Professional Documents
Culture Documents
AISe C5 2023 SV
AISe C5 2023 SV
CHƯƠNG 5
LẬP KẾ HO ẠCH PHẢN ỨNG SỰ CỐ VÀ
HO ẠT ĐỘ NG LIÊN T ỤC
Tình huống:
Một vụ cháy
1
2/13/2023
Mục tiêu
Hiểu nhu cầu vì sao cần Hiểu các thành phần Xác định các thành phần Hiểu cách thức một tổ
lập kế hoạch dự phòng chính của lập kế hoạch của quản lý khủng hoảng chức chuẩn bị và thực thi
ứng phó sự cố (incident (crisis management) việc thử nghiệm (test) kế
response), phục hồi sau hoạch dự phòng
thảm họa (disaster
recovery) và đảm bảo
hoạt động liên tục
(business continuity)
NỘI DUNG
Ứng phó sự cố
Mối quan hệ của các thành phần trong lập kế hoạch dự phòng
2
2/13/2023
Business Kế hoạch 214 Hồ sơ/ văn bản của việc lập kế hoạch đảm bảo hoạt
continuity Đảm bảo động liên tục. Kế hoạch này thể hiện những nỗ lực dự
plan (BC) hoạt động định của tổ chức để tiếp tục các chức năng quan
liên tục trọng trong tình huống việc hoạt động tại địa điểm
Thuật
chính (primary site) không khả thi
Business Lập kế 214 Các hành động do quản lý cấp cao thực hiện để phát
continuity hoạch đảm triển và thực hiện chính sách, kế hoạch và các nhóm
ngữ
planning bảo hoạt (teams) đảm bảo hoạt động lên tục
(BCP) động liên
tục
Business Phân tích 220 Một cuộc điều tra và đánh giá các sự kiện bất lợi khác
impact tác động nhau có thể ảnh hưởng đến tổ chức. Nó được tiến
analysis kinh doanh hành như một giai đoạn sơ bộ của quá trình lập kế
(BIA) hoạch dự phòng, bao gồm việc xác định mức độ quan
trọng của hệ thống hoặc tập hợp các thông tin đối với
các qui trình cốt lõi của tổ chức và các ưu tiên phục
hồi.
Contingency Lập Kế hoạch 214 Các hành động do quản lý cấp cao thực hiện để chỉ rõ các
Planning (CP) dự phòng nỗ lực và hành động của tổ chức nếu một sự kiện bất lợi
trở thành sự cố hoặc thảm họa. Việc lập kế hoạch này bao
gồm các nỗ lực ứng phó sự cố, khắc phục thảm họa và duy
trì hoạt động kinh doanh, cũng như lập các phân tích tác
Thuật
động kinh doanh.
Continuity Các chiến 214
Strategies lược đảm bảo
hoạt động
Crisis
Management
liên tục
Quản lý khủng 242
hoảng
Tập hợp các nỗ lực lập kế hoạch và chuẩn bị của tổ chức để
đối phó với thương tích, chấn thương tinh thần tiềm ẩn với
ngữ
con người, hoặc mất mạng do thảm họa
Disaster Kế hoạch 215 Hồ sơ/ văn bản của việc lập kế hoạch khắc phục hậu quả
recovery plan Phục hồi sau thiên tai; một kế hoạch trình bày những nỗ lực dự kiến của
(DR) thảm họa tổ chức trong trường hợp có thảm họa
Disaster Lập kế hoạch 215 Các hành động được thực hiện bởi quản lý cấp cao để
recovery phục hồi sau xác định những nỗ lực của tổ chức trong việc chuẩn bị
planning thảm họa và phục hồi sau thảm họa.
(DRP)
3
2/13/2023
Thuật
response cố
(IR)
ngữ
incident Lập kế 215 Các hành động được thực hiện bởi quản lý cấp
response hoạch ứng cao để phát triển và thực hiện chính sách, kế
planning phó sự cố hoạch IR và nhóm ứng phó sự cố an toàn máy
(IRP) tính
HACKERS THREAT
Information Quản trị an 175 Việc áp dụng các nguyên tắc quản trị công ty vào chức
Security toàn thông năng an toàn thông tin.
