Professional Documents
Culture Documents
CHƯƠNG 4
QUẢN LÝ RỦI RO
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
Charlie Moody đã tổ chức một cuộc họp. Phòng họp có đầy đủ các chuyên viên
phát triển, phân tích hệ thống, người quản lý CNTT, nhân viên và quản lý của bộ
phận bán hàng và các bộ phận khác.
• “Được rồi, mọi người, hãy bắt đầu. Chào mừng bạn đến với cuộc họp khởi động
của nhóm dự án quản lý rủi ro mới của chúng tôi, Đội đặc nhiệm bảo mật thông
tin (Sequential Label and Supply Information Security Task Force). Hôm nay, chúng
ta có mặt ở đây để nói về các mục tiêu của mình và xem xét kế hoạch làm việc
ban đầu”
• "Tại sao bộ phận của tôi lại ở đây?“, người quản lý bộ phận bán hàng đặt câu hỏi.
“An toàn có phải là vấn đề của bộ phận CNTT không?”
2
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
2
07-Feb-23
Tình huống
• Charlie giải thích, “Chúng tôi đã từng nghĩ như vậy, nhưng chúng tôi nhận ra rằng an
toàn thông tin là quản lý rủi ro khi sử dụng thông tin, liên quan đến hầu hết mọi
người trong công ty. Để làm cho hệ thống của chúng ta an toàn hơn, chúng ta cần sự
tham gia của đại diện từ tất cả các bộ phận”.
• “Tôi hy vọng mọi người sẽ đọc các gói tin mà tôi đã gửi vào tuần trước, mô tả các yêu
cầu pháp lý mà chúng ta phải đối mặt trong ngành của mình và các bài viết về các
nguy cơ và tấn công. Hôm nay, chúng ta sẽ bắt đầu quá trình xác định và phân loại tất
cả các rủi ro về CNTT mà tổ chức của chúng ta phải đối mặt. Điều này bao gồm mọi
thứ, từ hỏa hoạn và lũ lụt có thể làm gián đoạn hoạt động kinh doanh của chúng ta
cho đến những tin tặc có thể cố gắng lấy cắp hoặc phá hủy dữ liệu của chúng ta
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
• Khi chúng ta xác định và phân loại các rủi ro mà tài sản của mình phải đối mặt,
chúng ta có thể thảo luận về cách giảm thiểu hoặc loại bỏ những rủi ro này bằng
cách thiết lập các biện pháp kiểm soát. Việc lựa chọn áp dụng thủ tục kiểm soát
nào sẽ phụ thuộc vào chi phí và lợi ích của mỗi thủ tục kiểm soát”
• "Chà, Charlie!" Amy Windahl nói từ phía sau phòng. “Tôi chắc chắn rằng chúng ta
cần phải làm điều đó - tôi đã bị tấn công lần trước, cũng như mọi người ở đây -
nhưng chúng ta có hàng tá hệ thống.”
• Charlie nói: “Đó là lý do tại sao chúng ta có rất nhiều người trong nhóm này và tại
sao nhóm bao gồm các thành viên của mọi bộ phận.”
• “Được rồi, mọi người, hãy mở email của bạn và tải thông tin kế hoạch dự án với
danh sách công việc hiển thị các nhóm, nhiệm vụ và lịch trình. Có câu hỏi nào
trước khi chúng ta bắt đầu xem xét kế hoạch làm việc?”
4
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2
4
07-Feb-23
Tình huống
• Khi Charlie kết thúc cuộc họp, anh ấy đã tóm tắt một vài lời điểm chính cho mọi
người tham gia vào dự án xác định các tài sản thông tin của doanh nghiệp.
