Ais C05 2023

17-Mar-23
CHƯƠNG 5
KIỂM SOÁT
HỆ THỐNG THÔNG TIN KẾ TOÁN
Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn
Mục tiêu
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo an ninh
cho hệ thống thông tin của tổ chức
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo bảo
mật thông tin nhạy cảm của doanh nghiệp
• Đảm bảo bảo vệ tính riêng tư thông tin cá nhân của các
bên có lợi ích liên quan
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính
toàn vẹn của xử lý dữ liệu
• Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính sẵn
sàng, liên tục của hệ thống
Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 2
Nội dung
Kiểm soát an ninh thông tin

Kiểm soát bảo mật thông tin
Kiểm soát quyền riêng tư
Kiểm soát tính toàn vẹn
Kiểm soát tính khả dụng
1
17-Mar-23
Theo Trust Services Framework

Mục tiêu kiểm soát
Các
kiểm
soát
được
áp
dụng

• Mục tiêu kiểm soát: kiểm soát và hạn chế việc
truy cập (cả về mặt vật lý lẫn logic) hệ thống và dữ
liệu của hệ thống đối với người dùng hợp pháp
• Một số nội dung quan trọng
• Chu kỳ an ninh của hệ thống
• Hai nguyên tắc cơ bản để xây dựng kiểm soát an
ninh thông tin
• Kiểm soát ngăn ngừa
• Kiểm soát phát hiện

• Chu kỳ an ninh
2
17-Mar-23

• Hai nguyên tắc cơ bản để xây dựng kiểm soát
an ninh thông tin
• Phòng thủ sâu (Defense-in-depth)
• Sử dụng nhiều bước kiểm soát (vd: tường lửa, mật
khẩu, mã bảo mật, và bảo mật sinh trắc học)
• Sử dụng kết hợp kiểm soát ngăn ngừa, kiểm soát phát
hiện, và kiểm soát bù đắp

• Hai nguyên tắc cơ bản để xây dựng kiểm soát
an ninh thông tin
• Mô hình an ninh dựa trên thời gian (Time-based
model of security)
Kết hợp các kiểm soát (ngăn ngừa, phát hiện, và bù đắp)
nhằm bảo vệ tài sản thông tin đủ lâu để cho phép một tổ
chức nhận ra rằng một cuộc tấn công đang xảy ra và
thực hiện các bước để ngăn chặn kịp thời, trước khi
thông tin bị mất hoặc bị xâm phạm.

• Mô hình an ninh dựa trên thời gian
P > D + C
Thời gian để phản ứng lại với cuộc tấn

công và thực hiện kiểm soát sửa sai
Thời gian để phát hiện một cuộc tấn công đang diễn ra
Thời gian để kẻ tấn công vượt qua các kiểm soát ngăn ngừa của DN
3
17-Mar-23

• Kiểm soát ngăn ngừa
Con người
Quy trình
An ninh vật lý
Kiểm soát và quản lý sự thay đổi
10

• Con người
• Tạo ra văn hóa ý thức về an ninh
• Thiết lập và truyền đạt chính sách
• Thiết lập sắc thái từ cấp trên
• Huấn luyện
Training
11

• Quy trình: kiểm soát truy cập người dùng
• Kiểm soát xác thực (Authentication controls)
• Sử dụng mật khẩu, mã PIN
• Sử dụng thẻ thông minh hoặc phù hiệu cá nhân
• Sử dụng nhận dạng sinh trắc học
• Áp dụng nguyên tắc phòng thủ sâu
• Xác thực đa nhân tố (Multifactor authentication): kết
hợp nhiều cách xác thực khác nhau
• Xác thực đa cách thức (Multimodal authentication): sử
dụng nhiều kiểm soát xác thực của cùng loại
12
4
17-Mar-23

• Quy trình: kiểm soát truy cập người dùng
• Kiểm soát phân quyền (Authorization controls)
13

• Kiểm soát truy cập vật lý
Nhiều cửa soát xét khi vào building, có bảo vệ
hoặc tiếp tân, khách được yêu cầu kí xác nhận
Nhiều cửa soát xét khi vào và building, có
có nv hộ tống
bảo vệ hoặc tiếp tân, khách được yêu cầu
Phòng
kí xác nhận và có nhângiữ thiết
viên hộbịtống
máy tính phải
có khóa , có mã
Phòng giữ thiết bị máy

tính phải có khóa,
Các tủ có mãhệ thống dây
chứa
điện phải được khóa
Các tủ chứa hệ thống
dây điện phải được khóa
Giữ an
toàn cho
Giữ an toàn các thiết bị
cho các thiết bị
14

• Kiểm soát và quản lý việc thay đổi
Là quy trình chính thức nhằm đảm bảo rằng các sửa
đổi với phần cứng, phần mềm hoặc các quy trình
không làm giảm độ tin cậy của hệ thống
15
5
17-Mar-23

