Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 34 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
34
Dung lượng
824,92 KB
Nội dung
1 Những cộng đồng lĩnh vực ATTT - Cộng đồng ATTT: chịu trách nhiệm bảo vệ tổ chức khỏi mối đe dọa, cộng đồng bao gồm nhà quản lý chuyên gia có trách nhiệm công việc trọng tâm bảo mật thông tin - Cộng đồng CNTT: bao gồm chuyên gia CNTT thông thường (ko phải ATTT), người hỗ trợ mục tiêu kinh doanh cách cung cấp kỹ thuật CNTT - Cộng đồng doanh nghiệp nói chung: xác định sách phân bổ nguồn lực, bào gồm nhà quản lý chuyên gia ko thuộc CNTT Khái niệm ATTT, Hệ thống TT An tồn thơng tin bảo vệ thông tin hệ thống thông tin nói chung khỏi truy cập trái phép, sử dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không phép… Hệ thống thông tin chia thành phần chính: phần cứng, phần mềm kết nối với mục đích giúp cho việc phân loại áp dụng chuẩn an tồn thơng tin dễ dàng, thuận lợi Thơng thường, thủ tục sách bảo mật thực thi để nói với người (quản trị, người dùng, người vận hành) làm để sử dụng sản phẩm mà đảm bảo an tồn thơng tin cá nhân tổ chức Các lĩnh vực an tồn thơng tin bao gồm: - Physical security: Bảo vệ người, tài sản vật chất, nơi làm việc Operation security: Bảo vệ khả tổ chức để trình làm việc không bị ngắt bị tổn thương Communications security: Bảo vệ phương tiện truyền thông, công nghệ thông tin khả sử dụng công cụ để đạt mục tiêu Network security: Bảo vệ thiết bị mạng, kết nối liệu tổ chức,và nội dung bảo vệ khả sử dụng mạng lưới để hồn thành,chức truyền liệu tổ chức An ninh thông tin (InfoSec) bảo vệ thông tin đặc điểm quan trọng (tính bảo mật, tính tồn vẹn tính khả dụng) bao gồm hệ thống phần cứng sử dụng, việc lưu trữ truyền tải thông tin thơng qua việc áp dụng sách, đào tạo nhận thức chương trình cơng nghệ Tam giác CIA? Tam giác CIA trợ giúp trực quan mô tả đặc điểm quan trọng thông tin Các phận cấu thành + Tính bí mật: để tránh lộ thơng tin đến đối tượng không xác thực để lọt vào hệ thống khác Để bảo vệ bí mật thơng tin, số biện pháp sử dụng, bao gồm: ● Phân loại thông tin ● Lưu trữ liệu an tồn ● Áp dụng sách an ninh chung ● Giáo dục người quản lý người dùng cuối ● Mã hóa + Tính tồn vẹn: có nghĩa liệu bị chỉnh sửa,hư hỏng q trình nhập, lưu trữ, trao đổi + Tính sẳn sàng: Mọi hệ thống thông tin phục vụ mục đích riêng thơng tin phải 1ln ln sẵn sàng cần thiết Hệ thống có tính sẵn sàng cao hướng đến sẵn sàng thời điểm, tránh rủi ro phần cứng, phần mềm như: cố điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… Mô tả mô hình an ninh CNSS ba chiều (dimension)? - - - Mơ hình bảo mật CNSS cho thấy ba chiều ATTT gồm : tính bảo mật, tính tồn vẹn tính khả dụng; sách, giáo dục công nghệ; lưu trữ, xử lý truyền tải Sự riêng tư ATTT Thông tin sữ dụng cho mục đích mà chủ sỡ hữu liệu biết Khi liên quan đến InfoSec (ATTT), định nghĩa riêng tư "trạng thái không bị quan sát,thu thập, sữ dụng lưu trữ trái phép" định nghĩa tập trung vào liệu đề cập đến việc thông tin quan sát bên ủy quyền sách có liên quan, sách (do khơng liên quan đến quyền cá nhân tự do) Định nghĩa quy trỉnh ATTT sau: identification – xác thực, authentication - chứng thực, authorization – cấp quyền, and accountability – trách nhiệm giải trình + Định danh (Identification) tức việc xác định đối tượng ai, qua username or ID + Authentication (chứng thực) q trình kiểm tra danh tính người dùng hệ thống Một cách đơn giản trình Authentication tìm câu trả lời cho câu hỏi “Bạn ai?” xem thơng tin có hay khơng Q trình thơng dụng tương tác người dùng thơng qua form đăng ký (và xác thực dựa tên người dùng mật + Authorization (uỷ quyền) : tìm câu trả lời cho câu hỏi “Bạn phép làm gì?”Xét mặt logic authorization thực thi sau authentication hồn thành Điều có nghĩa sau xác định danh tính người dùng (authentication), hệ thống tiếp tục kiểm tra xem người dùng làm tài nguyên (url, tập tin, chức năng…) hệ thống hay gọi phân quyền hệ thống + Tính khơng thể chối cải (Accountability) xảy kiểm soát cung cấp đảm bảo hoạt động thực quy cho người có tên quy trình tự động Quản lý vai trò người quản lý? Quản lý trình đạt mục tiêu sử dụng nguồn nhân lực, tài nguyên định Người quản lý: thành viên tổ chức giao nhiệm vụ xếp quản lý nguồn lực, điều phối việc hoàn thành nhiệm vụ xử lý nhiều vai trò cần thiết để hồn thành mục tiêu mong muốn Vai trò người quản lý: + Vai trò thơng tin - Thu thập, xử lý sử dụng thơng tin ảnh hưởng đến việc hồn thành mục tiêu + Vai trò liên thơng - Tương tác với cấp trên, cấp dưới, bên liên quan bên ngồi bên khác có ảnh hưởng bị ảnh hưởng việc hoàn thành nhiệm vụ + Vai trò định – Thực lựa chọn từ phương pháp tiếp cận thay giải xung đột, tình trạng khó khăn thách thức So sánh Lãnh đạo (leadership) quản lý (management) Giống: thực vai trò hướng dẫn (guiding) người khác Khác + Một leader người có chun mơn cao, trực tiếp ảnh hưởng đến nhân viên để họ sẵn sàng đạt mục tiêu Người mong đợi dẫn dắt ví dụ thể đặc điểm cá nhân mà làm cho người khác phải ham muốn Nói cách khác, lãnh đạo cung cấp mục đích, đạo động cho người theo đuổi mục tiêu + người quản lý quản lý nguồn lực tổ chức Anh ta tạo ngân sách, cho phép chi tiêu, thuê nhân viên ( quản lý tốt vấn đề giao mà khơng vi phạm điều theo lộ trì cv k cần có chun mơn + Các nhà quản lý hiệu nhà lãnh đạo hiệu - Điều làm nên good leader: + Biết nhược điểm tự cãi thiện thân, Có kĩ thuật chiến lược thơng thạo, Biết chịu trách nhiệm cho hành động thân, Thực định đắn và hợp lý Đặt ví dụ Giữ thơng tin cho cấp Phát triển tinh thần trách nhiẹm cho cấp Đảm bảo công việc hiểu, giám sác hoàn thành Xây dựng team Sữ dụng team tuỳ theo khả họ + Đặc điểm good leader: chịu trách nhiệm, can đảm,quyết đoán,tự lập, biết chịu đựng, nhiệt tình, sáng tạo,chủ động cv,phán quyết,trung thành, có kiến thức, cơng bằng,có chiến thực, khơng kỉ Behavioral leader : Autoratic : hành động theo định hướng – as i say ; Democratic ( dân chủ ) hành động theo định hướng bà hiểu Laissez-faire : tự hành động sáng tạo) Những đặc điềm quản lý ? POLC - Planning (lên kế hoạch): Quá trình xây dựng, sáng tạo thực chiến lược để hoàn thành mục tiêu (Chiến lược - xảy cấp cao tổ chức ; Chiến thuật - tập trung vào dự án sản xuất tích hợp nguồn lực tổ chức ; Operational - tập trung vào hoạt động hàng ngày nguồn lực ) -> để thành công phải xác định rõ mục tiêu mục đích - Organizing (tổ chức): Chức quản lý dành cho việc cấu trúc nguồn lực để hỗ trợ thực mục tiêu (Cần phải xác định: Điều thực theo thứ tự nào, bởi, cách nào) - Leading (lãnh đạo): khuyến khích việc thực quy hoạch tổ chức chức - Controlling (kiểm sốt): việc giám sát tiến độ hồn thành thực