩa rủi ro 11

3.2.1 Định nghĩa rủi ro bằng tập khái niệm tài sản - nguy cơ hoặc tập khái niệm tài sản - nguy cơ - điểm yếu bị khai thác 11

3.2.2 Định nghĩa rủi ro bằng các kịch bản cụ thể 11

4 CÁC LỰA CHỌN CƠ BẢN ĐỂ QUẢN LÝ RỦI RO 13

4.1 Quản lý trực tiếp và chuyên biệt từng rủi ro 13

Các nguyên tắc ngầm và các điều kiện tiên quyết: 13

4.2 Quản lý tổng thể và gián tiếp nhiều rủi ro 14

Các nguyên tắc ngầm và các điều kiện tiên quyết: 14

4.3 Rủi ro và các thể loại quản lý 15

Lưu ý về mối liên quan giữa các điểm yếu và kiểu quản lý rủi ro: 15

5 NHẬN DẠNG RỦI RO 17

5.1 Nhận dạng tài sản có tính quyết định (hoặc các tài sản có tiềm năng trở thành tài sản có tính quyết định) 17

5.1.1 Cách tiếp cận thứ nhất 17

5.1.2 Cách tiếp cận thứ hai: 18

5.2 Nhận dạng các điểm yếu và các nguy cơ 19

5.3 Nhận dạng các kịch bản rủi ro 20

6 ƯỚC TÍNH CÁC RỦI RO ĐƯỢC NHẬN DẠNG 22

6.1 Ước tính rủi ro để quản lý chuyên biệt 22

6.1.1 Đánh giá hơn thiệt hoặc hậu quả của các rủi ro 22

6.1.2 Đánh giá xác suất thoát hiểm 23

6.1.3 Đánh giá hiệu quả của các biện pháp đảm bảo an toàn 24

6.1.4 Ước tính các mức độ rủi ro 25

6.1.5 Ảnh hưởng của cách định nghĩa rủi ro 26

6.2 Ước tính rủi ro để quản lý tổng thể 26

6.2.1 Ước tính hơn thiệt hoặc các hậu quả của rủi ro 26

6.2.2 Ước tính cấp độ nguy cơ 27

6.2.3 Ước tính mức độ điểm yếu 27

6.2.4 Ước tính mức độ rủi ro 28

7 ĐÁNH GIÁ CÁC RỦI RO ĐƯỢC NHẬN DẠNG 29

7.1 Đánh giá rủi ro để quản lý chuyên biệt 29

7.2 Đánh giá rủi ro để quản lý tổng thể 29

8 XỬ LÝ RỦI RO 30

8.1 Giảm trực tiếp các tình huống rủi ro nguy kịch 30

8.1.1 Giảm trực tiếp các tình huống rủi ro dựa trên cơ sở tri thức 30

8.2 Giảm gián tiếp các loại tình huống rủi ro 31

8.2.1 Biến các điểm yếu cần giảm thiểu thành các mục tiêu cần đảm bảo an toàn 33

8.2.2 Phân tích chi tiết các điểm yếu cần giảm thiểu để quyết định các thành phần cấu tạo nên chính sách đảm bảo an toàn 33

8.3 Dịch chuyển rủi ro 34

9 THÔNG BÁO RỦI RO 35

10.ĐÁNH GIÁ VÀ SO SÁNH CÁC PHƯƠNG PHÁP QUẢN LÝ RỦI RO 36

11.KẾT LUẬN 38

11.1 Kết quả đạt được 38

11.1.1 Tìm hiểu và phân tích hiện trạng công tác đảm bảo an toàn mạng tại một số cơ quan đơn vị Việt Nam 38

11.1.2 Xây dựng được tài liệu hướng dẫn quản lý rủi ro trong công tác đảm bảo an toàn cho mô hình mạng máy tính: 38

11.2 Hiệu quả của những công việc đã làm 38

11.3 Kiến nghị 39

PHỤ LỤC 1 KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH : KHUNG CÂU HỎI BẮT BUỘC 40

PHỤ LỤC 2 KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH : KHUNG CÂU HỎI TÙY CHỌN 52

1 GIỚI THIỆU CHUNG

Hiện nay, nhiều cơ quan, tổ chức, doanh nghiệp đã nhận thức được rằng an toàn thông tin làmột trong các yếu tố quyết định sự thành công khi ứng dụng công nghệ thông tin trong hoạtđộng của họ Đảm bảo an toàn thông tin không đơn thuần là việc áp dụng các biện pháp kỹthuật như mua sắm trang thiết bị, phần mềm chuyên dụng mà cần có giải pháp tổng thể liênquan đến các vấn đề quản lý, nhận thức và năng lực của người vận hành, pháp lý, v.v Tuynhiên trên thực tế, việc triển khai ứng dụng công nghệ thông tin tại bất cứ cơ quan, tổ chứchay doanh nghiệp cũng có thể gặp rủi ro, nguyên nhân chủ yếu do:

 Thiếu tài liệu hướng dẫn cụ thể

 Năng lực, nhân lực kém

 Kinh phí đầu tư hạn chế

Một hướng tiếp cận hiện đại cho phép các cơ quan, đơn vị giảm thiểu các hiệu ứng khôngmong muốn có thể xảy ra khi triển khai các biện pháp đảm bảo an toàn thông tin, nhất là cácbiện pháp đảm bảo an toàn mạng là quản lý rủi ro Có nhiều phương thức quản lý rủi ro đãđược khuyến cáo, nhưng mỗi phương thức xem xét việc quản lý rủi ro dưới một góc độ khácnhau, điều này có thể gây nhầm lẫn cho các tổ chức, cơ quan hay doanh nghiệp

1.1 Mục đích

Mục đích của tài liệu này nhằm tổng kết các kết quả nghiên cứu cho đề tài nghiên cứu cấptrường mã số 2009-T27: « Quản lý rủi ro an toàn mạng máy tính » (Managing computernetwork security risks) Nhìn chung, quản lý rủi ro giúp hạn chế hoặc giảm thiểu các rắc rốithường xẩy ra do thiếu kiểm soát việc áp dụng những thủ tục và hoạt động, hạn chế trongquản lý do dự báo kém hoặc tiếp cận chưa chính xác Do đó, tài liệu này nhằm hệ thống lại cácđịnh nghĩa quản lý rủi ro khác nhau, miêu tả các giai đoạn chính của quá trình quản lý rủi ro vàgiới thiệu thang phân tích cho các phương thức quản lý rủi ro Từ đó, khuyến cáo các cơ quan,

tổ chức, doanh nghiệp nâng cao độ an toàn cho các hệ thống mạng bằng cách:

 Áp dụng các biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro có thểxảy ra khi triển khai các biện pháp đảm bảo an toàn cho mô hình mạng máy tính

 Chủ động xây dựng các giải pháp phòng ngừa, giảm thiểu thiệt hại

1.2 Phạm vi

Tài liệu trình bày tóm tắt các kết quả nghiên cứu theo Đề cương nghiên cứu của đề tài T27 Trên nguyên tắc, quy trình quản lý rủi ro phải có lĩnh vực áp dụng rất rộng, và nó phảibao quát tất cả các thể loại rủi ro Trong tài liệu này, chúng tôi chỉ đề cập đến các chuẩn quản

2009-lý rủi ro và tầm quan trọng của chúng trong lĩnh vực đảm bảo an toàn cho mạng máy tính cóquy mô dưới 100 máy và các ví dụ đưa ra không nằm ngoài lĩnh vực này (có thể ứng dụng chotrung tâm ứng cứu khẩn cấp sự cố máy tính Việt Nam - VNCERT, bộ môn Công nghệ thông tin

và Truyền thông, các Khoa trong trường ĐH Bách khoa HN, ) Chúng tôi cũng xin phépkhông bình luận về những điểm mạnh và điểm yếu của từng phương pháp quản lý rủi ro khi sửdụng chúng như những công cụ quản lý an toàn thông tin trong những bối cảnh cụ thể

1.3 Tổng quan về đề tài

1.3.1 Mục tiêu

Nâng cao độ an toàn cho các hệ thống mạng bằng cách:

 Áp dụng các biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro có thểxảy ra khi triển khai các biện pháp đảm bảo an toàn cho mô hình mạng máy tính

 Chủ động xây dựng các giải pháp phòng ngừa, giảm thiểu thiệt hại

Sau quá trình nghiên cứu, chúng tôi đã hoàn thiện:

Tài liệu hướng dẫn quản lý rủi ro trong công tác đảm bảo an toàn cho mô hình mạng máy tính

có quy mô dưới 100 máy

Tài liệu này hướng dẫn cách áp dụng các phương pháp quản lý các rủi ro khác nhau theo trình

tự sau đây:

1 Nhận dạng các tình huống rủi ro: Các tiến trình nhận dạng tình huống rủi ro có thể baohàm luôn cả việc quản lý rủi ro Chúng có thể được định hướng theo các chiến lượchoặc theo các mục tiêu cơ bản của thực thể (cơ quan, tổ chức, doanh nghiệp hay quátrình phát triển) Trong trường hợp ngược lại, chúng có thể không được công nhận ởmức độ hoạt động hoặc ở mức độ kỹ thuật Theo các cách định hướng này, không tồntại một phương pháp định nghĩa rủi ro kiểu trung dung

2 Lựa chọn phương thức quản lý rủi ro: Có thể quản lý rủi ro theo một trong hai phươngthức sau:

i Phân tích các tình huống rủi ro được nhận dạng và đưa ra các quyết định đặcthù và thích nghi với từng tình huống cụ thể Phương thức ra quyết định nàybao hàm luôn toàn bộ qui trình quản lý rủi ro

ii Phân tích một cách tổng quát các tình huống rủi ro nhằm xác định các mục tiêu

và các phương hướng đảm bảo an toàn riêng, điều này cho phép giảm thiểu rủi

ro nói chung Phương thức này không đi sâu vào quản lý trực tiếp từng rủi ro

và ít khi bao hàm toàn bộ qui trình quản lý rủi ro

Phương thức quản lý rủi ro (i) đòi hỏi một mô hình cho phép phân tích được rủi ro, cònphương thức quản lý (ii) không cần đến một mô hình như vậy Hai phương thức quản

lý rủi ro khác nhau dẫn đến các bước khác nhau của tiến trình quản lý rủi ro Sự khácnhau tại mỗi giai đoạn của tiến trình này sẽ được trình bày chi tiết trong tài liệu này

i Các cơ sở tri thức, kể cả các chuyên gia cũng được coi là các cơ sở tri thức.

