Professional Documents
Culture Documents
Handout AISe C3
Handout AISe C3
Nội dung
1
3
Thuật ngữ
Business continuity (BC) Đảm bảo hoạt động liên tục
Business continuity planning (BCP) Lập kế đảm bảo hoạt động liên tục
Business impact analysis (BIA) Phân tích tác động kinh doanh
CISO Giám đốc an toàn thông tin
Contingency Planning (CP) Kế hoạch dự phòng
Continuity Strategies Các chiến lược đảm bảo hoạt động liên
tục
Crisis Management Quản lý khủng hoảng
Disaster recovery (DR) Phục hồi sau thảm họa
Disaster recovery planning (DRP) Lập kế hoạch phục hồi sau thảm họa
Electronic security perimeter Vành đai an toàn điện tử
Enterprise information security Chính sách an toàn thông tin doanh
policies (EISP) nghiệp
Incident response (IR) Ứng phó sự cố
Thuật ngữ
Incident response planning (IRP) Lập kế hoạch ứng phó sự cố
Incident Response Policy Chính sách ứng phó sự cố
Information Security Governance Quản trị an toàn thông tin
Issue-specific security policies Chính sách an toàn đặc thù
(ISSP)
Maximum tolerable downtime Thời gian chết tối đa có thể chấp nhận
(MTD) được
Operational plans Kế hoạch hoạt động
Strategic planning Lập kế hoạch chiến lược
Physical security perimeter Vành đai an toàn vật lý
Recovery point objective (RPO) Mốc phục hồi dữ liệu
Recovery time objective (RTO) Mốc thời gian phục hồi
SETA Chương trình giáo dục, huấn luyện và nâng
cao nhận thức về an toàn
Strategic plans Kế hoạch chiến lược
Thuật ngữ
2
6
Nội dung
Giới thiệu
Từ chiến lược tổng quát (general strategy), đơn vị
tiến hành lập kế hoạch chiến lược (strategic
planning): đề ra phương hướng dài hạn mà đơn vị và
từng bộ phận cần thực hiện, tập trung nguồn lực
hướng đến các mục tiêu (goals)
3
9
1.1 Các cấp độ kế hoạch
Nhóm điều hành (CEO, COO, CFO, CIO, …) triển khai kế hoạch
chiến lược (strategic plans) cho mỗi cấp của mỗi bộ phận
chức năng thành các mục tiêu chiến thuật (tactical
objectives) có các thuộc tính:
phải đo lường được
Có mục tiêu cụ thể
Có thể đạt được
Có giới hạn thời hạn
Có thể đo lường được
Tạo ra các kế hoạch chiến thuật (tactical plans)
Các kế hoạch chiến thuật tiếp tục được sử dụng để phát triển
thành các kế hoạch hoạt động (operational plans) theo phương
thức quy định trách nhiệm cho từng cá nhân phụ trách
10
11
4
12
1.2 Lập kế hoạch và giám đốc an toàn thông tin
(CISO)
Ưu tiên đầu tiên của CISO và nhóm quản lý an toàn thông tin là
việc tạo ra một kế hoạch chiến lược (strategic plan) để hoàn
thành các mục tiêu an toàn thông tin của tổ chức.
