AISe C5 2023 SV

2/13/2023
CHƯƠNG 5
LẬP KẾ HO ẠCH PHẢN ỨNG SỰ CỐ VÀ
HO ẠT ĐỘ NG LIÊN T ỤC
Tình huống:
Một vụ cháy
1
2/13/2023
Mục tiêu
Hiểu nhu cầu vì sao cần Hiểu các thành phần Xác định các thành phần Hiểu cách thức một tổ
lập kế hoạch dự phòng chính của lập kế hoạch của quản lý khủng hoảng chức chuẩn bị và thực thi
ứng phó sự cố (incident (crisis management) việc thử nghiệm (test) kế
response), phục hồi sau hoạch dự phòng
thảm họa (disaster
recovery) và đảm bảo
hoạt động liên tục
(business continuity)
Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
Những vấn đề cơ bản về lập kế hoạch dự phòng
Tuyên bố chính sách lập kế hoạch dự phòng
Phân tích ảnh hưởng kinh doanh
NỘI DUNG
Ứng phó sự cố
Phục hồi sau thảm họa
Đảm bảo Hoạt động kinh doanh liên tục
Quản lý khủng hoảng
Mối quan hệ của các thành phần trong lập kế hoạch dự phòng
Thử nghiệm kế hoạch dự phòng
2
2/13/2023
DATA SECURITY – IP SRCURITY
Business Kế hoạch 214 Hồ sơ/ văn bản của việc lập kế hoạch đảm bảo hoạt
continuity Đảm bảo động liên tục. Kế hoạch này thể hiện những nỗ lực dự
plan (BC) hoạt động định của tổ chức để tiếp tục các chức năng quan
liên tục trọng trong tình huống việc hoạt động tại địa điểm
Thuật
chính (primary site) không khả thi
Business Lập kế 214 Các hành động do quản lý cấp cao thực hiện để phát
continuity hoạch đảm triển và thực hiện chính sách, kế hoạch và các nhóm
ngữ
planning bảo hoạt (teams) đảm bảo hoạt động lên tục
(BCP) động liên
tục
Business Phân tích 220 Một cuộc điều tra và đánh giá các sự kiện bất lợi khác
impact tác động nhau có thể ảnh hưởng đến tổ chức. Nó được tiến
analysis kinh doanh hành như một giai đoạn sơ bộ của quá trình lập kế
(BIA) hoạch dự phòng, bao gồm việc xác định mức độ quan
trọng của hệ thống hoặc tập hợp các thông tin đối với
các qui trình cốt lõi của tổ chức và các ưu tiên phục
hồi.
DEVIATIONS IN QUALITY OF SERVICE
Contingency Lập Kế hoạch 214 Các hành động do quản lý cấp cao thực hiện để chỉ rõ các
Planning (CP) dự phòng nỗ lực và hành động của tổ chức nếu một sự kiện bất lợi
trở thành sự cố hoặc thảm họa. Việc lập kế hoạch này bao
gồm các nỗ lực ứng phó sự cố, khắc phục thảm họa và duy
trì hoạt động kinh doanh, cũng như lập các phân tích tác
Thuật
động kinh doanh.
Continuity Các chiến 214
Strategies lược đảm bảo
hoạt động
Crisis
Management
liên tục
Quản lý khủng 242
hoảng
Tập hợp các nỗ lực lập kế hoạch và chuẩn bị của tổ chức để
đối phó với thương tích, chấn thương tinh thần tiềm ẩn với
ngữ
con người, hoặc mất mạng do thảm họa
Disaster Kế hoạch 215 Hồ sơ/ văn bản của việc lập kế hoạch khắc phục hậu quả
recovery plan Phục hồi sau thiên tai; một kế hoạch trình bày những nỗ lực dự kiến của
(DR) thảm họa tổ chức trong trường hợp có thảm họa
Disaster Lập kế hoạch 215 Các hành động được thực hiện bởi quản lý cấp cao để
recovery phục hồi sau xác định những nỗ lực của tổ chức trong việc chuẩn bị
planning thảm họa và phục hồi sau thảm họa.
(DRP)
3
2/13/2023
Incident Ứng phó sự
Thuật
response cố
(IR)
ngữ
incident Lập kế 215 Các hành động được thực hiện bởi quản lý cấp
response hoạch ứng cao để phát triển và thực hiện chính sách, kế
planning phó sự cố hoạch IR và nhóm ứng phó sự cố an toàn máy
(IRP) tính
Incident Chính sách 224

Response ứng phó sự
Policy cố
HACKERS THREAT
Information Quản trị an 175 Việc áp dụng các nguyên tắc quản trị công ty vào chức
Security toàn thông năng an toàn thông tin.
Governance tin
Thuật
Maximum Thời gian 220 Tổng lượng thời gian mà chủ sở hữu hệ thống/ hoặc
tolerable ngưng trệ viên chức được ủy quyền sẵn sàng chấp nhận việc gián
downtime tối đa có đoạn hoặc ngưng trệ một sứ mệnh / quy trình kinh
ngữ
(MTD) thể chấp doanh, bao gồm tất cả các cân nhắc về tác động.
nhận được
Operational Kế hoạch 173 Là Hồ sơ hoặc văn bản của việc lập kế hoạch hoạt động.
plans hoạt động Kế hoạch này mô tả các nỗ lực hoạt động dự kiến hàng
ngày của tổ chức trong vài tháng tới.
Operational Lập kế 173 Các hành động mà ban lãnh đạo thực hiện nhằm xác
planning hoạch hoạt định các mục tiêu ngắn hạn của tổ chức để đạt được các
động mục tiêu chiến thuật cụ thể, sau đó là các ước tính và
lịch trình phân bổ các nguồn lực cần thiết để đạt được
các mục tiêu này
4
2/13/2023
Recovery point Mốc phục hồi dữ 220 Thời điểm trước khi hệ thống bị gián đoạn hoặc ngừng
objective (RPO) liệu hoạt động mà dữ liệu của sứ mệnh / quy trình kinh doanh
có thể được khôi phục sau khi ngừng hoạt động (được
cung cấp bản sao lưu dữ liệu gần đây nhất).
Recovery time Mốc thời gian 220 Khoảng thời gian tối đa mà tài nguyên hệ thống có thể
objective (RTO) phục hồi không có sẵn trước khi có tác động không thể chấp nhận
được đối với các tài nguyên hệ thống khác hỗ trợ nhiệm
vụ / quy trình kinh doanh và MTD
Work recovery Thời gian phục hồi 220 Số lượng nỗ lực (được biểu thị bằng thời gian đã trôi qua) cần
time (WRT) hoạt động thiết để làm cho chức năng kinh doanh hoạt động sau khi yếu tố
Thuật ngữ
công nghệ được khôi phục (như được xác định với RTO). Các
nhiệm vụ bao gồm kiểm tra và xác nhận hệ thống.
Hot site Địa điểm sử dụng Địa điểm dự phòng có Cơ sở hạ tầng bao gồm tất cả dịch vụ máy
ngay lập tức tính, mạng kết nối truyền thông và vị trí làm việc vật lý
Warm site Địa điểm sử dụng Địa điểm dự phòng có Cơ sở hạ tầng bao gồm nhiều dịch vụ
ngay giống Hot site nhưng không bao gồm các phần mềm ứng dụng
và các máy trạm làm việc (workstation)
Cold site Địa điểm chờ Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần
cứng máy tính hoặc thiết bị ngoại vi nào được cung cấp. Có sẵn
các đường truyền thông
1. Giới thiệu ứng phó sự cố và lập kế

hoạch dự phòng
Các biến cố, sự cố bất ngờ đều ảnh hưởng tới hoạt động kinh
doanh (công nghệ thúc đẩy kinh doanh)
Khả năng của một tổ chức đối phó với tổn thất do sự kiện bất
lợi gây ra phụ thuộc vào sự đúng đắn của việc lập kế hoạch và
thực hiện kế hoạch dự phòng. Nếu không, sự kiện bất lợi có thể
gây ra thiệt hại nghiêm trọng cho tài nguyên và tài sản thông tin
của tổ chức và thậm chí không thể khôi phục được -> Lập Kế
hoạch ứng phó sự cố và lập kế hoạch dự phòng cần toàn diện,
hữu hiệu
Việc lập kế hoạch ứng phó sự cố và lập kế hoạch dự phòng cần
được thực hiện tại tất cả các DN
10
10
5
2/13/2023

hoạch dự phòng
❖Lập kế hoạch cho các sự kiện bất lợi bất ngờ cần sự tham gia của:
◦ Nhóm quản lý chung (general business management)- nhóm GB)
◦ Nhóm quản lý CNTT ((Information Technology Management and Professionals) –
NHóm IT
◦ Nhóm quản lý an toàn thông tin ((Information Security(1) Management and
Professionals) – Nhóm InforSec
❖Mối quan hệ trách nhiệm giữa các nhóm quản lý:
◦ 3 nhóm : Phân tích, đánh giá cơ sở hạ tầng, phân tích mục tiêu hiện hành DN để
làm cơ sở lập kế hoạch ứng phó sự cố và dự phòng;
◦ 2 nhóm IT & InforSec: lập kế hoạch
◦ Nhóm GB phê duyệt và hỗ trợ cho kế hoạch ứng phó sự cố và kế hoạch dự phòng
◦ Nhóm ISe giám sát thực hiện kế hoạch khi sự kiện bất lợi bất ngờ xẩy ra
11
11

hoạch dự phòng
❖Tại Mỹ
◦ Một vài tổ chức liên quan tới an ninh quốc gia, việc lập và duy trì
kế hoạch ứng phó sự cố và kế hoạch dự phòng bị qui định, điều
chỉnh bởi luật
◦ Viện Tiêu Chuẩn Và Công Nghệ Quốc Gia (NIST) ban hành
“hướng dẫn lập kế hoạch dự phòng cho các hệ thống thông tin
liên bang” cho việc thực hành lập kế hoạch dự phòng.
12
12
6
2/13/2023
2. Những vấn đề cơ bản

về lập kế hoạch dự phòng
2.1. Các thành phần của lập kế hoạch dự phòng
2.2. Tiếp cận lập kế hoạch dự phòng của NIST
2.3. Quy trình CP tổng thể tích hợp các qui trình của
BIA, IRP và DRP
2.4. Nhân sự liên quan trong lập kế hoạch dự phòng
13
2.1. Các thành phần của lập kế hoạch

dự phòng
Qui trình lập Kế hoạch toàn diện ứng phó các sự cố bất lợi gọi là
lập kế hoạch dự phòng (Contingent planning-CP)
Mục tiêu chính của CP là khôi phục các phương thức hoạt động
bình thường với chi phí và thời gian gián đoạn hoạt động kinh
doanh tối thiểu nhất.
Lập kế hoạch dự phòng gồm 4 thành phần
o Phân tích ảnh hưởng kinh doanh (Business impact analysis)
BIA
o Lập Kế hoạch phản ứng sự cố (incident response plan) IR plan
o Lập Kế hoạch phục hồi sau thảm họa (disaster recovery plan)
o Lập kế hoạch đảm bảo hoạt động liên tục (Business continuity
plan)
14
14
7
2/13/2023
2.1. Các thành phần của

lập kế hoạch dự phòng
Tùy thuộc vào quy mô và triết lý kinh doanh của tổ
chức, các nhóm quản lý IT, InforSec:
o Tạo và phát triển bốn thành phần CP như một kế hoạch
thống nhất
o Tạo bốn phần riêng biệt trong sự kết nối với một tập hợp
các quy trình lồng vào nhau để đảm bảo hoạt động kinh
doanh liên tục.
15
15
2.1. Các thành

phần của lập
kế hoạch dự
phòng
16
16
8
2/13/2023
Knowledge Check Activity 1

Each of these is a major component of contingency planning EXCEPT _____.
a. incident response plan
b. business continuity plan
c. business loss analysis
d. disaster recovery plan
17
Knowledge Check Activity n: Answer

