Giải ngân hàng Quản lý an toàn thông tin PTIT

Tài liệu Khoa An Toàn Thông TIn PTIT: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing Giải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông Giải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITtin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTIT Miễn phí tại: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing

Mục lục

Mục lục 1

Pháp luật và chính sách 2

1 Khái niệm về an toàn thông tin? 2

2 Các khái niệm cơ bản: tài sản, tấn công, biện pháp, rủi ro, đe dọa? 3

7 Các hành vi sử dụng máy tính bị điều chỉnh bởi Luật hình sự của Việt Nam 7

8 Các hành vi bị nghiêm cấm trong Luật giao dịch điện tử của Việt Nam 7

9 Điều kiện để đảm bảo an toàn cho chữ ký điện tử trong Luật giao dịch điện tử của Việt Nam 8

10 Các hành vi bị nghiêm cấm trong Luật an toàn thông tin mạng 8

11 Các cấp độ đánh giá an toàn của TSSEC, ITSEC và Common Criteria 9

12 Ảnh hưởng của đạo đức tới hành vi sử dụng máy tính 9

13 Các vấn đề sử dụng máy tính với chuyên gia/kỹ thuật viên/người có hiểu biết về máy tính 9

14 Thảo luận về các tình huống/hành vi/mô hình an toàn hệ thống 9

Quản lý an toàn 9

1 Khái niệm về quản lý an toàn thông tin 10

2 Phân loại các biện pháp kiểm soát 10

3 Chức năng cơ bản của các biện pháp kiểm soát 10

4 Các dạng rủi ro cơ bản 10

5 Yêu cầu với nhóm thực hiện quản lý rủi ro 10

6 Sự khác biệt giữa đánh giá rủi ro và phân tích rủi ro 10

7 Các cách thức xử lý rủi ro cơ bản? Cho ví dụ 10

8 Các nguyên tắc căn bản với việc vận hành an toàn 10

9 Các công việc/nhiệm vụ cơ bản với vận hành an toàn 10

10 Các yêu cầu với quản lý cấu hình 10

11 Các bước cơ bản của quy trình kiểm soát thay đổi 10

12 Các tình huống cơ bản làm cấu hình hệ thống thay đổi? Cho ví dụ? (Ở các vị trí công việc khác nhau: quản trị mạng, quản trị cơ sở dữ liệu) 11

13 Các vấn đề với việc hủy bỏ dữ liệu 11

14 Các biện pháp đảm bảo tính sẵn dùng của mạng và các tài nguyên 1115 Vai trò và trách nhiệm của các bộ phận trong việc quản lý an toàn thông tin 11

16 Sự khác biệt giữa kế hoạch khôi phục sự cố và hoạt động liên tục 11

17 Vấn đề khôi phục quy trình hoạt động 11

18 Vấn đề khôi phục trang thiết bị 11

19 Vấn đề khôi phục nguồn cung cấp và công nghệ 11

20 Mục tiêu của việc kiểm tra/thực hành các kế hoạch đảm bảo hoạt động liên tục 1121 Bài tập phân tích rủi ro dựa trên Octave và NIST 11

Pháp luật và chính sách

1 Khái niệm về an toàn thông tin?

An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng,

truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép.

Hoạt động bảo vệ thông tin và các Thành phần thiết yếu bao gồm hệ thống và phần cứng mà sử dụng, lưu trữ, chuyển tiếp thông tin đó cho tới việc áp dụng các chính sách, các chương trình đào tạo và công nghệ Quá trìnhtiếpdiễnliêntụcdo giớihạnvềnguồnnhân

Quá trình tiếp diễn liên tục do giới hạn về nguồn nhân lực và tài chính.

Cân bằng giữ anhu cầu đảm bảo an toàn cho các tài nguyên thông tin và việc thực hiện các hoạt động bình thường của cơ quan

2 Các khái niệm cơ bản: tài sản, tấn công, biện pháp, rủi ro, đe dọa?

Rủi ro thặng dự là rủi ro còn lại sau khi mọi biện pháp thận trọng đã được thực thi

Rủi ro chấp nhận được là rủi ro mà cơ quan/tổ chức chấp nhận sau khiđã hoàn tất chương trình quản lý rủi ro.

Đe dọa:

Phân loại các vấn đề có thể xảy ra cho tài sản của cơ quan/tổ chức Đe dọa là các hành động chưa xảy ra nhưng khái niệm xảy ra của chúng có thể thấy được.

3 Khái niệm về quản trị, chính sách, luật pháp về an toàn thông tin

Quản trị ATTT

+ Bao gồm các yêu cầu và các hành động cụ thể để đảm bảo sự tuân thủ

chính sách, quy trình, tiêu chuẩn và hướng dẫn của cơ quan/tổ chức

+ Việc quản trị tốt mang lại sự tin tưởng và tự tin về mọi người tuân theo cácqui định đã được xây dựng.