Governance tin
Thuật
Maximum Thời gian 220 Tổng lượng thời gian mà chủ sở hữu hệ thống/ hoặc
tolerable ngưng trệ viên chức được ủy quyền sẵn sàng chấp nhận việc gián
downtime tối đa có đoạn hoặc ngưng trệ một sứ mệnh / quy trình kinh
ngữ
(MTD) thể chấp doanh, bao gồm tất cả các cân nhắc về tác động.
nhận được
Operational Kế hoạch 173 Là Hồ sơ hoặc văn bản của việc lập kế hoạch hoạt động.
plans hoạt động Kế hoạch này mô tả các nỗ lực hoạt động dự kiến hàng
ngày của tổ chức trong vài tháng tới.
Operational Lập kế 173 Các hành động mà ban lãnh đạo thực hiện nhằm xác
planning hoạch hoạt định các mục tiêu ngắn hạn của tổ chức để đạt được các
động mục tiêu chiến thuật cụ thể, sau đó là các ước tính và
lịch trình phân bổ các nguồn lực cần thiết để đạt được
các mục tiêu này
4
2/13/2023
Recovery point Mốc phục hồi dữ 220 Thời điểm trước khi hệ thống bị gián đoạn hoặc ngừng
objective (RPO) liệu hoạt động mà dữ liệu của sứ mệnh / quy trình kinh doanh
có thể được khôi phục sau khi ngừng hoạt động (được
cung cấp bản sao lưu dữ liệu gần đây nhất).
Recovery time Mốc thời gian 220 Khoảng thời gian tối đa mà tài nguyên hệ thống có thể
objective (RTO) phục hồi không có sẵn trước khi có tác động không thể chấp nhận
được đối với các tài nguyên hệ thống khác hỗ trợ nhiệm
vụ / quy trình kinh doanh và MTD
Work recovery Thời gian phục hồi 220 Số lượng nỗ lực (được biểu thị bằng thời gian đã trôi qua) cần
time (WRT) hoạt động thiết để làm cho chức năng kinh doanh hoạt động sau khi yếu tố
Thuật ngữ
công nghệ được khôi phục (như được xác định với RTO). Các
nhiệm vụ bao gồm kiểm tra và xác nhận hệ thống.
Hot site Địa điểm sử dụng Địa điểm dự phòng có Cơ sở hạ tầng bao gồm tất cả dịch vụ máy
ngay lập tức tính, mạng kết nối truyền thông và vị trí làm việc vật lý
Warm site Địa điểm sử dụng Địa điểm dự phòng có Cơ sở hạ tầng bao gồm nhiều dịch vụ
ngay giống Hot site nhưng không bao gồm các phần mềm ứng dụng
và các máy trạm làm việc (workstation)
Cold site Địa điểm chờ Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần
cứng máy tính hoặc thiết bị ngoại vi nào được cung cấp. Có sẵn
các đường truyền thông
10
10
5
2/13/2023
11
11
12
12
6
2/13/2023
2.3. Quy trình CP tổng thể tích hợp các qui trình của
BIA, IRP và DRP
13
14
14
7
2/13/2023
15
15
16
16
8
2/13/2023
17
Explanation.
The business impact analysis, or BIA, is much broader in its scope than a simple
(potential) loss analysis would be. It includes impact to the organization and the
relationships to other parts of the organization as well.
