CHƯƠNG 4: QUẢN LÝ RỦI RO

SUMMARY - Tr 171
* Kiểm tra quản lý rủi ro và ghi lại tài sản thông tin của tổ chức.
* Ban quản lý có trách nhiệm xác định và kiểm soát những rủi ro mà tổ chức gặp phải. Bên trong tổ chức
hiện đại, nhóm InfoSec thường đóng vai trò lãnh đạo trong quản lý rủi ro.
* Khẩu vị rủi ro xác định số lượng và tính chất rủi ro mà tổ chức sẵn sàng chấp nhận khi họ đánh giá sự
đánh đổi giữa bảo mật hoàn hảo và khả năng truy cập không giới hạn.
* Rủi ro tồn dư là lượng rủi ro không được tính đến sau khi áp dụng các biện pháp kiểm soát.
* Thành phần quan trọng của chiến lược quản lý rủi ro là việc xác định, phân loại và ưu tiên tài sản thông
tin của tổ chức.
* Đánh giá là việc xác định tài sản, bao gồm tất cả các yếu tố trong hệ thống của tổ chức: con người, quy
trình, dữ liệu, phần mềm, phần cứng và các yếu tố mạng.
* Nguồn nhân lực, tài liệu và tài sản thông tin dữ liệu của một tổ chức không dễ dàng được xác định và
ghi lại như tài sản hữu hình, chẳng hạn như phần cứng và phần mềm. Những tài sản ít hữu hình hơn phải
được xác định và mô tả bằng kiến thức, kinh nghiệm và phán đoán.
* Bạn có thể sử dụng câu trả lời cho các câu hỏi sau để phát triển tiêu chí đánh giá tài sản thông tin:
❍ Tài sản thông tin nào là quan trọng nhất đối với sự thành công của tổ chức?
❍ Tài sản thông tin nào tạo ra nhiều doanh thu nhất?
❍ Tài sản thông tin nào tạo ra lợi nhuận cao nhất?
❍ Tài sản thông tin nào đắt nhất để thay thế?
❍ Tài sản thông tin nào tốn kém nhất để bảo vệ?
❍ Việc mất mát hoặc xâm phạm tài sản thông tin nào sẽ gây bối rối nhất hoặc gây ra thiệt hại lớn nhất
trách nhiệm pháp lý?
* Sau khi một tổ chức xác định và thực hiện phân loại sơ bộ các tài sản thông tin, các mối đe dọa đối mặt
với tổ chức cần được xem xét. Có 12 loại mối đe dọa chung đối với InfoSec.
* Mỗi mối đe dọa phải được xem xét trong quá trình đánh giá mối đe dọa nhằm giải quyết các câu hỏi
sau:
Những mối đe dọa nào tồn tại trong môi trường của tổ chức?
Điều nào nguy hiểm nhất đối với thông tin của tổ chức?
Điều nào đòi hỏi chi phí lớn nhất để phục hồi?
Điều nào đòi hỏi mức chi phí lớn nhất cho việc bảo vệ?
* Mỗi tài sản thông tin được đánh giá cho từng mối đe dọa mà nó phải đối mặt; thông tin kết quả được sử
dụng để tạo ra một danh sách những điểm yếu gây rủi ro cho tổ chức. Quá trình này tạo ra một danh sách
tài sản thông tin và khả năng dễ bị tổn thương, đóng vai trò là điểm khởi đầu để đánh giá rủi ro.
* Bảng tính các mối đe dọa-điểm yếu-tài sản (TVA) liệt kê các tài sản theo thứ tự ưu tiên dọc theo một
trục và các mối đe dọa theo thứ tự ưu tiên dọc theo trục kia. Lưới kết quả cung cấp một phương pháp
thuận tiện để kiểm tra “độ phơi sáng” của tài sản, cho phép đánh giá tính dễ bị tổn thương một cách đơn
giản.
* Mục tiêu của việc đánh giá rủi ro là ấn định xếp hạng rủi ro hoặc điểm số đại diện cho rủi ro tương đối
đối với một lỗ hổng cụ thể của một tài sản thông tin cụ thể.
* Có thể thực hiện phân tích rủi ro bằng cách sử dụng các ước tính dựa trên đánh giá định tính.
