QUẢN LÝ RỦI RO VÀ BẢO MẬT Trương Việt Phương Khoa Tin học Quản lý Đại học Kinh Tế Tp.HCM vietphuongtruong@yahoo.com PHẦN Giới thiệu về an toàn Thông tin Thông tin gì? Cơ sở hạ tầng CNTT An toàn thông tin Các rủi ro hệ thống thông tin ISMS ISO 27001 Giới thiệu – Thông tin là gì? Đối với đối tượng hay hệ thống: Dữ liệu (data): Là số liệu hay tài liệu cho trước chưa xử lý Thông tin (information): Là liệu xử lý có ý nghĩa đối tượng nhận tin Thông tin là gì? Thông tin là tài sản, cũng các tài sản kinh doanh quan trọng khác, có giá trị đối với một tổ chức và thường cần được bảo vệ một cách thích hợp Nguồn: ISO/IEC 17799 Tầm quan trọng của Thông tin Thông tin là yếu tố cần thiết để trì lợi nhuận, dòng tiền mặt, lợi thế cạnh tranh và hình ảnh thương mại Ngày càng tăng sự phụ thuộc vào các hệ thống thông tin Thông tin là tài sản cũng tài sản nguồn vốn và tài sản người Thông tin Được lưu trữ Máy vi tính Được truyền qua mạng Được in hoặc viết giấy Được gửi bằng fax Được lưu trữ băng hoặc đĩa Được truyền đạt qua giao tiếp (kể cả điện thoại) Được hiển thị phim ảnh hoặc trình chiếu … Các Mối đe dọa đối với Thông tin Tai nạn và Thảm họa Nhân viên Các nhà tư vấn Đối tác Kinh doanh Người ngoài Máy vi tính (PC) và Vi rút … Phân loại thông tin Giới thiệu Cơ sở hạ tầng CNTT là gì? Nền tảng bản về đầu tư cho khả của CNTT (cả về mặt kỹ thuật và người), được chia sẻ toàn doanh nghiệp nhờ vào các dịch vụ tin cậy và việc điều phối tập trung A.12.2 Xử lý Phù hợp các Ứng dụng Mục tiêu: Ngăn ngừa các sai sót, mất mát, sửa đổi trái phép hoặc sử dụng sai mục đích thông tin các ứng dụng A.12.2.1 Kiểm tra dữ liệu đầu vào A.12.2.2 Kiểm soát quy trình xử lý nội bộ A.12.2.3 Tính toàn vẹn của thông tin A.12.2.4 Kiểm tra dữ liệu đầu A.12.3 Kiểm soát bằng Mật mã Mục tiêu: Bảo vệ tính bảo mật, tính xác thực hoặc tính toàn vẹn của thông tin bằng các phương tiện mã hóa A.12.3.1 Chính sách sử dụng các công cụ kiểm soát mã hóa A.12.3.2 Quản lý chìa khóa A.12.4 An toàn các Tập tin Hệ thống Mục tiêu: Đảm bảo an toàn các tập tin hệ thống A.12.4.1 Kiểm soát các phần mềm điều hành A.12.4.2 Bảo vệ các dữ liệu kiểm tra hệ thống A.12.4.3 Kiểm soát truy cập vào mã nguồn chương trình A.12.5 An toàn các Quy trình Phát triển và Hỗ trợ Mục tiêu: Duy trì an toàn các thông tin và phần mềm hệ thống ứng dụng A.12.5.1 Các thủ tục kiểm soát thay đổi A.12.5.2 Xem xét kỹ thuật của các ứng dụng sau thay đổi hệ điều hành A.12.5.3 Hạn chế thay đổi các gói phần mềm A.12.5.4 Rò rỉ thông tin A.12.5.5 Gia công phần mềm thuê ngoài A.12.6 Quản lý các Lỗ hổng Kỹ thuật Mục tiêu: Giảm thiểu các rủi ro liên quan đến việc khai thác các lỗ hổng kỹ thuật đã được công bố 12.6.1 Kiểm soát các lỗ hổng kỹ thuật A.13 QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN A.13.1 Báo cáo các Sự kiện và Điểm yếu An toàn Thông tin Mục tiêu: Đảm bảo các sự kiện và các điểm yếu an toàn thông tin của các hệ thống thông tin được báo cáo theo một quy trình giúp có thể áp dụng hành động khắc phục kịp thời A.13.1.1 Báo cáo các sự kiện an toàn thông tin A.13.1.2 