6. Cấu trúc luận văn
5.2.1 Bước 1.1 Xác định phạm vi hệ thống
Nhiệm vụ: mô tả các đặc điểm nghiệp vụ của hệ thống quản lý rủi ro an toàn dịch vụ Web, cấu trúc và vị trí của hệ thống, cũng như tất cả các giao diện và thành phần phụ thuộc của hệ thống.
Các thông tin về các hệ thống đánh giá trong quá trình này sẽđược sử dụng như là điểm bắt đầu cho việc đánh giá rủi ro sau đó, quan trọng là thông tin này phải chính xác, đầy đủ và dễ hiểu. Một khi điều này đã được hoàn tất, bạn có thể đi đến các bước tiếp theo bất cứ lúc nào để cập nhật các thông tin, hoặc để xem các kết quảđạt được.
Bước 1: Chèn tên của công ty. Điều này chỉ cần được thực hiện một lần, nó được tự động lưu trong hệ thống. Điều này sẽ được sử dụng trong suốt quá trình đánh giá rủi ro để phân biệt các công ty khác nhau.
Bước 2: Chèn tên cho hệ thống được sử dụng trong công ty (ví dụ: kinh doanh dịch vụ, quản lý các dịch vụ dữ liệu, bán hàng và đơn vị tiếp thị, dịch vụ CNTT ).
Bạn có thể xem thông tin về bất kỳ hệ thống được xác định ởđây bằng cách chọn từ danh sách này tại các giai đoạn sau. Tên hệ thống và mô tả có thể được lưu bằng cách bấm vào "Cất giữ" nút, hoặc bằng cách di chuyển đến một hệ thống hoặc quá trình khác.
Bước 3: Thêm mô tả về phạm vi hệ thống. Điều này sẽ mô tả rõ ràng tổng quan về hệ thống bao gồm các nghiệp thực hiện trong hệ thống.
Bước 4: Mô tả các giao diện hệ thống có với các nghiệp vụ hệ thống kinh khác, mạng hoặc quá trình khác đang ở bên ngoài phạm vi và ranh giới hệ thống. Mô tả phụ thuộc các hệ thống có trên các nghiệp vụ hệ thống khác, mạng hoặc quá trình ở ngoài phạm vi và ranh giới hệ thống. Đây có thể là giao diện bên trong, bên ngoài và phụ thuộc.
Hình 5.6 Bước 1.1 Xác định phạm vi hệ thống
5.2.2 Bước 1.2 Tài liệu hệ thống
Nhiệm vụ: đưa ra các tài liệu được sinh ra bởi hệ thống
Dưới đây chỉ ra các bước cơ bản để gán số tài liệu cho những tài liệu mà công cụ sinh ra trong quá trình đánh giá rủi ro. Một khi điều này đã được thực hiện, bạn có thể đi đến các bước khác và sau đó có thể cập nhật thông tin hoặc xem các kết quảđạt được.
Bước 1: Đối với các hệ thống đã chọn, xác định các tài liệu liên quan đến hệ thống và gắn số tài liệu.
Bước 2: Chọn tài liệu từ danh sách "các tài liệu được đưa ra bởi công cụ này" để được đưa vào "Danh sách các tài liệu đã chọn". Bạn có thể nhấp đúp chuột vào các tài liệu được lựa chọn, hoặc sử dụng nút "Đưa tài liệu vào" để kết hợp các tài liệu được chọn trong danh sách phía dưới.
Bước 3: Xác định số tài liệu cho tất cả các tài liệu trong "Danh sách các tài liệu đã chọn".
Bước 4: Xác định bất kỳ tài liệu bổ sung nào để bao gồm qua nút “Đưa tài liệu thêm vào".
Bước 5: Nếu cần thiết, xóa bất kỳ tài liệu khỏi “Danh sách tài liệu đã chọn” bằng cách chọn tài liệu và nhấp vào nút "Xóa tài liệu".
Hình 5.7 Bước 1.2 Tài liệu hệ thống
5.2.3 Bước 1.3 Thang đo đánh giá rủi ro
Mục tiêu: Xác định chính sách quản lý rủi ro áp dụng cho hệ thống.
Dưới đây giải thích các bước cơ bản để xác định chính sách hệ thống và mục tiêu, xác định quy mô rủi ro, và xác định tiêu chí cho việc chấp nhận rủi ro, xác định mức độ chấp nhận rủi ro.