• Kiểm soát và quản lý thay đổi được thiết kế tốt gồm
những đặc tính sau:
• Tài liệu hóa tất cả những yêu cầu thay đổi, xác định bản
chất của việc thay đổi, lý do thay đổi, ngày yêu cầu thay
đổi, và kết quả của yêu cầu thay đổi
• Tất cả những yêu cầu thay đổi sẽ được phê chuẩn bởi cấp
độ quản lý phù hợp
• Kiểm tra thử tất cả những thay đổi trên một hệ thống riêng
biệt
• Xây dựng, thực hiện và giám sát đầy đủ các hoạt động kiểm
soát chuyển đổi
16

• Kiểm soát và quản lý thay đổi được thiết kế tốt gồm
những đặc tính sau:
• Cập nhật tất cả tài liệu để phản ánh những thay đổi mới
được triển khai
• Có quy trình đặc biệt để xem xét, phê duyệt và tài liệu
hóa một cách kịp thời cho những thay đổi khẩn cấp
• Phát triển và tài liệu hóa các kế hoạch để tạo điều kiện
hoàn nguyên (reverting) về cấu hình trước đó nếu việc
thay đổi tạo ra những sự cố không mong đợi.
• Giám sát và đánh giá một cách cẩn trọng quyền của
người dùng trong suốt quá trình thay đổi nhằm đảm bảo
duy trì việc phân chia trách nhiệm một cách phù hợp
17

• Kiểm soát phát hiện
Hệ thống
Phân tích
phát hiện
nhật ký
xâm nhập
Kiểm tra Giám sát

thâm nhập liên tục
18
6
17-Mar-23
Kiểm soát bảo mật thông tin-261

• Mục tiêu kiểm soát: bảo vệ thông tin nhạy cảm của DN
không bị tiết lộ trái phép
• Thông tin nhạy cảm (các kế hoạch chiến lược, bí mật
thương mại, thông tin về giá cả, các tài liệu hợp pháp, và
những cải tiến quy trình) thường rất quan trọng đối với
sự thành công và lợi thế cạnh tranh dài hạn của DN.
19

• Bốn hoạt động cơ bản để duy trì tính bảo mật
của thông tin nhạy cảm
Các thủ tục

Mã hóa kiểm soát
truy cập
Xác định và
phân loại Huấn luyện
thông tin nhân sự
được bảo mật Bảo mật
thông
tin
20

• Xác định và phân loại thông tin được bảo mật
• Xác định tài sản tri thức, thông tin nhạy cảm khác, vị
trí của chúng và người được phép truy cập.
• Phân loại thông tin theo giá trị của thông tin đối với
DN
21
7
17-Mar-23

• Mã hóa
• Đối với thông tin được chuyển giao trên Internet: mã
hóa là cách duy nhất
• Đối với thông tin được lưu trữ trên web hoặc điện
toán đám mây công cộng (public cloud): mã hóa là
một phần của việc phòng thủ sâu (defense-in-
depth).
22

• Mã hóa
• Mã hóa không phải “thuốc chữa bách bệnh”
• Những thông tin không thể lưu trữ dưới dạng số thì
không thể mã hóa
• Mã hóa cần phải kết hợp với kiểm soát xác thực và
kiểm soát truy cập vật lý
23

• Các thủ tục kiểm soát truy cập
• Kiểm soát xác thực và phân quyền (kiểm soát truy cập
của người dùng – kiểm soát an ninh)
• Phần mềm quản trị quyền thông tin (IRM)
• Phần mềm ngăn chặn mất dữ liệu (DLP)
• Hạn chế tiếp cận với máy in, máy photo, máy fax, sử
dụng thiết bị bảo vệ màn hình cho laptop (screen
protection devices)
• Những qui định đối với môi trường ảo hóa
(virtualization) và điện toán đám mây (cloud computing)
24
8
17-Mar-23

• Huấn luyện nhân sự
• Nhân viên cần biết thông tin nào được phép chia sẻ với
bên ngoài, thông tin nào cần được bảo vệ
• Nhân viên cần được hướng dẫn cách bảo vệ dữ liệu bí
mật, vd:
• Cách sử dụng phần mềm mã hóa
• Luôn thoát ra khỏi các ứng dụng sau khi sử dụng
• Sử dụng màn hình được bảo vệ bằng mật khẩu
(password-protected screen) để ngăn chặn các truy cập
trái phép của các nhân viên khác
• Biết cách mã hóa các báo cáo để phản ánh sự quan trọng
của thông tin
• Biết cách sử dụng đúng email, tin nhắn chat, blogs
25
Kiểm soát quyền riêng tư-264

