03/10/2023

CHƯƠNG
4
1
QUẢN LÝ RỦI RO

Tình huống: Họp khởi đầu dự án

2

1 2

Mục tiêu

• Hiểu khái niệm quản lý rủi ro,

xác định rủi ro, đánh giá rủi ro
và kiểm soát rủi ro
• Có khả năng xác định và đánh
giá rủi ro
• Giải thích các khía cạnh cơ
bản trong lập tài liệu rủi ro 1. Giới thiệu
• Hiểu các phương án chiến 2. Tổng quan về quản lý rủi ro
lược giảm rủi ro 3. Xác định rủi ro
• Hiểu khái niệm mức độ chấp
nhận rủi ro (risk appetite)
Nội dung 4. Đánh giá rủi ro
5. Kiểm soát rủi ro
• Hiểu các khuôn mẫu đánh giá 6. Áp dụng quản lý rủi ro: Định tính và Định lượng
kiểm soát rủi ro và phân tích
lợi ích - chi phí 7. Đề xuất áp dụng quản lý rủi ro
3 4

3 4

1
 03/10/2023

1. Giới thiệu 1. Giới thiệu

• Sự phát triển của CNTT
• Việc ứng dụng CNTT trong tổ
chức ngày càng mạnh mẽ và
sâu rộng
• Cơ hội và thách thức cho tổ
chức
• Cân bằng giữa phát triển – an
toàn
5 6
Bảo đảm an toàn cho tài sản
thông 1n của tổ chức
Mối quan hệ giữa quản trị an
toàn thông 1n và quản lý rủi ro
Vấn đề con người trong quản trị Tài sản thông 1n bao
gồm những loại nào?
an toàn thông tin và quản lý rủi
ro: Vai trò các cộng đồng lợi ích

5 6

2. Tổng quan về
8
• Để theo kịp sự cạnh tranh, các tổ quản lý rủi ro
chức phải thiết kế và tạo ra các môi
trường an toàn để các quy trình và
thủ tục kinh doanh của họ có thể
hoạt động.
• Các môi trường này phải duy trì Qnh
bảo mật và quyền riêng tư và đảm
bảo Qnh toàn vẹn của dữ liệu. Điều
này được đáp ứng bằng cách áp
dụng các nguyên tắc quản lý rủi ro.

7 8

2
 03/10/2023

2. Tổng quan về
9
quản lý rủi ro

2.1. Quy
trình quản
lý rủi ro

10

9 10

11

2.2. Quản lý rủi ro hiệu quả

Biết bản
thân

Quản lý
rủi ro
hiệu quả
Vai trò của
Như thế nào là biết các bên có
lợi ích liên Biết đối thủ
2.3. Vai trò của Cộng đồng an ninh thông 1n
địch, biết ta? quan
các bên có lợi Nhà quản lý
Người sử dụng
ích liên quan Cộng động CNTT

11 12

3
 03/10/2023

Thực hiện đánh giá hoặc kiểm toán định kỳ:

• Các bên có lợi ích liên quan: Kiểm kê tài sản
Phải làm việc cùng nhau để giải quyết thông ;n à Đảm bảo >nh đầy đủ và chính xác
của kiểm kê.
tất cả các mức độ rủi ro. Chịu trách
2.3. Vai trò nhiệm về: 2.3. Vai trò • Cộng đồng an ninh thông ;n và CNTT:
• Xem xét và xác minh các nguy cơ và điểm
của các bên • Đánh giá thủ tục kiểm soát rủi ro của các bên yếu ;ềm ẩn của tài sản thông ;n, các thủ
hiện tại và được đề xuất tục kiểm soát hiện hành và chiến lược
có lợi ích • Xác định các lựa chọn thủ tục kiểm
có lợi ích giảm thiểu nguy cơ.

liên quan soát nào là hiệu quả về mặt chi phí liên quan • Xem xét hiệu quả chi phí của mỗi thủ tục
kiểm soát và xem xét lại các quyết định
• Thực hiện hoặc cài đặt các thủ tục triển khai các thủ tục kiểm soát.
kiểm soát cần thiết • Nhà quản lý:
• Thường xuyên xác minh >nh hiệu quả của
• Đảm bảo rằng các thủ tục kiểm tất cả các thủ tục kiểm soát đang được
soát là hiệu quả triển khai
• Đảm bảo rằng không có thông ;n nhạy
cảm vô ^nh bị rò rỉ

