BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Bùi Việt Nga QUẢN LÝ RỦI RO CHO CÁC DỊCH VỤ WEB TRONG LĨNH VỰC Y TẾ Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC : TS Vũ Thị Hương Giang Hà Nội – Năm 2018 LỜI CAM ĐOAN Tôi Bùi Việt Nga học viên cao học khóa 2015B, Trƣờng Đại học Bách khoa Hà Nội xin cam kết Luận văn công trình nghiên cứu thân, dƣới hƣớng dẫn khoa học TS Vũ Thị Hƣơng Giang, Viện Công nghệ thông tin Truyền thông, Trƣờng Đại học Bách khoa Hà Nội Các kết Luận văn trung thực không chép từ công trình khác Hà Nội, ngày 14 tháng 09 năm 2018 Bùi Việt Nga K h ó a : B LỜI CÁM ƠN Lời cho em xin đƣợc gửi lời cảm ơn sâu sắc đến cô giáo TS Vũ Thị Hƣơng Giang – Viện Công nghệ thông tin & Truyền thông – Đại học Bách khoa Hà Nội, tận tình hƣớng dẫn suốt trình thực luận văn Em xin chân thành cảm ơn quý thầy cô Viện Công nghệ thơng tin & Truyền thơng nói riêng Đại học Bách khoa Hà Nội nói chung, giúp đỡ chúng em suốt khóa học Cuối tơi xin cảm ơn quý bạn bè đồng nghiệp, ngƣời tạo điều kiện nhƣ giúp đỡ để hồn thành khóa học Hà Nội, ngày 14 tháng 09 năm 2018 Bùi Việt Nga K h ó a : B DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT STT Ký hiệu Nội dung viết tắt viết tắt WS Web service SOA Service-Oriented Architecture SQL Structured Query Language API Application Programming Interface XSS Cross-site scripting SOAP Simple Object Access Protocol WSDL Web Services Description Language XML Extensible Markup Language UDDI Universal Description, Discovery and Intergration 10 IT Information Technology 11 TLS Transport Layer Security 12 SSL Secure Sockets Layer 13 HTTP HyperText Transfer Protocol 14 OCTAIVE Operationally Critical Threat, Asset, and Vulnerability Evaluation 15 NIST National Institute of Standards and Technology 16 SLDC Software Development Life-cycle 17 REST Representational State Transfer 18 CNTT Công nghệ thông tin 19 CLS Cận lâm sàng 20 CĐHA Chẩn đốn hình ảnh 21 CSDL Cơ sở liệu 22 QLRR Quản lý rủi ro DANH MỤC BẢNG Bảng Bảng kiểm sốt quy trình rủi ro gắn với vòng đời phát triển phần mềm SLDC 26 Bảng 2 Các dịch vụ web cung cấp 36 Bảng 2.3 Bảng phân quyền chức năng, dịch vụ cho ngƣời dùng 38 Bảng 2.4 Nguồn đe dọa – hành động đe dọa 43 Bảng 2.5 Bảng ánh xạ lỗ hổng – mối đe dọa 45 [20] Bảng 2.6 Bảng phân loại khả xảy rủi ro 50 [20] Bảng 2.7 Bảng phân loại khả xảy rủi ro 50 Bảng 2.8 Bảng đánh giá lựa chọn biện pháp kiểm soát rủi ro 59 DANH MỤC HÌNH VẼ Hình 1 Các nguyên tắc kiến trúc REST 17 Hình 1.2 Mối quan hệ rủi ro, mối đe dọa, lỗ hổng tài sản 20 Hình 1.3 Quy trinh quản lý