Professional Documents
Culture Documents
QUẢN LÝ
RỦI RO
1
Tình huống
2
Tình huống
• Kế giải thích, “Chúng tôi đã từng nghĩ như vậy, nhưng chúng
tôi nhận ra rằng an toàn thông tin là quản lý rủi ro khi sử
dụng thông tin, liên quan đến hầu hết mọi người trong công
ty. Để làm cho hệ thống của chúng ta an toàn hơn, chúng ta
cần sự tham gia của đại diện từ tất cả các bộ phận”.
• “Tôi hy vọng mọi người sẽ đọc các gói tin mà tôi đã gửi vào
tuần trước, mô tả các yêu cầu pháp lý mà chúng ta phải đối
mặt trong ngành của mình và các bài viết về các mối đe dọa
và tấn công. Hôm nay, chúng ta sẽ bắt đầu quá trình xác
định và phân loại tất cả các rủi ro về CNTT mà tổ chức của
chúng ta phải đối mặt. Điều này bao gồm mọi thứ, từ hỏa
hoạn và lũ lụt có thể làm gián đoạn hoạt động kinh doanh
của chúng ta cho đến những tin tặc có thể cố gắng lấy cắp
hoặc phá hủy dữ liệu của chúng ta.
3
Tình huống
• Khi chúng ta xác định và phân loại các rủi ro mà tài sản
của mình phải đối mặt, chúng ta có thể thảo luận về
cách giảm thiểu hoặc loại bỏ những rủi ro này bằng cách
thiết lập các biện pháp kiểm soát. Việc lựa chọn áp dụng
thủ tục kiểm soát nào sẽ phụ thuộc vào chi phí và lợi ích
của mỗi thủ tục kiểm soát”
• "Chà, Kế!" Amy Windahl nói từ phía sau phòng. “Tôi
chắc chắn rằng chúng ta cần phải làm điều đó - tôi đã bị
tấn công lần trước, cũng như mọi người ở đây - nhưng
chúng ta có hàng tá hệ thống.”
4
Tình huống
5
Tình huống
Khi Kế kết thúc cuộc họp, anh ấy đã tóm tắt một vài lời điểm
chính cho mọi người tham gia vào dự án xác định các tài
sản thông tin của doanh nghiệp.
• “Được rồi, mọi người, trước khi chúng ta kết thúc, xin
hãy nhớ rằng bạn nên cố gắng hoàn thành danh sách tài
sản thông tin của mình, nhưng hãy nhớ tập trung sự chú
ý của bạn vào những tài sản có giá trị lớn trước. Ngoài
ra, hãy nhớ rằng chúng ta đánh giá tài sản của mình dựa
trên tác động kinh doanh đến lợi nhuận trước tiên, sau đó
là chi phí kinh tế của việc thay thế. Hãy gửi cho tôi các
câu hỏi nếu phát sinh trong quá trình xác định danh mục
tài sản của bạn. Chúng ta sẽ lên lịch cho cuộc họp tiếp
theo, sau hai tuần, vì vậy vui lòng chuẩn bị sẵn bản thảo
danh sách tài sản của bạn”
6
• Hiểu khái niệm quản lý rủi ro và tầm
quan trọng của quản lý rủi ro
• Có thể giải thích khuôn mẫu quản lý rủi
ro
• Hiểu khái niệm mức độ chấp nhận rủi ro
(risk appetite) và mối quan hệ của nó với
rủi ro còn lại
• Có khả năng xác định và lập tài liệu về
Mục tiêu rủi ro
• Hiểu về cách thức đánh giá rủi ro
• Hiểu các phương án chiến lược giảm rủi
ro
• Hiểu các khuôn mẫu đánh giá kiểm soát
rủi ro và phân tích lợi ích - chi phí
• Có khả năng so sánh giữa các phương
pháp quản lý rủi ro
7
1. Giới thiệu
2. Khuôn mẫu quản lý rủi ro
3. Quy trình quản lý rủi ro
8
Nội dung 4.
5.