Luật pháp ATTT

+Thông thường con người chọn lọc từ bỏ một số khía cạnh tự do cá nhân để đảm bảo trật tự xã hội Các qui định với các thành viên trong cộng đồng tạo ra để cân bằng các quyền tự khẳng định bản thân đối chọi với các yêu cầu của toàn thể cộng đồng được coi là luật

+Luật pháp là các quy định bắt buộc hay cấm một số hành vi nhất định; chúng được xây dựng dựa trên đạo đức xác định các hành vi chấp nhận đượctrong xã hội

+Luật pháp đi kèm với cơ quan quyền lực để quản lý

4 Tương quan giữa đạo đức, chính sách và luật pháp an toàn thông tin Luật pháp

+ Thông thường con người chọn lọc từ bỏ một số khía cạnh tự do cá nhân đểđảm bảo trật tự xã hội Các qui định với các thành viên trong cộng đồng tạo ra để cân bằng các quyền tự khẳng định bản thân đối chọi với các yêu cầu của toàn thể cộng đồng được coi là luật

+ Luật pháp là các quy định bắt buộc hay cấm một số hành vi nhất định; chúng được xây dựng dựa trên đạo đức xác định các hành vi chấp nhận đượctrong xã hội

+ Luật pháp đi kèm với cơ quan quyền lực để quản lý Đạo đức

+ Dựa trên cơ sở các tập tục văn hóa: thái độ đạo đức hay thói quen của một nhóm cụ thể

Chính sách

+ Các chuyên gia an toàn thông tin duy trì an ninh thông qua việc thiết lập và thực thi các chính sách Đó chính là các hướng dẫn về các hành vi được và không được chấp nhập tại nơi làm việc Các chính sách này đóng vai trò như luật pháp của nơi làm việc

+ Sự khác biệt giữa luật và chính sách là nhân viên có thể không biết gì về chính sách của cơ quan Lỗi này có thể chấp nhận được

5 Các tiêu chuẩn của chính sách Phổ biến (phân phát)

+ Mọi người trong cơ quan đều có thể đọc và xem xét các chính sách phù hợp.

+ Các tiêu chuẩn thường xác định các yêu cầu tối thiểu nhưng rất chi tiết + Luật pháp hay các thông lệ được chấp thuận tạo ra các tiêu chuẩn Như vậy các chuẩn trở thành các tiêu chí cho việc quản trị hay chứng thực + Các tiêu chuẩn thường khởi đầu từ các quy phạm công nghiệp Qua thời gian phát triển được tổ chức công bố như tiêu chuẩn.

7 Các hành vi sử dụng máy tính bị điều chỉnh bởi Luật hình sự của Việt Nam Luật hình sự sửa đổi bổ sung 2009/Chương XIX cho bộ luật 1999 (có hiệu lực từ 1/1/2010) Xác định tội phạm mạng trong 5 điều khoản

+ Điều 224 Tội phát tán vi rút, chương trình tin học có tính năng gây hại

cho hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số

+ Điều 225 Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính,

mạng viễn thông, mạng Internet, thiết bị số

+ Điều 226 Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng

viễn thông, mạng Internet

+ Điều 226a Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn

thông, mạng Internet hoặc thiết bị số của người khác

+ Điều 226b Tội sử dụng mạng máy tính, mạng viễn thông, mạng Internet

hoặc thiết bị số thực hiện hành vi chiếm đoạt tài sản

8 Các hành vi bị nghiêm cấm trong Luật giao dịch điện tử của Việt Nam Luật Giao dịch điện tử số 51/2005/QH11: QH thông qua 29/11/2005

+ Điều 9 Các hành vi bị nghiêm cấm trong giao dịch điện tử

1 Cản trở việc lựa chọn sử dụng giao dịch điện tử

2 Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông điệp dữ liệu

3 Thay đổi, xoá, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái phépmột phần hoặc toàn bộ thông điệp dữ liệu

4 Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành hoặc có hành vi khác nhằm phá hoại hạ tầng công nghệ về giao dịch điện tử

5 Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật

6 Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử củangười khác

9 Điều kiện để đảm bảo an toàn cho chữ ký điện tử trong Luật giao dịch điện tử của Việt Nam

+ Điều 22 Điều kiện để bảo đảm an toàn cho chữ ký điện tử

1 Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:

a Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng;

b Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;

c Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;

d Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đềucó thể bị phát hiện

2 Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại khoản 1 Điều này.

10.Các hành vi bị nghiêm cấm trong Luật an toàn thông tin mạng

6 nhóm hành vi bị nghiêm cấm

1 Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật

2 Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng

3 Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.