Các kế hoạch chiến lược được hình thành ở các cấp cao nhất của
tổ chức được sử dụng để tạo ra một chiến lược tổng thể của
công ty (overall corporate strategy). Khi các cấp thấp hơn tham
gia, các kế hoạch từ các cấp cao hơn được phát triển thành kế
hoạch chi tiết hơn, cụ thể hơn. Kế hoạch chiến lược theo chức
năng (chẳng hạn như chiến lược tài chính, CNTT và hoạt động)
được chuyển thành kế hoạch chiến thuật (tactical planning) cho
các nhà quản lý giám sát và cuối cùng cung cấp định hướng cho
các kế hoạch hoạt động (operational plans) do các nhân viên cấp
tác nghiệp thực hiện
13
14
5
15
1.3 Quản trị an toàn thông tin (Information
Security Governance)
Quản trị an toàn thông tin áp dụng nguyên tắc: ban lãnh đạo
của nhóm an toàn thông tin giám sát và quản lý tất cả các cơ
cấu tổ chức và quy trình nhằm đảm bảo cho chức năng an
toàn thông tin
Theo Viện Quản trị Công nghệ Thông tin (ITGI), quản trị an
toàn thông tin bao gồm tất cả các trách nhiệm giải trình và
các phương pháp do hội đồng quản trị và ban quản lý điều
hành đảm nhận để cung cấp:
Định hướng chiến lược
Thiết lập các mục tiêu
Đo lường sự tiến bộ đối với các mục tiêu đó
Xác minh rằng các thực hành quản lý rủi ro là phù hợp
Xác nhận rằng tài sản của tổ chức được sử dụng đúng cách VD: máy tính của DN phục vụ cho hđ của DN, chứ ko phải để NV vô chơi game, lướt fb
--> DN có thể cài các cái tool để kiểm soát, hoặc dùng cookie để ghi nhớ các trang web đăng
nhập, hoặc quản trị viên cài đặt hệ thống khi NV đăng nhập vào fb.. thì bị vô hiệu.
16
17
19
Giới thiệu:
- Ban quản lý cần xây dựng các chính sách làm cơ sở cho tất cả các kế hoạch, thiết kế và triển
2. Chính sách, tiêu chuẩn và thực tiễn khai ATTT. Các chính sách cần:
+ Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ.
triển khai an toàn thông tin (VD: chính sách tạo tài khoản cho user, chọn cái pass phù hợp)
+ Không mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được
2.1 Chính sách làm nền tảng cho việc lập kế đặt trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
hoạch người dùng).
+ Không được mâu thuẫn với luật pháp.
2.2 Quản lý chính sách (VD: các chính sách của DN ko được mẫu thuẫn với luật bản quyền của VN)
+ Được quản lý thích hợp thông qua truyền thông và chấp nhận bằng văn bản.
- Các chính sách an toàn là biện pháp kiểm soát ít tốn kém nhất để thực thi ATTT, việc tạo ra
và phổ biến chính sách đòi hỏi thời gian và nổ lực của đội ngũ quản lý. Khi lựa chọn phương
án thuê tư vấn bên ngoài để giúp xây dựng chính sách, chi phí của chính sách an toàn vẫn thấp
nhất so với chi phí các kiểm soát kỹ thuật khác.
(VD: DN không có chính sách về cài mật khẩu, thì nhân viên sẽ đặt những poor password -->
hacker dễ đoán, dễ chiếm quyền truy cập.
Còn nếu DN xây dựng thì NV sẽ làm theo, ít tốn kém cho việc kiểm soát ATTT hơn
Nếu DN ko có phòng CNTT, không có chuyên gia thì DN có thể thuê ngoài để xây dựng
chính sách).
20
Các hướng Hướng dẫn: chỉ cho người dùng thực hiện
dẫn, thủ tục và VD: Đặt mk mạnh như thế nào, để dễ nhớ, dễ đăng nhập.
thực tiễn triển
khai giải thích Thủ tục: những hành động cụ thể (trình bày theo step by step)
một cách hiệu B1:...
quả cách thức B2:...
tuân thủ chính B3:...
sách. VD: làm sao để thay đổi password định kỳ ??
B1: login vào mail
B2: chọn đổi mật khẩu
B3: gõ mật khẩu mới
B4: confirm (xác nhận)
22
23
- Truyền đạt - Dissemination (distribution): Chính sách đã được công bố cần có tính sẵn sàng
cho nhân viên tìm hiểu, xem xét, các kênh truyền thông phổ biến bao gồm in ra bản cứng và
2.1 Chính sách làm nền tảng cho việc lập truyền thông bản điện tử.
kế hoạch (VD: Chính sách strong password, mà DN chỉ thể hiện bằng văn bản và chỉ lưu ở bộ phận
CNTT, nó đồng nghĩa với chỉ 1 số người trong bộ phận biết --> chính sách này thiếu truyền
Chính sách phải đáp ứng các tiêu chí sau: đạt. Vì vậy, chính sách này phải được truyền đạt đến nhân viên, thông qua email).