điều chỉnh cần thiết để đạt mục tiêu mong muốn 10 Ba loại lên kế hoạch thơng thường (general planning) gì? định nghĩa loại ● Lập kế hoạch chiến lược - Điều xảy cấp cao tổ chức thời gian dài, thường năm năm nhiều ● Lập kế hoạch chiến thuật - Tập trung vào việc lập kế hoạch sản xuất tích hợp nguồn lực tổ chức mức thấp toàn doanh nghiệp khoảng thời gian trung bình (chẳng hạn từ đến năm) ● Lập kế hoạch hoạt động - Tập trung vào hoạt động ngày nguồn lực địa phương xảy trong ngắn hạn 11 bước quy trình giải vấn đề thông thường - Bước 1: Nhận biết xác định vấn đề - Bước 2: Thu thập kiện giả định - Bước 3: Phát triển giải pháp khả thi - Bước 4: Phân tích so sánh giải pháp khả thi - Bước 5: Lựa chọn, thực đánh giá 12 Định nghĩa quản lý dự án (project management) Tại việc quản lý dự án quan tâm đặc biệt lĩnh vực ATTT - Quản lý dự án liên quan đến việc xác định kiểm soát nguồn lực áp dụng cho dự án tính tốn tiến độ điều chỉnh trình tiến độ đạt đến mục tiêu - InfoSec trình dự án Tuy nhiên, yếu tố chương trình InfoSec phải quản lý dự án, chương trình tổng thể diễn liên tục Một dự án khác với quy trình hoạt động tạm thời tạo thay đổi tổ chức 13 Tại kỹ quản lý dự án lại quan trọng chuyên gia ATTT? - • Thực phương pháp SecDLC • Việc đưa kế hoạch chi tiết hoạt động dự án cung cấp công cụ tham khảo chung • Xác định trách nhiệm cụ thể cho tất nhân viên liên quan làm giảm mơ hồ làm giảm nhầm lẫn cá nhân giao cho dự án khác • Xác định rõ ràng ràng buộc dự án (khung thời gian, ngân sách) yêu cầu chất lượng tối thiểu làm tăng khả dự án nằm ràng buộc • Thiết lập biện pháp thực tạo cột mốc dự án đơn giản hóa việc giám sát • Xác định sai lệch chất lượng, thời gian ngân sách sớm cho phép điều chỉnh sớm vấn đề 14 Làm đề an ninh thông tin trở thành dự án (project) quy trình (process) An ninh khơng phải nỗ lực lần, mà trình lặp lặp lại mà phải tập trung vào cho ‘cuộc đời’ hệ điều hành Mục đích là, hệ điều hành người dùng phát hệ thống bị xâm nhập, cập nhật bắt đầu - sau khởi động lại - hệ thống trả trạng thái tốt biết - Nguyên tắc quản lý ATTT: phần team quản lý tổ chức.Các đặc điểm mở rộng: Planning : bao gồm mơ hình lập kế hoạch infosec : hoạt động cần thiết để hỗ trợ thiết kết, tạo ra,thực thi chiến lược bảo mật thơng tin bao gồm: kết hoạch trình hoạt động doanh nghiệp, kế hoạch phản ứng trước cố/thảm hoạ, sách , nhân viên, triển khai cơng nghệ, quản lý rủi ro chương trình an tòn bao gồm giáo dục, tập huấn nhận thức - Policy: hướng dẫn chung số hành vi tổ chức bao gồm : sách bảo mật doanh nghiệp, sách an ninh cho vấn đề cụ thể sách cụ thể hệ thống - Programs: Các chương trình cụ thể quản lý IS domain, chương trình SETA, chương trình khác chương trình an ninh vật lý, truy cập vật lý, cổng, bảo vệ ? - Protection: Các quản động quản lý rủi ro, bảo vệ chế, công nghệ công cụ - People: Con người mối liên kết quan trọng -> SETA - Project Management: xác định kiểm soát nguồn lực để đạt mục tiêu CHƯƠNG 2: SECURITY PLANNING Kế hoạc Kế hoạch phương tiện có ảnh hưởng lớn việc quản lý nguồn lực tổ chức Nó đòi hỏi phải đưa loạt hành động để đạt mục tiêu cụ thể khoảng thời gian cụ thể việc thực kiểm soát bước để đạt mục tiêu Kế hoạch cung cấp hướng cho tổ chức tương lai Nó làm tăng hiệu ngăn ngừa lãng phí nỗ lực trùng lặp lại (Do lãnh đạo tổ chức lựa chọn hướng đi, kế hoạch điều chung kết thúc điều cụ thể) Thông thường từ quan điểm đạo đức, kinh doanh triết học quan điểm tổ chức Lập kế hoạch chiến lược bao gồm: Values Statement – tuyên bố giá trị Vision Statement – tuyên bố tầm nhìn Mission Statement – tuyến bố sứ mệnh Kế hoạch phối hợp cho đơn vị trực thuộc Những bên liên quan ( kế hoạch bao gồm đối tượng) Liên quan: nhân viên,quản lý,cổ đơng,các bên liên quan bên ngồi khác,mơi trường vật lý, mơi trường trị pháp lý, mơi trường cạnh tranhvà môi trường công nghệ - Khi lập kế hoạch, tổ chức phải xem xét tất bên liên quan để đánh giá định quy hoạch có nguồn lực Tuyên bố giá trị gì? Tuyên bố tầm nhìn gì? Tuyên bố nhiệm vụ gì? - Tuyên bố giá trị (values statement): tập hợp thức nguyên tắc tổ chức chất lượng tổ chức sau Vd : Ví dụ: cam kết RWW cam kết, trung thực, toàn vẹn trách nhiệm xã hội nhân viên công ty cam kết cung cấp dịch vụ hài hồ với cơng ty, mơi trường tự nhiên - Tun bố tầm nhìn (vison statement): Là một hình ảnh, tiêu chuẩn, hình tượng độc đáo và lý tưởng - trong tương lai, là những điều doanh nghiệp muốn đạt tới hoặc trở thành.vd : Trường Đại học Ngoại thương là trường đại học tự chủ, theo định hướng nghiên cứu, nằm trong nhóm các trường đại học hàng đầu của khu vực - Tuyên bố sứ mệnh (mission statement): Là lý để tổ chức tồn Các tổ chức thường thể sứ mệnh "tuyên bố sứ mệnh” xúc tích, ngắn gọn, giải thích tổ chức tồn để làm làm để tồn Vd : Sứ mạng của trường Đại học Ngoại thương là đào tạo nhân tài và cung cấp nguồn nhân lực chất lượng cao trong các lĩnh vực kinh tế, kinh doanh, quản trị kinh doanh, tài chính ngân hàng, luật, Chiến lược gì? Chiến lược tập hợp định mục tiêu dài hạn biện pháp, cách thức, đường đạt đến mục tiêu Xây dựng chiến lược chung - Tạo kế hoạch chiến lược cụ thể cho phận • Mỗi cấp độ phân chia chuyển chúng thành mục tiêu cụ thể cho cấp • Để thực chiến lược rộng này, nhà quản lý phải xác định trách nhiệm quản lý cá nhân ( CEO tạo chiến lược chung, CISO chịu trách nhiệm cho chiến lược ATTT , CIO chịu trách nhiệm phân lược IT) Các mục tiêu chiến lược sau chuyển thành nhiệm vụ với mục tiêu cụ thể (specific), đo lường được(measurable), đạt được(achiavable), hợp lý ( reasonably) cao thời gian ( time-bound objective) (SMART) • Kế hoạch chiến lược sau bắt đầu chuyển đổi từ mục tiêu tổng quát sang mục tiêu cụ thể Quản trị InfoSec ( CISO) gì? Quản trị InfoSec CIO đóng vai trò quan trọng việc chuyển đổi chiến lược tổng thể CEO thành kế hoạch An ninh thông tin chiến thuật kế hoạch vận hành attt CSIO tạo kế hoạch ATTT với tần nhìn tương lai an ninh CTY X, hiểu hoạt động cty thực để đề xuất giải pháp an ninh phù hợp xây dựng kế hoạch hành động, ngân sách, báo cáo trạng thái phương tiện quản lý hàng đầu khác nhầm cải thiện trạng thái attt có cty x bao gồm tất trách nhiệm giải trình phương pháp ban giám đốc ban điều hành quản lý để cung cấp định hướng chiến lược, thiết lập mục tiêu, đo lường tiến độ đạt mục tiêu đó, xác minh hoạt động quản lý rủi ro phù hợp xác nhận tài sản tổ chức sử dụng Hội đồng quản trị nên đề nghị mà để nghị mục tiêu ATTT tổ chức? - Đưa văn hố cơng nhận quan trọng thông tin InfoSec tổ chức - Xác minh đầu tư quản lý InfoSec với chiến lược tổ chức môi trường rủi ro tổ chức - Đảm bảo chương trình InfoSec tồn diện xây dựng triển khai - Yêu cầu