Chương 3: MÔ HÌNH KIỂM TOÁN
3.1 Xây dựng quy trình Quản lý rủi ro
Một hệ thống thông tin phải bảo đảm: tính toàn vẹn, bảo mật và tính sẵn dùng của dữ liệu đồng thời đảm bảo các yêu cầu bảo mật chống xâm nhập, khả năng phục vụ truy cập của hệ thống. Các kiểm toán viên phải xác định được các mối rủi ro từ hệ thống trực tuyến việc xác định các rủi ro này là phức tạp và thực hiện theo từng bước theo một quy trình nhất định, chúng tôi sẽ trình bày một quy trình của hoạt động đánh giá rủi ro hệ thống gồm 9 bước:
Bước 1: mô tả đặc trưng hệ thống
Bước 2: xác định các mối đe dọa của hệ thống
Bước 3: xác định các vùng dễ bị tổn thương của hệ thống Bước 4: phân tích kiểm soát (điều khiển)
Bước 5: đánh giá khả năng các mối đe dọa Bước 6: phân tích sự ảnh hưởng
Bước 7: nhận định các rủi ro
PHẠM CHÍ VỌNG 22
Bước 8: kiến nghị các chính sách Bước 9: lập tài liệu kết quả
Hình 3.1 Quy trình quản lý rủi ro hệ thống [4]
Cụ thể các bước được trình bày như sau:
- Bước 1: mô tả đặc trưng hệ thống: công việc đầu tiên của việc đánh giá rủi ro hệ thống là xác định phạm vi hệ thống, nó xác định ranh giới của hệ thống thông tin, nguồn lực và mức độ công nghệ thông tin của doanh nghiệp. Đặc
PHẠM CHÍ VỌNG 23
trưng của hệ thống thông tin sẽ thiết lập một vùng các rủi ro, chức năng xác thực, các thông tin về hệ thống như phần cứng, phần mềm, kết nối, phân chia trách nhiệm nhân sự. Sau giai đoạn này phải xác định được các phạm vi, chức năng hệ thống, dữ liệu quan trọng, nhạy cảm của hệ thống.
o Xác định các thông tin liên quan đến hệ thống như phần mềm, phần cứng, dữ liệu quan trọng, nhạy cảm của hệ thống. Thêm vào đó cần xác định thêm chức năng hệ thống, người dùng, chính sách công ty, cấu trúc an ninh, mô hình mạng, cách thức lưu trữ… các thông tin này phải được thu thập từ giai đoạn thiết kế, người thiết kế phải đánh giá được các chính sách an ninh chính cho hệ thống .
o Kỹ thuật thu thập thông tin: để thu thập chính xác và đầy đủ các thông tin cho hệ thống cần kết hợp các kỹ thuật khác nhau như bản câu hỏi, phỏng vấn, xem xét tài liệu liên quan đến công ty.
Đầu ra của bước này là mô tả hệ thống, tạo ra một cái nhìn tổng thể hệ thống thông tin như môi trường, phạm vi hệ thống.
- Bước 2: xác định các nguồn đe dọa của hệ thống: là tìm các mối đe dọa có thể được khai thác, tấn công hệ thống. Các đe dọa này có thể đến từ các lỗ hổng của hệ điều hành, phần mềm hoặc các chức năng dễ bị khai thác. Các mối đe dọa này chủ yếu đến từ con người, thiên tai, môi trường hệ thống từ đó đưa ra các nguy cơ mà hệ thống có thể đương đầu.
o Xác định các nguồn đe dọa hệ thống: xác định các nguy cơ có thể từ con người, thiên tai, môi trường. Xác định được các nguyên nhân này là cơ sở quan trọng để đưa ra các biện pháp nhằm giảm thiểu tác động đến hệ thống từ các mối đe dọa này.
o Các hành vi nguy hiểm: các hành vi đe dọa có thể được tạo ra từ con người, các cuộc tấn công, khai thác lổ hổng, đây là một mối đe dọa thường trực và nguy hiểm cho hệ thống thông tin. Ngoài ra, cũng phải xem xét đến các mối đe dọa từ thiên nhiên như lũ lụt, động đất, bảo…
Đầu ra của bước này là một danh sách các nguồn các mối đe dọa có thể ảnh hưởng đến hệ thống và những lổ hổng mà hệ thống có thể bị khai thác.
