Professional Documents
Culture Documents
Aise c5 Edit 2023 Lms
Aise c5 Edit 2023 Lms
Aise c5 Edit 2023 Lms
5
Information Quản trị an Việc áp dụng các nguyên tắc quản trị
Security toàn thông tin công ty vào chức năng an toàn thông tin.
Governance
Maximum Thời gian Tổng lượng thời gian mà chủ sở hữu hệ
tolerable ngưng trệ tối thống/ hoặc viên chức được ủy quyền
downtime (MTD) đa có thể sẵn sàng chấp nhận việc gián đoạn hoặc
chấp nhận ngưng trệ một sứ mệnh / quy trình kinh
được doanh, bao gồm tất cả các cân nhắc về
Thuật tác động.
ngữ Operational plans Kế hoạch hoạt Là Hồ sơ hoặc văn bản của việc lập kế
động hoạch hoạt động. Kế hoạch này mô tả
các nỗ lực hoạt động dự kiến hàng ngày
của tổ chức trong vài tháng tới.
Operational Lập kế hoạch Các hành động mà ban lãnh đạo thực
planning hoạt động hiện nhằm xác định các mục tiêu ngắn
hạn của tổ chức để đạt được các mục
tiêu chiến thuật cụ thể, sau đó là các ước
tính và lịch trình phân bổ các nguồn lực
cần thiết để đạt được các mục tiêu này 6
Recovery point Mốc phục hồi Thời điểm trước khi hệ thống bị gián
objective (RPO) dữ liệu đoạn hoặc ngừng hoạt động mà dữ liệu
của sứ mệnh / quy trình kinh doanh có
thể được khôi phục sau khi ngừng hoạt
động (được cung cấp bản sao lưu dữ
liệu gần đây nhất).
Recovery time Mốc thời gian Khoảng thời gian tối đa mà tài nguyên hệ
Thuật objective (RTO) phục hồi thống có thể không có sẵn trước khi có
ngữ tác động không thể chấp nhận được đối
với các tài nguyên hệ thống khác hỗ trợ
nhiệm vụ / quy trình kinh doanh và MTD
Work recovery Thời gian Số lượng nỗ lực (được biểu thị bằng thời
time (WRT) phục hồi hoạt gian đã trôi qua) cần thiết để làm cho
động chức năng kinh doanh hoạt động sau khi
yếu tố công nghệ được khôi phục (như
được xác định với RTO). Các nhiệm vụ
bao gồm kiểm tra và xác nhận hệ thống.
7
Nội dung
8
Nội dung
9
Giới thiệu
10
Giới thiệu
• Các biến cố, sự cố bất ngờ đều ảnh hưởng tới hoạt động kinh
doanh (công nghệ thúc đẩy kinh doanh)
• Khả năng của một tổ chức đối phó với tổn thất do sự kiện bất lợi
gây ra phụ thuộc vào sự đúng đắn của việc lập kế hoạch và thực
hiện kế hoạch dự phòng. Nếu không, sự kiện bất lợi có thể gây
ra thiệt hại nghiêm trọng cho tài nguyên và tài sản thông tin của
tổ chức và thậm chí không thể phục hồi được
→ Lập Kế hoạch ứng phó sự cố và lập kế hoạch dự phòng cần toàn
diện, hữu hiệu
11
Giới thiệu
Lập kế hoạch cho các sự kiện bất lợi bất ngờ cần sự tham gia của:
• Nhóm quản lý chung (general business management) - nhóm GB
• Nhóm quản lý CNTT ((Information Technology Management and
Professionals) – Nhóm IT
• Nhóm quản lý an toàn thông tin (Information Security:
Management and Professionals) – Nhóm InforSec
12
Giới thiệu
• Một vài tổ chức liên quan tới an ninh quốc gia, việc lập và
duy trì kế hoạch ứng phó sự cố và kế hoạch dự phòng bị
qui định, điều chỉnh bởi luật
• Viện Tiêu Chuẩn Và Công Nghệ Quốc Gia (NIST) ban hành
“hướng dẫn lập kế hoạch dự phòng cho các hệ thống thông
tin liên bang” cho việc thực hành lập kế hoạch dự phòng.