Một khi điều này đã được thực hiện, bạn có thể quay lại quá trình này vào bất kỳ thời điểm gian sau đó để cập nhật thông tin, hoặc để xem các kết quả đạt được.
Bước1: Đối với các hệ thống, chọn xác định các chính sách hệ thống, mục tiêu, tập hợp các rủi ro thích hợp với quy mô, và tiêu chí chấp nhận mức rủi ro.
Bước 2: Xác định các chính sách rủi ro và các mục tiêu cho hệ thống. Bước 3: Chọn thang đo giá trị tài sản để xác định giá trị hoặc tầm quan trọng của tài sản cho nghiệp vụ: thích hợp cho hệ thống và xác định xác định giá trị, quy mô của tài sản, có thể được gọi bằng cách nhấp vào nút "Xác định thang đo giá trị tài sản".
Bước 4: Chọn các mối đe dọa và mức xác định tính dễ tổn thương phù hợp với hệ thống được sử dụng để tính toán rủi ro xảy ra. Ma trận mức độ rủi ro có thể được xem bằng cách nhấn vào nút "Ma trận tác động của rủi ro".
Bước 5: Ma trận hiển thị các rủi ro có thể được xem bằng cách nhấn vào nút "Thang đo rủi ro và ma trận thang đo rủi ro". Các mức rủi ro cần phải được mô tảđể phản ánh rủi ro của các giá trị này.
Bước 6: Xác định các tiêu chí đối với các mức chấp nhận rủi ro và xác định các mức rủi ro cụ thể của hệ thống đã chọn. Điều này sẽ làm cho việc sử dụng trước đó (xem Bước 5) xác định thang đo rủi ro.
Hình 5.8 Bước 1.3 Thang đo đánh giá rủi ro
5.2.4 Bước 2.1 Xác định tài sản
Mục tiêu: xác định tất cả các tài sản trong phạm vi hệ thống
Dưới đây giải thích các bước cơ bản để phát triển một danh sách tài sản của hệ thống.
Một khi điều này đã được thực hiện, bạn có thể lặp lại quá trình bất kỳ thời điểm nào sau đó để sửa đổi hoặc cập nhật các mục ghi lại, hoặc để chỉ xem các kết quảđạt được.
Bước 1: Chọn một hệ thống, thư mục con hoặc tài sản từ "Danh mục hệ thống, thư mục con và tài sản".
Bước 2: Chọn một tên cho các tài sản được xác định - bằng cách gõ nó trong ô nhập, hoặc bằng cách lựa chọn trong các tài sản mẫu từ "Danh mục tài sản mẫu".
Tài sản mẫu được lựa chọn bằng cách nhấp đúp vào tài sản trong danh sách hoặc đánh dấu tài sản sau đó nhấn vào nút "Chọn tài sản từ danh sách tài sản mẫu".
Một khi tên tài sản này được xác định, nó có thể được thêm vào trong “Danh sách hệ thống, thư mục con và tài sản" bằng cách nhấp vào nút "Thêm tài sản", hoặc nó sẽđược thêm tựđộng khi bạn di chuyển sang tài sản kế tiếp.
Xác định tài sản nên tập trung vào các thông tin về phạm vi hệ thống, giao diện và các phụ thuộc mà có thểđược xem bằng cách nhấn vào nút "Xem thông tin chi tiết hệ thống”.
Bước 3: Xác định chủ sở hữu của tài sản, thêm ID tài sản và thêm địa chỉ email của chủ sở hữu của tài sản. Điều đó có thể được sử dụng sau này, khi mail được gửi đi để thu thập thông tin cho việc đánh giá rủi ro.
Bước 4: Mô tả tài sản có thể được nhập vào trong ô cung cấp. Điều này có thể cung cấp thông tin hữu ích, đặc điểm liên quan đến tài sản này, điều đó có thể có ích trong giai đoạn tiếp theo nhưđánh giá rủi ro.
Bước 5: Xác định liệu các tài sản hiện đang được coi là đại diện cho một bộ tập hợp các tài sản tương tự, ví dụ như nếu nó là một trong 100 máy tính cá nhân, tất cảđược sử dụng trong môi trường giống nhau cho cùng một mục đích.
Bước 6: Lặp lại bước 1-5 như thường khi cần thiết để đạt được một danh mục tài sản đầy đủ.
5.2.5 Bước 3.1 Xác định yêu cầu
Mục đích: Xác định các yêu cầu về luật pháp, hợp đồng, nghiệp vụ và các trách nhiệm khác có liên quan đến hệ thống và các tài sản của hệ thống.
