BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC AN TỒN THƠNG TIN TÀI LIỆU HƯỚNG DẪN ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO AN TỒN THƠNG TIN Hà Nội – 2021 MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT CHƯƠNG PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG 1.1 Phạm vi áp dụng 1.2 Đối tượng áp dụng 1.3 Giải thích từ ngữ, định nghĩa 1.4 Nguyên tắc quản lý rủi ro an tồn thơng tin 1.5 Tiêu chuẩn tham chiếu CHƯƠNG HƯỚNG DẪN XÁC ĐỊNH MỨC RỦI RO AN TỒN THƠNG TIN 2.1 Nhận biết tài sản 2.2 Điểm yếu 2.3 Mối đe dọa 2.4 Đánh giá hậu 2.5 Khả xảy cố 11 2.6 Xác định mức rủi ro 13 CHƯƠNG QUY TRÌNH ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO 14 3.1 Quy trình tổng quan đánh giá xử lý rủi ro 14 3.2 Thiết lập bối cảnh 15 3.3 Đánh giá rủi ro 17 3.4 Xử lý rủi ro 18 3.5 Chấp nhận rủi ro 19 3.6 Truyền thông tư vấn rủi ro an tồn thơng tin 19 3.7 Giám sát soát xét rủi ro an tồn thơng tin 19 CHƯƠNG BIỆN PHÁP KIỂM SOÁT RỦI RO 21 4.1 Hướng dẫn chung 21 4.2 Biện pháp kiểm soát quản lý 22 4.3 Biện pháp kiểm soát kỹ thuật 24 TÀI LIỆU THAM KHẢO 28 PHỤ LỤC DANH MỤC CÁC ĐIỂM YẾU THAM KHẢO 29 PHỤ LỤC DANH MỤC CÁC MỐI ĐE DỌA THAM KHẢO 35 PHỤ LỤC HƯỚNG DẪN ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO CHO HỆ THỐNG THÔNG TIN CỤ THỂ 37 PHỤ LỤC CÁC YỀU CẦU AN TOÀN BỔ SUNG 45 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Viết tắt Viết đầy đủ ATTT An tồn thơng tin ĐV Đơn vị HT Hệ thống HTTT Hệ thống thông tin Nghĩa tiếng Việt Events Sự kiện Threats Mối đe dọa Vulnerabilities Lỗ hổng bảo mật CHƯƠNG PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG 1.1 Phạm vi áp dụng Tài liệu đưa hướng dẫn đánh giá quản lý rủi ro an tồn thơng tin, bao gồm nội dung liên quan đến xác định mức rủi ro, quy trình đánh giá quản lý rủi ro, biện pháp kiểm soát 1.2 Đối tượng áp dụng Cơ quan, tổ chức liên quan đến hoạt động đánh giá an tồn thơng tin quản lý rủi ro an tồn thơng tin quan, tổ chức nhà nước Khuyến khích quan, tổ chức tham khảo, áp dụng tài liệu hướng dẫn để tăng cường bảo đảm an toàn, an ninh mạng cho hệ thống thông tin thuộc phạm vi quản lý 1.3 Giải thích từ ngữ, định nghĩa Trong hướng dẫn này, số từ ngữ hiểu sau: Khả xảy (likelihood): Khả xảy kiện, định nghĩa, đo lường hay xác định cách chủ quan hay khách quan, dạng định tính hay định lượng mô tả cách sử dụng thuật ngữ chung toán học (như xác suất tần suất khoảng thời gian định) Rủi ro (risk): Sự kết hợp hậu kiện an tồn thơng tin khả xảy kèm theo Rủi ro an tồn thơng tin liên quan đến vấn đề tiềm ẩn mà mối đe dọa khai thác điểm yếu một nhóm tài sản thơng tin gây thiệt hại tổ chức Đánh giá rủi ro (risk assessment): Quy trình tổng thể bao gồm nhận biết rủi ro, phân tích rủi ro ước lượng rủi ro Quản lý rủi ro (risk management): Q trình nhận biết, kiểm sốt giảm thiểu hay loại bỏ rủi ro gây ảnh hưởng đến hệ thống thông tin Quản lý rủi ro bao gồm: đánh giá, xử lý chấp nhận rủi ro Xử lý rủi ro (risk treatment): Quá trình điều chỉnh rủi ro Xử lý rủi ro để giải hậu tiêu cực, thực phương án giảm nhẹ rủi ro, loại bỏ rủi ro, ngăn chặn rủi ro giảm bớt rủi ro Mối đe dọa (Threat): Nguyên nhân tiềm ẩn gây cố khơng mong muốn, kết gây thiệt hại cho hệ thống hay tổ chức Điểm yếu (Vulnerability): Nhược điểm tài sản hay kiểm sốt có khả bị khai thác hay nhiều mối đe dọa Phân tích rủi ro (Risk analysis): Quá trình đánh giá mối nguy (threats) điểm yếu (Vulnerabilities) tài sản thông tin 1.4 Nguyên tắc quản lý rủi ro an tồn thơng tin Cơ quan, tổ chức thực quản lý rủi ro an tồn thơng tin cần dựa ngun tắc đây: a) Quản lý rủi ro phải thực thường xuyên, liên tục theo quy chế, sách quy trình bảo đảm an tồn thơng tin quan, tổ chức b) Việc xử lý rủi ro cần thực sở trọng tâm, trọng điểm, bảo đảm tính khả thi sở cân đối nguồn lực thực giá trị đem lại c) Tuân thủ nguyên tắc phân tán rủi ro thông qua biện pháp phi tập trung, tránh, chuyển