13 14

13 14

2.4. Mức độ chấp nhận rủi ro & Rủi ro còn lại

Risk Appetite & Residual Risk 16
Mức độ chấp
Mức độ chấp nhận rủi ro Rủi ro còn lại
nhận rủi ro
• Số lượng và bản chất của • Bất kỳ rủi ro còn lại nào chưa
rủi ro mà các tổ chức sẵn được loại bỏ, thay đổi hoặc
sàng chấp nhận khi họ lập kế hoạch khi các lỗ hổng
đánh giá sự cân đối giữa bảo mật đã được kiểm soát
an ninh hoàn hảo và khả tối đa.
năng tiếp cận không giới • Rủi ro còn sót lại sau khi áp
hạn dụng các kiểm soát hiện
hành.

15

15 16

4
 03/10/2023

2.4. Mức độ chấp nhận rủi ro & Rủi ro còn lại

Risk Appetite & Residual Risk

Rủi ro còn lại

Rủi ro còn lại bị ảnh hưởng bởi:
• (Nguy cơ còn lại sau khi áp
dụng các biện pháp giảm nguy
cơ)
• (Điểm yếu ]ềm ẩn còn lại sau
khi áp dụng các biện pháp
giảm điểm yếu ]ềm ẩn)
• (Giá trị tài sản được bảo vệ
bởi các thủ tục kiểm soát)

17 18

17 18

2.4. Mức độ chấp nhận

rủi ro & Rủi ro còn lại
Mục ]êu của an toàn thông
]n:
• Không phải là giảm rủi ro • Chiến lược quản lý rủi ro: Yêu cầu các chuyên gia bảo
còn lại bằng 0 mật thông 1n phải biết tài sản thông 1n của tổ chức họ,
• Đưa rủi ro còn lại phù hợp cụ thể:
với mức độ chấp nhận rủi
ro của tổ chức
3. Xác định • Cách thức xác định tài sản thông 1n

rủi ro • Phân loại các tài sản thông 1n

• Sắp xếp mức độ ưu 1ên của các tài sản thông 1n.
• Khi các tài sản của tổ chức đã được xác định, quy
trình đánh giá nguy cơ được sử dụng để xác định và
định lượng các rủi ro phải đối mặt với mỗi tài sản.
19 20

19 20

5
 03/10/2023

3. Xác định rủi ro

• 3.1. Lập kế hoạch và tổ chức quy
trình
• 3.2. Xác định, kiểm kê và phân loại
tài sản
• 3.3. Phân nhóm, định giá và sắp xếp
ưu 1ên các tài sản thông 1n
• 3.4. Xác định và sắp xếp ưu 1ên đối
phó với các nguy cơ
• 3.5. Xác định các điểm yếu 1ềm ẩn

3. Xác định rủi ro

22

21 22

• Thành lập đội dự án bao gồm 3.2. Xác định, kiểm kê và phân loại tài sản
các đại diện từ các bên liên
quan: Xác định và kiểm kê tài sản Phân loại tài sản
3.1. Lập kế • Người sử dụng
• Tất cả các yếu tố trong • Mục tiêu: thiết lập mức độ
hoạch và tổ • Nhà quản lý
hệ thống: con người,
chức quy • Nhóm CNTT ưu tiên tương đối của tài
thủ tục, dữ liệu và thông
trình • Nhóm an toàn thông tin sản đối với sự thành
• Quy trình phải được lập kế tin, phần mềm, phần công của tổ chức.
hoạch. cứng và các yếu tố hệ
• Thực hiện thảo luận về các thống mạng
nhiệm vụ, trách nhiệm và lịch
trình công việc.

24
23

23 24

6
 03/10/2023

Phân loại tài sản

Kiểm kê tài sản thông ^n: Tại sao và bằng cách

nào?
26

25 26

Phân loại tài sản

Sơ đồ / lược đồ phân loại dữ liệu
Tài sản 3.3. Phân • Là một phương pháp luận kiểm
soát truy cập chính thức để xác
nhóm, định mức độ bảo mật cho một
tài sản thông ]n và do đó hạn
Con người Thủ tục Dữ liệu
Phần
mềm
Phần
cứng
định giá chế số lượng người có thể truy

và sắp xếp cập nó.