rủi ro 21 Hình 1.4 Khung làm việc phƣơng pháp quản lý rủi ro NIST SP 800 30 28 Hình 2.1 Mơ hình kiểm sốt quy trình quản lý rủi ro 25 Hình 2.2 - Tiêu chí bảo mật thơng tin (CIA Traid) 32 Hình Quy trình quản lý rủi ro theo phƣơng pháp NIST 41 Hình 3.1 Mơ hình dịch vụ web đăng ký khám trả kết CLS, CĐHA 66 Hình 3.2 Biểu đồ mối quan hệ bảng CSDL 72 Hình 3.3 Giao diện dịch vụ web triển khai 76 Hình 3.4 Các phƣơng thức tài nguyên Accounts dịch vụ web cung cấp 77 Hình 3.5 Các phƣơng thức tài nguyên Registers dịch vụ web cung cấp 78 Hình 3.6 Trình điều khiển tƣơng tác đến tài nguyên Accounts 79 Hình 3.7 Cấu hình giao thức HTTPs/SSL cho dịch vụ web 80 Hình 3.8 Ràng buộc SSL cho phía client 81 Hình 3.9 Thƣ viện phản hồi trạng thái HTTP 82 Hình 3.10 Minh họa phản hồi HTTP trƣờng hợp ký tự đầu vào dài 83 Hình 3.11 Minh họa phản hồi HTTP trƣờng hợp liệu đầu vào có ký tự đặc biệt 83 Hình 3.12 Mơ hình sử dụng token xác thực ngƣời dùng 84 Hình 3.13 Cấu hình token xây dựng dịch vụ web 84 Hình 3.14 Cấu hình mã hóa MD5 triển khai dịch vụ web 85 Hình 3.15 Màn hình đăng nhập ứng dụng web 87 Hình 3.16 Màn hình tra cứu kết khám bệnh 87 Hình 3.17 Màn hình đăng ký khám bệnh 88 Hình 3.18 Màn hình hiển thị lịch sử đăng ký khám bệnh 88 Hình 3.19 Giao diện kết CLS trả ứng dụng web 89 Hình 3.10 Giao diện phần mềm quản lý làm việc phịng khám 90 Hình 3.11 Giao diện quản lý đăng ký hẹn khám bệnh ngƣời bệnh 90 MỤC LỤC LỜI CAM ĐOAN LỜI CÁM ƠN DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT DANH MỤC BẢNG DANH MỤC HÌNH VẼ MỤC LỤC MỞ ĐẦU 10 CHƢƠNG 1: TỔNG QUAN 14 1.1 Dịch vụ web 14 1.1.1 Khái niệm 14 1.1.2 Đặc điểm chung 14 1.1.3 Kiến trúc 16 1.1.4 Ƣu nhƣợc điểm 18 1.1.5 Ứng dụng 18 1.2 Quản lý rủi ro 19 1.2.1 Định nghĩa rủi ro 19 1.2.3 Tính cấp thiết QLRR 20 1.2.4 Quy trình quản lý rủi ro dịch vụ web 20 1.2.5 Mơ hình kiểm sốt quy trình QLRR 24 1.2.6 So sánh phƣơng pháp quản lý rủi ro 26 1.3 Bảo mật thông tin 31 1.3.1 Định nghĩa tiêu chí bảo mật thơng tin chung 31 1.3.1.1 Định nghĩa bảo mật thông tin 31 1.3.1.2 Tiêu chí bảo mật thông tin 32 1.3.2 Bảo mật lĩnh vực y tế 33 CHƢƠNG 2: QUẢN LÝ RỦI RO 35 2.1 Giới thiệu toán 35 2.1.1 Phạm vi mục tiêu 35 2.1.2 Phƣơng pháp 35 2.1.3 Đối tƣợng 35 2.1.4 Thông tin 38 2.2 Áp dụng quy trình QLRR 39 2.2.1 Quy trình quản lý rủi ro theo PP NIST 39 2.2.2 Kết sau áp dụng 42 2.2.2.1 Đánh giá rủi ro 42 2.2.2.1 Giảm thiểu rủi ro 55 2.2.2.2 Ƣớc lƣợng đánh giá 60 CHƢƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM 62 3.1 Yêu cầu hệ thống 62 3.2 Địa điểm triển khai 63 3.3 Công nghệ sử dụng 63 3.4 