giao, giảm thiểu rủi ro 1.5 Tiêu chuẩn tham chiếu TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu TCVN 10295:2014- Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý rủi ro ATTT ISO/IEC 27005:2011, Informatinon Technology Security Techniques Informatinon Security Risk management system NIST SP 800-30r1, Guide for Conducting Risk Assessments CHƯƠNG HƯỚNG DẪN XÁC ĐỊNH MỨC RỦI RO AN TỒN THƠNG TIN Khi thực đánh giá quản lý rủi ro an tồn thơng tin, quan, tổ chức cần xây dựng tranh đầy đủ rủi ro an tồn thơng tin mà tổ chức có khả gặp phải, đánh giá xếp mức độ ưu tiên xây dựng hệ thống biện pháp kiểm soát tổng thể, thống đầy đủ để giảm thiểu rủi ro Trong chương này, nội dung hướng dẫn tập trung vào việc xác định tài sản, điểm yếu mối đe dọa tài sản để từ xác định hậu quả, mức ảnh hưởng đến quan, tổ chức xảy rủi ro tài sản đó, cụ thể hướng dẫn 2.1 Nhận biết tài sản Tài sản vấn đề cần xem xét thực quản lý rủi ro an tồn thơng tin Theo đó, quan, tổ chức tổ chức cần xác định thu thập thông tin đầy đủ tài sản quản lý, đặc biệt thơng tin liên quan đến đặc điểm, nơi lưu trữ, mức độ quan trọng giá trị, đặc thù tài sản Mỗi tài sản sau xác định, cần đánh giá nguy cơ, điểm yếu tài sản đó, từ đánh giá xem tài sản gặp rủi ro gây hậu quả, mức độ ảnh hưởng quan, tổ chức Mức độ ảnh hưởng khả xảy cố định mức rủi ro mà quan, tổ chức cần phải xử lý Hướng dẫn tập trung vào việc hướng dẫn 02 loại tài sản cần bảo vệ thông tin hệ thống thơng tin Trong đó, việc xác định tài sản thông tin hệ thống thông tin, quan, tổ chức cần ý sau: Coi thông tin đơn vị tài sản thành phần hệ thống thông tin, hệ thống thông tin bảo vệ thơng tin bảo vệ Trường hợp, hệ thống có nhiều loại thơng tin khác nhau, thơng tin có mức độ quan trọng, tồn điểm yếu mối đe dọa giống đưa vào thành nhóm để thực đánh giá quản lý rủi ro Một hệ thống thơng tin lớn chia thành nhiều hệ thống thông tin thành phần tương đối độc lập chức năng, mục đích sử dụng Việc áp dụng biện pháp đánh giá quản lý rủi ro áp dụng cho hệ thống thành phần theo mức rủi ro xác định Thông tin bao gồm không giới hạn loại sau: Thông tin công khai, thông tin riêng, thông tin cá nhân thơng tin bí mật nhà nước Thơng tin bí mật nhà nước chia làm 03 mức: Mật, Tối Mật Tuyệt Mật Để xác định đầy đủ tài sản thơng tin có hệ thống, ta xác định loại thơng tin có loại Ví dụ thơng tin cơng khai bao gồm thơng tin lịch họp, thơng tin thơng cáo báo trí…; thơng tin riêng bao gồm thơng tin quy trình nghiệp vụ… Hệ thống thông tin bao gồm không giới hạn loại hình: Hệ thống thơng tin phục vụ hoạt động nội quan, tổ chức; Hệ thống thông tin phục vụ người dân, doanh nghiệp; Hệ thống sở hạ tầng thông tin; Hệ thống thông tin Điều khiển công nghiệp Việc xác định hệ thống thông tin cụ thể quy định Điều Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 Để xác định giá trị tài sản, ta dựa vào yêu cầu tính bí mật (C), tính nguyên vẹn (I) tính sẵn sàng (A) tài sản Giá trị tài sản chia làm 05 mức theo thang điểm tính từ tích giá trị C, I, A ví dụ đây: - Đối với thuộc tính bí mật giá trị xác định vào loại thơng tin loại thơng tin hệ thống xử lý Ví dụ: thông tin công khai thang điểm 1; thông tin riêng, thông tin cá nhân thang điểm 2; thông tin Mật thang điểm 3; thông tin Tối Mật thang điểm 4; thông tin Tuyệt Mật thang điểm - Đối với thuộc tính ngun vẹn giá trị xác định vào yêu cầu mức độ nguyên vẹn thông tin loại thông tin mà hệ thống xử lý Ví dụ: tính ngun vẹn thấp thang điểm 1; tính ngun vẹn trung bình thang điểm 2; tính nguyên vẹn cao thang điểm 3; tính nguyên vẹn cao điểm 4; tính nguyên vẹn tuyệt đối thang điểm - Đối với thuộc tính sẵn sàng giá trị xác định vào yêu cầu mức sẵn sàng thông tin hệ thống thông tin Ví dụ: tính sẵn sàng thấp thang điểm 1; tính tính sẵn sàng trung bình thang điểm 2; tính tính sẵn sàng cao thang điểm 3; tính tính sẵn sàng cao điểm 4; tính tính