báo cáo từ lớp quản lý khác hiệu tính đầy đủ chương trình InfoSec Năm kết cần đạt thơng qua quản trị InfoSec gì? - Sự kết hợp chiến lược InfoSec với chiến lược kinh doanh để hỗ trợ mục tiêu tổ chức - Quản lý rủi ro cách thực biện pháp thích hợp để quản lý giảm thiểu mối đe dọa nguồn thông tin - Quản lý tài nguyên cách sử dụng kiến thức sở hạ tầng InfoSec hiệu hiệu - Đo lường hiệu cách đo lường, giám sát báo cáo Quản lý InfoSec để đảm bảo đạt mục tiêu tổ chức - Phân phối giá trị cách tối ưu hóa khoản đầu tư InfoSec để hỗ trợ mục tiêu tổ chức Mô tả lập kế hoạch chiến lược từ xuống Nó khác với kế hoạch chiến lược từ lên nào? Chiến lược thường hiệu việc thực bảo mật tổ chức lớn đa dạng? - kế hoạch chiến lược top-down: Cách tiếp cận bảo mật việc quản lý ‘cấp cao’ (upper) đạo hoạt động hỗ trợ nhà quản lý cấp cao cung cấp nguồn lực; đưa hướng; ban hành sách, thủ tục quy trình; điều khiển mục tiêu kết mong đợi dự án; xác định người chịu trách nhiệm hành động yêu cầu - So sánh: +top-down: phương pháp thiết lập sách an ninh khởi xướng ban quản lý cấp +bottom-up:: kế hoạch chiến lược khởi xướng bời nhân viên cấp độ thấp - Cái phù hợp ý 3: top-down 10 SecSDLC khác SDLS thông thường SecSDLC phương pháp tập trung vào bảo mật liên quan đến việc xác định mối đe dọa rủi ro cụ thể người đại diện sau thiết kế biện pháp đối phó kiểm soát cụ thể để quản lý rủi ro 11 Mục tiêu SecSDLC gì? Các bước gì, mục tiêu bước gì? - Mục tiêu SecSDLC thực việc xác định rủi ro cụ thể mối đe dọa mà chúng gây cho công ty SecSDLC quan tâm đến việc thiết kế thực kiểm soát cụ thể để chống lại rủi ro xảy Điều hàm ý bảo mật thông tin chương trình hợp lý trái với chuỗi câu trả lời - Các bước chính: + Điều tra - Đội ngũ quản lý, nhân viên chuyên gia tư vấn tập hợp để điều tra vấn đề, xác định phạm vi, xác định mục đích xác định ràng buộc khác không đề cập sách an ninh doanh nghiệp Phân tích - Các tài liệu từ giai đoạn điều tra nghiên cứu + Thiết kế Thiết kế hợp lý - Các thành viên nhóm tạo phát triển kế hoạch chi tiết an ninh, nghiên cứu thực sách chủ chốt ảnh hưởng đến định sau Thiết kế vật lý - Các thành viên nhóm đánh giá cơng nghệ cần thiết để hỗ trợ kế hoạch an toàn, tạo giải pháp thay đồng ý với định cuối + Thực - Các giải pháp bảo mật mua lại, thử nghiệm, triển khai thử nghiệm lại + Bảo trì: Trong mơ hình quản lý hệ thống thiết kế để quản lý vận hành hệ thống mơ hình bảo trì nhằm bổ sung mơ hình quản lý hệ thống tập trung nỗ lực bảo trì liên tục cần thiết để giữ cho hệ thống sử dụng an toàn 12 Đâu mối đe dọa bối cảnh InfoSec? 12 loại đe dọa trình bày chương gì? - Trong bối cảnh an ninh thông tin, mối đe dọa "một người, đối tượng thực thể khác đại diện cho yếu tố nguy cho mát thiệt hại thông tin tài sản tổ chức - 12 loại Thỏa thuận sở hữu trí tuệ: Vi phạm quyền phần mềm vi phạm quyền khác Sự khác biệt chất lượng dịch vụ từ nhà cung cấp dịch vụ: Biến động điện, liệu dịch vụ khác Gián điệp xâm phạm: Truy cập trái phép / thu thập liệu Thiên tai : cháy, lũ lụt, động đất, sét vv Lỗi người: tai nạn, sai lầm nhân viên, khơng tn theo sách Tống tiền thông tin: đe dọa tống tiền việc tiết lộ thông tin Phá hoại: Thiệt hại phá hủy hệ thống thông tin Các công phần mềm: Phần mềm độc hại: virus, sâu, macros, DOS, script injections Các lỗi kỹ thuật phần cứng: Phần cứng bị lỗi Lỗi kỹ thuật phần mềm: Bugs, vấn đề code, lỗ hổng, backdoor Công nghệ lỗi thời lạc hậu: sữ dụng phần mềm lỗi thời Trộm cắp: Lấy thiết bị thông tin trái phép 13 Sự khác biệt mối đe dọa (threat) cơng (attack) gì? Các mối đe dọa khu vực có khả cơng Một công hành động kiện khai thác lỗ hổng 14 Làm lỗ hổng bị chuyển đổi thành công? Threat agent Back doors, brute force, buffer overflow 15 Tên đưa cho công mà làm cho việc sử dụng virus sâu (worm)? Cái tên đưa cho công mà không thực gây thiệt hại khác lãng phí thời gian nguồn lực? Malicious code (mã code độc hại) Hoaxes (lừa dối) 16 Những câu hỏi yêu cầu để giúp xác định phân loại tài sản thông tin? Đâu câu hỏi quan trọng để hỏi? (*)Tài sản thông tin quan trọng thành công tổ chức? Tài sản thông tin tạo doanh thu nhiều nhất? Tài sản thông tin có lợi nhuận cao nhất? Tài sản thơng tin đắt để thay thế? Tài sản thông tin đắt để bảo vệ? 17 Tên trao cho trình phân loại đánh giá rủi ro so sánh cho tài sản thông tin cụ thể? Việc sử dụng đánh gì? Risk management and assessment (Quản lý rủi ro đánh giá) Quantitatively assess the risk and vulnerability of each asset (Đánh giá định lượng rủi ro tính dễ tổn thương tài sản.) 18 Thuật ngữ sử dụng để mô tả việc cung cấp quy tắc nhằm bảo vệ tài sản thông tin tổ chức? Maintenance model, ISO Management Model, Security Management model, Security Program Management (Mơ hình quản lý, Mơ hình quản lý ISO, Mơ hình quản lý an ninh, Quản lý Chương trình An ninh) 19 Thuật ngữ sử dụng để mơ tả biện pháp kiểm sốt nhằm giảm cố an ninh thành viên tổ chức cách làm quen với sách thông lệ liên quan cách liên tục? SETA program 20 Ba loại điều khiển InfoSec gì? Mỗi loại sử dụng để giảm rủi ro cho tổ chức? Managerial Controls – covers strategic planning Operational Controls – covers operational planning Technical Controls – covers tactical planning - Chu trình phát triển hệ thống ( Systems Development life cycle SDLC) + SDLC phương pháp cho thiết kế thực hệ thống thơng tin Các dự án dựa SDLC bắt đầu kiện lên dự án Kết thúc gian đoạn có đánh giá xảy người đánh giá xúc định dự án nên tiếp tục, k nên tiếp tục, thuê bên ngồi làm hay hỗn lại + SDLC gồm : + Điều tra ; Phân tích; Thiết kế logic;Thiết kế vật lý; Thực thiện Duy trì - Các thuật ngữ: + Attack: hành động có chủ ý nhầm khai thác lỗ hỏng để đạt quyền kiểm soát hệ thống thực để làm hư hỏng hệ thống, đánh cấp tài sản thông tin vật lý tổ chức + Exploit ( khai thác ) : Là kĩ thuật chế dùng để khai thác , xâp nhập hệ thống + Vulnerability : Lỗ hổng là điểm yếu hay thiếu xót trong ứng dụng, hệ thống hay qui trình. Cho phép kẻ tấn cơng có thể khai thác để truy cập trái phép vào các tài ngun của hệ thống, làm tổn hại tới các bên tham gia hệ thống. Lỗ hổng có thể nằm trong khâu thiết kế hay việc thực thi, cài đặt, triển khai ứng dụng, hệ thống - Quản lý rủi ro• Sử dụng số đề nghị cho loại đe dọa phương pháp cơng liên quan • Để quản lý rủi ro, bạn phải xác định đánh giá giá trị tài sản thông tin bạn • Ðánh giá rủi ro đánh giá mức độ rủi ro so sánh điểm cho tài sản thơng tin cụ thể • Quản lý rủi ro xác định lỗ hổng hệ thống thông tin tổ chức phải cẩn thận bước để đảm bảo tính bí mật, tính tồn vẹn, tính khả dụng tất thành phần hệ thống thông tin tổ chức - Thiết kế SecSDLC • Gồm giai đoạn riêng biệt: - Thiết kế logic: thành viên nhóm tạo phát triển kế hoạch chi tiết an ninh, kiểm tra thực sách chủ chốt - thiết kế vật lý: thành viên nhóm đánh giá cơng nghệ cần thiết để hỗ trợ cho kế hoạch an ninh, tạo giải pháp thay thoả thuận thiết kế cuối - Mơ hình bảo mật : • Các nhà quản lý an ninh thường sử dụng mơ hình bảo mật thiết lập để thiết kế • Các mơ hình bảo mật cung cấp frameworks để đảm bảo tất lĩnh vực an ninh giải • Các tổ chức điều chỉnh chấp nhận framework để đáp ứng nhu cầu bảo mật thông tin riêng họ - Chứng nhận – CISSP: Certified Information Systems Security Professional – SSCP: Systems Security Certified Practitioner – GIAC: Global Information Assurance Certification – SCP: Security Certified Program – ICSA: International Computer Security Association – Security + – CISM: Certified Information Security Manager ÔN TẬP CHƯƠNG : CONTINGENCY PLANNING Kế hoạch dự phòng ? - Contingency Planning ( kế hoạch dự phòng) , kế hoạch chuẩn bị,phản ứng,phục hồi cho kiện bất thường, không mong đợi xảy nhầm trì hoạt động doanh nghiệp giảm thiểu chi phí phải bỏ để giải vấn đề không mong muốn Bao gồm thành phần : Business impact analysis (BIA) : phân tích hoạt động kinh doanh Incident Response Planning (IRP) : Là quy trình, thủ tục việc dự đoán, phát giảm nhẹ tác động kiện bất ngờ ảnh hưởng đến tài nguyên tài sản thông tin Disaster Recovery Planning (DRP) : kế hoạch chuẩn bị khôi phục thảm họa kể thiên nhiên hay người làm Business Continouos Planning (BCP) : Đảm bảo hoạt động doanh nghiệp tiếp tục bị thảm hoạ • Đảm bảo tính liên tục tất quy trình lên kế hoạch dự phòng : Xác định sứ mệnh chức kinh doanh quan trọng- Xác định nguồn hỗ trợ chức quan trọng đó- Dự liệu tiềm thảm hoạ- Chọn chiến lược lập kế hoạch dự phòng- Thực chiến lược lựa chọn- Kiểm tra sửa đổi kế hoạch dự phòng Liệt kê quy trình CP gồm bảy bước NIST đề xuất Tuyên bố Xây dựng sách CP thức hướng dẫn cần thiết để xây dựng sách dự phòng hiệu Thực BIA (phân tích hoạt động kinh doanh) để xác định ưu tiên thông tin hệ thống thành phần quan trọng để hỗ trợ quy trình kinh doanh tổ chức Xác định biện pháp phòng ngừa biện pháp thực để giảm tác động biến cố tăng tính sẵn có hệ thống, giảm chi phí phục hồi Tạo chiến lược dự phòng Chiến lược thu hồi cần cẩn thận, đảm bảo hệ thống phục hồi nhanh chóng hiệu sau gián đoạn Xây dựng kế hoạch dự phòng Kế hoạch cần bao gồm hướng dẫn chi tiết và thủ tục khôi phục thành phần hư hỏng tổ chức Đảm bảo kiểm thử, đào tạo thực hiệnkế hoạch Thử nghiệm xác nhận kết (khả phục hồi kế hoạch) đào tạo nhân viên cải thiện kết chuẩn bị tổ chức tổng thể Đảm bảo trì kế hoạch, kế hoạch cần đc cập nhật hệ thống thay đổi tổ chức liệt kê mô tổ đội CP, vai trò team CPMT (contingency planning management team) team : thu thập thong tin hệ thống tổ chức mối đe dọa tổ chức phải đối mặt, thực phân tích hoạt động kinh doanh (BIA), sau điều phối kế hoạch IR, DR, BC Nhân viên team bao gồm thành phần: Incident response team: nhóm thực thiện quản lý thực thi IRP việc phát hiện, đánh giá phản ứng cố Disaster Recovery Team: nhóm thực kế hoạch quản lý thực kế hoạc DR cách phát , đánh giá ứng phó với thiên tai tái thiết hoạt động cấp sở Business Continuous team: nhóm quản lý thực kế hoạch BC cách thiết lập bắt đầu hoạt động bên trường hợp có cố thiên tai Liệt kê mơ tả tiêu chí sử dụng để xác định liệu vụ việc thực tế có xảy hay không Loss of availability: thông tin hay thông tin hệ thống trở nên khơng có sẵn Loss of integrity: (tính tồn vẹn) người dùng báo cáo tệp liệu bị hỏng, file rác hay liệu khác thường( bị hỏng) Loss of confidentiality : (tính bảo mật) rò rỉ thơng tin nhạy cảm, hay thơng tin bí mật bị tiết lộ Violation of policy : vi phạm sách tổ chức giài thông tin hay Infor Sec Violation of law or regulation : phá vỡ luật hay tài sản thông tin tổ chức - Giáo dục an ninh, Đào tạo an ninh, Nhận thức an ninh Câu 9: Điều ảnh hưởng đến hiệu chương trình đào tạo? - Chương trình đào tạo phải điều chỉnh phù hợp với người tiếp cận cách thức truyền tải nội dung đến người tiếp cận kiến thức Câu 10: Một số cách để thực chương trình nâng cao nhận thức? - Thơng qua tờ rơi, tin, video, áp phích quảng cáo, giảng, hội nghị, webste, (trinkets security) Câu 11: Vị trí InforSec tổ chức: - Trong tổ chức lớn, InforSec thường đặt phận IT, điều hành CISO trưởng điều hành phận hay CIO Về chất chương trình InforSec thường trái với tiêu phận IT toàn thể - Xảy mâu thuẫn mục tiêu CIO/CISO - Thách thức chương trình InforSec thiết kế cấu trúc report để đạt cấu trúc cân Câu 12: Phân loại vị trí chương trình InforSec điển hình: - Những người xác định: cung cấp sách, hướng dẫn tiêu chuẩn Họ người tư vấn đánh giá rủi ro, người phát triển sản phẩm kiến trúc kỹ thuật Đây người có kiến thức rộng thường khơng có chiều sâu - Những người xây dựng: Họ người tạo cài đặt giải pháp bảo mật - Những người quản lý: người điều hành quản lý công cụ bảo mật, chức giám sát an ninh, thường xuyên nâng cao cải tiến phần mềm Câu 13: Mục tiêu SETA? - Nhầm nâng cao chất lượng an ninh cách: + Xây dựng hệ thống kiến thức chuyên sâu cần thiết để thiết kế, vận hành chương trình an ninh cho tổ chức hệ thống + Phát triển kĩ kiến thức để người dùng máy tính sử dụng hệ thống IT an tồn thực cơng việc họ + Nâng cao nhận thức quan trọng việc bảo vệ tài nguyên hệ thống - So sánh: Đặc tính Level Nhận thức Dạy cho NV biết bảo mật cần làm trước tình Cung cấp thơng tin Tranning Đạo tạo kĩ lực để ứng phó trước vấn đề Cung cấp chi tiết điều cần làm trước Education Dạy cho người tổ chức hiểu sâu cần phải chuẩn bị phản ứng trước rủi ro? Làm cách làm trước mối đe doạ Cung cấp tảng kiến thức sâu rộng để có nhìn sâu sắc vấn đề cải thiện sách, vấn đề Phương pháp dạy Video,Poster,Đạo tạo khơng thức Đánh giá Thời gian Trắc nghiệm Ngắn hạn mối đe doạ Đạo tạo thức,workshop ,pracetice,giải vấn đề Gìi3 vấn đề Ngay Hướng dẫn lý thuyết, kiến thức tảng, bàn luận thảo luận kiến thức chuyên sâu, hội thảo, thảo luận Tiểu luận Dày hạn Chương 8: Quản lý rủi ro: Xác định đánh giá rủi ro 1.Quản lý rủi ro gì? - Là trình xác định lỗ hỏng hệ thống thông tin tổ chức thực bước để đảm bảo thiệt hại gây mức độ chấp nhận tổ chức 2.Các lĩnh vực quan trọng cần quan tâm việc quản lý rủi ro: - Xác định tài sản thông tin tổ chức người dùng, liệu, phần cứng, phần mềm, yếu tố mạng ( IP, MAC, thiết bị mạng ) - Phân loại tài sản [vd thiết bị mạng ( router switch hub) , thiết bị bảo vệ ( tường lửa,proxy) hay phân loại theo mức đô nhạy cảm bảo mật thông tin chẳng hạn thông tin công khai, sữ dụng nội thông tin bí mật] - Đánh giá giá trị tài sản theo tầm quan trọng tài sản ( tài sản ảnh hưởng đến doanh thu nhất? Tài