• Bảo mật thông tin và bảo vệ quyền riêng tư
khác nhau như thế nào?
Bảo vệ
Bảo mật thông tin
quyền riêng tư
• Bảo vệ dữ liệu của • Bảo vệ thông tin cá
DN nói chung nhân của khách
hàng, nhân viên, nhà
cung cấp và các đối
tác liên quan đến DN
26
Các thủ tục

Mã hóa kiểm soát
truy cập
Xác định và
phân loại Huấn luyện
thông tin nhân sự
được bảo mật Bảo vệ
quyền
riêng tư
27
9
17-Mar-23

• Các thủ tục kiểm soát truy cập
• Kiểm soát xác thực và phân quyền (kiểm soát truy
cập của người dùng)
• Chạy chương trình làm thay đổi giá trị thực của dữ
liệu (data masking programs) nhằm mục đích bảo
mật thông tin
28
Kiểm soát tính toàn vẹn-286

• Nguyên tắc xử lý toàn vẹn cho rằng một hệ
thống đáng tin cậy là hệ thống tạo ra thông tin
chính xác, đầy đủ, kịp thời và hợp lệ
• Các thủ tục kiểm soát toàn vẹn bao gồm:
• Kiểm soát nhập liệu
• Kiểm soát xử lý
• Kiểm soát thông tin đầu ra
29

• Kiểm soát nhập liệu
• Mục tiêu kiểm soát: đảm bảo dữ liệu chính xác, đầy đủ
và hợp lệ
• Các nhóm thủ tục kiểm soát nhập liệu
• Kiểm soát nguồn dữ liệu
• Thiết kế mẫu chứng từ và các mẫu biểu nhập liệu
• Đối chiếu, kiểm tra chứng từ
• Xác nhận sau khi xử lý và lưu trữ chứng từ gốc
• Kiểm soát quá trình nhập liệu
• Kiểm soát nhập liệu đầu vào
• Kiểm soát nhập liệu theo lô
• Kiểm soát nhập liệu trực tuyến
30
10
17-Mar-23

• Kiểm tra kiểu dữ liệu (Field check)
• Kiểm tra dấu (Sign check)
• Kiểm tra giới hạn (Limit check và range check)
• Kiểm tra dung lượng vùng nhập liệu (Size check)
INPUT CONTROL
31

• Kiểm tra tính đầy đủ (Completeness check)
• Kiểm tra tính hợp lệ (Validity check)
• Kiểm tra tính hợp lý (Reasonableness test)
• Số kiểm tra (Check digit) và xác nhận số kiểm tra
(Check digit verification)
INPUT CONTROL
32

• Kiểm soát nhập liệu theo lô
• Kiểm tra tuần tự (Sequence check)
• Nhật ký nhập liệu (An error log)
• Tổng lô (Batch total)
• Tổng tài chính (Financial total)
• Tổng hash (Hash total)
• Đếm mẫu tin (Record count)
33
11
17-Mar-23

• Kiểm soát nhập liệu trực tuyến
• Prompting
• Kiểm tra vòng lặp kín (Closed-loop verification)
• Nhật ký nghiệp vụ (Transaction log)
34

• Mục tiêu: đảm bảo dữ liệu được xử lý chính xác
• Các thủ tục kiểm soát gồm:
• Kiểm tra sự phù hợp dữ liệu (Data matching)
• Kiểm tra nhãn và thuộc tính tập tin dữ liệu (File labels)
• Kiểm tra tổng số lô sau khi xử lý (Batch totals)
35

• Kiểm tra chéo (Cross-footing test) và kiểm tra số dư
bằng 0 (Zero-balance test)
• Cơ chế chống ghi tập tin (Write-protection
mechanism)
• Kiểm soát cập nhật đồng thời (Concurrent update
control) (trong trường hợp có nhiều hơn 1 người dùng
cùng truy cập đến dữ liệu)
36
12
17-Mar-23

• Kiểm soát thông tin đầu ra
• Mục tiêu: đảm bảo thông tin hệ thống cung cấp là
đáng tin cậy
• Người dùng đánh giá thông tin đầu ra
• Quy định các thủ tục và quy trình đối chiếu dữ liệu,
thông tin
• Đối chiếu dữ liệu ngoài hệ thống
• Kiểm soát truyền tải dữ liệu
• Checksums
• Parity bits và parity checking
37
Kiểm soát tính khả dụng-293

• Mục tiêu và kiểm soát
• Giảm thiểu rủi ro thời gian chết của hệ thống
• Bảo trì hệ thống (Preventive maintenance)
• Fault tolerance
• Sử dụng hệ thống UPS (Uninterruptible power supply)
• Phục hồi và nối tiếp hoạt động bình thường
• Thủ tục sao lưu dữ liệu (Backup procedures)
• Kế hoạch phục hồi sau thảm họa (Disaster recovery plan-
DRP)
• Kế hoạch kinh doanh liên tục (Business continuity plan-
BCP)
38

