Đang tải... (xem toàn văn)
Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 1 Tổng quan An toàn thông tin và quản trị rủi ro thương mại điện tự do TS. Chử Bá Quyết biên soạn gồm các nội dung chính được trình bày như sau: Một số khái niệm về An toàn thông tin, các khía cạnh của An toàn thông tin, an toàn thông tin và quản trị rủi ro,...
1 9/26/2017 U M _T TM H D AN TOÀN THÔNG TIN VÀ QU N TR R I RO TH NG M I I N T Biên so n: TS.Ch Bá Quy t B môn Th ng m i n t 9/26/2017 ng T ng quan An toƠn thông tin vƠ Qu n tr r i ro TM T U M _T TM H D Ch M t s khái ni m v An tồn thơng tin Các khía c nh c a An tồn thơng tin An tồn thơng tin qu n tr r i ro Qu n tr r i ro TM T Câu h i & th o lu n 9/26/2017 U M _T TM H D M t s khái ni m v An toƠn thơng tin • An tồn (security), • An tồn máy tính (computer security) • An tồn thơng tin (Information security) • An tồn d li u (data security) • An tồn trình t (Browser security) 9/26/2017 U M _T TM H D M t s khái ni m … (ti p) • An tồn (security): Là đ t n công c b o v , không b xâm h i ho c b • An tồn ch ng l i, ho c b o v kh i t n công, gây t n h i An tồn khơng ch g n v i b o v ng nhi u đ i t i, mà g n v i ng khác: tài s n, ho t đ ng kinh doanh, thông tin 9/26/2017 U M _T TM H D M t s khái ni m … (ti p) • An tồn (security): • An toàn tr ng thái mà kh n ng gây h i cho ng h y ho i tài s n đ đ ch p nh n đ c gi m thi u trì t i ho c d i ho c im c c thông qua trình liên t c nh n d ng m i nguy hi m qu n lý r i ro (53/2011/TT-BGTVT) 9/26/2017 M t s khái ni m U M _T TM H D • An tồn máy tính (Computer security) cịn đc g i an tồn m ng (cybersecurity), an tồn thơng tin (IT security) vi c b o v HTTT kh i hành vi tr m c p, phá ho i ph n c ng, ph n m m, thông tin h th ng, c ng nh làm gián đo n, ho c l c h ng (misdirection) c a DV mà HT cung c p • ATMT bao g m vi c ki m soát truy c p v t lý đ n ph n c ng, c ng nh vi c b o v ch ng l i tác đ ng có th đ n thông qua truy c p m ng, d li u l h ng code injection, s su t c a nhà khai thác c ý, vô ý, ho c không th c hi n quy trình an tồn 9/26/2017 M t s khái ni m U M _T TM H D • An tồn thơng tin (Information security) vi c b o đ m, trì tính bí m t (confidentiality), tính tồn v n (integrity) tính s n sàng (availability) c a thơng tin; có th bao hàm: tính xác th c, tính trách nhi m, tính ch ng ph nh n tính tin c y" (ISO/IEC 27000:2009) • ATTT b o v thơng tin, HTTT t vi c truy c p, s d ng, ti t l trái phép, làm gián đo n, s a đ i ho c phá h y đ đ m b o tính tin c y, tồn v n tính s n có c a thơng tin (CNSS, 2010) 9/26/2017 M t s khái ni m U M _T TM H D ATTT vi c b o đ m ch nh ng ng (confidentiality) đ i có th m quy n c truy c p thơng tin đ y đ xác (integrity) có nhu c u (availability)." (ISACA, 2008) ATTT q trình b o v tài s n trí tu c a m t t ch c (Pipkin, 2000) ATTT b o v TT t i thi u r i ro ti t l thông tin t i nh ng bên khơng có quy n (Venter and Eloff, 2003) 9/26/2017 Tam giác CIA v an toƠn thơng tin U M _T TM H D • Tam giác CIA (Confidenttiality, integrity, availability) tr ng tâm (tâm m) c a ATTT, b ph n này: Confidentiality, Integrity Availability đ c xem nh thu c tính, đ c tính, m c tiêu, khía c nh c b n, tiêu chí … c a ATTT Confidentiality Integrity Availability 10 9/26/2017 Tam giác CIA m r ng c đ xu t nh : tính U M _T TM H D • Ngồi y u t trên, nh ng y u t khác đ trách nhi m (Accountability), tính khơng th ch i cãi (Non – Repudiation), v i s phát tri n c a h th ng máy tính nh hi n nay, tính riêng t (privacy) ngày tr thành m t nhân t r t quan tr ng 27 9/26/2017 U M _T TM H D An toƠn vƠ r i ro (Security and Risk) • Khái ni m r i ro (risk) • T n Oxford English Dictinary trích d n s m nh t thu t ng risk (ti ng Pháp risque, ngu n g c 'risque' ) as of 1621, and the spelling as risk from 1655 It defines risk as: “(Exposure to) the possibility of loss, injury, or other adverse or unwelcome circumstance; a chance or situation involving such a possibility” • Là t n th t hay thi t h i ti m n, ho c th m chí tài s n b h y ho i nh k t qu c a m i đe d a khai thác m t l h ng 28 9/26/2017 U M _T TM H D An toƠn vƠ r i ro (Security and Risk) • R i ro: ti m n t n th t, thi t h i ho c phá h y tài s n nh k t qu c a m t m i đe d a khai thác m t l h ng RR m t hàm th hi n m i quan h gi a đe d a khai thác l h ng đ gây t n th t ho c phá h y tài s n • Các m i đe d a có th t n t i, nh ng n u khơng có l h ng, có r t ho c khơng có RR • T ng t , có th có m t l h ng, nh ng n u khơng có m i đe d a, s có ho c khơng có RR 29 9/26/2017 U M _T TM H D An toƠn vƠ r i ro (Security and Risk) 30 9/26/2017 Phân bi t r i ro v i không ch c ch n U M _T TM H D • RR ch phát sinh có m t s không ch c ch n v m t mát s x y (uncertainty about the occurrence of a loss) N u xác đ nh đ c xác kh n ng x y (p = ho c p = 1) khơng đ c xem có r i ro • VD: m t ng i nh y t tòa nhà cao t ng xu ng m t đ t k t qu : ch t 100% ây ko ph i RR k t qu th y tr c • Khác, n u m t di n viên xi c nh y t nhà cao t ng xu ng m t n c, ho c b ng dù có th ch t Tr ng h p có s không ch c ch n v k t qu , t c có RR hành đ ng c a h 31 9/26/2017 Phân bi t r i ro v i không ch c ch n U M _T TM H D 32 Các khái ni m RR 9/26/2017 U M _T TM H D • RR c h u (Inherent Risk): g i RR v n có, hay r i ro c n thi t; r i ro có tr c có b t k tác đ ng can thi p • RR l i (Residual Risk): RR t n t i sau có nh ng hành đ ng can thi p, phịng ng a, x lí • RR gi l i (Retained Risk): M c RR th ng ch p nh n b i t ch c, t ng t nh RR cịn l i gi m RR (chuy n giao RR) b ng b o hi m (nh ng ch h u qu ) 33 9/26/2017 Ngu n g c RR TM T U M _T TM H D n t m i đe d a v t lý d li u L h ng ng i dùng l i k thu t: ph n m m, ph n c ng, máy ch ph c v , thi t b bên L i h t ng: m ng, b ng thơng đ ng truy n • Khác: Gian l n toán b ng th tín d ng Hacker t n cơng Các t n công t bên doanh nghi p Khác: s c m t n, 34 9/26/2017 Nguyên nhân RR TM T U M _T TM H D • Nguyên nhân khách quan i u ki n t nhiên: bão l t, đ ng đ t, bi n đ i khí h u,… i u