Đại Học Quốc Gia Tp Hồ Chí Minh TRƢỜNG ĐẠI HỌC BÁCH KHOA NGUYỄN THANH ĐỨC ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN THEO TIÊU CHUẨN ISO/IEC 27001:2005 TẠI CÔNG TY CỔ PHẦN HẠ TẦNG VIỄN THÔNG CMC Chuyên ngành: QUẢN TRỊ KINH DOANH KHÓA LUẬN THẠC SĨ TP HỒ CHÍ MINH, tháng 03 năm 2014 CƠNG TRÌNH ĐƢỢC HỒN THÀNH TẠI TRƢỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH Cán hƣớng dẫn khoa học: TS NGUYỄN THÚY QUỲNH LOAN Cán chấm nhận xét 1: PGS.TS Bùi Nguyên Hùng Cán chấm nhận xét 2: TS Nguyễn Thanh Hùng Khóa luận thạc sĩ đƣợc bảo vệ/nhận xét HỘI ĐỒNG CHẤM BẢO VỆ KHÓA LUẬN THẠC SĨ TRƢỜNG ĐẠI HỌC BÁCH KHOA, ngày…….tháng…….năm…… Thành phần hội đồng đánh giá khóa luận thạc sĩ gồm: Chủ tịch: PGS.TS Bùi Nguyên Hùng Thƣ ký: TS Nguyễn Thanh Hùng Ủy viên: TS Nguyễn Thúy Quỳnh Loan CHỦ TỊCH HỘI ĐỒNG CÁN BỘ HƢỚNG DẪN ĐẠI HỌC QUỐC GIA TP HCM CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƢỜNG ĐẠI HỌC BÁCH KHOA Độc Lập - Tự Do - Hạnh Phúc Tp.HCM, ngày………tháng……….năm……… NHIỆM VỤ KHÓA LUẬN THẠC SĨ Họ tên học viên: NGUYỄN THANH ĐỨC Giới tính: Nam / Nữ  Ngày, tháng, năm sinh: 16/02/1986 Nơi sinh: Quảng Ngãi Chuyên ngành: Quản Trị Kinh Doanh MSHV: 12170867 Khoá: 2012 1- TÊN ĐỀ TÀI: ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN THEO TIÊU CHUẨN ISO/IEC 27001:2005 TẠI CÔNG TY CỔ PHẦN HẠ TẦNG VIỄN THÔNG CMC 2- NHIỆM VỤ LUẬN VĂN:  Phân tích thực trạng hệ thống đảm bảo an tồn thơng CMC TI  Xác định tiêu chí đánh giá tài sản thông tin rủi ro theo tiêu chuẩn ISO/IEC 27001:2005  Phân tích, đánh giá mức độ rủi ro loại tài sản thông tin phận Trung tâm liệu  Đƣa giải pháp giảm thiểu, phòng ngừa khắc phục rủi ro tài sản thông tin 3- NGÀY GIAO NHIỆM VỤ: 25/11/2013 4- NGÀY HOÀN THÀNH NHIỆM VỤ: 31/03/2014 5- HỌ VÀ TÊN CÁN BỘ HƢỚNG DẪN: TS NGUYỄN THÚY QUỲNH LOAN Nội dung đề cƣơng Luận văn thạc sĩ đƣợc Hội Đồng Chuyên Ngành thông qua CÁN BỘ HƢỚNG DẪN (Họ tên chữ ký) KHOA QL CHUYÊN NGÀNH (Họ tên chữ ký) LỜI CÁM ƠN Đầu tiên em xin gởi lời cảm ơn chân thành tới Quý thầy cô Khoa Quản lý Công nghiệp Trƣờng Đại học Bách Khoa Tp Hồ Chí Minh, từ chƣơng trình chuyển đổi đến khóa học thức Thạc sĩ Quản trị kinh doanh trƣờng Những tri thức kinh nghiệm Quý thầy cô nguồn kiến thức bổ ích em Nhờ kiến thức đó, giúp em định hƣớng phát triển thành khóa luận hồn chỉnh, giúp em định hƣớng công việc cách tốt Đặc biệt, em xin cảm ơn nhiều đến TS Nguyễn Thúy Quỳnh Loan Vì thời gian thực đề tài, Cô theo sát tiến độ thực đề tài em để đƣa dẫn, góp ý tận tình, phê bình khắt khe nhằm giúp em hồn thiện khóa luận tốt Và em xin cảm ơn đến bạn đồng nghiệp Công ty Cổ phần Hạ tầng viễn thông CMC, quan tâm chia sẻ kinh nghiệm thực tế, cung cấp liệu quan trọng tin cậy để em thực nghiên cứu trình thực khóa luận Cuối cùng, em gởi lời cảm ơn đến gia đình, nguồn động viên tinh thần quan trọng, giúp em có thêm động lực theo học hết chƣơng trình, ln bên cạnh em để chia sẻ lo, nhằm giúp em hồn thành chƣơng trình học cách thuận lợi Tuy nhiên, với kiến thức hiểu biết cịn nhiều hạn chế mình, nên luận chắn khơng thiếu sai sót Kính mong Q thầy góp ý để em hồn thiện khóa luận TĨM TẮT ĐỀ TÀI Trong bối cảnh công nghệ thông tin đƣợc ứng dụng sâu rộng vào lĩnh vực đời sống xã hội Nên nhiều tổ chức, quan, doanh nghiệp hoạt động lệ thuộc hồn tồn vào hệ thống máy tính Khi hệ thống máy tính gặp cố hoạt động đơn vị bị ảnh hƣởng cách nghiêm trọng chí bị tê liệt hồn tồn… Tại Cơng ty Cổ phần Hạ tầng viễn thông CMC (CMC TI) việc xử lý cơng việc diễn hồn tồn mơi trƣờng mạng, nguy lớn gây an tồn thơng tin, liệu cá nhân, liệu chung doanh nghiệp khách hàng Mặc dù, CMC TI có đƣa số sách để phòng chống, ngăn chặn, nhằm giảm thiểu rủi ro mát thơng tin xuống mức thấp Tuy nhiên, với phát triển nhanh chóng cơng nghệ thơng tin hệ thống thơng tin CMC TI ngày phải