Phản ứng với rủi ro
Phân tích tính khả thi và lợi
ích – chi phí
6. Các phương pháp quản lý
rủi ro khác
Thuật ngữ 9
Acceptance risk control strategy Chiến lược kiểm soát: chấp nhận rủi ro
Annualized cost of a safeguard - ACS Chi phí thường niên của biện pháp bảo vệ
Annualized loss expectancy - ALE Dự báo tổn thất hàng năm
Annualized rate of occurrence - ARO Tỷ lệ xuất hiện hàng năm
Attack Success Probability Tỷ lệ thành công của cuộc tấn công
Asset valuation Xác định giá trị tài sản
Asset value Giá trị của tài sản
Thuật ngữ
Asset exposure Mức độ tổn thất
Avoidance of competitive Tránh bất lợi cạnh tranh
disadvantage
Competitive advantage Lợi thế cạnh tranh
Cost-Benefit Analysis (CBA) Phân tích lợi ích – chi phí
Baselining Xác định đường cơ sở
Benchmarking Xác định chuẩn so sánh
Behavioral feasibility Khả thi về hành vi
Best practices Phương pháp thực hành tốt
nhất
Data classification scheme Sơ đồ phân loại dữ liệu
Defense risk control strategy Chiến lược phòng thủ trong
kiểm soát rủi ro 10
Thuật ngữ
Exposure Factor Tỷ lệ thiệt hại kỳ vọng
Likelihood Xác suất xảy ra
Loss Frequency Tần suất tổn thất
Loss Magnitude Mức độ tổn thất
Metrics-based measures Thước do dựa trên số liệu
Chiến lược kiểm soát: giảm
Mitigation risk control strategy
thiểu rủi ro
Operational Feasibility Khả thi hoạt động
Organizational Feasibility Khả thi tổ chức
Performance gap Khoảng trống kết quả
Political feasibility Khả thi chính trị
11
Thuật ngữ
Probable Loss Tổn thất có thể xảy ra
Process-based measures Đo lường dựa trên quy trình
Quantitative assessment Đánh giá định lượng
Qualitative assessment Đánh giá định tính
Residual risk Rủi ro còn lại
Risk appetite Mức độ chấp nhận rủi ro
Risk assessment Đánh giá rủi ro
Risk control Kiểm soát rủi ro
Risk identification Xác định rủi ro
Risk management Quản lý rủi ro
Risk tolerance Khả năng chịu đựng rủi ro
12
Thuật ngữ
Security clearance Phân quyền an ninh
Single loss expectancy - SLE Dự báo tổn thất đơn lẻ
Technical feasibility Khả thi kỹ thuật
Termination risk control strategy Chiến lược kiểm soát: hủy bỏ rủi
ro
Threat Nguy cơ
Threat assessment Đánh giá nguy cơ
Threats-vulnerabilities-assets Bộ ba nguy cơ – điểm yếu tiềm ẩn
(TVA) triples – tài sản
Threats-vulnerabilities-assets Bảng nguy cơ – điểm yếu tiềm ẩn
(TVA) worksheet – tài sản
Chiến lược kiểm soát: chuyển
Transference risk control strategy
giao rủi ro
Vulnerability Điểm yếu tiềm ẩn 13
Định nghĩa quản lý rủi ro
14
Nghệ thuật quản lý rủi ro và Sun Tzu
17
2. Khuôn mẫu quản lý rủi ro
Risk Management Framework
18
Quản lý rủi ro liên quan đến việc khám phá
các câu trả lời cho nhưng câu hỏi về rủi ro
gắn liền với từng tài sản thông tin
Xác định Có những rủi ro nào và nguồn gốc của chúng?
rủi ro
20
Khuôn mẫu và quy trình quản lý rủi ro
21
Khuôn mẫu và quy trình quản lý rủi ro
• Khuôn mẫu QLRR là cấu trúc tổng thể của việc lập kế
hoạch và thiết kế chiến lược cho toàn bộ các nỗ lực
quản lý rủi ro của tổ chức.
• Quy trình QLRR là việc thực hiện quản lý rủi ro theo
khuôn mẫu QLRR.
• Khuôn mẫu QLRR (lập kế hoạch) hướng dẫn quy trình
QLRR (thực hiện), tiến hành các quy trình đánh giá và
khắc phục rủi ro.
22
Vai trò của các bên có lợi ích liên quan
1. Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các ?
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành ?.
2. Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, ? và các nguồn lực khác cho
các nhóm an toàn thông tin và CNTT để đáp ứng nhu cầu bảo
mật.
3. Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
4. Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý
23
trong quá trình quản lý rủi ro.