• Có thể phân loại tài sản thông ]n
ưu 9ên theo các mức độ: bảo mật, nội
bộ và công khai.
các tài sản • Yêu cầu một cấu trúc tương ứng
để xác định cho phân quyền an
thông 9n ninh, xác định mức độ thông ]n
mà nhân viên được phép xem.

Định nghĩa, vai trò, ý nghĩa của từng TS thông ]n?

27 28

27 28

7
 03/10/2023

Phân nhóm và quản lý dữ liệu

Yêu cầu phân nhóm

3.3. Phân • Phải cụ thể để có thể dễ hiểu và Định kỳ (năm), tổ chức phải xem xét các phân nhóm thông

nhóm, xác định mức độ ưu tiên.

• Các nhóm tài sản phải toàn diện
tin để đảm bảo rằng thông tin vẫn được phân nhóm chính

định giá và phân biệt lẫn nhau:

xác và có các biện pháp kiểm soát truy cập thích hợp.
• Toàn diện: tất cả các nội dung
và sắp xếp thông tin phải phù hợp với danh
Bảo mật
(Confidential)
Nội bộ (Internal) Bên ngoài (External)

ưu Vên sách tài sản thông tin.

• Phân biệt lẫn nhau: nội dung • Được gọi là • Các thông tin nội bộ • Tất cả thông tin
các tài sản thông tin chỉ nên phù hợp với một
danh mục.
thông tin “nhạy
cảm” hoặc “độc
không đáp ứng các tiêu
chí cho loại bí mật.
đã được nhà
quản trị phê
quyền”. • Chỉ được xem bởi nhân duyệt để công bố
• Phải được kiểm viên công ty, nhà thầu công khai.
soát chặt chẽ. được ủy quyền và các
bên thứ ba khác. 30

29 30

Phân nhóm và quản lý dữ liệu

Một số tổ chức khác Phân quyền an ninh

NSI Non_NSI UK
Tương ứng với sơ đồ phân
loại dữ liệu là cấu trúc phân
quyền an ninh nhân sự. Phân
Tuyệt mật Dữ liệu nhạy Mật quyền an ninh (security
(Top Secret) cảm - SBU (Confidential) clearance):
• Một cấu trúc an ninh nhân
(Sensitive but sự mà mỗi người sử dụng
Bí mật Unclassified Hạn chế một tài sản thông tin được
data) (Restricted) – chỉ định một cấp độ phân
(Secret) quyền
SBU
Dữ liệu không • Xác định cấp thông tin đã
phân loại mà họ được
Mật nhạy cảm Không phân quyền truy cập.
(Unclassified loại
(Confidential) (Unclassified)
data) 31 32

31 32

8
 03/10/2023

Định giá TS thông tin là quá trình

Định giá xác định giá trị tài chính hoặc giá trị
cho mỗi tài sản thông tin.
Quản lý dữ Quản lý dữ liệu đã phân
liệu đã
nhóm bao gồm lưu trữ,
phân phối, truyền tải và
Tài sản Sử dụng các giá trị phân loại hoặc

phân nhóm hủy dữ liệu. thông tin các thước đo định tính

6 Tiêu chuẩn định giá TS thông tin

Chính sách “Bàn làm việc
sạch”
8 Yếu tố cần xem xét khi định giá
TS thông tin: 5 chi phí – 3 giá trị

34
33

33 34

Sắp xếp ưu tiên tài sản thông tin

Phân tích nhân tố có trọng số

Dựa vào tiêu chuẩn đánh giá giá trị thông tin, đơn vị sẽ chấm
điểm các tài sản thông tin, có điều chỉnh theo trọng số

35 36

35 36

9
 03/10/2023

3.4. Xác định và sắp xếp ưu Vên

đối phó với các nguy cơ 3.4. Xác
định và sắp
xếp ưu yên
các nguy cơ
Đánh giá nguy cơ:
Đánh giá các nguy
cơ đối với tài sản
thông ]n, bao gồm NIST SP 800-30
xác định các mối APPENDIX D, E
đe dọa ]ềm ẩn làm • Các vấn đề cần cân nhắc
gia tăng nguy hiểm dựa trên nguy cơ
đối với tổ chức. • Vấn đề chi phí phục hồi
và chi phí ngăn chặn