đối mặt với khó khăn, thách thức lớn nguy gây an tồn thơng tin từ bên ngồi nhƣ nội cơng ty gây Giải pháp tồn diện hiệu để giải vấn đề đảm bảo an tồn thơng tin cho CMC TI áp dụng Hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005, để bảo vệ tài sản thông tin thuộc CMC TI khách hàng CMC TI Do đó, mục tiêu phân tích trạng hệ thống an tồn thơng tin thực tế CMC TI, để đƣa cách thức phƣơng pháp phân loại tài sản thông tin, làm sở đánh giá mức độ bảo vệ dựa theo ba thuộc tính bảo mật, tồn vẹn, sẵn sàng Sau đó, thực đánh giá mức độ rủi ro tài sản dựa hai tiêu chí khả xảy mức độ ảnh hƣởng rủi ro Việc phân loại rủi ro để đánh giá mức độ ƣu tiên xử lý rủi ro, sở phân loại rủi ro đƣợc đánh giá theo tiêu chí thời gian an tồn thơng tin giá trị thiệt hại điểm yếu có nguy gây an tồn thơng tin cho tồn hệ thống thơng tin CMC TI Và cuối xử lý rủi ro theo số biện pháp bảo vệ cho tất loại tài sản thông tin CMC TI ABSTRACT In the context of information technology are applied wide and deep in all fields of social life So many organizations, agencies and business operate to entirely depend on computer system When the computer system has problems, the operation of the unit is seriously affected and may even completely paralyzed, ect Now, CMC Telecommunications Infrastructure Joint Stock Corporation (CMC TI) is processing main works which is taking place entirely in the network environment, this is a huge risk which cause insecure information, personal data, general data of enterprises and customers Although, CMC TI has launched a number of policies to take precausion, prevent, to minimize the risk of information loss to the lowest possible level However, with the rapid development of information technology, the information system of CMC TI increasingly faces difficulties, big challenges due to the danger of information safe loss from the outside as well as internal company caused Comprehensive solution and the best effectively to solve the problem of safety information ensuring for CMC TI is to apply information security management system ISO/IEC 27001:2005, to protect the information assets of CMC and customers Therefore, the objective is to analyze the current state of information security systems at CMC TI, to offer ways and methods of information asset classification as a basis to assess the level of protection it based on three attributes as security, integrity, availability Then, determine the risk level of information asset based on two criteria are likely to occur and affect level of risk The risk classification to assess the level of risk treatment priorities, and the classification of risk is assessed according to two criteria of unsafe time information and the value of damage due to a weakness which may cause the insecure information for the entire information system of CMC TI And finally, is to handle risks in a number of safeguards for all types of information assets of CMC TI MỤC LỤC LỜI CÁM ƠN TÓM TẮT ĐỀ TÀI ABSTRACT MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU DANH MỤC CHỮ VIẾT TẮT CHƢƠNG 1: GIỚI THIỆU 1.1 GIỚI THIỆU TỔNG QUAN 1.2 LÝ DO HÌNH THÀNH ĐỀ TÀI 1.3 MỤC TIÊU NGHIÊN CỨU 1.4 Ý NGHĨA ĐỀ TÀI 1.5 PHƢƠNG PHÁP NGHIÊN CỨU 1.6 PHẠM VI NGHIÊN CỨU 1.7 BỐ CỤC ĐỀ TÀI CHƢƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 KHÁI QUÁT VỀ ISO/IEC 27001:2005 2.2 HTQL ANTT THEO CHUẨN ISO/IEC 27001:2005 2.2.1 Hệ thống quản lý an ninh thông tin (ISMS) 2.2.2 Các yêu cầu ISMS 10 2.2.3 Quy trình triển khai ISMS 11 2.2.4 Thuận lợi khó khăn triển khai ISO/IEC 27001:2005 12 2.3 QUẢN LÝ RỦI RO .13 2.3.1 Các khái niệm .13 2.3.2 Quá trình quản lý rủi ro .13 2.3.3 Các kỹ thuật quản lý rủi ro 14 2.3.4 Lợi ích quản lý rủi ro 15 2.4 MƠ HÌNH AN TỒN THƠNG TIN C-I-A 16 2.4.1 Hàm giá trị tài sản 16 