ii Các công cụ kiểm tra nghe ngóng

iii Các công cụ mô phỏng mức độ rủi ro mắc phải dựa trên các biện pháp đảmbảo an toàn đã chọn

iv Các công cụ theo dõi ngoài lề, v.v

Nên lựa chọn các công cụ có khả năng tùy biến trong từng hoàn cảnh cụ thể

a) Bảng các câu hỏi cho phép khảo sát hiện trạng quản lý rủi ro an toàn mạng tại một số cơ

quan đơn vị tại Việt Nam

Dựa trên kết quả trả lời các câu hỏi trong bảng khảo sát và dựa vào hướng dẫn quản lý rủi rotrong công tác đảm bảo an toàn cho mô hình mạng máy tính có quy mô dưới 100 máy, các cơquan, tổ chức, doanh nghiệp có thể đưa ra các biện pháp quản lý chặt chẽ, khoa học theohướng giảm thiểu rủi ro khi triển khai các biện pháp đảm bảo an toàn cho mô hình mạng máytính

1.3.4 Yêu cầu khoa học, kinh tế xã hội

 Về mặt khoa học: Quản lý rủi ro trong an toàn thông tin là hướng tiếp cận hiện đại chophép các cơ quan, đơn vị giảm thiểu các hiệu ứng không mong muốn có thể xảy ra khitriển khai các biện pháp đảm bảo an toàn thông tin, nhất là các biện pháp đảm bảo antoàn mạng

 Về mặt kinh tế: Hướng tiếp cận này cho phép các thực thể (đơn vị, cơ quan, ) khốngchế một cách chủ động các rủi ro cũng như chấp nhận thực tiễn là không thể và khôngnhất thiết phải loại bỏ hoàn toàn rủi ro Tối ưu hóa việc đầu tư kinh phí tính đến vai tròcủa các biện pháp quản lý chuyên biệt của từng thực thể như nhân lực, quy trình, nhậnthức, theo hướng giảm thiểu rủi ro có thể xảy ra

1.3.5 Tiến độ thực hiện và kinh phí từng giai đoạn

o STT Nội dung từng bước o Thời gian

thực hiện Người thực hiện Kinh phí

toàn mạng tại một số cơ

quan đơn vị tại Việt Nam

4/2009 - 6/2009

Vũ Thị Hương Giang, ĐH BK HN

Lê Quốc, ĐH BK HNPhạm Văn Đồng, học viên cao học lớp CNTT 2008 ĐH BK HN

3.000.000đồng

3 Xây dựng hướng dẫn quản lý

rủi ro trong công tác đảm

bảo an toàn cho mô hình

mạng máy tính

4/2009 - 8/2009

Vũ Thị Hương Giang, ĐH BK HNCao Tuấn Dũng, ĐH BK HN

4.000.000đồng

4 Tổng hợp và hoàn thiện báo

cáo kết quả thực hiện đề tài

nghiên cứu

8/2009 - 11/2009

Vũ Thị Hương Giang, ĐH BK HNNguyễn Văn Duy, học viên cao học lớp CNTT 2009 ĐH BK HN

3.000.000đồng

5 Hội thảo và nghiệm thu 12/2009 Vũ Thị Hương Giang, ĐH BK HN

2 KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH QUY MÔ DƯỚI 100 MÁY

2.1 Mục đích khảo sát

Nhằm đánh giá thực trạng quản lý rủi ro an toàn mạng máy tính của các tổ chức ứng dụngcông nghệ thông tin vào các hoạt động kinh doanh Trên cơ sở đó nghiên cứu tính khả thi vàxây dựng hướng dẫn quản lý rủi ro trong công tác đảm bảo an toàn cho mô hình mạng máytính áp dụng dưới 100 máy

2.2 Nội dung khảo sát

Khảo sát được thực hiện dựa trên bảng câu hỏi tập trung vào các khía cạnh chính sau đây:

1 Chính sách an toàn thông tin của cơ quan, tổ chức hay doanh nghiệp

2 Các sự cố an toàn thông tin

3 Hoạt động đảm bảo an toàn thông tin

4 Trách nhiệm và quyền hạn thực hiện các biện pháp đảm bảo an toàn thông tin

5 Sở hữu tài sản an toàn thông tin

6 Các dịch vụ tiện ích về an toàn thông tin

7 Các mức độ đảm bảo an toàn thông tin

8 Theo dõi kiểm kê, ghi chép tài sản

9 Hệ thống phân loại thông tin

10 Phổ biến kiến thức về an toàn thông tin

11 Vành đai an toàn thông tin

12 Các tiêu chí đánh giá rủi ro an toàn thông tin

13 Kiểm soát các hệ thống an toàn thông tin

14 Nhận thức về an toàn thông tin

15 Mức độ cân đối giữa chi phí đảm bảo an toàn thông tin và các chi phí hoạt động của cơquan, tổ chức hay doanh nghiệp

Bảng câu hỏi khảo sát bao gồm 80 câu hỏi bắt buộc (xem phụ lục 1 : Khung câu hỏi bắt buôc khảo sát thực trạng quản lý rủi ro an toàn mạng máy tính) và 60 câu hỏi tùy chọng (xem phụlục 2 : Khung câu hỏi tùy chọn - khảo sát thực trạng quản lý rủi ro an toàn mạng máy tính).Các câu hỏi này sẽ tiếp tục được bổ sung và hoàn thiện trong các nghiên cứu tiếp theo

-2.3 Kết quả khảo sát

Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách quản lý rủi

ro an toàn mạng của các cơ quan, tổ chức và doanh nghiệp (gọi chung là thực thể)

lý vẫn tỏ ra thờ ơ Điều này được thể hiện qua việc khảo sát hiện trạng quản lý rủi ro an toànmạng máy tính như sau:

1 Chính sách an toàn thông tin của cơ quan, tổ chức hay doanh nghiệp : nhìn chung các

cơ quan, tổ chức hay doanh nghiệp được khảo sát đã triển khai các biện pháp và chínhsách phòng chống thâm nhập, tân công qua web, phát tán thư rác, … Tuy nhiên, hâunhư chưa có các cuộc hội thảo, phát tài liệu cho mỗi người trong đơn vị về chính sách

an toàn cũng như chưa có một chính sách rõ ràng đối với việc sử dụng thư điện tử,quản lý kiểm soát thông tin chia sẻ… do đó rất ít người hiểu được mục đích, ý nghĩa vềchính sách an toàn

2 Các sự cố an toàn thông tin: kết quả khảo sát thể hiện sự đa dạng về các sự cố antoàn thông tin mà các cơ quan, tổ chức hay doanh nghiệp gặp phải

3 Hoạt động đảm bảo an toàn thông tin: kết quả khảo sát thể hiện sự đa dạng về cáchoạt động đảm bảo an toàn thông tin được áp dụng trong các cơ quan, tổ chức haydoanh nghiệp, tuy nhiên hiệu quả của các hoạt động này là chưa rõ ràng

4 Trách nhiệm và quyền hạn thực hiện các biện pháp đảm bảo an toàn thông tin: nhìnchung chưa xác định rõ ràng trách nhiệm của người quản lý về việc đảm bảo an toànthông tin, trách nhiệm đối với tất cả tài sản và các hoạt động an toàn liên quan, tráchnhiệm của người sở hữu tài sản thông tin đối với việc phân loại, các vai trò và tráchnhiệm an toàn đã được tài liệu hóa, nhận thức của nhân viên về trách nhiệm của mìnhtrong việc không gây hại cho công ty qua sử dụng email, …

5 Sở hữu tài sản an toàn thông tin: các tài sản thông tin (tệp dữ liệu, mạng không dây,v.v.) và tiến trình an toàn đã có người sở hữu, các yêu cầu an toàn đối với việc bảo vệcác thiết bị chung đã được xác định, …

6 Các dịch vụ tiện ích về an toàn thông tin: Các tiện ích mới chỉ được giới thiệu sau khingười quản lý thích hợp thông qua, các vấn đề liên quan đến an toàn và thương mạicủa các hệ thống văn phòng điện tử đã được xem xét, các tiện nghi lựa chọn chưa bịhạn chế đến các mục riêng biệt của người dùng, có các đường truyền riêng chuyên biệthay một mạng để đảm bảo cho nguồn các kết nối, chưa có các cổng an toàn đã đượccài đặt giữa các mạng máy tính để kiểm soát truy cập và các luồng thông tin, chưa đặtcác cổng mạng máy tính để lọc luồng thông tin qua mạng như là dùng các bảng haycác quy tắc đã xác định trước, chưa có các tiện nghi tính toán có được sử dụng vớimục đích kinh doanh của nó, song song với việc quản lý quyền hạn thích hợp, …

7 Các mức độ đảm bảo an toàn thông tin: Tất cả các mức quyền hạn chưa được xác định

và tài liệu hóa, cần cấp quyền hạn đối với việc sử dụng các tiện nghi xử lý thông tin cánhân trong thông tin kinh doanh, các tài sản chưa được xác định rõ ràng, đã có quyền

sở hữu đối với mỗi tài sản và sự phân loại an toàn của nó đã được thống nhất và tàiliệu hóa cùng với vị trí hiện tại của tài sản, các thiết bị thẩm định quyền thích hợp chưađược sử dụng để kiểm soát truy cập vật lý, nhân viên phát triển chỉ có quyền truy cậpđến các hệ thống sẵn sàng để dùng khi họ được cung cấp các mật khẩu đặc biệt, vàcác mật khẩu đó có được thay đổi ngay sau đó, chưa sử dụng đánh giá rủi ro để xácđịnh phương pháp phù hợp nhất đối với việc thẩm định quyền

8 Theo dõi kiểm kê, ghi chép tài sản: Những người dùng chưa được yêu cầu ghi chép vàbáo cáo các điểm yếu an toàn ngay lập tức, đã có rút ra bài học kinh nghiệm từ các sự

cố đã xảy ra để tránh các sự cố và hạn chế tác hại của nó trong tương lai, sự sử dụng

của các tài nguyên chính của hệ thống đối với các dịch vụ máy tính lớn chưa được theodõi, tất cả các lỗi chưa được báo cáo đầy đủ cũng như các hành động sửa chữa đượcthực hiện, tất cả các lỗi được báo cáo bởi người dùng về các vấn đề của xử lý thông tinhay các hệ thống truyền thông chưa được ghi lại, chưa có các kiểm soát đặc biệt đượcthiết lập để bảo vệ dữ liệu truyền qua các mạng công cộng, và để bảo vệ các hệ thốngkết nối, chưa có các kiểm soát trên xác định tất cả các yêu cầu về độ tin cậy, tính toànvẹn và sẵn dùng của thông tin và các dịch vụ trên mạng, tất cả các quyền truy cậpkhông được kiểm tra thường xuyên về tính dư thừa của các ID và các tài khoản ngườidùng, mật khẩu không bao giờ được lưu giữ tại hệ thống máy tính theo dạng khôngbảo vệ, …

