đến thiệt hại cho tổ chức do mất đ

Đánh giá và Quản lý Rủi ro

 Một số ví dụ:

 Tài sản Thông tin – cơ sở dữ liệu, bản sao điện tử

 Tài liệu Giấy – hợp đồng, hồ sơ nhân sự, hóa đơn, sổ tay hướng dẫn

 Tài sản Phần mềm – phần mềm ứng dụng, hệ điều hành, công cụ phát triển, chương trình tiện ích

 Tài sản Vật chất – máy vi tính, máy chủ, hub, tường lửa, thiết bị thông tin liên lạc, lưu trữ dữ liệu, kệ tủ, két sắt, phòng ốc, đồ nội thất

 Con người – nhân sự, khách hàng, người thuê bao, nhà thầu, lao công, bảo vệ

 Dịch vụ – viễn thông, sưởi, máy điều hòa, chiếu sáng, máy phát điện, bộ lưu điện UPS, chuông báo cháy, chuông chống trộm

Đánh giá và Quản lý Rủi ro

 Tài sản phải được xác định và phải được thiết lập

quyền sở hữu.

 Cũng phải thiết lập một giá trị tương đối cho mỗi tài sản để có thể xác định mức độ quan trọng khi định lượng rủi ro.

Đánh giá và Quản lý Rủi ro

 Tùy vào dạng thiệt hại / hư hỏng

 Thiệt hại tài chính

 Thiệt hại doanh thu / thị phần

 Tính sẵn sàng và sự gián đoạn hoạt động của dịch vụ

 Khả năng và năng suất xử lý

 Thiệt hại hình ảnh và uy tín

Đánh giá và Quản lý Rủi ro

 Đe dọa là khả năng gây ra một sự cố

không mong muốn, có thể dẫn đến việc hư hỏng cho một hệ thống hoặc một tổ chức và các tài sản của tổ chức.

 Có thể thuộc về môi trường (như bão lụt), kỹ thuật (như sập máy chủ), hoặc con người (như biểu tình).

 Có thể từ bên ngoài hoặc bên trong.

 Có thể do chủ ý hoặc vô ý.

 Tài sản chịu nhiều hình thức đe dọa bị khai thác các lỗ hổng.

Đánh giá và Quản lý Rủi ro

 Đe dọa khai thác hoặc lợi dụng các lỗ hổng của tài sản để tạo ra rủi ro. lỗ hổng của tài sản để tạo ra rủi ro.

 Các mối đe dọa đối với tài sản phải được nhận diện.

 Có thể có nhiều mối đe dọa đối với mỗi tài sản. Việc nhận diện các mối đe dọa phải mang tính thực tế.

 Chỉ những đe dọa có xác suất đáng kể hoặc đặc biệt nguy hại mới cần được xem xét.

Đánh giá và Quản lý Rủi ro

 Một số ví dụ:

 Truy cập Ngẫu nhiên – dữ liệu để bừa bãi, để lộ hoặc bị nhìn

thấy dữ liệu trên màn hình máy vi tính, xem trên phương tiện giao thông công cộng

 Nhân viên và Cán bộ Bất mãn – Họ thường dễ nhận thấy lỗ

hổng trong hệ thống của tổ chức. Họ có thể hành động vì lợi ích cá nhân hoặc để trả thù.

 Kẻ trộm Máy vi tính – Máy tính xách tay dễ bị trộm khi trông coi thiếu cẩn thận.

 Kẻ Buôn bán Thông tin và Tội phạm có Tổ chức – Tình báo Công nghiệp, tống tiền

 Hacker Máy vi tính – tự thử thách hoặc vì mục đích tài chính

 Báo chí – Các Phóng viên Điều tra có thể khai thác thông tin

Đánh giá và Quản lý Rủi ro

 Lỗ hổng là điểm yếu hoặc là lỗ hổng trong an toàn thông tin của tổ chức. trong an toàn thông tin của tổ chức.

 Tự thân lỗ hổng không thể gây thiệt hại, mà chủ yếu nó là một điều kiện

hoặc nhóm điều kiện cho phép các mối đe dọa tác động đến tài sản.

 Nếu không được quản lý, nó có thể làm cho các mối đe dọa trở thành hiện thực.  Chẳng hạn như thiếu nhân sự chủ chốt,

mạng lưới điện không ổn định, thiếu ý thức về an toàn, mật khẩu sai, cửa

Đánh giá và Quản lý Rủi ro

 Lỗ hổng là những khiếm khuyết

được phát hiện trong tài sản, các mối đe dọa có thể bị khai thác những khiếm khuyết này để tạo ra rủi ro.

 Một tài sản có thể có nhiều lỗ hổng.

Đánh giá và Quản lý Rủi ro

 Một số ví dụ:

 Các Hệ thống Báo động

 Hệ thống Thư thoại Gọi đến

 Cặp tài liệu/Túi xách Bất cẩn

 Kệ tủ

 Máy vi tính

 Đàm thoại

 Các Liên kết Dữ liệu

 Nhân sự

Đánh giá và Quản lý Rủi ro

Lỗ hổng Đe dọa

Công việc của người ngoài không được giám sát

Trộm

Không huấn luyện an toàn đầy đủ

Lỗi do nhân viên hỗ trợ vận hành

Phần mềm được lập tài liệu

kém Lỗi do nhân viên hỗ trợ vận hành Thiếu cơ chế theo dõi Sử dụng thiết bị không đúng

mục đích cho phép Thiếu chính sách sử dụng

internet / e-mail phù hợp

Sử dụng thiết bị không đúng mục đích cho phép

Đánh giá và Quản lý Rủi ro

 Xác suất của mỗi tổ hợp đe dọa/lỗ

hổng

 Các tổ hợp không có ý nghĩa quan trọng theo thống kê nên được bỏ trọng theo thống kê nên được bỏ qua.

Đánh giá và Quản lý Rủi ro

 Thiệt hại (đôi khi còn được gọi là tác

động) có thể được định lượng bằng con số để phản ảnh mức độ thiệt hại của một lần khai thác thành công.

 Giá trị định lượng này được tính trên

thang đo mức độ nghiêm trọng tương đối của một rủi ro cho trước không phụ thuộc vào xác suất của nó.

Đánh giá và Quản lý Rủi ro

 Đánh giá và giảm nhẹ rủi ro là

Đến thiệt hại cho tổ chức do mất đ

Huấn luyện vàPhổ biến

an toàn thông tin