2.4.2 Đánh giá mức độ rủi ro 19 2.5 KHUNG NGHIÊN CỨU .20 CHƢƠNG 3: THỰC TRẠNG HTQL ANTT TẠI CMC TI 22 3.1 GIỚI THIỆU CÔNG TY .22 3.1.1 Vài nét sơ lƣợc Công ty 22 3.1.2 Sơ đồ tổ chức 22 3.1.3 Tầm nhìn sứ mệnh 22 3.1.4 Tình hình hoạt động chất lƣợng 23 3.2 THỰC TRẠNG AN TỒN THƠNG TIN TẠI CMC TI 24 3.2.1 Nguyên nhân từ phía ngƣời 24 3.2.2 Nguyên nhân từ phía sách 24 3.2.3 Ngun nhân từ phía cơng nghệ 25 3.3 CHỨC NĂNG VÀ HOẠT ĐỘNG CỦA DC 26 CHƢƠNG 4: ĐÁNH GIÁ VÀ BIỆN PHÁP KIỂM SOÁT RỦI RO TÀI SẢN 28 4.1 PHÂN LOẠI TÀI SẢN .28 4.2 XÁC ĐỊNH MỨC ĐỘ BẢO VỆ TÀI SẢN 29 4.2.1 Tính bảo mật 30 4.2.2 Tính tồn vẹn 32 4.2.3 Tính sẵn sàng 35 4.3 ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN 37 Kết đánh giá rủi ro tài sản thông tin 38 4.3.1 Khả xảy 38 4.3.2 Mức độ ảnh hƣởng 39 4.4 PHÂN LOẠI RỦI RO 41 4.5 BIỆN PHÁP KIỂM SOÁT RỦI RO 43 4.6 ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ RỦI RO 47 CHƢƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ 49 5.1 CÁC KẾT QUẢ CHÍNH CỦA ĐỀ TÀI .49 5.2 HẠN CHẾ VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO 50 TÀI LIỆU THAM KHẢO PHỤ LỤC PHỤ LỤC A: Các điểm yếu đe dọa hệ thống thông tin CMC TI PHỤ LỤC B: Biên làm việc Ban ISO 27000 với Vinastar LÝ LỊCH TRÍCH NGANG DANH MỤC HÌNH VẼ Hình 1.1: Q trình nghiên cứu Hình 2.1: HTQL ANTT ISO/IEC 27001:2005 Hình 2.2: Mơ hình PDCA ISMS 12 Hình 2.3: Quy trình quản lý rủi ro 14 Hình 2.4: Khung nghiên cứu đánh giá rủi ro tài sản thơng tin 20 Hình 3.1: Mơ hình tổ chức CMC TI 22 Hình 4.1: Quy trình đánh giá rủi ro CMC TI .48 46 dịch vụ thƣờng xuyên bên thứ ba  Sử dụng dịch vụ bảo vệ chuyên nghiệp công ty dịch vụ Bảng 4.13: Giải pháp cho Nhóm rủi ro Rất cao Mục tiêu theo ISO 27001 A.15.2.2 – Kiểm tra tƣơng thích kỹ thuật A.15.2.1 – Phù hợp với sách tiêu chuẩn an toàn A.11.6.2 – Cách ly hệ thống nhạy cảm A.12.4.1 – Quản lý phần mềm điều hành A.10.2.2 – Giám sát xoát xét dịch vụ bên thứ ba A.9.2.2 – Các tiện ích hỗ trợ Biện pháp quản lý theo Đề xuất phận ISO 27001 DC Các hệ thống thông tin cần đƣợc – Tài liệu quy trình chưa kiểm tra thƣờng xuyên phù hợp lý: Chỉnh sửa lại hệ hợp với tiêu chuẩn thực thống tài liệu quy trình đảm bảo an tồn ISO 9001:2008 cho Ngƣời quản lý đảm bảo thủ tục phù hợp với hệ thống đảm bảo an toàn phạm vi ISO/IEC 27001:2005 trách nhiệm phù hợp với sách nhƣ tiêu chuẩn đảm bảo an toàn Các hệ thống nhạy cảm cần có mơi – Hỏng chương trình hệ trƣờng máy tính cách ly thống:  Xây dựng hệ thống máy chủ dự phịng Cần phải có thủ tục sẵn sàng  Mua quyền cho cho việc quản lý trình cài đặt chƣơng trình tiện phần mềm hệ thống điều ích hệ thống hành Các dịch vụ, báo cáo hồ sơ – Mất điện/Không đảm bên thứ cung cấp cần đƣợc giám bảo nhiệt độ lạnh: sát, soát xét kiểm tra cách  Thuê dịch vụ bảo thƣờng xuyên dƣỡng công nghiệp  Nhân viên vận hành hệ Thiết bị phải đƣợc bảo vệ khỏi thống theo dõi cố nguồn điện nhƣ đơn vị bảo dƣỡng cố gián đoạn hoạt động có nguyên yêu cầu xử lý phát nhân từ tiện ích hỗ trợ hệ thống điện hệ thống lạnh có nguy khơng hoạt động A.9.2.4 – Duy Các thiết bị cần đƣợc trì – Hỏng IOS, card giao trì thiết bị cách thích hợp nhằm đảm bảo tiếp, cổng kết nối/ Hỏng sẵn sàng toàn vẹn thiết bị : A.10.3.1 – Việc sử dụng tài nguyên cần đƣợc  Thực sửa chữa Quản lý theo dõi, điều chỉnh dự đoán lớn thiết bị lực hệ thống yêu cầu công suất tƣơng mạng, hệ thống lạnh, lai nhằm đảm bảo hiệu suất hệ 47 thống cần thiết A.12.6.1 – Thông tin kịp thời điểm yếu Quản lý kỹ thuật hệ thống thông tin nguy đƣợc sử dụng cần phải đƣợc mặt kỹ thuật thu thập Đồng thời, tổ chức công bố đánh giá điểm yếu nhƣ biện pháp tiến hành để xác định rủi ro liên quan – Việc xác minh lai lịch ứng viên tuyển dụng, ngƣời bên thứ ba phải đƣợc thực phù hợp với pháp luật, quy định phù hợp với yêu cầu công việc, phân loại thông tin đƣợc