Each of these is a major component of contingency planning EXCEPT _____.
Answer: c. business loss analysis
Explanation.
The business impact analysis, or BIA, is much broader in its scope than a simple
(potential) loss analysis would be. It includes impact to the organization and the
relationships to other parts of the organization as well.
18
9
2/13/2023
2.2. Tiếp cận lập kế hoạch

dự phòng của NIST
Bắt đầu qui trình lập kế hoạch dự phòng: Lập một Đội Quản Lý Lập Kế
Hoạch Dự Phòng (CPMT- contingent planning management team)
Có 7 bước để lập kế hoạch dự phòng (CP)

1. Phát triển chính sách CP
2. Thực hiện BIA
3. Xác định kiểm soát ngăn ngừa
4. Tạo chiến lược dự phòng (hệ thống/cơ sở hạ tầng)
5. Phát triển kế hoạch dự phòng
6. Đảm bảo kế hoạch: Thực hiện kiểm tra, huấn luyện và thực hành
7. Đảm bảo duy trì kế hoạch: Cập nhật thường xuyên
19
19
2.3. Quy trình CP tổng thể tích hợp

các qui trình của BIA, IRP và DRP
Dựa trên 7 bước đề xuất của NIST,

Quy trình CP tổng thể tích hợp các qui
trình của BIA, IRP và DRP được mở
rộng thành 12 bước
20
20
10
2/13/2023
12 bước
21
1. Hình thành Contingency Planning Management

Team - CPMT (Đội quản lý lập kế hoạch dự
phòng)
12 bước 2. Xây dựng tuyên bố chính sách lập kế hoạch dự

phòng
3. Tiến hành phân tích tác động kinh doanh (BIA):

xác định và thứ tự ưu tiên các chức năng của tổ
chức cũng như IS và các thành phần quan trọng
để hỗ trợ quy trình kinh doanh của tổ chức
22
22
11
2/13/2023
4. Hình thành các nhóm lập kế hoạch ở

cấp dưới: Theo từng nhóm có nhiệm
vụ lập các kế hoạch (IRP, DRP và
BCP)
5. Phát triển chính sách lập kế hoạch ở
cấp dưới:
12 bước 6. Tích hợp phân tích ảnh hưởng kinh
doanh (BIA). Mỗi nhóm lập kế hoạch
cấp dưới sẽ xem xét một cách độc
lập và kết hợp các khía cạnh của BIA
có tầm quan trọng đối với các nỗ lực
lập kế hoạch của họ.
23
23
7. Xác định các kiểm soát ngăn ngừa.

8. Tổ chức các đội phản ứng cấp dưới:
Xác định các kỹ năng và nhân sự cần
thiết cho mỗi nhóm phản ứng cấp
dưới (IR/DR/BC) và xác định nhân sự
cần thiết. Họ sẽ thực hiện trực tiếp
một kế hoạch cụ thể nếu được kích
hoạt.
12 bước 9. Tạo chiến lược dự phòng: dựa vào
đóng góp của các trưởng nhóm cấp
dưới, CPMT sẽ đánh giá và đầu tư
vào các chiến lược IR, DR và BC:
các kế hoạch sao lưu và phục hồi dữ
liệu, lưu trữ dữ liệu off-site và các
chiến lược sử dụng các địa điểm
(site) thay thế
24
24
12
2/13/2023
10. Xây dựng kế hoạch CP ở cấp dưới: Đối với mỗi khu
vực trực thuộc, phát triển một kế hoạch để xử lý các
hành động và hoạt động tương ứng cần thiết để (a) ứng
phó với sự cố, (b) phục hồi sau thảm họa và (c) thiết lập
hoạt động tại một vị trí thay thế sau một sự kiện gián
đoạn
11. Đảm bảo kế hoạch kiểm tra, huấn luyện và tập
luyện: Đảm bảo mỗi kế hoạch cấp dưới được kiểm tra
và các nhân viên tương ứng được huấn luyện để xử lý
12 bước bất kỳ trường hợp nào leo thang thành sự cố hoặc
thảm họa
12. Đảm bảo duy trì kế hoạch: Quản lý kế hoạch, đảm

bảo xem xét, đánh giá và cập nhật định kỳ
25
25
2.4. Nhân sự liên quan

Đội quản lý lập kế hoạch dự phòng - CPMT (contingency
planning management team) : Là một nhóm gồm quản lý cấp
cao và các thành viên đội dự án để thực hiện và dẫn dắt tất cả
các hoạt động liên quan lập kế hoạch dự phòng:
• Quản lý cấp điều hành (coordinating executive)
• Đại diện các bộ phận kinh doanh chính có liên quan
• Quản lý ở mỗi nhóm có ảnh hưởng tới ATTT (nhóm
quản lý chung, quản lý IT, quản lý InforSe)
26
26
13
2/13/2023

Ø Các vị trí chủ chốt của CPMT (contingency
planning management team)
Hỗ trợ CPMT (CTMT champion): COO (Chief
operation officer) hoặc CEO/president. Kết nối
với tầm nhìn chiến lược của tổ chức và hỗ trợ
các nguồn lực khác
Quản lý dự án (Project Manager). Là CISO/quản
lý cấp trung. Đảm bảo sử dụng nguồn lực của
dự án, hoàn thành dự án
27
27

• Thành viên Đội dự án (Team members):
§ Đại diện quản lý của 3 nhóm (quản lý KD chung, quản lý
IT và InforrSec)
o đại diện quản lý KD chung: Cung cấp thông tin về
hoạt động kinh doanh
o Đại diện quản lý IT: Cung cấp thông tin về rủi ro hệ
thống -> sử dụng cho BIA, kế hoạch IR, DR, BC
o Đại diện quản lý InforSec: (1) cung cấp thông tin
nguy cơ, điểm yếu, tấn công và yêu cầu khôi phục
hệ thống. (2) Giám sát việc lập kế hoạch ANTTT.
§ Đại diện pháp lý. Đảm bảo tính pháp lý của việc lập và
thực hiện kế hoạch CP
§ Đại diện truyền thông. Đảm bảo truyền thông trong quản
lý khủng hoảng
§ Đại diện đội lập kế hoạch cấp dưới
28
28
14
2/13/2023
3. Tuyên bố Chính sách

o Trước khi phát triển từng loại tài liệu CP được nêu trong qui trình lập
CP, đội nhân sự CP nên làm việc để phát triển môi trường chính
sách hỗ trợ quá trình BIA và nên cung cấp hướng dẫn chính sách cụ
thể về việc cho phép tạo ra từng hợp phần lập kế hoạch ( IR, DR và
BC).
o Các chính sách này cung cấp hướng dẫn về cấu trúc của các nhóm
cấp dưới và triết lý của tổ chức, đồng thời chúng hỗ trợ trong việc
cấu trúc kế hoạch.
o Giống như chính sách InfoSec của doanh nghiệp xác định các vai
trò và trách nhiệm của InfoSec cho toàn bộ doanh nghiệp, mỗi tài
liệu CP đều dựa trên một chính sách cụ thể xác định các vai trò và
trách nhiệm liên quan đối với thành phần đó của môi trường CP tổng
thể trong tổ chức
29
29
Nội dung chính sách lập kế hoạch dự phòng

• Giới thiệu quan điểm của quản lý cấp cao về
tầm quan trọng của CP
• Mô tả Phạm vi và mục đích của hoạt động CP
• Lời kêu gọi của CPMT về việc thực hiện định kỳ
đánh giá rủi ro và BIA
3. Tuyên bố • Mô tả các thành phần chính của CP
• Lời kêu gọi và hướng dẫn lựa chọn các phương
án phục hồi và chiến lược kinh doanh liên tục
Chính sách • Yêu cầu để kiểm tra các kế hoạch (IR/DR/BC)
lập kế hoạch theo qui định (thực hiện định kỳ)

• Xác định các quy định và tiêu chuẩn chính ảnh
hưởng đến việc lập CP
dự phòng • Xác định các cá nhân chủ chốt chịu trách nhiệm
chính các hoạt động
• Xác định tầm quan trọng và đưa lời kêu gọi hỗ
trợ từ các thành viên khác trong tổ chức
• Thông báo các hoạt động hành chính, quản lý
bổ sung
30
30
15
2/13/2023
BIA: Một điều tra và đánh giá các sự kiện bất lợi khác
nhau có thể ảnh hưởng đến tổ chức, là giai đoạn tiền
4. Phân tích đề của CP. Nó xác định chức năng kinh doanh và hệ
thống thông tin nào là quan trọng nhất đối với sự
ảnh hưởng thành công của tổ chức , từ đó xác định trình tự ưu
tiên để khôi phục các chức năng này.
kinh doanh
BIA-
Business BIA giả định các biện pháp kiểm soát đã bị bỏ
qua/không thành công/không hiệu quả; giả định cuộc
Impact tấn công đã thành công. Bằng cách giả định điều tồi
tệ nhất đã xảy ra và sau đó đánh giá điều đó sẽ ảnh
Analysis hưởng như thế nào đến tổ chức, các nhà lập kế
hoạch có được cái nhìn sâu sắc về cách ứng phó với
sự kiện bất lợi, giảm thiểu thiệt hại, phục hồi sau các
tác động và trở lại hoạt động bình thường
31
31
Khi thực hiện BIA, cần cân nhắc các vấn đề

sau
• Phạm vi (scope): Phạm vi nào của tổ chức
4. Phân tích liên quan; bao gồm Hệ thống nào? Rủi ro nào
ảnh hưởng cần đánh giá
• Kế hoạch (plan) Kế hoạch thu thập dữ liệu để
kinh doanh phân tích toàn diện và cung cấp thông tin
chính xác phù hợp
BIA- • Cân bằng (balance). Cân bằng giữa khách
quan (dữ liệu, thông tin có sẵn) và chủ quan
Business (kinh nghiệm, kiến thức) khi đánh giá vấn đề.
• Mục tiêu (Objective). Xác định trước những gì
Impact mà những người ra quyết định chính yêu cầu
để đưa ra các lựa chọn.
Analysis • Theo dõi (follow up): truyền thông định kỳ
hoạt động BIA để đảm bảo qui trình thực hiện
BIA được hoàn thành và cho kết quả tốt
32
32
16
2/13/2023
4. Phân tích Theo NIST SP 800-34, Rev. 1, CPMT tiến