Vai trò của các bên có lợi ích liên quan
Phải làm việc cùng nhau để giải quyết tất cả các mức độ rủi
ro. Chịu trách nhiệm về:
• Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
• Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả
về mặt chi phí
• Thực hiện hoặc cài đặt các thủ tục kiểm soát cần thiết
• Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
24
Chính sách quản lý rủi ro (RM policy)
• Chính sách này chuyển đổi các hướng dẫn và quan điểm
được các nhà quản trị cung cấp cho nhóm thực hiện
khuôn mẫu QLRR thành hướng dẫn gắn kết cấu trúc và
chỉ đạo tất cả các nỗ lực quản lý rủi ro tiếp theo trong tổ
chức.
• Chính sách QLRR, giống như chính sách bảo mật thông
tin doanh nghiệp (?), là một tài liệu chiến lược chính thức
hóa phần lớn ý định của nhà quản trị.
25
Chính sách quản lý rủi ro (RM policy)
27
Mức độ chấp nhận rủi ro & khẩu vị rủi ro
Risk Tolerance and Risk Appetite
• Mức độ chấp nhận rủi ro: số lượng và bản chất của rủi ro
mà tổ chức sẵn sàng chấp nhận khi họ đánh giá sự đánh
đổi giữa bảo mật hoàn hảo và khả năng truy cập không
giới hạn.
• Rủi ro còn lại: rủi ro đối với tài sản thông tin vẫn còn tồn
tại sau khi các biện pháp kiểm soát đã được áp dụng.
• Mức độ chấp nhận rủi ro (ngưỡng rủi ro): việc đánh giá
mức độ rủi ro mà một tổ chức sẵn sàng chấp nhận đối
với một tài sản thông tin cụ thể.
• Mục tiêu của bảo mật thông tin là giảm rủi ro còn lại phù
hợp với khẩu vị rủi ro.
28
Triển khai khuôn mẫu quản trị rủi ro
29
Theo dõi và đánh giá khuôn mẫu quản trị rủi ro
• Sau khi triển khai khuôn mẫu và khi nỗ lực vẫn hành
khuôn mẫu QLRR được tiếp tục, tổ chức cần tiếp tục
giám sát việc thực hiện quy trình QLRR đồng thời xem
xét sự tiện ích và thành công tương đối của chức năng
lập kế hoạch khuôn mẫu QLRR.
• Sau khi quy trình QLRR được triển khai và vận hành, tổ
chức nên quan tâm chủ yếu đến việc giám sát và xem
xét toàn bộ chu trình quy trình QLRR.
30
1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
3. Quy trình quản lý rủi
31
Nội dung ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
3. Quy trình quản lý rủi ro
32
3.1. Chuẩn bị quy trình QLRR
—Thiết lập bối cảnh
• Nhóm thiết lập khuôn mẫu QLRR và có thể là đại diện
quản trị cung cấp hướng dẫn điều hành cho công việc
được thực hiện bởi nhóm quy trình QLRR và để đảm
bảo rằng các nỗ lực của nhóm phù hợp với mục đích
quản lý theo chính sách QLRR.
• Sự hiểu biết về môi trường bên ngoài và bên trong tổ
chức cần được xem xét trong quy trình quản lý rủi ro.
33
Chuẩn bị quy trình QLRR —Thiết lập bối cảnh
34
3.2. Đánh giá rủi ro: Xác định
rủi ro
•Xác định và phân loại tài sản thông tin của tổ chức
•Sắp xếp ưu tiên tài sản thông tin theo tầm quan trọng
tổng thể của chúng
•Đánh giá nguy cơ
•Bảng TVA
35
Xác định tài sản thông tin của tổ chức
36
Phân loại tài sản
Tài sản
Tài sản
(1) Thủ tục không tiết lộ kiến thức mà kẻ tấn công tiềm
năng có thể thấy hữu ích
(2) Thủ tục nhạy cảm có thể cho phép đối thủ giành lợi thế
hoặc tạo ra một cuộc tấn công nhằm vào tài sản của tổ
chức
-> Các thủ tục này có thể gây rủi ro cho tổ chức nếu chúng
bị tiết lộ cho những người không có thẩm quyền
38
Phân loại tài sản
Tài sản
39
Phân loại tài sản
Tài sản
Tài sản
Thành
Thành Thành
Con phần
Thủ tục phần dữ phần phần
người phần
liệu mềm
cứng
42
Yêu cầu phân nhóm
43
Phân nhóm và quản lý dữ liệu
Định kỳ (năm), tổ chức phải xem xét các phân nhóm thông
tin để đảm bảo rằng thông tin vẫn được phân nhóm chính
xác và có các biện pháp kiểm soát truy cập thích hợp.