Mơ hình kiến trúc 65 3.5 Cơ sở liệu 67 3.5.1 CSDL Schedule 67 3.5.2 CSDL eHospital_HuuNghi 72 3.6 Xây dựng dịch vụ web 73 3.6.1 Thể tài nguyên 73 3.6.2 Phƣơng thức đƣờng dẫn 76 3.6.3 Trình điều khiển tài nguyên (Resource controller) 79 3.6.4 Cấu hình giao thức HTTPs/ SSL 80 3.6.5 Phản hồi trạng thái HTTP 81 3.6.6 Xác thực ngƣời dùng 84 3.6 Tích hợp với dịch vụ web 85 KẾT LUẬN 91 TÀI LIỆU THAM KHẢO 93 TÀI LIỆU THAM KHẢO [1] Web Service Choreography Interface (WSCI) 1.0 W3C Specification, 2002 [2] XML Encryption Syntax and Processing W3C Recommendation, 2002 [3] Improving Web Application Security: Threats and Countermeasures Technical report, MSDN Library, 2003 [4] Web Service Security OASIS Standard, 2006 [5] Web Service Description Language (WSDL) Version 2.0 Part 1: Core Language W3C Recommendation, 2007 [6] WS-SecureConversation 1.3 OASIS Standard, 2007 coordination In Current Trends in Database Technology – EDBT 2006, pages 105-114, Munich, Germany, 2006 Springer-Verlag Berlin Heidelberg [7] Verdon, D McGraw, Risk analysis in software design IEEE Security and Privacy (2004) 33-37 [8] Natallia Kokash, Risk management for Service-Oriented Systems ICWE 2007: 563568, Springer, Heidelberg (2007) [9] Natallia Kosash, Vinceno D’Andrea, Evaluating Quality of Web Services: A Riskdriven Approach, 2002 [10] Anoop Singhal, Theodore Winograd, Karen Scarfone, Guide to Secure Web Service, NIST 2007 [11] Qi Yu, Xumin Liu, Athman Bonguettaya and Brahim Medjahed, Deloying and managing Web service: issue, solutions and direction, Springer-Verlag, 2006 [12] Bertino et al, Sercutity for Web Services and Service – Oriented Arcitechtures, Springer-Velag, 2010 [13] Dr.E Wallmuler, Risk Management for IT and Software Projects, 2002 [14] Meiko Jensen, Nils Gruschka, Ralph Herkenhoner, A Survey of Attack on Web Services [15] Laurie Williams, Risk Management, © Laurie Williams 2004 93 [16] Bertino, E Martino, L Paci, F Squicciarini, Security for Web Services and ServiceOriented Architectures, 2010 [17] Erasmo L.Monteiro, Salvador University, A risk management model for serviceoriented architecture, 2000 [18] National Security Agency – NSA, Service Oriented Architeture Security Vulnerabilities, 2007 [19] Steve Elky - An Introduction to Information System Risk Management, SAN Institute, 2006 [20] Gary Stoneburner, Alice Goguen, Alexis Feringa, Risk Management Guide for Information Technology Systems, NIST Special Publication 800 – 30 2002 94 PHỤ LỤC TEMPLATE QUÁ TRÌNH QUẢN LÝ RỦI RO THEO PHƢƠNG PHÁP NIST TÀI LIỆU ĐẶC TẢ HỆ THỐNG (O1) TÀI LIỆU ĐẶC TẢ HỆ THỐNG Tên: ……………………… A B C - Giới thiệu dự án Tên dự án/ phần mềm Địa điểm triển khai Mục tiêu dự án/ phần mềm Kiến trúc công nghệ Công nghệ Kiến trúc < Mơ hình mơ tả kiến trúc> Quy trình phần mềm Hình vẽ - Mơ tả D Ranh giới hệ thống – System Boundary Chỉ rõ đối tƣợng dự án/ phần mềm E Chức phần mềm STT Số hiệu chức Tên chức Mô tả chức F Tài sản dự án 95 TÀI LIỆU TUYÊN BỐ MỐI ĐE DỌA (O2) Đây tài liệu gồm danh sách mối đe dọa kích hoạt lỗ hổng hệ thống phần mềm (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu O1: đặc tả hệ thống theo quy trình quản lý rủi ro theo phương pháp NIST STT (1) Nguồ đe dọa Đ ng lực H đ đe dọa (Threat-Source) (Motivation) (Threat Action) (2) (3) (4) (1) STT: Số thứ tự (2) Nguồn đe dọa: Mục đích phương pháp nhằm khai thác lỗ hổng có chủ đích; tình phương pháp vơ tình kích hoạt lỗ hổng (3) Động lực: động lực khiến nguồn đe dọa khai thác lỗ hổng (4) Hành động đe dọa: hành động nguồn đe dọa gây ảnh hưởng đến dự án/ phần mềm 96 TÀI LIỆU ÁNH XẠ LỖ HỔNG – MỐI ĐE DỌA (O3) Đây tài liệu liệt kê danh sách tất lỗ hổng chức hệ thống bị kích hoạt mối đe dọa có tiềm (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu (từ O1 đến O2) theo quy trình quản lý rủi ro theo phương pháp NIST Nguồ đe dọa Chức H đ đe dọa STT Lỗ hổng (Number) (Vulnerability) (Function) (Threat Source) (Threat) (1) (2) (3) (4) (5) (1) STT: Số thứ tự (2) Lỗ hổng: Lỗ hổng hệ thống tương ứng với chức phần mềm (3) Chức năng: Chức phần mềm mô tả tài liệu đặc tả hệ thống (O1) (4) Nguồn đe dọa: Mục đích phương pháp nhằm khai thác lỗ hổng có chủ đích; tình phương pháp vơ tình kích hoạt lỗ hổng (5) Hành động đe dọa: hành động nguồn đe dọa gây ảnh hưởng đến dự án/ phần mềm 97 TÀI LIỆU PHÂN TÍCH BIỆN PHÁP KIỂM SOÁT RỦI RO (O4) Đây danh sách biện pháp kiểm soát rủi ro sử dụng đƣợc lập kế hoạch để sử dụng cho phần mềm nhằm giảm thiểu lỗ hổng xảy giảm tác động kiện bất lợi (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu (từ O1 đến O3) theo quy trình quản lý rủi ro theo phương pháp NIST STT Ký hiệu Rủi (Number) (1) ro (2) Rủi ro Chức Biện pháp kiểm soát (Risks) (Function) (Control) (3) (4) (5) (1) STT: Số thứ tự (2) Ký hiệu rủi ro: Ví dụ R_1, R_2 ,… Để tiện theo dõi tài liệu liên quan (3) Rủi ro: Khả mối đe dọa công lỗ hổng, khiến tài sản bị mát, hư hỏng bị phá hủy – kết tương ứng tài liệu O3 (4) Chức năng: Chức phần mềm (5) Biện pháp kiểm soát: Những biện pháp để quản lý rủi ro - Tránh rủi ro, giám thiểu rủi ro, chuyển giao rủi ro 98 TÀI LIỆU ĐÁNH GIÁ KHẢ NĂNG XẢY RA RỦI RO (O5) Đây tài liệu đánh giá khả xảy rủi ro phần mềm – dựa vào tài liệu O3 (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu (từ O1 đến O3) theo quy trình quản lý rủi ro theo phương pháp NIST STT Ký hiệu rủi ro (1) (2) Mức khả (3) Lý xếp h ng (4) (1) STT: Số thứ tự (2) Ký hiệu rủi ro: Ví dụ R_1, R_2 ,… Để tiện theo dõi tài liệu liên quan (3) Mức khả xảy rủi ro, phụ thuộc vào tiêu chí sau a Động lực khả nguồn đe dọa b Tính tự nhiên lỗ hổng c Hiệu biện pháp đối phó rủi ro Có thể đánh giá mức khả xảy rủi ro theo bảng điểm mức độ (thấp, trung bình, cao) (4) Lý xếp hạng: Kết đánh giá rủi ro theo tiêu chí 99 TÀI LIỆU ĐÁNH GIÁ MỨC ẢNH HƢỞNG CỦA RỦI RO (O6) Đây tài liệu đánh giá khả xảy rủi ro phần mềm – dựa vào tài liệu O3 (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu (từ O1 đến O3) theo quy trình quản lý rủi ro theo phương pháp NIST STT Ký hiệu rủi ro (1) (2) Mức ả ƣởng (3) Kịch x u nh t (4) (1) STT: Số thứ tự (2) Ký hiệu rủi ro: Ví dụ R_1, R_2 ,… Để tiện theo dõi tài liệu liên quan (3) Mức ảnh hưởng rủi ro Xét rủi ro bảo mật thông tin, đánh giá ảnh hưởng rủi ro ba tiêu chí bảo mật thơng tin: a Tính bí mật b Tính tồn vẹn c Tính sẵn sàng (4) Kịch xấu nhất: Trường hợp rủi ro ảnh hưởng cao đến phần mềm, hệ thống ,tài sản thông tin dự án 100 TÀI LIỆU KHUYẾN NGHỊ RỦI RO (O7) Đây tài liệu liệt kê mô tả rủi ro đƣợc xếp hạng cao – cần phải quản lý (dựa vào khả xảy rủi ro mức độ ảnh hƣởng rủi ro, hai tiêu chí bị xếp hạng cao có nghĩa rủi ro cần thiết phải kiểm soát) (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu (từ O1 đến O6) theo quy trình quản lý rủi ro theo phương pháp NIST STT Ký hiệu rủi ro Xếp h ng rủi ro Ký hiệu kiểm soát Khuyến nghị kiểm soát Mô tả thêm (1) (2) (3) (4) (5) (6) (1) STT: Số thứ tự (2) Ký hiệu rủi ro: Ví dụ R_1, R_2 ,… Để tiện theo dõi tài liệu liên quan (3) Xếp hạng rủi ro: Xếp hạng dựa vào khả xảy rủi ro mức độ ảnh hưởng rủi ro lên phần mềm, dự án Có thể xếp hạng điểm số xếp hạng (thấp, trung bình, cao) (4) Ký hiệu kiểm sốt Ví dụ: C_1, C_2,… Để tiện theo dõi tài liệu liên quan (5) Khuyến nghị kiểm soát: Biện pháp nhằm kiểm soát, giảm thiểu rủi ro (6) Mô tả thêm: Ghi thêm rủi ro khuyến nghị kiểm sốt 101 TÀI LIỆU Q TRÌNH ĐÁNH GIÁ RỦI RO (OA) Đây tài liệu thể kết thực bƣớc tiến trình đánh giá rủi ro, quy trình đánh giá rủi ro theo phƣơng pháp NIST (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu đầu (từ O1 đến O7) theo quy trình quản lý rủi ro theo phương pháp NIST STT Lỗ Chức Nguồn đe dọa hổng H đ ng Rủi ro đe dọa Khả xảy rủi ro Ả ƣởng rủi ro đến phần Xếp h