truy cập rủi ro nhận thấy đƣợc A.8.2.2 – Tất nhân viên tổ chức, Nhận thức, ngƣời bên thứ ba cần phải đƣợc giáo dục đào tạo nhận thức cập nhật đào tạo an thƣờng xuyên thủ tục, tồn thơng tin sách đảm bảo an tồn thơng tin tổ chức nhƣ phần công việc bắt buộc A.8.3.3 – Hủy Các quyền truy cập thông tin bỏ quyền truy nhân viên, ngƣời bên thứ cập ba phƣơng tiện xử lý thông tin phải đƣợc hủy bỏ kết thúc hợp đồng thuyên chuyển công tác A.8.1.2 Thẩm tra 4.6 hệ thống truyền tải liệu, theo định kỳ tháng/lần  Đề xuất mua sắm thêm thiết bị dự phòng để ứng cứu có cố lớn xảy  Xây dựng hệ thống lƣu trữ liệu – Rị rỉ thơng tin:  Đào tạo giáo dục sách bảo mật nguyên tắc bảo mật, nhận biết rủi ro cho toàn thể nhân viên DC  Xác định cá nhân có mức độ rủi ro cao để đƣa biện pháp kiểm soát, cho chức danh nhƣ Giám đốc, trƣởng phịng, kỹ sƣ chính…  Thẩm tra lý lịch nhân viên trƣớc tuyển dụng đối tác, khách hàng trƣớc kết hợp đồng cung cấp dịch vụ ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ RỦI RO Mục tiêu: Đƣa hƣớng dẫn cách thức tiến hành đánh giá rủi ro tài sản thông tin cho phận lại CMC TI, để xác định mối nguy khả xảy rủi ro, từ có biện pháp quản lý/kiểm sốt phù hợp Phƣơng pháp xây dựng quy trình: Căn mơ hình nghiên cứu, ý kiến thành viên Ban ISO 27000, tƣ vấn Vinastar Mà Ban ISO 27000 đề xuất quy trình nhƣ Hình 4.1, quy trình đƣợc xem nhƣ tài liệu hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005 CMC TI 48 Ngƣời quản lý tài sản QUY TRÌNH ĐÁNH GIÁ RỦI RO Yêu cầu đánh giá rủi ro Phân tích rủi ro Ƣớc lƣợng rủi ro Xử lý rủi ro Ƣớc lƣợng rủi ro lại Đại diện lãnh đạo NO YES Phê duyệt Phê duyệt Phụ trách ISMS YES Theo dõi kế hoạch thực Lập kế hoạch Hình 4.1: Quy trình đánh giá rủi ro CMC TI Thực thông báo áp dụng 49 CHƢƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ 5.1 CÁC KẾT QUẢ CHÍNH CỦA ĐỀ TÀI Q trình đánh giá rủi ro tài sản thông tin công việc gồm nhiều q trình: phân tích trạng tài sản thông tin, phân loại tài sản, đánh giá mức độ bảo vệ, đánh giá mức độ rủi ro, phân loại rủi ro, cuối xử lý rủi ro Có thể nói, q trình đánh giá rủi ro tài sản thơng tin q trình liên tục tuần tự, có nghĩa q trình trƣớc ảnh hƣởng lên trình sau, bỏ qua trình tồn q trình đánh giá rủi ro gặp trở ngại, không đảm bảo an tồn cho hệ thống thơng tin doanh nghiệp Do đó, khóa luận tuân thủ theo nguyên tắc kết nhận đƣợc phù hợp với mục tiêu ban đầu đề ra:  Kết phân tích trạng hệ thống an tồn thông tin CMC TI để nhận diện nguy từ yếu tố: ngƣời, sách công nghệ  Kết phân loại tài sản thông tin gồm loại tài sản: thông tin (hồ sơ, công văn, tài liệu), phần mềm (ứng dụng, hệ điều hành, tiện ích), dịch vụ (bảo vệ, bảo trì bảo dƣỡng máy móc vệ sinh), vật lý (máy tính, thiết bị điện, thiết bị mạng, hệ thống lạnh, văn phòng…) ngƣời (lãnh đạo, nhân viên)  Kết xác định mức độ bảo vệ: đƣợc xác định dựa yếu tố bảo mật (C), toàn vẹn (I) sẵn sàng (A), với thang điểm từ đến tuơng ứng với mức thông tin cho đối tƣợng bên ngoài, dành cho số đối tƣợng bên ngồi, thơng tin nội bộ, cấp Cơng ty, tuyệt mật Từ đó, tính tổng giá trị theo công thức VTài sản= C + I + A cho loại tài sản  Kết đánh giá rủi ro tài sản: đƣợc xác định dựa theo yếu tố khả xảy (L) mức độ ảnh hƣởng (Im), với thang điểm từ đến để tính mức độ rủi ro theo công thức R = VTài sản * L * Im  Kết phân loại rủi ro: với tiêu chí chấp nhận rủi ro R < 50, đƣợc phân thành mức độ rủi ro Rất Cao (R > 150), Cao (100 – 150), Trung bình (50 – 100), Thấp (R < 50) 50  Kết xử lý rủi ro DC: nguy thuộc nhóm rủi ro Rất cao DC là: tài liệu quy trình khơng hợp lý, hỏng chƣơng trình phần mềm hệ thống, dịch vụ vệ sinh bảo dƣỡng phát điện hệ thống máy lạnh không đảm bảo, hỏng phần cứng thiết bị mạng thiết bị hệ thống truyền tải điện liệu, rị rỉ thơng tin ngƣời….Biện pháp xử lý tƣơng ứng cho nguy là: sửa lại quy trình để phù hợp với tiêu chuẩn ISO/IEC 27001:2005, mua quyền phần mềm xây dựng hệ thống dự phòng, thuê đơn vị bảo dƣỡng khác giám sát chặt chẽ hơn, mua sắm thiết bị dự phòng cần thiết, đào tạo nhận thức sách bảo mật Cơng ty Từ đó, chuẩn hóa biện pháp xử lý rủi ro theo điều khoản ISO/IEC 27001:2005, nhằm tạo hệ thống tài liệu sách an tồn thơng tin cho hệ thống thông tin CMC TI 5.2 HẠN CHẾ VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO  Những mặt hạn chế đề tài:  Do yêu cầu khóa luận Thạc sĩ, hạn chế thời gian kiến thức ngƣời nghiên cứu Nên nghiên cứu dừng khâu đánh giá rủi ro tài sản thơng tin thuộc quy trình thiết kế HTQL ANTT theo tiêu chuẩn ISO/IEC 27001:2005  Việc đánh giá rủi ro tài sản thông tin đáp ứng mức độ xử lý rủi ro xảy biết trƣớc, yếu tố phát mối nguy/ đe dọa tiềm ẩn tƣơng lai chƣa lƣợng hóa đƣợc Do đó, mơ hình an tồn thơng tin CI-A cịn hạn chế so với kỹ thuật phân tích mối nguy hại tác động (FMEA)  Hƣớng nghiên cứu tiếp theo:  Triển khai cách thức thực hiện, đánh giá giải pháp xử lý rủi ro cho phận lại CMC TI  Nghiên cứu thêm yếu tố phát rủi ro tiềm ẩn tài sản thơng tin mơ hình an tồn thơng tin C-I-A  Nghiên cứu việc tích hợp hệ thống quản lý chất lƣợng theo TCVN ISO 9001:2008 với TCVN ISO/IEC 27001:2009 vào CMC TI TÀI LIỆU THAM KHẢO International Standard ISO/IEC 27001:2005 (2005) Information technology – Security techniques – Information security management systems – Requirments International Organization for Standardization International Standard ISO/IEC 27002:2005 (2005) Information technology – Security techniques – Code of practice for information security management International Organization for Standardization ISO/IEC 27001:2005 – Hệ thống quản lý an ninh thông tin: http://www.hutech.edu.vn/ttqlcntt/index.php?option=com_content&view=art icle&id=542:iso-270012005-he-thong-quan-ly-an-ninh-thongtin&catid=217:tu-lieu&Itemid=168 Năng suất chất lƣợng (2013) Thực trạng xây dựng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005 Trung tâm suất Việt Nam Nguyễn Thúy Quỳnh Loan (2013) Bài giảng Quản lý dự án Đại học Bách Khoa Tp HCM Nhóm phát triển phần mềm (2010) Tham luận cơng cụ hỗ trợ quản lý sách an ninh thông tin Trung tâm phát triển phần mềm Đồng Nai Quy chuẩn Việt Nam 34:2011/Bộ Thông tin Truyền thông (2011) Quy chuẩn kỹ thuật quốc gia chất lượng dịch vụ truy cập Internet ADSL Cục Quản lý chất lƣợng Công nghệ thông tin Truyền thông Tiêu chuẩn Việt Nam ISO/IEC 27001:2009 Công nghệ thông tin – Hệ thống quản lý an tồn thơng tin – Các yêu cầu Viện tiêu chuẩn chất lƣợng Việt Nam Tiêu chuẩn Việt Nam ISO/IEC 27002:2010 Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an tồn thơng tin Viện tiêu chuẩn chất lƣợng Việt Nam 10 Tơ Hồng Nam (2013) Nhân thức tiêu chuẩn ISO/IEC 27001:2005 Công ty Cổ phần dịch vụ Vinastar PHỤ LỤC PHỤ LỤC A: Các điểm yếu đe dọa hệ thống thông tin CMC TI STT Đe dọa (Nguy cơ) Điểm yếu Những đe dọa ảnh hƣởng lớn 1.1 Động đất, bão, lũ - Thiếu biện pháp bảo vệ có thiên tai xảy lụt,… khơng có hệ thống lƣu trữ 1.2 Hỏng phần cứng - Thiếu chế giám sát việc sử dụng hệ thống - Thiếu kế hoạch bảo trì định kỳ - Thiếu quản lý hiệu năng, dung lƣợng - Không có kế hoạch thay định kỳ - Sử dụng thiết bị không chức 1.3 Lỗi dịch vụ truyền - Thiếu dịch vụ dự phòng thơng - Khơng có đánh giá dịch vụ nhà thầu trƣớc sử dụng 1.4 Cháy, hỏa hoạn - Thiếu bảo vệ vật lý (khơng có đủ thiết bị phòng cháy, chữa cháy tòa nhà) - Giám sát thiết bị không cẩn thận nguyên nhân gây cháy Ví dụ nhƣ: dây điện, máy chủ… - Thiếu chế giám sát, kiểm tra định kỳ thiết bị Thiếu đào tạo cán PCCC - Rò rỉ nƣớc 1.5 Sự thay đổi nhiệt độ: - Ảnh hƣởng thay đổi nhiệt độ nhiệt độ q cao - Thiếu điều hịa khơng khí thấp 1.6 Sự thay đổi độ ẩm - Ảnh hƣởng thay đổi độ ẩm nhiều bụi