NSI Non_NSI UK
Tuyệt mật Dữ liệu nhạy Mật
(Top Secret) cảm - SBU (Confidential)
(Sensitive but
Unclassified Hạn chế
Bí mật
data) (Restricted) –
(Secret)
SBU
Dữ liệu không
Mật nhạy cảm Không phân
(Unclassified loại
(Confidential) (Unclassified) 45
data)
Phân quyền an ninh
• Tương ứng với sơ đồ phân loại dữ liệu là cấu trúc
phân quyền an ninh nhân sự.
• Phân quyền an ninh (security clearance):
• Một cấu trúc an ninh nhân sự mà mỗi người sử
dụng một tài sản thông tin được chỉ định một cấp
độ phân quyền
• Xác định cấp thông tin đã phân loại mà họ được
quyền truy cập.
46
Quản lý dữ liệu đã phân nhóm
•Quản lý dữ liệu đã phân nhóm bao gồm lưu trữ, phân phối,
truyền tải và hủy dữ liệu.
• Tất cả thông tin chưa được phân nhóm hoặc công khai phải
được đánh dấu rõ ràng (như sử dụng các tấm bìa màu khác
nhau).
• Tài liệu được phân nhóm phải có ký hiệu thích hợp ở đầu và
cuối mỗi trang.
• Tài liệu hai mặt bắt buộc phải có ký hiệu tiêu đề trên cả hai
mặt.
• Lưu trữ trong tủ khóa, két sắt hoặc các thiết bị bảo vệ khác
cho bản cứng và hệ thống.
• Khi mang thông tin đã được phân nhóm ra ngoài tổ chức,
thông tin đó cần được để trong túi hoặc bìa hồ sơ. 47
Quản lý dữ liệu đã phân nhóm
Chính sách bàn làm việc sạch (clean desk policy): đảm bảo
rằng tất cả thông tin đã phân nhóm được bảo mật vào cuối mỗi
ngày.
• Phải hủy các bản sao của thông tin đã phân nhóm không còn
giá trị hoặc bản sao thừa.
• Tài liệu có thể được hủy bằng cách cắt nhỏ, đốt hoặc sử
dụng dịch vụ hủy tài liệu.
• Phải thực thi các chính sách để đảm bảo rằng không có
thông tin đã phân loại nào bị vứt bỏ trong thùng rác hoặc các
khu tái chế.
48
Sắp xếp ưu tiên tài sản thông
tin: Định giá tài sản thông tin
•Quá trình xác định giá trị tài chính hoặc giá trị cho mỗi tài sản thông tin.
• Hầu hết các tổ chức đều có hiểu biết chung về giá trị
tương đối của tài sản thông tin của họ nhưng xác định giá
trị tài chính cụ thể của tài sản thông tin là khó khăn.
-> Sử dụng các giá trị phân loại để xác định phạm vi giá trị
của tài sản (từ rất thấp đến rất cao)
-> Sử dụng các thước đo định tính khác (tham chiếu đến
mục 6. Áp dụng quản lý rủi ro: Định tính và Định lượng)
49
Định giá tài sản thông tin
Tiêu chuẩn đánh giá giá trị tài sản thông tin
1. Tài sản thông tin nào là quan trọng nhất đối với sự thành
công của tổ chức?
2. Tài sản thông tin nào tạo ra nhiều doanh thu nhất?
3. Tài sản giữ vai trò lớn nhất trong việc tạo ra doanh thu
hoặc cung cấp dịch vụ? Tài sản thông tin nào tạo ra khả
năng sinh lời cao nhất?
4. Tài sản thông tin nào sẽ tốn kém nhất để thay thế?
5. Tài sản thông tin nào sẽ tốn kém nhất để bảo vệ?
6. Tài sản thông tin nào sẽ khiến tổ chức gia tăng nợ hoặc
hoang mang nhất nếu bị tiết lộ? 50
Yếu tố cần xem xét khi xác định giá trị thông tin
Giá trị đối với • Phải hiểu chi phí bảo vệ thông tin để hiểu giá trị
chủ sở hữu của nó.
• Tuy nhiên, giá trị của thông tin đối với chủ sở
hữu đôi khi không phụ thuộc vào chi phí tạo ra
nó.
Giá trị của tài • Phức tạp khi định giá
sản trí tuệ • Sở hữu trí tuệ là bí mật thương mại vì vậy được
xem là tài sản chính của tổ chức.
Giá trị đối với • Cần phải hiểu đối thủ để biết giá trị thông tin của
đối thủ đơn vị đối với đối thủ
• Nếu thông tin thu hút sự chú ý của đối thủ, thì
thông tin đó cần được xóa hoặc bảo vệ.