Truyền đạt - Dissemination (distribution)
Dễ sử dụng - Review (reading) - Dễ sử dụng - Review (reading): Tài liệu phổ biến chính sách ở dạng dễ sử dụng, bao gồm các
Dễ hiểu - Comprehension (understanding) phiên bản dành cho nhân viên khiếm thị, không thể đọc tiếng anh. Các kỹ thuật phổ biến là
Tuân thủ - Compliance (agreement) trình bày chính sách bằng tiếng anh và các ngôn ngữ khác.
Thực thi thống nhất - Uniform enforcement (fairness in
application)
- Dễ hiểu - Comprehension (understanding): Nhân viên có thể hiểu rõ các yêu cầu và nội dung
của chính sách. Các kỹ thuật phổ biến bao gồm các bài kiểm tra TN nhanh và các dạng thức
đánh giá khác.
(VD: thuật ngữ trong chính sách phải được sử dụng một cách dễ hiểu)
- Tuân thủ - Compliance (agreement): Nhân viên đồng ý tuân thủ chính sách thông qua hành
động hoặc khẳng định cam kết.
8
- Thực thi thống nhất - Uniform enforcement (fairness in application): Chính sách được thực
thi một cách thống nhất, bất kể tình trạng hoặc nhiệm vụ của nhân viên.
24
2.1.1 Chính sách an toàn thông tin doanh
nghiệp (EISP)
EISP được điều chỉnh khi có sự thay đổi trong định
hướng chiến lược của tổ chức
EISP xác định mục đích, phạm vi, các ràng buộc và khả
năng áp dụng của chương trình an ninh
EISP phân công trách nhiệm đối với các lĩnh vực an toàn
khác nhau, bao gồm quản trị hệ thống, duy trì các chính
sách an toàn thông tin, thực hành và trách nhiệm của
người dùng
EISP giải quyết vấn đề tuân thủ pháp luật
25
26
9
27
2.1.2 Chính sách an toàn đặc thù (ISSP)
ISSP đề cập đến quan điểm của tổ chức về các lĩnh vực
công nghệ, được cập nhật thường xuyên về các nội
dung:
E-mail / Sử dụng Internet và World Wide Web
Cấu hình máy tính tối thiểu để chống lại sâu và vi rút
Các lệnh cấm đối với việc hack / kiểm tra các biện pháp
kiểm soát an toàn của tổ chức
Sử dụng các thiết bị máy tính của tổ chức tại nhà
Sử dụng thiết bị cá nhân kết nối hệ thống mạng công ty
Sử dụng các công nghệ viễn thông, chẳng hạn như fax và
điện thoại; Sử dụng thiết bị photocopy
Sử dụng các thiết bị lưu trữ di động như thẻ nhớ USB, máy
chơi game, máy nghe nhạc và bất kỳ thiết bị nào khác có
khả năng lưu trữ các tệp kỹ thuật số
Sử dụng các dịch vụ lưu trữ dựa trên đám mây không do
tổ chức tự lưu trữ hoặc được ký kết theo hợp đồng
(Google Drive, Dropbox, Microsoft Live, …)
28
29
Chính sách cần được truyền đạt, đọc hiểu, xác nhận đồng ý, - Lịch trình đánh giá: Một lịch trình đánh giá được tổ chức hợp lý cần được xác định, công
áp dụng và quản lý một cách thống nhất bố, và nên được xem xét lại tối thiểu hàng năm để đảm bảo chính sách không được duy trì, cập
Để duy trì tính khả thi, các chính sách an toàn cần có: nhật theo hiện hành có thể trở thành trách nhiệm pháp lý do các quy tắc lỗi thời được thực thi
Quản trị viên chính sách và các yêu cầu mới bị bỏ qua.