- Bước 3: xác định các vùng dễ bị tổn thương của hệ thống: phân tích các chức năng dể tổn thương liên quan đến hệ điều hành, yếu kém trong phân tích, triển khai hệ thống như chính sách thu hồi tài khoản, đăng nhập từ bên ngoài, lổ hổng từ nhà sản xuất… một số lổ hổng thường gặp là: kết thúc hợp đồng với nhân viên nhưng nhân viên không khóa tài khoản truy cập hệ thống, do đó nhân viên có thể tiếp tục tương tác với hệ thống, cho các tài khoản không
PHẠM CHÍ VỌNG 24
được chứng thực vào hệ thống như guest, đối tác… các lổ hổng từ nhà sản xuất, phần mềm mà không vá các lổ hổng.
o Xác định nguồn vùng dễ tổn thương: các vùng dễ tổn thương của hệ thống có thể được xác định bằng các kỹ thuật thu thập thông tin, xem xét hệ thống, chính sách công ty, các tài liệu của các nhà sản xuất, mức độ an ninh của phần mềm, bao gồm:
Nhận định các rủi ro từ các tài liệu đã có.
Xem xét các báo cáo an ninh, kiểm toán, đánh giá hệ thống, kết quả kiểm thử.
Kiểm tra danh sách các vùng dễ tổn thương hệ thống.
Tư vấn của nhà sản xuất.
Phân tích an ninh phần mềm.
o Kiểm thử an ninh hệ thống: việc kiểm thử nhằm đánh giá các lổ hổng của hệ thống, những vùng dễ bị tấn công. Công việc kiểm thử thường dùng các công cụ tự động dò tìm các lổ hổng, đánh giá và thử nghiệm an ninh hệ thống, thử nghiệm xâm nhập.
Công cụ tự động dò tìm lổ hổng hệ thống có thể dò tìm trong một nhóm máy tính hoặc mạng nội bộ để phát hiện ra các lổ hổng của các dịch vụ. Mặc dù các công cụ này có thể phát hiện ra các lổ hổng, các vùng dễ tổn thương nhưng trên thực tế có thể phát sinh thêm nhiều lổ hổng khác, nên cần đánh giá lại các khả năng mà các lỗi có thể xuất hiện hệ thống.
Đánh giá, thử nghiệm an ninh hệ thống là kỹ thuật khác để đánh giá lổ hổng trong tiến trình nhận định rủi ro. Nó bao gồm phát triển và thực thi kế hoạch kiểm thử. Mục đích của thử nghiệm an ninh hệ thống là để thử nghiệm hiệu quả các chính sách bảo mật hệ thống.
Thử nghiệm thâm nhập có thể sử dụng được dùng để hoàn thiện xem xét điều khiển an ninh cho hệ thống và đảm bảo các khía cạnh khác nhau của hệ thống được an toàn. Hệ thống luôn tiềm ẩn các lổ hổng nguy hiểm để các hacker có thể lợi dụng thâm nhập nhằm mục đích đánh cắp dữ liệu, phá hoại.
Bước này nhằm nhìn nhận tổng quan lại an ninh hệ thống, đảm bảo các mục tiêu chống thâm nhập từ bên ngoài, các lổ hổng chưa được xem xét.
o Phát triển danh sách yêu cầu an ninh cho hệ thống: trong bước này nhận định các rủi ro về nhân sự thu thập các yêu cầu hệ thống trong quá trình mô tả và xây dựng kế hoạch bảo đảm an ninh hệ thống. Các yêu cầu bảo đảm an ninh hệ thống có thể được thể hiện trên các biểu
PHẠM CHÍ VỌNG 25
mẫu, với các yêu cầu được hoàn thành sẽ giải thích như thế nào để thiết kế và triển khai, các chính sách sẽ đáp ứng các mục tiêu nào của hệ thống.