sẵn sàng tuyệt đối thang điểm Theo đó, giá trị tài sản xác định theo giá trị thuộc tính C, A, I sau: Giá trị tài sản Giá trị C+I+A Thấp (1) 1-3 Trung bình (2) 4-6 Cao (3) 7-9 Rất cao (4) 10-12 Cực cao (5) 13-15 Bảng Bảng giá trị tài sản Căn vào giá trị tài sản, ta xác định loại tài sản quan trọng cần ưu tiên bảo vệ Căn vào thuộc tính C, A, I tài sản ta xác định điểm yếu, mối đe dọa làm sở để xác định hậu quả, mức ảnh hưởng tới quan, tổ chức xảy rủi ro tài sản Cơ quan, tổ chức tham khảo ví dụ danh mục tài sản giá trị tương ứng Phụ lục Hướng dẫn 2.2 Điểm yếu Điểm yếu hiểu điểm mà bị khai thác gây mối đe dọa cho tài sản Các điểm yếu có nhiều tiêu chí xác định phân làm nhóm khác Để thuận tiện cho việc xác định điểm yếu, hướng dẫn điểm yếu phân không giới hạn nhóm sau: - Nhóm điểm yếu liên quan đến tồn lỗ hổng, điểm yếu an tồn thơng tin hệ thống; - Nhóm điểm yếu liên quan đến thiếu không đáp ứng biện pháp quản lý: Khơng có quy định sử dụng mật an tồn; khơng có quy định lưu trữ có mã hóa, khơng có quy định quy trình xử lý cố.v.v - Nhóm điểm yếu liên quan đến thiếu không đáp ứng biện pháp kỹ thuật: Khơng có biện pháp phịng chống xâm nhập, khơng có biện pháp phịng chống mã độc, khơng có biện pháp phịng chống cơng.v.v Để xác định điểm yếu tồn hệ thống, quan, tổ chức cần thực kiểm tra, đánh giá an tồn thơng tin để tìm lỗ hổng, điểm yếu tồn hệ thống Thực rà soát quy chế, sách bảo đảm an tồn thơng tin để tìm điểm yếu từ việc chưa đáp ứng biện pháp quản lý theo quy định Thực kiểm tra, đánh giá trạng hệ thống để xác định điểm yếu xuất phát từ việc chưa đáp ứng biện pháp kỹ thuật theo quy định Bên cạnh đó, từ kết đánh giá thực tế, quan, tổ chức xác định thêm điểm yếu khác hệ thống, điểm yếu xuất phát từ yêu cầu đáp ứng yêu cầu an toàn theo quy định Cơ quan, tổ chức tham khảo ví dụ mối liên hệ tài sản, mối đe dọa điểm yếu Phụ lục 1, Phụ lục Hướng dẫn 2.3 Mối đe dọa Mối đe dọa xác định điểm yếu có nguy bị khai thác gây tác động tài sản cần bảo vệ Các mối đe dọa xuất phát từ lý khách quan hay chủ quan, cố ý vơ ý Một mối đe dọa phát sinh từ bên bên tổ chức Một số mối đe dọa gây ảnh hưởng đồng thời lên nhiều tài sản gây tác động khác tùy thuộc vào tài sản bị ảnh hưởng Như phân tích trên, mối đe dọa xác định dựa vào điểm yếu thông tin, hệ thống thông tin Do đó, việc xác định mối đe dọa dựa vào việc phân nhóm điểm yếu mục 2.2 Trên sở đó, mối đe dọa phân, khơng giới hạn nhóm sau: (1) Nhóm mối đe dọa từ việc tồn tại, điểm yếu, lỗ hổng hệ thống; (2) Nhóm mối đe dọa từ việc thiếu không đáp úng biện pháp quản lý; (3) Nhóm mối đe dọa từ việc thiếu không đáp úng biện pháp kỹ thuật Cơ quan, tổ chức tham khảo ví dụ mối đe dọa Phụ lục Hướng dẫn 2.4 Đánh giá hậu Hậu xác định mối đe dọa xảy với tài sản gây tổn hại quan, tổ chức Mức ảnh hưởng (Impact) giá trị sử dụng để xác định giá trị định lượng hậu Việc xác định mức ảnh hưởng dựa vào đối tượng bị ảnh hưởng như: quyền lợi ích hợp pháp tổ chức, cá nhân, sản xuất, lợi ích cơng cộng trật tự, an tồn xã hội quốc phịng, an ninh Việc xác định mức ảnh hưởng dựa vào phạm vi bị ảnh hưởng như: cấp quốc gia, quan, tổ chức hay cá nhân Việc xác định hậu quả, mức ảnh hưởng dựa vào thuộc tính C, A, I tài sản sau: 10 Mức ảnh hưởng Tính bảo mật (C) Tính tồn vẹn (I) Tính sẵn sàng (A) Việc bị lộ thông tin trái phép làm ảnh Đặc biệt hưởng nghiêm trọng nghiêm đến quốc phòng, an trọng ninh (5) Việc sửa đổi phá hủy trái phép thông tin làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm ảnh hưởng nghiêm trọng đến quốc phịng, an ninh Việc bị lộ thơng tin trái phép làm tổn hại đặc biệt nghiêm trọng tới lợi ích Nghiêm cơng cộng trật tự, trọng an tồn xã hội (4) làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia Việc sửa đổi phá hủy trái phép thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia Việc sửa đổi phá hủy trái phép thông tin làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại tới quốc phòng, an ninh quốc gia Việc sửa đổi phá hủy trái phép thông tin làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân làm tổn hại tới lợi ích công cộng Việc sửa đổi phá hủy trái phép thông tin làm tổn hại tới quyền lợi ích Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng trật tự, an toàn xã hội làm tổn hại nghiêm trọng tới quốc phịng, an ninh quốc gia Việc bị lộ thơng tin trái phép làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng Vừa cộng trật tự, an phải (3) toàn xã hội làm tổn hại tới quốc phịng, an ninh quốc gia Việc bị lộ thơng tin trái phép làm tổn hại nghiêm trọng tới quyền lợi ích hợp Nhỏ (2) pháp tổ chức, cá nhân làm tổn hại tới lợi ích cơng cộng Việc bị lộ thông tin Không trái phép làm tổn hại đáng kể tới quyền lợi ích (1) Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng trật tự, an tồn xã hội làm tổn hại tới quốc phòng, an ninh quốc gia Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân làm tổn hại tới lợi ích công cộng Việc gián đoạn truy cập sử dụng thông tin/hệ thống thông tin làm tổn hại tới quyền 36 2.3 Người sử dụng khơng có kỹ để tự bảo vệ sử Thdụng mạng M03 2.4 Người sử dụng nhận thức hạn chế nguy cơ, rủi ro Than tồn thơng tin M04 2.5 Chính sách, quy định quản lý an tồn mạng khơng Thtn thủ theo quy định M05 2.6 Chính sách, quy định an tồn máy chủ ứng dụng không Thđược tuân thủ theo quy định M06 2.7 Chính sách, quy định an tồn liệu không tuân thủ Ththeo quy định M07 2.8 Chính sách, quy định an tồn thiết bị đầu cuối không tuân thủ theo quy định ThM08 2.9 Chính sách, quy định phịng chống phần mềm độc hại không tuân thủ theo quy định ThM09 2.10 Chính sách, quy định quản lý điểm yếu an tồn thơng tin khơng tn thủ theo quy định ThM10 2.11 Chính sách, quy định quản lý giám sát an tồn hệ thống thơng tin khơng tn thủ theo quy định ThM11 2.12 Chính sách, quy định quản lý cố an tồn thơng tin khơng tuân thủ theo quy định ThM12 2.13 Chính sách, quy định quản lý an toàn người sử dụng đầu cuối không tuân thủ theo quy định ThM13 III Nhóm mối đe dọa từ việc thiếu/khơng đáp ứng biện pháp kỹ thuật 3.1 Hệ thống bị công, chiếm quyền điều khiển từ xa 3.2 Hệ thống hoạt động không ổn định, thường xuyên bị gián đoạn Th-T02 hoạt động 3.3 Hệ thống bị lợi dụng, công hệ thống thông tin khác Th-T05 3.4 Hệ thống bị truy cập, xóa, sửa thơng tin trái phép Th-T06 Th-T01 37 PHỤ LỤC HƯỚNG DẪN ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO CHO HỆ THỐNG THÔNG TIN CỤ THỂ Xác định tài sản Ví dụ xác định tài sản hướng dẫn xác định tài sản dựa vào loại hình hệ thống thơng tin loại thơng tin mà hệ thống xử lý Một hệ thống thông tin quan, tổ chức bao gồm nhiều loại hình hệ thống khác Trường hợp này, hệ thống thông tin coi hệ thống thơng tin thành phần hệ thống thông tin tổng thể Mỗi hệ thống thành phần đánh giá quản lý rủi ro theo tài sản xác định Trường hợp hệ thống thông tin xử lý nhiều loại thông tin khác việc xác định giá trị C, I , A dựa vào giá trị loại thông tin quan trọng nhất, đây: Tên tài sản STT Thông tin hệ Hệ thống thông tin thống xử lý Cổng thông tin nội Thông tin công cấp độ khai Hệ thống quản lý Thông tin riêng văn điều quan, tổ hành cấp độ chức - Thông tin công Hệ thống cung cấp khai thông tin dịch vụ - Thông tin riêng công trực tuyến cấp tổ chức, cá độ nhân - Thông tin công Hệ thống thông tin khai quốc gia phục vụ - Thơng tin riêng phát triển Chính phủ tổ chức, cá điện tử cấp độ nhân Hệ thống thông tin phục vụ lưu trữ liệu tập trung Thơng tin bí mật số loại hình nhà nước thơng tin, liệu đặc biệt quan trọng quốc gia C I A C+I+A Giá trị tài sản 2 3 3 3 10 5 14 38 Xác định Điểm yếu Mối đe dọa Ví dụ xác định tài sản hướng dẫn xác định Điểm yếu, Mối đe dọa tài sản xác định bước Việc xác định Điểm yếu Mối đe dọa bước sở để xác định khả xảy biện pháp kiểm soát bước TT Tên tài sản Cổng thông tin nội