3.6.2.1. Quản lý thông tin tài khoản:
- Tại menu chức năng chọn thẻ Tài khoản, và bấm Refresh để lấy thông tin tài khoản
Hình 3.11: Tính năng Quản lý tài khoản
- Cập nhật các thông tin sau đó bấm nút UPDATE PROFILE, một alert hiển thị thông báo kết quả cập nhật
Hình 3.12: Thông báo tình trạng cập nhật Tài khoản
3.6.2.2. Hướng dẫn tiêu chuẩn quản lý và đánh giá theo tiêu chuẩn ISO/IEC 27005:2011
- Tại menu chương trình, chọn thẻ ISO/IEC 27005:211
Hình 3.13: Danh mục Hướng dẫn tiêu chuẩn ISO27005:2011
- Nội dung của Hướng dẫn quản lý và đánh giá theo tiêu chuẩn ISO27005:2011 được hiển thị
Hình 3.14: Nội dung Hướng dẫn tiêu chuẩn ISO27005:2011
3.6.2.3. Hướng dẫn tiêu chuẩn quản lý và đánh giá theo tiêu chuẩn NIST-SP-800- 39r1
- Tại menu ứng dụng, chọn thẻ NIST SP 800-39r
Hình 3.15: Hướng dẫn tiêu chuẩn NIST-SP-800-39r
- Nội dung của Hướng dẫn quản lý và đánh giá theo tiêu chuẩn NIST-SP-800- 39r được hiển thị
Hình 3.16: Nội dung Hướng dẫn tiêu chuẩn NIST-SP-800-39r
3.6.2.4. Quy trình quản lý và đánh giá đề xuất - Tại menu ứng dụng, chọn thẻ Quy trình đề xuất
Hình 3.17: Danh mục Quy trình đề xuất
Hình 3.18: Nội dung Quy trình đề xuất
3.6.2.5. Công cụ đánh giá rủi ro
- Công cụ đánh giá rủi ro cho phép người dùng có thể:
+ Lối tắt thêm một sự kiện cần đánh giá rủi ro mới
+ Lối tắt thêm một hệ thống cần đánh giá rủi ro mới
+ Các vùng nhập giá trị cho việc xác định Khả năng xảy ra sự cố và Tác động.
+ Lưu trữ thông tin của các tính toán đánh giá - Tại menu ứng dụng, chọn thẻ Đánh giá rủi ro
Hình 3.19: Danh mục Công cụ đánh giá
Hình 3.20: Giao diện công cụ đánh giá
3.6.2.5.1. Thêm sự kiện, hệ thống
- Chọn nút ADD để thêm Sự kiện hoặc Hệ thống
Hình 3.21: Thêm sự kiện hoặc hệ thống mới
- Thêm Hệ thống mới: Chọn Add system access:
+ Một dialog hiển thị cho phép nhập tên một hệ thống mới
Hình 3.22: Thêm hệ thống mới
+ Sau khi nhập Tên hệ thống, chọn SAVE, một alert thông báo kết quả thêm
- Thêm sự kiện mới: Một dialog hiển thị cho phép nhập Tên sự kiện và Hệ thống cần đánh giá
Hình 3.24: Thêm sự kiện mới
+ Yêu cầu nhập tên Sự kiện mới, Một hệ thống phải được lựa chọn đi kèm (Nếu chưa có hệ thống nào cần thêm một hệ thống mới trước khi thêm một sự kiện), sau đó chọn SAVE, một alert sẽ thông báo kết quả thêm sự kiện:
Hình 3.25: Thêm sự kiện mới thành công
3.6.2.5.2. Tính toán Khả năng xảy ra sự cố - Tại khung Xác định khả năng:
+ Cho phép người dùng nhập các giá trị cho các yếu tố, các giá trị được giới hạn trong các đoạn giá trị đặc trưng cho từng loại và không được để trống:
Hình 3.26: Bảng Nhập giá trị các yếu tố
+ Sau khi nhập các giá trị, chọn nút Tính toán, Kết quả sẽ được hiển thị giá trị kèm theo mức độ tương ứng:
Hình 3.27: Bảng Kết quả tính toán
+ Có thể lưu lại các giá trị này khi chọn nút Lưu, có thể lựa chọn các thông tin Sự kiện và Hệ thống đã có hoặc thêm mới để dữ liệu thêm rõ ràng, minh bạch:
Hình 3.28: Lựa chọn Sự kiện và hệ thống đánh giá
Hình 3.29: Lưu kết quả đánh giá
- Một alert hiển thị thông báo kết quả lưu kết quả:
Hình 3.30: Thông báo kết quả lưu
3.6.2.5.3. Tính toán Tác động
- Tại khung Xác định tác động:
+ Cho phép người dùng nhập các giá trị cho các yếu tố, các giá trị được giới hạn trong các đoạn giá trị đặc trưng cho từng loại và không được để trống:
Hình 3.31: Bảng Nhập giá trị các yếu tố tác động
+ Sau khi nhập các giá trị, chọn nút Tính toán, Kết quả sẽ được hiển thị giá trị kèm theo mức độ tương ứng:
Hình 3.32: Kết quả tính toán Tác động
+ Có thể lưu lại các giá trị này khi chọn nút Lưu, có thể lựa chọn các thông tin Sự kiện và Hệ thống đã có hoặc thêm mới để dữ liệu thêm rõ ràng, minh bạch:
Hình 3.33: Lựa chọn Sự kiện và hệ thống đánh giá
+ Một alert hiển thị thông báo kết quả lưu kết quả:
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Về lý thuyết, luận văn đã tổng hợp đầy đủ các qui trình Quản lý, đánh giá và xử lý rủi ro dựa trên cơ sở tiêu chuẩn ISO/IEC 27001, ISO/IEC 27005, NIST SP 800-39r1. Trên cơ sở đó, luận văn đã đề xuất một qui trình Quản lý và đánh giá rủi ro an toàn các hệ thống CNTT nhằm hỗ trợ các hoạt động bảo đảm ATTT của các cơ quan, tổ chức cũng như những người quản trị, vận hành và bảo đảm an toàn các hệ thống CNTT. Đồng thời, luận văn cũng tổng hợp hai phương pháp đánh giá ATTT là CVSS, OWSAP và xây dựng phương pháp đánh giá rủi ro dựa trên OWSAP
Về thực nghiệm, luận văn đã xây dựng được ứng dụng web gồm dịch vụ cung cấp cho người dùng: Các tiêu chuẩn ISO/IEC 27005, NIST-800 và Quy trình quản lý rủi ro đề xuất; các phương pháp đánh giá rủi ro CVSS, OWASP và công cụ hỗ trợ đánh giá rủi ro được xây dựng theo OWASP. Ngoài ra, các chức năng back- end còn có: Lưu trữ, quản lý tài khoản khoản; Lưu trữ, quản lý mã hệ thống.
Mặc dù đã có những kết quả tương đối khả quan, tuy nhiên vẫn còn nhiều thiếu sót cũng như hạn chế trong việc làm súc tích nội dung của các tiêu chuẩn Quản lý rủi ro cũng như ứng dụng đã được xây dựng.
- Về nội dung lý thuyết, cần làm sáng tỏ và súc tích hơn để giúp cho bất kỳ một người nào, với bất kỳ chuyên môn cũng như trình độ nào, một khi tham gia vào các quá trình Quản lý, Đánh giá, Xử lý rủi ro đều có thể nhanh chóng nắm bắt được. Đồng thời cần cập nhật, bổ sung thêm Phương pháp đánh giá rủi ro, ví dụ Tiêu chuẩn ISO 31000,
Phân tích chế độ lỗi và hiệu ứng (Failure mode and effects analysis - FMEA),v.v, giúp cho người thực hiện hoạt động đánh giá rủi ro có thêm nhiều góc nhìn cho các vấn đề rủi ro gặp phải. Những nội dung này ngoài việc được bổ sung, cập nhật vào tài liệu như một cẩm nang cho hoạt động Quản lý rủi ro, sẽ được tích hợp vào ứng dụng đã xây dựng.
- Về ứng dụng, mặc dù đã có thể đáp ứng được nhu cầu, mục đích của người dùng, tuy nhiên vẫn chưa đảm bảo được đầy đủ được các nguyên lý về UI-UX. Với mục tiêu có thể triển khai ứng dụng này ở tất cả các hệ thống thì cần thiết kế ứng dụng như một giải pháp có thể hoạt động trên nhiều nền tảng, nhiều môi trường hơn nữa. Ngoài ra, ứng dụng cần thiết kế cơ chế để có thể dễ dàng vận hành, bảo trì cũng như cập nhật, bổ sung nội dung và tính năng của các công cụ
Nhận thức được tầm quan trọng của Quản lý, đánh giá và xử lý rủi ro trong các hoạt động, tôi sẽ tiếp tục nghiên cứu và cập nhật thêm các tiêu chuẩn, phương pháp nhằm chỉnh sửa, bổ sung Quy trình đã được đề xuất trên đây luôn đảm bảo đầy đủ, chặt chẽ và chính xác khi áp dụng vào tất cả các bối cảnh. Đồng thời phát triển ứng dụng trở nên hoàn thiện, đầy đủ, cập nhật không ngừng.
TÀI LIỆU THAM KHẢO
[1] Common Vulnerability Scoring System v3.1: Specification Document,
https://www.first.org/cvss/v3.1/specification-document
[2] ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.ht m?csnumber=54534
[3] ISO/IEC 27005:2011, Informatinon technology-Security techniques- Informatinon Security Risk management systems
http://www.iso.org/iso/catalogue_detail?csnumber=56742
[4] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu
[5] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin
[6] NIST SP 800-39 (2011), Managing Information Security Risk: Organization, Mission, and Information System View.
[7] NIST SP 800-30r1 (2012), Guide for Conducting Risk Assessments. [8] “OWASP Risk Rating Methodology”,
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology [9] Nguyễn Ngọc Hóa (2021), Báo cáo tổng kết đề tài Nghiên cứu, xây dựng
hệ thống đánh giá, quản lý rủi ro và hỗ trợ xử lý sự cố an toàn thông tin trong Chính phủ điện tử, mã số KC.01.19/16-20.
[10] VueJS: https://vuejs.org/v2/guide/
[11] Databse: MySQL
https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-27.html [12] Kotlin: https://kotlinlang.org/docs/home.html