bẩn: độ ẩm - Thiếu điều hịa khơng khí bụi bẩn cao - Thiếu vệ sinh định kỳ mức cho phép 1.7 Cháy đƣờng dây - Thiếu bảo vệ vật lý cho hệ thống đƣờng dây (cable): đƣờng điện, - Giám sát thiết bị không cẩn thận nguyên nhân gây dây kết nối cháy Ví dụ nhƣ: Dây điện, Server - Đƣờng dây dài - Đƣờng dây bị tải Những đe dọa lỗi 2.1 Quá tải - Thiếu giám sát việc sử dụng hệ thống - Thiếu quản lý hiệu suất, dung lƣợng 2.2 Vi phạm quyền - Thiếu đào tạo - Thiếu chế giám sát, kiểm soát - Việc download sử dụng phần mềm khơng đƣợc kiểm sốt 2.3 Lỗi phần mềm - Thiếu quy trình kiểm tra xây dựng phầm mềm - Thiếu chế kiểm soát truy cập 3.1 3.2 3.3 4.1 4.2 4.3 5.1 5.2 Các đặc điểm kỹ thuật khơng hồn chỉnh không rõ ràng cho nhà phát triển Các đe dọa ngƣời Nhân viên vận hành - Thiếu đào tạo trƣớc làm việc sai - Thiếu chế giám sát - Lỗ hổng phần mềm - Xử lý cố bảo mật không tốt - Thiếu văn hóa tài liệu Sử dụng Password - Thiếu đào tạo Bảo mật, an tồn thơng tin không quy định - Đào tạo bảo mật thông tin không đầy đủ - Thiếu hiểu biết bảo mật thông tin - Quản lý mật yếu Xử lý thông tin không - Thông tin nhạy cảm không đƣợc bảo vệ cẩn thận - Thiếu đào tạo Bảo mật, an tồn thơng tin - Đào tạo bảo mật, an tồn khơng đầy đủ - Thiếu hiểu biết bảo mật, an tồn thơng tin Các đe dọa lỗi kỹ thuật Mất điện - Khơng có nguồn điện dự trữ Nguồn điện khơng ổn - Ảnh hƣởng thay đổi điện áp định - Điện áp không ổn định Mất liệu - Thiếu quản lý hiệu năng, dung lƣợng sở liệu thiếu - Thiếu chế giám sát việc sử dụng hệ dung lƣợng lƣu trữ thống Những đe dọa cố ý Ăn trộm - Thiếu biện pháp kiểm soát truy cập vật lý vào tòa nhà, phòng - Thiếu chế kiểm sốt truy cập - Cơng việc nhân viên tạp vụ nhân viên th ngồi khơng đƣợc giám sát - Phân quyền truy cập không - Quản lý mật yếu (mât dễ đoán, độ dài ngắn, không đổi thƣờng xuyên) - Dữ liệu để nơi không đƣợc quản lý - Thiếu nhân viên bảo vệ - Các thiết bị không đƣợc bảo vệ - Các thiết bị để nơi không đƣợc quản lý - Các thiết bị lƣu trữ hủy bỏ tái sử dụng sang mục địch khác khơng đƣợc xóa liệu Chỉnh sửa sử - Phân quyền truy cập không dụng liệu trái phép - Thiếu chế kiểm soát truy cập - Quản lý mật yếu - Thiếu đào tạo bảo mật - Phân tán liệu 5.3 Phần mềm độc hại 5.4 Phá hoại có chủ tâm (hacker) - 5.5 Rị rỉ thơng tin 5.6 5.7 5.8 5.9 - - Sử dụng dịch vụ cách trái phép Sử dụng phần mềm không quyền Giả mạo định danh ngƣời dùng Sử dụng phần mềm trái phép - 5.10 Nghe lén, nghe trộm (nghe gói tin mạng nghe trộm qua đƣờng điện thoại) 5.11 Truy cập vào mạng ngƣời dùng không đƣợc phép 5.12 Mối đe dọa nhân viên tạp vụ nhân viên thuê ngồi - - Dữ liệu để nơi khơng đƣợc quản lý Thực thi không đầy đủ chế bảo mật, an toàn sở liệu Thiếu chƣơng trình ngăn ngừa phần mềm độc hại Chƣơng trình ngăn ngừa phần mềm độc hại không đƣợc cập nhật thƣờng xuyên Các thiết bị không đƣợc bảo vệ Thiếu thiết bị firewall (tƣờng lửa) Không thực kiểm tra lỗ hổng hệ thống mạng (test penetration network) Thiếu buổi đào tạo cho đội ngũ bảo vệ Quản lý mật yếu Các thiết bị lƣu trữ hủy bỏ tái sử dụng sang mục địch khác không đƣợc xóa liệu Xử lý cố an tồn khơng triệt để Thực thi thiếu chế bảo mật sở liệu Thiếu chinh sách cho việc sử dụng dịch vụ Thiếu chế giám sát kiểm soát Thiếu đào tạo Phân quyền truy cập khơng Khơng kiểm sốt đƣợc việc download cài đặt phần mềm Thiếu chế nhận dạng xác thực nhƣ xác thực ngƣời dung Quản lý mật yếu Phân quyền truy cập không Lỗ hổng phần mềm Khơng khỏi chƣơng trình làm việc rời máy trạm Đƣờng truyền thông không đƣợc bảo vệ Truyền Password dƣới dạng không đƣợc mã hóa Những kết nối mạng cơng cộng khơng đƣợc bảo vệ Sự phân tách mạng không Quản lý mật yếu Thiếu đạo tạo bảo mật thông tin cho nhân viên tạp vụ, nhân viên thuê ngồi Cơng việc nhân viên tạp vụ nhân viên th ngồi khơng đƣợc giám sát Khơng ký cam kế bảo