cấp độ Hệ thống quản lý văn điều hành cấp độ Hệ thống cung cấp thông tin dịch vụ công trực tuyến cấp độ Hệ thống thông tin quốc gia Điểm yếu Mối đe dọa V01: Tồn điểu yếu Th-V02: Máy chủ hệ thống bị hệ điều hành máy chủ truy cập trái phép, chiếm quyền điều khiển Th-M05: Chính sách, quy M02: Khơng có sách, định quản lý an toàn mạng quy định quản lý an tồn khơng tn thủ theo quy mạng định T06: Khơng có phương án Th-T02: Hệ thống hoạt động phịng chống cơng từ khơng ổn định, thường xun chối dịch vụ bị gián đoạn hoạt động Th-V03: Ứng dụng, dịch vụ V03: Tồn điểu yếu bị truy cập trái phép, chiếm ứng dụng quyền điều khiển Th-M06: Chính sách, quy M07: Khơng có sách, định an toàn máy chủ quy định an tồn máy chủ ứng dụng khơng tn ứng dụng thủ theo quy định T02: Khơng có phương án Th-T01: Hệ thống bị quản lý truy cập cơng, chiếm quyền điều khiển vùng mạng phịng chống từ xa xâm nhập Th-V02: Máy chủ hệ thống bị V02: Tồn điểu yếu truy cập trái phép, chiếm hệ điều hành máy chủ quyền điều khiển Th-M10: Chính sách, quy M11: Khơng có sách, định quản lý điểm yếu an quy định quản lý điểm tồn thơng tin khơng yếu an tồn thơng tin tn thủ theo quy định T03: Khơng có phương án Th-T02: Hệ thống hoạt động cân tải, dự phịng nóng khơng ổn định, thường xun cho thiết bị mạng bị gián đoạn hoạt động Th-V03: Ứng dụng, dịch vụ V03: Tồn điểu yếu bị truy cập trái phép, chiếm ứng dụng quyền điều khiển 39 phục vụ phát triển Chính phủ điện tử cấp độ M24: Khơng có sách, quy định kiểm tra, đánh giá an tồn thơng tin, trước đưa vào sử dụng T07: Khơng có phương án giám sát hệ thống thơng tin tập trung Th-M10: Chính sách, quy định quản lý điểm yếu an toàn thông tin không tuân thủ theo quy định Th-T02: Hệ thống hoạt động không ổn định, thường xuyên bị gián đoạn hoạt động Th-V05: Dữ liệu ứng V04: Tồn điểu yếu dụng/dịch vụ bị truy cập, sửa, hệ quản trị sở liệu xóa trái phép Th-M07: Chính sách, quy M08: Khơng có sách, định an tồn liệu khơng quy định an toàn liệu tuân thủ theo quy định Hệ thống thông tin phục vụ lưu trữ liệu tập trung số loại hình thơng tin, T11:Khơng có phương án liệu đặc Th-T06: Hệ thống bị truy cập, phịng, chống thất biệt quan xóa, sửa thơng tin trái phép liệu trọng quốc gia Xác định Mức ảnh hưởng Như hướng dẫn mục 2.4, mức ảnh hưởng danh sách tài sản xác định Bảng 40 TT Tên tài sản Cổng thông tin nội cấp độ Hệ thống quản lý văn điều hành cấp độ Điểm yếu Mối đe dọa V01 M02 T06 V03 M07 T02 V02 M11 T03 Th-V02 Th-M05 Th-T02 Th-V03 Th-M06 Th-T01 Th-V02 Th-M10 Th-T02 V03 Th-V03 M24 Th-M10 T07 Th-T02 V04 M08 Th-V05 Th-M07 T11 Th-T06 Hệ thống cung cấp thông tin dịch vụ công trực tuyến cấp độ Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử cấp độ Hệ thống thông tin phục vụ lưu trữ liệu tập trung số loại hình thơng tin, liệu đặc biệt quan trọng quốc gia Mức ảnh hưởng Không đáng kể (1) Nhỏ (2) Vừa phải (3) Nghiêm trọng (4) Đặc biệt nghiêm trọng (5) Xác định khả xảy Như hướng dẫn mục 2.5, việc xác định khả xảy cố cần dựa vào khả điểm yếu bị khai thác sở xác định tiêu chí: Khả khai thác, Tần suất, Khả xảy Cơ hội Trên sở đó, khả xảy danh sách tài sản xác định Bảng TT Tên tài sản Cổng thông tin nội cấp độ Hệ thống quản lý văn điều hành cấp độ Điểm yếu Mối đe dọa V01 Th-V02 M02 Th-M05 T06 V03 M07 Th-T02 Th-V03 Th-M06 T02 Th-T01 V02 Th-V02 Khả xảy Trung bình (3) Trung bình (3) Thấp (2) Cao (4) Cao (4) Trung bình (3) Trung bình (3) 41 Hệ thống cung cấp thông tin dịch vụ công trực tuyến cấp độ Hệ thống thơng tin quốc gia phục vụ phát triển Chính phủ điện tử cấp độ Hệ thống thông tin phục vụ lưu trữ liệu tập trung số loại hình thơng tin, liệu đặc biệt quan trọng quốc gia M11 Th-M10 T03 V03 M24 Th-T02 Th-V03 Th-M10 T07 Th-T02 V04 Th-V05 M08 Th-M07 T11 Th-T06 Trung bình (3) Cao (4) Cao (4) Cao (4) Trung bình (3) Trung bình (3) Cao (4) Trung bình (3) 42 Xác định mức rủi ro Như hướng dẫn mục 2.6, việc xác định