18
9
2/13/2023
19
19
20
20
10
2/13/2023
12 bước
21
22
22
11
2/13/2023
23
23
24
24
12
2/13/2023
10. Xây dựng kế hoạch CP ở cấp dưới: Đối với mỗi khu
vực trực thuộc, phát triển một kế hoạch để xử lý các
hành động và hoạt động tương ứng cần thiết để (a) ứng
phó với sự cố, (b) phục hồi sau thảm họa và (c) thiết lập
hoạt động tại một vị trí thay thế sau một sự kiện gián
đoạn
11. Đảm bảo kế hoạch kiểm tra, huấn luyện và tập
luyện: Đảm bảo mỗi kế hoạch cấp dưới được kiểm tra
và các nhân viên tương ứng được huấn luyện để xử lý
12 bước bất kỳ trường hợp nào leo thang thành sự cố hoặc
thảm họa
25
25
26
26
13
2/13/2023
27
27
28
28
14
2/13/2023
29
29
30
30
15
2/13/2023
BIA: Một điều tra và đánh giá các sự kiện bất lợi khác
nhau có thể ảnh hưởng đến tổ chức, là giai đoạn tiền
4. Phân tích đề của CP. Nó xác định chức năng kinh doanh và hệ
thống thông tin nào là quan trọng nhất đối với sự
ảnh hưởng thành công của tổ chức , từ đó xác định trình tự ưu
tiên để khôi phục các chức năng này.
kinh doanh
BIA-
Business BIA giả định các biện pháp kiểm soát đã bị bỏ
qua/không thành công/không hiệu quả; giả định cuộc
Impact tấn công đã thành công. Bằng cách giả định điều tồi
tệ nhất đã xảy ra và sau đó đánh giá điều đó sẽ ảnh
Analysis hưởng như thế nào đến tổ chức, các nhà lập kế
hoạch có được cái nhìn sâu sắc về cách ứng phó với
sự kiện bất lợi, giảm thiểu thiệt hại, phục hồi sau các
tác động và trở lại hoạt động bình thường
31
31
32
32
16
2/13/2023
33
33
34
17
2/13/2023
35
36
18
2/13/2023
37
Xác định mức độ quan trọng của phục hồi: Khi xem xét mức
4.1. Xác định độ quan trọng của việc phục hồi, các đo lường phục hồi thường
dựa trên mức độ phục hồi tài sản trong một khung thời gian xác
kinh doanh doanh/nhiệm vụ, đã xem xét bao gồm tất cả các tác động
ảnh hưởng.
và mức độ
Mốc thời gian phục hồi (Recovery time objective - RTO):
TG hệ thống (vật lý) được phục hồi
Mốc phục hồi dữ liệu (Recovery point objective - RPO):
quan trọng TG từ lần lưu dự phòng cuối cùng cho tới TG hệ thống bị
ngưng trệ
của việc Thời gian phục hồi hoạt động (Work recovery time -
WRT): TG cần thiết để các chức năng kinh doanh hoạt
động lại sau khi thành phần kỹ thuật của HT được khôi
phục hồi phục. Nó bao gồm hoạt động kiểm tra (testing) và chấp
nhận chính thức HT sau kiểm tra.
38
38
19
2/13/2023
RTO vs.
RPO
39
40
20
2/13/2023
Cost
Balancing
41
Cost Balancing
Cần xác định điểm tối ưu cho phục hồi hệ
thống:
• Đạt nhu cầu bắt buộc của BIA
• Cân bằng giữa chi phí tổn thất của hệ
thống ngưng hoạt động và chi phí của
nguồn lực cho việc phục hồi
VD: Nếu hệ thống bị ngưng trệ lâu thì chi phí
tổn thất ngưng hoạt động cao; Muốn RTO
càng ngắn thì càng cần nhiều chi phí cho
thiết kế và sử dụng giải pháp (nhiều giải
pháp trùng lắp do dự phòng) và ngược lại.
42
42
21
2/13/2023
43
43
4.2. Xác Khi BIA, CPMT sẽ đánh giá các ưu tiên và các giá trị liên
quan đến sứ mệnh/quy trình kinh doanh.
định yêu Để làm như vậy, CPMT cần hiểu các tài sản thông tin được
cầu nguồn sử dụng bởi các quy trình, vì sự hiện diện của các tài sản
thông tin có giá trị cao có thể ảnh hưởng đến việc định giá
lực phục một quy trình kinh doanh cụ thể.
44
22
2/13/2023
Sau khi đã tạo danh sách ưu tiên cho nhiệm vụ/quy trình
4.2. Xác kinh doanh của mình, đơn vị cần xác định nguồn lực nào
định yêu sẽ được yêu cầu để khôi phục các quy trình đó và tài sản
liên quan đến chúng.
cầu nguồn Đối với mỗi quy trình (và tài sản thông tin) được xác định
trong giai đoạn BIA trước đó, đơn vị cần xác định và mô tả
lực phục các nguồn lực liên quan cần thiết để cung cấp hoặc hỗ trợ
quy trình đó.
hồi Phương pháp đơn giản hóa để tổ chức thông tin này là
đưa nó vào một bảng tài nguyên /thành phần.