4 Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừađảo

5 Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân

6 Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp củacơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc 11.Các cấp độ đánh giá an toàn của TSSEC, ITSEC và Common Criteria

TSSEC Lớp D: Bảo vệ tối thiểu

+ Được dành cho các hệ thống đã được đánh giá và không thỏamã cac tiêu chuẩn và yêu cầu của lớp cao hơn.

Lớp C: Bảo vệ chấp nhận được Được chia thành 2 lớp nhỏ

hơn Lớp có được đánh số lớn hơn thỏa mãn yêu cầu an toàn cao hơn.

+ Lớp C1: bảo vệ an toàn chấp nhận được Yêu cầu phân chia

người dùng và thông tin, định danh và xác thực các thực thể riêng rẽ Lập tài liệu thiết kế thể hiện cách thưc và cơ chế bảo vệ của hệ thống, tài liệu kiểm tra, hướng dẫn cài đặt và cấu hình hệ thống.

+ Lớp C2: Bảo vệ giám sát truy nhập

- Người dùng cần được định danh riêng biệt để đảm bảo việc kiểm soát truy nhập và kiểm toán chính xác

- Các cơ chế kiểm soát truy nhập lô-gíc được dùng để thực thi đăng nhập và tính duy nhất của mỗi cá nhân

- Các sự kiện liên quan đến an toàn phải được kiểm toán và bảovệ khỏi sửa đổi trái phép

- Kiến trúc hệ thống đảm bảo các hoạt động lên các tài nguyên phải được kiểm toán phù hợp

- Bất kỳ phương tiện lưu trữ nào không để lại dấu vết của các đối tượng sử dụng sau khi được dùng xong.

Lớp B: Bảo vệ được thực hiện Dựa trên kiến trúc

Bell-LaPadula

+ Lớp B1: Đặt nhãn an toàn

Mỗi đối tượng dữ liệu chứa nhãn phân loại và mỗi đối tượng phải có nhãn giới hạn (clearance) Khi một đối tượng muốn truy nhập dữ liệu thì nhãn giới hạn của nó được so sánh với nhãn an toàn của dữ liệu

+ Lớp B2: Bảo vệ cấu trúc

- Các chính sách ả được định nghĩa rõ ràng và lập tài liệu, thiết kế hệ thống và triển khai cần được đánh giá qua các thủ tục kiểm tra kỹ hơn

- Cần cơ chế xác thực nghiêm ngặt hơn và giao tiếp giữa các lớp được xác định rõ ràng

- Kênh tin cậy cho việc đăng nhập và xác thực phải có và kênh này phải được bảo vệ

- Tách bạch chức năng cho người vận hành và người quản trị - Không gian địa chỉ phải cách ly các chương trình và đảm bảo không tồn tại kênh riêng (covert channel)

không bị lỗi

- Vai trò quản trị được định rõ và hệ thống phải có khả năng khôi phục mà không xâm phạm cấp độ an toàn, bảo mật - Khi hệ thống khởi động và nạp hệ điều hành và các bộ phận thì phải được đảm bảo an toàn để tránh hệ thống bị khai thác các lỗ hổng.

Lớp A: Bảo vệ được thẩm tra

+ Các phương pháp chính tắc được sử dụng để đảm bảo toàn bộ các chủ thể và đối tượng được giám sát với các phương pháp kiểm soát truy nhập cần thiết và chấp nhận được (của lớp B và C)

+Lớp A1: thiết kế được kiểm tra

Kiến trúc và đặc tính bảo vệ không khác nhiều so với B3 song mức đảm bảo của A1 cao hơn nhờ phương pháp chính tắc đượcáp dụng trong thiết kế, đặc tả và kỹ thuật kiểm tra.

ITSEC F00: Identification and authentication

F01: Audit

F02: Resource utilization F03: Trusted paths/channelsF04: User data protection F05: Security management F06: Product access

F07: Communications F08: Privacy

F09: Protection of the product’s security functions

F10: Cryptographic supportE00: Guidance documents and manuals

E01: Configuration management E02: Vulnerability assessment E03: Delivery and operation E04: Life-cycle support

E0 = D E1+F1 = C1 E2+F2 = C2 E3+F3 = B1 E4+F4 = B2E5+F5 = B3 E6+F5 = A1

F6 = Đảm bảo tính toàn vẹn cao

F7 = Đảm bảo tính sẵn sàng cao

F8 = Đảm bảo toàn vẹn khi liên lạc

F9 = Đảm bảo tính bí mật cao

F10 = Mạng lưới đảm bảo yêu cầu cao về tính bí mật và toàn vẹn

E05: Assurance maintenance E06: Development TestingCommo

n Criteria

EAL 1: Kiểm tra chức năng EAL 2: Kiểm tra cấu trúc

EAL 3: Kiểm tra và kiểm soát về phương pháp

EAL 4: Thiết kế, kiểm tra và đánh giá lại về phương pháp EAL 5: Thiết kế và kiểm tra bán chính tắc