9 Hệ thống phân loại thông tin: Chưa phát triển một hệ thống phân loại thông tin để xácđịnh các mức bảo vệ tương ứng, chưa có lược đồ phân loại thông tin để nắm bắt đượccác nhu cầu kinh doanh về chia xẻ và hạn chế quyền truy cập đến thông tin, thông tin

có thể được dán nhãn dựa vào mức độ quan trọng về kinh doanh của nó, giản đồ phânloại là dễ dàng để hiểu đối với tất cả các nhân viên, chưa có giản đồ phân loại chophép phân loại theo độ tin cậy, tính toàn vẹn và sẵn dùng của tài sản, …

10 Phổ biến kiến thức về an toàn thông tin: Các nhân viên và những người sử dụng bênthứ 3 chưa được huấn luyện đầy đủ để sử dụng các tiện nghi xử lý thông tin và các góiphần mềm một cách chính xác, chỉ có rất ít nhân viên hiểu cách thức bảo vệ tránh cáccuộc tấn công vào thư điện tử, các nhân viên chưa biết cần phải làm gì để bảo vệ cácphần đính kèm trong thư điện tử, các người dùng nhận được một văn bản về cácquyền truy cập của họ, tất cả người dùng được truyền đạt rằng họ không nên chia xẻcác mật khẩu riêng, tất cả người dùng được am hiểu về việc log-off máy tính, cácphiên hay mạng máy tính khi phiên làm việc kết thúc, người dùng chưa được hướngdẫn để an toàn máy tính cá nhân hay các cổng khỏi việc sử dụng trái phép bằng cáchkhóa mã hay bằng một kiểm soát tương tự, …

11 Vành đai an toàn thông tin: Vành đai an toàn chưa được xác định rõ ràng (phạm vi antoàn rộng hay hẹp, mức độ an toàn cao hay thấp), Mạng máy tính chưa được giới hạnbởi thiết lập các domain vật lý riêng biệt, …

12 Các tiêu chí đánh giá rủi ro an toàn thông tin: Chưa sử dụng các tiêu chí đánh giá rủi

ro để xác định phương pháp phù hợp nhất đối với việc thẩm định quyền, các kỹ thuật

và phương pháp khác nhau đã chưa được xem xét đối với việc thẩm định quyền ngườidùng, các tiêu chí chấp nhận đối với các hệ thống thông tin mới, nâng cấp, hay phiênbản mới chưa được thiết lập, …

13 Kiểm soát các hệ thống an toàn thông tin: Các truy cập đến các cổng chẩn đoán chưađược kiểm soát an toàn, các cổng vào ra chưa được định cấu hình để lọc đường truyềngiữa các domain và để chặn các truy cập trái phép, sự chuyển đổi địa chỉ mạng chưađược xem xét để chia tách mạng, và để ngăn chặn router mạng truyền thông tin theocách không kiểm soát, tất cả người dùng đã có định danh duy nhất (ID) đối với sửdụng riêng tư do đó tất cả các hoạt động có thể được theo dõi theo trình tự với mỗingười dùng, hệ thống quản lý mật khẩu chưa hoạt động hiệu quả, bảo đảm chất lượngcủa mật khẩu, hệ thống quản lý mật khẩu không hiển thị mật khẩu trong quá trìnhnhập mật khẩu, các nhân tố rủi ro sau đây chưa được xem xét như độ quan trọng của

nối với nhau Truy cập từ xa tới các thông tin thương mại thông qua mạng công cộngchỉ được cho phép khi xác minh thành công, và với kỹ thuật kiểm soát truy cập hợp lýđược áp dụng, đã xem xét đến sự bảo vệ của các khóa công cộng (mật khẩu vào mạngkhông dây, mật khẩu mặc định của email công ty …), …

14 Nhận thức về an toàn thông tin: Người dùng đã nhận thức được rằng các trang thiết bịquan trọng, hay các thông tin kinh doanh cốt yếu không nên để không chú ý, và tốtnhất là nên khóa an toàn vật lý Tuy nhiên, người dùng chưa nhận thức về việc tăngrủi ro bởi chia xẻ thông tin và tương kết mạng,

15 Mức độ cân đối giữa chi phí đảm bảo an toàn thông tin và các chi phí hoạt động của cơquan, tổ chức hay doanh nghiệp : Chưa có các tiêu chí về việc chia tách của các mạngchú trọng vào giá cả và các tác động thực thi

16 Kiểm kê tài sản định kỳ: Có bảng kiểm kê các tài sản quan trọng liên kết với mỗi hệthống thông tin đã phát triển và duy trì Tuy nhiên, mỗi tài sản đều được xác định rõràng, bảng kiểm kê tài sản bao gồm các loại tài sản khác nhau, như là thông tin vềphần mềm, tính vật lý và dịch vụ của tài sản, cũng như là tài sản không hữu hình nhưhình ảnh và danh tiếng của tổ chức, …

2.4 Kết luận

Kết quả khảo sát nêu ở phần trên cho thấy rủi ro trên phương diện đảm bảo an toàn thông tintại các cơ quan, tổ chức và doanh nghiệp là rất lớn Việc xây dựng hướng dẫn quản lý rủi rotrong công tác đảm bảo an toàn cho mô hình mạng máy tính áp dụng dưới 100 máy là rất cầnthiết, phù hợp với nhu cầu của đại đa số các cơ quan, tổ chức hay doanh nghiệp được khảosát

3 NGUYÊN TẮC CHUNG VÀ ĐỊNH NGHĨA XUNG QUANH KHÁI NIỆM RỦI RO

Trước khi nói về quản lý rủi ro, tài liệu này làm rõ khái niệm rủi ro Cách định nghĩa này hơikhác với cách định nghĩa rủi ro trong các phương thức khác Nó dựa trên một số các khái niệmđược các phương thức này tham chiếu đến một cách nhất quán, sau đó mới hướng tới sự khácbiệt và các khoảng cách có tính chất quyết định giữa các phương thức

3.1 Các khái niệm cơ bản

Rủi ro đến từ việc một thực thể (tổ chức, cơ quan hay doanh nghiệp) sở hữu một số tài sản(vật thể hoặc phi vật thể) Các tài sản này có thể bị mất phẩm chất, hủy hoại hoặc thiệt hại và

do đó thực thể liên quan phải chịu hậu quả Rủi ro được định định nghĩa thông qua các kháiniệm sau:

 Tài sản của thực thể (trong lĩnh vực an toàn thông tin)

 Việc hủy hoại hay làm mất phẩm chất tài sản

 Hậu quả thực thể phải gánh chịu

 Nguyên nhân (không chắc chắn) có thể gây thiệt hại, làm mất phẩm chất hoặc hủyhoại tài sản

3.1.1 Tài sản (asset)

Một cách tổng quát, khái niệm tài sản dùng để chỉ một phần tử có giá trị hoặc cái được cái mấtcủa một thực thể Khái niệm tài sản được định nghĩa và chú thích rất rõ trong bộ tài liệu chuẩnISO/IEC 27000 Bộ tài liệu này chủ yếu nhằm định nghĩa các rủi ro trong lĩnh vực an toànthông tin Tuy nhiên, khái niệm tài sản lại không được nhắc đến trong các bộ tài liệu chuẩntổng quát hơn như là cẩm nang ISO 73 hay chuẩn ISO 31000

Trong tài liệu này, khái niệm tài sản được hiểu là tài sản vật thể và phi vật thể của các thựcthể (cơ quan, tổ chức hay doanh nghiệp) cũng như các bất động sản của các thực thể này.Tổng quát hơn, tài liệu này coi tài sản như là tất cả các phần tử có giá trị và cái được cái mấtcủa thực thể Cũng trong lĩnh vực an toàn thông tin, chuẩn ISO/IEC 27005 phân biệt:

 Tài sản sơ cấp hay còn gọi là tài sản cơ bản, được hiểu là:

Định nghĩa này phù hợp với các khái niệm nêu ra trong các phương thức quản lý rủi ro khácnhau.

3.1.2 Hủy hoại tài sản

Tùy theo cách hủy hoại tài sản, các rủi ro khác nhau sẽ dẫn đến các hậu quả khác nhau.Những tài sản được phân loại khác nhau sẽ bị hủy hoại theo những cách khác nhau Như vậy

có bao nhiêu cách hủy hoại thông tin có thể dễ dàng liệt kê ra (như thông tin không sẵn dùng,mất tính toàn vẹn, lộ bí mật hoặc mất phẩm chất, số cách hủy hoại thông tin này thườngkhông nhiều) thì có bấy nhiêu cách hệ thống hóa phân loại chuẩn cho những tài sản như tiếntrình hoặc một số tài sản nền

3.1.3 Hậu quả mà các thực thể phải gánh chịu

Trong chuẩn ISO/IEC 27005, các kiểu mất phẩm chất thông tin không được liệt kê rõ ràng vìchuẩn này không phân biệt các hậu quả mà một thực thể (tổ chức, cơ quan hay doanh nghiệp)phải gánh chịu Tài liệu này phân biệt rõ các kiểu hậu quả sau:

 Hậu quả sơ cấp hoặc hậu quả trực tiếp, do sự mất phẩm chất của tài sản hoặc việc hủyhoại tài sản gây ra

 Hậu quả thứ cấp hoặc hậu quả gián tiếp, do các tiến trình thực hiện hoặc do các hành

vi của thực thể gây ra

Bản chất của các hậu quả này rất khác nhau, phụ thuộc vào kiểu thực thể như các tổ chứcthương mại, các cơ quan đoàn thể nhà nước hay các tổ chức phi lợi nhuận, v.v Điều quantrọng cần xem xét ở giai đoạn này là phải đánh giá được các hậu quả từ góc độ các thực thểchứ không phải đánh giá các hậu quả từ góc độ các hệ thống thông tin hoặc từ góc độ cácthang phân tích kỹ thuật Hơn nữa, việc đánh giá rủi ro phải bao gồm cả việc đánh giá các tácđộng trên cơ cấu hủy hoại tài sản liên quan, cũng như việc đánh giá các tác động trên cơ cấulàm mất phẩm chất của tài sản liên quan

3.1.4 Nguyên nhân không chắc chắn của việc hủy hoại tài sản

Định nghĩa rủi ro thường bao hàm tham chiếu đến nguyên nhân hoặc kiểu nguyên nhân, thựcchất là không chắc chắn, có thể làm mất phẩm chất của tài sản hay hủy hoại tài sản Cẩmnang ISO 73 nói tới các sự kiện gợi lên các nguyên nhân này:

 Nếu có một hành động hoặc một sự kiện không chắc chắn gợi lên một tình huống rủi

ro thì sẽ có rủi ro Rủi ro này là một sự hủy hoại hay mất phẩm chất thực sự của tài

sản liên quan, chứ không phải là:

o Sự ghi nhận hủy hoại hay sự ghi nhận mất phẩm chất của tài sản liên quan

o Sự chắc chắn là tài sản liên quan bị mất phẩm chất hoặc bị hủy hoại

 Đánh giá rủi ro ở đây phải hiểu là đánh giá xác suất xảy ra một hành động hay sự kiệnnhư thế

Khái niệm nguyên nhân (cause) sử dụng trong tài liệu này đề cập đến những thứ dẫn tới sựhủy hoại hoặc mất phẩm chất thực sự của tài sản Nó bao gồm khái niệm nguyên nhân trựctiếp (tương đương với khái niệm sự kiện (event) được đề cập đến trong cẩm nang ISO 73) vàkhái niệm nguyên nhân gián tiếp (tương đương với khái niệm nguồn (source) được đề cập đếntrong cẩm nang ISO 73)

3.1.5 Nguy cơ (threat)

Các chuẩn ISO/IEC 2700x trình bày các rủi ro của các hệ thống thông tin, tham chiếu đến kháiniệm nguy cơ Theo chuẩn ISO/IEC 27005, nguy cơ gây ra tổn thất cho các tài sản như thôngtin, tiến trình hoặc các hệ thống Do đó nó gây ra tổn thất cho các thực thể như cơ quan, tổchức hay doanh nghiệp Thoạt nhìn, khái niệm nguy cơ có vẻ gần giống với khái niệm nguyênnhân đã nói đến ở phần trên Thực tế là hai khái niệm khác nhau Khái niệm nguy cơ có thểbao hàm các khía cạnh rất khác nhau, đặc biệt là:

 Các sự kiện hoặc các hành động có thể làm xuất hiện rủi ro (Ví dụ như một tai nạn,một đám cháy, một vụ trộm phương tiện thông tin, v.v.)

 Các sự kiện hoặc các phương thức hoạt động có thể làm xuất hiện rủi ro, dù chúngkhông phát động rủi ro (Ví dụ như lạm dụng quyền truy cập, thủ đắc trái phép quyềntruy cập hay mạo danh)

 Các hiệu ứng đặc trưng và có ý nghĩa của nguyên nhân không xác định được (Ví dụnhư sự bão hòa của hệ thống thông tin)

 Các cách xử sự (Ví dụ như sử dụng trái phép các thiết bị) mà bản thân nó không làmxuất hiện rủi ro

Từ các ví dụ này có thể suy ra là các nguy cơ không liên quan chặt chẽ đến các nguyên nhâncủa rủi ro, nhưng các loại nguy cơ cho phép xác định các hình thái của rủi ro

3.1.6 Điểm yếu (vulnerability)

Để phân tích rủi ro, đôi khi người ta sử dụng khái niệm điểm yếu Tổng quát hơn, khái niệmnày được sử dụng khi chúng ta đề cập đến tính an toàn của các hệ thống thông tin Khái niệmđiểm yếu không được nhắc tới trong các chuẩn thông dụng về quản lý rủi ro như cẩm nangISO 73 nhưng lại được nhắc tới nhiều trong một số phương pháp quản lý rủi ro

Khái niệm điểm yếu được định nghĩa theo một trong hai cách sau:

1 Từ góc độ ngôn ngữ học, điểm yếu được định nghĩa như một đặc tính của hệ thống,của đối tượng hay của tài sản tiềm ẩn nguy cơ Như vậy, nếu ta nói đến một tài liệuđánh máy hay viết tay, và nếu nguy cơ là trời mưa hoặc tổng quát hơn là thời tiết thấtthường, những điểm yếu của nó có thể là: nhòe mực, giấy ẩm, long bìa

2 Từ góc độ các tiến trình đảm bảo an toàn cho các hệ thống thông tin và từ góc độ cáckhiếm khuyết của các hệ thống thông tin, quan sát các điểm yếu sẽ hữu ích hơn Nhưvậy, một điểm yếu có thể được định nghĩa như một khiếm khuyết hay một lỗi của cácthiết bị đảm bảo an toàn; các khiếm khuyết và lỗi này có thể được tận dụng bởi mộtnguy cơ tiềm ẩn của hệ thống, đối tượng hay tài sản Trong ví dụ đã nêu ở trên, việckhông có thiết bị bảo vệ tài liệu chống lại sự thay đổi thời tiết là một điểm yếu có thể

bị khai thác

Quan điểm này cho phép hình thành một cấu trúc phân cấp cho các điểm yếu Trong thực tế,tất cả các giải pháp đảm bảo an toàn thông tin đều có điểm yếu, và do đó tất cả các giải phápnhằm giảm thiểu các điểm yếu về an toàn thông tin đều có điểm yếu riêng của chúng

Lấy ví dụ về hiện tượng long bìa tài liệu giấy, có thể đưa ra giải pháp ban đầu là cất nó ở mộtchỗ trong văn phòng để tránh các hiệu ứng thời tiết thất thường Như vậy, chỉ còn lại các điểm

 Ống dẫn nước trong tòa nhà bị hỏng

 Quên không cất tài liệu vào đúng chỗ hoặc chỗ cất tài liệu vẫn chịu ảnh hưởng của cáchiệu ứng thời tiết thất thường

 Hệ thống phun mưa chống cháy tự nhiên hoạt động, v.v

Như vậy, hai quan điểm về điểm yếu nêu trên không tương đương nhau, và chúng rất có ích

để xem xét các điểm yếu từ các góc độ khác nhau

3.2 Định nghĩa rủi ro

Các phương thức quản lý rủi ro khác nhau đưa ra nhiều cách định nghĩa rủi ro khác nhaunhưng đều xuất phát từ các khái niệm chung kể trên Các định nghĩa này thường tương thíchvới các tài liệu chuẩn về an toàn thông tin Định nghĩa rủi ro cần chỉ rõ các thành phần hợpthành rủi ro; các thành phần này sẽ can dự vào tiến trình nhận dạng và ước lượng rủi ro Địnhnghĩa kiểu này gọi là định nghĩa hình thức của khái niệm rủi ro nói chung Các phương thứcquản lý rủi ro hiếm khi đưa ra định nghĩa hình thức của rủi ro Những định nghĩa mà chúng ta

có thể hệ thống lại được xếp thành hai loại chính:

 Các định nghĩa rủi ro dựa trên khái niệm nguy cơ, nguy cơ này có thể liên quan hoặckhông liên quan tới các điểm yếu

 Các định nghĩa rủi ro dựa trên khái niệm kịch bản

3.2.1 Định nghĩa rủi ro bằng tập khái niệm tài sản - nguy cơ hoặc tập khái niệm tài

sản - nguy cơ - điểm yếu bị khai thác

Rủi ro có thể được định nghĩa như sau: Rủi ro là giao của tài sản và nguy cơ làm thiệt hại tàisản đó Các phương thức quản lý rủi ro sử dụng định nghĩa này thường cung cấp một hệ thốngcác kiểu nguy cơ Định nghĩa rủi ro trong một số phương thức có thể bao hàm định nghĩa một

số điểm yếu bị khai thác bởi các nguy cơ Quan điểm này dựa trên ý tưởng là nếu không cócác điểm yếu có thể bị khai thác thì không có rủi ro Như vậy, rủi ro được định nghĩa lại nhưsau: Rủi ro là giao của tài sản, nguy cơ làm thiệt hại tài sản đó và các điểm yếu bị khai thácbởi các nguy cơ nhằm làm thiệt hại tài sản đó

Các định nghĩa về rủi ro này dẫn tới khái niệm kiểu rủi ro (risk type) Khái niệm này phát sinh

từ các kiểu nguy cơ, kiểu tài sản và đôi khi kiểu điểm yếu Đây chính là một quan điểm tĩnh vềrủi ro, theo nghĩa là không xét thuộc tính thời gian của các sự kiện, các nguyên nhân cũng nhưcác hậu quả và không cho phép miêu tả trình tự của các phần tử này

3.2.2 Định nghĩa rủi ro bằng các kịch bản cụ thể

Một định nghĩa khác về rủi ro nói rằng sự thiệt hại về tài sản và sự miêu tả tình tiết xảy ra sựthiệt hại về tài sản phải được nhắc tới trong định nghĩa rủi ro Khái niệm tình tiết(circonstance) bao trùm các khái niệm sau đây:

 Địa điểm (Ví dụ như hành động ăn trộm phương tiện thông tin tại một trụ sở nào đó)

 Thời gian (Ví dụ như vụ trộm này xảy ra trong hay ngoài giờ hành chính)

 Tiến trình hoặc giai đoạn của tiến trình (Ví dụ như thay đổi các tệp tin khi tiến hànhbảo dưỡng máy tính)

Định nghĩa rủi ro trở thành: Rủi ro là giao của tài sản, kiểu thiệt hại về tài sản và các tình tiếtxảy ra thiệt hại về tài sản.

Cũng có thể dùng khái niệm nguy cơ để định nghĩa rủi ro Khi đó nguy cơ miêu tả tổng quátcác kiểu tình tiết khi rủi ro có thể cụ thể hóa Tình tiết sẽ được định nghĩa bằng:

 Nguy cơ chung miêu tả một hệ thống các loại tình tiết

 Các tình tiết đặc biệt xác định một nguy cơ chung

Trong thực tế, định nghĩa này dẫn đến việc định nghĩa các tình huống rủi ro hay còn gọi là cáckịch bản rủi ro Chúng miêu tả đồng thời các thiệt hại về tài sản cũng như khung cảnh xảy rathiệt hại về tài sản Quan điểm này về rủi ro thực ra chính là quan điểm của cẩm nang ISO 73.Trong cẩm nang này, rủi ro được định nghĩa như các nguồn gây nguy hiểm hay các hiện tượngnguy hiểm (chính là khái niệm tình tiết), các hành động khơi mào rủi ro và các hậu quả Đây làquan điểm động về rủi ro, trong đó yếu tố thời gian có thể được xét tới, như vậy có thể phânbiệt các hành động theo các giai đoạn khác nhau của một kịch bản rủi ro Quan điểm động nàycho phép miêu tả và xét đến trình tự của các sự kiện, nguyên nhân hay kết quả

Chuẩn ISO/IEC 27005 nhắc tới khái niệm kịch bản sự cố (incident scenario) Khái niệm này rấtgần với khái niệm kịch bản rủi ro nói tới ở phần trên, cho dù chúng không thực sự tươngđương nhau Trong thực tế, việc định nghĩa một kịch bản sự cố tùy thuộc vào việc khai thácmột vài điểm yếu nào đó, do đó những tình tiết đặc biệt xảy ra rủi ro có thể liên quan đến cáckhái niệm khác nhau, chứ không chỉ liên quan đến mỗi khái niệm điểm yếu