45
Xác định các ưu tiên khôi phục nguồn lực/nguồn tài nguyên hệ
thống
• Xác định, phân loại, xác định mức độ ưu tiên bảo vệ của nguồn lực/tài nguyên
• Dán nhãn các tài sản này (xác định, phân loại và mức độ ưu tiên):
Primary/Secondery/Tertiary. Hoặc là Critial/Very
important/Important/routine
46
46
23
2/13/2023
47
48
24
2/13/2023
hồi
49
49
5. Ứng phó sự cố
5.1. Các khái niệm và giới thiệu ứng phó sự
cố
50
25
2/13/2023
51
51
52
52
26
2/13/2023
53
53
54
54
27
2/13/2023
Phát triển chính sách CP ❖NIST- Viện Tiêu Chuẩn Và Công Nghệ
(lập kế hoạch dự phòng)
Quốc Gia (Mỹ) phát triển Khuôn Mẫu
An Ninh Mạng – CSF (NIST
Thực hiện phân tích ảnh
hưởng kinh doanh – BIA Cybersicurity Framwork), tập trung
trong việc bảo vệ cơ sở hạ tầng an
ninh mạng, hỗ trợ cho phương pháp
Phản ứng sự cố (IR): 4 giai đoạn luận phản ứng sự cố
• Lập kế hoạch (planning)
• Phát hiện (detection)
• Đáp trả (reaction)
• Phục hồi/khôi phục
(Recovery)
55
55
56
56
28
2/13/2023
57
57
• Xác định (Identify). Liên quan tới quản lý và quản trị rủi
ro
• Bảo vệ (protect). Liên quan tới triển khai các kiểm soát
an toàn hiệu quả (chính sách; giáo dục; huấn luyện và
nhận thức; và công nghệ)
• Phát hiện (Detect). Liên quan tới xác định các sự kiện bất
lợi
• Phản ứng (respond). Liên quan tới hành động đáp trả khi
sự cố xẩy ra
• Khôi phục (recover). Liên quan tới việc trả lại tình trạng
bình thường
58
58
29
2/13/2023
59
59
60
30
2/13/2023
❖Ứng phó sự cố (IR) là các biện pháp phản ứng, không phải là một biện pháp phòng ngừa,
mặc dù hầu hết các kế hoạch IR bao gồm các khuyến nghị phòng ngừa
❖Cần lập 3 bộ quy trình xử lý sự cố: tập trung phân chia trách nhiệm trong các hành động
phản ứng sự cố
o trong sự cố
o Trước sự cố
o Sau sự cố
Các qui trình này cần được lập hồ sơ rõ ràng và nó là 1 phần trong kế hoạch ứng phó sự cố
61
61
62
62
31
2/13/2023
63
63
64
32
2/13/2023
65
66
33
2/13/2023
❖Phân loại sự cố là việc kiểm tra các sự kiện bất lợi và xác định
liệu nó có trở thành sự cố hay không?
❖Việc phát hiện sự cố là thách thức khó khăn nhưng quan trọng vì
khi xác định và phân loại đúng cách sự cố thực tế, các thành viên
của nhóm phản ứng sự cố mới có thể thực hiện hiệu quả các quy
trình tương ứng từ kế hoạch ứng phó sự cố (IR plan)
❖Các cơ chế có thể phát hiện sự cố bao gồm phát hiện xâm nhập
và hệ thống ngăn chặn (dựa trên máy chủ và mạng), phần mềm
phát hiện vi rút, quản trị viên hệ thống và thậm chí cả người dùng
cuối
67
67
68
68
34
2/13/2023
69
69
70
70
35
2/13/2023
71
71
c. Changes to logs
72
36
2/13/2023
Explanation.