39
13
17-Mar-23

• Thủ tục sao lưu dữ liệu
40

• Thủ tục sao lưu dữ liệu
41
Thank you!
42
14
17-Mar-23
Thuật ngữ
Access control matrix Ma trận kiểm soát truy cập
Authentication Xác thực
Backup Sao lưu
Batch totals Tổng lô
Business continuity plan Kế hoạch tiếp tục kinh doanh
Change control and change management Kiểm soát thay đổi và quản lý việc thay đổi
Check digit Số kiểm tra
Check digit verification Xác nhận số kiểm tra
Checksum Kỹ thuật kiểm tra độ chính xác của dữ liệu truyền tải
thông qua thuật toán băm của tập tin
Closed-loop verification Kiểm tra vòng lặp kín
43
Thuật ngữ
Compatibility test Kiểm tra sự tương thích giữa các kiểm soát xác
nhận và ma trận kiểm soát truy cập
Completeness check (or test) Kiểm tra tính đầy đủ
Concurrent update controls Kiểm tra cập nhật đồng thời
Cookies Cookies
Cross-footing balance test Kiểm tra chéo số dư
Data loss prevention (DLP) Phần mềm ngăn ngừa việc mất dữ liệu
Data masking Chương trình làm thay đổi giá trị thực của dữ liệu
Defense-in-depth Nguyên tắc an ninh phòng thủ sâu

Differential backup Sao lưu lũy tiến
Digital watermark Mã đánh dấu
44
Thuật ngữ
Disaster recovery plan (DRP) Kế hoạch phục hồi sau thảm họa
Encryption Mã hóa
Fault tolerance Dung sai/ sức chịu đựng lỗi hệ thống
Field check Kiểm tra kiểu dữ liệu
Financial total Tổng tài chính
Hash total Tổng hash
Incremental backup Sao lưu từng phần
Information rights management (IRM) Phần mềm quản trị quyền thông tin
Intrusion detection system (IDS) Hệ thống phát hiện thâm nhập
Limit check Kiểm tra giới hạn
45
15
17-Mar-23
Thuật ngữ
Log analysis Phân tích nhật ký
Multifactor authentication Xác thực đa nhân tố (dùng nhiều cách xác thực khác
nhau)
Multimodal authentication Xác thực đa cách thức (dùng nhiều xác thức cùng một
cách)
Parity bit Một bit được thêm vào dữ liệu truyền tải nhằm kiểm
tra sự chính xác
Parity checking Kiểm soát sự chính xác thông tin qua kỹ thuật parity
Penetration test Kiểm tra sự xâm nhập
Prompting Nhắc nhập liệu
Range check Kiểm tra giới hạn
Reasonableness test Kiểm tra hợp lý
Record count Đếm mẫu tin
46
Thuật ngữ
Recovery point objective Mốc phục hồi dữ liệu
Recovery time objective Mốc thời gian phục hồi
Sequence check Kiểm tra tuần tự
Sign check Kiểm tra dấu
Size check Kiểm tra dung lượng
Time-based model of security Nguyên tắc an ninh dựa trên thời gian
Turnaround document Chứng từ luân chuyển
Validity check Kiểm tra hợp lệ
Zero-balance test Kiểm tra số dư bằng 0
47
16

Ais C05 2023

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ais C05 2023

Uploaded by

Copyright:

Available Formats

17-Mar-23

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 2

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 3

Theo Trust Services Framework

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 4

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 5

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 6

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 7

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 8

Kiểm soát an ninh thông tin

Thời gian để phản ứng lại với cuộc tấn

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 9

Kiểm soát an ninh thông tin

Kiểm soát và quản lý sự thay đổi

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 10

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 11

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 12

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 13

Kiểm soát an ninh thông tin

Phòng giữ thiết bị máy

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 14

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 15

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 16

Kiểm soát an ninh thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 17

Kiểm soát an ninh thông tin

Kiểm tra Giám sát

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 18

Kiểm soát bảo mật thông tin-261

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 19

Kiểm soát bảo mật thông tin

Các thủ tục

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 20

Kiểm soát bảo mật thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 21

Kiểm soát bảo mật thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 22

Kiểm soát bảo mật thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 23

Kiểm soát bảo mật thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 24

Kiểm soát bảo mật thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 25

Kiểm soát quyền riêng tư-264

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 26

Kiểm soát quyền riêng tư

Các thủ tục

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 27

Kiểm soát quyền riêng tư

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 28

Kiểm soát tính toàn vẹn-286

Nguyễn Hữu Bình-Khoa Kế toán-Đại học Kinh Tế TP.HCM-huubinh_ais@ueh.edu.vn 29