EAL 6: thiết kế được thẩm tra và kiểm tra bán chính tắc EAL 7: thiết kế được thẩm tra và kiểm tra chính tắc12.Ảnh hưởng của đạo đức tới hành vi sử dụng máy tính

Luật được xây dựng dựa trên đạo đức xác định các hành vi chấp nhận được trong xã hội Tác động vào nhận thức của con người về ý thức những việc mình làm với sự chấp nhận, đánh giá của xá hội

Mười điều răn về đạo đức sử dụng máy tính (Viện đạo đức máy Computer Ethics Institutes)

tính-+ Không được sử dụng máy tính để làm hại người khác

+ Không được can thiệp vào công việc điện toán của người khác

+ Không được rình rập quanh các tệp dữ liệu và máy tính của người khác + Không được dùng máy tính để ăn cắp

+ không được dùng máy tính để sinh ra các bằng chứng giả

+ Không được sao chép hoặc sử dụng phần mềm có chủ sở hữu mà không trả tiền

+ Không dùng trái phép các tài nguyên máy tính của người khác + Không được chiếm đoạt kết quả trí tuệ của người khác

+ Phải nghĩ đến hậu quả xã hội khi xây dựng chương trình máy tính hay thiếtkế hệ thống

+ Phải luôn sử dụng máy tính theo cách đảm bảo sự kính trọng và ngưỡng mộ của các đồng nghiệp

13.Các vấn đề sử dụng máy tính với chuyên gia/kỹ thuật viên/người có hiểu biết về máy tính

Mười điều răn về đạo đức sử dụng máy tính (Viện đạo đức máy Computer Ethics Institutes)

tính Không được sử dụng máy tính để làm hại người khác

- Không được can thiệp vào công việc điện toán của người khác

- Không được rình rập quanh các tệp dữ liệu và máy tính của người khác - Không được dùng máy tính để ăn cắp

- không được dùng máy tính để sinh ra các bằng chứng giả

- Không được sao chép hoặc sử dụng phần mềm có chủ sở hữu mà không trả tiền

- Không dùng trái phép các tài nguyên máy tính của người khác - Không được chiếm đoạt kết quả trí tuệ của người khác

- Phải nghĩ đến hậu quả xã hội khi xây dựng chương trình máy tính hay thiết kế hệ thống

- Phải luôn sử dụng máy tính theo cách đảm bảo sự kính trọng và ngưỡng mộ của các đồng nghiệp.

14.Thảo luận về các tình huống/hành vi/mô hình an toàn hệ thống // Câu bài tập

Quản lý an toàn

1 Khái niệm về quản lý an toàn thông tin

Quản lý an toàn thông tin là hoạt động bảo vệ thông tin và các Thành phần thiết yếu bao gồm hệ thống và phần cứng mà sử dụng, lưu trữ, chuyển tiếp thông tin đó cho tới việc áp dụng các chính sách, các chương trình đào tạo và công nghệ Quá trìnhtiếpdiễnliêntụcdo giớihạnvềnguồnnhân

Quá trình tiếp diễn liên tục do giới hạn về nguồn nhân lực và tài chính.

Cân bằng giữ anhu cầu đảm bảo an toàn cho các tài nguyên thông tin và việc thực hiện các hoạt động bình thường của cơ quan

2 Phân loại các biện pháp kiểm soát

Kiểm soát quản trị: yêu cầu về an toàn, quản lý rủi ro, đào tạo Kiểm soát kỹ thuật: phần cứng hay phần mềm như tương

Kiểm soát kỹ thuật: phần cứng hay phần mềm như tương lửa, kiểm soát truy nhập, phát hiện xâm nhập

Kiểm soát vật lý: biện pháp bảo vệ các phương tiện, tài sản như nhà xưởng, phòng ốc4

3 Chức năng cơ bản của các biện pháp kiểm soát

Ngăn chặn (Deterrent): làm nản chí những kẻ tấn công tiềm tàng Phòng ngừa (Preventive): tránh xảy ra các sự cố

Sửa chữa (Corrective): sửa các phần hay hệ thống sau khi sự cố xuất hiệnPhục hồi (Recovery): làm cho toàn bộ môi trường làm việc trở lại bình

Phát hiện (Detective): giúp nhận biết và xác định các sự cố và xâm nhập Bổ sung (Compensating): cung cấp phương tiện kiểm soát thay thế khác.

4 Các dạng rủi ro cơ bản

- Vật lý: cháy, ngập, thảm họa tự nhiên

- Con người: Hành động bất ngờ hay có chủ ý làm gián đoạn hoạt động sản xuất - Hỏng thiết bị: Hư hỏng hệ thống hay các thiết bị ngoại vi

- Tấn công từ bên trong và bên ngoài: Bẻ khóa, tấn công