14
Nội dung
15
Những vấn
đề cơ bản về
lập kế hoạch
dự phòng
Fundamentals of
Contingency
Planning
Những vấn đề cơ bản về lập kế hoạch dự phòng
Tiến hành thực hiện phân tích tác động kinh doanh
(business impact analysis-BIA):
Tiếp cận lập kế BIA giúp xác định và ưu tiên các hệ thống thông tin và
các thành phần quan trọng để hỗ trợ sứ mệnh / quy
hoạch dự phòng của trình kinh doanh của tổ chức.
NIST Xác định các biện pháp kiểm soát phòng ngừa:
NIST CP Methodology
Các biện pháp được thực hiện để giảm ảnh hưởng của
sự gián đoạn hệ thống, có thể tăng tính khả dụng của
hệ thống và giảm chi phí vòng đời dự phòng
41
Phân tích ảnh hưởng kinh doanh (BIA)
Business Impact Analysis
Phân tích tác động
kinh doanh (BIA)
Business Impact Analysis
• Thời gian ngưng trệ tối đa có thể chấp nhận được (Maximum tolerable
downtime - MTD): Tổng thời gian chủ sở hữu hệ thống/được ủy quyền sẵn
sàng chấp nhận ngừng hoạt động hoặc gián đoạn quy trình kinh doanh/nhiệm
vụ, đã xem xét bao gồm tất cả các tác động ảnh hưởng.
• Mốc thời gian phục hồi (Recovery time objective - RTO): thời gian hệ thống
(vật lý) được phục hồi
• Mốc lưu dự phòng dữ liệu (Recovery point objective - RPO): thời gian từ
lần lưu dự phòng cuối cùng cho tới thời gian hệ thống bị ngưng trệ
• Thời gian phục hồi hoạt động (Work recovery time - WRT): thời gian cần
thiết để các chức năng kinh doanh hoạt động lại sau khi thành phần kỹ thuật
của hệ thống được khôi phục. Nó bao gồm hoạt động kiểm tra (testing) và chấp
nhận chính thức hệ thống sau kiểm tra.
Sự khác biệt giữa RPO và RTO?
RTO RPO
Xác định mức độ quan
trọng của phục hồi
Xác định sứ mệnh/quy trình kinh doanh và
mức độ quan trọng của việc phục hồi
Determine Mission/Business Processes and
Recovery Criticality
• Tính khả dụng của hệ thống bị gián đoạn càng o Những loại giải pháp này
lâu, nó sẽ càng có nhiều tác động đến tổ chức sẽ yêu cầu các site xử lý
và hoạt động của nó với chi phí tăng theo. thay thế hoàn toàn dự
• Khi các kế hoạch yêu cầu RTO ngắn hơn, các phòng và do đó sẽ có chi
phí cao hơn nhiều.
giải pháp bắt buộc thường tốn kém hơn để thiết
o Ngược lại, RTO dài hơn
kế và sử dụng. Ví dụ, nếu một hệ thống phải sẽ cho phép hệ thống khôi
được khôi phục ngay lập tức, nó sẽ có RTO phục ít tốn kém hơn
bằng 0.