sản đắt nhất, tài sản giữ nhiều thông tin quan trọng nhạy cảm ) 3.Tại phải xác định rủi ro, thông qua danh sách tài sản lỗ hỏng chúng, trình quản lý rủi ro có quan trọng hay khơng ? - Nó giúp xác định lĩnh vực rủi ro thiếu sót khơng cần thiết Việc giúp cải thiện trạng thái an toàn chung tổ chức rút ngắn thời gian mang lại tính hiệu cho việc quản lý rủi ro Đây trình quan trọng để đảm bảo thông tin bảo mật giảm thiểu thiệt hại không lường trước Theo Sun Tzu, cần phải đạt hai điều để giữ an tồn cho tài sản thông tin? - Knowing our environment xác định, kiểm tra hiểu tài sản thông tin cách thức chúng lưu trữ, truyền xử lý - Knowing the enemy : xác định mối đe doạ đến tài sản thông tin tổ chức bảo mật thông tin tài sản tổ chức 5.Ai chịu trách nhiệm việc quản lý rủi ro tổ chức: - Bộ phận an tồn thơng tin, Bộ phận IT người quản lý giữ vai trò quan trọng việc đảm bảo an tồn cho thơng tin nhạy cảm Trong Bộ phận an tồn thơng tin phận trực tiếp chịu trách nhiệm kiểm soát phận lại - Trách nhiệm đối quản lý rủi ro • Tất cộng đồng quan tâm phải làm việc nhau: - Đánh giá kiểm soát rủi ro; Xác định lựa chọn kiểm sốt có hiệu chi phí; Mua cài đặt kiểm sốt thích hợp;Giám sát quy trình để đảm bảo kiểm sốt có hiệu lực; Xác định rủi ro;Đánh giá rủi ro;Tóm tắt kết Kiểm soát truy cập: Kiểm soát cách đặc biệt truy cập cho phép người dùng vào khu vực đáng tin cậy tổ chức Các khu vực bao gồm hệ thống thơng tin, khu vực hạn chế vật lý phòng máy tính chí tồn tổ chức Qúa trình kết hợp với sách, chương trình kĩ thuật Các loại : Mandatory Access Control , Access Control Matrix, Access Control List, Capabilities 6.Trong chiến lược quản lý rủi ro, kiểm tra định kỳ phần trình này? - Nó sử dụng kiểm tra & cân hệ thống để đảm bảo hệ thống hoạt động tốt có vấn đề khắc phục cách nhanh chóng 7.Tại thành phần mạng cần kiểm tra nhiều từ quan điểm an ninh thông tin so với quan điểm phát triển hệ thống? - Bởi thành phần mạng nơi dễ dàng khai thác thông tin bên bên ngồi hệ thống, giữ vai trò quan trọng việc đảm bảo thông tin nội không khai thác bị gửi hệ thống 8.Thuộc tính thơng tin khơng áp dụng cho phần tử phần mềm? - Các địa IP 9.Thuộc tính thơng tin thường có giá trị lớn thiết bị mạng DHCP không sử dụng? - Địa MAC 10 Khi lập hồ sơ thủ tục, hữu ích để biết nơi mà phiên điện tử (electronic versions) lưu trữ? - Người dùng ủy quyền phải có khả dễ dàng định vị tài liệu có giá trị họ Phiên điện tử cho phép bạn chỉnh sửa chép tài liệu thủ tục quan trọng để phân phối Ngồi ra, bạn cập nhật chúng vào thời gian sau thủ tục sửa đổi 11 Điều quan trọng kế hoạch phân loại tài sản thông tin? – Mỗi tài sản xếp loại ( độc ) tất tài sản phân loại (toàn diện) 12 Sự khác biệt khả tạo doanh thu khả tạo lợi nhuận tài sản gì? - Tài sản tạo doanh thu nghĩa tài sản đóng vai trò lớn nhất, vai trò quan trọng sản phẩm dịch vụ tổ chức Một tài sản tạo lợi nhuận liên quan trực tiếp đến sản phẩm dịch vụ mà tổ chức bán 13 Một chương trình phân loại liệu nên bao gồm loại? Tại sao? - Tuỳ vào nhu cầu khác tổ chức Một số tổ chức quân đội sử dụng chương trình phức tạp, số khác sử dụng khoảng 3-5 Do số lượng tài sản khác nên việc phân loại trở nên khác 14 Có loại mối đe dọa liệt kê chương này? - 12 mối đe doạ Cố ý công phần mềm lỗi kỹ thuật phần mềm lỗi Virus sâu làm tràn mạng công cộng Hàng nghìn vụ cơng BotNet diễn hàng ngày Với phát triển mã nguồn mở triển khai phần mềm ngày nhiều, lỗi lỗi phần mềm tạo mối đe dọa an ninh ngày tăng 15 Các lỗ hổng bảo mật gì? - Đó lỗi, lỗ hỏng khai thác để công tài sản thông tin; thường lỗ hổng điểm yếu tài sản thơng tin, quy trình, thiết kế, kiểm sốt an ninh vơ tình nhằm mục đích vi phạm an ninh 16 Mơ tả bảng tính TVA Cái dùng để làm gì? - Đây điểm khởi đầu cho việc đánh giá rủi ro Sau danh sách mối đe dọa / lỗ hổng tài sản thực hiện, hai danh sách kết hợp để tạo biểu đồ hai chiều cung cấp phương pháp thuận tiện kiểm tra mức độ tiếp xúc tài sản, cho phép đánh giá dễ bị tổn thương đơn giản 17 Kiểm tra công thức rủi ro đơn giản công thức rủi ro trình bày chương Có cơng thức khác khơng có, chúng sử dụng? - Các công thức khác tồn tương lai sau mối đe dọa tạo rủi ro tiến triển Công thức phải phù hợp với mối đe dọa giảm thiểu rủi ro cho phù hợp LECTURE 8: RISK MANAGENMENT: CONTROL RISK What is competitive advantage? How has it changed in the years since the IT industry began? (Lợi cạnh tranh gì? Nó thay đổi năm qua kể từ ngành công nghiệp công nghệ thông tin bắt đầu?) - Lợi cạnh tranh mơ hình, phương pháp, kĩ thuật doang nghiệp thiết lập để doanh nghiệp tạo sản phẩm, dịch vụ vượt trội số lĩnh vực hay định - Ngành công nghệ thông tin đời từ mô hình lợi cạnh tranh Ngành CNTT có sẵn , hầu hết tổ chức đầu tư CNTT để doanh nghiệp phản ứng nhanh với thay đổi thi trường (hòa nhập nhanh) What is competitive disadvantage? Why has it emerged as a factor? (bất lợi cạnh tranh gì, lên nhận tố??) - Bất lợi cạnh tranh: tổ chức bị tụt hậu, làm tổ chức không hấp thụ công nghệ thị trường, - Bất lợi cạnh tranh khiến tổ chức k k trì lợi thế, mà làm ảnh hưởng tới thị trường mình, k thề trì dịch vụ doanh nghiệp What are the five risk control strategies presented in this chapter? ( chiến lược kiểm sốt rủi ro gì??) - Phòng thủ : áp dụng biện pháp bảo vệ để loại bỏ giảm thiểu rủi ro không kiểm soát - Chuyển (transferal) : chuyển rủi ro sang khu vực khác cho thực thể bên - Giảm nhẹ: Giảm ảnh hưởng đến tài sản thông tin kẻ công khai thác lỗ hổng thành công - Chấp nhận: Hiểu hậu việc chọn lưa để loại nguy không kiểm sốt được, sau xác định rủi ro mà khơng có khả kiểm sốt - Chấm dứt: loại bỏ ngưng tài sản thông tin từ hoạt động tô chức mô tả chiến lược phòng thủ Có phương pháp phổ biến: - Áp dụng sách: điều cho phép mức quản lý phải tuân theo định( sách) - Áp dụng đào tạo giáo dục: thơng tin sách hay sửa đổi sách nhân viện khơng đầy đủ để nhân viện thực theo Vì thế, đào tạo giáo dục điều cấn thiết để tạo môi trường tổ chức an tồn kiểm sốt để đạt thay đổi cần thiết hành vi end-users - Thực công nghệ: InfoSec, kiểm soát kỹ thuật biện pháp tự vệ thường yêu cầu để giảm rủi ro hiệu mô tả chiến lược chuyển đổi Mục tiêu thực cách xem xét lại cách cung cấp dịch vụ, sửa đổi mơ hình triển khai, th tổ chức bên ngoài, mua bảo hiểm thực hợp đồng dịch vụ với nhà cung cấp mô tả chiến lược giảm nhẹ Chiến lược kiêm soát để giảm rủi ro việc lập kế hoạch chuẩn bị cho thiệt hại gây cố thiên tai Bao gồm kế hoạch ( Incident Response, Disaster Recovery, Business Continuity) miêu tả chiến lược chấp nhận định khơng làm để bảo vệ tài sản thơng tin khỏi rủi ro chấp nhận kết từ khai thác Nếu tổn thất nằm phạm vi tổn thất mà tổ chức chấp