Chắc chắn có thể đưa ra nhiều cách định nghĩa rủi ro và các thành phần hợp thành rủi ro khácnữa, nhưng chúng ta chỉ cần quan tâm đến hai cách định nghĩa đặc trưng và có ý nghĩa nóitrên đối với việc quản lý rủi ro

4 CÁC LỰA CHỌN CƠ BẢN ĐỂ QUẢN LÝ RỦI RO

Các mục tiêu của việc quản lý rủi ro có thể rất khác biệt, chúng độc lập với cách định nghĩa rủi

ro Trong thực tế, qua phân tích, chúng ta có thể phân biệt hai mục đích khác nhau về cơ bảnsau đây:

 Quản lý trực tiếp và chuyên biệt từng rủi ro, trong khuôn khổ một chính sách quản lýrủi ro

 Quản lý tổng thể và gián tiếp nhiều rủi ro thông qua một chính sách đảm bảo an toàn

có khả năng thích nghi với các rủi ro có thể xảy ra

Nội dung của các chính sách này sẽ được đề cập chi tiết trong chương 8

4.1 Quản lý trực tiếp và chuyên biệt từng rủi ro

Mục tiêu của sự quản lý được xác định và nêu đặc tính trong một chính sách quản lý rủi ro là:

 Xác định tất cả các rủi ro mà một tổ chức, cơ quan hay doanh nghiệp có thể có

 Định lượng mức độ của từng rủi ro

 Với mỗi rủi ro được xem như là không thể chấp nhận, áp dụng các biện pháp giảmthiểu mức độ rủi ro tương ứng xuống một mức nào đó có thể chấp nhận được

 Bố trí, như là một công cụ dẫn đường, một sự theo dõi thường xuyên các rủi ro và mức

độ rủi ro tương ứng

 Đảm bảo rằng sẽ có quyết định chuyên biệt cho từng rủi ro một: hoặc là chấp nhận rủi

ro hoặc là giảm thiểu rủi ro, có khi là chuyển từ rủi ro này sang rủi ro khác

Như được minh họa trong hình 4-1, phương thức quản lý này xoay quanh các hoạt động củathực thể (tổ chức, cơ quan hay doanh nghiệp) và những cái được cái mất cơ bản của chúng

Nó chỉ có thể được lựa chọn và làm tốt nếu có sự thống nhất tuyệt đối giữa các cấp lãnh đạo

và những người thực hiện Phương thức này có thể thích nghi với tất cả các tổ chức hoặc dự

án trong đó việc quản lý rủi ro được giao cho giám đốc dự án

Hình 4-1: Quản lý trực tiếp và chuyên biệt từng rủi ro

Các nguyên tắc ngầm và các điều kiện tiên quyết:

Rõ ràng là để có thể quản lý chuyên biệt từng rủi ro thì đến một lúc nào đó chúng ta phải tínhđến các hiệu ứng của tất cả các biện pháp đảm bảo an toàn (hiện có hay dự kiến) có khả năngảnh hưởng tới mức độ rủi ro Trên nguyên tắc và như một điều kiện tiên quyết, phương thức

quản lý như thế đòi hỏi cần định nghĩa một mô hình rủi ro cho phép chỉ rõ và định lượng chomỗi rủi ro được nhận dạng:

 Các nhân tố rủi ro có cấu trúc liên quan đến bối cảnh và hành động của thực thể, cácnhân tố này độc lập với các biện pháp đảm bảo an toàn

 Các vai trò và hiệu ứng của các biện pháp bảo mật cho rủi ro cần xem xét

 Mức độ rủi ro tổng quát muốn hướng đến

Nếu không có một mô hình như vậy sẽ không thể thiết lập quan hệ giữa các quyết định bố trícác biện pháp đảm bảo an toàn và một mức độ phòng ngừa rủi ro muốn hướng đến Quan hệnày là cần thiết cho sự quản lý chuyên biệt các rủi ro

4.2 Quản lý tổng thể và gián tiếp nhiều rủi ro

Mục tiêu trong trường hợp này là định nghĩa một chính sách đảm bảo an toàn chú trọng đếnviệc đánh giá các rủi ro Mục tiêu hướng tới là:

 Xác định một số yếu tố có thể dẫn tới rủi ro

 Phân cấp hóa các yếu tố này

 Suy ra một chính sách đảm bảo an toàn và các mục tiêu an toàn

 Bố trí một công cụ định hướng, một sự theo dõi thường xuyên các mục tiêu an toànhoặc các yếu tố của chính sách đảm bảo an toàn

Phương thức này ít đòi hỏi sự can thiệp của ban lãnh đạo của tổ chức, cơ quan hay doanhnghiệp và nó có thể được điều hành ở cấp độ kỹ thuật

Các nguyên tắc ngầm và các điều kiện tiên quyết:

Như được minh họa trong hình 4-2, nguyên tắc của kiểu quản lý rủi ro này là việc định nghĩacác yêu cầu hoặc các mục tiêu đảm bảo an toàn phải chú trọng đến việc phân bổ các rủi rovào một mức độ rủi ro Việc phân bổ này phải tính đến việc đạt hoặc không đạt các mục tiêu

đề ra, hoặc sự thỏa mãn hay không thỏa mãn các yêu cầu đưa ra

Quan điểm về rủi ro như vậy có thể chưa hoàn chỉnh, nó chỉ xem xét một trong các yếu tố ảnhhưởng đến mức độ rủi ro thực tế, đặc biệt là một số điểm yếu (hoặc loại điểm yếu) bị khaithác bởi các kiểu nguy cơ khác nhau Phương thức quản lý rủi ro kiểu này đòi hỏi, trên nguyêntắc và như điều kiện tiên quyết, định nghĩa một mô hình cho phép định lượng mỗi rủi ro đượcnhận dạng:

 Một mức độ rủi ro theo các yếu tố được liệt kê trong khi miêu tả rủi ro đó

 Ảnh hưởng của việc chọn lựa mục tiêu của chính sách đảm bảo an toàn

 Mức độ rủi ro tương đối muốn hướng đến

Mức độ rủi ro được đánh giá theo những yếu tố được chỉ ra khi nhận dạng rủi ro và theo sựảnh hưởng của chính sách đảm bảo an toàn trên các yếu tố này Do đó, mức độ rủi ro nàykhông thể được coi là giá trị phán đoán của mức độ rủi ro thực tế của thực thể mà được coi làgiá trị tương đối biểu hiện tầm quan trọng của các mục tiêu đảm bảo an toàn cần đạt đượccủa chính sách đảm bảo an toàn

Hình 4-2: Quản lý tổng thể và gián tiếp nhiều rủi ro

4.3 Rủi ro và các thể loại quản lý

Rõ ràng là định nghĩa rủi ro dựa trên khái niệm kịch bản đặc biệt thích ứng với sự quản lý trựctiếp và chuyên biệt từng rủi ro một Một định nghĩa rủi ro dựa trên những nguy cơ và nhữngđiểm yếu về cơ bản thích ứng với sự quản lý chung và gián tiếp nhiều rủi ro Không có trở ngại

về mặt lý thuyết khi sử dụng định nghĩa rủi ro dựa trên khái niệm kịch bản cho việc quản lýgián tiếp các rủi ro thông qua một chính sách đảm bảo an toàn Tương tự như thế, không cótrở ngại tuyệt đối khi sử dụng định nghĩa rủi ro dựa trên các nguy cơ và các điểm yếu cho việcquản lý trực tiếp và chuyên biệt từng rủi ro Định nghĩa này cũng được dùng để đánh giá cácrủi ro và để chọn lựa các biện pháp đảm bảo an toàn Nó cũng được dùng để tìm kiếm các kịchbản rủi ro khác nhau cần quan tâm, hoặc tìm kiếm các kịch bản rủi ro tương tự nhau

Lưu ý về mối liên quan giữa các điểm yếu và kiểu quản lý rủi ro:

Mối liên quan giữa những điểm yếu được đề cập đến khi nhận dạng các rủi ro và kiểu quản lýrủi ro là gì? Trong thực tế, nếu so sánh việc đề cập đến các điểm yếu ngay từ lúc định nghĩarủi ro và việc chỉ đề cập đến các điểm yếu vào lúc phân tích rủi ro, chúng ta sẽ nhận thấy cónhiều hậu quả đáng suy nghĩ:

 Không xét các điểm yếu khi nhận dạng rủi ro tức là xem xét rủi ro phát sinh từ giaocủa một tài sản và các tình tiết gây ra thiệt hại về tài sản đó Để quản lý được tìnhhuống rủi ro này, trong quá trình phân tích nó cần xét đến các điểm yếu Đó chính làcách tiếp cận quản lý trực tiếp các rủi ro

Ngược lại, đề cập đến các điểm yếu ngay từ lúc định nghĩa rủi ro trở thành việc xemxét xem các điểm yếu đó có đúng là các điểm yếu mà chúng ta quan tâm và muốnquản lý hay không Đó chính là cách tiếp cận quản lý gián tiếp

 Mặt khác, với một tình huống rủi ro được đưa ra, không chỉ một mà nhiều điểm yếu sẽ

bị liên đới và bị khai thác Ví dụ, xét một kịch bản tấn công từ bên ngoài cơ quan làmđổi hướng dữ liệu của một ứng dụng Kịch bản này có thể khai thác đồng thời các điểmyếu như: điều khiển không tốt các truy cập vào mạng thông tin, không phân mảnhmạng và không tách riêng các tệp tin nhạy cảm, điều khiển không tốt các truy cập vào

hệ thống hoặc các ứng dụng, không mã hóa các tập tin, v.v Trong bối cảnh đó, đưavào phần định nghĩa các rủi ro danh sách các điểm yếu bị khai thác hiển nhiên là mộtnguồn khó khăn cho việc quản lý trực tiếp các rủi ro Điều này bắt buộc phải đưa thêmvào nhiệm vụ quản lý (tức là nhận dạng các rủi ro) một nhiệm vụ phân tích thuần túy

kỹ thuật (tức là tìm kiếm tập các điểm yếu liên quan đến tình huống rủi ro đó)

Có thể xem việc đề cập đến các điểm yếu khi nhận dạng rủi ro tương thích với sự quản

lý tổng thể và gián tiếp các rủi ro, nhưng việc này rất ít tương thích với sự quản lý trựctiếp và chuyên biệt

Đến đây chúng ta đã phác thảo thành công các định hướng cơ bản của tiến trình quản lý rủi ro(hình 4-3) Trong các chương tiếp theo, chúng ta sẽ phân tích các chuẩn miêu tả những việccần làm trong từng giai đoạn như thế nào, đặc biệt là cẩm nang ISO 73