37 38

37 38

3.4. Xác định và sắp xếp ưu tiên các nguy cơ

Các nguy cơ đối với an toàn thông tin (chương 2)

39 40

39 40

10
 03/10/2023

Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản

NIST SP 800-30
APPENDIX F

3.5. Xác định các điểm yếu

9ềm ẩn

42

41 42

Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản Bộ ba nguy cơ – điểm yếu tiềm ẩn – tài sản

Cột Thể hiện tài sản thông tin với tài sản quan trọng nhất • Một cặp tài sản, nguy cơ, và các điểm yếu tiềm ẩn tồn
ở bên trái tại giữa chúng.
Dòng Thể hiện các nguy cơ với nguy cơ quan trọng nhất • Thể hiện ở định dạng: TxVyAz
hoặc nguy hiểm nhất được liệt kê ở trên cùng • Có thể có một hoặc nhiều điểm yếu tiềm ẩn giữa nguy
Lưới Thể hiện điểm yếu bảo mật (exposure) của tài sản và cơ X và tài sản Z.
kết quả cho phép đánh giá điểm yếu tiềm ẩn
• Hỗ trợ xác định mức độ nghiêm trọng của các điểm yếu
tiềm ẩn
• Nếu giao điểm của 1 nguy cơ và 1 tài sản không có điểm
Bộ ba nguy cơ – điểm yếu tiềm ẩn – tài sản yếu tiềm ẩn, cần gạch bỏ ô đó.
• Có nhiều khả năng tồn tại một hoặc nhiều điểm yếu tiềm
43 ẩn giữa nguy cơ và tài sản. 44

43 44

11
 03/10/2023

4.1. Lập kế hoạch và tổ chức đánh giá rủi ro

4. Đánh
giá rủi ro • Mục tiêu lúc này là tạo ra một phương pháp đánh giá rủi
Lập kế hoạch và tổ ro tương đối của từng điểm yếu bảo mật
chức đánh giá rủi ro

Xác định tần suất tổn

• Mô hình đánh giá rủi ro đối với từng tài sản thông tin như
thất
sau:
Đánh giá mức độ tổn
thất
Rủi ro = Tần suất 𝑡ổ𝑛 𝑡ℎấ𝑡 x Mức độ tổn thất
Tính toán rủi ro + Sự không chắc chắn của các ước tính của tất cả
các giá trị đã trình bày
Đánh giá sự chấp
nhận rủi ro

46

45 46

4.2. Xác định tần suất tổn thất

Determining the Loss Frequency
Xác suất xảy ra tấn công (Likelihood)

Việc tính toán khả năng xảy ra một cuộc tấn công • Ví dụ: Nếu các tổ chức trong một ngành cụ thể dự kiến bị
cùng với tần suất tấn công để xác định số tổn thất tấn công bằng phần mềm độc hại ít nhất 4 lần/ năm, thì xác

dự kiến trong một khoảng thời gian xác định. suất xảy ra là 4/1 hoặc 400%.

= Xác suất xảy ra tấn công (likelihood): xác suất mà một

điểm yếu tiềm ẩn cụ thể trong một tổ chức sẽ là mục tiêu của • Dữ liệu lịch sử bị tấn công thành công

Nguồn • Các công trình đã xuất bản như nghiên cứu CSI
một cuộc tấn công.
tài liệu • Tìm kiếm trên Web
x Tỷ lệ thành công của cuộc tấn công (attack success • Công ty bảo hiểm
probability): Số lượng các cuộc tấn công thành công dự kiến
sẽ xảy ra trong một khoảng thời gian xác định. 47 48

47 48

12
 03/10/2023

4.3. Đánh giá mức độ tổn thất

Evaluating Loss Magnitude
Tỷ lệ thành công của cuộc tấn công
• Đánh giá mức độ tổn thất là xác định số lượng tài sản thông
tin có thể bị mất trong một cuộc tấn công thành công.
• Tìm hiểu về mức độ bảo vệ hiện tại của tài sản.
• Các đánh giá của này có thể là định lượng hoặc định tính.
• Ước tính tỷ lệ thành công của bất kỳ cuộc tấn công
nào với một nguy cơ cụ thể.
Mức độ tổn thất = Giá trị tài sản x Tổn thất có thể xảy ra
Loss Magnitude/ asset exposure = Asset Value ∗ Probable Loss