nhận - lợi ích kẻ cơng chi phí dự kiến cơng Describe residual risk (mơ tả rủi ro sót lại ) Là rủi ro khơng loại bỏ hồn toàn thay đổi hay lên kế hoạch Khi lỗ hổng tồn tại: Khi lỗ hổng tồn tại: - Thực kiểm soát an ninh để giảm nguy bị tổn thương - Khi lỗ hỏng khai thác: kiểm soát theo lớp để giảm thiểu rủi ro ngăn ngừa xuất - Khi lợi ích kẻ cơng lớn chi phí cơng: - Áp dụng biện pháp bảo vệ để tăng chi phí kẻ cơng, giảm lợi ích cơng người cơng, sử dụng kiểm sốt kỹ thuật quản lý • Khi có khả mát đáng kể : - Áp dụng kiểm soát thiết kế để hạn chế mức độ cơng, giảm khả mát Một chiến lược kiểm soát lựa chọn thực hiện, kiểm soát cần theo dõi đo lường liên tục để xác định hiệu chúng để trì ước tính liên tục nguy lại Các kiểm sốt loại: - Control function: Preventive controls : dừng nỗ lực để khai thác lỗ hỏng cách thực thi - sách an ninh tổ chưc sữ dụng quy trình kĩ thuật số phương tiện kỹ thuậ ; Detective control : Cảnh báo vi phạm nguyên tắc bảo mật, sách khai thác lỗ hỏng Sữ dụng kỹ thuật phát xâm nhập,giám sát cấu hình Architectural layor : vài kiểm sáot áp dụng nhiều layer kiến trúc kỹ thuật tổ chức Các lớp bao gồm : Các sách tổ chức, mạng bên extrenerts , Demilitarized zones , Mạng nội , thiết bị nối mạng, hệ thống ứng dụng Strategy layer: Việc kiểm sốt đơi phân theo loại rủi ro: tránh,giảm nhẹ, chuyển đổi Infomation Security Principle( nguyên tắc ) : Kiểm soát rủi ro hoạt động hay nhiều nguyên tắc chung ATTT chấp nhận : Bảo mật, toàn vẹn,khả dụng, xác thực, uỷ quyền K thể chối bỏ, riêng tư What four types of controls or applications can be used to avoid risk? (4 loại kiểm sốt hay ứng dụng sử dụng đề tránh rủi ro) - Control function, Architectural Layer, Strategy Layer, and Information Security Principle ( chức điều khiển, lớp kiến trúc, lớp chiến lược, ngun tắc an tồn thơng tin) 10 Describe how outsourcing can be used for risk transference ( mơ thả cách outsouring sử dụng để chuyển rủi ro) Gia cơng phần mềm sử dụng để chuyển giao rủi ro tổ chức chọn thuê ISP tổ chức tư vấn để cung cấp sản phẩm dịch vụ cho họ mua cấu hình máy chủ, thuê webmaster, quản trị hệ thống web chí chuyên gia bảo mật chuyên biệt Điều cho phép tổ chức chuyển rủi ro liên quan đến việc quản lý hệ thống phức tạp cho tổ chức khác có kinh nghiệm việc đối phó với rủi ro Lợi ích gia cơng phần mềm nhà cung cấp chịu trách nhiệm khắc phục thảm họa thông qua khoản thu xếp mức dịch vụ có trách nhiệm đảm bảo sẵn có máy chủ trang web 11 What conditions must be met to ensure that risk acceptance has been used properly? (phải đáp ứng điều kiện để đảm bào chiến lược chấp nhận rủi ro vận dụng đúng??) - Xác định mức độ rủi ro đặt tài sản thông tin - Xác định xác suất công khả khai thác thành công - Ước tính thiệt hại tổn thất xảy công - Đánh giá kiểm soát tiềm cách sử dụng tính khả thi thích hợp - Thực CBA tồn diện (CBA: cost-benefit analysis : phân tích chi phí lợi ích) - Xác định chi phí cho việc kiểm soát rủi ro sản phẩm, dịch vụ, thông tin mà k chứng minh/ xác đinh chi phí trì kiểm sốt 12 What is risk appetite? Explain why risk appetite varies from organization to organization (mức độ chấp nhận rủi ro gì, có khác việc chấp nhận rủi ro tổ chức) - Mức độ chấp nhận rủi ro số lượng tính chất rủi ro mà tổ chức sẵn sàng chấp nhận họ đánh giá cân giửa an ninh tuyệt khả truy cập không giới hạn - Việc khác mức độ chấp nhận rủi ro tổ chức vì: khác biệt quy mơ, sách, ngân sách, văn hóa tổ chức khác biệt ưu tiên số tài sản tổ chức 13 What is a cost-benefit analysis? (phân tích chi phí lợi ích) - Phân tích chi phí lợi ích đánh giá giá trị tài sản thông tin cần bảo vệ tổn thất giá trị tài sản thơng tin bị tổn hại việc khai thác lỗ hổng cụ thể - Cost: khó đánh giá chi phí tài sản số vấn đề ảnh hưởng đến chi phí kiểm sốt bảo vệ : chi phí phát triển mua lại phần cứng, phần mềm dịch vụ, phí đào tạo, chi phí thực hiện, phí dịch vụ , chí bảo tri - Benefit: giá trị tài sản thông tin bị lộ CBA = ALE(PRIOR) – ALE(POST) – ACS 14 What is the difference between intrinsic value and acquired value? (sự khác biệt giá trị nội giá trị thu được( giaa1 trị mua)) - Giá trị nội giá trị thiết yếu tài sản xem xét (giá trị bản, lý thuyết, ~tiền vốn/gốc~) - Giá trị thu giá trị mà tai2 sản thông tin thu theo thời gian vượt phạm vi nội (giá trị thực tế,~ tiền lãi~) (câu trửu tượng vl,)) 15 What is single loss expectancy? What is annual loss expectancy? (kì vọng bình thường gì??) - single loss expectancy giá trị tính tốn lien qua tới tổn thật có khả nhiều từ lần xảy cơng - annual loss expectancy giá trị tính tốn lien qua tới tổn thất năm xảy từ công 16 What is the difference between benchmarking and baselining? (sự khác điểm chuẩn sở?) - Benchmarking nghiên cứu thực tiễn tổ chức khác để đưa kết mong muốn cho tổ chức - Baselining nghiên cứu thực tiển tổ chức để đưa tham khảo để so sánh hiệu suất tổ chức torng tương lai 17 What is the difference between organizational feasibility and operational feasibility? (so sánh tỉnh khả thi tổ chức với tính khả thi hoạt động??) - organizational feasibility khả giải pháp đóng góp cho mục tiêu tổ chức ntn - operational feasibility khả giải pháp thực hiện, có chấp nhận hỗ trợ cùa người dùng, ng quản lý, tính tương thích hệ thống với yêu cầu bên lien quan 18 What is the difference between qualitative measurement and quantitative measurement? (Khác biệt đo lường định tính đo lường định lượng gì?) - đo lường định lượng sử dụng giá trị ước tính thực tế để tạo đánh giá - đo lường định tính sử dụng nhãn ( giá trị ước tính, trừu tượng) để đánh giá 19 What is the OCTAVE Method? What does it provide to those who adopt it? (phương pháp OCTAVE gì, cung cấp gì?) - OCTAVE phương pháp đánh giá rủi ro cho phép tổ chức cân việc bào vệ tài sản thông tin quan trọng vs chi phí bảo vệ kiểm sốt phát - Nó cho phép tổ chức đo lường chống lạiviệc biết hay chấp nhận thực hành bảo mật tốt sau thiết lập chiến lược bảo vệ rộng rãi cho tổ chức kế hoạch giảm thiểu rủi ro cho an tồn thơng tin 20 How does Microsoft define “risk management”? What phases are used in its approach? (Microsoft định nghĩa "quản lý rủi ro"? Những giai đoạn sử dụng cách tiếp cận nó?) - Microsoft define “risk management: xác xuất lỗ hổng khai thác môi trường tại, dẫn đến mức độ mát tính CIA tài sản - phases: Đánh giá rủi ro Tiến hành định hỗ trợ Thực kiểm sốt Đánh giá hiệu chương trình Chương chín : Bảo vệ Thiết bị MỘT VÀI THIẾT BỊ AN NINH BAO GỒM: - Access controls, firewalls, dial up protection, Intrusion detection systems, Vulnerability, Auditing Systems Access controls Devices: Kiểm soát truy cập bao gồm trình : xác định thực thể truy