Xác định sứ
mệnh/quy trình kinh
doanh và mức độ
quan trọng của việc
phục hồi
Determine
Mission/Business
Processes and
Recovery Criticality
Xác định sứ mệnh/quy trình kinh doanh và
mức độ quan trọng của việc phục hồi Xác định mức độ quan
Determine Mission/Business Processes and trọng của phục hồi
Recovery Criticality
• Xác định, phân loại, xác định mức độ ưu tiên bảo vệ của
nguồn lực/tài nguyên
• Dán nhãn các tài sản này (xác định, phân loại và mức độ
ưu tiên): Primary/Secondery/Tertiary. Hoặc là Critial/Very
important/Important/routine
Example Resource/Component Table (1 of 2)
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 68
Example Resource/Component Table (2 of 2)
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 69
Theo NIST SP 800-34, Rev. 1, CPMT tiến
hành BIA trong ba giai đoạn:
Phân tích tác động o Xác định sứ mệnh/ quy trình kinh doanh và
mức độ quan trọng của việc phục hồi
kinh doanh (BIA) o Xác định các yêu cầu về nguồn lực/ tài
Business Impact Analysis nguyên
o Xác định các ưu tiên phục hồi cho nguồn
lực/ tài nguyên hệ thống
Xác định các ưu tiên phục hồi cho
nguồn lực/ tài nguyên hệ thống
System Resource Recovery Priorities
• Tạo 1 bảng phân tích trọng số theo
từng nguồn lực yêu cầu trong từng
Xác định các ưu tiên phục qui trình
hồi cho tài nguyên hệ thống
Identify Recovery Priorities for • Phân loại các mức độ ưu tiên:
System Resources
Primary/ Secondery/ Tertiary hay
Critial/ Very important/ Important/
Routine
Theo NIST SP 800-34, Rev. 1, CPMT tiến
hành BIA trong ba giai đoạn:
Phân tích tác động o Xác định sứ mệnh/ quy trình kinh doanh và
mức độ quan trọng của việc phục hồi
kinh doanh (BIA) o Xác định các yêu cầu về nguồn lực/ tài
Business Impact Analysis nguyên
o Xác định các ưu tiên phục hồi cho nguồn
lực/ tài nguyên hệ thống
Nội dung
74
Lập kế hoạch ứng phó sự cố
Incident Response Planning
• Sự cố (Incident) là sự kiện bất lợi
(adverse event) có biểu hiện gây thiệt hại
cho tài sản thông tin nhưng chưa đe dọa
những hoạt động như dự định ban đầu
của tổ chức.
Lập kế hoạch ứng
phó sự cố • Sự cố an toàn thông tin được nhận diện
nếu các sự kiện bất lợi có các đặc điểm”
Incident Response
Planning o Nhắm tới các tài sản thông tin.
o Có một cơ hội thực sự thành công
o Đe dọa đến tính bảo mật, tính toàn vẹn
hoặc tính sẵn có của các tài nguyên và tài
sản thông tin.
• Ứng phó sự cố (Incident response IR)
là một tập hợp gồm lập kế hoạch và
chuẩn bị các nỗ lực để phát hiện, phản
ứng với và khôi phục các sự cố.
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 84
• Xác định (Identify): Liên quan tới
quản lý và quản trị rủi ro
• Bảo vệ (protect): Liên quan tới triển
khai các kiểm soát an toàn hiệu quả
(chính sách; giáo dục; huấn luyện và
nhận thức; và công nghệ)
• Phát hiện (Detect): Liên quan tới xác
định các sự kiện bất lợi
• Phản ứng (respond): Liên quan tới
hành động đáp trả khi sự cố xẩy ra
• Khôi phục (recover): Liên quan tới
việc trả lại tình trạng bình thường
• Chính sách ứng phó sự cố
• Lập kế hoạch cho sự cố có thể
Lập kế hoạch xảy ra
ứng phó sự cố • Lập kế hoạch ứng phó sự cố
Incident Response • Phát hiện sự cố
Planning
• Phản ứng sự cố
• Khôi phục sau sự cố
Chính sách ứng phó sự cố
Incident Response Policy
Chính sách ứng phó sự cố (IR Chính sách cần xây dựng để:
policy) là bản hướng dẫn việc phát
• Tất cả các thành viên trong tổ chức, các
triển và thực hiện kế hoạch ứng phó
bên liên quan đều hiểu được rõ ràng;
sự cố; và hướng dẫn hình thành,
• Đảm bảo được sự hỗ trợ của quản lý cấp
thực hiện hoạt động của đội phản
cao và của 3 nhóm có lợi ích liên quan
ứng sự cố
Nội dung chính sách IR
• Cơ cấu tổ chức và định nghĩa về vai trò, trách nhiệm và mức độ quyền hạn,
bao gồm thẩm quyền của nhóm ứng phó sự cố:
o Để tịch thu hoặc ngắt kết nối thiết bị và giám sát hoạt động đáng ngờ
o Các yêu cầu báo cáo một số loại sự cố
o Các yêu cầu và hướng dẫn về giao tiếp bên ngoài và chia sẻ thông tin
(những gì có thể được chia sẻ, với ai, khi nào, và qua những kênh nào)