Một bản danh sách yêu cầu các thông tin hệ thống bao gồm những thông tin bảo mật cơ bản dùng để đánh giá và xác định các vùng dễ bị tổn thương, các tiến trình, liên kết các thông tin đưa ra bởi hệ thống trong các vùng an ninh:
Quản lý Hoạt động Kỹ thuật
Danh sách tiêu chuẩn an ninh
Bảng 3.1 Các tiêu chuẩn an ninh
An ninh quản lý
Phân công trách nhiệm Tiếp tục hỗ trợ
Ứng phó sự cố
Đánh giá định kì các chính sách an ninh Đánh giá rủi ro
Tập huấn an ninh và kỹ thuật Phân chia nhiệm vụ
Cấp phép và ủy quyền
Kế hoạch đảm bảo an ninh cho hệ thống hoặc phần mềm
An ninh các hoạt động
Kiểm soát các chất gây ô nhiễm trong không khí Điều khiển đảm bảo cung cấp nguồn điện
Truyền thông và xử lý dữ liệu Xác định dữ liệu ngoài và ghi nhãn Cơ sở cần được bảo vệ
Kiểm soát độ ẩm Kiểm soát nhiệt độ
Máy trạm, xách tay, máy tính cá nhân.
An ninh kỹ thuật Truyền thông Mã hóa
PHẠM CHÍ VỌNG 26
Điều khiển truy cập tùy ý Nhận dạng và xác thực Phát hiện xâm nhập Tái sử dụng đối tượng Hệ thống kiểm toán
Đầu ra của bước này là một danh sách các vùng dễ bị tổn thương được nhận thấy từ các nguồn đe dọa tiềm năng của hệ thống.
- Bước 4: phân tích kiểm soát (điều khiển): mục tiêu của bước này là phân tích các chính sách đã triển khai hoặc kế hoạch cho việc triển khai cho hệ thống để giảm hoặc loại bỏ các khả năng đe dọa đến các vùng dễ bị tổn thương của hệ thống. Để thực hiện được công việc này cần xác định về xác suất hay điểm đánh giá của các mối đe dọa có thể xuất hiện. Các công việc lần lượt của bước này là:
o Các phương thức kiểm soát: kiểm soát an ninh bao gồm kỹ thuật hoặc phi kỹ thuật. Kiểm soát kỹ thuật là bảo đảm an toàn cho phần mềm, phần cứng, firmware. Kiểm soát phi kỹ thuật là kiểm soát việc quản lý và chức năng hệ thống như chính sách an ninh, thủ tục, nhân sự, vật lý, an ninh môi trường.
o Phân loại kiểm soát: phân loại kiểm soát bao gồm cả các phương thức kiểm soát kỹ thuật và phi kỹ thuật và có thể phân loại theo chức năng ngăn chặn hoặc phát hiện cụ thể như sau:
Kiểm soát ngăn chặn là cản trở thâm nhập trái phép bao gồm như điều khiển truy cập bắt buộc, mã hóa, xác thực.
Kiểm soát phát hiện là cảnh báo vi phạm các chính sách an ninh bao gồm ghi vết, các phương thức phát hiện xâm nhập, checksums.
Kỹ thuật phân tích điều khiển: trong phần trước ta đã xem xét danh sách các yêu cầu an ninh nó sẽ hữu dụng cho việc quản lý điều khiển và quản lý hệ thống một cách thống nhất. Những chính sách này sẽ xem xét và được thay đổi lần lượt theo môi trường phát triển của công ty.