51
Sắp xếp ưu tiên tài sản thông tin
Phân tích nhân tố có trọng số
Dựa vào tiêu chuẩn đánh giá giá trị thông tin, đơn vị sẽ chấm
điểm các tài sản thông tin, có điều chỉnh theo trọng số
52
Phân tích nhân tố có trọng số
53
Đánh giá nguy cơ
Đánh giá các nguy cơ đối với tài sản thông tin,
bao gồm xác định các tiềm ẩn làm gia tăng nguy
hiểm đối với tổ chức.
54
Xác định và sắp xếp ưu tiên các nguy cơ
Xác định nguy cơ gây • Nhóm an toàn thông tin cần phân tích
nguy hiểm cho tài sản các ví dụ cụ thể về các nguy cơ để xác
của tổ chức trong môi định nguy cơ cần xử lý.
trường nhất định
Xác định nguy cơ là • Có thể sử dụng thước đo định lượng và
mối nguy hiểm nhất định tính để phân loại giá trị thiệt hại
đối với thông tin của tổ • Xếp hạng các nguy cơ một cách chủ
chức quan theo thứ tự nguy hiểm.
• Có thể xếp hạng từng nguy cơ trên
thang điểm từ 1 đến 5 (nguy cơ mối đe
dọa không đáng kể; nguy cơ có mức độ
nghiêm trọng cao).
55
Xác định và sắp xếp ưu tiên các nguy cơ
Xác định chi phí • Mục tiêu: đánh giá sơ bộ chi phí để phục hồi
cần thiết để phục hoạt động nếu một cuộc tấn công làm gián
hồi sau một cuộc đoạn hoạt động kinh doanh.
tấn công • Xếp hạng hoặc liệt kê các nguy cơ dựa trên
chi phí để khôi phục.
• Xếp hạng cho từng nguy cơ trên thang điểm
từ 1 đến 5, với 5 đại diện cho các nguy cơ
tốn nhiều tiền nhất. Nếu thông tin về chi phí
khôi phục có sẵn, có thể xác định theo giá trị
thực.
Xác định nguy cơ • Sắp xếp nguy cơ theo chi phí cần thiết
để ngăn chặn
đòi hỏi chi phí lớn
nhất để ngăn chặn
56
Các nguy cơ đối với an ninh thông tin
57
Xác định các điểm yếu tiềm ẩn
• Xem xét từng tài sản thông tin cho từng nguy cơ liên quan
và tạo danh sách các điểm yếu tiềm ẩn. Điểm yếu tiềm ẩn
là những con đường cụ thể mà các tác nhân đe dọa có thể
khai thác để tấn công một tài sản thông tin.
• Kiểm tra cách thức từng nguy cơ có thể xảy ra, đồng thời
liệt kê các tài sản của tổ chức và các điểm yếu tiềm ẩn của
chúng.
• Cần gắn kết nguy cơ với các điểm yếu tiềm ẩn tương ứng.
• Trong quá trình xác định điểm yếu tiềm ẩn, nên thu thập ý
kiến từ nhiều đối tượng liên quan.
58
Bảng TVA
• Đóng vai trò là điểm khởi đầu cho bước tiếp theo
trong quy trình quản lý rủi ro — đánh giá rủi ro
59
Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản
60
Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản
Cột Thể hiện tài sản thông tin với với tài sản quan trọng
nhất ở bên trái
Dòng Thể hiện các nguy cơ với nguy cơ quan trọng nhất
hoặc nguy hiểm nhất được liệt kê ở trên cùng
Lưới Thể hiện điểm yếu bảo mật (exposure) của tài sản và
kết quả cho phép đánh giá điểm yếu tiềm ẩn
61
Bộ ba nguy cơ – điểm yếu tiềm ẩn – tài sản
• Một cặp tài sản và nguy cơ và một sự xác định các điểm
yếu tiềm ẩn tồn tại giữa chúng.
• Thể hiện ở định dạng: TxVyAz
• Có thể có một hoặc nhiều điểm yếu tiềm ẩn giữa nguy
cơ X và tài sản Z.
• Hỗ trợ xác định mức độ nghiêm trọng của các điểm yếu
tiềm ẩn
• Nếu giao điểm của 1 nguy cơ và 1 tài sản không có điểm
yếu tiềm ẩn, cần gạch bỏ ô đó.