* Nếu bất kỳ lỗ hổng cụ thể nào được quản lý hoàn toàn bởi biện pháp kiểm soát hiện có thì không cần
phải xem xét lỗ hổng đó nữa để kiểm soát bổ sung.
THUẬT NGỮ
1. Acceptance risk control strategy: chiến lược kiểm soát-chấp nhận rủi ro
2. Annualized cost of a safeguard - ACS: cp thường niên của bp bảo vệ
3. Annualized loss expectancy - ALE: dự báo tổn thất hàng năm
4. Annualized rate of occurrence - ARO: tỷ lệ xuất hiện hàng năm
5. Attack Success Probability: tỷ lệ thành công của cuộc tấn công
6. Asset valuation: xác định giá trị ts
7. Asset value: giá trị của ts
8. Asset exposure: mức độ tổn thất
9. Avoidance of competitive disadvantage: tránh bất lợi cạnh tranh
10. Competitive advantage: lợi thế cạnh tranh
11. Cost - Benefit Analysis (CBA): phân tích lợi ích - cp
12. Defense risk control strategy: chiến lược phòng thủ trong kiểm soát rủi ro
13. Likelihood: xác suất xảy ra ( tấn công )
14. Mitigation risk control strategy: chiến lược kiểm sóat - giảm thiểu rủi ro
15. Operational Feasibility: khả thi hoạt động
16. Organizational Feasibility: khả thi tổ chức
17. Political feasibility: khả thi chính trị
18. Probable Loss: tổn thất có thể xảy ra
19. Residual risk: rủi ro còn lại
20. Risk appetite: khẩu vị rủi ro
21. Risk assessment: đánh giá rủi ro
22. Risk control: kiểm soát rủi ro
23. Risk identification: xác định rủi ro
24. Risk management: quản lý rủi ro
25. Risk tolerance: khả năng chịu đựng rủi ro
26. Security clearance: phân quyền an ninh
27. Single loss expectancy - SLE: dự báo tổn thất đơn lẻ
28. Technical feasibility: khả thi kỹ thuật
29. Termination risk control strategy: chiến lược kiểm soát- hủy bỏ rủi ro
30. Threat: nguy cơ
31. Threat assessment: đánh giá nguy cơ
32. Threat-vulnerabilities-assets (TVA) triples: Bộ ba nguy cơ - Điểm yếu của hệ thống - TS
33. Threat-vulnerabilities-assets (TVA) worksheet: Bảng nguy cơ - Điểm yếu của hệ thống - TS
34. Transference risk control strategy: Chiến lucowj kiểm soát - chuyển giao rủi ro
35. Vulnerability: điểm yếu của hệ thống
REVIEW QUESTION
6. Điều nào quan trọng hơn đối với kế hoạch phân loại tài sản thông tin: toàn diện hay loại trừ lẫn
nhau? Tr 135
→ Dành cho các tổ chức cần mức độ bảo mật cao hơn cho dữ liệu rất nhạy cảm, chẳng hạn như nghiên
cứu và phát triển (R&D), các cấp độ bổ sung có thể được thêm vào phía trên mức “bảo mật”. Các hạng
mục phân loại phải toàn diện và loại trừ lẫn nhau. “Toàn diện” có nghĩa là tất cả tài sản đều phù hợp với
một hạng mục; “loại trừ lẫn nhau” có nghĩa là mỗi tài sản chỉ phù hợp với một hạng mục. Một kế hoạch
toàn diện là quan trọng hơn để đảm bảo rằng tất cả các tài sản đều được đưa vào nếu chúng phù hợp ở
nhiều vị trí. Phân loại tài sản thông tin tốt nhất phải cân bằng cả tính toàn diện và tính loại trừ lẫn nhau,
tùy thuộc vào nhu cầu và bối cảnh cụ thể của tổ chức. Tiêu chuẩn ISO 27001 cung cấp khuôn khổ và
hướng dẫn để phát triển và triển khai sơ đồ phân loại tài sản thông tin hiệu quả.
7. Sự khác biệt giữa khả năng tạo ra doanh thu và khả năng tạo ra lợi nhuận của một tài sản là gì?
Tr 135