• “Được rồi, mọi người, trước khi chúng ta kết thúc, xin hãy nhớ rằng bạn nên cố
gắng hoàn thành danh sách tài sản thông tin của mình, nhưng hãy nhớ tập trung
sự chú ý của bạn vào những tài sản có giá trị lớn trước. Ngoài ra, hãy nhớ rằng
chúng ta đánh giá tài sản của mình dựa trên tác động kinh doanh đến lợi nhuận
trước tiên, sau đó là chi phí kinh tế của việc thay thế. Hãy gửi cho tôi các câu hỏi
nếu phát sinh trong quá trình xác định danh mục tài sản của bạn. Chúng ta sẽ lên
lịch cho cuộc họp tiếp theo, sau hai tuần, vì vậy vui lòng chuẩn bị sẵn bản thảo
danh sách tài sản của bạn”
5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
6
07-Feb-23
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Thuật ngữ
Acceptance risk control strategy Chiến lược kiểm soát: chấp nhận rủi ro
Annualized cost of a safeguard - ACS Chi phí thường niên của biện pháp bảo vệ
8
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
4
8
07-Feb-23
Thuật ngữ
Asset exposure Mức độ tổn thất
Avoidance of competitive disadvantage Tránh bất lợi cạnh tranh
9
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Thuật ngữ
Probable Loss Tổn thất có thể xảy ra
Residual risk Rủi ro còn lại
Risk appetite Khẩu vị rủi ro
Risk assessment Đánh giá rủi ro
Risk control Kiểm soát rủi ro
Xác định rủi ro
Risk identification
Thuật ngữ
Technical feasibility Khả thi kỹ thuật
Termination risk control strategy Chiến lược kiểm soát: hủy bỏ rủi ro
Threat Nguy cơ
Threat assessment Đánh giá nguy cơ
Threats-vulnerabilities-assets (TVA) triples Bộ ba nguy cơ – Điểm yếu của hệ thống –
tài sản
Threats-vulnerabilities-assets (TVA) Bảng nguy cơ – Điểm yếu của hệ thống – tài
worksheet sản
Transference risk control strategy Chiến lược kiểm soát: chuyển giao rủi ro
Vulnerability Điểm yếu tiềm ẩn
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
12
07-Feb-23
1. Giới thiệu
Quản lý rủi ro là quy trình xác định rủi ro, đánh giá mức độ tổn thất và
thực hiện các giải pháp để giảm thiểu rủi ro đến mức độ chấp nhận rủi ro.
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
13
1. Giới thiệu
Tôn Tử (Sun Tzu) và nghệ thuật quản lý rủi ro
• Xác định, kiểm tra và hiểu các nguy cơ đối với tổ chức.
• Xác định nguy cơ nào ảnh hưởng trực tiếp nhất đến an ninh
Biết đối
của tổ chức và tài sản thông tin.
thủ
• Xếp hạng các nguy cơ theo mức độ quan trọng của tài sản
thông tin bị đe dọa.
14
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
7
14
07-Feb-23
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
15
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
2.2. Vai trò của các bên có lợi ích liên quan
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
8
16
07-Feb-23
Thủ tục kiểm soát nào nên được triển khai để giảm rủi ro đến
Kiểm soát
rủi ro mức độ chấp nhận rủi ro?
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
9
18
07-Feb-23
19
Answer: b. assessment
Risk treatment is the application of safeguards or controls to reduce the risks to an
organization’s information assets to an acceptable level, and risk control is a
synonym for risk treatment. Risk enforcement is not defined in the module.
21
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
21
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
22
07-Feb-23
2.2. Vai trò của các bên có lợi ích liên quan
Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các nguy cơ gây rủi ro cho DN
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành hệ thống an toàn.
Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác cho các nhóm
an toàn thông tin và CNTT để đáp ứng nhu cầu bảo mật.
23
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
23
2.2. Vai trò của các bên có lợi ích liên quan
Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình
quản lý rủi ro.