mật thông tin PHỤ LỤC B: Biên làm việc Ban ISO 27000 với Vinastar CÔNG TY CP HẠ TẦNG VIỄN THÔNG CMC -Số: 02/2013/BBLV CỘNG HÕA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc -*** Tp Hồ Chí Minh, ngày 08 tháng 11 năm 2013 BIÊN BẢN LÀM VIỆC (V/v Áp dụng ISO/IEC 27001:2005 hoạt động Công ty CP Hạ tầng viễn thông CMC) Hôm nay, vào lúc 00 phút ngày 08 tháng 11 năm 2013 , văn phịng Cơng ty Cổ Phần Hạ Tầng Viễn Thơng CMC Địa chỉ: Phịng họp VC, 81 Cách Mạng Tháng Tám, Phƣờng Bến Thành, Quận 1, TP Hồ Chí Minh Chúng tơi gồm: Bên A : Cơng ty Cổ phần Hạ tầng viễn thông CMC Địa : Tầng 5, nhà CMC, Duy Tân, Cầu Giấy, Hà Nội Điện thoại : 84 3925 9968 Đại diện Fax : 84 3925 9755 : Ông Nguyễn Đức Thành, Tổng Giám Đốc Bên B : Công ty Cổ phần Dịch vụ Vinastar Địa : Phòng 606, 04 Nguyễn Đình Chiểu, Phƣờng Đakao, Quận 1, TP Hồ Chí Minh Website : www.vinastarconsulting.com Đại diện : Ơng Tơ Hồng Nam, Giám đốc điều hành NỘI DUNG LÀM VIỆC I Nội dung làm việc cụ thể: Công ty Cổ phần Hạ tầng viễn thông CMC tiến hành họp Dự án tƣ vấn xây dựng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005 Chủ tọa: Ơng Ngơ Trọng Hiếu, Phó Tổng Giám Đốc, Trƣởng Ban ISO 27000 Thƣ ký: Ông Nguyễn Thanh Đức, Chuyên viên kiểm soát chất lƣợng, thành viên Ban ISO 27000 Thành phần tham dự: Xem danh sách đính kèm Nội dung họp: Ơng Ngơ Trọng Hiếu, Phó Tổng Giám Đốc phát biểu khai mạc họp Ông nhấn mạnh đến tầm quan trọng công tác đánh giá rủi ro tài sản thông tin trình thiết kế hệ thống quản lý an tồn thơng tin (ISMS) theo tiêu chuẩn ISO/IEC 27001:2005 Công tác đánh giá rủi ro công tác q trình thiết kế ISMS, ảnh hƣởng tới tồn q trình thiết kế ISMS theo sau Do đó, cần phải hiểu thực từ đầu, hệ thống ISMS phát huy tối đa hiệu bảo mật thông tin cho tồn hệ thống thơng tin CMC TI cho khách hàng CMC TI Để thành viên buổi họp nắm bắt đƣợc nội dung cơng tác đánh giá rủi ro ông Tô Hoàng Nam - đại diện đơn vị tƣ vấn Vinastar, tập trung thảo luận vấn đề trọng tâm công tác đánh giá rủi ro Đó đánh giá mức độ bảo vệ tài sản đánh giá mức độ rủi ro Trong công tác đánh giá mức độ bảo vệ tài sản thực đánh giá thuộc tính tài sản thơng tin gồm tính bảo mật, tính tồn vẹn tính sẵn sàng Cịn cơng tác đánh giá mức độ rủi ro đánh giá dựa vào yếu tố khả xảy mức độ ảnh hƣởng Thang điểm để đánh giá tất thuộc tính từ – tƣơng ứng cho mức độ nhƣ: thấp, thấp, trung bình, cao cao Nội dung thảo luận: - Ông Nguyễn Xuân Thu, Giám đốc Trung tâm liệu (DC), thắc mắc việc để phân loại tài sản Trung tâm ơng quản lý có nhiều chi tiết nhỏ nhƣ sợi cáp mạng nhiều, thiết bị mạng đủ chuẩn loại, linh kiện điện tử phong phú thống kê sợi cáp, linh kiện, thiết bị nhƣ theo hƣớng dẫn ban đầu cơng nhƣng khơng cần thiết q chi ly Theo ơng nên phân theo nhóm tài sản để gơm chung tài sản riêng lẻ có chung thuộc tính thành nhóm, nhằm dễ dàng cho việc dán nhãn tài sản, quản lý sở liệu, dễ nắm bắt số lƣợng chi tiết Cách làm ông đƣợc ngƣời trí 100% cải tiến so với hƣớng dẫn cũ Vinastar - Ông Lê Thế Việt - Điều phối viên Ban ISO 27000 Miền Bắc cho rằng, việc đánh giá đƣa thang điểm mà không đƣa hƣớng dẫn cụ thể khả cho điểm theo cảm tính nhiều Nếu nhƣ chƣa thể tính khoa học tính xác cơng tác đánh giá, mang tính chất chủ quan cá nhân trính đánh giá Để hạn chế yếu tố cá nhân công tác đánh giá rủi ro, ông đề nghị Ban ISO 27000 phối hợp với bên tƣ vấn nghiên cứu để đƣa hƣớng dẫn chi tiết Từ đó, làm thành tài liệu hƣớng dẫn chung cho tồn Cơng ty - Bà Đoàn Thu Thủy - thành viên Ban ISO 2700 thắc mắc việc phân loại tài sản Bà nêu cụ thể trƣờng hợp, tài sản ngƣời phịng nhân Cơng ty quản lý tài sản phận Thắc mắc bà đƣợc nhiều thành viên họp tranh luận, kết luận cuối buổi họp rằng: ngƣời thuộc tài sản phận (chiếm 75% tổng số ý kiến thành viên họp) - Ý kiến bà Ơng Thị Kim Yến, Giám đốc chất lƣợng