ảnh hưởng hành BIA trong ba giai đoạn:
o Xác định sứ mệnh / quy trình kinh
kinh doanh doanh và mức độ quan trọng của việc
BIA- phục hồi
o Xác định các yêu cầu về nguồn lực/
Business tài nguyên
Impact o Xác định các ưu tiên phục hồi cho
nguồn lực/tài nguyên hệ thống
Analysis
33
33
4. Phân tích ảnh

hưởng kinh doanh
BIA- Business
Impact Analysis
4.1. Xác định nhiệm vụ / quy

trình kinh doanh và mức độ
quan trọng của việc phục hồi
4.2. Xác định yêu cầu nguồn lực

phục hồi
34
17
2/13/2023
Xác định quy trình kinh doanh và mức

độ quan trọng của qui trình
4.1. Xác định • Việc đánh giá các BP chức năng được thực hiện
độc lập với các chức năng khác.
nhiệm vụ/ quy • Cần thu thập thông tin quan trọng về mỗi BP chức
trình kinh năng trước khi xác định mức ưu tiên
• Sử dụng bảng phân tích trọng số “A weighted
doanh và mức analysis table” để phân tích
độ quan trọng • Ban quản lý cấp cao DN (senior management) cần
phân xử trong trường hợp giữa các trưởng BP
của việc phục chức năng và điều hành với CMPT có xung đột về
xác định về mức độ ưu tiên của BP trong khôi phục
hồi • VD: các hoạt động khôi phục có thể sẽ tập trung
vào Phòng CNTT và hoạt động mạng trước khi
chuyển sang các hoạt động tuyển dụng của Phòng
Nhân sự
35
Example of Weighted Table Analysis of

Business Processes (1 of 2)
Criterion Impact Impact on Impact on Impact on Impact on
on Profitability Product/Service Market Reputation
Revenue Delivery Share
# Criterion 0.25 0.3 0. 15 0.2 0.1 TOTAL Importance
Weight (0‒5; Not
Business Important
Process to Critically
Important)
1 Customer 5 5 5 5 4 4.9 Critically
sales Important
2 Production 5 5 5 3 3 4.4 Critically
Important
3 Information 3 3 3 3 5 3.2 Very
security Important
services
36
18
2/13/2023
Example of Weighted Table Analysis of

Business Processes (2 of 2)
Criterion Impact on Impact on Impact on Impact on Impact on
Revenue Profitability Product/Service Market Reputation
Delivery Share
4 IT services 4 3 4 2 2 3.1 Very
Important
5 Customer 2 3 2 1 4 2.3 Important
services
6 Research & 1 1 2 3 3 1.75 Somewhat
development Important
7 Employee 1 1 2 1 2 1.25 Somewhat
support Important
services
37
Xác định mức độ quan trọng của phục hồi: Khi xem xét mức
4.1. Xác định độ quan trọng của việc phục hồi, các đo lường phục hồi thường
dựa trên mức độ phục hồi tài sản trong một khung thời gian xác
nhiệm vụ/ định, thông qua các tiêu chí:

Thời gian ngưng hoạt động tối đa có thể chấp nhận được
(Maximum tolerable downtime - MTD) Tổng thời gian chủ
quy trình sở hữu hệ thống/được ủy quyền sẵn sàng chấp nhận
ngừng hoạt động hoặc gián đoạn quy trình kinh
kinh doanh doanh/nhiệm vụ, đã xem xét bao gồm tất cả các tác động
ảnh hưởng.
và mức độ
Mốc thời gian phục hồi (Recovery time objective - RTO):
TG hệ thống (vật lý) được phục hồi
Mốc phục hồi dữ liệu (Recovery point objective - RPO):
quan trọng TG từ lần lưu dự phòng cuối cùng cho tới TG hệ thống bị
ngưng trệ
của việc Thời gian phục hồi hoạt động (Work recovery time -
WRT): TG cần thiết để các chức năng kinh doanh hoạt
động lại sau khi thành phần kỹ thuật của HT được khôi
phục hồi phục. Nó bao gồm hoạt động kiểm tra (testing) và chấp
nhận chính thức HT sau kiểm tra.
38
38
19
2/13/2023
RTO vs.
RPO
39
RTO, RPO, MTD, and WRT
40
20
2/13/2023
Cost
Balancing
41
Cost Balancing
Cần xác định điểm tối ưu cho phục hồi hệ
thống:
• Đạt nhu cầu bắt buộc của BIA
• Cân bằng giữa chi phí tổn thất của hệ
thống ngưng hoạt động và chi phí của
nguồn lực cho việc phục hồi
VD: Nếu hệ thống bị ngưng trệ lâu thì chi phí
tổn thất ngưng hoạt động cao; Muốn RTO
càng ngắn thì càng cần nhiều chi phí cho
thiết kế và sử dụng giải pháp (nhiều giải
pháp trùng lắp do dự phòng) và ngược lại.
42
42
21
2/13/2023
Xác định mức độ quan

trọng của phục hồi
1. Hãy phân tích mối quan hệ giữa RPO, RTO,
WRT, MTD?
2. Dựa vào mối quan hệ giữa RPO, RTO, WRT,
MTD, hãy cho biết nó ảnh hưởng thế nào tới
quyết định lựa chọn công nghệ phù hợp:
• cho việc lưu dự phòng
• và phục hồi hệ thống
43
43
Sắp xếp ưu tiên tài sản thông tin:
4.2. Xác Khi BIA, CPMT sẽ đánh giá các ưu tiên và các giá trị liên
quan đến sứ mệnh/quy trình kinh doanh.
định yêu Để làm như vậy, CPMT cần hiểu các tài sản thông tin được
cầu nguồn sử dụng bởi các quy trình, vì sự hiện diện của các tài sản
thông tin có giá trị cao có thể ảnh hưởng đến việc định giá
lực phục một quy trình kinh doanh cụ thể.
Thông thường, nhiệm vụ này sẽ được thực hiện như một

hồi phần của chức năng đánh giá rủi ro trong quy trình quản lý
rủi ro.
44
22
2/13/2023
Xác định yêu cầu nguồn lực phục hồi
Sau khi đã tạo danh sách ưu tiên cho nhiệm vụ/quy trình
4.2. Xác kinh doanh của mình, đơn vị cần xác định nguồn lực nào
định yêu sẽ được yêu cầu để khôi phục các quy trình đó và tài sản
liên quan đến chúng.
cầu nguồn Đối với mỗi quy trình (và tài sản thông tin) được xác định
trong giai đoạn BIA trước đó, đơn vị cần xác định và mô tả
lực phục các nguồn lực liên quan cần thiết để cung cấp hoặc hỗ trợ
quy trình đó.
hồi Phương pháp đơn giản hóa để tổ chức thông tin này là
đưa nó vào một bảng tài nguyên /thành phần.
45
4.2. Xác định yêu cầu nguồn lực phục hồi

Xác định mức độ ưu tiên của sứ mệnh và qui trình
kinh doanh
• Cần hiểu rõ tài sản thông
Xác định các yêu cầu về nguồn lực/nguồn tài nguyên tin sử dụng bởi các qui
Sử dụng bảng nguồn lực/ trình kinh doanh
thành phần Xác định các yêu cầu nguồn lực để khôi phục qui • Giá trị TS thông tin có thể
resource/component table trình và tài sản liên quan ảnh hưởng tới đánh giá 1
qui trình KD cụ thể
Xác định các ưu tiên khôi phục nguồn lực/nguồn tài nguyên hệ
thống
• Xác định, phân loại, xác định mức độ ưu tiên bảo vệ của nguồn lực/tài nguyên
• Dán nhãn các tài sản này (xác định, phân loại và mức độ ưu tiên):
Primary/Secondery/Tertiary. Hoặc là Critial/Very
important/Important/routine
46
46
23
2/13/2023
Example Resource/Component Table

(1 of 2)
Mission/Business Required Resource Additional Resource Description and Estimated
Process Components Details Costs
Provide customer support Trouble ticket and Application server w/ Each help-desk technician
(help-desk) resolution application LINUX OS, Apache requires access to the
server, and SQL organization's trouble ticket and
database resolution software application,
hosted on a dedicated server.
See current cost recovery
statement for valuation.
Provide customer support Help-desk network 25 Cat5e network The help-desk applications are
(help desk) segment drops, gigabit network networked and require a
hub network segment to access.
See current cost recovery
statement for valuation.
47
Example Resource/Component Table

(2 of 2)
Mission/Business Required Resource Additional Resource Description and Estimated
Process Components Details Costs
Provide customer support Help-desk access 1 laptop/PC per The help-desk applications
(help desk) terminals technician, with Web- require a Web interface on a
browsing software laptop/PC to access. See
current cost recovery statement
for valuation.
Provide customer billing Customized accounts Application server with Accounts Receivable requires
receivable application Linux OS, Apache access to its customized AR
server, and SQL software and customer
database database to process customer
billing. See current cost
recovery statement for
valuation.
48
24
2/13/2023
4.2. Xác Xác định mức độ ưu tiên khôi phục nguồn