- Khả năng tạo ra doanh thu của một tài sản là khả năng tạo ra thu nhập cho công ty bằng cách sản xuất
tiền mặt trực tiếp. Khả năng tạo ra doanh thu liên quan trực tiếp đến tài sản. Nếu tài sản được bán, dòng
tiền sẽ dừng lại.

- Khả năng tạo ra lợi nhuận của một tài sản là khả năng giữ lại một phần thu nhập sau khi trừ đi các chi
phí, nợ, thu nhập bổ sung và chi phí hoạt động.Khả năng tạo ra lợi nhuận liên quan gián tiếp đến tài sản.
Tài sản không tạo ra tiền mặt trực tiếp, nhưng ảnh hưởng đến hành vi của khách hàng và đối thủ cạnh
tranh với mục đích tăng doanh thu.
- Lưu ý về sự khác biệt giữa doanh thu và lợi nhuận là: Một số hệ thống phụ thuộc vào doanh thu hoạt
động với tỷ suất lợi nhuận thấp hoặc không tồn tại và không tạo ra lợi nhuận sau khi thanh toán chi phí.
Trong các tổ chức phi lợi nhuận, bạn có thể xác định phần trăm khách hàng của đại lý nhận được dịch vụ
từ tài sản thông tin đang được đánh giá.
8. Mô tả bảng tính TVA ( bảng nguy cơ-điểm yếu của hệ thống-tài sản). Nó sử dụng cho cái gì? Tr
141-142
Bảng nguy cơ - điểm yếu của hệ thống - tài sản ( TVA worksheet)
- Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ và dấu hiệu về bất kỳ điểm yếu của hệ
thống nào trong các cặp tài sản/ nguy cơ.
- Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý rủi ro - đánh giá rủi ro
- Bộ ba nguy cơ- điểm yếu của hệ thống - tài sản ( TVA triads)
+ Cột: thể hiện tài sản thông tin với tài sản quan trọng nhất ở bênntrasi
+ Dòng: thể hiện các nguy cơ với nguy cơ quan trọng nhất và nguy hiểm nhất được liệt kê ở trên cùng
+ Lưới kết quả: thể hiện điểm yếu bảo mật ( exposure) của tài sản và cho phép đánh giá điểm yếu tiềm ẩn
- Nguy cơ - Điểm yếu - Tài sản:
+ Một cặp tài sản và nguy cơ và một sự xác định điểm yếu tồn tại giữa chúng
+ Thể hiện ở định dạng: TxVyAz
+ Có thể có một hoặc nhiều điểm yếu giữa nguy cơ X và Tài sản Z
+ Hỗ trợ xác định mức độ nghiêm trọng của các điểm yếu
+ Nếu giao điểm của một nguy cơ và một tài sản không có điểm yếu, cần gạch bỏ ô đó
+ Có nhiều khả năng tồn tại một hoặc nhiều điểm yếu giữa nguy cơ và tài sản
9. Xem xét công thức rủi ro đơn giản nhất được trình bày trong học phần này. Các yếu tố chính của
nó là gì? slide 75...
Rủi ro = Tần suất tổn thất x Mức độ tổn thất (Thiệt hại kỳ vọng) +/- Sự không chắc chắn của các ước tính
- Tần suất tổn thất = Xác suất xảy ra tấn công x Tỷ lệ thành công của cuộc tấn công
- Thiệt hại kỳ vọng ( Mức độ tổn thất) = Giá trị tài sản x Tổn thất có thể xảy ra
- Sự không chắc chắn của các ước tính: sự không chắc chắn vốn có trogn đánh giá rủi ro, do những cân
nhắc như
+ Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
+ Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ (vd đặc điểm của kẻ thù, bao gồm chiến
thuật, kỹ thuật và thủ tục)
+ Các lỗ hổng chưa được phát hiện trong công nghệ hoặc sản phẩm
+ Sự phụ thuộc chưa được nhận biết, có thể dẫn đến các tác động khồn lường trước được.
BT 5 - TÍNH CBA ( Sách 160-163, slide 104-105)
Tại sao một số giá trị đã thay đổi trong cột Chi phí cho mỗi Sự cố và Tần suất xảy ra? Làm thế nào một sự
kiểm soát có thể ảnh hưởng đến cái này mà không ảnh hưởng đến cái kia? Giả sử rằng các giá trị trong cột
Chi phí Kiểm soát là các chi phí duy nhất liên quan trực tiếp đến việc bảo vệ khỏi mối đe dọa. Nói cách
khác, đừng xem xét sự chồng chéo chi phí giữa các biện pháp kiểm soát. Tính toán CBA cho phương
pháp kiểm soát rủi ro theo kế hoạch trong từng loại mối đe dọa. Đối với mỗi loại mối đe dọa, hãy xác
định xem biện pháp kiểm soát được đề xuất có xứng đáng với chi phí bỏ ra hay không?
Bài làm
Các giá trị trong cột Chi phí cho mỗi Sự cố và Tần suất xảy ra có thể đã thay đổi do việc thực hiện các
biện pháp kiểm soát. Một biện pháp kiểm soát là một biện pháp giảm thiểu khả năng hoặc tác động của
một mối đe dọa. Ví dụ, cài đặt phần mềm chống vi-rút có thể giảm tần suất xảy ra lỗi lập trình, trong khi
mã hóa dữ liệu có thể giảm chi phí mất mát hoặc trộm cắp thông tin.
Để tính toán phân tích chi phí-lợi ích (CBA) cho phương pháp kiểm soát rủi ro theo kế hoạch trong từng
loại mối đe dọa, chúng ta cần so sánh kỳ vọng mất mát hàng năm (ALE) trước và sau khi áp dụng biện
pháp kiểm soát. ALE là tích của chi phí cho mỗi sự cố và tần suất xảy ra. CBA là hiệu số giữa ALE trước
và sau biện pháp kiểm soát, trừ đi chi phí của biện pháp kiểm soát. Một CBA dương có nghĩa là biện pháp
kiểm soát xứng đáng với chi phí, trong khi một CBA âm có nghĩa là không xứng đáng.
CBA = ALE (prior) - ALE ( post) - ACS
ALE ( prior): dự báo tổn thất hàng năm trước khi triển khai các thủ tục kiểm soát
ALE (post) : dự báo tổn thất hàng năm sau khi đã triển khai các thủ tục kiểm soát
ACS (Chi phí của thủ tục kiểm soát): tổng chi phí của thủ tục kiểm soát hoặc bảo vệ, bao gồm tất cả chi
phí mua, bảo trì, đăng ký, nhân sự và hỗ trợ, chia cho tổng số năm dự kiến sử dụng thủ tục kiểm soát.
ALE = SLE * ARO
ARO- tỷ lệ xuất hiện hàng năm: Xác suất dự kiến của một cuộc tấn công, được biểu thị trên cơ sở mỗi
năm
 SLE- dự báo tổn thất đơn lẻ: Giá trị được tính toán liên quan đến tổn thất có khả năng xảy ra nhất từ một
cuộc tấn công ( SLE = EF * giá trị tài sản AV)
EF - tỷ lệ thiệt hại kỳ vọng : Tỷ lệ phần trăm tổn thất dự kiến sẽ xảy ra từ một cuộc tấn công cụ thể
Từ bảng số liệu, chúng ta có thể tính CBA cho từng mối đe dọa như sau:

 Lỗi lập trình :