Lịch trình đánh giá
Xem xét, đánh giá lại quy trình và thủ tục
- Xem xét, đánh giá lại quy trình và thủ tục: Để tạo điều kiện thuận lợi cho việc rà soát chính
sách, cần tạo cơ chế qua đó mọi người có thể thoải mái đưa ra các đề xuất sửa đổi (qua email,
Ngày ban hành và ngày sửa đổi chính sách
thư văn phòng hoặc ẩn danh). Nếu chính sách này gây tranh cãi, việc gửi các khuyến nghị ẩn
Quản lý chính sách tự động (đọc thêm)
danh có thể là cách tốt nhất để khuyến khích ý kiến của nhân viên. Khi chính sách đã được đưa
ra để xem xét, tất cả các ý kiến cần được kiểm tra và việc thực hiện các cải tiến cần được cấp
quản lý phê duyệt.
- Ngày ban hành và ngày sửa đổi chính sách: Chính sách vần có ngày công bố và ngày của
bản cập nhật tiếp theo. Nếu không phải là chính sách áp dụng vĩnh viễn, cần có điều khoản
ngừng hoạt động cho biết ngày hết hạn của chính sách đó.
Nội dung
32
11
33
3. Bảng kế hoạch chi tiết về an toàn thông tin
Giới thiệu
Sau khi đã phát triển tiêu chuẩn và thực tiễn triển khai an toàn
thông tin, tổ chức bắt đầu phát triển bảng kế hoạch chi tiết về
an toàn thông tin.
Nhóm an toàn thông tin tiến hành kiểm kê các tài sản thông
tin của tổ chức đánh giá và sắp xếp mức độ ưu tiên các
nguy cơ đối với các tài sản đó (đánh giá rủi ro thông qua các
phân tích định lượng hoặc định tính, nghiên cứu tính khả thi
và phân tích chi phí - lợi ích để xác định mức độ bảo vệ hiện
tại của từng tài sản) để ra quyết định có thực hiện biện pháp
kiểm soát hay không
34
35
37
38
13
39
3.1 Thiết kế kiến trúc an toàn (Design of Security)
Lĩnh vực bảo mật, được thể hiện trong Hình 4-8, là nền
tảng của khuôn mẫu an toàn, minh họa cách thức thông
tin bị tấn công từ nhiều nguồn khác nhau. Phạm vi bên
trái của Hình 4-8 minh họa các cách người dùng truy cập
thông tin. Ví dụ, mọi người đọc bản cứng của tài liệu và
truy cập thông tin thông qua hệ thống. Thông tin, là tài
sản quan trọng nhất trong mô hình này, nằm ở trung
tâm của khối cầu. Thông tin luôn có nguy cơ bị tấn công
bất cứ khi nào con người hoặc hệ thống máy tính có thể
truy cập được. Mạng và Internet là những mối đe dọa
gián tiếp, ví dụ như thực tế là một người cố gắng truy
cập thông tin từ Internet phải đi qua các mạng cục bộ.
40
41
14
42
3.2 Cấp độ kiểm soát
Các biện pháp bảo vệ an toàn thông tin cung cấp ba
cấp độ kiểm soát: quản lý, vận hành, và kỹ thuật: - Các biện pháp kiểm soát quản lý: Các biện pháp bảo vệ ATTT tập trung vào việc lập kế
hoạch hành chính, tổ chức, lãnh đạo và kiểm soát; được thiết kế bởi các nhà hoạch định chiến
Các biện pháp kiểm soát quản lý lược và được thực hiện bởi tổ chức quản lý an toàn của đơn vị. Các biện pháp bảo vệ này bao
Các biện pháp kiểm soát hoạt động gồm: quản trị và quản lý rủi ro.