49 50

49 50

4.4. Tính toán rủi ro 4.4. Tính toán rủi ro

Rủi ro = Tần suất 𝑡ổ𝑛 𝑡ℎấ𝑡

x Thiệt hại kỳ vọng (Mức độ tổn thất)
+ Sự không chắc chắn của các ước tính của tất cả
các giá trị đã trình bày
Tần suất tổn thất = Xác suất xảy ra tấn công
x Tỷ lệ thành công của cuộc tấn công
Thiệt hại kỳ vọng (Mức độ tổn thất) = Giá trị tài sản
x Tổn thất có thể xảy ra
51
Ví dụ minh họa Tài sản thông tin A là cơ sở dữ liệu
thương mại điện tử trực tuyến.
Xác suất xảy ra tấn 10% trong năm nay (dựa trên ước tính
công cứ 10 năm lại có một cuộc tấn công)
Tỷ lệ tấn công thành 50% (dựa trên phân tích các điểm yếu
công tiềm ẩn hiện tại và cơ chế bảo vệ)
Giá trị tài sản 50 điểm trên thang điểm từ 0 đến 100
Tổn thất có thể xảy ra 100% tài sản sẽ bị mất hoặc bị xâm
phạm
Sự không chắc chắn 10% (sự chắn chắn của ước tính là 90%)
của các ước tính. 52

51 52

13
 03/10/2023

4.4. Tính toán rủi ro 4.4. Tính toán rủi ro

Ví dụ minh họa Tài sản thông tin B là cơ sở dữ liệu Rủi ro = Tần suất tổn thất x Mức độ tổn thất
nhân sự nội bộ sau tường lửa.
+ Yếu tố không chắc chắn
Xác suất xảy ra tấn 1% trong năm nay – dựa trên các báo Rủi ro (10% x 50%) x (50 x 100%)
công cáo trong ngành (tài sản A) + 10% x (10% x 50%) x (50 x 100%)
Tỷ lệ tấn công thành 100% (dựa trên phân tích các điểm yếu = 2.5 + 2.5 x 10% = 2.75
công tiềm ẩn hiện tại và cơ chế bảo vệ) Rủi ro (1% x 100%) x (25 x 50%)
Giá trị tài sản 25 điểm trên thang điểm từ 0 đến 100 (tài sản B) + 10% x (1% x 100%) x (25 x 50%)
Tổn thất có thể xảy ra 50% tài sản sẽ bị mất hoặc bị xâm phạm = 0.125 + 0.125 x 10% = 0.1375
Sự không chắc chắn 10% (sự chắn chắn của ước tính là 90%) Kết luận
của các ước tính. Tài sản thông tin A có rủi ro cao hơn tài sản thông tin B
53 54

53 54

4.5. Đánh giá sự chấp nhận rủi ro 5. Đánh giá sự chấp nhận rủi ro

Xếp hạng rủi • Xếp hạng rủi ro cho mỗi mối đe dọa và
Rủi ro còn lại > mức độ chấp Rủi ro còn lại < mức độ
ro các điểm yếu tiềm ẩn có rủi ro liên quan
nhận rủi ro chấp nhận rủi ro

Phải chuyển sang giai đoạn Nên chuyển sang giai đoạn

• Rủi ro còn lại sau khi đã thực kiểm soát rủi ro tiếp theo và kiểm soát rủi ro sau và tiếp tục
Xác định rủi hiện mọi biện pháp khả thi để
ro còn lại bảo vệ tài sản tìm kiếm các chiến lược bổ theo dõi và đánh giá các biện
sung để giảm thiểu rủi ro hơn pháp kiểm soát và tài sản