24
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
24
07-Feb-23
2.2. Vai trò của các bên có lợi ích liên quan
Các bên có lợi ích liên quan phải làm việc cùng nhau để giải quyết tất cả các mức
độ rủi ro và chịu trách nhiệm đối với việc:
• Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
• Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả về mặt chi phí
• Thực hiện hoặc thiết lập các thủ tục kiểm soát cần thiết
• Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
25
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
28
07-Feb-23
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
30
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
30
07-Feb-23
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
31
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
32
07-Feb-23
33
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
33
3. Phân loại tài sản thông tin thành những nhóm hữu ích
4. Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
34
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
34
07-Feb-23
Tài sản thông tin gồm tất cả các yếu tố trong hệ thống như con
người, thủ tục, dữ liệu và thông tin, phần mềm, phần cứng và các
yếu tố hệ thống mạng
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
36
07-Feb-23
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
38
07-Feb-23
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
40
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
• Bước cuối cùng trong quy trình xác định rủi ro là ưu tiên hoặc xếp hạng tài sản.
• Mục tiêu này có thể đạt được bằng cách sử dụng phân tích bảng trọng số.
• Liệt kê tài sản thông tin
• Lựa chọn tiêu chí
• Chỉ định trọng số tiêu chí
• Đánh giá từng tài sản
• Tính bình quân gia quyền/trung bình cộng có trọng số
• Xếp thứ tự theo điểm
42
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
21
42
07-Feb-23
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
44
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
22
44
07-Feb-23
45
Answer: c. prioritizing
You cannot assess the relative importance and assign priority until all assets are
known, given a value, and classified and placed into categories.
• Các nguy cơ thực tế cần xem xét; các nguy cơ không quan trọng được đặt sang
một bên.
• Có thể sử dụng Bảng trọng số trong việc đánh giá các nguy cơ.
47
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
47
48
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
24
48
07-Feb-23
49
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
49
51
• Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và
dấu hiệu về bất kỳ điểm yếu tiềm ẩn nào trong các cặp tài sản/
nguy cơ.
• Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình
quản lý rủi ro — đánh giá rủi ro
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
Asset 1 Asset 2 Asset 3 ... ... ... ... ... ... Asset n
Threat 1 T1V1A1 T1V1A2 T1V1A3 T1V1A4
T1V2A1 T1V2A2 ... ...
T1V3A1 ...
...
Threat 2 T2V1A1 T2V1A2 T2V1A3
T2V2A1 ... ...
...
Threat 3 T3V1A1 T3V1A2
... ...
Threat 4 T4V1A1
...
54
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
54
07-Feb-23
Asset 1 Asset 2 Asset 3 ... ... ... ... ... ... Asset n
Threat 5
Threat 6
...
...
Threat n
Legend: 1 2 3 4 5 6 7 8 ...
Priority of
effort
55
56
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
56
07-Feb-23
57
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
57
• Xác suất xảy ra tấn công (likelihood): xác suất mà một điểm yếu tiềm ẩn cụ thể
sẽ bị khai thác hoặc tấn công, thường được gọi là sự kiện đe dọa.
• Mức độ tổn thất (potential impact): sự hiểu biết về hậu quả tiềm tàng của môt
cuộc tấn công thành công vào một tài sản thông tin bởi một nguy cơ.
58
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
58
07-Feb-23
• Xác suất xảy ra tấn công là một yếu tố rủi ro có trọng số dựa trên phân tích xác suất
mà một nguy cơ nhất định có khả năng khai thác một điểm yếu tiềm ẩn cụ thể
(hoặc tập hợp các lỗ hổng).
• Đối với các nguy cơ từ đối thủ, việc đánh giá xác suất xảy ra tấn công thường dựa
trên:
• Ý định của đối thủ;
• Khả năng của đối thủ;
• Mục tiêu của đối thủ.
• Đối với các sự kiện khác, xác suất xảy ra tấn công được ước tính bằng cách sử dụng
bằng chứng lịch sử, dữ liệu thực nghiệm hoặc các yếu tố khác
(NIST SP 800-30).