ki n mơi tr ng: Chính sách kinh t v mơ, kh ng ho ng kinh t , h a ho n, virus • Nguyên nhân ch quan Ho ch đ nh sai chi n l c Ph ng th c KD, Nghiên c u th tr ng không đ y đ Thi u thông tin, thi u ki n th c hi u bi t Thi u trách nhi m Tham nh ng, ch quan… 35 9/26/2017 Ex-employees U M _T TM H D T ng i Hackers Intruders H a ho n (Fires) Vi rút (Viruses) Power Outages T môi tr ng (Environmental) T nhiên Natural L l t (Floods) ng đ t (Earthquakes) Sóng th n (Tornadoes) 36 9/26/2017 U M _T TM H D Phân lo i R i ro tmđt + Theo Holmes Miller: có lo i RR TM T là: RR thông tin (Information Risk) RR công ngh (Technology Risk) RR kinh doanh (Business Risk) + Phân lo i RR TM T RR TM T s đ c nghiên c u chi ti t ch TM T ng 2, 3: Nh n d ng RR 37 9/26/2017 Khái ni m QTRR U M _T TM H D • QTRR (Risk management) trình nh n bi t, đánh giá x p h ng r i ro (theo ISO 31000) • QTRR trình bao g m nhi u giai đo n, t vi c xây d ng/l p k ho ch qu n tr r i ro t ng th đ n vi c xác đ nh, nh n d ng r i ro có th x y đ i v i đ i t ng/h th ng/cơng vi c/doanh nghi p c th , phân tích l a ch n x lý r i ro, theo dõi s thay đ i c a r i ro c ng nh đ a đ i phó ho c k ho ch phịng ng a RR hi u qu 38 9/26/2017 Khái ni m QTRR U M _T TM H D • m t trình g m nhi u giai đo n, có trình t • ho t đ ng có m c đích • m t khoa h c ngh thu t • m t ngh 39 9/26/2017 R Planning U M _T TM H D Risk Management R Identification Risk Assessment Risk Handling Risk Analysis Risk Priority Risk Documentation Risk Monitoring 40 9/26/2017 Qu n tr RR TM T U M _T TM H D Qu n tr RR TM T vi c b o v h th ng ho t đ ng TM T t r i ro có th x y c ng nh vi c nh n bi t c h i, thách th c chúng x y • Qu n tr RR TM T cách th c nh ng tác đ ng ng c t r i ro (tính m t) đ c qu n lý c h i, ti m n ng đ c tri n khai th c hi n Vì v y, qu n tr RR bao hàm: T i thi u hóa tác đ ng, ngu n nguy hi m đ i v i h th ng/doanh nghi p T i u hóa m c tiêu c a doanh nghi p 41 9/26/2017 U M _T TM H D Nguyên t c h n ch qu n tr r i ro • Nguyên t c: Ch p nh n r i ro (Accept No Unnecessary Risk) L a ch n r i ro m c phù h p (Make Risk Decisions at the Appropriate Level): Ch p nh n r i ro l i ích cao h n chi phí (Accept Risk When Benefits Outweigh the Cost): D phòng, b o hi m r i ro • H n ch : Có th tác đ ng, nh h ng t i quy t đ nh kinh doanh Không b o đ m s c , đe d a s khơng cịn x y Không lo i tr t t c r i ro ... 9/26/2 017 ng T ng quan An toƠn thông tin vƠ Qu n tr r i ro TM T U M _T TM H D Ch M t s khái ni m v An tồn thơng tin Các khía c nh c a An tồn thơng tin An tồn thơng tin qu n tr r i ro Qu n tr r i ro. .. 9/26/2 017 U M _T TM H D M t s khái ni m v An toƠn thông tin • An tồn (security), • An tồn máy tính (computer security) • An tồn thơng tin (Information security) • An tồn d li u (data security) • An. .. khái ni m • An tồn di đ ng (mobile security) ho c an toàn n tho i di đ ng ngày quan tr ng máy tính di đ ng (mobile computing) Quan tâm đ c bi t s an tồn c a thơng tin cá nhân kinh doanh hi n đ