73
74
74
37
2/13/2023
75
75
76
76
38
2/13/2023
77
77
78
78
39
2/13/2023
79
79
80
80
40
2/13/2023
81
81
82
82
41
2/13/2023
83
84
84
42
2/13/2023
85
86
86
43
2/13/2023
87
88
88
44
2/13/2023
89
89
90
90
45
2/13/2023
91
91
92
92
46
2/13/2023
93
93
94
94
47
2/13/2023
a. networks
b. threats
c. data
d. people
95
Answer: d. people
Explanation.
Human resources are central to all planning and response actions and should form the
core of scenarios used to develop plans or to rehearse the use of the plans.
96
48
2/13/2023
Lập kế hoạch hoạt động kinh doanh liên tục (BCP) giúp
đảm bảo các chức năng kinh doanh quan trọng có thể
tiếp tục trong trường hợp thảm họa. Kế hoạch này (BC
plan) thường được quản lý bởi CEO hoặc COO của tổ
chức.
97
97
Nhiều doanh nghiệp kết hợp BC plan và DR plan trong một chức
năng gọi là Lập kế hoạch tái tục hoạt động kinh doanh (business
resumption planning - BRP). BRP là những hoạt động được thực
hiện bởi những nhà quản lý cấp cao để phát triển và thực hiện một
chính sách, kế hoạch kết hợp DR và BC; và xây dựng những đội khôi
phục DR và BC
98
98
49
2/13/2023
99
99
100
100
50
2/13/2023
101
101
102
102
51
2/13/2023
103
104
52
2/13/2023
105
105
8. Quản lý Các hành động được thực hiện trong và sau thảm họa khi có nguy cơ
liên quan tới tính mạng con người (bị thương hoặc thiệt mạng) hoặc
hình ảnh của tổ chức thì được gọi là quản lý khủng hoảng. Quản lý
khủng hoảng khủng hoảng khác hẳn với quản lý thảm họa vì nó tập trung đầu tiên
và quan trọng nhất vào con người hơn là các tài sản khác.
Cần xây dựng chính sách và kế hoạch quản lý khủng hoảng. Phương
pháp luận lập kế hoạch và chính sách quản lý khủng hoảng cùng dựa
trên mô hình tương tự chính sách, và kế hoạch khắc phục thảm họa
106
106
53
2/13/2023
Các đội ứng phó phục hồi sau thảm họa (Disaster Recovery
Response Reams – DRRTs) làm việc chặt chẽ với Đội ứng
phó quản lý khủng hoảng (Crisis management response
team)- CMRT để đảm bảo truyền thông đầy đủ và kịp thời
trong thảm họa.
107
107
108
108
54
2/13/2023
109
109
110
55
2/13/2023
Explanation.
While each of these is important, the earliest and most urgent efforts should be to locate
the people involved in the crisis and undertake whatever can be done to support the
personnel and their families.
111
hoạch dự phòng
112
112
56
2/13/2023
9. Mối quan hệ
giữa các thành
phần trong lập kế
hoạch dự phòng
113
113
9. Mối quan hệ
giữa các thành
phần trong lập kế
hoạch dự phòng
Contingency Planning
Implementation Timeline
114
114
57
2/13/2023
115
115
116
116
58
2/13/2023
Summary (1 of 6)
∙ Lập kế hoạch cho các sự kiện bất ngờ thường là trách
nhiệm của cả 3 nhóm quản lý (quản lý chung, quản lý IT và
quản lý InforSec)
∙ Để một kế hoạch được tất cả các thành viên của tổ chức
coi là hợp lệ, kế hoạch đó phải được chấp nhận và hỗ trợ
tích cực bởi nhóm quản lý chung
∙ Một số tổ chức được pháp luật hoặc cơ quan có thẩm
quyền khác yêu cầu phải luôn có các thủ tục lập kế hoạch
dự phòng, nhưng tất cả các tổ chức kinh doanh nên chuẩn
bị cho những tình huống bất ngờ.