Hình 4-3: Tiến trình quản lý rủi ro

5 NHẬN DẠNG RỦI RO

Những việc cần làm trong giai đoạn nhận dạng rủi ro phụ thuộc vào cách định nghĩa rủi ro.Nhưng dù cho rủi ro được định nghĩa theo cách nào đi nữa thì một rủi ro phát sinh từ sự tồntại của các tài sản có giá trị đại diện cho những cái được cái mất của các doanh nghiệp hay tổchức, tức là việc duy trì một số tiêu chí chất lượng là rất quan trọng cho để bảo đảm tổ chứchay doanh nghiệp hoạt động tốt

Tiến trình thực hiện tất cả các phương thức phân tích rủi ro đều bắt đầu từ giai đoạn nhậndạng các tài sản có tính quyết định (critical asset), có thể làm phát sinh rủi ro Giai đoạn thứ 2,vốn phụ thuộc vào cách định nghĩa rủi ro được dùng, tập trung vào:

 Tìm kiếm xem những nguy cơ nào có thể làm tổn hại các tài sản nào Trong trườnghợp nhận dạng rủi ro dựa trên các khái niệm nguy cơ và điểm yếu: tìm kiếm xemnhững điểm yếu nào có thể bị khai thác

 Tìm kiếm xem những sự mất phẩm chất hay hủy hoại nào có thể tác động đến nhữngtài sản đó và trong các tình tiết nào thì những sự mất phẩm chất hay hủy hoại này cóthể xảy ra, để nhận dạng các tính huống hay kịch bản rủi ro

Tiếp theo chúng ta sẽ phân tích dần các giai đoạn của quá trình nhận dạng tài sản, các giaiđoạn của quá trình nhận dạng nguy cơ và điểm yếu và các giai đoạn của quá trình nhận dạngkịch bản rủi ro

5.1 Nhận dạng tài sản có tính quyết định (hoặc các tài sản có tiềm năng trở thành tài sản có tính quyết định)

Giai đoạn này hiển nhiên là giai đoạn thiết yếu trong quá trình nhận dạng rủi ro Ta có thểphân biệt hai cách tiếp cận chính sau đây:

2 Tìm kiếm các tài sản và các thiệt hại về tài sản có thể dẫn đến các hoạt động khôngbình thường nói trên.

3 Liệt kê chi tiết các tài sản (nó có thể rất có ích nhằm phân biệt các tài sản có giá trịnhất, chúng ta sẽ coi những tài sản này như những tài sản có tính quyết định để khônglàm nặng thêm những giai đoạn còn lại của quản lý rủi ro)

Đây chính là cách tiếp cận tập trung vào các cái được cái mất khi thực thể thực hiện các hànhđộng khác nhau và thường tham chiếu tới việc quản lý rủi ro ở mức cao Cách tiếp cận nàykhai thông một cách tự nhiên việc tìm kiếm các tình tiết hủy hoại tài sản và việc định nghĩa cáckịch bản rủi ro

5.1.2 Cách tiếp cận thứ hai:

Được minh họa trong hình 5-2, cách tiếp cận này tập trung vào:

 Phân tích kiến trúc của các phương tiện cơ bản hỗ trợ hoạt động của thực thể Mộtphương tiện cơ bản có thể là hệ thống thông tin hoặc bất cứ phương tiện nào khácnhư phương tiện sản xuất, phần mềm, truyền thông, v.v

 Tìm kiếm (nếu cần) các phương tiện hỗ trợ cho các phương tiện cơ bản nói trên Mộtphương tiện hỗ trợ có thể là năng lượng, các phương tiện cần thiết cho việc quản lýhành chính, v.v

 Từ đó liệt kê ra các tài sản cần xem xét để nhận dạng rủi ro

Hình 5-5: Cách tiếp cận thứ hai để nhận dạng rủi roCách tiếp cận thứ hai này là một cách tiếp cận thiên về mặt kỹ thuật hơn cách thứ nhất, nó cóthể được tiến hành không cần đến sự giúp đỡ của lãnh đạo cấp cao Cách tiếp cận này dễdàng khơi thông việc tìm kiếm các nguy cơ có thể tác động đến các tài sản và việc định danhcác rủi ro được xác định thông qua các nguy cơ và điểm yếu

Sự khác biệt chủ yếu giữa hai cách tiếp cận nêu trên là với một định nghĩa rủi ro qua các kịchbản, các kiểu tổn hại có thể xảy ra với tài sản trong trường hợp rủi ro phát sinh thuộc về quátrình tìm kiếm các tài sản có tính quyết định Nói khác đi, các tiêu chí sử dụng để làm tăng giátrị tài sản trong quá trình ước lượng rủi ro, với một định nghĩa rủi ro dựa trên các nguy cơ,được đưa vào ngay khi nhận dạng các tài sản, khi chúng ta muốn nhận dạng các kịch bản rủiro

Ví dụ minh họa: Trong khuôn khổ quan sát tĩnh các rủi ro, các tài sản được nhận dạng có thểlà:

 Cơ sở dữ liệu của một lĩnh vực hoạt động.

 Máy chủ của một sở, ban, ngành

Trong khuôn khổ quan sát động các rủi ro bằng các kịch bản, các phần tử được nhận dạng sẽđược làm rõ nét hơn bằng một kiểu tổn hại:

 Tài liệu mật về lập kế hoạch hành động

 Cơ sở dữ liệu cần đảm bảo tính toàn vẹn của một lĩnh vực hoạt động

 Máy chủ cần đảm bảo tính sẵn dùng của một sở, ban, ngành

5.2 Nhận dạng các điểm yếu và các nguy cơ

Trong trường hợp định nghĩa các rủi ro dựa trên các nguy cơ, cách tiếp cận sẽ thường tậptrung vào các phần tử chuẩn thích đáng cho kiểu tài sản cần xét đến Nếu chúng ta dùng lạicác phần tử tài sản tương ứng với 3 ví dụ nói trên, chúng ta cũng sẽ tìm thấy các tài sản nhưtrong ví dụ của chuẩn ISO/IEC 27005:

 Đối với các tài liệu chiến lược, các nguy cơ thường xuyên là:

o Mất trộm phương tiện truyền thông hoặc tài liệu

o Chiến lược bị tiết lộ

 Đối với cơ sở dữ liệu, các nguy cơ thường xuyên là:

o Dùng phần mềm để mạo danh người sử dụng

o Phần mềm hoạt động không bình thường

 Đối với các máy chủ dữ liệu, các nguy cơ thường xuyên là:

dụ về dữ liệu trong phần phụ lục của chuẩn ISO/IEC 27005), chúng ta có thể nhận được kếtquả như sau:

1 Nguy cơ và điểm yếu của các tài liệu chiến lược: mất trộm phương tiện, thiết bị vì thiếubảo vệ các thiết bị lưu trữ

2 Nguy cơ và điểm yếu của các cơ sở dữ liệu: dùng phần mềm để mạo danh người sửdụng do tải về các phần mềm độc hại và sử dụng phần mềm không đúng cách

3 Nguy cơ và điểm yếu của các máy chủ dữ liệu: phá hủy thiết bị do thiếu kế hoạch thaythế định kỳ các thiết bị

5.3 Nhận dạng các kịch bản rủi ro

Trong trường hợp này, cách tiếp cận tập trung vào phân tích Trong các tiến trình thực hiệnbao hàm các phần tử tài sản cần xét đến hoặc trong các chu kỳ sống của phần tử đó, hoặctrong kiến trúc của nó, những thứ có thể cáo giác chất lượng cần xét đến Việc tìm kiếm này

sẽ được thực hiện trực tiếp hoặc dựa trên một cơ sở tri thức miêu tả các kịch bản rủi rothường gặp nếu phương thức đó cho phép

Dùng lại ví dụ đã trình bày ở phần trước, ta có:

 Các tài liệu chiến lược mật: chúng ta phân tích tiến trình soạn thảo, điều khiển vàtruyền các tài liệu kiểu này và chúng ta có thể làm cho minh bạch các tình tiết khácnhau dẫn tới các rủi ro đặc biệt:

o Trong quá trình soạn thảo (các tệp tin trên máy tính của các nhà lãnh đạo hoặccủa trợ lý lãnh đạo hoặc trên một máy chủ dùng chung)

o Trong quá trình sao lưu

o Trong quá trình in ấn (trên máy in dùng chung)

o Trong quá trình gửi tài liệu qua mail

o Trong quá trình gửi tài liệu qua thư

o Trong quá trình lưu trữ

Cơ sở dữ liệu cần duy trì tính toàn vẹn Chúng ta sẽ phân tích luôn cả các tiến trìnhkhác nhau, bao hàm cả các cơ sở dữ liệu và có thể dẫn tới việc cáo giác tính toàn vẹn

và làm cho minh bạch các tình tiết dẫn tới các rủi ro đặc biệt:

o Trong quá trình truy nhập tương tranh (rủi ro phần mềm)

o Trong quá trình truy cập có ác ý

o Trong quá trình bảo trì phần mềm

o Trong quá trình kiểm thử sự phát triển hoặc bảo trì

o Trong quá trình bảo trì nóng

 Máy chủ dữ liệu cần duy trì tính sẵn dùng: chúng ta phân tích và liệt kê các kiểunguyên nhân có thể khác nhau và các tiến trình nội bộ khác nhau bao hàm tài sản này,

có thể dẫn tới việc cáo giác tính sẵn dùng của máy chủ:

o Tai nạn vật lý (sự cố, thủy tai, v.v.) và nguồn gốc của tai nạn

• Tai nạn gây ra bởi sự đoản mạch dây cáp

• Tai nạn gây ra bởi sự cẩu thả trong nội bộ (gạt tàn, máy sưởi, v.v.)

o Lỗi thông thường, lỗi hiếm gặp và những điều kiện đặc biệt:

• Các lỗi thông thường được xử lý trong quá trình bảo trì

• Các lỗi leo thang

• v.v

o Tấn công từ chối dịch vụ

• Do khiếm khuyết về mặt đào tạo

• Do khiếm khuyết về tài liệu hướng dẫn

• v.v

Quan trọng cần chú ý việc bao hàm trong quá trình nhận dạng rủi ro các khung cảnh, trong đó

có thể sản sinh ra rủi ro cho phép làm rõ bằng tình tiết hoặc bằng các tiến trình hiện hành, vàomột thời điểm nào đó sẽ rơi vào một tình huống rủi ro đặc biệt

Sự khác nhau về kết quả thu được trong ba ví dụ nói trên đã chứng minh rằng bằng các thuậtngữ sử dụng, có một sự khác nhau về bản chất giữa các khái niệm cho phép xác định rủi ro.Định nghĩa các nguy cơ về tài sản và các điểm yếu có thể đe dọa tài sản cho phép đặc tínhhóa một kiểu rủi ro Nhưng đây không phải là mục đích chính của định nghĩa này vì nó khôngcho phép trong bất cứ trường hợp nào xác định trực tiếp các tình huống rủi ro có liên quan