• Mức rủi ro nữa

So sánh với
mà đơn vị
mức độ chấp sẵn sàng
nhận rủi ro chấp nhận
55 56

55 56

14
 03/10/2023

Bảng xếp hạng rủi ro điểm yếu tiềm ẩn

Lập tài liệu kết quả Ranked Vulnerability Risk Worksheet
đánh giá rủi ro
• Danh sách các tài sản thông tin và dữ
liệu về từng tài sản đó
• Danh sách liệt kê và xếp hạng điểm
yếu tiềm ẩn của các tài sản thông tin
• Thông tin về các tài sản, các nguy cơ
đối với tài sản và các điểm yếu tiềm
ẩn
• Thông tin về các kiểm soát đã áp
dụng
à Tài liệu tóm tắt cuối cùng là bảng xếp
hạng rủi ro điểm yếu tiềm ẩn (Ranked
Vulnerability Risk Worksheet).
57 58

57 58

5. Kiểm soát rủi ro

5.1. Lựa chọn chiến
lược kiểm soát
Lựa chọn chiến lược kiểm
soát Né
Phòng
thủ
tránh

Chấp Chuyể
Chứng minh các thủ tục nhận n giao
kiểm soát Giảm
thiểu

Triển khai, theo dõi và đánh

giá các kiểm soát rủi ro

59
60

59 60

15
 03/10/2023

Kiểm soát rủi ro với chiến lược phòng thủ

(1) Chiến lược sẽ cố gắng ngăn chặn việc khai thác các lỗ
phòng thủ
hổng, được thực hiện bằng cách chống lại
trong kiểm các mối đe dọa, loại bỏ các lỗ hổng khỏi tài
sản, hạn chế quyền truy cập vào tài sản và
soát rủi ro bổ sung các biện pháp bảo vệ.
(1) Chiến lược Một chiến lược phòng thủ khác là thực hiện
phòng thủ các biện pháp kiểm soát an ninh và các biện
pháp bảo vệ làm chệch hướng các cuộc tấn
trong kiểm công vào hệ thống và do đó giảm thiểu xác
soát rủi ro suất một cuộc tấn công sẽ thành công.

61 62

61 62

Bao gồm ba phương

pháp phổ biến:
• Áp dụng chính sách
• Giáo dục và đào tạo
• Kiểm soát rủi ro với Chiến lược chuyển giao cố
• Áp dụng công nghệ gắng chuyển rủi ro sang các tài sản khác, quy trình
khác hoặc tổ chức khác.
(2) Chiến lược • Có thể được thực hiện bằng cách:

(1) Chiến lược phòng chuyển giao • Suy nghĩ lại cách cung cấp dịch vụ
• Sửa đổi mô hình triển khai

thủ • Thuê ngoài (outsource) các tổ chức khác

• Mua bảo hiểm
• Thực hiện hợp đồng dịch vụ với nhà cung cấp
64
63

63 64

16
 03/10/2023

(3) Chiến lược giảm thiểu

• Chiến lược giảm thiểu khi kiểm
(3) Chiến soát rủi ro được thực hiện thông
qua việc cố gắng làm giảm tác
lược giảm động của tổn thất do một sự cố, Kế hoạch phản
ứng với sự cố
thiểu thảm họa hoặc cuộc tấn công đã
xảy ra bằng cách lập kế hoạch
dự phòng và chuẩn bị hiệu quả.
• Giảm thiểu bắt đầu bằng việc
phát hiện sớm một cuộc tấn
công đang diễn ra và phản ứng
nhanh chóng, hữu hiệu và hiệu
quả. Kế hoạch khắc
Kế hoạch kinh phục thảm họa
doanh liên tục
thiên tai
66
65

65 66

Chỉ nên áp dụng chiến lược này khi tổ

chức đã thực hiện:
• Xác định mức độ rủi ro
• Đánh giá xác suất của cuộc tấn công
• Ước tính thiệt hại tiềm ẩn có thể xảy ra
từ các cuộc tấn công
• Thực hiện phân tích chi phí - lợi ích kỹ
(4) Chiến lưỡng
• Đánh giá các kiểm soát sử dụng cho mỗi
• Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn
sàng chấp nhận mức độ rủi ro hiện tại. lược chấp loại tính khả thi
(4) Chiến lược • Kết quả là, tổ chức đưa ra quyết định có ý thức là
nhận • Quyết định rằng chức năng, dịch vụ,
chấp nhận không làm gì để bảo vệ tài sản thông 1n khỏi rủi ro và
chấp nhận kết quả từ bất kỳ hoạt động khai thác nào.
thông tin hoặc tài sản cụ thể không bù
• Là lựa chọn không thể làm gì hơn để bảo vệ điểm yếu
đắp cho chi phí bảo vệ
1ềm ẩn dựa trên rủi ro còn lại và mức độ chấp nhận
rủi ro của tổ chức.
67 68