ARO trước = 1*52= 52

ARO sau = 1*12= 12

ALE trước = $5,000 x 52 = $ 260,000

ALE sau = $5,000 x 12 = $60,000

→ CBA = $260,000 - $60,000 - $20,000 = $180,000 > 0

 Mất tài sản trí tuệ:

ARO trước = 1

ARO sau = 1/2 = 0.5

ALE trước = $75,000 x 1 = $75,000

ALE sau = $75,000 x 0.5 = $37,500

→ CBA = $75,000 - $37,500 - $15,000 = $22,500 > 0

 Bản quyền phần mềm :

ARO trước = 1 *52 = 52

ARO sau = 1*12 = 12

ALE trước = $500 x 52 = $26,000

ALE sau = $500 x 12 = $6,000

→ CBA = $26,000 - $6,000 - $30,000 = - $10,000 < 0

 Trộm thông tin (hacker) :

ARO trước = 1 *4 = 4

ARO sau = 1*2 = 2

ALE trước = $2,500 x 4 = $10,000

ALE sau = $2,500 x 2 = $5,000

→ CBA = $10,000 - $5,000 - $15,000 = - $10,000 < 0

 Trộm thông tin (nhân viên) :

ARO trước = 1 *2 =2

ARO sau = 1

ALE trước = $5,000 x 2 = $10,000

ALE sau = $5,000 x 1 = $5,000

→ CBA = $10,000 - $5,000 - $15,000 = - $10,000 < 0

 Hỏng web:

ARO trước = 1 *12 =12

ARO sau = 1*4 = 4

ALE trước = $500 x 12 = $6,000

ALE sau=$500 x 4=$2,000

→ CBA=$6,000-$2,000-$10,000= - $6,000 < 0

 Trộm thiết bị :

ARO trước = 1

ARO sau = 1/2 = 0.5

ALE trước = $5,000*1=$5,000

ALE sau=$5,000 x 0.5 = $2.500

→ CBA=$5,000-$2,500-$15,000=-$12,500 < 0

 Virus, worms...:

ARO trước = 1 *52 = 52

ARO sau = 1 *12 = 12

ALE trước=$1,500 x 52 = $78,000

ALE sau=$1,500 x 12=$ 18,000

→ CBA=$78,000-$18,000-$15,000=$ 45,000 > 0

 Tấn công từ chối dịch vụ :

ARO trước = 1 *4 = 4

ARO sau = 1 *2 = 2

ALE trước=$2,500 x 4 = $10,000

ALE sau=$2,500 x 2=$ 5,000

→ CBA=$10,000-$5,000-$10,000= -$5,000 < 0

 Động Đất :

ARO trước = 1/20 = 0.05

ARO sau = 1/20 = 0.05

ALE trước=$250,000 x 0.05 = $12,500

ALE sau=$250,000 x 0.05 = $12,500

→ CBA=$12,500-$12,500-$5,000= -$5,000 < 0

 Lũ lụt:

ARO trước = 1 /10 = 0.1

ARO sau = 1/10 = 0.1

ALE trước=$250,000 x 0.1= $25,000

ALE sau=$50,000 x 0.1= $5,000

→ CBA=$25,000-$5,000-$10,000= $ 10,000 > 0

 Cháy:
ARO trước = 1 /10 = 0.1

ARO sau = 1/10 = 0.1

ALE trước=$500,000 x 0.1= $50,000

ALE sau=$100,000 x 0.1= $10,000

→ CBA=$50,000-$10,000-$10,000= $ 30,000 > 0

Từ kết quả trên, ta có:

 Các biện pháp kiểm soát được đề xuất cho lỗi lập trình,mất tài sản trí tuệ,Virus, lũ lụt và cháy xứng
đáng với chi phí.
 Các biện pháp kiểm soát được đề xuất cho bản quyền phần mềm, Trộm thông tin( hacker), trộm
thông tin (nhân viên), hỏng web, trộm thiết bị, tấn công từ chối dịch vụ, động đất không xứng đáng
với chi phí.