AISe C04

07-Feb-23
CHƯƠNG 4
QUẢN LÝ RỦI RO
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
Charlie Moody đã tổ chức một cuộc họp. Phòng họp có đầy đủ các chuyên viên
phát triển, phân tích hệ thống, người quản lý CNTT, nhân viên và quản lý của bộ
phận bán hàng và các bộ phận khác.
• “Được rồi, mọi người, hãy bắt đầu. Chào mừng bạn đến với cuộc họp khởi động
của nhóm dự án quản lý rủi ro mới của chúng tôi, Đội đặc nhiệm bảo mật thông
tin (Sequential Label and Supply Information Security Task Force). Hôm nay, chúng
ta có mặt ở đây để nói về các mục tiêu của mình và xem xét kế hoạch làm việc
ban đầu”
• "Tại sao bộ phận của tôi lại ở đây?“, người quản lý bộ phận bán hàng đặt câu hỏi.
“An toàn có phải là vấn đề của bộ phận CNTT không?”
2
1
2
07-Feb-23
Tình huống
• Charlie giải thích, “Chúng tôi đã từng nghĩ như vậy, nhưng chúng tôi nhận ra rằng an
toàn thông tin là quản lý rủi ro khi sử dụng thông tin, liên quan đến hầu hết mọi
người trong công ty. Để làm cho hệ thống của chúng ta an toàn hơn, chúng ta cần sự
tham gia của đại diện từ tất cả các bộ phận”.
• “Tôi hy vọng mọi người sẽ đọc các gói tin mà tôi đã gửi vào tuần trước, mô tả các yêu
cầu pháp lý mà chúng ta phải đối mặt trong ngành của mình và các bài viết về các
nguy cơ và tấn công. Hôm nay, chúng ta sẽ bắt đầu quá trình xác định và phân loại tất
cả các rủi ro về CNTT mà tổ chức của chúng ta phải đối mặt. Điều này bao gồm mọi
thứ, từ hỏa hoạn và lũ lụt có thể làm gián đoạn hoạt động kinh doanh của chúng ta
cho đến những tin tặc có thể cố gắng lấy cắp hoặc phá hủy dữ liệu của chúng ta
3
Tình huống
• Khi chúng ta xác định và phân loại các rủi ro mà tài sản của mình phải đối mặt,
chúng ta có thể thảo luận về cách giảm thiểu hoặc loại bỏ những rủi ro này bằng
cách thiết lập các biện pháp kiểm soát. Việc lựa chọn áp dụng thủ tục kiểm soát
nào sẽ phụ thuộc vào chi phí và lợi ích của mỗi thủ tục kiểm soát”
• "Chà, Charlie!" Amy Windahl nói từ phía sau phòng. “Tôi chắc chắn rằng chúng ta
cần phải làm điều đó - tôi đã bị tấn công lần trước, cũng như mọi người ở đây -
nhưng chúng ta có hàng tá hệ thống.”
• Charlie nói: “Đó là lý do tại sao chúng ta có rất nhiều người trong nhóm này và tại
sao nhóm bao gồm các thành viên của mọi bộ phận.”
• “Được rồi, mọi người, hãy mở email của bạn và tải thông tin kế hoạch dự án với
danh sách công việc hiển thị các nhóm, nhiệm vụ và lịch trình. Có câu hỏi nào
trước khi chúng ta bắt đầu xem xét kế hoạch làm việc?”
4
2
4
07-Feb-23
Tình huống
• Khi Charlie kết thúc cuộc họp, anh ấy đã tóm tắt một vài lời điểm chính cho mọi
người tham gia vào dự án xác định các tài sản thông tin của doanh nghiệp.
• “Được rồi, mọi người, trước khi chúng ta kết thúc, xin hãy nhớ rằng bạn nên cố
gắng hoàn thành danh sách tài sản thông tin của mình, nhưng hãy nhớ tập trung
sự chú ý của bạn vào những tài sản có giá trị lớn trước. Ngoài ra, hãy nhớ rằng
chúng ta đánh giá tài sản của mình dựa trên tác động kinh doanh đến lợi nhuận
trước tiên, sau đó là chi phí kinh tế của việc thay thế. Hãy gửi cho tôi các câu hỏi
nếu phát sinh trong quá trình xác định danh mục tài sản của bạn. Chúng ta sẽ lên
lịch cho cuộc họp tiếp theo, sau hai tuần, vì vậy vui lòng chuẩn bị sẵn bản thảo
danh sách tài sản của bạn”
5
Mục tiêu chương

1. Hiểu khái niệm quản lý rủi ro và tầm quan trọng của quản lý rủi ro
2. Có thể giải thích khuôn mẫu quản lý rủi ro
3. Hiểu khái niệm mức độ chấp nhận rủi ro (risk appetite) và mối quan hệ của nó
với rủi ro còn lại
4. Có khả năng xác định và lập tài liệu về rủi ro
5. Hiểu về cách thức đánh giá rủi ro
6. Hiểu các phương án chiến lược giảm rủi ro
7. Hiểu các khuôn mẫu đánh giá kiểm soát rủi ro và phân tích lợi ích - chi phí
8. Có khả năng so sánh giữa các phương pháp quản lý rủi ro
6
3
6
07-Feb-23
Nội dung
1. Giới thiệu
2. Khuôn mẫu quản lý rủi ro
3. Quy trình quản lý rủi ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp quản lý rủi ro khác
7
Thuật ngữ
Acceptance risk control strategy Chiến lược kiểm soát: chấp nhận rủi ro
Annualized cost of a safeguard - ACS Chi phí thường niên của biện pháp bảo vệ
Annualized loss expectancy - ALE Dự báo tổn thất hàng năm
Annualized rate of occurrence - ARO Tỷ lệ xuất hiện hàng năm
Attack Success Probability Tỷ lệ thành công của cuộc tấn công