khả xảy cố cần dựa Giá trị tái sản, Mức ảnh hưởng, Khả xảy Trên sở đó, Mức rủi ro danh sách tài sản xác định Bảng TT V01 M02 T06 V03 M07 T02 V02 M11 T03 V03 M24 T07 Giá trị tài sản 2 3 3 3 4 Khả xảy 3 4 3 4 Mức ảnh hưởng 1 2 3 4 Trung bình (2) Trung bình (2) Trung bình (2) Cao (3) Cao (3) Cao (3) Cao (3) Cao (3) Rất cao (4) Rất cao (4) Rất cao (4) Rất cao (5) V04 5 Cực cao (5) M08 5 Cực cao (5) T11 Xác định biện pháp xử lý rủi ro biện pháp kiểm soát Cực cao (5) Tên tài sản Cổng thông tin nội cấp độ Hệ thống quản lý văn điều hành cấp độ Hệ thống cung cấp thông tin dịch vụ công trực tuyến cấp độ Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử cấp độ Hệ thống thông tin phục vụ lưu trữ liệu tập trung số loại hình thông tin, liệu đặc biệt quan trọng quốc gia Điểm yếu Mức rủi ro Như hướng dẫn Chương 3, việc xác định biện pháp kiểm soát, trước hết cần dựa vào việc lựa chọn biện pháp xử lý rủi ro Các biện pháp kiểm soát đưa lựa chọn biện pháp xử lý rủi ro thay đổi rủi ro Trường hợp việc 43 lựa chọn biện pháp kiểm soát cần nguồn lực bỏ lớn lợi ích mang lại biện pháp xử lý rủi ro nên lựa chọn chập nhận rủi ro Bảng ví dụ việc lựa chọn biện pháp xử lý rủi ro biện pháp kiểm soát tương ứng TT Tên tài sản Cổng thông tin nội cấp độ Hệ thống quản lý văn điều hành cấp độ Hệ thống cung cấp thông tin dịch vụ công trực tuyến cấp độ Hệ thống thông tin quốc gia phục vụ phát Điểm yếu V01 M02 T06 Mối đe dọa Th-V02 Th-M05 Th-T02 Trung bình (2) Trung bình (2) Trung bình (2) V03 Th-V03 Cao (3) Thay đổi rủi ro M07 Th-M06 Cao (3) Thay đổi rủi ro T02 Th-T01 Cao (3) Thay đổi rủi ro V02 Th-V02 Cao (3) Thay đổi rủi ro M11 Th-M10 Cao (3) Thay đổi rủi ro T03 Th-T02 Rất cao (4) Thay đổi rủi ro V03 Th-V03 Rất cao (4) Thay đổi rủi ro Mức rủi ro Biện pháp xử lý rủi ro Chấp nhận rủi ro Chấp nhận rủi ro Chấp nhận rủi ro Biện pháp kiểm soát N/A N/A N/A TCVN 11930: 7.2.2.4 Phòng chống xâm nhập TCVN 11930: 7.1.5.7 Quản lý điểm yếu an tồn thơng tin TCVN 11930: 7.2.1.5 Phịng chống xâm nhập TCVN 11930: 8.2.2.4 Phòng chống xâm nhập TCVN 11930: 8.1.5.7 Quản lý điểm yếu an tồn thơng tin TCVN 11930: 8.2.1.1 Thiết kế hệ thống.b ( Phương án cân tải, dự phịng nóng) TCVN 11930: 8.2.2.4 Phịng chống xâm nhập 44 triển Chính phủ điện tử cấp độ Hệ thống thông tin phục vụ lưu trữ liệu tập trung số loại hình thơng tin, liệu đặc biệt quan trọng quốc gia M24 Th-M10 Rất cao (4) Thay đổi rủi ro T07 Th-T02 Rất cao (5) Thay đổi rủi ro V04 Th-V05 Cực cao (5) Thay đổi rủi ro M08 Th-M07 Cực cao (5) Thay đổi rủi ro T11 Th-T06 Cực cao (5) Thay đổi rủi ro TCVN 11930: 8.1.5.7 Quản lý điểm yếu an tồn thơng tin TCVN 11930: 8.2.1.1 Thiết kế hệ thống.b ( Phương án giám sát hệ thống thơng tin tập trung) TCVN 11930: 9.2.2.3 Phịng chống xâm nhập; 9.2.4.2 Bảo mật liệu TCVN 11930: 9.1.5.3 Quản lý an toàn liệu TCVN 11930: 9.2.1.1 Thiết kế hệ thống.b ( Phương án phòng, chống thất thoát liệu ) PHỤ LỤC CÁC YỀU CẦU AN TỒN BỔ SUNG Cơ quan, tổ chức tham khảo tiêu chuẩn quốc tế để xác định biện pháp bổ sung, bao gồm khơng giới hạn nhóm, tiêu chuẩn sau: Quản lý cố an tồn thơng tin a) ISO/IEC 27035:2011 Information technology — Security techniques — Information security incident management TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an tồn- Quản lý cố an tồn thơng tin b) ISO/IEC 27037:2019 Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence Công nghệ thơng tin - Các kỹ thuật an tồn – Hướng dẫn xác định, thu thập lưu giữ chứng số c) ISO/IEC 27041:2019 Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method Công nghệ thông tin - Các kỹ thuật an toàn – Các yêu cầu bảo đảm với điều tra cố d) ISO/IEC 27042:2015 Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence Cơng nghệ thơng tin - Các kỹ thuật an tồn – Hướng dẫn phân tích chứng số đ) ISO/IEC 27043:2015 Information technology — Security techniques — Incident investigation