Đầu ra của bước này là danh sách các chính sách kiểm soát đang thực hiện hoặc đang lên kế hoạch thực hiện để giảm thiểu khả năng xảy ra những lổ hổng, vùng dễ tổn thương của hệ thống đồng thời cũng giảm các yếu tố không tương thích với hệ thống.
PHẠM CHÍ VỌNG 27
- Bước 5: nhận định khả năng các mối đe dọa hệ thống: đánh giá xác suất mà một mối đe dọa có thể xuất hiện trong hệ thống. Định nghĩa các cấp độ của mối đe dọa là cao, trung bình hay thấp. Các mối đe dọa được đánh giá cao sẽ được các nhà kiểm toán xem xét để giảm thiểu tác động để hệ thống trước (bước 6), đồng thời các cũng kết hợp với các nhân tố khác như chi phí, khả năng thực hiện, đồng bộ của hệ thống.
Bảng 3.2 Khả năng xuất hiện mối đe dọa
Các khả năng xuất hiện mối đe dọa
Cao Các nguồn đe dọa có khả năng xuất hiện cao và các chính sách an ninh thì kém hiệu quả.
Trung bình Các nguồn đe dọa có khả năng xuất hiện cao nhưng các chính sách an ninh thì có hiệu quả cao để ngăn chặn các mối đe dọa này.
Thấp Các nguồn đe dọa hiếm khi xuất hiện và các chính sách an ninh cũng hiệu quả nếu đe dọa này xuất hiện.
Đầu ra của bước 5 là phân loại khả năng các mối đe dọa (cao, trung bình, thấp)
- Bước 6: phân tích sự ảnh hưởng: xác định mức độ ảnh hưởng của các mối de dọa lên hệ thống, trước tiên ta cần xem xét các thông tin về nhiệm vụ hệ thống, tầm quan trọng của dữ liệu và hệ thống, tính chất nhạy cảm của dữ liệu và hệ thống.
Các thông tin này có thể tìm thấy từ các tài liệu đã tồn tại trong doanh nghiệp như các thống kê về ảnh hưởng đến nhiệm vụ hệ thống, thống kê nhận định các dữ liệu. Mức ảnh hưởng đến hệ thống sẽ được phân cấp theo sự phân tích định tính và định lượng về mức độ quan trọng và nhạy cảm thông tin của doanh nghiệp.
Nếu doanh nghiệp chưa có các tài liệu nhận định về mức độ quan trọng của dữ liệu cũng như các chức năng nhiệm vụ của hệ thống thì nó sẽ được đánh giá dựa vào các yêu cầu vể đảm bảo an ninh thông tin như tính bảo mật, tính toàn vẹn và tính sẵn dùng của dữ liệu. Như vậy ta có 3 mục tiêu chính cần được xem xét là sự mất an toàn về mặt bảo mật, toàn vẹn và sẵn dùng. Các nguyên nhân dẫn đến các mất thông tin nêu trên sẽ được tính toán để phân chia thành cao, trung bình, thấp tùy theo mức độ ảnh hưởng đến con người, chức năng hệ thống, giá để khắc phục hậu quả của nó
Bảng 3.3 Định nghĩa mức độ ảnh hưởng các mối đe dọa Định nghĩa mức ảnh hưởng
Cao Hậu quả của mối đe dọa sẽ ảnh hưởng đến doanh nghiêp như
PHẠM CHÍ VỌNG 28
chi phí rất lớn cho việc khắc phục hậu quả; ảnh hưởng đến tính mạng con người; vi phạm nghiêm trọng, tổn hại hoặc làm cản trở nhiệm vụ hệ thống.
Trung bình
Hậu quả của mối đe dọa sẽ ảnh hưởng đến doanh nghiêp như chi phí lớn cho việc khắc phục hậu quả; ảnh hưởng đến tình trạng sức khỏe con người; vi phạm, tổn hại hoặc làm cản trở nhiệm vụ hệ thống.