o Các điểm chuyển giao và leo thang trong quá trình quản lý sự cố
• Chính sách ứng phó sự cố
• Lập kế hoạch cho sự cố có thể
Lập kế hoạch xảy ra
ứng phó sự cố • Lập kế hoạch ứng phó sự cố
Incident Response • Phát hiện sự cố
Planning
• Phản ứng sự cố
• Khôi phục sau sự cố
Lập kế hoạch cho sự cố có thể xảy ra
Incident Planning
• Ứng phó sự cố (IR) là các biện pháp phản ứng, không phải là
một biện pháp phòng ngừa, mặc dù hầu hết các kế hoạch IR bao
gồm các khuyến nghị phòng ngừa
• Các hành động ứng phó sự cố thường bao gồm: Phát hiện,
Hành động đáp trả và Khôi phục
• Cần lập 3 bộ quy trình xử lý sự cố: tập trung phân chia trách
nhiệm trong các hành động phản ứng sự cố trong sự cố, trước
sự cố và sau sự cố
• Các qui trình này cần được lập hồ sơ rõ ràng và nó là một phần
trong kế hoạch ứng phó sự cố
• Chính sách ứng phó sự cố
• Lập kế hoạch cho sự cố có thể
Lập kế hoạch xảy ra
ứng phó sự cố • Lập kế hoạch ứng phó sự cố
Incident Response • Phát hiện sự cố
Planning
• Phản ứng sự cố
• Khôi phục sau sự cố
Lập kế hoạch ứng phó sự cố
Incident Response Planning
Theo NIST (SP 800-61, Rev2), một kế hoạch
ứng phó sự cố bao gồm (p188)
• Sứ mệnh (mission)
• Chiến lược và mục tiêu
• Phê duyệt của quản lý cấp cao
• Cách tiếp cận của tổ chức đối với ứng phó sự cố
• Cách truyền thông của đội ứng phó sự cố
• Các chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
• Lộ trình hoàn thiện năng lực ứng phó sự cố
• Cách để chương trình phản ứng sự cố phù hợp với tổ chức trong tổng thể
Lập kế hoạch ứng phó sự cố
Incident Response Planning
• Kế hoạch IR cần hỗ trợ truy cập thông tin được yêu cầu một cách nhanh chóng và
dễ dàng.
• Biện pháp đơn giản nhất là tạo một thư mục các sự cố.
• Để ứng phó với một sự cố, người ứng cứu chỉ cần mở bìa, lật đến phần thích hợp
và làm theo các quy trình được vạch ra rõ ràng cho một vai trò được giao.
• Các nhà lập kế hoạch phải phát triển các thủ tục chi tiết cần thiết để hướng dẫn
ứng phó với mỗi sự cố (bao gồm các hành động cần thực hiện trước/trong/sau khi
xảy ra sự cố)
Incident Handling Checklist from NIST SP
800-61, Rev. 2 (1 of 3)
Action Completed
Detection and Analysis
1. Determine whether an incident has occurred
1.1 Analyze the precursors and indicators
1.2 Look for correlating information
1.3 Perform research (e.g., search engines, knowledge base)
1.4 As soon as the handler believes an incident has occurred, begin
documenting the investigation and gathering evidence
2. Prioritize handling the incident based on the relevant factors
(functional impact, information impact, recoverability effort, etc.)
3. Report the incident to the appropriate internal personnel and
external organizations
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 97
Incident Handling Checklist from NIST SP
800-61, Rev. 2 (2 of 3)
Action Completed
Containment, Eradication, and Recovery
4. Acquire, preserve, secure, and document evidence
5. Contain the incident
6. Eradicate the incident
6.1 Identify and mitigate all vulnerabilities that were exploited
6.2 Remove malware, inappropriate materials, and other components
6.3 If more affected hosts are discovered (e.g., new malware infections),
repeat the Detection and Analysis steps (1.1, 1.2) to identify all other
affected hosts, then contain (5) and eradicate (6) the incident for
them
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 98
Incident Handling Checklist from NIST SP
800-61, Rev. 2 (3 of 3)
Action Completed
7. Recover from the incident
7.1 Return affected systems to an operationally ready state
7.2 Confirm that the affected systems are functioning normally
7.3 If necessary, implement additional monitoring to look for future
related activity
Post-Incident Activity
8. Create a follow-up report
9. Hold a lessons learned meeting (mandatory for major incidents,
optional otherwise). While not explicitly noted in the NIST
document, most organizations will document the findings from this
activity and use it to update relevant plans, policies, and procedures.