Các biện pháp kiểm soát kỹ thuật - Các biện pháp kiểm soát hoạt động: Các biện pháp bảo vện ATTT tập trung vào việc lập
kế hoạch cấp thấp hơn, nhằm giải quyết chức năng an toàn của đơn vị. Các biện pháp bảo vệ
này bao gồm: lập kế hoạch phục hồi sau thảm họa và ứng phó sự cố.
- Các biện pháp kiểm soát kỹ thuật: Các biện pháp bảo vện ATTT tập trung vào việc áp
dụng các công nghệ, hệ thống và quy trình hiện đại để bảo vệ TS thông tin. Các biện pháp bảo
vệ này bao gồm: tường lửa, mạng riêng ảo và IDPSs.
43
44
46
Nội dung
47
16
48
4 SETA
Giới thiệu
• Khi tổ chức đã xác định các chính sách hướng dẫn chương
trình an toàn và chọn mô hình an toàn tổng thể bằng cách
tạo / điều chỉnh bảng kế hoạch chi tiết tương ứng triển
khai chương trình giáo dục, huấn luyện và nâng cao nhận
thức về an toàn (security education, training, and
awareness - SETA). SETA do CISO phụ trách và là một biện
pháp kiểm soát được thiết kế để giảm các sự cố do nhân
viên vô tình vi phạm an ninh. Lỗi của nhân viên là một
trong những mối đe dọa hàng đầu đối với tài sản thông tin,
do đó, phát triển chương trình SETA để chống lại mối đe
dọa này là cần thiết. SETA được thiết kế để bổ sung cho các
chương trình giáo dục và huấn luyện chung mà nhiều tổ
chức sử dụng để huấn luyện nhân viên về an toàn thông tin
49
4 SETA
Giới thiệu
Chương trình SETA bao gồm ba yếu tố: giáo dục an toàn, huấn
luyện an toàn và nâng cao nhận thức về an toàn. Một tổ chức
có thể không có khả năng hoặc sẵn sàng đảm nhận cả ba yếu
tố này và nó có thể dung dịch vụ thuê ngoài (outsource) như
các cơ sở giáo dục địa phương. Mục đích của SETA là tăng
cường an toàn bằng cách thực hiện những điều sau:
Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ VD: Nâng cao nhận thức của NV nếu nv đặt poor password sẽ xảy ra những điều gì
thống
Phát triển kỹ năng và kiến thức để người dùng máy tính có thể
VD: chỉ cho nv các skill, tip nhỏ khi đổi password (đổi pass theo tháng hoặc theo quý, đang tháng
thực hiện công việc của họ một cách an toàn hơn
nào thì sử dụng tháng đó làm password)
Xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển
khai hoặc vận hành các chương trình an toàn cho các tổ chức và
hệ thống VD: tạo những buổi training cho NV
50
4 SETA
Giới thiệu nhận thức
cái gì
mức độ cung cấp thông tin VD: Lập Chương trình SETA cho chính sách strong password
mục tiêu
Nhận thức:
What: nhận thức về strong password, poor password là gì?
phương tiện giảng dạy
bản tin
17
51
4.1 Giáo dục an toàn
Mọi người trong tổ chức cần được huấn luyện và nâng cao nhận thức
về an toàn thông tin, nhưng không phải ai cũng cần có bằng cấp
hoặc chứng chỉ chính thức về an toàn thông tin
Khi ban giám đốc đồng ý rằng áp dụng giáo dục chính thức là phù
hợp, nhân viên có thể tìm hiểu các khóa học về giáo dục thường
xuyên từ các cơ sở giáo dục đại học tại địa phương. Các trường đại
học trên thế giới đã có các khóa học chính thức về an toàn thông tin
(Bộ môn Hệ thống thông tin kế toán-Khoa Kế toán-UEH tiên phong
giảng dạy ở Việt Nam).