định yêu lực/tài nguyên
cầu • Tạo 1 bảng phân tích trọng số theo từng
nguồn lực yêu cầu trong từng qui trình
nguồn • Phân loại các mức độ ưu tiên:
lực phục Primary/Secondery/Tertiary. Hoặc
Critial/Very important/Important/routine
là
hồi
49
49
5. Ứng phó sự cố
5.1. Các khái niệm và giới thiệu ứng phó sự
cố
5.2. Chính sách ứng phó sự cố
5.3. Lâp kế hoạch ứng phó sự cố
5.4. Phát hiện sự cố
5.5. Hành động phản ứng với sự cố
5.6. Khôi phục sau sự cố
50
25
2/13/2023
5.1. Ứng phó sự cố - Khái niệm và

giới thiệu
Khái niệm
Sự cố (Incident) là sự kiện bất lợi (adverse
event)có biểu hiện gây thiệt hại cho tài sản thông
tin nhưng chưa đe dọa những hoạt động như dự
định ban đầu của tổ chức.
Sự cố an toàn thông tin được nhận diện nếu Các
sự kiện bất lợi có các đặc điểm sau
o Nhắm tới các tài sản thông tin.
o Có một cơ hội thực sự thành công
o Đe dọa đến tính bảo mật, tính toàn vẹn hoặc
tính sẵn có của các tài nguyên và tài sản
thông tin.
51
51

giới thiệu
Khái niệm
✓ Ứng phó sự cố (Incident response IR) là một tập hợp
gồm lập kế hoạch và chuẩn bị các nỗ lực để phát hiện,
phản ứng với và khôi phục các sự cố
✓ Lập kế hoạch ứng phó sự cố (Incident response
planning IRP) là hành động được thực hiện bởi hoạt
động quản lý cấp cao để phát triển và thực hiện
chính sách phản ứng sự cố, kế hoạch và phát triển đội
phản ứng sư cố an toàn máy tính.
52
52
26
2/13/2023

giới thiệu
Khái niệm
✓ Kế hoạch ứng phó sự cố (Incident response plan IR Plan) là hồ
sơ kết quả của hoạt động lập kế hoạch phản ứng sự cố. Kế
hoạch này phải trình bày được các nỗ lực dự định của tổ chức
khi sự cố xảy ra.
✓ Đội ứng phó sự cố an toàn máy tính (Computer security
Incident response team CSIRT) là một đội ứng phó sự cố gồm
kỹ thuật IT, quản lý IT và chuyên gia an toàn thông tin, được
thành lập để phát hiện, phản ứng với và khôi phục sự cố. Vài
thành viên chủ chốt của đội lập kế hoạch sự cố (IRPT) có thể là
thành viên của CSIRT
53
53
5.1. Ứng phó sự cố - Khái niệm và giới thiệu
❖ Đội quản lý lập kế

hoạch dự phòng (CPMT)
Thành
lập
❖ Chính sách phản ứng

❖ Đội lập kế hoạch ứng Xây
sự cố
phó sự cố (IRPT) dựng
❖ Lập kế hoạch ứng phó
Thành
lập sự cố
❖ Đội ứng phó sự cố an

toàn máy tính (CSIRT)
54
54
27
2/13/2023

Thành lập đội CMPT
Phát triển chính sách CP ❖NIST- Viện Tiêu Chuẩn Và Công Nghệ
(lập kế hoạch dự phòng)
Quốc Gia (Mỹ) phát triển Khuôn Mẫu
An Ninh Mạng – CSF (NIST
Thực hiện phân tích ảnh
hưởng kinh doanh – BIA Cybersicurity Framwork), tập trung
trong việc bảo vệ cơ sở hạ tầng an
ninh mạng, hỗ trợ cho phương pháp
Phản ứng sự cố (IR): 4 giai đoạn luận phản ứng sự cố
• Lập kế hoạch (planning)
• Phát hiện (detection)
• Đáp trả (reaction)
• Phục hồi/khôi phục
(Recovery)
55
55

Các giai đoạn trong khuôn mẫu an ninh mạng (CSF)
56
56
28
2/13/2023

Khuôn mẫu an ninh mạng (CSF)
57
57

Khuôn mẫu an ninh mạng (CSF)
• Xác định (Identify). Liên quan tới quản lý và quản trị rủi
ro
• Bảo vệ (protect). Liên quan tới triển khai các kiểm soát
an toàn hiệu quả (chính sách; giáo dục; huấn luyện và
nhận thức; và công nghệ)
• Phát hiện (Detect). Liên quan tới xác định các sự kiện bất
lợi
• Phản ứng (respond). Liên quan tới hành động đáp trả khi
sự cố xẩy ra
• Khôi phục (recover). Liên quan tới việc trả lại tình trạng
bình thường
58
58
29
2/13/2023
Chính sách ứng phó sự cố (IR policy)

là bản hướng dẫn việc phát triển và
thực hiện kế hoạch ứng phó sự cố; và
hướng dẫn hình thành, thực hiện hoạt
5.2. Chính động của đội phản ứng sự cố
sách ứng
Chính sách cần xây dựng để tất cả
phó sự cố các thành viên trong tổ chức, các bên
liên quan đều hiểu được rõ ràng; Đảm
bảo được sự hỗ trợ của quản lý cấp
cao và của 3 nhóm có lợi ích liên quan
59
59
5.2. Chính sách ứng phó

sự cố
Nội dung chính sách IR (Theo hướng dẫn của NIST)
§ Tuyên bố cam kết quản lý
§ Mục đích (purpose) và mục tiêu (objectives) của chính sách
§ Phạm vi của chính sách (áp dụng cho ai, áp dụng những gì và
trong những trường hợp nào)
§ Định nghĩa các sự cố an toàn thông tin và các điều khoản liên quan
§ Cơ cấu tổ chức và định nghĩa về vai trò, trách nhiệm và mức độ
quyền hạn:
o Thẩm quyền của nhóm ứng phó sự cố để tịch thu hoặc ngắt
kết nối thiết bị và giám sát hoạt động đáng ngờ,
o các yêu cầu về báo cáo một số loại sự cố,
o các yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ
thông tin (những gì có thể được chia sẻ, với ai, khi nào, và
qua những kênh nào),
§ Xếp hạng mức độ ưu tiên hoặc mức độ nghiêm trọng của sự cố
§ Đo lường thành quả
§ Biểu mẫu báo cáo và liên hệ
60
60
30
2/13/2023
5.3. Lập kế hoạch

ứng phó sự cố
❖Lập kế hoạch ứng phó sự cố là phát triển một loạt các phản ứng được xác định trước để
hướng dẫn CSIRT của tổ chức và nhân viên an toàn thông tin.
❖Ứng phó sự cố (IR) là các biện pháp phản ứng, không phải là một biện pháp phòng ngừa,
mặc dù hầu hết các kế hoạch IR bao gồm các khuyến nghị phòng ngừa
❖Các hành động ứng phó sự cố thường bao gồm:

◦ Phát hiện
◦ Hành động đáp trả
◦ Khôi phục
❖Cần lập 3 bộ quy trình xử lý sự cố: tập trung phân chia trách nhiệm trong các hành động
phản ứng sự cố
o trong sự cố
o Trước sự cố
o Sau sự cố
Các qui trình này cần được lập hồ sơ rõ ràng và nó là 1 phần trong kế hoạch ứng phó sự cố
61
61

Theo NIST (SP 800-61, Rev2), một kế hoạch ứng phó sự cố bao gồm
(p188)
◦ Sứ mệnh (mission)
◦ Chiến lược và mục tiêu
◦ Phê duyệt của quản lý cấp cao
◦ Cách tiếp cận của tổ chức đối với ứng phó sự cố
◦ Cách truyền thông của đội ứng phó sự cố
◦ Các chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
◦ Lộ trình hoàn thiện năng lực ứng phó sự cố
◦ Cách để chương trình phản ứng sự cố phù hợp với tổ chức
trong tổng thể
62
62
31
2/13/2023

Nhân sự liên quan: đội CP ,CIO, CISO, hoặc
người quản lý CNTT có trách nhiệm bảo mật
thường chịu trách nhiệm tạo Kế hoạch phản ứng
sự cố (IR)
63
63
Incident Handling Checklist from NIST

SP 800-61, Rev. 2 (1 of 3)
Action Completed
Detection and Analysis
1. Determine whether an incident has occurred
1.1 Analyze the precursors and indicators
1.2 Look for correlating information
1.3 Perform research (e.g., search engines, knowledge base)
1.4 As soon as the handler believes an incident has occurred, begin
documenting the investigation and gathering evidence
2. Prioritize handling the incident based on the relevant factors
(functional impact, information impact, recoverability effort, etc.)
3. Report the incident to the appropriate internal personnel and
external organizations
64
32
2/13/2023

SP 800-61, Rev. 2 (2 of 3)
Action Completed
Containment, Eradication, and Recovery
4. Acquire, preserve, secure, and document evidence
5. Contain the incident
6. Eradicate the incident
6.1 Identify and mitigate all vulnerabilities that were exploited
6.2 Remove malware, inappropriate materials, and other components
6.3 If more affected hosts are discovered (e.g., new malware infections),
repeat the Detection and Analysis steps (1.1, 1.2) to identify all other
affected hosts, then contain (5) and eradicate (6) the incident for
them
65

SP 800-61, Rev. 2 (3 of 3)
Action Completed
7. Recover from the incident
7.1 Return affected systems to an operationally ready state
7.2 Confirm that the affected systems are functioning normally
7.3 If necessary, implement additional monitoring to look for future
related activity
Post-Incident Activity
8. Create a follow-up report
9. Hold a lessons learned meeting (mandatory for major incidents,
optional otherwise). While not explicitly noted in the NIST
document, most organizations will document the findings from this
activity and use it to update relevant plans, policies, and procedures.
66
33
2/13/2023

❖Phát hiện sự cố (incident detective) là việc xác định và phân loại
sự kiện bất lợi xem nó có cấu thành sự cố hay không?
❖Phân loại sự cố là việc kiểm tra các sự kiện bất lợi và xác định
liệu nó có trở thành sự cố hay không?
❖Việc phát hiện sự cố là thách thức khó khăn nhưng quan trọng vì
khi xác định và phân loại đúng cách sự cố thực tế, các thành viên
của nhóm phản ứng sự cố mới có thể thực hiện hiệu quả các quy
trình tương ứng từ kế hoạch ứng phó sự cố (IR plan)
❖Các cơ chế có thể phát hiện sự cố bao gồm phát hiện xâm nhập
và hệ thống ngăn chặn (dựa trên máy chủ và mạng), phần mềm
phát hiện vi rút, quản trị viên hệ thống và thậm chí cả người dùng
cuối
67
67

Các chỉ báo sự kiện bất lợi có khả năng trở thành sự cố
(possible Indicators)
◦ Xuất hiện các tập tin không quen thuộc
◦ Xuất hiện hoặc thực hiện các chương trình hoặc qui trình
không biết
◦ Sử dụng các nguồn lực /tài nguyên HT môt cách bất
thường
◦ Hệ thống bị treo bất thường.
68
68
34
2/13/2023