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 99
• Chính sách ứng phó sự cố
• Lập kế hoạch cho sự cố có thể
Lập kế hoạch xảy ra
ứng phó sự cố • Lập kế hoạch ứng phó sự cố
Incident Response • Phát hiện sự cố
Planning
• Phản ứng sự cố
• Khôi phục sau sự cố
• Phát hiện sự cố (incident detective) là việc
xác định và phân loại sự kiện bất lợi xem nó
có cấu thành sự cố hay không.
• Phân loại sự cố là việc kiểm tra các sự kiện
bất lợi và xác định liệu nó có trở thành sự cố
Phát hiện sự cố hay không.
• Việc phát hiện sự cố là thách thức khó khăn
Incident Detection
nhưng quan trọng vì khi xác định và phân loại
đúng cách sự cố thực tế, các thành viên của
nhóm phản ứng sự cố mới có thể thực hiện
hiệu quả các quy trình tương ứng từ kế
hoạch ứng phó sự cố (IR plan)
• Các chỉ báo sự kiện bất lợi có khả năng trở
Phát hiện sự cố thành sự cố (possible Indicators):
Incident Detection o Xuất hiện các tập tin không quen thộc
o Xuất hiện hoặc thực hiện các chương trình
hoặc qui trình không biết
o Sử dụng các nguồn lực /tài nguyên HT môt
cách bất thường
o Hệ thống bị treo bất thường.
• Các chỉ báo sự kiện bất lợi có khả năng cao
Phát hiện sự cố xảy ra (probable indicators):
o Hoạt động vào những thời điểm không
Incident Detection
mong muốn
o Sự hiện diện của các tài khoản mới
o Các cuộc tấn công được báo cáo
o Thông báo từ IDPS (intrusion detection and
prevention systems - hệ thống ngăn chặn và
phát hiện xâm nhập)
Năm loại sự kiện sau đây là những dấu hiệu xác định
về sự cố (các hoạt động báo hiệu rõ ràng một sự cố
đang diễn ra hoặc đã xảy ra):
• Sử dụng các tài khoản không hoạt động
(Dormant acoounts), là các tài khoản của những
người đã nghỉ nhưng chưa xóa và không có quyền truy
cập từ xa; hoặc là các TK giả để kiểm tra hệ thống
• Thay đổi được ghi nhận trong nhật ký hệ thống:
Phát hiện sự cố Nếu có các thay đổi quyền truy cập hoặc sử dụng các hệ
thống và dữ liệu được ghi nhận trong nhật ký hệ thống
Incident Detection • Sự hiện diện của các công cụ hacker: Người quản
trị mạng sử dụng các điểm yếu tiềm ẩn của hệ thống và
các công cụ đánh giá mạng để xác định điểm yếu bảo
mật, kiểm tra sự xâm nhập vào hệ thống. Tuy nhiên, việc
sử dụng các công cụ này bị cấm tuyệt đối, chỉ trừ khi
được sự cho phép của CISO và được giám sát chặt chẽ.
• Thông báo của đối tác hoặc đồng nghiệp
• Thông báo của hacker.
Một số tình huống khác là dấu hiệu liên quan
sự cố:
• Mất tính khả dụng: Thông tin hoặc hệ thống
thông tin không sẵn sàng cho việc sử dụng
• Mất tính toàn vẹn: Thông tin/dữ liệu bị sai,
không sử dụng được
Phát hiện sự cố • Mất tính bảo mật: Thông tin bí mật, quan trọng
Incident Detection hoặc được bảo vệ bị công bố bất hợp pháp, bị
rò rỉ.