67 68

17
 03/10/2023

Quy trình lựa chọn một chiến lược kiểm soát rủi ro

• Chiến lược kiểm soát rủi ro loại bỏ

(5) Chiến lược né tất cả rủi ro liên quan đến một tài
sản thông tin bằng cách loại bỏ nó
tránh khỏi dịch vụ.
• Tránh các hoạt động kinh doanh
gây ra rủi ro không thể kiểm soát.

69 70

69 70

Quy tắc cơ bản để lựa chọn chiến lược 5.1. Lựa chọn một chiến lược kiểm soát rủi ro
kiểm soát rủi ro Mối quan hệ của rủi ro với nguy cơ, tài
sản và các biện pháp đối phó
Khi một điểm yếu Triển khai các biện pháp kiểm soát bảo mật để • Nên kết hợp các
tiềm ẩn tồn tại giảm xác suất điểm yếu tiềm ẩn bị khai thác.
chiến lược kiểm
Khi một điểm yếu Áp dụng các biện pháp bảo vệ nhiều lớp, thiết soát rủi ro.
tiềm ẩn có thể bị kế kiến trúc và kiểm soát hành chính để giảm • Mục đích chính của
khai thác thiểu hoặc ngăn ngừa rủi ro. quản lý rủi ro là
Khi chi phí tấn Áp dụng các biện pháp bảo vệ để tăng chi phí hiểu và sau đó
công thấp hơn lợi của kẻ tấn công kiểm soát rủi ro của
ích thu được VD: sử dụng các biện pháp kiểm soát hệ thống tổ chức để đưa
để giới hạn những gì người dùng hệ thống có chúng đến mức có
thể truy cập à giảm đáng kể lợi ích của kẻ tấn thể chấp nhận
công. được đối với tổ
Khi tổn thất tiềm Áp dụng các nguyên tắc thiết kế, thiết kế kiến chức.
ẩn là đáng kể trúc bảo mật và các biện pháp bảo vệ khác để
71 72
hạn chế mức độ tấn công.
71 72

18

5.2. Chứng minh các thủ tục kiểm soát
Để chứng minh cho việc sử dụng một biện pháp kiểm
soát là hợp lý phải xác định những ưu điểm thực tế và
được cảm nhận của biện pháp kiểm soát so với những
nhược điểm thực tế và được cảm nhận của nó.
à Có thể thực hiện phân tích lợi ích – chi phí
(nghiên cứu tính khả thi kinh tế)
(a cost-benefit analysis (CBA) or an economic
feasibility study)
73
73
5.2. Chứng minh các thủ tục kiểm soát
Xác định chi phí của thủ tục kiểm soát
• Chi phí phát triển hoặc mua phần cứng, phần mềm và
dịch vụ
• Chi phí huấn luyện nhân sự
• Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và
kiểm tra phần cứng, phần mềm và dịch vụ
• Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà
cung cấp
• Chi phí bảo trì bao gồm chi phí nhân công để xác minh và
kiểm tra liên tục, duy trì và cập nhật
75
75
03/10/2023
Phân tích lợi ích – chi phí
Cost-benefit analysis (CBA)
• Xác định lợi ích của một thủ tục kiểm soát cụ thể
có lớn hơn chi phí bỏ ra hay không?
• Có thể được tính toán trước khi thực hiện thủ tục
kiểm soát để xác định xem thủ tục kiểm soát đó có
đáng được thực hiện hay không.
• Có thể được tính toán sau khi các thủ tục kiểm
soát đã được áp dụng. Việc quan sát theo thời gian
giúp tăng thêm độ chính xác để đánh giá các lợi ích
của biện pháp bảo vệ và xác định xem nó có hoạt
động như dự kiến hay không.
74
74
5.2. Chứng minh các thủ tục kiểm soát
Xác định lợi ích của thủ tục kiểm soát
• Được xác định bằng cách định giá (các) tài sản thông tin
có nguy cơ bị lộ bởi điểm yếu tiềm ẩn, xác định giá trị của
tài sản thông tin có rủi ro, và xác định những rủi ro tồn tại
đối với tài sản.
• Định giá tài sản: ước tính chi phí có thể cảm nhận và chi
phí thực tế liên quan đến việc thiết kế, phát triển, lắp đặt,
bảo trì, bảo vệ, phục hồi và phòng tránh mất mát và kiện
tụng của tài sản.
76
76
19
 03/10/2023