Dưới đây giải thích các bước cơ bản trong quá trình này để xác định các yêu cầu kinh doanh, pháp lý và hợp đồng áp dụng cho danh mục tài sản hệ thống. Việc xác định yêu cầu này nên được thực hiện cho tất cả các tài sản trong danh mục.
Một khi điều này đã được thực hiện, bạn có thể lặp lại quá trình trong bất kỳ thời gian nào sau đó để sửa đổi hoặc cập nhật các bản ghi, hoặc để xem các kết quảđạt được.
Bước 1: Bắt đầu quá trình này bằng cách chọn một tài sản từ "Danh mục tài sản hệ thống".
Bước 2: Nhập yêu cầu cho các tài sản được lựa chọn ở Bước 1 bằng cách nhập vào trong ô nhập, hoặc bằng cách chọn một yêu cầu mẫu được đưa ra trong "Danh sách các yêu cầu mẫu về quy phạm pháp luật, hợp đồng và kinh doanh và nghĩa vụ"
Các yêu cầu nêu trong danh sách các ví dụ được lựa chọn bằng cách nhấp đúp vào trong danh sách yêu cầu hoặc đánh dấu những yêu cầu và nhấn vào nút "Chọn yêu cầu từ danh sách các yêu cầu mẫu".
Bước 3: Mô tả về yêu cầu có thểđược thêm vào để giúp hiểu chi tiết về những yêu cầu cần thiết, và bất kỳ thông tin hữu ích khác, đặc điểm hoặc thuộc tính liên quan đến yêu cầu này.
5.2.6 Bước 3.2 Định giá tài sản
Mục tiêu: Xác định giá trị của tất cả tài sản trong phạm vi hệ thống, đưa ra tác động đến tài sản khi thiếu độ tin cậy, tính toàn vẹn và sẵn sàng của tài sản
Dưới đây giải thích các bước cơ bản liên quan đến việc định giá trị cho mỗi tài sản nằm trong danh mục tài sản của hệ thống. Một khi điều này đã được thực hiện, bạn có thể lặp lại quá trình này vào bất kỳ thời gian nào sau đó để sửa đổi hoặc cập nhật các bản ghi, hoặc để xem các kết quảđạt được.
Bước 1: Bắt đầu quá trình này bằng cách chọn một tài sản từ "Danh mục hệ thống, thư mục con và tài sản".
Bước 2: Xem mô tả của tài sản này trong cửa sổ "mô tả tài sản". Gán một giá trị cho độ tin cậy của tài sản này bằng cách chọn một trong các giá trị thả xuống trong ô "Chọn độ tin cậy".
Bước 3: Lặp lại bước 2 để gán giá trị toàn vẹn và sẵn có cho các tài sản được lựa chọn. Những giá trị này là được lựa chọn bằng cách chọn trong "Chọn độ toàn vẹn" và "Chọn độ sẵn sàng". Lý do chọn lựa những giá trị này nên được đưa ra trong các ô nhập đã cung cấp.
Bước 4: Nếu có một bổ sung thuộc tính tài sản khác không liên quan đến bảo mật, toàn vẹn và tính sẵn sàng thì thuộc tính này cần phải được nêu ra trong ô nhập "Các thuộc tính an toàn khác ".
Bước 5: Lặp lại bước 1-4 cho mỗi tài sản trong "Danh sách các hệ thống, thư mục con và tài sản".
Hình 5.11 Bước 3.2 Định giá tài sản
5.2.7 Bước 4.1 Xác định các mối đe dọa và điểm yếu
Mục tiêu: Xác định các mối đe dọa đến hệ thống và các tài sản của hệ thống trong phạm vi đã chọn và xác định các điểm yếu có thể tác động đến hệ thống qua các mối đe dọa này.
Dưới đây giải thích các bước cơ bản trong quá trình này để xác định các mối đe dọa và các điểm yếu với mỗi tài sản trong danh mục tài sản của hệ thống. Một khi điều này đã được thực hiện, bạn có thể lặp lại quá trình này vào bất kỳ thời gian sau đó để sửa đổi các mục, hoặc để xem các kết quảđạt được.
Bước 1: Bắt đầu quá trình này bằng cách chọn một tài sản từ "Danh mục hệ thống, thư mục con và tài sản".