• Vi phạm chính sách của công ty về sử dụng và
bảo mật
• Vi phạm pháp luật về sử dụng hệ thống thông
tin, công bố và sử dụng thông tin
• Các cơ chế có thể phát hiện sự cố bao gồm:
o Hệ thống ngăn chặn và phát hiện xâm nhập
(dựa trên máy chủ và mạng) (IDPS)
o Phần mềm phát hiện vi rút
o Quản trị viên hệ thống
o Người dùng cuối
5.3.4 Phát hiện sự cố
Incident Detection
• Chính sách ứng phó sự cố
• Lập kế hoạch cho sự cố có thể
Lập kế hoạch xảy ra
ứng phó sự cố • Bản kế hoạch ứng phó sự cố
Incident Response • Phát hiện sự cố
Planning
• Phản ứng sự cố
• Khôi phục sau sự cố
Phản ứng sự cố
Incident Reaction
• Tùy nguồn gốc, một tổ chức có thể lựa chọn triết lý xử lý sự cố hoặc thảm họa:
o Bảo vệ và quên (Protect and forgot) còn được gọi là "vá lỗi (patch) và tiếp tục
(proceed)”: Là triết lý tập trung vào sự bảo vệ tài sản thông tin và ngăn ngừa sự
cố tái diễn, hơn là tập trung truy tìm kẻ tấn công và truy tố
o Bắt giữ và truy tố (apprehend and prosecute), còn được gọi là “theo đuổi và
trừng phạt”: Triết lý tập trung vào truy tìm kẻ tấn công và truy tố truy tìm kẻ tấn
công và truy tố; bảo vệ tài sản thông tin và ngăn ngừa sự cố tái diễn
Khôi phục sau sự cố
Incident Recovery
128
Lập Kế hoạch khôi phục thảm họa
Disaster Recovery Planning (DRP)
Khái niệm thảm họa
• Một sự kiện có thể được phân loại là một thảm họa khi một
tổ chức không thể giảm thiểu tác động của sự cố đó
Lập kế hoạch trong khi nó đang xảy ra và mức độ thiệt hại nghiêm
trọng đến mức tổ chức không thể phục hồi nhanh chóng.
phục hồi sau • Sự khác biệt giữa một sự cố và một thảm họa có thể rất
thảm họa nhỏ; nhóm lập kế hoạch dự phòng phải phân biệt được cả
hai, điều này có thể không thực hiện được cho đến khi một
Disaster Recovery cuộc tấn công xảy ra.
Planning (DRP) • Thông thường, một sự kiện ban đầu được phân loại là một
sự cố sau đó có thể được xác định là một thảm họa.
• Khi điều này xảy ra, tổ chức phải thay đổi phản ứng và
đảm bảo bảo toàn giá trị các tài sản có giá trị nhất của
Phụ lục 3 mình trong dài hạn → Lập kế hoạch DR
Phân loại thảm họa
Thành
lập
Nhân sự liên
quan khắc phục Đội lập kế hoạch khắc phục thảm họa
(Disaster recovery planning team- DRPT)
thảm họa
Thành
lập
146
Nội dung
147
20XX
Lập Kế hoạch kinh
doanh liên tục
Business Continuity
148
Kế hoạch BC chuẩn bị cho tổ
chức để thiết lập lại/ di dời
các hoạt động kinh doanh
quan trọng bị ảnh hưởng
Kế hoạch đảm bảo trong thời gian xảy ra thảm
hoạt động liên tục họa đến hoạt động tại site
chính.
trong kinh doanh
Business Continuity Nếu một thảm họa đã khiến
Planning - BC vị trí hiện tại không thể sử
dụng được, thì phải có kế
hoạch cho phép doanh
nghiệp tiếp tục hoạt động.
Lập kế hoạch BC (BCP)
được kích hoạt và thực hiện
đồng thời với lập kế hoạch
DR (DRP) khi thảm họa kéo
Kế hoạch đảm bảo dài cần thiết:
hoạt động liên tục • BCP thiết lập lại các chức
trong kinh doanh năng quan trọng tại một
Business Continuity địa điểm thay thế
Planning - BC • DRP tập trung vào việc
thiết lập cơ sở hạ tầng kỹ
thuật và hoạt động kinh
doanh tại địa điểm chính.
Nhiều doanh nghiệp kết hợp BC
plan và DR plan trong một chức
năng gọi là Lập kế hoạch tái tục
Kế hoạch đảm bảo hoạt động kinh doanh (business
resumption planning -BRP).
hoạt động liên tục
BRP là những hoạt động được
trong kinh doanh thực hiện bởi những nhà quản
Business Continuity lý cấp cao để phát triển và thực
Planning - BC hiện một chính sách, kế hoạch
kết hợp DR và BC; và xây dựng
những đội khôi phục DR và BC
Không phải mọi doanh nghiệp
đều cần một kế hoạch/ phương
tiện như vậy.