59
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
59
60
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
60
07-Feb-23
• Mức độ tổn thất từ một sự kiện đe dọa là mức độ thiệt hại có thể xảy ra do hậu
quả của việc tiết lộ thông tin trái phép, sửa đổi trái phép thông tin, phá hủy trái
phép thông tin hoặc mất thông tin hoặc tính khả dụng của hệ thống thông tin…
• Các tổ chức cần xác định:
• Quy trình được sử dụng để tiến hành xác định tổn thất;
• Các giả định liên quan đến xác định mức độ tổn thất;
• Nguồn và phương pháp thu thập thông tin về mức độ tổn thất
• Cơ sở cho các kết luận liên quan đến việc xác định mức độ tổn thất
(NIST SP 800-30, r. 1).
61
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
61
62
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
31
62
07-Feb-23
Sự không chắc chắn vốn có trong đánh giá rủi ro, do những vấn đề:
• Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
• Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ (ví dụ, đặc điểm của
kẻ thù, bao gồm chiến thuật, kỹ thuật và thủ tục)
• Các điểm yếu tiềm ẩn chưa được phát hiện trong công nghệ hoặc sản phẩm
• Sự phụ thuộc chưa được nhận biết, có thể dẫn đến các tác động không lường
trước được.
63
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
63
64
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
64
07-Feb-23
65
67
Rủi ro còn lại > khẩu vị rủi ro Rủi ro còn lại < khẩu vị rủi ro
Phải chuyển sang giai đoạn kiểm soát Nên chuyển sang giai đoạn sau kiểm
rủi ro và tìm kiếm các chiến lược bổ soát rủi ro và tiếp tục theo dõi và đánh
sung để giảm thiểu rủi ro hơn nữa giá các biện pháp kiểm soát và tài sản
69
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
69
• Mô tả các tài sản, giá trị tương đối của tài sản, điểm yếu tiềm ẩn, ….
• Là cơ sở cho việc thực hiện bước tiếp theo trong quy trình quản lý rủi ro: kiểm
soát rủi ro.
70
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
70
07-Feb-23
71
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
72
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
72
07-Feb-23
Giảm
Né tránh thiểu
Chấp Chuyển
nhận giao
73
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
73
• Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
• Được thực hiện bằng cách chống lại các nguy cơ, loại bỏ các điểm yếu tiềm
ẩn khỏi tài sản, hạn chế quyền truy cập vào tài sản và bổ sung các biện pháp
bảo vệ.
74
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
74
07-Feb-23
75
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
75
Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn sàng chấp nhận mức độ rủi ro
hiện tại. Tổ chức đưa ra quyết định không làm gì để bảo vệ tài sản thông tin khỏi
rủi ro và chấp nhận kết quả từ bất kỳ hoạt động khai thác nào.
76
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
76
07-Feb-23
Chỉ nên áp dụng chiến lược này khi tổ chức đã thực hiện:
• Xác định mức độ rủi ro
• Đánh giá xác suất của cuộc tấn công
• Ước tính thiệt hại tiềm ẩn có thể xảy ra từ các cuộc tấn công
• Thực hiện phân tích chi phí - lợi ích kỹ lưỡng
• Đánh giá tính khả thi của các thủ tục kiểm soát
• Quyết định rằng chức năng, dịch vụ, thông tin hoặc tài sản cụ thể
không bù đắp cho chi phí bảo vệ
77
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
77
Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến
một tài sản thông tin bằng cách loại bỏ nó khỏi dịch vụ, Tránh
các hoạt động kinh doanh gây ra rủi ro không thể kiểm soát.
78
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
78
07-Feb-23
79
Answer: d. mitigation
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
81
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
81
5. Quản lý rủi ro
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù hợp với khẩu vị rủi ro của tổ
chức, không phải đưa rủi ro về 0.
• Quy tắc lựa chọn chiến lược đối phó rủi ro:
• Khi một điểm yếu tiềm ẩn tồn tại trong một tài sản quan trọng-Thực hiện các biện
pháp kiểm soát bảo mật để giảm khả năng xảy ra.