• Có nhiều khả năng tồn tại một hoặc nhiều điểm yếu tiềm
ẩn giữa nguy cơ và tài sản. 62
3. Quy trình quản lý rủi ro
63
3.3. Đánh giá rủi ro:
Phân tích rủi ro
• Phân tích rủi ro là đánh giá rủi ro tương đối đối với
điểm yếu tiềm ẩn và xếp hạng hay chấm điểm rủi ro
cho từng tài sản thông tin.
• Mục tiêu là phát triển một phương pháp có thể lặp lại
để đánh giá rủi ro tương đối của từng điểm yếu tiềm ẩn
đã được xác định.
• Nếu một điểm yếu tiềm ẩn được quản lý hoàn toàn bởi
một thủ tục kiểm soát hiện hành, có thể không cần xem
xét thêm về nó.
• Nếu nó được kiểm soát một phần, tổ chức cần ước tính
bao nhiêu phần trăm của điểm yếu tiềm ẩn đã được
kiểm soát.
64
Mô hình rủi ro chung của NIST với
các yếu tố rủi ro chính
65
Xác suất xảy ra tấn công (likelihood): xác
suất mà một điểm yếu tiềm ẩn cụ thể sẽ bị
khai thác hoặc tấn công, thường được gọi là
sự kiện đe dọa.
Mức độ tổn thất (potential impact): sự hiểu
biết về hậu quả tiềm tang của môt cuộc tấn
công thành công vào một tài sản thông tin bởi
một nguy cơ.
66
• Xác suất xảy ra tấn công là một yếu tố
rủi ro có trọng số dựa trên phân tích
xác suất mà một mối đe dọa nhất định
có khả năng khai thác một lỗ hổng
nhất định (hoặc tập hợp các lỗ hổng).
• Đối với các mối đe dọa từ đối thủ,
Xác suất xảy việc đánh giá xác suất xảy ra tấn công
ra tấn công
thường dựa trên:
(likelihood)
o ý định của đối thủ;
o khả năng của đối thủ;
o mục tiêu củađối thủ.
• Đối với các sự kiện khác, xác suất
xảy ra tấn công được ước tính bằng
cách sử dụng bằng chứng lịch sử, dữ
liệu thực nghiệm hoặc các yếu tố
khác (NIST SP 800-30). 67
Xác suất xảy ra tấn công (Likelihood)
• Ví dụ: Nếu các tổ chức trong một ngành cụ thể dự kiến bị
tấn công bằng phần mềm độc hại ít nhất 4 lần/ năm, thì xác
suất xảy ra là 4/1 hoặc 400%.
Rank Description Percent Likelihood Example
0 Not Applicable 0% likely in the next 12 Will never happen
months
1 Rare 5% likely in the next 12 May happen once every 20 years
months
2 Unlikely 25% likely in the next 12 May happen once every 10 years
months
3 Moderate 50% likely in the next 12 May happen once every 5 years
months
4 Likely 75% likely in the next 12 May happen once every year
months
5 Almost Certain 100% likely in the next 12 May happen multiple times a year
months 68
• Mức độ tổn thất từ một sự kiện đe
dọa là mức độ thiệt hại có thể xảy ra
do hậu quả của việc tiết lộ thông tin
trái phép, sửa đổi trái phép thông tin,
phá hủy trái phép thông tin hoặc mất
thông tin hoặc tính khả dụng của hệ
thống thông tin…
Mức độ tổn • Các tổ chức cần xác định:
thất (i) quy trình được sử dụng để tiến
Potential hành xác định tổn thất;
Impact (ii) các giả định liên quan đến xác định
mức độ tổn thất;
(iii) nguồn và phương pháp thu thập
thông tin về mức độ tổn thất
(iv) cơ sở cho các kết luận liên quan
đến việc xác định mức độ tổn thất
(NIST SP 800-30, r. 1).