Các công ty nhỏ hoặc các tổ
chức vững chắc về mặt tài chính
Kế hoạch đảm bảo có thể có khả năng ngừng hoạt
hoạt động liên tục động cho đến khi cơ sở vật chất
trong kinh doanh có thể được khôi phục.
Business Continuity Các tổ chức sản xuất và bán lẻ
Planning - BC có thể không có tùy chọn này vì
họ phụ thuộc vào thương mại
theo thời gian thực và có thể
không thể chuyển địa điểm hoạt
động
Qui trình này được điều chỉnh từ “hướng dẫn lập
kế hoạch dự phòng cho hệ thống thông tin liên
bang” của NIST
• Thành lập đội BC.
Qui trình lập kế • Xây dựng tuyên bố chính sách quy hoạch BC.
hoạch đảm bảo hoạt • Đánh giá, xem lại BIA.
động kinh doanh liên • Xác định các biện pháp kiểm soát phòng ngừa.
tục • Tạo chiến lược tái lập địa điểm làm việc
• Xây dựng kế hoạch BC.
• Kiểm tra kế hoạch BC, huấn luyện và thực hành
• Đảm bảo duy trì kế hoạch BC.
• Mục đích.
• Phạm vi
• Vai trò và trách nhiệm
Chính sách lập kế • Yêu cầu nguồn tài nguyên
hoạch hoạt động • Yêu cầu đào tạo, huấn luyện
kinh doanh liên tục • Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
Sự cố và thảm họa
• Sau khi có kế hoạch ứng phó sự cố và khắc phục
hậu quả sau thảm họa, tổ chức cần xem xét việc
tìm kiếm các phương tiện tạm thời để hỗ trợ khả
năng tiếp tục tồn tại của mình trong thảm họa.
• Kế hoạch BC có phần đơn giản hơn để phát
Phát triển các triển so với kế hoạch IR hoặc kế hoạch DR vì nó
chương trình đảm chủ yếu bao gồm việc lựa chọn chiến lược bền
bảo hoạt động liên vững và tích hợp các chức năng lưu trữ và khôi
tục phục dữ liệu bên ngoài site (off-site) vào chiến
Developing Continuity lược này.
Programs
• Một số thành phần của kế hoạch BC, như dịch vụ
sao lưu thuê ngoài có thể giúp tổ chức hoạt động
bình thường. Các thành phần khác cần được
xem xét và thương lượng kỹ lưỡng.
• Phần đầu tiên của việc lập kế hoạch BC được thực
hiện khi kế hoạch DR / BC tích hợp chung được phát
triển.
• Việc xác định các chức năng kinh doanh quan trọng và
các nguồn lực cần thiết để hỗ trợ chúng là nền tảng
của kế hoạch BC. Khi thảm họa xảy ra, các chức năng
này là chức năng đầu tiên được thiết lập lại tại site thay
Phát triển các thế.
chương trình đảm
• Nhóm lập kế hoạch dự phòng cần chỉ định một nhóm
bảo hoạt động liên
người để đánh giá và so sánh các giải pháp thay thế
tục khác nhau và đề xuất chiến lược nào nên được lựa
Developing Continuity
chọn và thực hiện. Chiến lược được lựa chọn thường
Programs
liên quan đến một số hình thức cơ sở site bên ngoài,
cần được kiểm tra cấu hình, an toàn định kỳ.