cập vào vùng logical hay vùng physical (authentication) xác định hành động mà thực thể thực ( authorization) + Cơ chế xác thực : Something you know : Password ; Something you have : Smart card, key, token; Some thing you are : Vân tay, móng mắt ; Some thing you produce : Chữ kí + uỷ quyền : uỷ quyền cho người dùng, cho nhóm người dùng ,uỷ quyền nhiều hệ thống Câu :Sự khác biệt xác thực ủy quyền gì? Một hệ thống cho phép ủy quyền mà khơng có chứng thực khơng ? Tại không? - Xác thực: Xác nhận tài khoản người dùng có phải người dùng hợp lệ? Có phải người dùng đăng ký ứng dụng khơng ? ví dụ: Đăng nhập (user password) - Ủy quyền: đề cập đến việc xác thực quyền truy cập người dùng phép sử dụng số tính định ví dụ người dùng có quyền truy cập vào tính hay khơng? (vai trò, sỡ hữu) - Một hệ thống khơng thể cho phép ủy quyền mà khơng có xác thực cần phải biết danh tính tổ chức/cá nhân để quản lý mức độ cấp phép/sở hữu tổ chức/cá nhân Câu 2: Cơng nghệ sinh trắc học áp dụng rộng rãi gì? Tại sao? - Việc thu thập chữ ký sử dụng rộng rãi chấp nhận việc ủy quyền sinh trắc học Vì thực tế chữ ký lưu trữ tham chiếu hay so sánh với sở liệu chữ ký lưu trữ trước đó, mặc khác chi phí cho việc thấp Câu :Cơng nghệ sinh trắc học hiệu gì? Tại - Qt mống mắt độ xác cao cấu tạo phức tạp vật thể Câu 4: Mối quan hệ mạng không tin cậy, tường lửa mạng tin cậy gì? - Mạng không đáng tin cậy xem giới bên ngoài, chẳng hạn Internet - Mạng tin cậy xem giới bên trong, mạng nội tổ chức - Tường lửa: thiết bị kiểm soạt loại thông tin cụ thể di chuyển mạng không đáng tin cậy mạng đáng tin cậy dựa sách bảo mật thiết lập Tường lữa cấu hình máy phần mềm giới hạn truy cập mạng có sẳn thiết bị router modems, Câu 5: Hạn chế firewall? - Không ngăn chặn tất phòng thủ theo chiều sâu - Có thể cung cấp cảnh báo sai an ninh - Không thể ngăn chặn công nội gián - Chỉ hoạt động lớp cụ thể Câu 6: Máy chủ cache thực chức đặc biệt nào? Tại chức hữu ích cho tổ chức lớn ? - Máy chủ cache lưu trang truy cập gần nhớ cache nội Điều có lợi cho cơng ty lớn cắt giảm thời gian tải thời gian truy cập trang lưu trữ sở địa phương, loại bỏ việc truy cập liên tục bên cải thiện thời gian tải bảo mật Câu 7: Kiến trúc screened-host firewall khác với kiến trúc screened-subnet firewall nào? - Kiến trúc Screened-host firewall cho hàng bảo vệ chống lại cơng xảy Nó cho phép máy chủ (máy chủ pháo đài) nhận tất có thơng tin đến làm xem mục tiêu cơng - Kiến trúc screened-subnet firewall tương tự với kiến trúc nên cho phép nhiều máy chủ đặt phía sau lọc gói router Điều thu thập thơng tin nhạy cảm có giá trị làm cho hệ thống trở nên khó xâm nhập Câu 8: DMZ gì? - DMZ vùng mạng trung lập mạng nội (mạng tin cậy) mạng internet (mạng không tin cậy) - DMZ nơi chứa thông tin cho phép người dùng từ internet truy xuất vào chấp nhận rủi ro công từ internet - Các dịch vụ thường triển khai vùng DMZ là: Mail, Web, FTP - Có hai cách thiết lập vùng DMZ: + Đặt DMZ firewall, để lọc thông tin từ internet vào để kiểm tra luồng thông tin vào mạng cục + Sử dụng Router có nhiều cổng để đặt vùng DMZ vào nhánh riêng tách rời với mạng cục - Mục đích thiết lập vùng DMZ né cơng từ bên ngồi từ mạng nội Câu 9: IDS/IPS - IDS (Intrusion Detection Syste): Phát cơng, khởi tạo hành động thiết bị khác để ngăn chặn công Nhận cơng cách phân tích lưu lượng mạng + Host-Based IDS: làm việc cách cấu hình phân tích hạng mục khác hệ thống file liệu Trong số trường hợp Host-Based IDS cung cấp số thơng báo định Trừ IDS cấu hình cách tỉ mỉ, phát số lượng lớn báo động giả HostBased IDS giám sát đồng thời nhiều máy tính + Network-based IDSs: Giám sát lưu lượng mạng, hệ thống thông báo cho quản trị viên phát điều bất thường cài đặt trước.Tìm kiếm mẫu lưu lượng mạng Phải tương ứng với chiến thuật công biết chưa biết chống lại sở kiến thức họ để xác định liệu cơng có xảy Hiệu cố gắng xem xét mơ hình hoạt động mạng để xác định điều bất thường - HIDS cho giải pháp hoàn tất NIDS cho giải pháp LAN Khi quản lý giải pháp HIDS u cầu kiến thức chuyên sâu, NIDS lại yêu cầu nhiều đến quan tâm bạn - IPS (Intrusion Prevention System): Chặn đứng trước công đến mạng bên Cung cấp khả bảo vệ mạng dựa vào định danh, phận loại ngăn chặn mối đe dọa biết chưa biết worm, virus, đe dọa đến ứng dụng, … Câu 10: Tại cổng TCP 80 quan trọng bảo vệ tổ chức mạng? - Vì liên kết với máy chủ web, chứa liệu quan trọng Nếu máy chủ web bị công, máy chủ khác cài đặt cổng 80, gây nguy hiểm cho an toàn bảo mật công ty Cổng 80 hoạt động để phục vụ cho máy chủ web, máy chủ không chạy khơng cần đến port 80 Câu 11: Vì tổ chức cấm quét port? - Nhiều tổ chức cấm quét cổng mạng nội họ cách dễ dàng để hacker bắt kịp số lượng lớn máy tính nhanh chóng Ngồi ra, việc chiếm tài ngun hệ thống mạng Các nhà cung cấp dịch vụ Internet cấm qt cổng bên ngồi điều coi DoS, dẫn đến vụ kiện pháp lý Câu 12: VPN ? Tại VPNs sử dụng rộng rãi ? - VPN (virtual private network) công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa tiết kiệm chi phí VPN cho phép máy tính truyền thơng với thông qua môi trường chia sẻ mạng Internet đảm bảo tính riêng tư bảo mật liệu Để cung cấp kết nối máy tính, gói thơng tin bao bọc header có chứa thơng tin định tuyến, cho phép liệu gửi từ máy truyền qua môi trường mạng chia sẻ đến máy nhận, truyền đường ống riêng gọi tunnel Để bảo đảm tính riêng tư bảo mật mơi trường chia sẻ này, gói tin mã hố giải mã với khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin đường truyền - VPN sử dụng rộng rãi ngày phát triển hỗ trợ cho cơng nghệ điện tốn SOHO computer Câu 13: Quản lý điều khiển truy cập? - Để quản lý truy cập hiệu quả, tổ chức phải đặt sách định: + Xác định quyền truy cập cấp cho thực thể nhóm + Phải bao gồm điều khoản để rà soát theo định kỳ: quyền truy cập, cấp quyền truy cập cho nhân viên mới, thay đổi quyền truy cập vai trò cơng việc thay đổi, thu hồi quyền truy cập thích hợp + Tất mơ hình điều khiển truy cập: ACM, SPM, BLP, Biba, Lipner, Clark-Wilson, RBAC CHƯƠNG 11 – ĐẠO ĐỨC VÀ LUẬT PHÁP - Luật pháp: hình thái ý thức xã hội, hệ thống nguyên tắc xử mang tính chất bắt buộc chung Nhà nước ban hành để điều chỉnh mối quan hệ xã hội nhằm bảo vệ trật tự kỷ cương xã hội - Đạo đức: hình thái ý thức xã hội, bao gồm quan điểm, quan niệm, nguyên tắc, chuẩn mực xã hội.do người tự nhận thức, tự giác điều chỉnh hành vi cho phù hợp trước lợi ích đặt - Theo Maner, nên nghiên cứu Đạo đức Máy tính vì: - Làm làm cho cư xử giống chuyên gia có trách nhiệm - làm dạy cách tránh lạm dụng máy tính thảm hoạ - tiến công nghệ máy tính tiếp tục tạo khoảng trống sách tạm thời - việc sử dụng máy tính thường biến đổi số đạo đức định đến mức thay đổi chúng đòi hỏi nghiên cứu độc lập - việc sử dụng cơng nghệ máy tính tạo tiếp tục tạo vấn đề đạo đức đòi hỏi nghiên cứu đặc biệt - Khi chấm dứt vấn đề đạo đức : • Cơ sở hạ tầng giao thức truyền thơng khơng dây ảo vốn yếu • Người sử dụng khơng gian ảo có kiến thức sở hạ tầng mạng máy tính, điểm yếu khiếm khuyết • Xã hội, nói chung, ngày trở nên phụ thuộc vào sở hạ tầng cơng nghệ mà hiểu Khơng có kế hoạc dài hạn, khơng giáo dục cách phổ biến.