Đối với những người quan tâm đến việc nghiên cứu các chương trình
an toàn thông tin chính thức, có các tài nguyên hạn như chương
trình National Centers of Academic Excellence (xem
www.iad.gov/NIETP/index.cfm). Chương trình này xác định các
trường đại học cung cấp các môn học về an toàn thông tin và quan
điểm tích hợp về an toàn thông tin trong tổ chức. Các tài nguyên địa
phương khác cũng có thể cung cấp thông tin về giáo dục an toàn,
chẳng hạn như Trung tâm Giáo dục An ninh Thông tin của Bang
Kennesaw (http://infosec.kennesaw.edu)
52
53
18
54
4.3 Nhận thức về an toàn
Các chương trình nâng cao nhận thức không cần phải phức
tạp hoặc tốn kém chi phí (bản tin, áp phích tuyên truyền an
toàn thông tin, video, bảng thông báo, tờ rơi, khẩu hiệu an
ninh in trên miếng lót chuột, cốc cà phê, áo phông, bút
hoặc bất kỳ đồ vật nào thường xuyên được sử dụng trong
ngày làm việc để nhắc nhở nhân viên về an toàn)
Bản tin an toàn là phương pháp tiết kiệm chi phí nhất để
phổ biến thông tin cho nhân viên, được phân phối qua bản
cứng, e-mail hoặc mạng nội bộ. Các chủ đề bao gồm: các
mối đe dọa mới đối với tài sản thông tin của tổ chức, lịch
trình cho các lớp bảo mật sắp tới và việc bổ sung nhân viên
an toàn mới. Mục đích là giữ ý tưởng về an toàn thông tin
trong tâm trí người dùng và kích thích người dùng quan
tâm đến an toàn
55
Nội dung
56
58
59
61
62
64
65
67
68
23
69
5.1 Chính sách kế hoạch dự phòng (Chính sách CP)
Chính sách CP bao gồm các phần sau:
Giới thiệu về quan điểm triết lý của nhà quản trị cấp cao, giải
thích tầm quan trọng của việc lập kế hoạch dự phòng đối với
các hoạt động chiến lược, dài hạn của tổ chức
Trình bày phạm vi và mục đích của các hoạt động CP (yêu cầu
bao gồm tất cả các chức năng và hoạt động kinh doanh quan
trọng)
Yêu cầu CPMT đánh giá rủi ro định kỳ và phân tích tác động
kinh doanh để xác định và ưu tiên các chức năng kinh doanh
quan trọng
Đặc tả về các thành phần chính của CP sẽ được CPMT thiết kế
Kêu gọi và hướng dẫn lựa chọn các phương án khôi phục và
chiến lược bền vững
Yêu cầu kiểm tra các kế hoạch khác nhau thường xuyên
70
71
24
72
5.2 Phân tích tác động kinh doanh (BIA)
Sau khi xây dựng chính sách CP, giai đoạn tiếp theo trong việc phát
triển quy trình lập kế hoạch dự phòng là phân tích tác động kinh
doanh (BIA). BIA là hoạt động chuẩn bị chung cho cả CP và quản lý
rủi ro, giúp xác định chức năng kinh doanh và hệ thống thông tin
nào là quan trọng nhất đối với sự thành công của tổ chức
BIA giả định các biện pháp kiểm soát đã bị bỏ qua/không thành
công/không hiệu quả; giả định cuộc tấn công đã thành công. Bằng
cách giả định điều tồi tệ nhất đã xảy ra và sau đó đánh giá điều đó
sẽ ảnh hưởng như thế nào đến tổ chức, các nhà lập kế hoạch có
được cái nhìn sâu sắc về cách ứng phó với sự kiện bất lợi, giảm thiểu
thiệt hại, phục hồi sau các tác động và trở lại hoạt động bình thường
Theo NIST SP 800-34, Rev. 1, CPMT tiến hành BIA trong ba giai đoạn:
Xác định sứ mệnh / quy trình kinh doanh và mức độ quan trọng của
việc phục hồi
Xác định các yêu cầu về nguồn lực
Xác định các ưu tiên phục hồi cho tài nguyên hệ thống
73
74
76
77
26
78
5.2.2 Xác định các yêu cầu về nguồn lực
Tổ chức cần xác định nguồn lực nào cần thiết để khôi
phục các quy trình và tài sản có liên quan sau khi đã tạo
ra danh sách ưu tiên cho các sứ mệnh và quy trình kinh
doanh của mình. Việc hỗ trợ dữ liệu khách hàng, dữ liệu
sản xuất và thông tin tổ chức đòi hỏi phải xử lý, lưu trữ
và truyền tải thông tin với số lượng lớn (thông qua
mạng). Một số quy trình sản xuất kinh doanh đòi hỏi các
thành phần phức tạp hoặc tốn kém để vận hành. Tổ chức
cần xác định và mô tả các nguồn lực liên quan cần thiết
để cung cấp hoặc hỗ trợ cho mỗi quá trình và tài sản
thông tin được xác định trong giai đoạn BIA
79
80
27
81
5.3 Lập kế hoạch ứng phó sự cố (Kế hoạch IR)
Lập kế hoạch ứng phó sự cố (Incident response planning) bao gồm
việc xác định, phân loại sự cố và ứng phó với nó. Kế hoạch IR được
tạo thành từ các hoạt động mà các hoạt động này phải được thực
hiện khi một sự cố đã được xác định. Nếu một hành động đe dọa
thông tin xảy ra và được hoàn thành, nó được phân loại là một sự
cố.
Kế hoạch IR tập trung vào việc phát hiện và khắc phục ảnh hưởng
của sự cố đối với tài sản thông tin. IR mang tính phản ứng/đối phó
hơn là chủ động phòng ngừa, ngoại trừ việc lập kế hoạch phải thực
hiện để chuẩn bị cho các nhóm ứng phó sự cố an ninh máy tính
(Computer Security Incident Response Teams - CSIRTs) để phản ứng
với một sự cố. Trong khi nhóm lập kế hoạch IR phát triển các kế
hoạch để ứng phó với một sự cố, CSIRT sẽ thực hiện các kế hoạch
đó, phản ứng với các sự cố trong thế giới thực hàng ngày
IR bao gồm bốn giai đoạn sau: Lập kế hoạch Phát hiện Phản
ứng Phục hồi
82
83
28
84
5.3.3 Bản kế hoạch ứng phó sự cố (Incident
Response Plan)
Hình thức và nội dung: Kế hoạch IR cần hỗ trợ truy cập thông tin
được yêu cầu một cách nhanh chóng và dễ dàng. Biện pháp đơn
giản nhất là tạo một thư mục các sự cố. Để ứng phó với một sự
cố, người ứng cứu chỉ cần mở bìa, lật đến phần thích hợp và làm
theo các quy trình được vạch ra rõ ràng cho một vai trò được
giao. Điều này có nghĩa là các nhà lập kế hoạch phải phát triển
các thủ tục chi tiết cần thiết để hướng dẫn ứng phó với mỗi sự cố
(bao gồm các hành động cần thực hiện trước/trong/sau khi xảy
ra sự cố)
Lưu trữ: Thông tin trong kế hoạch IR là thông tin nhạy cảm và cần
được bảo vệ. Nếu những kẻ tấn công tìm hiểu cách một công ty
phản ứng với một sự cố cụ thể, họ có thể cải thiện cơ hội thành
công
Những người có trách nhiệm ứng phó sự cố cần được cung cấp
các tài liệu để ứng phó khi có sự cố xảy ra
85
86
29
87
5.3.4 Phát hiện sự cố (Incident Detection)
Năm loại sự kiện sau đây là những dấu hiệu xác định về
sự cố (các hoạt động báo hiệu rõ ràng một sự cố đang
diễn ra hoặc đã xảy ra):