Các chỉ báo sự kiện bất lợi có khả năng cao xảy ra
(probable indicators)
• Hoạt động vào những thời điểm không mong
muốn. Xem xét số lượng truy cập, đặc biệt vào
những lúc ngoài giờ làm việc thông thường.
• Sự hiện diện của các tài khoản mới. Đặc biệt lưu
ý các tài khoản mới đã hủy đăng nhập mà có các
đặc quyền đặc biệt
• Các cuộc tấn công được báo cáo: cần xem xét
cẩn thận mức độ cuộc tấn công (nghi ngờ hay
đang diễn ra)
• Thông báo từ IDPS (intrusion detection and
prevention systems - hệ thống ngăn chặn và phát
hiện xâm nhập)
69
69

Các chỉ báo xác định (Definition Indicators) sự kiện bất lợi trở thành sự cố
(các hoạt động báo hiệu rõ ràng một sự cố đang diễn ra hoặc đã xảy ra)
• Sử dụng các tài khoản không hoạt động (Dormant acoounts), là
các tài khoản của những người đã nghỉ nhưng chưa xóa và
không có quyền truy cập từ xa; hoặc là các TK giả để kiểm tra
hệ thống
• Thay đổi được ghi nhận trong nhật ký hệ thống. Nếu có các thay
đổi quyền truy cập hoặc sử dụng các hệ thống và dữ liệu được
ghi nhận trong nhật ký hệ thống
• Sự hiện diện của các công cụ hacker. Người quản trị mạng sử
dụng các điểm yếu tiềm ẩn của hệ thống và các công cụ đánh
giá mạng để xác định điểm yếu bảo mật, kiểm tra sự xâm nhập
vào hệ thống. Tuy nhiên, việc sử dụng các công cụ này bị cấm
tuyệt đối, chỉ trừ khi được sự cho phép của CISO và được giám
sát chặt chẽ.
• Thông báo của đối tác hoặc đồng nghiệp
• Thông báo của hacker.
70
70
35
2/13/2023

Một số tình huống khác là dấu hiệu liên quan sự cố:
• Mất tính khả dụng. Thông tin hoặc hệ thống thông tin
không sẵn sàng cho việc sử dụng
• Mất tính toàn vẹn: Thông tin/dữ liệu bị sai, không sử
dụng được
• Mất tính bảo mật. Thông tin bí mật, quan trọng hoặc
được bảo vệ bị công bố bất hợp pháp, bị rò rỉ.
• Vi phạm chính sách của công ty về sử dụng và bảo
mật
• Vi phạm pháp luật về sử dụng hệ thống thông tin,
công bố và sử dụng thông tin
71
71

Which of these is not a definite indicator that an event is an incident?
a. Use of dormant accounts
b. Unusual system crashes
c. Changes to logs
d. Presence of hacker tools
72
36
2/13/2023
Knowledge Check Activity 2: Answer

Which of these is not a definite indicator that an event is an incident?
Answer: b. Unusual system crashes
Explanation.
Unusual system crashes may be a possible indicator, and should be carefully

investigated, but they do not rise to the level of a definite indicator.
73
5.5. Phản ứng với sự cố

• Phản ứng với sự cố được thực hiện đồng loạt bởi
CSIRT và các nhân sự liên quan khác ngay lập tức
sau khi xác định và phân loại sự cố.
• Phản ứng sự cố gồm các hành động được nêu
trong kế hoạch IR hướng dẫn tổ chức nỗ lực ngăn
chặn sự cố, giảm thiểu tác động của sự cố và cung
cấp thông tin để khắc phục. Các bước trong phản
ứng sự cố
o Thông báo cho nhân sự chủ chốt
o Lập tài liệu sự cố
o Các tiếp cận lựa chọn phản ứng sự cố
o Sự leo thang của sự cố
74
74
37
2/13/2023
Thông báo cho nhân

sự chủ chốt
• Khi nhận được thông báo xác định sự cố từ các BP liên quan (VD
người sử dụng, quản trị viên hệ thống, phòng thông tin khách hàng
v.v,), đội IRT cần thông báo với những người chủ chốt. DN cần duy
trì hồ sơ cảnh báo (alert roster) chứa các thông tin cần liên lạc với
những người được thông báo về sự cố
• Thông điệp cảnh báo (alert message) sẽ được gửi để cảnh báo.
Thông điệp cảnh báo gồm: mô tả sự cố hoặc thảm họa bằng thông
tin gọn, đủ, rõ ràng để hiểu được phần qui trình nào (IR hay DR)
được thực hiện.
• Các nhân viên chủ chốt khác cũng phải được thông báo về sự cố
chỉ sau khi sự cố đã được xác nhận, nhưng trước khi phương tiện
truyền thông hoặc các nguồn bên ngoài khác biết về nó.
75
75
Thông báo cho nhân

sự chủ chốt
Có 2 cách kích hoạt hồ sơ cảnh báo: theo trình tự (Consequently) và
phân cấp (hierachiclly). Tuy nhiên, hiện đã có hệ thống tự động cảnh
báo hỗ trợ các phương pháp này
• Theo trình tự. Là sự kết nối cảnh báo của từng người với
nhau theo thứ tự trong hồ sơ cảnh báo. Ưu điểm: thông tin
cảnh báo chính xác và theo đúng trình tự được thiết kế trước
trong hồ sơ cảnh báo. Nhược: chậm, mất nhiều thời gian
hơn.
• Phân cấp. Người nhận cảnh báo ban đầu sẽ kết nối cảnh
báo với một nhóm người được xác định trong hồ sơ cảnh
báo và những người này lại tiếp tục cảnh báo với những
người khác trong hồ sơ cảnh báo. Ưu: nhanh. Nhược: thông
tin có thể bị sai hoặc có thể phá vỡ trình tự ưu tiên nhận
cảnh báo.
76
76
38
2/13/2023
Lập tài liệu

sự cố
Ngay sau khi một sự cố hoặc thảm
họa đã được công bố, nhân viên
chủ chốt phải được thông báo và
cần bắt đầu lập hồ sơ về sự cố
kiện đang diễn ra để:
◦ Làm tài liệu chứng minh việc đã
làm
◦ Công bố, truyền thông về sự cố
◦ Phân tích, huấn luyện sau này
77
77
Các tiếp cận lựa

chọn ứng phó sự cố
◦ Các chiến lược lựa chọn ứng phó sự cố tập trung
vào việc:
◦ Dừng sự cố
◦ Khôi phục quyền kiểm soát của các hệ thống bị ảnh hưởng
◦ Các chiến lược lựa chọn ứng phó điển hình:
◦ Vô hiệu hóa tài khoản người dùng bị xâm phạm
◦ Cấu hình lại tường lửa để chặn truy cập
◦ Tạm thời vô hiệu hóa quy trình hoặc dịch vụ bị xâm nhập
◦ Gỡ bỏ các đường kết nối với ứng dụng hoặc máy chủ
◦ Ngắt kết nối mạng hoặc phân đoạn mạng bị ảnh hưởng
◦ Dừng tất cả các máy tính và thiết bị mạng.
78
78
39
2/13/2023
Trường hợp sự cố bị leo

thang (incident escalation)
◦ Sự cố trở thành thảm họa: Một sự cố có thể gia tăng
về phạm vi hoặc mức độ nghiêm trọng đến mức kế
hoạch ứng phó sự cố không thể ngăn chặn sự cố một
cách thỏa đáng. Vd, cuộc tấn công từ chối dịch vụ ảnh
hưởng tới 1 hệ thống trong 1 thời gian ngắn được goi
là sự cố. Khi nó leo thang ảnh hưởng toàn tổ chức
trong thời gian dài sẽ được coi là thảm họa.
◦ Mỗi tổ chức sẽ phải xác định, trong quá trình phân tích
tác động kinh doanh, thời điểm mà sự cố trở thành
thảm họa.
◦ Tổ chức phải lập hồ sơ khi có sự tham gia của những
người ứng phó từ bên ngoài.
79
79
5.6. Khôi phục sau sự

cố
Đánh giá thiệt hại từ sự cố.
◦ Thông báo cho các nhân lực phù hợp
◦ CSIRT phải đánh giá toàn bộ mức độ thiệt hại để
xác định cần phải làm gì để khôi phục hệ thống.
◦ Đánh giá thiệt hại: xác định phạm vi vi phạm tính bảo
mật, tính toàn vẹn và tính sẵn sàng của thông tin và
tài sản thông tin.
◦ Đào tạo nhân sự về cách thu thập và bảo quản bằng
chứng trong trường hợp vụ việc là một phần của tội
phạm hoặc dẫn đến một vụ kiện dân sự.
80
80
40
2/13/2023

Quy trình khôi phục sự cố
◦ Xác định xử lý các điểm yếu tiềm ẩn dẫn tới sự cố
◦ Giải quyết các thiếu hụt hoặc kiểm soát không hiệu
quả liên quan tới sự cố: Cài đặt, thay thế hoặc
nâng cấp chúng.
◦ Đánh giá năng lực giám sát (nếu có) và gia tăng
hay cài đặt mới hệ thống giám sát
◦ Khôi phục dữ liệu từ các bản sao lưu (nếu cần).
◦ Khôi phục các dịch vụ và quy trình đang sử dụng.
◦ Giám sát liên tục hệ thống.
◦ Khôi phục niềm tin đối với 3 nhóm liên quan (quản
lý IT, InforSec; Quản lý chung)
81
81

Triết lý trong xử lý sự cố và thảm họa
◦ Sự cố và thảm họa bắt nguồn từ: (1) một cuộc tấn công có
chủ ý vào tài sản thông tin của một cá nhân hoặc một nhóm;
(2) tấn công từ một nguồn không chủ ý (như cung cấp dịch
vụ; sai sót của con người; thảm họa tự nhiên)
◦ Tùy nguồn gốc, một tổ chức có thể lựa chọn triết lý xử lý sự
cố hoặc thảm họa:
◦ Bảo vệ và quên (Protect and forgot) còn được gọi là "vá lỗi
(patch) và tiếp tục (proceed)“. Là triết lý tập trung vào sự
bảo vệ tài sản thông tin và ngăn ngừa sự cố tái diễn, hơn
là tập trung truy tìm kẻ tấn công và truy tố
◦ Bắt giữ và truy tố (apprehend and prosecute), còn được
gọi là “theo đuổi và trừng phạt”. Triết lý tập trung vào truy
tìm kẻ tấn công và truy tố truy tìm kẻ tấn công và truy tố;
bảo vệ tài sản thông tin và ngăn ngừa sự cố tái diễn
82
82
41
2/13/2023
6. Phục hồi sau thảm họa