principles and processes Công nghệ thông tin - Các kỹ thuật an tồn - Hướng dẫn ngun tắc quy trình điều tra cố e) NIST SP 800-61 Computer Security Incident Handling Guide Công nghệ thông tin - Các kỹ thuật an toàn – Hướng dẫn quản lý cố máy tính g) NIST SP 800-40 Guide to Enterprise Patch_Management Technologies Quản lý điểm yếu an tồn thơng tin 46 Quản lý rủi ro an tồn thơng tin a) ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (bổ sung TCVN) TCVN 10295:2014 Công nghệ thơng tin - Các kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin b) NIST SP 800-30 Risk Management Guide for Information Technology Systems Hướng dẫn khung quản lý rủi ro cho hệ thống công nghệ thông tin c) NIST SP 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach Hướng dẫn quản lý rủi ro cho hệ thống công nghệ thông tin d) NIST SP 800-154 Guide to Data-Centric System Threat Modeling Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn quản lý liệu tập trung Quản lý giám sát a) NIST SP 800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations Quản lý giám sát hệ thống thông tin b) NIST SP 800-137A Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment Đánh giá hệ thống giám sát an tồn thơng tin Kiểm tra, đánh giá an tồn thơng tin a) NIST SP 800-115 Technical Guide to Information Security Testing and Assessment Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn kiểm tra, đánh giá an tồn thơng tin b) ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing TCVN 11779:2017 Công nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin c) ISO/IEC TR 27008:2008 Information technology — Security techniques — Guidelines for auditors on information security controls 47 TCVN 27008:2018 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn chuyên gia đánh giá kiểm sốt an tồn thơng tin Kỹ thuật an toàn mạng a) NIST SP 800-41 Guidelines on Firewalls and Firewall Policy Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo mật thiết bị tường lửa b) NIST SP 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS) Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo mật thiết bị phát xâm nhập c) NIST SP 800-47 Security Guide for Interconnecting Information Technology Systems Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo đảm an toàn thông tin kết nối hệ thống thông tin d) NIST SP 800-53 Security and Privacy Controls forFederal Information Systemsand Organizations Công nghệ thông tin - Kỹ thuật an tồn – Hướng dẫn biện pháp kiểm sốt bảo mật cho hệ thống thông tin đ) NIST SP 800-58 Security Considerations for Voice Over IP Systems Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo đảm an tồn thơng tin thoại qua tảng IP e) NIST SP 800-97 Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i Công nghệ thông tin - Kỹ thuật an tồn – Hướng dẫn bảo mật mạng khơng dây 802.11i g) NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security Công nghệ thông tin - Kỹ thuật an tồn – Hướng dẫn bảo đảm an tồn thơng tin cho hệ thống điều khiển công nghiệp ISC h) NIST SP 800-77 Guide to IPsec VPNs Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo mật mạng riêng ảo l) NIST SP 800-119 Guidelines for the Secure Deployment of IPv6 Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo mật triển khai IPv6 48 m) ISO/IEC 27033 IT network security Cơng nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng n) ISO/IEC 27033-1 Network security - Part 1: Overview and concepts TCVN 9807-1:2013 Công nghệ thông tin - Kỹ thuật an toàn - An ninh mạng – Tổng quan khái niệm p) ISO/IEC 27033-2 Network security - Part 2: Guidelines for the design and implementation of network security TCVN 9801-2:2015 Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng – Hướng dẫn thiết kế triển khai an toàn mạng q) ISO/IEC 27033-4 Network security - Part 4: Securing communications between networks using security