∙ Lập kế hoạch dự phòng (CP) là quy trình mà nhóm quản lý
IT, nhóm quản lý InforSec định vị tổ chức của họ để chuẩn
bị, phát hiện, phản ứng và phục hồi sau các sự kiện đe dọa
đến an toàn của nguồn lực và tài sản thông tin
117
117
Summary (2 of 6)
CP bao gồm bốn thành phần Các tổ chức có thể tạo và phát
chính: (1) BIA phân tích tác động triển ba yếu tố lập kế hoạch của
kinh doanh: là quy trình thu thập quy trình CP (kế hoạch IR, DR và
dữ liệu và lập tài liệu; (2) kế BC) dưới dạng một kế hoạch
hoạch ứng phó sự cố (IR), (3) kế thống nhất hoặc có thể tạo ba
hoạch khôi phục thảm họa (DR), yếu tố riêng biệt kết hợp với một
và (4) kế hoạch kinh doanh liên tập hợp các quy trình lồng vào
tục (BC). nhau để đảm bảo tính liên tục.
118
118
59
2/13/2023
∙ Để đảm bảo tính liên tục trong quá trình tạo các thành phần CP,
quy trình CP bảy bước được sử dụng (quy trình của NIST) :
1. Xây dựng tuyên bố về chính sách lập kế hoạch dự phòng.
119
119
Kế hoạch IR là một tập hợp chi tiết các quy trình và thủ tục lập
kế hoạch, phát hiện và giải quyết các tác động của một sự
kiện không mong muốn đối với tài nguyên và tài sản thông tin.
Summary (4 Đối với mọi tình huống được xác định, đội CP tạo ba bộ quy
trình: trước, trong và sau sự cố để phát hiện, ngăn chặn và
of 6) giải quyết sự cố.
Phân loại sự cố là quy trình mà đội IR kiểm tra một sự kiện bất
lợi và xác định xem nó có phải là một sự cố thực sự hay
không.
Ba loại chỉ báo sự cố được sử dụng: có thể, khả năng cao xảy
ra và xác định.
120
120
60
2/13/2023
• Một sự cố thực sự đang diễn ra khi có một hoặc nhiều chỉ báo
sau: mất tính khả dụng của thông tin, mất tính toàn vẹn của
thông tin, mất tính bảo mật của thông tin, vi phạm chính sách
hoặc vi phạm pháp luật.
• Lập kế hoạch DR bao gồm việc chuẩn bị để xử lý và khắc phục
Summary thảm họa, cho dù là do thiên tai hay do con người gây ra.
• Lập kế hoạch kinh doanh liên tục (BCP) đảm bảo rằng các
(5 of 6) chức năng kinh doanh quan trọng vẫn tiếp tục nếu xảy ra sự cố
hoặc thảm họa nghiêm trọng. Các kế hoạch của BC có thể bao
gồm các lựa chọn cho các địa điểm sử dụng lập tức (hot site),
địa điểm sử dụng ngay (warm site) và địa điểm chờ (cold site);
chia sẻ thời gian, chia sẻ văn phòng dịch vụ và các thỏa thuận
chung.
121
121
• Do các kế hoạch khắc phục thảm họa (DR) và kinh doanh liên
tục (BC) có liên quan chặt chẽ với nhau nên hầu hết các tổ
chức chuẩn bị cả hai kế hoạch này cùng một lúc và có thể kết
hợp chúng thành một tài liệu lập kế hoạch duy nhất được gọi là
kế hoạch tái tục kinh doanh (business resumption)- BR plan
• Kế hoạch DR nên bao gồm quản lý khủng hoảng, các bước
Summary hành động được thực hiện trong và sau thảm họa. Trong một
số trường hợp, việc bảo vệ tính mạng con người và hình ảnh
(6 of 6) •
của tổ chức là những ưu tiên cao
Tất cả các kế hoạch phải được kiểm tra để xác định các lỗ
hổng, lỗi và các quy trình không hiệu quả. Một số chiến lược
thử nghiệm có thể được sử dụng để thử nghiệm các kế hoạch
dự phòng: kiểm tra tại bàn; kiểm tra theo cấu trúc; mô phỏng và
gián đoạn hoàn toàn.
122
122
61
2/13/2023
Review questions
Bài tập
Exercise 5
123
123
124
124
62