Khái niệm thảm họa
◦ Thảm họa có thể là tự nhiên hoặc do con người gây ra
◦ Một sự cố có thể được phân loại là một thảm họa khi :
◦ Tổ chức không có khả năng giảm thiểu tác động của sự cố
đó khi nó đang xảy ra
◦ Mức độ thiệt hại nghiêm trọng đến mức không thể khôi
phục nhanh chóng.
◦ Sự khác biệt giữa một sự cố và một thảm họa có thể rất nhỏ;
nhóm lập kế hoạch dự phòng phải phân biệt được cả hai,
điều này có thể không thực hiện được cho đến khi một cuộc
tấn công xảy ra.
◦ Thông thường, một sự kiện ban đầu được phân loại là một sự
cố sau đó có thể được xác định là một thảm họa. Khi điều này
xảy ra, tổ chức phải thay đổi phản ứng và đảm bảo bảo toàn
giá trị các tài sản có giá trị nhất của mình trong dài hạn → Lập
kế hoạch phục hồi sau thảm họa (Disaster Recovery Planning
DRP)
83
83

Khái niệm lập kế hoạch phục hồi sau thảm họa
◦ Lập kế hoạch phục hồi sau thảm họa (DRP) là quy trình
chuẩn bị để xử lý một thảm họa và phục hồi (recovery) sau
thảm họa đó, được thực hiện bởi ban quản lý cấp cao
◦ Kế hoạch phục hồi sau thảm họa (DR Plan) là hồ sơ được tạo
ra từ việc lập kế hoạch phục hồi sau thảm họa (DRP); nó
trình bày các nỗ lực dự định của tổ chức khi thảm họa xẩy ra,
cụ thể:
◦ Khôi phục tài sản thông tin có thể cứu vẫn được sau thảm
họa
◦ Mua hoặc yêu cầu thay thế các tài sản thông tin từ các
nguồn phù hợp
◦ Thiết lập lại các chức năng của tài sản thông tin tại địa điểm
chính của tổ chức (địa điểm thường sử dụng hoặc địa điểm
mới)
84
84
42
2/13/2023
• Đội quản lý lập kế hoạch dự phòng

CPMT
• Đội lập kế hoạch phục hồi sau thảm 6. Phục hồi

họa (Disaster recovery planning team)
DRPT sau thảm
họa
• Các Đội ứng phó phục hồi sau thảm
họa (Disaster recovery response teams
DRRTs
85
Nhân sự liên quan khắc phục thảm họa

Các đội ứng phó phục hồi sau thảm họa (Disaster
recovery response teams – DRRTs) bao gồm:
◦ Đội quản lý phục hồi sau thảm họa (DR
management team)
◦ Đội truyền thông (Communacation team)
6. Phục hồi ◦ Đội phục hồi máy tính (phần cứng) (Computer
sau thảm họa recovery (hardware) team)

◦ Đội phục hồi hệ thống (OS) (Systems recovery
team)
◦ Đội phục hồi mạng (Network recovery team)
◦ Đội phục hồi lưu trữ (Storage recovery team)
◦ Đội phục hồi ứng dụng (Applications recovery
team)
86
86
43
2/13/2023
Nhân sự liên quan khắc phục thảm họa

Các đội ứng phó phục hồi sau thảm họa
(Disaster recovery response teams –
DRRTs) bao gồm:
◦ Đội Quản lý dữ liệu (Data management
team)
6. Phục hồi ◦ Đội liên lạc với nhà cung cấp (Vendor
sau thảm họa contact team)
◦ Đội đánh giá thiệt hại và cứu hộ
(Damage assessment and salvage
team)
◦ Đội kết nối kinh doanh (Business
interface team)
◦ Đội hậu cần (Logistics team)
◦ Đội khác khi cần thiết
87
87
6. Phục hồi sau

thảm họa
Quy trình phục hồi sau thảm họa
◦ Phương pháp lập kế hoạch dự phòng của NIST có thể
được điều chỉnh cho quy trình phục hồi sau thảm họa:
◦ Tổ chức đội phục hồi sau thảm họa
◦ Phát triển tuyên bố chính sách lập kế hoạch phục hồi
sau thảm họa
◦ Xem xét lại BIA.
◦ Xác định các kiểm soát ngăn ngừa.
◦ Tạo chiến lược phục hồi sau thảm họa
◦ Phát triển bản kế hoạch phục hồi sau thảm họa (DR
Plan)
◦ Đảm bảo kiểm tra kế hoạch phục hồi sau thảm họa,
đào tạo và thực hành.
◦ Đảm bảo duy trì kế hoạch phục hồi sau thảm họa
88
88
44
2/13/2023

Chính sách phục hồi sau thảm họa
◦ Chính sách phục hồi sau thảm họa được xây dựng (1)
từ chính Đội Phục Hồi Sau Thảm Họa (2) hoặc Đội
Quản Lý Kế Hoạch Dự Phòng (CPMT) phát triển rồi
sau đó chuyển xuống cho Đội Khắc Phục Hồi Sau
Họa.
◦ Chính sách phục hồi sau thảm họa (DR policy) là hồ
sơ hướng dẫn việc xây dựng và thực thi kế hoạch
phục hồi sau thảm họa cũng như hướng dẫn hình
thành và hoạt động của đội phục hồi sau thảm họa.
89
89

Chính sách phục hồi sau thảm họa
◦ Chính sách phục hồi sau thảm họa bao gồm các yếu tố
chính sau:
◦ Mục đích. Tuyên bố rõ ràng về tầm nhìn thực hiện
phục hồi sau thảm họa
◦ Phạm vi
◦ Vai trò và trách nhiệm
◦ Yêu cầu nguồn tài nguyên
◦ Yêu cầu đào tạo, huấn luyện
◦ Lịch trình kiểm tra và thực hành
◦ Lập lịch cập nhật và duy trì kế hoạch
◦ Các cân nhắc đặc biệt
90
90
45
2/13/2023

Phân loại thảm họa
◦ Phân loại theo nguồn gốc gây thảm họa
◦ Thảm họa thiên nhiên/tự nhiên: bão lụt, lửa
◦ Thảm họa do con người gây ra, vd xâm nhập của hacker; phần mềm
độc hại..
◦ Phân loại theo tỷ lệ xảy ra thảm họa
◦ Thảm họa khởi phát nhanh (Rapid-onset disasters). Thảm họa xảy ra đột
ngột, ít được cảnh báo, có thể gây chết người và phá hủy các phương
tiện sản xuất
◦ Thảm họa khởi phát chậm (Slow-onset disasters). Thảm họa xảy ra
theo thời gian và làm suy giảm dần dần khả năng của một tổ chức để
chống lại các tác động của thảm họa. Vd nguyên nhân thiên nhiên như
hạn hán, đói kém dần ảnh hưởng chết đói; dại dịch Covid 19 xẩy ra
trong năm 2020 bởi vì quá trình dịch và hậu quả được truyền thông toàn
cầu theo dõi
◦ Việc phân loại thảm họa được thực hiện bởi quản lý IT cấp cao hoặc quản
lý an toàn thông tin làm việc gần với CSMT hoặc lãnh đạo của đội lập kế
hoạch khắc phục thảm họa
91
91

Lập Kế hoạch phục hồi sau thảm họa
◦ Lập kế hoạch phục hồi sau thảm họa xuất phát từ việc
phân loại thảm họa, phấn tích tác động của thảm họa và
nguồn lực con người của tổ chức.
◦ Kế hoạch phục hồi sau thảm họa (DR plan) có cấu trúc
giống kế hoạch khôi phục sau sự cố (IR plan)
◦ Hướng dẫn chi tiết trong trường hợp có thảm họa, được sắp xếp theo loại
/ bản chất của thảm họa, chỉ định các quy trình khôi phục trong và sau mỗi
loại thảm họa.
◦ Thông tin chi tiết về vai trò và trách nhiệm của những người tham gia, xác
định những nhân sự và cơ quan phải được thông báo.
◦ Được kiểm tra bằng các cơ chế kiểm tra giống như kế hoạch IR.
92
92
46
2/13/2023

Lập Kế hoạch phục hồi sau thảm họa
◦ Các nội dung chính trong DR plan:
◦ Phân công rõ ràng vai trò và trách nhiệm
◦ Thực hiện danh sách cảnh báo và thông báo cho nhân sự chủ chốt
◦ Thiết lập rõ ràng các ưu tiên: Tùy loại thảm họa. Các ưu tiên: (1) Con
người: Sức khỏe, tính mạng; (2) Dữ liệu, hệ thống; (3) Tài sản khác
◦ Quy trình lập hồ sơ tài liệu về thảm họa. Dựa vào tài liệu của sự cố
(tài liệu sự cố cần ghi chép từ khi nó khởi phát) để xác định khi nào
và tại sao xẩy ra thảm họa
◦ Các bước hành động để giảm thiểu tác động của thảm họa với tổ
chức
◦ Các triển khai các lựa chọn thay thế cho các thành phần hệ thống
khác nhau; Đảm bảo các thành phần chính của hệ thống sẵn sàng
93
93
6. Phục hồi sau thảm

họa
Ứng phó với thảm họa
◦ Thảm họa thực tế có thể vượt quá dự kiến so với kế hoạch
→ Đội CPMT nên xác định mức độ linh hoạt trong kế
hoạch phục hồi sau thảm họa, đưa ra nhiều lựa chọn cho
phép.
◦ Nếu cơ sở hạ tầng vật lý còn nguyên vẹn → Phục hồi hệ thống và dữ liệu
để có thể hoạt động ở mức tối đa có thể.
◦ Nếu cơ sở hạ tầng vật lý bị phá hủy → Cần kế hoạch dự phòng khác cho
đến khi cơ sở hạ tầng mới được láp đặt.
◦ Nếu thảm họa đe dọa họa động kinh doanh → Chuyển quy trình thực hiện
kế hoạch đảm bảo hoạt động kinh doanh liên tục
94
94
47
2/13/2023

When generating a disaster scenario for planning or rehearsal, start with the most
important asset: _____.
a. networks
b. threats
c. data
d. people
95