Bước 2: Bắt đầu bằng cách xác định một mối đe dọa cho tài sản được lựa chọn ở Bước 1 bằng cách gõ nó trong ô nhập, hoặc bằng cách lựa chọn một trong những yêu cầu mẫu được đưa ra trong "Danh sách các mối đe dọa", và lưu các mối đe dọa khi công việc hoàn tất.
Các mối đe dọa được đưa ra trong danh sách được lựa chọn bằng cách nhấp đúp vào các mối đe dọa trong danh sách này hay đánh dấu rồi nhấn vào nút "Chọn một mối đe dọa từ danh sách ".
Bước 3: Một khi mối đe dọa này được lưu, các điểm yếu có thể bị khai thác bởi mối đe dọa này nên được xác định. Nếu có nhiều hơn một điểm yếu, chỉ cần nhấp vào nút " Đồng ý" cho đến khi tất cả các điểm yếu đã được xác định. Sau đó tiếp tục với việc xác định các mối đe doạ tiếp theo của tài sản. Nếu các lỗ hổng hiện đang được xem xét gỡ bỏ, ví dụ như thông qua các ứng dụng của các kiểm soát thích hợp, nhấp chuột vào nút "Đồng ý" để loại bỏ nó khỏi danh sách.
Bước 4: Lặp lại bước 1-3 cho mỗi tài sản trong xác định trong "Danh sách các hệ thống, thư mục con và tài sản ", cho đến khi tất cả các mối đe dọa đối với tài sản đã được xác định, và tất cả các điểm yếu có thểđược khai thác bởi các mối đe dọa cũng đã được xác định.
Hình 5.12 Bước 4.1 Xác định các mối đe dọa và điểm yếu
5.2.8 Bước 4.2 Mức độ rủi ro
Mục tiêu: Xác định khả năng xảy ra của các cặp Mối đe dọa/Điểm yếu và mức độ rủi ro của các tài sản trong hệ thống.
Dưới đây giải thích các bước cơ bản trong quá trình này để xác định giá trị của mỗi đe dọa và các điểm yếu liên quan đến các tài sản nằm trong danh mục tài sản của hệ thống, và đểđánh giá mức độ rủi ro tương ứng.
Một khi điều này đã được thực hiện, bạn có thể lặp lại quá trình này bất kỳ thời gian nào sau đó để sửa đổi, hoặc để xem các kết quảđạt được.
Bước 1: Để bắt đầu quá trình này, chọn một tài sản từ "Danh mục hệ thống, thư mục con và tài sản".
Bước 2: Đối với các tài sản được lựa chọn xác định một cặp mối đe dọa / điểm yếu kết hợp từ danh sách thả xuống "mối đe dọa / điểm yếu".
Bước 3: Xác định một giá trị cho khả năng xảy ra mối đe dọa này bằng cách chọn từ danh sách thả xuống "khả năng đe dọa của mối đe dọa". Đưa ra một lý do lựa chọn này trong ô nhập liệu đã cung cấp.
Xác định mức độ của các điểm yếu liên quan bằng cách chọn từ danh sách thả xuống "Chọn mức độ của điểm yếu". Đưa ra một lý do lựa chọn này trong ô nhập đã cung cấp.
Bước 4: Xác định các thuộc tính an toàn mà cặp mối đe dọa/ điểm yếu liên quan đến, lựa chọn một hay nhiều các ô tích: độ tin cậy, độ toàn vẹn, và tính sẵn có.
Xin lưu ý: Mối liên kết thuộc tính an toàn là cần thiết cho quá trình nhận diện rủi ro trong 5.1.
Bước 5: Lặp lại bước 3 và 4 cho mỗi cặp mối đe dọa / điểm yếu liên quan đến tài sản được lựa chọn ở Bước 1.
Bước 6: Lặp lại bước 1-5 cho mỗi tài sản trong các thư mục con được xác định trong "Danh sách các hệ thống, và các tài sản".
Hình 5.13 Bước 4.2 Mức độ rủi ro
5.2.9 Bước 5.1 Các rủi ro của hệ thống
Mục tiêu: Xác định và đánh giá tất cả các rủi ro của mỗi tài sản trong hệ thống.
Dưới đây giải thích các bước cơ bản trong quá trình này để tính toán rủi ro cho tài sản nằm trong hệ thống và thư mục con của nó.
Một khi điều này đã được thực hiện, bạn có thể lặp lại quá trình này bất cứ lúc nào sau đó để sửa đổi các đầu vào, hoặc để xem các kết quảđạt được.
Bước 1: Chọn một tài sản từ "Danh mục hệ thống, thư mục con và tài sản".