• Khi một điểm yếu tiềm ẩn có thể bị khai thác-Áp dụng các biện pháp kiểm soát để
giảm thiểu rủi ro hoặc ngăn chặn sự xuất hiện của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn công-Áp dụng các biện
pháp bảo vệ để tăng chi phí của kẻ tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể-Áp dụng các biện pháp bảo vệ để hạn chế phạm vi
tấn công, giảm khả năng tổn thất.
82
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
82
07-Feb-23
83
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
83
84
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
84
07-Feb-23
85
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
85
Đánh giá tính khả thi và phân tích lợi ích – chi phí
• Trước khi thực hiện một trong các chiến lược kiểm soát đối với một điểm
yếu tiềm ẩn cụ thể, cần khám phá tất cả các hậu quả của điểm yếu tiềm ẩn
đối với tài sản thông tin.
• Có một số cách để xác định ưu điểm/nhược điểm của một biện pháp kiểm
soát cụ thể.
• Các yếu tố ảnh hưởng đến chi phí của một biện pháp kiểm soát hoặc bảo
vệ bao gồm chi phí phát triển hoặc mua lại, phí đào tạo, chi phí triển khai,
chi phí dịch vụ và chi phí bảo trì.
• Tổ chức không nên chi nhiều hơn giá trị của tài sản để bảo vệ nó; quá trình
ra quyết định này được gọi là phân tích lợi ích chi phí (CBA) hay nghiên
cứu khả thi kinh tế.
86
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
86
07-Feb-23
87
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
87
• Chi phí phát triển hoặc mua phần cứng, phần mềm và dịch vụ
• Chi phí huấn luyện nhân sự
• Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và kiểm tra phần
cứng, phần mềm và dịch vụ
• Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà cung cấp
• Chi phí bảo trì bao gồm chi phí nhân công để xác minh và kiểm tra liên
tục, duy trì và cập nhật
88
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
44
88
07-Feb-23
• Được xác định bằng cách định giá (các) tài sản thông tin có nguy cơ bị lộ bởi
điểm yếu tiềm ẩn, xác định giá trị của tài sản thông tin có rủi ro, và xác định
những rủi ro tồn tại đối với tài sản.
• Định giá tài sản: ước tính chi phí có thể cảm nhận và chi phí thực tế liên quan
đến việc thiết kế, phát triển, lắp đặt, bảo trì, bảo vệ, phục hồi và phòng tránh
mất mát và kiện tụng của tài sản.
89
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
89
Dự báo tổn thất hàng năm Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm.
(annualized loss ALE = SLE x ARO
expectancy - ALE)
Tỷ lệ xuất hiện hàng năm Xác suất dự kiến của một cuộc tấn công, được biểu thị trên cơ
(annualized rate of sở mỗi năm.
occurrence - ARO)
Dự báo tổn thất đơn lẻ Giá trị được tính toán liên quan đến tổn thất có khả năng xảy
(Single loss expectancy - ra nhất từ một cuộc tấn công.
SLE) SLE = EF x giá trị tài sản (AV)
Tỷ lệ thiệt hại kỳ vọng Tỷ lệ phần trăm tổn thất dự kiến sẽ xảy ra từ một cuộc tấn
(Exposure công cụ thể.
Factor - EF)
91
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
91
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
92
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
46
92
07-Feb-23
• Phương pháp đánh giá nguy cơ nghiêm trọng, tài sản và điểm yếu tiềm
ẩn (Operationally Critical Threat, Asset, and Vulnerability Evaluation -
OCTAVE)
• Phân tích nhân tố rủi ro thông tin (Factor Analysis of Information Risk -
FAIR)
• ISO 27005 Quy trình quản lý rủi ro bảo mật thông tin (Information Security
Risk Management Process)
• NIST Phương pháp tiếp cận quản lý rủi ro trên toàn tổ chức của
(Organization-Wide Risk Management Approach – RMF)
93
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
93
94
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
47
94