When generating a disaster scenario for planning or rehearsal, start with the most
important asset: _____.
Answer: d. people
Explanation.
Human resources are central to all planning and response actions and should form the
core of scenarios used to develop plans or to rehearse the use of the plans.
96
48
2/13/2023
7. Đảm bảo hoạt động

kinh doanh liên tục
Khi các thảm họa làm tổ chức không thể tiếp tục hoạt
động tại địa điểm chính cho đến khi hoàn thành đầy đủ tất
cả các nỗ lực DR → chuyển sang thực hiện kế hoạch
đảm bảo hoạt động kinh doanh liên tục.
Lập kế hoạch hoạt động kinh doanh liên tục (BCP) giúp
đảm bảo các chức năng kinh doanh quan trọng có thể
tiếp tục trong trường hợp thảm họa. Kế hoạch này (BC
plan) thường được quản lý bởi CEO hoặc COO của tổ
chức.
97
97

Lập kế hoạch BC (BCP) được kích hoạt và thực hiện đồng thời với
lập kế hoạch DR (DRP) khi thảm họa kéo dài cần thiết:
◦ BCP thiết lập lại các chức năng quan trọng tại một địa điểm thay
thế
◦ DRP tập trung vào việc thiết lập cơ sở hạ tầng kỹ thuật và hoạt
động kinh doanh tại địa điểm chính.
Nhiều doanh nghiệp kết hợp BC plan và DR plan trong một chức
năng gọi là Lập kế hoạch tái tục hoạt động kinh doanh (business
resumption planning - BRP). BRP là những hoạt động được thực
hiện bởi những nhà quản lý cấp cao để phát triển và thực hiện một
chính sách, kế hoạch kết hợp DR và BC; và xây dựng những đội khôi
phục DR và BC
98
98
49
2/13/2023

Quy trình lập kế hoạch đảm bảo hoạt động kinh
doanh liên tục
◦ Thành lập đội BC.
◦ Xây dựng tuyên bố chính sách quy hoạch BC.
◦ Đánh giá, xem lại BIA.
◦ Xác định các biện pháp kiểm soát phòng ngừa.
◦ Tạo chiến lược tái lập địa điểm làm việc
◦ Xây dựng kế hoạch BC.
◦ Kiểm tra kế hoạch BC, huấn luyện và thực hành
◦ Đảm bảo duy trì kế hoạch BC.
99
99

Chính sách lập kế hoạch hoạt động kinh doanh liên
tục
◦ Mục đích.
◦ Phạm vi
◦ Vai trò và trách nhiệm
◦ Yêu cầu nguồn tài nguyên
◦ Yêu cầu đào tạo, huấn luyện
◦ Lịch trình kiểm tra và thực hành
◦ Lập lịch cập nhật và duy trì kế hoạch
◦ Các cân nhắc đặc biệt
100
100
50
2/13/2023
7. Đảm bảo hoạt

động kinh doanh
liên tục
Chiến lược lựa chọn vị trí dự phòng cho
hoạt động kinh doanh liên tục
◦ Lựa chọn chiến lược khả thi cho hoạt
động kinh doanh liên tục chủ yếu dựa vào
chi phí
◦ Ba tùy chọn sử dụng độc quyền
◦ Hot site
◦ Warm site
◦ Cold site
◦ Ba tùy chọn dùng chung
◦ Chia sẻ thời gian
◦ Thuê dịch vụ
◦ Thỏa thuận chung
101
101

Chiến lược lựa chọn vị trí dự phòng cho hoạt động kinh doanh liên
tục
◦ Chia sẻ thời gian (timeshare)
◦ Cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính
liên tục trong kinh doanh bằng cách chia sẻ thời gian sử dụng hot
site/warm site/cold site với một hoặc nhiều đối tác, qua đó giúp giảm
chi phí sử dụng.
◦ Các bất lợi:
◦ Các tổ chức tham gia vào việc chia sẻ thời gian có thể có nhu cầu
cần trang thiết bị cùng thời điểm.
◦ Nhu cầu cung cấp thiết bị và dữ liệu của cơ sở với tất cả các tổ
chức liên quan, các cuộc đàm phán để sắp xếp chia sẻ thời gian
và các thỏa thuận bổ sung nếu một hoặc nhiều bên quyết định
hủy bỏ thỏa thuận hoặc cho thuê lại các tùy chọn của nó.
◦ Chia sẻ thời gian giống như đồng ý thuê một căn hộ với một nhóm
bạn, các tổ chức tham gia cần duy trì các điều khoản hòa nhã vì
họ sẽ có quyền truy cập thực tế vào dữ liệu của nhau
102
102
51
2/13/2023

Chiến lược lựa chọn vị trí dự phòng cho hoạt động kinh
doanh liên tục
◦ Thuê dịch vụ (Service bureau)
◦ Trong trường hợp xảy ra thảm họa, có các văn phòng dịch
vụ đồng ý cung cấp các phương tiện vật chất, cung cấp
dịch vụ lưu trữ dữ liệu thuê ngoài có thu phí.
◦ Các hợp đồng có thể được tạo một cách cẩn thận với các
văn phòng dịch vụ để chỉ định chính xác những gì tổ chức
cần mà không cần phải đặt trước các phương tiện chuyên
dụng.
◦ Thỏa thuận dịch vụ thường đảm bảo không gian khi cần
thiết, ngay cả khi văn phòng dịch vụ phải có thêm không
gian trong trường hợp có thảm họa lan rộng.
◦ Tùy chọn này giống như điều khoản cho thuê xe trong hợp
đồng bảo hiểm xe hơi của bạn. Điểm bất lợi là văn phòng là
một loại dịch vụ và phải được thương lượng lại theo định
kỳ. Ngoài ra, sử dụng một văn phòng dịch vụ có thể khá tốn
kém chi phí của tổ chức
103
103

Chiến lược lựa chọn vị trí dự phòng cho hoạt động kinh
doanh liên tục
◦ Các thỏa thuận chung (Muatual agreement)
◦ Các thỏa thuận chung quy định rằng các tổ chức tham gia
mà không bị ảnh hưởng bởi thảm họa có nghĩa vụ cung cấp
các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi
tổ chức tiếp nhận có thể phục hồi sau thảm họa.
◦ Kiểu sắp xếp này giống như chuyển đến ở với người thân
hoặc bạn bè: không mất nhiều thời gian để bạn có thể nhận
được sự chào đón của bạn bè. Vấn đề với cách tiếp cận
này là nhiều tổ chức chùn bước trước ý tưởng phải tài trợ
các dịch vụ và tài nguyên trùng lặp cho các bên khác, ngay
cả trong ngắn hạn.
◦ Sự sắp xếp là lý tưởng nếu các thỏa thuận chung được
tiến hành giữa các bộ phận của cùng một công ty mẹ, giữa
các tổ chức cấp dưới và cấp trên, hoặc giữa các đối tác
kinh doanh lâu dài có thể là một giải pháp hiệu quả về chi
phí
104
104
52
2/13/2023

Chiến lược lựa chọn vị trí dự phòng cho hoạt động
◦ Các lựa chọn đặc biệt khác
◦ Vị trí lưu động (a rolling mobile site). Sử dụng những
vị trí lưu động gắn trên các xe kéo re- mooc.
◦ Thuê ngoài các nơi có chứa các thiết bị cũ để có thể
sử dụng tạm trong tình huống khẩn cấp
◦ Thuê các cơ sở tiền chế cho văn phòng di động.
◦ Điện toán trên đám mây. Sử dụng làm nơi truy cập
dữ liệu để có thể làm việc tạm thời
105
105
8. Quản lý Các hành động được thực hiện trong và sau thảm họa khi có nguy cơ
liên quan tới tính mạng con người (bị thương hoặc thiệt mạng) hoặc
hình ảnh của tổ chức thì được gọi là quản lý khủng hoảng. Quản lý
khủng hoảng khủng hoảng khác hẳn với quản lý thảm họa vì nó tập trung đầu tiên
và quan trọng nhất vào con người hơn là các tài sản khác.
Cần xây dựng chính sách và kế hoạch quản lý khủng hoảng. Phương
pháp luận lập kế hoạch và chính sách quản lý khủng hoảng cùng dựa
trên mô hình tương tự chính sách, và kế hoạch khắc phục thảm họa
106
106
53
2/13/2023
8. Quản lý khủng hoảng

Nhân sự:
◦ Đội lập kế hoạch quản lý khủng hoảng (Crisis
Management Planning Team)- CMPT, nên bao gồm
những người từ tất cả các vùng chức năng của tổ chức
để tạo điều kiện giao tiếp và hợp tác
◦ Đội ứng phó quản lý khủng hoảng (Crisis Management
Response Team)- CMRT, do CMPT thành lập
Các đội ứng phó phục hồi sau thảm họa (Disaster Recovery
Response Reams – DRRTs) làm việc chặt chẽ với Đội ứng
phó quản lý khủng hoảng (Crisis management response
team)- CMRT để đảm bảo truyền thông đầy đủ và kịp thời
trong thảm họa.
107
107

Đội quản lý khủng hoảng (CMPT & CMRT) chịu
trách nhiệm quản lý sự kiện từ góc độ của tổ
chức và bao gồm các hoạt động chính sau:
◦ Hỗ trợ nhân sự và những người thân của họ trong
thời kỳ khủng hoảng
◦ Thông báo cho công chúng về sự kiện và các hành
động được thực hiện để đảm bảo sự phục hồi của
nhân sự và tổ chức
◦ Truyền thông với các khách hàng lớn, nhà cung
cấp, đối tác, cơ quan quản lý, tổ chức trong ngành,
giới truyền thông và các bên quan tâm khác
108
108
54
2/13/2023

Đội lập kế hoạch quản lý khủng hoảng (CMPT) nên thiết lập
sớm một cơ sở hoạt động hoặc trung tâm chỉ huy gần nơi
xảy ra thảm họa và tập trung 3 vấn đề :
◦ Xác minh và kiểm tra tình trạng nhân sự liên quan của
doanh nghiệp. Đảm bảo tất cả mọi người, kể cả người
vắng mặt do nghỉ phép, đang đi công tác đều biết trách
nhiệm của mình
◦ Khởi động danh sách cảnh báo (alert roster). Sử dụng
để liên lạc và truyền đạt công việc, nhiệm vụ
◦ Hợp tác với các dịch vụ khẩn cấp: cứu hỏa, cảnh sát,
cứu hộ, cấp cứu v.v.. Khi cần ứng cứu người bị thương,
thiệt mạng …
109
109

The key initial focus of a crisis management response should be on _____.
a. safety of staff, visitors, and the public
b. the image of the organization
c. returning the organization to production
d. communicating to the stockholders/owners
110
55
2/13/2023