Asset valuation Xác định giá trị tài sản
Asset value Giá trị của tài sản
8
4
8
07-Feb-23
Thuật ngữ
Asset exposure Mức độ tổn thất
Avoidance of competitive disadvantage Tránh bất lợi cạnh tranh
Competitive advantage Lợi thế cạnh tranh

Cost-Benefit Analysis (CBA) Phân tích lợi ích – chi phí
Behavioral feasibility Khả thi về hành vi
Likelihood Xác suất xảy ra (tấn công)
Mitigation risk control strategy Chiến lược kiểm soát: giảm thiểu rủi ro
Operational Feasibility Khả thi hoạt động
Organizational Feasibility Khả thi tổ chức
Political feasibility Khả thi chính trị
9
Thuật ngữ
Probable Loss Tổn thất có thể xảy ra
Residual risk Rủi ro còn lại
Risk appetite Khẩu vị rủi ro
Risk assessment Đánh giá rủi ro
Risk control Kiểm soát rủi ro
Xác định rủi ro
Risk identification
Risk management Quản lý rủi ro

Risk tolerance Khả năng chịu đựng rủi ro
Security clearance Phân quyền an ninh
Single loss expectancy - SLE Dự báo tổn thất đơn lẻ
10
5
10
07-Feb-23
Thuật ngữ
Technical feasibility Khả thi kỹ thuật
Termination risk control strategy Chiến lược kiểm soát: hủy bỏ rủi ro
Threat Nguy cơ
Threat assessment Đánh giá nguy cơ
Threats-vulnerabilities-assets (TVA) triples Bộ ba nguy cơ – Điểm yếu của hệ thống –
tài sản
Threats-vulnerabilities-assets (TVA) Bảng nguy cơ – Điểm yếu của hệ thống – tài
worksheet sản
Transference risk control strategy Chiến lược kiểm soát: chuyển giao rủi ro
Vulnerability Điểm yếu tiềm ẩn
11
11
Nội dung
1. Giới thiệu
12
6
12
07-Feb-23
1. Giới thiệu
Quản lý rủi ro là quy trình xác định rủi ro, đánh giá mức độ tổn thất và
thực hiện các giải pháp để giảm thiểu rủi ro đến mức độ chấp nhận rủi ro.
13
13
1. Giới thiệu
Tôn Tử (Sun Tzu) và nghệ thuật quản lý rủi ro
• Xác định, kiểm tra và hiểu về thông tin và hệ thống hiện

hành.
Biết bản
• Xác định điểm yếu tiềm ẩn trong kiểm soát tài sản thông tin
thân
của DN.
• Xác định, kiểm tra và hiểu các nguy cơ đối với tổ chức.
• Xác định nguy cơ nào ảnh hưởng trực tiếp nhất đến an ninh
Biết đối
của tổ chức và tài sản thông tin.
thủ
• Xếp hạng các nguy cơ theo mức độ quan trọng của tài sản
thông tin bị đe dọa.
14
7
14
07-Feb-23
Nội dung
1. Giới thiệu
15
15

2.1. Khuôn mẫu và quy trình quản lý rủi ro
2.2. Vai trò của các bên có lợi ích liên quan
2.3. Chính sách quản lý rủi ro
2.4. Thiết kế khuôn mẫu quản lý rủi ro
2.5. Mức độ chấp nhận rủi ro và khẩu vị rủi ro
2.6. Triển khai khuôn mẫu quản lý rủi ro
2.7. Theo dõi và đánh giá khuôn mẫu quản lý rủi ro
16
8
16
07-Feb-23

Quản lý rủi ro liên quan đến việc tìm ra câu trả lời cho những câu hỏi về rủi ro
gắn liền với từng tài sản thông tin
Xác định Có những rủi ro nào và nguồn gốc của chúng?
rủi ro
Phân tích Mức độ nghiêm trọng của rủi ro?

rủi ro
Đánh giá Rủi ro có vượt quá mức độ chấp nhận không?

rủi ro
Thủ tục kiểm soát nào nên được triển khai để giảm rủi ro đến
Kiểm soát
rủi ro mức độ chấp nhận rủi ro?
17
17

• Quản lý rủi ro: Quá trình xác định rủi ro, đánh giá mức độ thiệt hại tương đối của
nó và thực hiện các bước để giảm rủi ro xuống mức có thể chấp nhận được.
• Xác định rủi ro: Việc nhận diện, làm rõ, và lập tài liệu về các rủi ro đối với tài sản
thông tin của tổ chức.
• Đánh giá rủi ro: Xác định mức độ mà tài sản thông tin của một tổ chức có thể
gặp rủi ro.
• Xử lý rủi ro (kiểm soát rủi ro): Việc áp dụng các biện pháp bảo vệ hoặc kiểm
soát nhằm giảm rủi ro đối với tài sản thông tin của tổ chức xuống mức có thể
chấp nhận được.
18
9
18
07-Feb-23
Knowledge Check Activity 1

The identification, analysis, and evaluation of risk as initial parts of risk management
is known as risk _____.
a. control
b. assessment
c. treatment
d. enforcement
19
Knowledge Check Activity 1: Answer

The identification, analysis, and evaluation of risk as initial parts of risk management
is known as risk _____.
Answer: b. assessment
Risk treatment is the application of safeguards or controls to reduce the risks to an
organization’s information assets to an acceptable level, and risk control is a
synonym for risk treatment. Risk enforcement is not defined in the module.