6 ƯỚC TÍNH CÁC RỦI RO ĐƯỢC NHẬN DẠNG

Giai đoạn được các chuẩn ISO gọi tên là ước tính rủi ro (risk estimation) là một giai đoạn địnhlượng các rủi ro Các phương thức quản lý rủi ro khác nhau định nghĩa những phần tử cấuthành giai đoạn này hoàn toàn khác nhau

6.1 Ước tính rủi ro để quản lý chuyên biệt

Mục tiêu là nhận được cho mỗi rủi ro được nhận dạng một sự đánh giá mức độ rủi ro ở đóthực thể bị lộ bản chất Có một sự liên ứng chung trên việc mức độ rủi ro này phụ thuộc vàohai nhân tố: Tác động (mức độ hệ quả của rủi ro) và tiềm năng (xác suất rủi ro) Để đánh giácác nhân tố này, trong bối cảnh mà các biện pháp đảm bảo an toàn đã được tính đến, cầnphải tính thêm đến chất lượng của các biện pháp nói trên Như đã nói, cũng cần phải xác địnhtrước một mô hình rủi ro Tuy nhiên, dù dùng mô hình của phương thức nào thì một số cácphần tử cần thiết cấu thành mô hình đó, đều có thể được loại bớt, như:

 Phân tích hơn thiệt hoặc hệ quả của các rủi ro

 Phân tích xác suất vượt qua được kịch bản rủi ro

 Hiệu quả của các biện pháp đảm bảo an toàn

6.1.1 Đánh giá hơn thiệt hoặc hậu quả của các rủi ro

Định nghĩa và đặc tả rủi ro được hiểu như rủi ro của tài sản liên quan và kiểu thiệt hại nó phảichịu Câu hỏi đặt ra là làm thế nào để đánh giá sự trầm trọng của thiệt hại này? Phần tiếp theocủa tài liệu sẽ giới thiệt các nguyên tắc chung cần phải tuân thủ của các phương pháp đánhgiá rủi ro

a) Đánh giá hậu quả tối đa của thiệt hại tài sản phải chịu

Nguyên tắc đầu tiên cần tuân thủ là tìm kiếm các hậu quả tối đa của thiệt hại tài sản phải chịu.Việc này sẽ được làm theo một cách tiếp cận phân lớp, bao gồm các bước sau:

1 Thiết lập thang đo độ trầm trọng: Thang đo độ trầm trọng là một trong những điềuđầu tiên cần làm Thang này phải diễn tả các mức độ trầm trọng về hậu quả (như làcác thực thể không hoạt động được nữa hoặc bị tổn thương, di chứng lâu dài, mất tínhcạnh tranh nhất thời, v.v.) như khi đề cập đến các rủi ro tai nạn đối với con người (rủi

ro chết người, rủi ro dẫn đến thương tật vĩnh viễn, cần sự trợ giúp chăm sóc suốt đời,v.v)

2 Đánh giá mức độ trầm trọng của các hậu quả của rủi ro để lại bằng cách phân biệtchúng với hậu quả của những phiền phức khác (ví dụ như hậu quả những qui định docác cấp có thẩm quyền đưa ra): Cần tìm kiếm cách đánh giá mức độ trầm trọng củacác hậu quả do rủi ro để lại trên thực thể Đánh giá này được thực hiện ở mức độ cáctiến trình của thực thể, các hậu quả của rủi ro cũng được phân tích ở đây Quan trọng

là trong quá trình phân tích không được phóng đại các phiền phức do người lãnh đạogây ra, nhưng phải định trị chính xác các phiền phức này đối với khách hàng

3 Yêu cầu các cấp lãnh đạo hợp thức hóa các mức độ trầm trọng của các hậu quả rủi ro

nguyên tắc này không được tôn trọng, nhìn chung hậu quả sẽ không thể lường hếtđược Những sự kiện cần quan tâm như là hậu quả rủi ro để lại ở mức thấp hoặc mứctrung bình thường dung thứ được, thậm chí ngay cả hậu quả rủi ro ở mức cao Tổngquát hơn, việc quản lý rủi ro thường được lãnh đạo của các cơ quan, doanh nghiệp, tổchức chú trọng đến, và chính họ sẽ phải đưa ra quyết định dựa trên mức độ trầmtrọng của rủi ro.

b) Đánh giá các hậu quả đặc biệt của rủi ro đã phân tích

Việc đánh giá hậu quả của rủi ro được miêu tả ở trên đôi khi được qui về việc phân lớp các tàisản, là mức độ rủi ro cao nhất mà thực thể phải gánh chịu cho một kiểu thiệt hại về tài sản bịliên quan Tuy nhiên, trong những tình tiết đặc biệt của rủi ro hoặc kiểu nguy cơ, các hậu quả

có thể được giảm bớt Phương thức hỗ trợ quản lý trực tiếp các rủi ro do đó phải đề xuất mộtgiai đoạn hay một phương tiện cho phép chữa hay đánh giá các tác động nhằm tính đến việcgiảm nhẹ các hậu quả này

6.1.2 Đánh giá xác suất thoát hiểm

Ước tính rủi ro chính là đánh giá tiên nghiệm xác suất thoát hiểm Điều này cho phép phánđoán sơ đẳng xác suất này mà không cần sử dụng bất cứ một phương tiện đảm bảo an toànnào Ý tưởng cho một cơ sở thống kê đủ để qui định các xác suất tiên nghiệm này bằng các sốliệu không phụ thuộc vào các yếu tố chủ quan hay khách quan Trong thực tế, việc đánh giátiên nghiệm xác suất thoát hiểm là có thể thực hiện được vì những lý do sau đây:

1 Các cơ quan thu thập các số liệu liên quan đến các rủi ro kiểu như các tai nạn có thểđược bồi thường có thái độ ngập ngừng khi phải tiết lộ các số liệu này, đặc biệt là các

tổ chức bảo hiểm

2 Các số liệu này có những người đưa tin quanh co vì không phải tất cả các tai nạn kiểunày đều được khai báo, đặc biệt là những số liệu làm ảnh hưởng đến hình ảnh của nạnnhân

3 Nạn nhân không hề hay biết đến những hậu quả của một số tai nạn, đặc biệt là các vụmất cắp dữ liệu

Có thể giảm thiểu các hậu quả của các tai nạn kiểu này bằng cách phán đoán trước một cáchtương đối chủ quan xác suất thoát hiểm, lưu ý rằng:

1 Sự nhất trí của một nhóm người làm việc sẽ hạn chế tính chủ quan

2 Các phương thức có mặt trên thị trường đưa ra các số liệu thuộc về một cơ sở thống

kê khởi điểm đáng kể

Phương thức xác định trước các xác suất này phải dự phần vào một mô hình rủi ro riêng củamột kiểu quản lý và phải bao gồm các phần tử sau đây:

1 Thiết lập thang xác suất: Thang xác suất là một trong những điều đầu tiên cần làm.Thang này cần biểu đạt các mức xác suất dễ hiểu cho tất cả các thành viên của quátrình phân tích rủi ro Số lượng các mức xác suất phải không quá nhiều để dễ dàng đạtđược sự nhất trí chung của các thành viên về mức xác suất của mỗi nguy cơ

2 Đánh giá xác suất tiên nghiệm của kịch bản rủi ro: Việc đánh giá xác suất tối đa tiênnghiệm, không tính đến các biện pháp đảm bảo an toàn, thường liên quan đến một hệthống phân loại các kịch bản rủi ro Đây chính là trường hợp mà phương thức sử dụng

đưa ra cơ sở tri thức có cấu trúc Ngầm hiểu là nên nhóm các kịch bản theo các kiểu cóxác suất gần bằng nhau, tức là phân biệt các kiểu nguy cơ chung cho nhiều kiểu kịchbản rủi ro Trong thực tế xác suất tối đa tiên nghiệm nói đến ở đây thường tương ứngvới xác suất nguy cơ và độc lập với bối cảnh riêng của thực thể.

3 Đánh giá sự lộ bản chất của thực thể trong kịch bản đã phân tích: Khái niệm lộ (đôi khicòn được gọi là lộ bản chất) là khái niệm cơ bản Cho dù xác suất xảy ra nguy cơ làcao hay thấp, thì điều quan trọng là phải biết thực thể có lộ bản chất trước kiểu rủi ronày nhiều hơn các kiểu rủi ro khác hay không Lộ bản chất liên quan đến những yếu tốnhư:

o Hành động của một thực thể đem lại lợi ích gì cho thực thể đó

o Đặc tính gần như duy nhất của thực thể khi bị đe dọa (bị nguy cơ nhắm trúng)

o Hoàn cảnh xã hội

o Hoàn cảnh kinh tếMột điều quan trọng khác cần chú ý là việc lộ bản chất này cũng thay đổi theo thời gian.Phương thức quản lý rủi ro cũng phải cho phép đánh giá sự lộ bản chất theo hoàn cảnh riêngcủa từng thực thể nhằm định nghĩa thật tỉ mỉ tiềm năng nội tại của rủi ro mà không cần dùngdến các biện pháp đảm bảo an toàn

6.1.3 Đánh giá hiệu quả của các biện pháp đảm bảo an toàn

Trong lĩnh vực này có rất nhiều mô hình rủi ro riêng cho kiểu quản lý này có thể mang lạinhiều sự trợ giúp đáng kể và rất khác biệt Trong khi đó, rõ ràng là có một số phần tử khôngthay đổi phải được miêu tả và vạch rõ trong tất cả các mô hình phân tích rủi ro dùng cho việcquản lý trực tiếp các rủi ro Các phần tử đó là:

 Sự khác biệt của các kiểu hiệu ứng của các biện pháp đảm bảo an toàn

 Việc tính đến một mức chất lượng của các biện pháp này

 Các biện pháp đảm bảo tính hiệu quả của một biện pháp đảm bảo an toàn

 Việc tính đến khái niệm bảo hiểm an toàn: ngoài chất lượng kỹ thuật của một biệnpháp đảm bảo an toàn, làm thế nào để đảm bảo rằng biện pháp này sẽ hiệu quả trongthực tế

 Cách tính đến phối hợp đồng thời nhiều biện pháp đảm bảo an toàn

a) Sự khác biệt giữa các kiểu hiệu ứng của các biện pháp đảm bảo an toàn

Các kiểu hiệu ứng của các biện pháp đảm bảo an toàn rất khác biệt và phải tuyệt đối đượcphân biệt trong mô hình rủi ro được ưa chuộng Trong thực tế, việc phân biệt các hiệu ứng sẽlàm giảm xác suất rủi ro và làm giảm bớt các hậu quả Ngoài ra, có thể phân biệt các sắc tháikhác như:

 Hiệu ứng răn đe

 Hiệu ứng ngăn chặn (làm việc gì đó hoặc cản trở việc thực hiện một hành động)

 Hiệu ứng phát hiện rồi ngăn chặn

 Hiệu ứng khôi phục

 Hiệu ứng nhất thời của các biện pháp dự phòng

 v.v

Danh sách trên không xét hết toàn bộ các hiệu ứng của các phương pháp đảm bảo an toàn

Mô hình rủi ro phải đưa ra một bảng liệt kê các hình thái của các hiệu ứng này, bằng cáchnhóm chúng lại để miêu tả hoạt động của các biện pháp đảm bảo an toàn và cho phép đánhgiá từng rủi ro một

b) Tính đến mức độ chất lượng của các biện pháp đảm bảo an toàn

Thấy rõ là một hay nhiều hiệu ứng của một biện pháp đảm bảo an toàn phụ thuộc vào chấtlượng của biện pháp đó Tất cả các kỹ thuật đều không tương đương nhau, tất cả các quátrình không hiệu quả như nhau và phải biết phán đoán, cân nhắc về mức độ chất lượng củatừng kỹ thuật hay quá trình Mô hình rủi ro phải bao gồm một phương thức đánh giá Phươngthức này có thể ít nhiều chuyên nghiệp, nhưng tốt nhất là dựa trên một cơ sở tri thức

c) Đánh giá hiệu quả của một phương pháp đảm bảo an toàn

Chất lượng nội tại của một phương pháp đảm bảo an toàn không chỉ ra là phương pháp này sẽhiệu quả để giảm bớt rủi ro đến một mức độ đặc biệt nào đó, ngay cả khi hiển nhiên làphương pháp này có thể đóng vai trò tích cực trong việc giảm bớt rủi ro Ngoài ra, hiệu quảcủa một biện pháp đảm bảo an toàn có thể phụ thuộc vào kiểu hiệu ứng, vậy nên cùng mộtbiện pháp có thể có nhiều kiểu hiệu ứng khác nhau Có một quan hệ cần thiết lập bằng môhình rủi ro, giữa chất lượng của một biện pháp đảm bảo an toàn và hiệu quả của nó cho mộthiệu ứng nhất định trên một kiểu kịch bản rủi ro nhất định

d) Khái niệm bảo hiểm an toàn

Khái niệm này được chứng minh bởi các kỹ thuật đảm bảo an toàn các hệ thống thông tin vàcác chuẩn chung, nhằm phân biệt các mức hiệu quả của một biện pháp đảm bảo an toàn vàđảm bảo rằng chúng ta có thể có được hiệu quả như vậy khi sử dụng biện pháp đó Chỉ cầnđánh giá riêng rẽ sức mạnh của một biện pháp kỹ thuật và bảo đảm việc thực hiện và duy trìchúng Việc tính đến hay không khái niệm này trong mô hình rủi ro là một tham số cần xemxét

e) Các hiệu ứng phối hợp của nhiều biện pháp đảm bảo an toàn

Cuối cùng, cách phối hợp các hiệu ứng đồng thời của nhiều biện pháp đảm bảo an toàn phảiđược vạch rõ bằng một mô hình rủi ro để có thể đánh giá chính xác mức độ rủi ro còn lại

6.1.4 Ước tính các mức độ rủi ro

Ước tính các mức độ rủi ro phải tổng hợp các ước tính từng phần và tối thiểu phải tìm được lối

ra cho các việc sau:

 Đánh giá tiềm năng vượt qua rủi ro (xác suất rủi ro)

 Đánh giá tác động của nó (sự trầm trọng của các hậu quả của rủi ro)

Mô hình rủi ro phải miêu tả cách thức thu được các giá trị tổng hợp này

6.1.5 Ảnh hưởng của cách định nghĩa rủi ro

Tất cả các yếu tố vừa được nhắc đến ở trên phù hợp hoàn toàn với định nghĩa rủi ro bằng cáckịch bản Nếu các rủi ro được định nghĩa như các kiểu rủi ro được xếp loại dựa trên các kháiniệm nguy cơ và điểm yếu, thì cần phải tìm kiếm tất cả các kịch bản có thể xảy ra cho mỗi rủi

ro được xác định (kịch bản tai nạn như định nghĩa trong chuẩn ISO/IEC 27005) Cũng cần phảiước tính mức độ rủi ro cho mỗi kịch bản Do đó, cần phát triển các yếu tố nói trên ở mức độ

cụ thể hơn Ngoài ra, một phương thức lập ra bảng tổng hợp cho mỗi rủi ro cũng rất cần thiết

6.2 Ước tính rủi ro để quản lý tổng thể

Có thể sử dụng một mô hình rủi ro hoàn chỉnh như đã đề cập ở phần trên để ước tính từng rủi

ro một, và từ đó suy ra một chính sách đảm bảo an toàn cùng với các mục tiêu thích nghi với

sự quản lý tổng thể các rủi ro Khi rủi ro được miêu tả như một nguy cơ và một (hoặc mộtnhóm) điểm yếu bị khai thác, cách miêu tả này đưa ra một cách nhìn riêng phần về rủi ro và

nó chỉ chỉ ra một phần của các điểm yếu Cách miêu tả này cho phép đưa ra tầm quan trọngcủa rủi ro chỉ tính đến các điểm yếu bị khai thác, không tính đến các biện pháp đảm bảo antoàn có thể giảm thiểu rủi ro Tầm quan trọng của rủi ro sẽ được sử dụng để phân cấp cácđiểm yếu, cho dù nó không mang lại một cách đánh giá hoàn chỉnh về mức độ rủi ro mà một

tổ chức, cơ quan hay doanh nghiệp bị lộ bản chất Điều này có nghĩa là mô hình ước tính rủi rotương đối phải bao gồm nhiều phần tử:

 Ước tính hơn thiệt hoặc các hậu quả của rủi ro

 Ước tính cấp độ nguy cơ

 Ước tính mức độ điểm yếu được chỉ rõ trong bản miêu tả rủi ro, mức độ rủi ro màchính sách đảm bảo an toàn có thể can thiệp

6.2.1 Ước tính hơn thiệt hoặc các hậu quả của rủi ro

Ước tính rủi ro phải tính đến các thiệt hại của phần tử tài sản khi vượt qua rủi ro Biết rằng bảnmiêu tả rủi ro bao gồm phần miêu tả về tài sản liên quan và kiểu thiệt hại tài sản phải chịu (tấtnhiên là thiệt hại này không được chỉ rõ trong phần miêu tả rủi ro, và phải tìm kiếm nó trongphần miêu tả các kiểu nguy cơ), câu hỏi đặt ra là làm thế nào đánh giá sự trầm trọng của thiệthại này Như trong mô hình trước, vấn đề ở đây là chỉ ra phương thức chứ không phải miêu tảmột phương thức đặc biệt nào đề làm điều này Cần làm rõ các nguyên tắc chung phải tôntrọng và nó sẽ ảnh hưởng đến việc ta tìm kiếm hay không một giá trị tuyệt đối của mức độ rủi

ro, giá trị này chính là tầm quan trọng của rủi ro

a) Miêu tả mức độ rủi ro bằng cách tham chiếu đến độ trầm trọng của các hậu quả của rủi roTrong tình huống ta không tìm kiếm một giá trị tuyệt đối của các mức độ rủi ro, tham chiếuđến độ trầm trọng của các hậu quả của rủi ro có thể thoải mái hơn Ta có thể tham chiếu đếnđịnh nghĩa thang đo các độ trầm trọng sau:

 Sự trầm trọng thực sự của các hậu quả của rủi ro đối với thực thể (như đã nói trongphần 6.1.1)

 Sự phiền hà ngẫu nhiên đối với người sử dụng

 Chi phí để che phủ các rủi ro

 Tất cả các tiêu chí khác phản ánh một sự phân cấp của các hậu quả, như độ lâu củaviệc tạm ngắt các dịch vụ

b) Định nghĩa thang đo độ trầm trọng

Một khi đã có tham chiếu cố định, cần cố định thang đo độ trầm trọng Số lượng các độ trầmtrọng không mấy quan trọng trong kiểu quản lý rủi ro này và một thang đo ít mức độ sẽ làmcho các công việc định lượng tiếp theo trở nên dễ dàng hơn

6.2.2 Ước tính cấp độ nguy cơ

Tầm quan trọng của rủi ro phải tính đến cấp độ nguy cơ Cách thức đánh giá cấp độ nguy cơphải được miêu tả trong mô hình ước tính rủi ro và có thể tính đến các tham số khác nhaunhư:

 Xác suất vượt qua biết trước của sự kiện khởi đầu nguy cơ

 Tiềm năng của yếu tố nguy hại của nguy cơ

 Lộ bản chất của thực thể có liên quan đến kiểu nguy cơ này

 Dễ dẫn đến nguy cơ, v.v

Rõ ràng là một hàm phối hợp về xác suất vượt qua biết trước và lộ bản chất của thực thể cóliên quan đến kiểu nguy cơ này dường như gần đúng với khái niệm xác suất Nhưng trong tiếntrình ước tính rủi ro tương đối này, điều chủ yếu là tiến trình đánh giá cấp độ nguy cơ chophép trao đổi thông tin rất tốt Nó cũng cho phép các cấp có thẩm quyền quyết định việc hợpthức hóa trên lý thuyết hay không sự đánh giá không mấy quan trọng này

6.2.3 Ước tính mức độ điểm yếu

Cuối cùng, ước tính rủi ro phải tính đến các điểm yếu liên quan, vì các điểm yếu này là phần tửtrung tâm của rủi ro được xác định Những điểm sau phải được đề cập và miêu tả bằng môhình quản lý:

 Đo mức độ điểm yếu

 Cách thức tính và ước lượng giá trị việc phối hợp nhiều điểm yếu, nếu nhiều điểm yếuđược miêu tả khi nhận dạng rủi ro

a) Đo mức độ điểm yếu

Để có thể quản lý các rủi ro phải chịu, ngay cả khi chỉ quan sát được từng phần của rủi ro, cầnđánh giá mức độ điểm yếu Cách thức để đánh giá như thế có thể là:

 Chủ quan

 Dựa trên việc kiểm tra các điểm yếu và trên cơ sở tri thức

Phương thức nào cũng phải miêu tả tiến trình đánh giá và tiến trình này phải cho phép tínhđến các phần tử của chính sách đảm bảo an toàn

b) Đo nhiều điểm yếu cùng lúc

Ngoài ra, nếu nhiều điểm yếu được miêu tả trong một kiểu rủi ro, cách thức để đánh giá tổngthể mức độ điểm yếu phải được miêu tả và phải bao gồm: