ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống Thông tin Mã số: 60 48 01 04 HÀ NỘI - 2016 MỞ ĐẦU Chương Trình bày tổng quan an toàn thông tin 1.1 Các khái niệm liên quan đến an toàn thông tin 1.2 Các nguy rủi ro an toàn thông tin 1.3 Nhu cầu cấp thiết cần phải xây dựng hệ thống an toàn thông tin đáp ứng tiêu chuẩn quốc tế Chương Trình bày tiêu chuẩn quốc tế ISO 27001 2.1 Tổng quan tiêu chuẩn ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001 2.1.3 Lịch sử phát triển ISO 27001 2.1.4 Tiếp cận trình 2.1.5 Thiết lập, kiểm soát, trì cải tiến ISMS 2.1.6 Phạm vi áp dụng 2.2 Hệ thống quản lý an toàn thông tin 2.2.1 Thuật ngữ định nghĩa 2.2.2 Bối cảnh tổ chức 2.2.3 Lãnh đạo 2.2.4 Hoạch định 10 2.2.5 Hỗ trợ 10 2.2.6 Điều hành 11 2.2.7 Đánh giá kết 11 2.2.8 Cải tiến 11 2.2.9 Trình bày phụ lục A tiêu chuẩn 12 2.3 Mười lý để chứng nhận ISO 27001 12 2.4 Thực trạng triển vọng phát triển ISO 27001 12 Chương Xây dựng hệ thống quản lý an toàn thông tin cho doanh nghiệp 13 3.1 Phát biểu toán 13 3.2 Xây dựng chương trình 13 3.2.1 Phương pháp xác định rủi ro 13 3.2.2 Quản lý tài sản 15 3.2.3 Xác định nguy điểm yếu hệ thống 18 3.2.4 Lựa chọn mục tiêu kiểm soát 23 3.2.5 Chương trình thử nghiệm 23 KẾT LUẬN 24 A Những vấn đề giải luận văn 24 B Kiến nghị hướng nghiên cứu tương lai 25 MỞ ĐẦU Hiện nay, với phát triển nhanh chóng lĩnh vực công nghệ, xuất nhiều công mạng, công từ hacker, nguy gây an toàn thông tin xảy với tần xuất nhiều hơn, nghiêm trọng Bên cạnh doanh nghiệp giới nói chung Việt Nam nói riêng phát triển đa dạng ngành nghề lĩnh vực Mỗi ngành nghề lĩnh vực đòi hỏi thông tin cần phải bảo mật, toàn vẹn sẵn sàng, vừa giúp cho doanh nghiệp phát triển, thông tin bảo vệ, hạn chế công, vừa giúp cho doanh nghiệp có hình ảnh uy tín bên đối tác đánh giá tin tưởng hợp tác với doanh nghiệp có bảo vệ thông tin cách an toàn Như vấn đề an toàn thông tin lại quan trọng nhu cầu cấp thiết doanh nghiệp Vậy làm để giúp doanh nghiệp thực điều Để trả lời cho câu hỏi này, luận văn Nghiên cứu tiêu chuẩn ISO 27001 ứng dụng nghiên cứu tìm hiểu cách xây dựng hệ thống an toàn thông tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thông tin cách an toàn hiệu Luận văn tổ chức thành chương sau: Chương Trình bày tổng quan an toàn thông tin Chương Trình bày tiểu chuẩn quốc tế ISO 27001 Chương Xây dựng hệ thống quản lý hệ thống an toàn thông tin cho doanh nghiệp Chương Trình bày tổng quan an toàn thông tin 1.1 Các khái niệm liên quan đến an toàn thông tin Theo tài liệu ISO17799 định nghĩa an toàn thông tin (Information Security) sau: “Thông tin tài sản quí loại tài sản khác tổ chức doanh nghiệp cần phải bảo vệ trước vô số mối đe doạ từ bên bên nội để bảo đảm cho hệ thống hoạt động liên tục, giảm thiểu rủi ro đạt hiệu suất làm việc cao hiệu đầu tư” An toàn thông tin mang nhiều đặc tính, đặc tính an toàn thông tin bao gồm: Tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) tính sẵn sàng (Availability) Ba đặc tính gọi tam giác bảo mật CIA Các đặc tính với tổ chức, không lệ thuộc vào việc chúng chia sẻ thông tin Tính bảo mật: Là tâm điểm giải pháp an ninh cho sản phẩm/hệ thống CNTT Giải pháp an ninh tập hợp quy tắc xác định quyền truy cập đến thông tin, với số lượng người sử dụng thông tin định số lượng thông tin định Trong trường hợp kiểm soát truy cập cục bộ, nhóm người truy cập kiểm soát xem họ truy cập liệu đảm bảo kiểm soát truy cập có hiệu lực, loại bỏ truy cập trái phép vào khu vực độc quyền cá nhân, tổ chức Tính bảo mật cần thiết (nhưng chưa đủ) để trì riêng tư người có thông tin hệ thống lưu giữ Tính toàn vẹn: Không bị sửa đổi đặc tính phức hợp dễ bị hiểu lầm thông tin Đặc tính toàn vẹn hiểu chất lượng thông tin xác định vào độ xác thực phản ánh thực tế Số liệu gần với thực tế chất lượng thông tin chuẩn nhiêu Để đảm bảo tính toàn vẹn cần loạt biện pháp đồng nhằm hỗ trợ đảm bảo kịp thời đầy đủ, bảo mật hợp lý cho thông tin Tính sẵn sàng: Đảm bảo độ sẵn sàng thông tin, tức thông tin truy xuất người phép vào họ muốn Ví dụ, server bị ngưng hoạt động hay ngừng cung cấp dịch vụ vòng phút năm độ sẵn sàng 99.9999% Đây đặc tính quan trọng, khía cạnh sống an ninh thông tin, đảm bảo cho thông tin đến địa (người phép sử dụng) có nhu cầu yêu cầu Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy thông tin, đảm nhiệm thước đo, phạm vi tới hạn hệ thông tin Các tổ chức, doanh nghiệp muốn đảm bảo an toàn thông tin cần phải trì đuợc cân ba yếu tố trên, thuộc tính khác tính xác thực, trách nhiệm giải trình, tính thừa nhận tính tin cậy liên quan 1.2 Các nguy rủi ro an toàn thông tin Nguy an toàn thông tin khía cạnh vật lý: Nguy an toàn thông tin khía cạnh vật lý nguy điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng Nguy bị mất, hỏng, sửa đổi nội dung thông tin: Người dùng vô tình để lộ mật không thao tác quy trình tạo hội cho kẻ xấu lợi dụng để lấy cắp làm hỏng thông tin Nguy bị công phần mềm độc hại: Các phần mềm độc hại công nhiều phương pháp khác để xâm nhập vào hệ thống với mục đích khác như: Virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware, Trojan, Adware) Nguy xâm nhập từ lỗ hổng bảo mật: Lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chương trình cài đặt máy tính Nguy xâm nhập bị công cách phá mật khẩu: Những kẻ công có nhiều cách khác phức tạp để tìm mật truy nhập Những kẻ công có trình độ biết có khoản mục người dùng quản trị Nguy an toàn thông tin sử dụng e-mail: Tấn công có chủ đích thư điện tử công email giả mạo giống email gửi người quen, gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Cách thức công thường nhằm vào cá nhân hay tổ chức cụ thể Thư điện tử đính kèm tập tin chứa virus gửi từ kẻ mạo danh đồng nghiệp đối tác Người dùng bị công thư điện tử bị đánh cắp mật bị lây nhiễm virus Nguy an toàn thông tin trình truyền tin: Trong trình lưu thông giao dịch thông tin mạng internet nguy an toàn thông tin trình truyền tin cao kẻ xấu chặn đường truyền thay đổi phá hỏng nội dung thông tin gửi tiếp tục đến người nhận 1.3 Nhu cầu cấp thiết cần phải xây dựng hệ thống an toàn thông tin đáp ứng tiêu chuẩn quốc tế Từ nguy rủi ro an toàn thông tin cho ta thấy, nhu cầu cần thiết phải thiết lập sách an ninh thông tin dựa tảng hệ thống quản lý an toàn thông tin (ISMS – Information Security Management System) chuẩn hóa vô cần thiết ISO 27001 tiêu chuẩn quốc tế đáp ứng nhu cầu Nó cung cấp khuôn khổ, quy tắc cho việc khởi đầu, thiết lập, quản lý trì an ninh thông tin tổ chức để thiết lập tảng vững cho sách an toàn thông tin, bảo vệ tài sản tổ chức, doanh nghiệp cách thích hợp Chương Trình bày tiêu chuẩn quốc tế ISO 27001 2.1 Tổng quan tiêu chuẩn ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn có mối quan hệ với nhau, xuất phát triển, chứa số thành phần cấu trúc quan trọng Các thành phần tập trung chủ yếu vào mô tả yêu cầu ISMS (ISO/IEC 27001) tiêu chuẩn dùng để chứng nhận (ISO/IEC 27006) cho phù hợp tiêu chuẩn ISO/IEC 27001 mà tổ chức áp dụng Các tiêu chuẩn khác cung cấp hướng dẫn cho khía cạnh khác thực thi ISMS, giải trình chung, hướng dẫn kiểm soát liên quan hướng dẫn cụ thể theo ngành Hình 2.1: Họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001 ISO/IEC 27001 (Information Security Management System – ISMS) tiêu chuẩn quy định yêu cầu việc xây dựng áp dụng hệ thống quản lý an toàn thông tin nhằm đảm bảo tính bảo mật, tính toàn vẹn tính sẵn sàng tài sản thông tin tổ chức Việc áp dụng hệ thống quản lý an toàn thông tin giúp tổ chức ngăn ngừa, hạn chế tổn thất sản xuất, kinh doanh liên quan tới việc hư hỏng, mát thông tin, liệu quan trọng 2.1.3 Lịch sử phát triển ISO 27001 Hình 2.2: Lịch sử phát triển ISO 27001 - Năm 1992: Phòng thương mại công nghiệp Anh cho đời “Bộ quy tắc chuẩn cho hoạt động quản lý an toàn thông tin” Năm 1995: Bộ quy tắc chỉnh sửa, bổ sung tái viện chuẩn hóa Anh với tên BS7799 (phần 1) Năm 1999: BS7799 chỉnh sửa, cải tiến lần thứ Năm 2000: BS7799 ISO công nhận đặt tên ISO/IEC 17799 Năm 2002: BS7799 phần đời Tháng 10 năm 2005 BS7799 phần ISO công nhận đổi thành ISO 27001:2005 Tháng 10 năm 2013 tiêu chuẩn ISO/IEC 27001:2013 đời 2.1.4 Tiếp cận trình Đầu trình trực tiếp tạo thành đầu vào cho trình khác thường biến đổi thực theo lập kế hoạch điều kiện kiểm soát Cách tiếp cận trình cho ISMS họ tiêu chuẩn ISMS dựa nguyên tắc điều hành thông qua tiêu chuẩn hệ thống quản lý phổ biến biết Plan – Do – Check – Act: Plan: lập kế hoạch, xác định mục tiêu, phạm vi, nguồn lực để thực hiện, thời gian phương pháp đạt mục tiêu Do: Đưa kế hoạch vào thực Check: Dựa theo kế hoạch để kiểm tra kết thực Act: Thông qua kết thu để đề tác động điều chỉnh thích hợp nhằm bắt đầu lại chu trình với thông tin đầu vào 2.1.5 Thiết lập, kiểm soát, trì cải tiến ISMS 2.1.5.1 Tổng quan Tổ chức cần làm theo bước thiết lập, kiểm soát, trì cải tiến ISMS tổ chức 2.1.5.2 Xác định yêu cầu an toàn thông tin Trong phạm vi tất chiến lược mục tiêu kinh doanh tổ chức, quy mô mở rộng địa lý, yêu cầu an toàn thông tin phải xác định 2.1.5.3 Đánh giá rủi ro an toàn thông tin Đánh giá rủi ro phải thực định kỳ để gửi thay đổi yêu cầu an toàn thông tin tình rủi ro, ví dụ: tài sản, nguy cơ, lỗ hổng, ảnh hưởng, đánh giá rủi ro thay đổi quan trọng xảy Đánh giá rủi ro phải cam kết cách có phương pháp có khả so sánh sinh kết 2.1.5.4 Giải rủi ro an toàn thông tin Cho rủi ro xác định sau đánh giá rủi ro định xử lý rủi ro cần phải thực 2.1.5.5 Lựa chọn thực kiểm soát Kiểm soát phải đảm bảo rủi ro giảm thiểu để mức độ chấp nhận tính đến: 11 2.2.5.5 Thông tin dạng văn Nêu khái quát hệ thống an toàn thông tin tổ chức, tạo cập nhật thông tin dạng văn Thực kiểm soát thông tin dạng văn 2.2.6 Điều hành 2.2.6.1 Hoạch định điều hành kiểm soát Tổ chức phải lập kế hoạch, thực kiểm soát trình cần thiết để đáp ứng yêu cầu an toàn thông tin, để thực hành động xác định 2.2.4.1 Tổ chức phải thực kế hoạch để đạt mục tiêu an toàn thông tin xác định 2.2.4.2 2.2.6.2 Đánh giá rủi ro an toàn thông tin Tổ chức phải thực đánh giá rủi ro an toàn thông tin tần suất hoạch định có thay đổi đáng kể đề nghị xảy ra, sử dụng tiêu chí thiết lập 2.2.4.1.2 a) 2.2.6.3 Xử lý rủi ro an toàn thông tin Tổ chức phải thực kế hoạch xử lý rủi ro an toàn thông tin 2.2.7 Đánh giá kết 2.2.7.1 Theo dõi, đo lường, phân tích đánh giá Tổ chức phải đánh giá kết an toàn thông tin tính hiệu lực hệ thống quản lý an toàn thông tin 2.2.7.2 Đánh giá nội Tổ chức phải thực đánh giá nội theo tần suất hoạch định để cung cấp thông tin hệ thống quản lý an toàn thông tin 2.2.7.3 Xem xét lãnh đạo Lãnh đạo cao phải xem xét hệ thống quản lý an toàn thông tin tổ chức tần suất hoạch định để đảm bảo liên tục phù hợp, đầy đủ có hiệu lực 2.2.8 Cải tiến 2.2.8.1 Sự không phù hợp hành động khắc phục Khi xảy không phù hợp, tổ chức phải thực đánh giá, giải xác định nguyên nhân, xem xét tính hiệu lực hành động khắc 12 phục thực Các hành động phải thích hợp với tác động không phù hợp gặp phải phải lưu lại thông tin dạng văn 2.2.8.2 Cải tiến liên tục Tổ chức phải cải tiến liên tục phù hợp, đầy đủ hiệu lực hệ thống quản lý an toàn thông tin 2.2.9 Trình bày phụ lục A tiêu chuẩn Phụ lục A bao gồm 14 chương, 35 mục tiêu 114 kiểm soát 2.3 Mười lý để chứng nhận ISO 27001 10 lý để chứng nhận ISO 27001 bao gồm: Thông tin đúng, thúc đẩy quan hệ đối tác, cắt giảm chi phí chuỗi cung ứng, không đơn an ninh thông tin, hoạt động quy trình hệ thống quán, áp dụng mở rộng bao quát không riêng công nghệ thông tin, đánh giá tổ chức chứng nhận công nhận Quốc tế 2.4 Thực trạng triển vọng phát triển ISO 27001 Từ năm 2006, nhiều tổ chức, quan Việt Nam quan tâm đến ISO 27001 có nhiều tổ chức lấy chứng nhận tiêu chuẩn Theo đánh giá số chuyên gia, triển vọng áp dụng ISO 27001 Việt Nam cao Trong thời gian tới đây, ISO 27001 thu hút quan tâm doanh nghiệp, tổ chức thuộc lĩnh vực tài (ngân hàng, chứng khoán, bảo hiểm) tổ chức, quan Nhà nước lĩnh vực quốc phòng, an ninh ISO 27001 kỳ vọng tạo quan tâm ISO 9000 thập niên 90 13 Chương Xây dựng hệ thống quản lý an toàn thông tin cho doanh nghiệp 3.1 Phát biểu toán Nhằm xây dựng môi trường làm việc với hệ thống máy tính, thông tin an toàn giúp cho việc khai thác thông tin hiệu cần phải hiểu rõ nguy cơ, điểm yếu hệ thống Hiểu rõ nguy giúp cân rủi ro hội, lợi ích tiềm mang lại Để thực việc hiệu bắt buộc phải tuân theo giải pháp nghiên cứu xác lập đánh giá hệ thống, tập trung vào việc đảm bảo an toàn thông tin Luận văn xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001:2013 nhằm thực quản lý tài sản thông tin, quản lý rủi ro, sách, quy định quy trình để giảm thiểu rủi ro, đảm bảo an ninh thông tin liên tục hoạt động sản xuất kinh doanh doanh nghiệp 3.2 Xây dựng chương trình 3.2.1 Phương pháp xác định rủi ro Thực việc xem xét phân tích rủi ro cách chi tiết tất hệ thống thông tin công ty Công tác bao gồm việc đánh giá xác định tài sản, đánh giá đe dọa tới tài sản đánh giá điểm yếu Danh sách nguy điểm yếu bao gồm: Tất nguy điểm yếu xác định, xem xét đội ngũ ISMS phê duyệt Ban lãnh đạo Công ty Danh sách sách phải rà soát định kỳ tháng lần đội ISMS Trong trường hợp có thay đổi phải phê duyệt Ban lãnh đạo Công ty Có phương pháp để đánh giá rủi ro đánh giá rủi ro định tính định lượng1: Phương pháp đánh giá định lượng việc gán giá trị cụ thể tới mát xảy https://dnasecurity.com.vn/truyen-thong/tin-tuc-trong-nganh/164-qun-ly-va-xacnh-ri-ro-risk-identification-a-management-p2.html 14 Phương pháp đánh giá định tính đưa giá trị chưa xác định việc mát liệu không trọng vào thiệt hại kinh tế đơn Rủi ro kết hợp khả xảy rủi ro ảnh hưởng rủi ro Khả xảy rủi ro cho biết xác suất điểm yếu thể bị khai thác nguy Ảnh hưởng rủi ro thể mát Công ty từ nguy Mức độ ảnh hưởng = Nguy * Điểm yếu2 Mức độ rủi ro tài sản thông tin thể qua xác suất/tần suất mức độ ảnh hưởng việc diễn Đánh giá mức độ rủi ro dựa theo công thức bên dưới: Giá trị rủi ro = Xác suất xảy * Mức độ ảnh hưởng * Giá trị tài sản3 Để xác định giá trị rủi ro công ty cần phải xác định xác suất xảy ra, nguy cơ, điểm yếu, giá trị tài sản: + Giả sử định mức xác suất xảy ra: Rất cao 5; Cao 4; Trung bình 3; Thấp 2; Rất thấp + Giả sử định mức cho nguy cơ: Mức đặc biệt 5; mức cao 4; mức trung bình 3; mức thấp 2; mức thấp + Giả sử định mức cho điểm yếu: Mức đặc biệt 5; mức cao 4; mức trung bình 3; mức thấp 2; mức thấp + Giả sử định mức giá trị tài sản từ 1-5 theo thuộc tính C, I, A Công thức chuẩn ISO ban hành Công thức chuẩn ISO ban hành 15 Bảng 3.1: Ma trận tính giá trị rủi ro Mức độ rủi ro an toàn có giá trị từ 1-16 3.2.2 Quản lý tài sản Đánh giá giá trị tài sản mức độ ảnh hưởng tổ chức dựa định tính định lượng Đánh giá định tính dựa mức độ ảnh hưởng tới hoạt động kinh doanh, uy tín, hình ảnh Công ty Đánh giá định lượng dựa giá trị tính tiền (Ví dụ : Thiết bị hỏng tiền để thay thế, sửa chữa kết nối dẫn đến không giao dịch gây doanh thu ngày tính tiền…) 16 Hình 3.1: Tài sản Tài sản bao gồm loại sau: Tài sản thông tin: Tài sản thông tin loại hình tài sản Công ty áp dụng loại tài sản hữu hình vô hình Tài sản phần cứng/ vật lý: Phần cứng vật lý loại hình tài sản Công ty áp dụng tất phần cứng thiết bị vật lý sử dụng phục vụ sản xuất, kinh doanh hoạt động nghiệp vụ khác Công ty Tài sản phần mềm: Tài sản phần mềm loại hình tài sản Công ty áp dụng tất phần mềm sử dụng phục vụ sản xuất, kinh doanh hoạt động nghiệp vụ khác Công ty Tài sản người: Bao gồm nhân viên công ty (trình độ, kỹ năng, kinh nghiệm), khách hàng công ty nhà cung cấp dịch vụ công ty Tài sản dịch vụ: Tài sản dịch vụ bao gồm dịch vụ sử dụng để phục vụ hoạt động Công ty Tài sản vô hình: Tài sản vô hình bao gồm hình ảnh danh tiếng Công ty 17 Giá trị tài sản thể qua thuộc tính bảo mật (C), toàn vẹn (I), sẵn sàng (A) tài sản Tính bảo mật tài sản nhận giá trị từ 1-5 Tính toàn vẹn tài sản nhận giá trị từ 1-5 Tính sẵn sàng tài sản nhận giá trị từ 1-5 Giá trị Bảng 3.2: Đánh giá tài sản độ bảo mật Mô tả Không nhạy cảm, sẵn sàng công bố Không nhạy cảm, hạn chế sử dụng nội Hạn chế sử dụng tổ chức Chỉ sử dụng nơi cần thiết Chỉ sử dụng nơi cần thiết cấp quản lý cao Giá trị Bảng 3.3: Đánh giá tài sản độ toàn vẹn Mô tả Ảnh hưởng tới kinh doanh không đáng kể Ảnh hưởng tới kinh doanh thấp Ảnh hưởng quan trọng tới kinh doanh Ảnh hưởng chủ yếu tới kinh doanh Tác động làm sụp đổ trình kinh doanh Giá trị Bảng 3.4: Đánh giá tài sản độ sẵn sàng Mô tả Sẳn sàng đáp ứng vòng 25% số làm việc Sẳn sàng đáp ứng vòng 50-60 % số làm việc Sẳn sàng đáp ứng vòng 75-80 % số làm việc Sẳn sàng đáp ứng vòng 95 % số làm việc Sẳn sàng đáp ứng vòng 99.5 % số làm việc Giá trị lớn tính chất C, I, A tài sản lấy làm giá trị tài sản, sở để tính giá trị rủi ro Ví dụ: Một tài sản giá trị C = 2, I=3, A=3 giá trị tài sản mang giá trị Giá trị tài sản độ quan trọng tài sản tỷ lệ thuận với 18 3.2.3 Xác định nguy điểm yếu hệ thống Mối nguy (T): Các nguy coi nguyên nhân tiềm tàng gây cố không mong muốn, chúng có khả gây thiệt hại cho hệ thống, công ty tài sản hệ thống, công ty Nguy xuất phát từ lý người, môi trường công nghệ/ kỹ thuật; nguy phát sinh từ nội bên tổ chức Bảng 3.5: Danh sách nguy STT Tên nguy Bão lụt Bị đột nhập, trộm cắp tài sản Bị khóa password cá nhân, không truy cập Bị file lỗi người dùng Bị hỏng phần mềm quan trọng Bụi, ăn mòn, đóng băng Cài đặt thay đổi phần mềm trái phép Can thiệp từ bên ngoài, bị nghe cài đặt thông tin trả lời tự động trái phép Cháy nổ cáp điện, đứt cáp điện thoại 10 Cháy, nổ 11 Công tác bảo hành, bảo trì kèm 12 Dễ bị hack 13 Dễ bị virus 14 Động đất 15 Gây nhầm lẫn việc sử dụng cho người dùng 16 Giả mạo danh tính người dùng 17 Lạm dụng quyền sử dụng tài sản 18 Lỗi kỹ thuật 19 Lỗi phần cứng 20 Lỗi phần mềm 21 Lỗi sử dụng 22 Lý sức khỏe 23 Mất ATTT 24 Mất C,I,A thông tin 25 Mất điện 19 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 Mất liệu Nhân viên làm việc dễ truy cập trái phép làm rò rỉ thông tin cách thiếu ý thức Nhiệt độ độ ẩm không bảo đảm máy tính server Những người nghỉ việc truy cập văn phòng hệ thống thông tin Phá hoại, trộm cắp, gian lận Phá hủy, trộm cắp tài sản thông tin Quá tải mạng Rách ,mủn, mờ môi trường Rò rỉ thông tin Sang làm việc cho đối thủ canh tranh Sử dụng thiết bị trái phép Sự sẵn sàng tính toàn vẹn hệ thống sản xuất bị ảnh hưởng, gây lỗi, hỏng phần mềm chưa kiểm tra đưa vào sử dụng Thất lạc, không lưu trữ quy định Thiệt hại có chủ ý người Thiếu chế giám sát Thời gian chờ đợi dài Tính sẵn sàng nguồn lực Tính toàn vẹn liệu bị ảnh hưởng, bị trộm cắp liệu Trộm cắp liệu Trộm cắp liệu thông tin Trộm cắp phương tiện tài liệu Trộm cắp, gây rối, làm gián điệp, phá hoại Công ty Truy cập trái phép Truy cập trái phép thông tin Truy cập trái phép tới máy chủ Truy cập trái phép tới máy tính cá nhân Truy cập trái phép sử dụng trái phép tài nguyên Truy cập trái phép sửa đổi thông tin hệ thống Từ chối dịch vụ Vận hành hệ thống bị gián đoạn 20 56 57 Vi phạm quyền điều khoản điều kiện thỏa thuận với nhà cung cấp phần mềm, gây tranh chấp pháp lý Vi phạm bảo trì hệ thống, gây lỗi sử dụng Điểm yếu (V): Các điểm yếu không tự gây thiệt hại mà chúng cần phải có nguy khai thác Một tài sản có nhiều điểm yếu nguyên nhân người, môi trường công nghệ/ kỹ thuật Đầu vào việc nhận biết điểm yếu danh sách nguy biết, danh sách tài sản biện pháp có Các hướng dẫn nhận biết điểm yếu: Cần phải nhận biết điểm yếu bị khai thác nguy an toàn thông tin nguyên nhân gây thiệt hại cho tài sản, cho tổ chức Điểm yếu nhận biết vấn đề sau: o Tổ chức o Quy trình, thủ tục o Thủ tục quản lý o Nhân o Môi trường vật lý o Cấu hình hệ thống thông tin o Phần cứng, phần mềm, thiết bị truyền thông o Sự phụ thuộc vào thành phần bên Một điểm yếu mà nguy tương ứng không cần thiết phải triển khai biện pháp thay đổi cần phát giám sát chặt chẽ Ngược lại, nguy mà điểm yếu tương ứng không gây rủi ro Trong đó, biện pháp thực không cách, quy trình sau chức áp dụng không điểm yếu Biện pháp có hiệu hay không phụ thuôc vào môi trường vận hành hệ thống Một điểm yếu liên quan đến thuộc tính tài sản bị sử dụng khác với mục đích cách thức mua sắm sản xuất, cần phải xem xét điểm yếu phát sinh từ nhiều nguồn khác 21 Đầu việc nhận biết điểm yếu danh sách điểm yếu liên quan đến tài sản, mối đe dọa biện pháp xử lý Một danh sách điểm yếu không liên quan đến nguy nhận biết để soát xét STT 10 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 27 28 Bảng 3.6: Danh sách điểm yếu Tên điểm yếu Bảo trì thiết bị không đầy đủ Bảo trì, bảo dưỡng điều hòa Bảo vệ truy cập vật lý Các mã độc hại lây nhiễm sang máy tính Có nhiều người nội có quyền truy cập Con người Công tác PCCC Đào tạo an toàn thông tin không đầy đủ Dịch vụ bảo vệ Tòa nhà File mềm Giao dịch qua mạng truyền thông, Đường cáp mạng không bảo vệ Giấy, bảo vệ vật lý yếu Giấy, dễ bị ảnh hưởng độ ẩm, bụi Khi bàn giao người quản lý cũ quên ko bàn giao password cá nhân Không tắt máy rời khỏi máy trạm Không bảo mật file password Không cập nhật thường xuyên phần mềm chống virus Không có nguồn điện dự phòng Không có phụ tùng thay hỏng Không bảo vệ kiểm soát đầy đủ Không kiểm soát việc lưu hay nhân tài liệu Kiểm soát vật lý không đầy đủ vào Công ty Lỗi bị virus Trojan phần mềm cài đặt Lỗi hệ điều hành phần mềm ứng dụng Mức độ cung cấp dịch vụ không rõ ràng Nguồn điện không ổn định Password bảo vệ yếu 22 29 30 31 32 35 36 37 38 39 40 42 43 44 45 46 47 48 49 50 51 53 54 55 56 57 58 59 60 61 62 Phần mềm chưa cập nhật Quy trình kiểm thử phần mềm thiếu Rời bỏ Công ty Sao chép không kiểm soát Sự vắng mặt Tấn công virus hacker Thiếu biện pháp kiểm soát việc mang máy tính cá nhân (được cấp phép truy cập mạng Công ty) ra, vào hàng ngày Thiếu biện pháp thay đổi cấu hình hiệu Thiếu thủ tục quản lý thay đổi Thiếu cẩn thận hủy bỏ Thiếu sách sử dụng email internet Thiếu sách sử dụng tài sản Thiếu chế giám sát Thiếu đường dự phòng Thiếu giám sát công việc cấp Thiếu giám sát hệ thống Thiếu đầy đủ quy định (liên quan đến ATTT) hợp đồng với khách hàng hoặc/ bên thứ ba Thiếu kiểm soát phương tiện phần mềm Thiếu kiểm soát truy cập Thiếu nhận thức bảo mật thông tin Thiếu phân loại đầy đủ Thiếu phòng cháy chữa cháy Thiếu trình backup liệu Thiếu quy định cho việc sử dụng phương tiện thông tin Thiếu bảo vệ vật lý Thiếu nhận diện rủi ro liên quan đến đối tác bên Thiếu thủ tục để xem xét, giám sát quyền truy cập Thông tin trao đổi phận HRD bên liên quan không kịp thời Thủ tục tuyển dụng không đầy đủ (thiếu sàng lọc) Việc sử dụng phần mềm phần cứng không cách 23 3.2.4 Lựa chọn mục tiêu kiểm soát Mục đích việc quản lý an ninh thông tin áp dụng ISO 27001:2013 để đảm bảo toàn nhân viên, nhà thầu bên thứ ba hiểu được trách nhiệm thân tương ứng với vai trò giao, giảm thiểu nguy gây tổn hại tới an ninh thông tin trộm cắp, lừa đảo lạm dụng sở vật chất Thứ hai là, nhận thức mối nguy vấn đề liên quan đến an toàn thông tin, trách nhiệm nghĩa vụ pháp lý họ; đào tạo trang bị kiến thức, điều kiện cần thiết nhằm hỗ trợ sách an toàn thông tin công ty trình làm việc giảm thiểu rủi ro lỗi người gây Thứ ba là, rời khỏi tổ chức thay đổi việc làm cách tổ chức, đảm bảo an toàn thông tin Quản lý an ninh thông tin nhân bao gồm áp dụng ba giai đoạn trước tuyển dụng, thời gian làm việc chấm dứt thay đổi vị trí công việc 3.2.5 Chương trình thử nghiệm Chương trình xây dựng ngôn ngữ C# sử dụng công cụ Visual Studio 2012 Hệ quản trị sở liệu SQL Server 2008 R2 Chương trình thử nghiệm cài đặt laptop có cấu hình: Intel core i3 2.13Hz, ram 4Gb Máy tính sử dụng hệ điều hành Microsoft Win 32 bit Chương trình cho phép quản lý danh sách định nghĩa giá trị tài sản, nguy cơ, điểm yếu Đối với loại tài sản có nguy cơ, điểm yếu khác Phần mềm cho phép nhập liệu tính giá trị rủi ro Từ cho nhập liệu biện pháp kiểm soát tính giá trị rủi ro tài sản áp dụng biện pháp kiểm soát Chương trình đưa tuyên bố áp dụng, biểu đồ danh sách báo cáo nguy cơ, tài sản, điểm yếu 24 KẾT LUẬN A Những vấn đề giải luận văn 1/ Về nghiên cứu, tìm hiểu hệ thống quản lý theo chuẩn ISO 27001: Luận văn đưa đầy đủ lý thuyết từ lịch sử phát triển, phạm vi, tiêu chuẩn liên quan kiểm soát, mục tiêu kiểm soát phụ luc A tiêu chuẩn Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an toàn thông tin: Tính tin cậy, tính toàn vẹn, tính sẵn sàng Với yêu cầu cụ thể gồm Tiêu chuẩn ISO 27001:2013 có nội dung chính: - Bối cảnh tổ chức - Lãnh đạo - Hoạch định - Hỗ trợ - Điều hành - Đánh giá kết - Cải tiến - Và phụ lục A bao gồm 14 chương, 35 mục tiêu 114 kiểm soát Như ISO 27001 giúp cho tổ chức tạo hệ thống quản lý an toàn thông tin chặt chẽ nhờ cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu 2/ Về thử nghiệm xây dựng hệ thống an toàn thông tin cho doanh nghiệp: Chương đưa phương pháp xác định rủi ro, định nghĩa tài sản, nguy điểm yếu Từ tài sản, nguy cơ, điểm yếu lựa chọn mục tiêu kiểm soát phù hợp để nhằm mục đích giảm bớt rủi ro xảy doanh nghiệp Qua trình nghiên cứu trình làm việc thực tiễn công ty, định nghĩa số tài liệu sách, quy trình, quy định liên quan đến hệ thống quản lý an toàn thông tin, xây dựng chương trình demo thử nghiệm thông tin quản lý hệ thống an toàn thông tin đưa tuyên bố áp dụng tổ chức 25 B Kiến nghị hướng nghiên cứu tương lai Việc tổ chức hay doanh nghiệp tuân thủ đạt chứng ISO 27001 thừa nhận quốc tế việc đảm bảo an toàn thông tin tổ chức Tuy nhiên, việc tuân thủ hay đạt được chứng ISO 27001 không khẳng định tổ chức an toàn tuyệt đối Do vậy, cần liên tục kiểm soát, đánh giá rủi ro, xác định mối đe dọa điểm yếu hệ thống để có hiểu biết tốt hệ thống thông tin, từ đưa giải pháp để giảm thiểu rủi ro Nên đánh giá hệ thống định kỳ tháng/1 lần để có cải tiến phù hợp với hệ thống quản lý an toàn thông tin Đảm bảo tài sản thông tin đáp ứng ba thuộc tính tính bảo mật, tính toàn vẹn tính sẵn sàng Hệ thống quản lý an toàn thông tin nhiều tổ chức quan tâm đón nhận áp dụng Trong tương lai, muốn nghiên cứu thêm phương pháp đánh giá rủi ro theo định lượng có nghĩa việc đánh giá rủi ro gây thiệt hại tiền mặt, để nhằm giúp cho tổ chức, doanh nghiệp có hình dung cụ thể thiệt hại, mát rủi ro gây Đồng thời nghiên cứu phương pháp đánh giá công nhận chứng ISO 27001 cho tổ chức, doanh nghiệp