10
20
07-Feb-23
21
21

• Khuôn mẫu QLRR là cấu trúc tổng thể của việc lập kế hoạch và thiết kế
chiến lược cho toàn bộ các nỗ lực quản lý rủi ro của tổ chức.
• Quy trình QLRR là việc thực hiện quản lý rủi ro theo khuôn mẫu QLRR.
• Khuôn mẫu QLRR (lập kế hoạch) hướng dẫn quy trình QLRR (thực hiện),
tiến hành các quy trình đánh giá và khắc phục rủi ro
22
11
22
07-Feb-23
Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các nguy cơ gây rủi ro cho DN
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành hệ thống an toàn.
Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác cho các nhóm
an toàn thông tin và CNTT để đáp ứng nhu cầu bảo mật.
23
23
Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình
quản lý rủi ro.
24
12
24
07-Feb-23
Các bên có lợi ích liên quan phải làm việc cùng nhau để giải quyết tất cả các mức
độ rủi ro và chịu trách nhiệm đối với việc:
• Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
• Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả về mặt chi phí
• Thực hiện hoặc thiết lập các thủ tục kiểm soát cần thiết
• Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
25
25
2.3. Chính sách quản lý rủi ro

• Chính sách quản lý rủi ro chuyển đổi các hướng dẫn và quan điểm của các nhà quản trị
(cung cấp cho nhóm khuôn mẫu quản lý rủi ro) thành các hướng dẫn liên tục và chỉ đạo
tất cả các nỗ lực quản lý rủi ro trong tổ chức.
• Các chính sách QLRR bao gồm các phần
• Mục đích và phạm vi
• Định hướng và mục tiêu
• Vai trò và trách nhiệm
• Yêu cầu về nguồn lực
• Mức độ chấp nhận rủi ro và khẩu vị rủi ro
• Hướng dẫn phát triển chương trình QLRR
• Hướng dẫn đặc biệt và thông tin sửa đổi
• Tham chiếu đến các chính sách, kế hoạch, tiêu chuẩn và hướng dẫn quan trọng khác.
26
13
26
07-Feb-23
2.4. Thiết kế khuôn mẫu quản lý rủi ro

• Nhóm khuôn mẫu phụ trách việc thiết kế quy trình quản lý rủi ro, qua đó giúp tổ
chức hiểu được các mức độ rủi ro hiện tại của mình và xác định xem tổ chức cần
phải làm gì để đưa rủi ro xuống mức có thể chấp nhận được phù hợp với khẩu vị
rủi ro đã xác định.
• Ngoài ra, nhóm khuôn mẫu cũng chính thức lập tài liệu và xác định khẩu vị rủi ro
của tổ chức và soạn thảo kế hoạch quản lý rủi ro.
27
27
2.5. Khả năng chịu rủi ro và Khẩu vị rủi ro

• Khẩu vị rủi ro: số lượng và bản chất của rủi ro mà tổ chức sẵn sàng chấp nhận khi
họ đánh giá sự đánh đổi giữa bảo mật hoàn hảo và khả năng truy cập không giới
hạn.
• Rủi ro còn lại: rủi ro còn lại đối với tài sản thông tin khi áp dụng các biện pháp
kiểm soát.
• Khả năng chịu rủi ro (ngưỡng rủi ro): lượng rủi ro một tổ chức sẵn sàng chấp
nhận đối với một tài sản thông tin cụ thể.
• Mục tiêu của an toàn thông tin là giảm rủi ro còn lại phù hợp với khẩu vị rủi ro.
28
14
28
07-Feb-23
2.6. Triển khai khuôn mẫu quản trị rủi ro

• Việc triển khai kế hoạch QLRR có thể dựa trên một số phương pháp triển
khai CNTT truyền thống, và có thể bị ảnh hưởng bởi khẩu vị rủi ro của tổ
chức.
• Các phương pháp triển khai gồm:
• Kiểm tra hồ sơ, tài liệu (Desk check)
• Kiểm tra thử nghiệm (Pilot-test)
• Kiểm tra theo giai đoạn (Phased approach)
• Chuyển đổi trực tiếp
29
29
2.7. Theo dõi và đánh giá khuôn mẫu quản lý rủi ro

• Sau khi triển khai khuôn mẫu và khi nỗ lực vận hành khuôn mẫu quản lý rủi
ro được tiếp tục, tổ chức cần tiếp tục giám sát việc thực hiện quy trình quản
lý rủi ro đồng thời xem xét sự tiện ích và thành công tương đối của chức
năng lập kế hoạch khuôn mẫu quản lý rủi ro.
• Sau khi quy trình quản lý rủi ro được triển khai và vận hành, tổ chức nên
quan tâm chủ yếu đến việc giám sát và xem xét toàn bộ chu trình quy trình
quản lý rủi ro.
30
15
30
07-Feb-23
Nội dung
1. Giới thiệu
31
31

3.1. Thiết lập bối cảnh
3.2. Xác định rủi ro
3.3. Phân tích rủi ro
3.4. Đánh giá rủi ro
32
16
32
07-Feb-23
3.1 Thiết lập bối cảnh

• Bối cảnh trong giai đoạn này là sự hiểu biết về môi trường bên ngoài và bên trong
mà nhóm quản lý rủi ro sẽ tương tác khi tiến hành quy trình quản lý rủi ro.
• Ấn phẩm Đặc biệt 800-30 của NIST, Rev. 1, “Hướng dẫn Thực hiện Đánh giá Rủi
ro,” khuyến nghị việc chuẩn bị cho quy trình đánh giá rủi ro bằng cách thực hiện
các nhiệm vụ sau:
• Xác định mục đích đánh giá;
• Xác định phạm vi đánh giá;
• Xác định các giả định và ràng buộc liên quan đến đánh giá;
• Xác định các nguồn thông tin được sử dụng làm đầu vào cho đánh giá; và
• Xác định mô hình rủi ro và phương pháp phân tích.
33
33
3.2. Xác định rủi ro

• Giai đoạn đầu tiên của quy trình quản lý rủi ro là xác định rủi ro.
• Ở giai đoạn này, các nhà quản lý phải:
1. Xác định tài sản thông tin của tổ chức
2. Phân loại tài sản thông tin
3. Phân loại tài sản thông tin thành những nhóm hữu ích
4. Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
34
17
34
07-Feb-23
Xác định tài sản thông tin của tổ chức
Tài sản thông tin gồm tất cả các yếu tố trong hệ thống như con
người, thủ tục, dữ liệu và thông tin, phần mềm, phần cứng và các
yếu tố hệ thống mạng
35
35
36
18
36
07-Feb-23
37
37
Phân loại các tài sản thông tin

• Khi mỗi tài sản thông tin được xác định, phân loại và phân nhóm, một giá trị
tương đối phải được gán cho nó để đảm bảo rằng các tài sản thông tin có giá
trị nhất được ưu tiên cao nhất khi quản lý rủi ro.
• Tài sản thông tin nào:
• Là quan trọng nhất đối với sự thành công của tổ chức?
• Tạo ra nhiều doanh thu nhất?
• Tạo ra khả năng sinh lời cao nhất?
• Là tốn nhiều chi phí nhất để thay thế?
• Là tốn nhiều chi phí nhất để bảo vệ?
• Tạo ra nghĩa vụ tài chính lớn nhất nếu nó bị mất hoặc tổn hại?
38
19
38
07-Feb-23
Có thể sử dụng sơ đồ phân loại dữ liệu (data classification scheme) để phân

loại tài sản thông tin
Mật (Confidential) Nội bộ (Internal) Bên ngoài (External)

• Được gọi là thông • Các thông tin nội bộ không • Tất cả thông tin đã
tin “nhạy cảm” đáp ứng các tiêu chí cho được nhà quản trị
hoặc “độc quyền”. loại bí mật. phê duyệt để công
• Phải được kiểm • Chỉ được xem bởi nhân bố công khai.
soát chặt chẽ. viên công ty, nhà thầu
được ủy quyền và các bên
thứ ba khác.
39
39

System Name: SLS E-commerce
Date Evaluated: February 2018
Evaluated By: D. Jones
40

20
40
07-Feb-23

41
41
Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
• Bước cuối cùng trong quy trình xác định rủi ro là ưu tiên hoặc xếp hạng tài sản.
• Mục tiêu này có thể đạt được bằng cách sử dụng phân tích bảng trọng số.
• Liệt kê tài sản thông tin
• Lựa chọn tiêu chí
• Chỉ định trọng số tiêu chí
• Đánh giá từng tài sản
• Tính bình quân gia quyền/trung bình cộng có trọng số
• Xếp thứ tự theo điểm
42
21
42
07-Feb-23
Weighted Table Analysis of Information Assets (1 of 2)
43
43
Weighted Table Analysis of Information Assets (2 of 2)
44
22
44
07-Feb-23

When performing risk identification, which of these steps is performed last?
a. classifying
b. identifying
c. prioritizing
d. categorizing
45

When performing risk identification, which of these steps is performed last?
Answer: c. prioritizing
You cannot assess the relative importance and assign priority until all assets are
known, given a value, and classified and placed into categories.

23
46
07-Feb-23
Đánh giá nguy cơ
• Các nguy cơ thực tế cần xem xét; các nguy cơ không quan trọng được đặt sang
một bên.
• Có thể sử dụng Bảng trọng số trong việc đánh giá các nguy cơ.
47
47

Threats to Information Security
48
24
48
07-Feb-23

• Những nguy cơ nào gây nguy hiểm thực sự cho tài sản thông tin?
• Nguy cơ nào là nội bộ và nguy cơ nào là bên ngoài?
• Những nguy cơ nào có xác suất xảy ra cao nhất?
• Những nguy cơ nào có xác suất thành công cao nhất?
• Nguy cơ nào có thể dẫn đến tổn thất lớn nhất nếu thành công?
• Tổ chức có thể xử lý các nguy cơ nào kém hiệu quả nhất?
• Những nguy cơ nào cần nhiều chi phí nhất để đối phó?
• Những nguy cơ nào tốn nhiều chi phí nhất để phục hồi?
49
49

• Đánh giá điểm yếu tiềm ẩn:
• Điểm yếu tiềm ẩn là những con đường cụ thể mà các tác nhân đe dọa có
thể khai thác để tấn công một tài sản thông tin.
• Kiểm tra cách thức từng nguy cơ có thể xảy ra, đồng thời liệt kê các tài sản
của tổ chức và các điểm yếu tiềm ẩn của chúng.
• Cần gắn kết nguy cơ với các điểm yếu tiềm ẩn tương ứng.
• Trong quá trình xác định điểm yếu tiềm ẩn, nên thu thập ý kiến từ nhiều đối
tượng liên quan.
• Kết thúc quá trình đánh giá, cần thiết lập danh sách ưu tiên các tài sản
thông tin cùng với các điểm yếu tiền ẩn của chúng.
50
25
50
07-Feb-23
Vulnerability Assessment of a DMZ Router (1 of 2)
Threat Possible Vulnerabilities

Compromises to intellectual property Router has little intrinsic value, but other assets protected by this
device could be attacked if it is compromised.
Espionage or trespass Router has little intrinsic value, but other assets protected by this
Forces of nature All information assets in the organization are subject to forces of
nature unless suitable controls are provided.
Human error or failure Employees or contractors may cause an outage if configuration errors
are made.
Information extortion Router has little intrinsic value, but other assets protected by this
Quality-of-service deviations from service Unless suitable electrical power conditioning is provided, failure is
providers probable over time.
51
Vulnerability Assessment of a DMZ Router (2 of 2)
Threat Possible Vulnerabilities

Sabotage or vandalism IP is vulnerable to denial-of-service attacks.
Device may be subject to defacement or cache poisoning.
Software attacks IP is vulnerable to denial-of-service attacks.
Outsider IP fingerprinting activities can reveal sensitive information
unless suitable controls are implemented.
Technical hardware failures or errors Hardware could fail and cause an outage. Power system failures are
always possible.
Technical software failures or errors Vendor-supplied routing software could fail and cause an outage.
Technological obsolescence If it is not reviewed and periodically updated, a device may fall too far
behind its vendor support model to be kept in service.
Theft Router has little intrinsic value, but other assets protected by this
device could be attacked if it is stolen.

26
52
07-Feb-23
Bảng Nguy cơ – Điểm yếu tiềm ẩn – Tài sản (TVA)
• Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và
dấu hiệu về bất kỳ điểm yếu tiềm ẩn nào trong các cặp tài sản/
nguy cơ.
• Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình
quản lý rủi ro — đánh giá rủi ro
53
53
The TVA Worksheet (1 of 2)
Asset 1 Asset 2 Asset 3 ... ... ... ... ... ... Asset n
Threat 1 T1V1A1 T1V1A2 T1V1A3 T1V1A4
T1V2A1 T1V2A2 ... ...
T1V3A1 ...
...
Threat 2 T2V1A1 T2V1A2 T2V1A3
T2V2A1 ... ...
...
Threat 3 T3V1A1 T3V1A2
... ...
Threat 4 T4V1A1
...
54
27
54
07-Feb-23
The TVA Worksheet (2 of 2)
Asset 1 Asset 2 Asset 3 ... ... ... ... ... ... Asset n
Threat 5
Threat 6
...
...
Threat n
Legend: 1 2 3 4 5 6 7 8 ...
Priority of
effort
These bands of controls should be continued through all asset-threat pairs.

55
55

• Phân tích rủi ro là đánh giá rủi ro tương đối đối với điểm yếu tiềm ẩn và xếp hạng
hay chấm điểm rủi ro cho từng tài sản thông tin.
• Mục tiêu là phát triển một phương pháp có thể lặp lại để đánh giá rủi ro tương
đối của từng điểm yếu tiềm ẩn đã được xác định.
• Nếu một điểm yếu tiềm ẩn được quản lý hoàn toàn bởi một thủ tục kiểm soát hiện
hành, có thể không cần xem xét thêm về nó.
• Nếu nó được kiểm soát một phần, tổ chức cần ước tính bao nhiêu phần trăm của
điểm yếu tiềm ẩn đã được kiểm soát
56
28
56
07-Feb-23
57
57

Rủi ro = Xác suất xảy ra tấn công x Mức độ tổn thất
± Sự không chắc chắn của các ước tính
• Xác suất xảy ra tấn công (likelihood): xác suất mà một điểm yếu tiềm ẩn cụ thể
sẽ bị khai thác hoặc tấn công, thường được gọi là sự kiện đe dọa.
• Mức độ tổn thất (potential impact): sự hiểu biết về hậu quả tiềm tàng của môt
cuộc tấn công thành công vào một tài sản thông tin bởi một nguy cơ.
58
29
58
07-Feb-23
Xác suất xảy ra tấn công (Likelihood)
• Xác suất xảy ra tấn công là một yếu tố rủi ro có trọng số dựa trên phân tích xác suất
mà một nguy cơ nhất định có khả năng khai thác một điểm yếu tiềm ẩn cụ thể
(hoặc tập hợp các lỗ hổng).
• Đối với các nguy cơ từ đối thủ, việc đánh giá xác suất xảy ra tấn công thường dựa
trên:
• Ý định của đối thủ;
• Khả năng của đối thủ;
• Mục tiêu của đối thủ.
• Đối với các sự kiện khác, xác suất xảy ra tấn công được ước tính bằng cách sử dụng
bằng chứng lịch sử, dữ liệu thực nghiệm hoặc các yếu tố khác
(NIST SP 800-30).
59
59
Xác suất xảy ra tấn công (Likelihood)
60
30
60
07-Feb-23
Mức độ tổn thất (Potential Impact)
• Mức độ tổn thất từ một sự kiện đe dọa là mức độ thiệt hại có thể xảy ra do hậu
quả của việc tiết lộ thông tin trái phép, sửa đổi trái phép thông tin, phá hủy trái
phép thông tin hoặc mất thông tin hoặc tính khả dụng của hệ thống thông tin…
• Các tổ chức cần xác định:
• Quy trình được sử dụng để tiến hành xác định tổn thất;
• Các giả định liên quan đến xác định mức độ tổn thất;
• Nguồn và phương pháp thu thập thông tin về mức độ tổn thất
• Cơ sở cho các kết luận liên quan đến việc xác định mức độ tổn thất
(NIST SP 800-30, r. 1).
61
61
Mức độ tổn thất (Potential Impact)
Rank Description Example # of Productivity Financial Impact

Records Hours Lost
0 Not applicable No impact N/A N/A N/A
threat
1 Insignificant No interruption, no exposed data 0 0 0
2 Minor Multi-minute interruption, no 0 2 $20,000
exposed data
3 Moderate Multi-hour interruption, minor 499 4 $175,000
exposure of data
4 Major One-day interruption, exposure of 5,000 8 $2,000,000
data
5 Severe Multi-day interruption, major 50,000 24 $20,000,000
exposure of sensitive data
62
31
62
07-Feb-23
Sự không chắc chắn của các ước tính

(Uncertainty)
Sự không chắc chắn vốn có trong đánh giá rủi ro, do những vấn đề:
• Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
• Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ (ví dụ, đặc điểm của
kẻ thù, bao gồm chiến thuật, kỹ thuật và thủ tục)
• Các điểm yếu tiềm ẩn chưa được phát hiện trong công nghệ hoặc sản phẩm
• Sự phụ thuộc chưa được nhận biết, có thể dẫn đến các tác động không lường
trước được.
63
63
Ước tính rủi ro
Rủi ro = Xác suất xảy ra tấn công x Mức độ tổn thất

± Sự không chắc chắn của các ước tính
64
32
64
07-Feb-23
Ma trận đánh giá rủi ro IRM của Clearwater
65
Risk Rating Worksheet (1 of 3)
Asset Vulnerability Likelihood Impact Risk-Rating Factor

Customer service E-mail disruption due 3 3 9
request via e-mail to hardware failure
(inbound)
request via e-mail to software failure
(inbound)
Customer order via Lost orders due to 2 5 10
SSL (inbound) Web server hardware
failure

33
66
07-Feb-23

SSL (inbound) Web server or ISP
service failure
request via e-mail to SMTP mail relay
(inbound) attack
request via e-mail to ISP service failure
(inbound)
67

request via e-mail to power failure
(inbound)
SSL (inbound) Web server denial-of-
service attack
SSL (inbound) Web server software
failure
SSL (inbound) Web server buffer
overrun attack

34
68
07-Feb-23
Rủi ro còn lại > khẩu vị rủi ro Rủi ro còn lại < khẩu vị rủi ro
Phải chuyển sang giai đoạn kiểm soát Nên chuyển sang giai đoạn sau kiểm
rủi ro và tìm kiếm các chiến lược bổ soát rủi ro và tiếp tục theo dõi và đánh
sung để giảm thiểu rủi ro hơn nữa giá các biện pháp kiểm soát và tài sản
69
69

• Lập tài liệu kết quả đánh giá rủi ro
• Tài liệu tóm tắt cuối cùng là bảng xếp hạng rủi ro-điểm yếu tiềm ẩn (Ranked
Vulnerability Risk Worksheet).
• Mô tả các tài sản, giá trị tương đối của tài sản, điểm yếu tiềm ẩn, ….
• Là cơ sở cho việc thực hiện bước tiếp theo trong quy trình quản lý rủi ro: kiểm
soát rủi ro.
70
35
70
07-Feb-23

Kết quả đánh giá rủi ro
Kết quả Mục đích
Bảng phân loại tài sản thông tin Tập hợp thông tin về tài sản thông tin, mức độ nhạy cảm và giá
trị của chúng đối với tổ chức
Phân tích có trọng số giá trị của tài Sắp xếp thứ tự từng tài sản thông tin theo tiêu chí do tổ chức
sản xây dựng
Phân tích có trọng số mức độ Sắp xếp thứ tự từng nguy cơ đối với tài sản thông tin của tổ
nghiêm trọng của nguy cơ chức theo tiêu chí do tổ chức xây dựng
Bảng kiểm soát TVA Kết hợp kết quả đầu ra từ việc xác định và sắp xếp ưu tiên tài
sản thông tin với việc xác định và sắp xếp ưu tiên nguy cơ, xác
định các điểm yếu tiềm ẩn trong "bộ ba" và kết hợp các biện
pháp kiểm soát hiện có và theo kế hoạch
Bảng xếp hạng rủi ro Trình bày giá trị xếp hạng rủi ro cho từng bộ ba TVA, kết hợp
xác suất xảy ra rủi ro, mức độ thiệt hại và sự không chắc chắn
của các ước tính
71
71
Nội dung
1. Giới thiệu
72
36
72
07-Feb-23
Giảm
Né tránh thiểu
Chấp Chuyển
nhận giao
73
73
(1) Giảm thiểu rủi ro

Được gọi là chiến lược phòng thủ nhằm loại bỏ hoặc giảm bất cứ phần còn lại
nào của rủi ro không kiểm soát được thông qua việc áp dụng các kiểm soát và
bảo vệ bổ sung.
• Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
• Được thực hiện bằng cách chống lại các nguy cơ, loại bỏ các điểm yếu tiềm
ẩn khỏi tài sản, hạn chế quyền truy cập vào tài sản và bổ sung các biện pháp
bảo vệ.
74
37
74
07-Feb-23
(2) Chuyển giao rủi ro

Chiến lược kiểm soát rủi ro cố gắng chuyển rủi ro sang các tài sản khác,
quy trình khác hoặc tổ chức khác.
Có thể được thực hiện bằng cách:

 Suy nghĩ lại cách cung cấp dịch vụ
 Sửa đổi mô hình triển khai
 Thuê ngoài (outsource) các tổ chức khác
 Mua bảo hiểm
 Thực hiện hợp đồng dịch vụ với nhà cung cấp
75
75
(3) Chiến lược chấp nhận
Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn sàng chấp nhận mức độ rủi ro
hiện tại. Tổ chức đưa ra quyết định không làm gì để bảo vệ tài sản thông tin khỏi
rủi ro và chấp nhận kết quả từ bất kỳ hoạt động khai thác nào.
76
38
76
07-Feb-23
(3) Chiến lược chấp nhận
Chỉ nên áp dụng chiến lược này khi tổ chức đã thực hiện:
• Xác định mức độ rủi ro
• Đánh giá xác suất của cuộc tấn công
• Ước tính thiệt hại tiềm ẩn có thể xảy ra từ các cuộc tấn công
• Thực hiện phân tích chi phí - lợi ích kỹ lưỡng
• Đánh giá tính khả thi của các thủ tục kiểm soát
• Quyết định rằng chức năng, dịch vụ, thông tin hoặc tài sản cụ thể
không bù đắp cho chi phí bảo vệ
77
77
(4) Chiến lược né tránh
Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến
một tài sản thông tin bằng cách loại bỏ nó khỏi dịch vụ, Tránh
các hoạt động kinh doanh gây ra rủi ro không thể kiểm soát.
78
39
78
07-Feb-23

Applying controls and safeguards that eliminate or reduce the remaining
uncontrolled risks is known as _____.
a. acceptance
b. termination
c. transference
d. mitigation
79

Applying controls and safeguards that eliminate or reduce the remaining
uncontrolled risks is known as _____.
Answer: d. mitigation
Transference is the shifting risks to other areas or to outside entities; acceptance is

understanding the consequences of choosing to leave an information asset’s
vulnerability facing the current level of risk, but only after a formal evaluation and
intentional acknowledgment of this decision; and termination is the removal of the
information asset from the organization’s operating environment.

40
80
07-Feb-23
Nội dung
1. Giới thiệu
81
81
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù hợp với khẩu vị rủi ro của tổ
chức, không phải đưa rủi ro về 0.
• Quy tắc lựa chọn chiến lược đối phó rủi ro:
• Khi một điểm yếu tiềm ẩn tồn tại trong một tài sản quan trọng-Thực hiện các biện
pháp kiểm soát bảo mật để giảm khả năng xảy ra.
• Khi một điểm yếu tiềm ẩn có thể bị khai thác-Áp dụng các biện pháp kiểm soát để
giảm thiểu rủi ro hoặc ngăn chặn sự xuất hiện của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn công-Áp dụng các biện
pháp bảo vệ để tăng chi phí của kẻ tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể-Áp dụng các biện pháp bảo vệ để hạn chế phạm vi
tấn công, giảm khả năng tổn thất.
82
41
82
07-Feb-23
Rủi ro còn lại
83
83
Những điểm hành động xử lý rủi ro
84
42
84
07-Feb-23
Quy trình xử lý rủi ro
85
85
Đánh giá tính khả thi và phân tích lợi ích – chi phí
• Trước khi thực hiện một trong các chiến lược kiểm soát đối với một điểm
yếu tiềm ẩn cụ thể, cần khám phá tất cả các hậu quả của điểm yếu tiềm ẩn
đối với tài sản thông tin.
• Có một số cách để xác định ưu điểm/nhược điểm của một biện pháp kiểm
soát cụ thể.
• Các yếu tố ảnh hưởng đến chi phí của một biện pháp kiểm soát hoặc bảo
vệ bao gồm chi phí phát triển hoặc mua lại, phí đào tạo, chi phí triển khai,
chi phí dịch vụ và chi phí bảo trì.
• Tổ chức không nên chi nhiều hơn giá trị của tài sản để bảo vệ nó; quá trình
ra quyết định này được gọi là phân tích lợi ích chi phí (CBA) hay nghiên
cứu khả thi kinh tế.
86
43
86
07-Feb-23
Phân tích lợi ích – chi phí (Cost-benefit analysis - CBA)

• Xác định lợi ích của một thủ tục kiểm soát cụ thể có lớn hơn chi phí bỏ ra
hay không?
• Có thể được tính toán trước khi thực hiện thủ tục kiểm soát để xác định xem
thủ tục kiểm soát đó có đáng được thực hiện hay không.
• Có thể được tính toán sau khi các thủ tục kiểm soát đã được áp dụng. Việc
quan sát theo thời gian giúp tăng thêm độ chính xác để đánh giá các lợi ích
của biện pháp bảo vệ và xác định xem nó có hoạt động như dự kiến hay
không.
87
87
Xác định chi phí của kiểm soát
• Chi phí phát triển hoặc mua phần cứng, phần mềm và dịch vụ
• Chi phí huấn luyện nhân sự
• Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và kiểm tra phần
cứng, phần mềm và dịch vụ
• Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà cung cấp
• Chi phí bảo trì bao gồm chi phí nhân công để xác minh và kiểm tra liên
tục, duy trì và cập nhật
88
44
88
07-Feb-23
Xác định lợi ích của kiểm soát
• Được xác định bằng cách định giá (các) tài sản thông tin có nguy cơ bị lộ bởi
điểm yếu tiềm ẩn, xác định giá trị của tài sản thông tin có rủi ro, và xác định
những rủi ro tồn tại đối với tài sản.
• Định giá tài sản: ước tính chi phí có thể cảm nhận và chi phí thực tế liên quan
đến việc thiết kế, phát triển, lắp đặt, bảo trì, bảo vệ, phục hồi và phòng tránh
mất mát và kiện tụng của tài sản.
89
89
Công thức phân tích lợi ích – chi phí
CBA = ALE(prior) - ALE(post) - ACS

Dự báo tổn thất hàng năm (ALE)
ALE(prior) Dự báo tổn thất hàng năm trước khi triển khai các thủ
tục kiểm soát
ALE(post) Dự báo tổn thất hàng năm sau khi đã triển khai các thủ
tục kiểm soát
Chi phí của thủ tục Tổng chi phí của thủ tục kiểm soát hoặc bảo vệ, bao
kiểm soát (annualized gồm tất cả chi phí mua, bảo trì, đăng ký, nhân sự và hỗ
cost of a safeguard - trợ, chia cho tổng số năm dự kiến sử dụng thủ tục kiểm
ACS) soát.
90
45
90
07-Feb-23
Công thức phân tích lợi ích – chi phí
Dự báo tổn thất hàng năm Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm.
(annualized loss ALE = SLE x ARO
expectancy - ALE)
Tỷ lệ xuất hiện hàng năm Xác suất dự kiến của một cuộc tấn công, được biểu thị trên cơ
(annualized rate of sở mỗi năm.
occurrence - ARO)
Dự báo tổn thất đơn lẻ Giá trị được tính toán liên quan đến tổn thất có khả năng xảy
(Single loss expectancy - ra nhất từ một cuộc tấn công.
SLE) SLE = EF x giá trị tài sản (AV)
Tỷ lệ thiệt hại kỳ vọng Tỷ lệ phần trăm tổn thất dự kiến sẽ xảy ra từ một cuộc tấn
(Exposure công cụ thể.
Factor - EF)
91
91
Nội dung
1. Giới thiệu
92
46
92
07-Feb-23
6. Các phương pháp quản lý rủi ro khác (đọc thêm)
• Phương pháp đánh giá nguy cơ nghiêm trọng, tài sản và điểm yếu tiềm
ẩn (Operationally Critical Threat, Asset, and Vulnerability Evaluation -
OCTAVE)
• Phân tích nhân tố rủi ro thông tin (Factor Analysis of Information Risk -
FAIR)
• ISO 27005 Quy trình quản lý rủi ro bảo mật thông tin (Information Security
Risk Management Process)
• NIST Phương pháp tiếp cận quản lý rủi ro trên toàn tổ chức của
(Organization-Wide Risk Management Approach – RMF)
93
93
94
47
94

AISe C04

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AISe C04

Uploaded by

Copyright:

Available Formats

07-Feb-23

Mục tiêu chương

2. Khuôn mẫu quản lý rủi ro

3. Quy trình quản lý rủi ro

4. Phản ứng với rủi ro

6. Các phương pháp quản lý rủi ro khác

Annualized loss expectancy - ALE Dự báo tổn thất hàng năm

Annualized rate of occurrence - ARO Tỷ lệ xuất hiện hàng năm

Attack Success Probability Tỷ lệ thành công của cuộc tấn công

Competitive advantage Lợi thế cạnh tranh

Risk management Quản lý rủi ro

2. Khuôn mẫu quản lý rủi ro

3. Quy trình quản lý rủi ro

4. Phản ứng với rủi ro

6. Các phương pháp quản lý rủi ro khác

• Xác định, kiểm tra và hiểu về thông tin và hệ thống hiện

2. Khuôn mẫu quản lý rủi ro

3. Quy trình quản lý rủi ro

4. Phản ứng với rủi ro

6. Các phương pháp quản lý rủi ro khác

2. Khuôn mẫu quản lý rủi ro

2.3. Chính sách quản lý rủi ro

2.4. Thiết kế khuôn mẫu quản lý rủi ro

2.5. Mức độ chấp nhận rủi ro và khẩu vị rủi ro

2.6. Triển khai khuôn mẫu quản lý rủi ro

2.7. Theo dõi và đánh giá khuôn mẫu quản lý rủi ro

2. Khuôn mẫu quản lý rủi ro

Phân tích Mức độ nghiêm trọng của rủi ro?

Đánh giá Rủi ro có vượt quá mức độ chấp nhận không?

2. Khuôn mẫu quản lý rủi ro

Knowledge Check Activity 1

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

Knowledge Check Activity 1: Answer

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

2.1. Khuôn mẫu và quy trình quản lý rủi ro

2.1. Khuôn mẫu và quy trình quản lý rủi ro

2.3. Chính sách quản lý rủi ro

2.4. Thiết kế khuôn mẫu quản lý rủi ro

2.5. Khả năng chịu rủi ro và Khẩu vị rủi ro

2.6. Triển khai khuôn mẫu quản trị rủi ro

2.7. Theo dõi và đánh giá khuôn mẫu quản lý rủi ro

2. Khuôn mẫu quản lý rủi ro

3. Quy trình quản lý rủi ro

4. Phản ứng với rủi ro

6. Các phương pháp quản lý rủi ro khác

3. Quy trình quản lý rủi ro

3.2. Xác định rủi ro

3.3. Phân tích rủi ro

3.4. Đánh giá rủi ro

3.1 Thiết lập bối cảnh

3.2. Xác định rủi ro

• Ở giai đoạn này, các nhà quản lý phải:

1. Xác định tài sản thông tin của tổ chức

2. Phân loại tài sản thông tin

Xác định tài sản thông tin của tổ chức

Xác định tài sản thông tin của tổ chức

Xác định tài sản thông tin của tổ chức

Phân loại các tài sản thông tin

Phân loại các tài sản thông tin

Có thể sử dụng sơ đồ phân loại dữ liệu (data classification scheme) để phân

Mật (Confidential) Nội bộ (Internal) Bên ngoài (External)

Phân loại các tài sản thông tin

Có thể sử dụng sơ đồ phân loại dữ liệu (data classification scheme) để phân