Sử dụng tài khoản không hoạt động
Thay đổi nhật ký hệ thống
Sự hiện diện của các công cụ hacker
Thông báo của đối tác hoặc đồng nghiệp
Thông báo của hacker
Một số tình huống khác là dấu hiệu xác định về sự cố:
Mất tính khả dụng
Mất tính toàn vẹn
Mất tính bảo mật
Vi phạm chính sách/pháp luật
88
89
91
92
31
93
5.4 Lập kế hoạch phục hồi sau thảm họa
Một sự kiện có thể được phân loại là một thảm họa khi một tổ
chức không thể giảm thiểu tác động của sự cố đó trong khi nó
đang xảy ra và mức độ thiệt hại nghiêm trọng đến mức tổ chức
không thể phục hồi nhanh chóng. Thông thường, một sự kiện
ban đầu được phân loại là một sự cố sau đó có thể được xác định
là một thảm họa. Khi điều này xảy ra, tổ chức phải thay đổi phản
ứng và đảm bảo bảo toàn giá trị các tài sản có giá trị nhất của
mình trong dài hạn Lập kế hoạch phục hồi sau thảm họa
(Disaster Recovery Planning - Kế hoạch DR)
Kế hoạch DR là quá trình chuẩn bị cho một tổ chức xử lý thảm
họa và phục hồi sau thảm họa (thảm họa do tự nhiên / con
người). Điểm nhấn chính của kế hoạch DR là thiết lập lại hoạt
động tại vị trí site (địa điểm tổ chức thực hiện hoạt động kinh
doanh của mình) chính. Mục tiêu của kế hoạch là làm cho mọi
thứ trở nên toàn vẹn hoặc như trước khi thảm họa xảy ra
94
95
32
96
5.4.2 Hoạt động phục hồi (Recovery Operations)
Các phản ứng đối với mỗi thảm họa có thể khác nhau
nên mỗi tổ chức cần xem xét các tình huống được phát
triển khi bắt đầu lập kế hoạch dự phòng và xác định cách
ứng phó.
Nếu các cơ sở vật chất được giải thoát sau thảm họa, đội
ứng phó phục hồi sau thảm họa nên bắt đầu khôi phục
hệ thống và dữ liệu để thiết lập lại khả năng hoạt động
đầy đủ. Nếu cơ sở vật chất của tổ chức không còn tồn
tại, các hành động thay thế phải được thực hiện cho đến
khi có được cơ sở vật chất mới. Khi một thảm họa đe dọa
khả năng tồn tại của tổ chức tại site chính, quá trình
phục hồi sau thảm họa cần chuyển sang quá trình lập kế
hoạch đảm bảo hoạt động liên tục trong kinh doanh
97
5.5 Kế hoạch đảm bảo hoạt động liên tục trong kinh
doanh (Business Continuity Planning – Kế hoạch BC)
Kế hoạch BC chuẩn bị cho tổ chức để thiết lập lại / di dời
các hoạt động kinh doanh quan trọng bị ảnh hưởng trong
thời gian xảy ra thảm họa đến hoạt động tại site chính. Nếu
một thảm họa đã khiến vị trí hiện tại không thể sử dụng
được, thì phải có kế hoạch cho phép doanh nghiệp tiếp tục
hoạt động. Không phải mọi doanh nghiệp đều cần một kế
hoạch/phương tiện như vậy. Các công ty nhỏ hoặc các tổ
chức vững chắc về mặt tài chính có thể có khả năng ngừng
hoạt động cho đến khi cơ sở vật chất có thể được khôi
phục. Các tổ chức sản xuất và bán lẻ có thể không có tùy
chọn này vì họ phụ thuộc vào thương mại theo thời gian
thực và có thể không thể chuyển địa điểm hoạt động
98
100
101
103
104
106
107
109
110
112
113
115
Bài tập
Câu hỏi ôn tập (review questions)
9, 11, 12, 13, 14, 15, 18, 19
Bài tập (exercises)
2, 5
116
39