cho cần phải có lộ trình đánh giá rủi ro phù hợp, phải phân cấp độ đánh giá Việc đánh giá theo cấp giúp cho việc đánh giá đƣợc khách quan thể vai trị cơng tác quản lý chun sâu Tức là, cấp đánh giá chuyên sâu kỹ thuật / nghiệp vụ phận đánh giá riêng, nhƣng đến phần đánh giá mức độ ảnh hƣởng rủi ro phải có cấp độ cao để đánh giá, cấp độ cần có tầm bao qt hơn, nhìn nhận mức độ ảnh hƣởng khơng cịn phạm vi phận mà phải có khả đánh giá ảnh hƣởng rủi ro đến phận Cơng ty Thì cơng tác quản lý hệ thống ISMS hiệu II Kết luận: Các định đƣợc thông qua: - Xây dựng lại hƣớng dẫn phân nhóm tài sản, đánh giá mức độ bảo vệ tài sản, mức độ rủi ro tài sản thông tin theo hƣớng chi tiết rõ ràng - Phân cấp độ đánh giá rủi ro, với cấp độ phận thực công tác đánh giá mức độ bảo vệ (VTài sản) Đối với cấp công ty, Ban ISO 27000 dựa kết đánh giá phận, để đánh giá mức độ rủi ro (R) cho tồn cơng ty Biểu quyết: - Số phiếu tán thành: 100 % số phiếu - Số phiếu không tán thành: phiếu Cuộc họp kết thúc lúc 12 ngày, nội dung thảo luận họp đƣợc thành viên dự họp thông qua ký vào biên Biên đƣợc thành viên trí thơng qua có hiệu lực từ ngày ký Chữ ký thành viên Chủ tọa Ngô Trọng Hiếu Thƣ ký Nguyễn Thanh Đức Đại diện thành viên tham gia Lê Thế Việt Danh sách thành viên tham dự họp STT Họ tên Ngô Trọng Hiếu Lê Thế Việt Ƣng Đình Khánh 11 Phạm Thanh Tú 12 Mai Lâm Tùng 13 Nguyễn Xuân Thu Nguyễn Vũ Anh Ông Thị Kim Yến 16 17 18 Chức vụ Ban ISO 27000 Ban điều hành Phó Tổng Giám Đốc Ban công nghệ thông tin Nguyễn Nhƣ Trung tâm điều hành Thành mạng Đoàn Thanh Thủy Ban nhân Trần Ngọc Linh Ban tài kế tốn Nguyễn Khánh Ban đầu tƣ phát Hòa triển Vũ Thị Khun Ban tài kế tốn Đinh Tuấn Trung Chi nhánh Miền Bắc Lê Ngọc Vỹ Chi nhánh Miền Nam 10 14 15 Đơn vị Ngô Sỹ Thăng Nguyễn Thanh Đức Nguyễn Xuân Quý Vai trò hệ thống ISO 27000 Giám Đốc Trƣởng ban ISO 27000 Điều phối viên Miền Bắc ISOman Phó Giám Đốc Giám Đốc Trƣởng ban ISOman ISOman ISOman Giám Đốc Kế toán trƣởng Giám Đốc kỹ thuật Phó Giám Đốc ISOman ISOman Điều phối viên Miền Nam Chi nhánh Miền Nam Phó Giám Đốc Trung ISOman tâm kỹ thuật Ban cơng nghệ thơng Trƣởng phịng ISOman tin Chi nhánh Miền Nam Giám đốc Trung tâm ISOman kỹ thuật Chi nhánh Miền Nam Giám Đốc Trung tâm ISOman liệu Chi nhánh Miền Nam Kỹ sƣ ISOman Ban quản lý chất Giám Đốc ISOman lƣợng Chi nhánh Miền Bắc Chuyên viên ISOman Ban quản lý chất Chuyên viên ISOman lƣợng Ban quản lý chất Chuyên viên ISOman lƣợng Vinastar 19 Tơ Hồng Nam Vinastar Giám Đốc điều hành 20 Tơ Hồng Nhã Vinastar Nhân viên 21 Phan Thanh Tân Vinastar Nhân viên Nhóm chuyên gia tƣ vấn Nhóm chuyên gia tƣ vấn Nhóm chuyên gia tƣ vấn LÝ LỊCH TRÍCH NGANG Họ tên: NGUYỄN THANH ĐỨC Ngày, tháng, năm sinh: 16/02/1986 Nơi sinh: Quảng Ngãi Địa liên lạc: 111/17 Nguyễn Tự Tân, Tp Quảng Ngãi, tỉnh Quảng Ngãi QUÁ TRÌNH ĐÀO TẠO - 9/2004 – 12/2009: Sinh viên Điện tử - viễn thông, Học viện Cơng nghệ Bƣu viễn thơng – Cơ sở Tp Hồ Chí Minh - 8/2012 – nay: Học viên Cao học Quản trị kinh doanh, Đại học Bách Khoa Tp Hồ Chí Minh Q TRÌNH CƠNG TÁC - 7/2009 – 10/2011: Nhân viên kỹ thuật Công ty viễn thông Quân Đội - 6/2012 – 12/2013: Chuyên viên kiểm soát chất lƣợng Công ty Cổ phần Hạ tầng viễn thông CMC ... giá rủi ro tài sản thông tin theo tiêu chuẩn ISO/ IEC 27001: 2005 đƣợc đƣa nhƣ sau: Phân loại tài sản thông tin Đánh giá mức độ bảo vệ tài sản Đánh giá mức độ rủi ro tài sản Phân nhóm rủi ro Kiểm... lý hình thành nên đề tài: ? ?Đánh giá rủi ro tài sản thông tin theo tiêu chuẩn ISO/ IEC 27001: 2005 Công ty Cổ phần Hạ tầng viễn thông CMC? ?? 1.3 MỤC TIÊU NGHIÊN CỨU Mục tiêu đề tài nhằm giải vấn đề... bảo an tồn thơng tin CMC TI 3  Xác định tiêu chí đánh giá tài sản thông tin rủi ro theo tiêu chuẩn ISO/ IEC 27001: 2005  Phân tích, đánh giá mức độ rủi ro loại tài sản thông tin phận Trung tâm