Thấp
Hậu quả của mối đe dọa sẽ ảnh hưởng đến doanh nghiêp như làm mất thông tin, tài sản, tài nguyên hệ thống; ảnh hưởng đến chức năng hệ thống.
Đầu ra của bước 6 là mức độ ảnh hưởng các mối de dọa.
- Bước 7: nhận định các rủi ro: mục tiêu của bước này là nhận định cấp độ rủi ro cho hệ thống thông tin. Xác định cấp độ của rủi ro được thể hiện ở:
o Khả năng mà các nguồn đe dọa có thể xuất hiện trên các vùng dễ tổn thương của hệ thống.
o Tầm ảnh hưởng nếu mối đe dọa xuất hiện thành công trong hệ thống.
o Kế hoạch đầy đủ hoặc tồn tại của các điều khiển an ninh để giảm thiểu hoặc loại bỏ rủi ro.
Ma trận cấp độ rủi ro: nhận định cuối cùng của đánh giá rủi ro là việc tổng hợp các mức độ ở nhiều mặc về khả năng và ảnh hưởng của rủi ro. Một ma trận 3x3 sẽ thể hiện cho các cấp độ về khả năng và mức độ ảnh hưởng của rủi ro (cao, trung bình, thấp) dựa vào các nhận định về xác suất xuất hiện, khả năng và tầm ảnh hưởng của mối đe dọa:
Nhận định khả năng các mối đe dọa cao là 1.0, trung bình là 0.5, thấp là 0.1.
Nhận định mức độ ảnh hưởng của mối đe dọa ở các cấp độ 100 cho mức cao, 50 cho mức trung bình, 10 cho mức thấp.
PHẠM CHÍ VỌNG 29 Bảng 3.4 Các cấp độ rủi ro
Khả năng các đe dọa
ảnh hưởng các mối đe dọa
Thấp (10) Trung bình (50) Cao (100)
Cao (1.0) Thấp
10x1.0=10
Trung bình 50x1.0=50
Cao 100x1.0=100 Trung bình (0.5) Trung bình
50x0.5=25
Trung bình 50x0.5=25
Trung bình 100x0.5=50 Thấp (0.1) Thấp
100x0.1=10
Thấp 50x0.1=5
Thấp 100x0.1=10 Mô tả các cấp độ rủi ro:
Mô tả các cấp độ rủi ro được thể hiện bảng sau:
Bảng 3.5 Mô tả các cấp độ rủi ro
Mô tả rủi ro và các hoạt động cần thiết
Cao Nếu hệ thống có nhận định rủi ro đang ở mức cao, thì cần có ngay các biện pháp ngăn cản, giảm thiểu các rủi ro ngay lập tức.
Trung bình
Nếu hệ thống có nhận định rủi ro đang ở mức trung bình, thì cần thiết phải lên kế hoạch, các hành động giảm thiểu rủi ro trong một thời gian hợp lý.
Thấp Nếu hệ thống có nhận định rủi ro đang ở mức thấp, thì cần đánh giá chi phí cho việc giảm thiểu rủi ro, hoặc có thể chấp nhận các rủi ro.
Đầu ra của bước 7 là xác định cấp độ rủi ro có khả năng xuất hiện trong hệ thống.
- Bước 8: kiến nghị các chính sách điều khiển: khi đã nhận định được các rủi ro hệ thống, bước này sẽ đưa ra các điều khiển, chính sách để giảm thiểu hoặc loại bỏ các rủi ro. Mục tiêu của bước này là giảm thiểu cấp độ rủi ro.
Các nhân tố sau sẽ được xem xét để đưa ra các điều khiển và các điều chỉnh để giảm thiểu hoặc loại bỏ rủi ro:
o Hiệu quả của các đề xuất o Pháp luật và các quy định o Chính sách của doanh nghiệp o Ảnh hưởng hoạt động hệ thống o Độ an toàn và tin cậy