69
Mức độ tổn thất
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not
be scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 72
Tính toán rủi ro
73
Risk Rating Worksheet
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not
be scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 74
3. Quy trình quản lý rủi ro
75
3.4. Đánh giá rủi ro
Rủi ro còn lại > mức độ chấp Rủi ro còn lại < mức độ
nhận rủi ro chấp nhận rủi ro
Phải chuyển sang giai đoạn Nên chuyển sang giai đoạn
kiểm soát rủi ro tiếp theo và kiểm soát rủi ro sau và tiếp tục
tìm kiếm các chiến lược bổ theo dõi và đánh giá các biện
sung để giảm thiểu rủi ro hơn pháp kiểm soát và tài sản
nữa
76
77 3.5. Lập tài liệu kết quả đánh giá rủi
ro
• Danh sách các tài sản thông tin và dữ liệu về từng tài sản đó
• Danh sách liệt kê và xếp hạng điểm yếu tiềm ẩn của các tài
sản thông tin
• Thông tin về các tài sản, các nguy cơ đối với tài sản và các
điểm yếu tiềm ẩn
• Thông tin về các kiểm soát đã áp dụng
•🡪 Tài liệu tóm tắt cuối cùng là bảng xếp hạng rủi ro điểm yếu
tiềm ẩn (Ranked Vulnerability Risk Worksheet).
Kết quả đánh giá rủi ro
Kết quả (báo cáo) Mục đích
78
Bảng phân loại tài sản Tập hợp thông tin về tài sản thông tin, mức độ
thông tin nhạy cảm và giá trị của chúng đối với tổ chức
Phân tích có trọng số giá Sắp xếp thứ tự từng tài sản thông tin theo tiêu
trị của tài sản chí do tổ chức xây dựng
Phân tích có trọng số Sắp xếp thứ tự từng nguy cơ đối với tài sản
mức độ nghiêm trọng của thông tin của tổ chức theo tiêu chí do tổ chức
nguy cơ xây dựng
Bảng kiểm soát TVA Kết hợp kết quả đầu ra từ việc xác định và sắp
xếp ưu tiên tài sản thông tin với việc xác định
và sắp xếp ưu tiên nguy cơ, xác định các điểm
yếu tiềm ẩn trong "bộ ba" và kết hợp các biện
pháp kiểm soát hiện có và theo kế hoạch
Bảng xếp hạng rủi ro Trình bày giá trị xếp hạng rủi ro cho từng bộ
ba TVA, kết hợp xác suất xảy ra rủi ro, mức độ
thiệt hại và sự không chắc chắn của các ước
tính
3. Quy trình quản lý rủi ro
79
1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
80
Nội dung 3. Quy trình quản lý rủi
ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
Phản ứng với rủi ro
Giảm
Né tránh thiểu
Chấp Chuyển
nhận giao
81
(1) Giảm thiểu rủi ro
• Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
• Được thực hiện bằng cách chống lại các nguy cơ, loại bỏ
các điểm yếu tiềm ẩn khỏi tài sản, hạn chế quyền truy cập
vào tài sản và bổ sung các biện pháp bảo vệ.
82
(1) Chiến lược giảm
thiểu (Risk
mitigation)
Bao gồm ba phương
pháp phổ biến:
• Áp dụng chính sách
• Giáo dục và đào tạo,
nâng cao nhận thức
(SETA)
• Áp dụng công nghệ
83
Chiến lược kiểm soát rủi ro cố
(2) Chuyển giao gắng chuyển rủi ro sang các
rủi ro tài sản khác, quy trình khác
Risk Transference hoặc tổ chức khác.
• Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn sàng
chấp nhận mức độ rủi ro hiện tại.
• Kết quả là, tổ chức đưa ra quyết định có ý thức là không
làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp nhận
kết quả từ bất kỳ hoạt động khai thác nào.
85
•Chỉ nên áp dụng chiến lược này khi tổ chức đã thực hiện:
• Xác định mức độ rủi ro
• Đánh giá xác suất của cuộc tấn công
• Ước tính thiệt hại tiềm ẩn có thể xảy ra từ các cuộc tấn
công
• Thực hiện phân tích chi phí - lợi ích kỹ lưỡng
• Đánh giá các kiểm soát sử dụng cho mỗi loại tính khả thi
• Quyết định rằng chức năng, dịch vụ, thông tin hoặc tài sản
thông tin cụ thể không bù đắp cho chi phí bảo vệ
87
Quy trình truyền thông, giám sát và
đánh giá
• Khi nhóm quy trình làm việc thông qua các hoạt
động QLRR khác nhau, họ cần liên tục cung cấp
phản hồi cho nhóm quả lý khuôn mẫu QLRR về
thành công và những thách thức của các hoạt động
QLRR, để cải thiện quy trình và khuôn mẫu QLRR.
• Truyền thông quy trình liên quan đến việc yêu cầu
và cung cấp thông tin dưới dạng phản hồi trực tiếp
về các vấn đề phát sinh trong quá trình thực hiện
và vận hành từng giai đoạn của quy trình.