ng Khuyến Biện pháp rủi ro nghị kiểm soát (9) (10) (11) m m/ hệ thống (1) (2) (3) (4) (5) (6) (7) (8) (1) STT: Số thứ tự (2) Lỗ hổng: Lỗ hổng hệ thống tương ứng với chức phần mềm (3) Chức năng: Chức phần mềm mô tả tài liệu đặc tả hệ thống (4) Nguồn đe dọa: Mục đích phương pháp nhằm khai thác lỗ hổng có chủ đích; tình phương pháp vơ tình kích hoạt lỗ hổng (5) Hành động đe dọa: hành động nguồn đe dọa gây ảnh hưởng đến dự án/ phần mềm (6) Rủi ro: Khả mối đe dọa công lỗ hổng, khiến tài sản bị mát, hư hỏng bị phá hủy 102 (7) Mức khả xảy rủi ro, phụ thuộc vào tiêu chí sau a Động lực khả nguồn đe dọa b Tính tự nhiên lỗ hổng c Hiệu biện pháp đối phó rủi ro Có thể đánh giá mức khả xảy rủi ro theo bảng điểm mức độ (thấp, trung bình, cao) (8) Mức ảnh hưởng rủi ro Xét rủi ro bảo mật thông tin, đánh giá ảnh hưởng rủi ro ba tiêu chí bảo mật thơng tin: a Tính bí mật b Tính tồn vẹn c Tính sẵn sàng (9) Xếp hạng rủi ro: Xếp hạng dựa vào khả xảy rủi ro mức độ ảnh hưởng rủi ro lên phần mềm, dự án Có thể xếp hạng điểm số xếp hạng (thấp, trung bình, cao) (10) Khuyến nghị: Khuyến nghị xem rủi ro có cần quản lý hay khơng, dựa vào xếp hạng rủi ro (11) Biện pháp nhằm kiểm soát, giảm thiểu rủi ro 103 TÀI LIỆU ĐÁNH GIÁ VÀ LỰA CHỌN PHƢƠNG PHÁP KIỂM SOÁT RỦI RO (OB) Đây tài liệu bao gồm danh sách rủi ro đƣợc khuyến nghị cần kiểm soát (đầu O7) đƣợc đánh giá mức độ phức tạp kỹ thuật, mức chi phí cần bỏ ra, từ doanh nghiệp chủ đầu từ định lựa chọn biện pháp kiểm soát cần thiết áp dụng tiếp tục đƣa vào kế hoạch triển khai phần mềm (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu OA tài liệu đầu (từ O1 đến O7) theo quy trình quản lý rủi ro theo phương pháp NIST STT (1) Ký hiệu XH Ký hiệu rủi ro rủi ro kiểm sốt (2) (3) (4) Xếp h ng Chi phí đ ng Lựa chọn Thay kỹ thuật (5) (6) N ƣời chịu trách nhiệm (7) (8) (9) (1) STT: Số thứ tự (2) Ký hiệu rủi ro: Ký hiệu viết tắt rủi ro xếp hạng cao, đưa vào biện pháp khuyến nghị để kiểm soát, hạn chế tác động đến phần mềm (Quy định tài liệu OA O7) (3) Xếp hạng rủi ro: Xếp hạng dựa vào khả xảy rủi ro mức độ ảnh hưởng rủi ro lên phần mềm, dự án (Quy định tài liệu OA O7 (4) Ký hiệu kiểm soát: Ký hiệu viết tắt biện pháp kiểm soát khuyến nghị tài liệu O7 OA 104 (5) Xếp hạng hành động: Xếp hạng dựa vào độ phức tạp kỹ thuật: phương pháp, công nghệ biện pháp kiểm sốt rủi ro Chi phí bỏ để thực biện pháp kiểm sốt Có thể xếp theo thang điểm mức độ (thấp, trung bình, cao) (6) Chi phí kỹ thuật: Mơ tả độ phức tạp kỹ thuật: phương pháp, công nghệ biện pháp kiểm sốt rủi ro Chi phí bỏ để thực biện pháp