gateways Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng – An toàn kết nối r) ISO/IEC 27033-5 Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) Công nghệ thơng tin - Kỹ thuật an tồn - An tồn mạng – Mạng riêng ảo s) ISO/IEC 27033-6 Network security - Part 6: Securing wireless IP network access Công nghệ thơng tin - Kỹ thuật an tồn - An tồn mạng – An tồn mạng khơng dây Kỹ thuật an toàn máy chủ a) NIST SP 800-123 Guide to General Server Security Công nghệ thông tin - Kỹ thuật an tồn - Hướng dẫn bảo đảm an tồn thơng tin cho máy chủ b) NIST SP 800-44 Guidelines on Securing Public Web Servers Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an toàn thông tin cho ứng dụng Web c) NIST SP 800-125A Security Recommendations for Server-based Hypervisor Platforms Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an tồn thơng tin cho máy chủ ảo hóa d) NIST SP 800-147B BIOS Protection Guidelines for Servers 49 Cơng nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn bảo đảm an tồn thơng tin cho BIOS máy chủ Kỹ thuật an tồn thơng tin cho ứng dụng a) ISO/IEC 27034 Application security Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an tồn thơng tin cho ứng dụng b) NIST SP 800-95 Guide to Secure Web Services Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an tồn thơng tin cho Web c) NIST SP 800-45 Guidelines on Electronic Mail Security Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an tồn thơng tin cho ứng dụng Email d) Secure Domain Name System (DNS) Deployment Guide Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an tồn thơng tin cho ứng dụng DNS đ) NIST SP 800-57 Recommendation for Key Management Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn bảo đảm an tồn thơng tin cho ứng dụng quản lý khóa Kỹ thuật an toàn liệu a) NIST SP 800-92 Guide to Computer Security Log Management Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn quản lý nhật ký bảo mật hệ thống b) ISO/IEC 27040 Storage security Công nghệ thông tin - Kỹ thuật an toàn – Quản lý lưu trữ an toàn c) NIST SP 800-85B PIV Data Model Test Guidelines Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn kiểm tra liệu Kỹ thuật an toàn thiết bị đầu cuối a) NIST SP 800-164 Guidelines on Hardware-Rooted Security in Mobile Devices Công nghệ thông tin - Kỹ thuật an tồn – Hướng dẫn bảo đảm an tồn thơng tin cho phần cứng thiết bị di động 50 b) NIST SP 800-83 Guide to Malware Incident Prevention and Handling for Desktops and Laptops Công nghệ thông tin - Kỹ thuật an tồn – Hướng dẫn phịng chống xử lý cố mã độc máy tính c) NIST SP 800-163 Vetting the Security of Mobile Applications Công nghệ thơng tin - Kỹ thuật an tồn – Hướng dẫn đánh giá bảo mật ứng dụng cho thiết bị di động d) NIST SP 800-111 Guide to Storage Encryption Technologies for End User Devices Công nghệ thông tin - Kỹ thuật an tồn – Hướng dẫn cơng nghệ lưu trữ mã hóa cho thiết bị đầu cuối đ) NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn quản lý bảo mật cho thiết bị di động hệ thống e) NIST SP 800-121 Guide to Bluetooth Security Công nghệ thông tin - Kỹ thuật an toàn – Hướng dẫn bảo mật kết nối Bluetooth g) NIST SP 800-101 Guidelines on Mobile Device Forensics Cơng nghệ thơng tin - Kỹ thuật an tồn – Hướng dẫn điều tra cố thiết bị di động./ ... giảm thiểu rủi ro Việc xác định rủi ro chấp nhận dựa vào mức rủi ro tiêu chí chấp nhận rủi ro 3.4.3 Tránh rủi ro Tránh rủi ro phương án xử lý quan, tổ chức phải đối mặt với mức rủi ro cao cách làm... quan, tổ chức để phải đối mặt với rủi ro xác định Tránh rủi ro phương án thích hợp rủi ro xác định vượt khả chấp nhận rủi ro tổ chức 3.4.4 Chia sẻ rủi ro Chia sẻ rủi ro phương án chuyển rủi ro, ... rủi ro, quan, tổ chức cần xác định mức chấp nhận rủi ro rủi ro lại sau xử lý Bởi hệ thống tồn rủi ro khơng có phương án xử lý triệt giảm thiểu đ) Q trình truyền thơng tư vấn rủi ro trình quan,