• Giám sát và xem xét quy trình liên quan đến việc
thiết lập và thu thập các biện pháp thực hiện chính
thức và các phương pháp đánh giá để xác định sự
thành công tương đối của chương trình QLRR.
88
Giảm thiểu tác động của tổn
Giảm thiểu và rủi ro thất do một sự cố, thảm họa
Mitigation and Risk hoặc cuộc tấn công đã xảy ra
thông qua lập kế hoạch dự
phòng và chuẩn bị hiệu quả.
89
1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
90
Nội dung 3. Quy trình quản lý rủi
ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
Quản lý rủi ro
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù hợp
với khẩu vị rủi ro của tổ chức, không phải đưa rủi ro về 0.
• Khi một lỗ hổng tồn tại trong một tài sản quan trọng—Thực
hiện các biện pháp kiểm soát bảo mật để giảm khả năng xảy
ra.
• Khi một lỗ hổng có thể bị khai thác—Áp dụng các biện pháp
kiểm soát để giảm thiểu rủi ro hoặc ngăn chặn sự xuất hiện
của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn
công—Áp dụng các biện pháp bảo vệ để tăng chi phí của kẻ
tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể—Áp dụng các biện pháp bảo
vệ để hạn chế phạm vi tấn công, giảm khả năng tổn thất.
91
Quản lý rủi ro
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù hợp
với khẩu vị rủi ro của tổ chức, không phải đưa rủi ro về 0.
• Khi một lỗ hổng tồn tại trong một tài sản quan trọng—Thực
hiện các biện pháp kiểm soát bảo mật để giảm khả năng xảy
ra.
• Khi một lỗ hổng có thể bị khai thác—Áp dụng các biện pháp
kiểm soát để giảm thiểu rủi ro hoặc ngăn chặn sự xuất hiện
của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn
công—Áp dụng các biện pháp bảo vệ để tăng chi phí của kẻ
tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể—Áp dụng các biện pháp bảo
vệ để hạn chế phạm vi tấn công, giảm khả năng tổn thất.
92
Rủi ro còn lại
93
Những điểm hành động xử lý rủi ro
94
Quy trình xử lý rủi ro
95
Đánh giá tính khả thi và phân tích
lợi ích – chi phí
• Trước khi thực hiện một trong các chiến lược kiểm soát
đối với một điểm yếu tiềm ẩn cụ thể, cần khám phá tất
cả các hậu quả của điểm yếu tiềm ẩn đối với tài sản
thông tin.
• Có một số cách để xác định ưu điểm/nhược điểm của
một biện pháp kiểm soát cụ thể.
• Các yếu tố ảnh hưởng đến chi phí của một biện pháp
kiểm soát hoặc bảo vệ bao gồm chi phí phát triển hoặc
mua lại, phí đào tạo, chi phí triển khai, chi phí dịch vụ và
chi phí bảo trì.
• Tổ chức không nên chi nhiều hơn giá trị của tài sản để
bảo vệ nó; quá trình ra quyết định này được gọi là phân
tích lợi ích chi phí (CBA) hay nghiên cứu khả thi kinh tế. 96
• Xác định lợi ích của một
thủ tục kiểm soát cụ thể
có lớn hơn chi phí bỏ ra
• Chi phí phát triển hoặc mua phần cứng, phần mềm và
dịch vụ
• Chi phí huấn luyện nhân sự
• Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và
kiểm tra phần cứng, phần mềm và dịch vụ
• Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà
cung cấp
• Chi phí bảo trì bao gồm chi phí nhân công để xác minh và
kiểm tra liên tục, duy trì và cập nhật
98
Xác định lợi ích của kiểm soát
• Được xác định bằng cách định giá (các) tài sản thông tin
có nguy cơ bị lộ bởi điểm yếu tiềm ẩn, xác định giá trị của
tài sản thông tin có rủi ro, và xác định những rủi ro tồn tại
đối với tài sản.
• Định giá tài sản: ước tính chi phí có thể cảm nhận và chi
phí thực tế liên quan đến việc thiết kế, phát triển, lắp đặt,
bảo trì, bảo vệ, phục hồi và phòng tránh mất mát và kiện
tụng của tài sản.
99
Công thức phân tích lợi ích – chi phí
105
Exercises 3
Suppose XYZ Software Company has a new application
development project with projected revenues of $1.2 million.
Using the following table, calculate the ARO and ALE for
each threat category the company faces for this project.
106
Exercises 4
107
Exercises 5
108
Exercises 5
109
Exercises 5