• Việc lựa chọn cần được xem xét lại định kỳ để xác định
xem đã xuất hiện một giải pháp thay thế ưu việt hơn/ tổ
chức cần một giải pháp khác tốt hơn
Chiến lược dự phòng dữ liệu và site
Site and Data Contingency Strategies
168
Mối quan hệ của các
thành phần trong lập kế
hoạch dự phòng
Incident Response and Disaster Recovery
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 170
Disaster Recovery and Business Continuity
Planning
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 171
Contingency Planning Implementation
Timeline
Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not be
scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 172
Nội dung
173
Quản lý
khủng hoảng
Crisis
Management
Quản lý khủng hoảng Crisis
Management
Nhân sự
• Đội lập kế hoạch quản lý khủng hoảng (Crisis
management planning team) - CMPT, nên
bao gồm những người từ tất cả các vùng
chức năng của tổ chức để tạo điều kiện giao
tiếp và hợp tác
• Đội ứng phó quản lý khủng hoảng (Crisis
management response team) - CMRT, do
CMPT thành lập
Quản lý khủng hoảng Crisis
Management
Nhóm ứng phó quản lý khủng hoảng chịu trách • Thông báo cho công chúng về
nhiệm quản lý sự kiện từ góc độ của tổ chức và sự kiện và các hành động
được thực hiện để đảm bảo
bao gồm các hoạt động chính sau:
sự phục hồi của nhân sự và tổ
• Hỗ trợ nhân sự và những người thân của chức
họ trong thời kỳ khủng hoảng • Liên lạc với các khách hàng
• Xác định tác động của sự kiện đối với lớn, nhà cung cấp, đối tác, cơ
hoạt động kinh doanh bình thường và quan quản lý, tổ chức trong
ngành, giới truyền thông và
nếu cần, đưa ra tuyên bố về thảm họa
các bên quan tâm khác
Quản lý khủng hoảng Crisis
Management
181
Thử nghiệm kế
hoạch dự phòng
Testing Contingency
Plans
Thử nghiệm kế hoạch dự phòng
3. Mô phỏng (Simulation):
• Mỗi người liên quan làm việc riêng lẻ (không thảo luận nhóm), mô phỏng
việc thực hiện từng nhiệm vụ cần thiết để phản ứng và phục hồi sau một
sự cố mô phỏng.
• Mô phỏng dừng lại ở các nhiệm vụ vật lý được yêu cầu, chẳng hạn như
cài đặt bản sao lưu hoặc ngắt kết nối mạch liên lạc.
• Sự khác biệt chính giữa walkthrough và mô phỏng là sự độc lập của từng
người thực hiện khi họ làm việc với nhiệm vụ của riêng họ và chịu trách
nhiệm xác định lỗi trong quy trình của riêng họ
Thử nghiệm (Testing):
Bốn chiến lược thử nghiệm phổ biến
187
More …
• Một cuộc tấn công/ vi phạm chính sách hoặc sự cố
có thể cấu thành tình huống vi phạm pháp luật.
• Ban đầu, sự cố có thể được xem là một tai nạn,
nhưng hóa ra lại là một nỗ lực gián điệp/phá
Liên quan đến hoại/trộm cắp tài sản thông tin của tổ chức. Do đó, tổ
chức cần có bộ phận pháp lý.
thực thi pháp • Lưu ý sự tham gia của các cơ quan hành pháp có
luật những thuận lợi và khó khăn.
Law • Nếu một tổ chức phát hiện ra một hành vi phạm tội,
Enforcement thì về mặt pháp lý, tổ chức đó có nghĩa vụ liên quan
Involvement đến thực thi pháp luật, nếu không làm như vậy có
thể khiến tổ chức và các nhân viên của tổ chức
bị truy tố như một đồng phạm cho tội ác hoặc
gây trở ngại cho cuộc điều tra.
• Người quản lý an toàn cần hỏi các quan chức thực
thi pháp luật các trường hợp nào tổ chức của họ cần
pháp luật can dự và giải quyết
Liên quan đến
thực thi pháp
luật
Law
Enforcement
Involvement
Thảo luận về các thuận lợi và khó khăn khi
có sự can thiệp của pháp luật và cơ quan
thực thi pháp luật trong tình huống xảy ra vi
phạm an toàn thông tin trong tổ chức.
Liên quan đến Ưu điểm Hạn chế
thực thi pháp • Thu thập và xử lý các • Đơn vị sẽ mất quyền
luật bằng chứng tốt hơn. kiểm soát hoàn toàn đối
Law Trong khi nếu đơn vị tự với chuỗi sự kiện, việc
Enforcement xữ lý thì có thể làm hư thu thập thông tin và
hại các bằng chứng máy bằng chứng cũng như
Involvement tính khi chưa được đào việc truy tố các nghi
tạo tốt phạm.
• Có thể ban hành các trát • Đơn vị có thể chỉ muốn
bắt giam (warrants and kiểm duyệt và sa thải
subpoenas) trong trường nhân viên vi phạm
hợp cần thiết nhưng họ phải đối mặt
• Chuyên nghiệp trong với cáo buộc hình sự
việc lấy lời khai từ các khi những chi tiết phức
nhân chứng, … tạp về tội ác của họ trở
thành vấn đề được
công khai