kiểm soát (7) Lựa chọn: Những biện pháp khuyến nghị rủi ro đánh giá có kỹ thuật phù hợp để thực có chi phí thích hợp với dự án lựa chọn để tiếp tục sử dụng đưa vào kế hoạch triển khai (8) Thay thế: Trong trường hợp số biện pháp khuyến nghị rủi ro khơng mang lại lợi ích nhiều chi phí cơng sức bỏ ra, vậy, thay biện pháp giảm thiểu rủi ro khác chuyển sang loại đối phó rủi ro khác (9) Người chịu trách nhiệm: Sự phân công nhân viên, phận hệ thống chịu trách nhiệm thực thi biện pháp kiểm soát 105 10 TÀI LIỆU THEO DÕI, ĐÁNH GIÁ RỦI RO ĐỊNH KỲ (OB) Đây tài liệu bao gồm danh sách rủi ro đƣợc khuyến nghị cần kiểm soát (đầu O7) đƣợc thực (*) Lưu ý: tài liệu sử dụng đảm bảo hoàn thiện tài liệu OA tài liệu đầu (từ O1 đến O7) theo quy trình quản lý rủi ro theo phương pháp NIST STT (1) N y đá N ƣời Ký hiệu Giảm thiểu rủi rủi ro ro giá l i thực (2) (3) (4) (5) Kết Bƣớc tiếp Ghi theo (6) (7) (8) (1) STT: Số thứ tự (2) Ký hiệu rủi ro: Ký hiệu viết tắt rủi ro xếp hạng cao, đưa vào biện pháp khuyến nghị để kiểm soát, hạn chế tác động đến phần mềm (Quy định tài liệu OA O7) (3) Giảm thiểu rủi ro: Một kỹ thuật sau (a) Tránh rủi ro; (b) Giảm thiểu rủi ro; (c) Chuyển giao rủi ro; (d) Trì hỗn rủi ro (4) Ngày đánh giá lại: Thực định kỳ việc đánh giá lại theo thời gian, ví dụ tháng, tháng, … tùy thuộc vào xếp hạng đánh giá rủi ro (tại tài liệu OA O7) (5) Người thực hiện: người thực đánh giá lại (6) Kết quả: Có thể lựa chọn hành động (a) Chấp nhận rủi ro tiếp tục theo dõi (Lựa chọn có nghĩa rủi ro bị đánh giá nguy hiểm cần theo dõi tiếp); (b) Từ chối rủi ro đóng rủi ro 106 (Lựa chọn có ý nghĩa rủi ro đánh giá khơng cịn nguy hiểm mức độ ảnh hưởng, khả xảy không đáng kể) (7) Bước tiếp theo: Hành động sau có kết đánh giá Ví dụ chấp nhận rủi ro đến lần đánh giá tách dự án riêng để đánh giá, phân tích lại rủi ro (đối với rủi ro phức tạp mức độ ảnh hưởng cao nguy hiểm đến dự án/ phần mềm) (8) Ghi chú: Mơ tả thêm q trình đánh giá lại rủi ro 107 ... phƣơng pháp quản lý rủi ro dịch vụ web CHƢƠNG QUẢN LÝ RỦI RO BẢO MẬT THÔNG TIN DỊCH VỤ WEB THEO PHƢƠNG PHÁP NIST 12 Chƣơng áp dụng quy trình quản lý rủi ro bảo mật thông tin dịch vụ web theo phƣơng... văn pháp luật quy định nhà nƣớc 34 CHƢƠNG 2: QUẢN LÝ RỦI RO DỊCH VỤ WEB 2.1 Giới t iệu toán Bài toán đƣa ? ?Quản lý rủi ro dịch vụ web y tế 2.1.1 P vi v ục ti u Phạm vi: Quản lý rủi ro bảo mật thông... áp dụng cho toán quản lý rủi ro bảo mật thông tin cho dịch vụ web lĩnh vực y tế, bao gồm: - Quy trình đƣợc áp dụng trƣớc dịch vụ web đƣợc thiết kế triển khai thực Với đầu quy trình n? ?y, biện