Báo cáo các điểm yếu an toàn A.13.2 Quản lý các Sự cố và Cải tiến An toàn Thông tin Mục tiêu: Đảm bảo có một phương pháp nhất quán và hiệu quả được áp dụng để quản lý an toàn thông tin A.13.2.1 Trách nhiệm và các thủ tục A.13.2.2 Rút kinh nghiệm từ các sự cố về an toàn thông tin A.13.2.3 Thu thập các bằng chứng A.14 QUẢN LÝ TÍNH LIÊN TỤC TRONG KINH DOANH A.14.1 Các Khía cạnh An toàn Thông tin của việc Quản lý Tính liên tục Kinh doanh Mục tiêu: Đối phó với sự gián đoạn các hoạt động kinh doanh và bảo vệ các quy trình kinh doanh quan trọng trước các tác động của việc các hệ thống thông tin bị sập nghiêm trọng hoặc các thảm họa và đảm bảo phục hồi hệ thống kịp thời 14.1.1 Đưa an toàn thông tin vào quy trình quản lý tính liên tục kinh doanh (BCM) 14.1.2 Tính liên tục kinh doanh và đánh giá rủi ro 14.1.3 Phát triển và trì các kế hoạch về tính liên tục có yếu tố an toàn thông tin 14.1.4 Sơ đồ lập kế hoạch kinh doanh liên tục 14.1.5 Kiểm tra, trì và đánh giá lại các kế hoạch kinh doanh liên tục A.15 TUÂN THỦ A.15.1 Tuân thủ các yêu cầu luật pháp Mục tiêu: Ngăn ngừa các vi phạm luật pháp, quy định, quy chế hoặc các nghĩa vụ hợp đồng và bất kỳ yêu cầu an toàn thông tin nào 15.1.1 Nhận diện các quy định pháp lý liên quan 15.1.2 Quyền sở hữu trí tuệ (IPR) 15.1.3 Bảo vệ các hồ sơ của tổ chức 15.1.4 Bảo vệ dữ liệu và tính bảo mật của thông tin cá nhân 15.1.5 Ngăn ngừa việc sử dụng sai mục đích các phương tiện xử lý thông tin 15.1.6 Quy định về các công cụ kiểm soát mã hóa A.15.2 Tuân thủ các Chính sách và tiêu chuẩn An toàn, Kiểm tra Sự phù hợp về mặt Kỹ thuật Mục tiêu: Đảm bảo sự phù hợp của hệ thống với các chính sách và tiêu chuẩn an toàn của tổ chức 15.2.1 Tuân thủ các chính sách và tiêu chuẩn an toàn 15.2.2 Kiểm tra sự phù hợp về mặt kỹ thuật A.15.3 Các Điểm lưu ý Đánh giá các Hệ thống Thông tin Mục tiêu: Tối đa hóa hiệu quả và giảm thiểu các tác động của việc đánh giá hệ thống thông tin 15.3.1 Kiểm soát việc đánh giá các hệ thống thông tin 15.3.2 Bảo vệ các công cụ đánh giá hệ thống thông tin Tài liệu tham khảo ISMS hệ thống quản lý an toàn thông tin – Bộ công cụ người thực – công ty ECCI International www.sciencedirect.com [...]... Kiểm soát quy trình Kiểm tra và Giám sát Tự động Thiết kế Hệ thống Quản lý Tài liệu … Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Trong Trong Trong Trong Trong Trong … thương mại quản lý công giáo dục dịch vụ truyền thông học tập, nghiên cứu giải trí Thách thức của việc Quản lý Cơ sở hạ tầng CNTT Thách thức của việc Quản lý Cơ sở hạ tầng... công ty – điều tiếng xấu, lỗi giao hàng Đánh giá và Quản lý Rủi ro Tài sản phải được xác định và phải được thiết lập quyền sở hữu Cũng phải thiết lập một giá trị tương đối cho mỗi tài sản để có thể xác định mức độ quan trọng khi định lượng rủi ro Đánh giá và Quản lý Rủi ro Tùy vào dạng thiệt hại / hư hỏng Thiệt hại tài chính... công cụ kiểm soát này cần phải được thiết lập để đảm bảo đáp ứng các mục tiêu an toàn cụ thể của tổ chức Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro Các Đe dọa, Rủi ro và Lỗ hổng Khai thác Lỗ hổng Đe dọa Tă Bảo vệ chống ng ă T ng Tấn công Risk Kiểm soát Gi ả m Giảm Đáp ứng bằng ỉ r h C Tài sản a Các Yêu cầu... động Giảm Đánh giá và Quản lý Rủi ro Tài sản là những gì mà tổ chức trực tiếp gán giá trị cho nó và do đó cần phải được bảo vệ Tài sản Thông tin Tài sản Phần mềm Tài sản Vật chất Dịch vụ Những tài sản này phải nằm trong phạm vi của Hệ thống Quản lý An toàn Thông tin (ISMS) Đánh giá và Quản lý Rủi ro Theo ISO 27001, “tài sản” không... tất cả những gì thường được coi là có giá trị trong tổ chức Tổ chức phải xác định tài sản nào có thể ảnh hưởng quan trọng đến việc tạo ra sản phẩm/dịch vụ khi bị thiếu hoặc bị hư hỏng; hoặc dẫn đến thiệt hại cho tổ chức do mất đi tính bảo mật hoặc tính toàn vẹn Đánh giá và Quản lý Rủi ro Một số ví dụ: Tài sản Thông tin... Tại sao phải An toàn Thông tin? Bảo vệ thông tin khỏi những mối đe dọa Bảo đảm tính liên tục trong kinh doanh Tối đa hóa lợi nhuận đầu tư và các cơ hội kinh doanh Đây là một vấn đề kinh doanh! Làm cách nào để Đảm bảo An toàn Thông tin? Đảm bảo an toàn thông tin bằng cách thực hiện một nhóm công cụ kiểm soát thích hợp, có thể bao gồm các chính... nguy hại mới cần được xem xét Đánh giá và Quản lý Rủi ro Một số ví dụ: Truy cập Ngẫu nhiên – dữ liệu để bừa bãi, để lộ hoặc bị nhìn thấy dữ liệu trên màn hình máy vi tính, xem trên phương tiện giao thông công cộng Nhân viên và Cán bộ Bất mãn – Họ thường dễ nhận thấy lỗ hổng trong hệ thống của tổ chức Họ có thể hành động vì lợi ích... tín Đánh giá và Quản lý Rủi ro Đe dọa là khả năng gây ra một sự cố không mong muốn, có thể dẫn đến việc hư hỏng cho một hệ thống hoặc một tổ chức và các tài sản của tổ chức Có thể thuộc về môi trường (như bão lụt), kỹ thuật (như sập máy chủ), hoặc con người (như biểu tình) Có thể từ bên ngoài hoặc bên trong Có thể do chủ ý hoặc vô... ngoài hoặc bên trong Có thể do chủ ý hoặc vô ý Tài sản chịu nhiều hình thức đe dọa bị khai thác các lỗ hổng Đánh giá và Quản lý Rủi ro Đe dọa khai thác hoặc lợi dụng các lỗ hổng của tài sản để tạo ra rủi ro Các mối đe dọa đối với tài sản phải được nhận diện Có thể có nhiều mối đe dọa đối với mỗi tài sản Việc nhận diện các mối đe... tính khác như tính xác thực, tính trách nhiệm, tính thừa nhận và độ tin cậy cũng được đưa vào định nghĩa Ba Khía cạnh của An toàn Thông tin Nội dung Quản lý An toàn Thông tin Công chúng Quản lý Nội bộ Người dùng Tính toàn vẹn Tính bảo mật Nhân viên Rủi ro Tranh chấp Tính sẵn sàng Các Chủ thể liên đới Đánh giá Nội bộ An toàn Thông tin Thách thức ... Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Trong Trong Trong Trong Trong Trong … thương mại quản lý công giáo dục dịch vụ truyền thông học tập, nghiên cứu giải trí Thách... mức độ nghiêm trọng tương đối của một rủi ro cho trước không phụ thuộc vào xác suất của nó Đánh giá và Quản lý Rủi ro Đánh giá và giảm nhẹ rủi ro là mục tiêu... Rủi ro Đánh giá và Quản lý Rủi ro Xác định và Định giá Tài sản Quy trình đánh giá và quản lý Rủi ro (1) Nhận diện các Lỗ hổng Nhận diện các Mối đe dọa Các rủi ro