• Có mức độ tn thủ cao xã hội tiếp nhận "Wiz Kid" trạng thái kẻ phá hoại mạng• Các chế giải pháp khắc phục biết đến vấn đề vá lỗi sơ hở sau cơng xảy ra.• Giá vấn đề leo thang chưa đượcđược biết đến.• Báo cáo tự nguyện, ngẫu nhiên, thường xuyên theo ý muốn.• Quốc gia chưa hiểumức độ nghiêm trọng phá hoại mạng Sự khác luật hình luật dân gì? - Luật dân thể nhiều luật pháp liên quan đến mối quan hệ cá nhân tổ chức - Luật hình xử lý vi phạm có hại cho xã hội nhà nước thực thi thi hành nghiêm minh Luật gian lận cho phép cá nhân làm gì? - Luật gian lận tập hợp luật dân cho phép cá nhân tìm kiếm truy đòi người khác trường hợp thương tật cá nhân, thể chất tài Khơng bị nhà nước truy tố Ba loại luật cơng cộng gì? - Criminal, administrative, and constitutional law (Luật hình sự, hành hiến pháp) Luật sửa đổi Đạo luật Gian lận Lạm dụng Máy tính (Computer Fraud and Abuse Act) năm 1986, thay đổi gì? - Đạo luật Bảo vệ Cơ sở Hạ tầng Thông tin Quốc gia năm 1996 (The National Information Infrastructure Protection Act of 1996) sửa đổi Luật Gian lận Lạm dụng Máy tính năm 1986 Nó sửa đổi vài phần Đạo luật CFA tăng hình phạt tội phạm lựa chọn Luật sau sửa đổi theo Đạo luật PATRIOT năm 2001 Đạo luật Cải thiện Đạt đạo luật PATRIOT năm 2005 Mỹ Đạo luật Hoa Kỳ PATRIOT gì? thành lập sửa đổi nào? - Đạo luật PATRIOT Hoa Kỳ ban đầu ban hành vào năm 2001 chế để cung cấp cho Hoa Kỳ phương tiện để điều tra đáp ứng công 9/11 Trung tâm Thương mại Thế giới New York Nó sửa đổi “USA PATRIOT Improvement and Reauthorization Act” năm 2005, trở thành luật vào năm 2006 Một số khía cạnh luật pháp cập nhật vào năm 2015 (https://www.coursehero.com/file/17976535/ch02-SM-11/) Sự riêng tư bối cảnh an ninh thơng tin gì? - Sự riêng tư (privacy) bối cảnh bảo mật thông tin quyền cá nhân bảo vệ thông tin họ khỏi sử dụng trái phép Nó định nghĩa "trạng thái khơng bị xâm nhập khơng phép", có nghĩa thông tin thu thập sử dụng cá nhân cung cấp thông tin đồng ý với cách thức sử dụng Tên khác Đạo luật Kennedy-Kassebaum (1996) gì, quan trọng tổ chức không thuộc ngành chăm sóc sức khoẻ? - Đạo luật tính linh hoạt tính trách nhiệm bảo hiểm y tế năm 1996 (HIPAA) (The Health Insurance Portability and Accountability Act Of 1996 (HIPAA)) bảo vệ tính bí mật an tồn liệu chăm sóc sức khoẻ cách thiết lập, thực thi tiêu chuẩn cách chuẩn hố trao đổi liệu điện tử Nó ảnh hưởng đến tất tổ chức chăm sóc sức khoẻ, bao gồm bác sĩ thực hành, phòng khám, bảo hiểm nhân thọ trường đại học số tổ chức có chương trình sức khoẻ nhân viên tự bảo hiểm quản lý liệu liên quan đến chăm sóc sức khoẻ Nếu bạn làm việc cho tổ chức dịch vụ tài (như ngân hàng hiệp hội tín dụng), luật từ năm 1999 ảnh hưởng đến việc bạn sử dụng liệu khách hàng? Những tác động khác có? Luật từ năm 1999 ảnh hưởng đến việc sử dụng liệu khách hàng tổ chức tài Đạo luật Hiện đại hóa Dịch vụ Tài (the Financial Services Modernization Act) Đạo luật Gramm-Leah-Bliley năm 1999 Cụ thể, luật (act) yêu cầu tất tổ chức tài tiết lộ sách riêng tư họ chia sẻ không công khai thơng tin cá nhân Nó u cầu thơng báo trước cho khách hàng, để họ yêu cầu thông tin họ không chia sẻ với bên thứ ba Ngoài ra, hành động đảm bảo hiệu sách bảo mật tổ chức tiết lộ đầy đủ khách hàng bắt đầu mối quan hệ kinh doanh phân phối năm cho hiệp hội nghề nghiệp Luật năm 1997 đưa hướng dẫn sử dụng mã hoá? - The Security and Freedom through Encryption Act of 1997 (Đạo luật an ninh tự thơng qua hệ thống mã hóa năm 1997) 10 Chính sách gì? Nó khác với luật nào? - Chính sách mơ tả thức hành vi chấp nhận khơng chấp nhận nhân viên, xác định thi hành cách, có chức tương tự luật tổ chức - Tuy nhiên, không giống luật pháp, thiếu hiểu biết biện pháp phòng vệ chấp nhận được, cần phải thực bước để đảm bảo sách nhân viên truyền đạt, hiểu chấp nhận 11 Ba loại chung hành vi phi đạo đức bất hợp pháp gì? - Việc vi phạm quyền phần mềm, sử dụng trái phép, lạm dụng tài nguyên doanh nghiệp ba loại chung hành vi phi đạo đức bất hợp pháp 12 Phương pháp tốt để ngăn chặn hành vi bất hợp pháp phi đạo đức gì? - Phương pháp tốt để phòng ngừa hành vi bất hợp pháp phi đạo đức ngăn chặn Các hoạt động ngăn chặn bao gồm luật, sách kiểm sốt kỹ thuật 13 Mục đích nêu tổ chức SANS gì? có liên quan đến chứng nhận chun môn cho chuyên gia InfoSec cách nào? - SANS dành riêng cho việc bảo vệ thông tin hệ thống cách quảng cáo chứng nhận GIAC yêu cầu thành viên đồng ý với quy tắc đạo đức 14 Due care gì? Tại tổ chức muốn đảm bảo thực due care trình hoạt động bình thường? - Due Care công ty thực biện pháp để đảm bảo nhân viên biết chấp nhận khơng phải hậu hành động bất hợp pháp phi đạo đức Việc thực cẩn thận hoạt động hàng ngày bảo vệ công ty chống lại trách nhiệm pháp lý hành động bất hợp pháp phi đạo đức nhân viên 15 Tổ chức nên làm để ngăn cản người vi phạm sách phạm tội? - Việc ngăn chặn thành cơng đòi hỏi phải thiết lập hình phạt nghiêm trọng, xác suất bị bắt giữ, kỳ vọng phạt thực thi 16 due diligence khác due care nào? hai quan trọng? - Due diligence đòi hỏi tổ chức nỗ lực để bảo vệ người khác Điều khác với “due care” chỗ ‘due diligence’ đóng vai trò bền bỉ cơng ty ‘due care’ có vai trò thụ động sau hành động thông báo cho nhân viên thực - Cả hai quan trọng chúng bổ sung lẫn tạo thành rào cản chống lại trách nhiệm pháp lý ‘due care’ dựa hành vi đạo đức nhân viên để bảo vệ công ty ‘due diligence’ bảo vệ chống lại hành động phi đạo đức nhân viên Điều bảo vệ cơng ty thực nghĩa vụ pháp lý để bảo vệ người khác Nếu nhân viên làm điều phi đạo đức bất hợp pháp, trách nhiệm thuộc nhân viên, công ty ... sản thông tin tổ chức? Maintenance model, ISO Management Model, Security Management model, Security Program Management (Mơ hình quản lý, Mơ hình quản lý ISO, Mơ hình quản lý an ninh, Quản lý Chương... an ninh công nghệ thông tin - Xác định an ninh thông tin Cần cho An ninh Công nghệ thông tin - Giải thích tầm quan trọng an ninh thơng tin tổ chức Trách nhiệm Vai trò An tồn Cơng nghệ thơng tin. .. phận an ninh thông tin điển compliance: Chính sách, compliance Câu 7: Các vai trò giả định chuyên gia an ninh thơng tin? - Trường phòng an ninh thơng tin (CISO), Kĩ thuật viên an ninh, Quản lý an