The key initial focus of a crisis management response should be on _____.
Answer: a. safety of staff, visitors, and the public
Explanation.
While each of these is important, the earliest and most urgent efforts should be to locate
the people involved in the crisis and undertake whatever can be done to support the
personnel and their families.
111
9. Mối quan hệ giữa các

thành phần trong lập kế Incident Response and Disaster Recovery
hoạch dự phòng
112
112
56
2/13/2023
9. Mối quan hệ
giữa các thành
phần trong lập kế
hoạch dự phòng
Disaster Recovery and

Business Continuity
Planning
113
113
9. Mối quan hệ
giữa các thành
phần trong lập kế
hoạch dự phòng
Contingency Planning
Implementation Timeline
114
114
57
2/13/2023
10. Thử nghiệm kế

hoạch dự phòng
Rất ít kế hoạch có thể thực hiện
được như đã dự định → Cần
kiểm tra để xác định các lỗ
hổng, lỗi và các quy trình không
hiệu quả.
Các kế hoạch dự phòng cần

được kiểm tra thử nghiệm và
cập nhật định kỳ để cải tiến kế
hoạch dự phòng
115
115
10. Thử nghiệm kế hoạch dự phòng

Có bốn chiến lược thử nghiệm có thể được sử dụng để
thử nghiệm các kế hoạch dự phòng:
◦ Kiểm tra hồ sơ/tài liệu: Kế hoạch dự phòng được
kiểm tra bởi tất cả các thành viên có vai trò và nhiệm
vụ liên quan trong quản lý sự cố, thảm họa
◦ Kiểm tra theo cấu trúc (structured walk through):
Kiểm tra (thảo luận) theo từng bước thực hiện của
mỗi sự kiện được lập kế hoạch dự phòng.
◦ Mô phỏng: Thực hành theo từng vai trò như thể sự
cố, thảm họa xảy ra
◦ Gián đoạn hoàn toàn (full –interruption testing): Diễn
tập trong điều kiện ngắt tất cả mọi dịch vụ như thể sự
cố, thảm họa thực sự. Việc kiểm tra này xảy ra sau
giờ làm việc
116
116
58
2/13/2023
Summary (1 of 6)
∙ Lập kế hoạch cho các sự kiện bất ngờ thường là trách
nhiệm của cả 3 nhóm quản lý (quản lý chung, quản lý IT và
quản lý InforSec)
∙ Để một kế hoạch được tất cả các thành viên của tổ chức
coi là hợp lệ, kế hoạch đó phải được chấp nhận và hỗ trợ
tích cực bởi nhóm quản lý chung
∙ Một số tổ chức được pháp luật hoặc cơ quan có thẩm
quyền khác yêu cầu phải luôn có các thủ tục lập kế hoạch
dự phòng, nhưng tất cả các tổ chức kinh doanh nên chuẩn
bị cho những tình huống bất ngờ.
∙ Lập kế hoạch dự phòng (CP) là quy trình mà nhóm quản lý
IT, nhóm quản lý InforSec định vị tổ chức của họ để chuẩn
bị, phát hiện, phản ứng và phục hồi sau các sự kiện đe dọa
đến an toàn của nguồn lực và tài sản thông tin
117
117
Summary (2 of 6)
CP bao gồm bốn thành phần Các tổ chức có thể tạo và phát
chính: (1) BIA phân tích tác động triển ba yếu tố lập kế hoạch của
kinh doanh: là quy trình thu thập quy trình CP (kế hoạch IR, DR và
dữ liệu và lập tài liệu; (2) kế BC) dưới dạng một kế hoạch
hoạch ứng phó sự cố (IR), (3) kế thống nhất hoặc có thể tạo ba
hoạch khôi phục thảm họa (DR), yếu tố riêng biệt kết hợp với một
và (4) kế hoạch kinh doanh liên tập hợp các quy trình lồng vào
tục (BC). nhau để đảm bảo tính liên tục.
118
118
59
2/13/2023
∙ Để đảm bảo tính liên tục trong quá trình tạo các thành phần CP,
quy trình CP bảy bước được sử dụng (quy trình của NIST) :
1. Xây dựng tuyên bố về chính sách lập kế hoạch dự phòng.
Summary 2. Tiến hành BIA.

3. Xác định các biện pháp kiểm soát phòng ngừa.
(3 of 6) 4. Tạo chiến lược dự phòng.

5. Xây dựng kế hoạch dự phòng.
6. Đảm bảo kế hoạch kiểm tra, huấn luyện, diễn tập.
7. Đảm bảo duy trì kế hoạch.
119
119
Bốn nhóm cá nhân tham gia lập kế hoạch dự phòng và các

hoạt động dự phòng: đội CP, đội đội IR, đội DR và đội BC. Đội
IR đảm bảo CSIRT được thành lập.
Kế hoạch IR là một tập hợp chi tiết các quy trình và thủ tục lập
kế hoạch, phát hiện và giải quyết các tác động của một sự
kiện không mong muốn đối với tài nguyên và tài sản thông tin.
Summary (4 Đối với mọi tình huống được xác định, đội CP tạo ba bộ quy
trình: trước, trong và sau sự cố để phát hiện, ngăn chặn và
of 6) giải quyết sự cố.
Phân loại sự cố là quy trình mà đội IR kiểm tra một sự kiện bất
lợi và xác định xem nó có phải là một sự cố thực sự hay
không.
Ba loại chỉ báo sự cố được sử dụng: có thể, khả năng cao xảy
ra và xác định.
120
120
60
2/13/2023
• Một sự cố thực sự đang diễn ra khi có một hoặc nhiều chỉ báo
sau: mất tính khả dụng của thông tin, mất tính toàn vẹn của
thông tin, mất tính bảo mật của thông tin, vi phạm chính sách
hoặc vi phạm pháp luật.
• Lập kế hoạch DR bao gồm việc chuẩn bị để xử lý và khắc phục
Summary thảm họa, cho dù là do thiên tai hay do con người gây ra.
• Lập kế hoạch kinh doanh liên tục (BCP) đảm bảo rằng các
(5 of 6) chức năng kinh doanh quan trọng vẫn tiếp tục nếu xảy ra sự cố
hoặc thảm họa nghiêm trọng. Các kế hoạch của BC có thể bao
gồm các lựa chọn cho các địa điểm sử dụng lập tức (hot site),
địa điểm sử dụng ngay (warm site) và địa điểm chờ (cold site);
chia sẻ thời gian, chia sẻ văn phòng dịch vụ và các thỏa thuận
chung.
121
121
• Do các kế hoạch khắc phục thảm họa (DR) và kinh doanh liên
tục (BC) có liên quan chặt chẽ với nhau nên hầu hết các tổ
chức chuẩn bị cả hai kế hoạch này cùng một lúc và có thể kết
hợp chúng thành một tài liệu lập kế hoạch duy nhất được gọi là
kế hoạch tái tục kinh doanh (business resumption)- BR plan
• Kế hoạch DR nên bao gồm quản lý khủng hoảng, các bước
Summary hành động được thực hiện trong và sau thảm họa. Trong một
số trường hợp, việc bảo vệ tính mạng con người và hình ảnh
(6 of 6) •
của tổ chức là những ưu tiên cao
Tất cả các kế hoạch phải được kiểm tra để xác định các lỗ
hổng, lỗi và các quy trình không hiệu quả. Một số chiến lược
thử nghiệm có thể được sử dụng để thử nghiệm các kế hoạch
dự phòng: kiểm tra tại bàn; kiểm tra theo cấu trúc; mô phỏng và
gián đoạn hoàn toàn.
122
122
61
2/13/2023
Review questions
Bài tập
Exercise 5
123
123
124
124
62

AISe C5 2023 SV

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AISe C5 2023 SV

Uploaded by

Copyright:

Available Formats

2/13/2023

Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng

Những vấn đề cơ bản về lập kế hoạch dự phòng

Tuyên bố chính sách lập kế hoạch dự phòng

Phân tích ảnh hưởng kinh doanh

Phục hồi sau thảm họa

Đảm bảo Hoạt động kinh doanh liên tục

Quản lý khủng hoảng

Thử nghiệm kế hoạch dự phòng

DATA SECURITY – IP SRCURITY

DEVIATIONS IN QUALITY OF SERVICE

Incident Ứng phó sự

Incident Chính sách 224

1. Giới thiệu ứng phó sự cố và lập kế

1. Giới thiệu ứng phó sự cố và lập kế

1. Giới thiệu ứng phó sự cố và lập kế

2. Những vấn đề cơ bản

2.2. Tiếp cận lập kế hoạch dự phòng của NIST

2.4. Nhân sự liên quan trong lập kế hoạch dự phòng

2.1. Các thành phần của lập kế hoạch

2.1. Các thành phần của

2.1. Các thành

Knowledge Check Activity 1

a. incident response plan

b. business continuity plan

c. business loss analysis

d. disaster recovery plan

Knowledge Check Activity n: Answer

Answer: c. business loss analysis

2.2. Tiếp cận lập kế hoạch

Có 7 bước để lập kế hoạch dự phòng (CP)

2.3. Quy trình CP tổng thể tích hợp

Dựa trên 7 bước đề xuất của NIST,

1. Hình thành Contingency Planning Management

12 bước 2. Xây dựng tuyên bố chính sách lập kế hoạch dự

3. Tiến hành phân tích tác động kinh doanh (BIA):

4. Hình thành các nhóm lập kế hoạch ở

7. Xác định các kiểm soát ngăn ngừa.

12. Đảm bảo duy trì kế hoạch: Quản lý kế hoạch, đảm

2.4. Nhân sự liên quan

2.4. Nhân sự liên quan

2.4. Nhân sự liên quan

3. Tuyên bố Chính sách

Nội dung chính sách lập kế hoạch dự phòng

lập kế hoạch theo qui định (thực hiện định kỳ)

Khi thực hiện BIA, cần cân nhắc các vấn đề

4. Phân tích Theo NIST SP 800-34, Rev. 1, CPMT tiến

4. Phân tích ảnh

4.1. Xác định nhiệm vụ / quy

4.2. Xác định yêu cầu nguồn lực

Xác định quy trình kinh doanh và mức

Example of Weighted Table Analysis of

Example of Weighted Table Analysis of

nhiệm vụ/ định, thông qua các tiêu chí:

RTO, RPO, MTD, and WRT

Xác định mức độ quan

Sắp xếp ưu tiên tài sản thông tin:

Thông thường, nhiệm vụ này sẽ được thực hiện như một

Xác định yêu cầu nguồn lực phục hồi

4.2. Xác định yêu cầu nguồn lực phục hồi

Example Resource/Component Table

Example Resource/Component Table

4.2. Xác Xác định mức độ ưu tiên khôi phục nguồn