Công thức phân tích lợi ích – chi phí Công thức phân tích lợi ích – chi phí
Dự báo tổn thất Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất
CBA = ALE(prior) - ALE(post) - ACS hàng năm hiện hàng năm.
(annualized loss ALE = SLE x ARO
Dự báo tổn thất hàng năm (ALE)
expectancy - ALE)
ALE(prior) Dự báo tổn thất hàng năm trước khi triển Tỷ lệ xuất hiện hàng Xác suất dự kiến của một cuộc tấn công, được
khai các thủ tục kiểm soát năm biểu thị trên cơ sở mỗi năm.
(annualized rate of
ALE(post) Dự báo tổn thất hàng năm sau khi đã triển occurrence - ARO)
khai các thủ tục kiểm soát Dự báo tổn thất đơn Giá trị được tính toán liên quan đến tổn thất có
Chi phí của thủ tục Tổng chi phí của thủ tục kiểm soát hoặc lẻ khả năng xảy ra nhất từ một cuộc tấn công.
(Single loss SLE = EF x giá trị tài sản (AV)
kiểm soát bảo vệ, bao gồm tất cả chi phí mua, bảo trì, expectancy - SLE)
(annualized cost of đăng ký, nhân sự và hỗ trợ, chia cho tổng Tỷ lệ thiệt hại kỳ Tỷ lệ phần trăm tổn thất dự kiến sẽ xảy ra từ
a safeguard - ACS) số năm dự kiến sử dụng thủ tục kiểm soát. vọng (Exposure một cuộc tấn công cụ thể.
Factor - EF)
77 78

77 78

5.3. Triển khai, theo dõi và đánh giá các

thủ tục kiểm soát rủi ro Quy trình kiểm soát rủi ro

Để xác định tính hiệu quả của các kiểm soát và

tính toán chính xác rủi ro còn lại

• Quá trình giám sát liên quan đến việc lựa chọn và áp dụng
các biện pháp đo lường thành quả.
• Phải liên tục quan sát kết quả của tất cả các thủ tục kiểm
soát đã thực hiện, bao gồm những thủ tục kiểm soát được
thuê ngoài
• Phải quan sát các chiến lược giảm thiểu rủi ro đã được áp
dụng để đảm bảo rằng chúng giữ cho rủi ro còn lại của tổ
chức ở mức xác định, thấp hơn mức độ chấp nhận rủi ro.
79 80

79 80

20
 03/10/2023

6. Áp dụng quản lý rủi ro:

Định tính và Định lượng
• Ví dụ, liệt kê tất cả các cuộc tấn
công có thể xảy ra đối với một tập
hợp thông tin cụ thể
Để xác định tính hiệu
à Đánh giá từng cuộc tấn công theo
Đánh giá định lượng quả của các thủ tục xác suất xảy ra, sử dụng thang đo định
kiểm soát và tính toán tính.
Đánh giá • Thang đo có thể bao gồm: giá trị 0
chính xác rủi ro còn lại
định tính để thể hiện không có cơ hội xảy ra,
sau đó là giá trị thấp, trung bình,
cao và rất cao, với giá trị cuối cùng
đại diện cho sự xuất hiện gần như
Đánh giá định tính Sử dụng các giá trị chắc chắn.
phân loại hoặc • Có thể sử dụng các thang đo khác
không mang tính như A – Z, 0–10, 1–5,…

định lượng
81
82

81 82

Đánh giá định tính (1) Phương pháp thực hành tốt nhất và
chuẩn so sánh

Phương pháp thực hành tốt • Tổ chức có thể quản trị rủi ro bằng cách xem xét các tổ
nhất và chuẩn so sánh chức tương tự để biết các tiêu chuẩn.
• PP chuẩn so sánh liên quan đến việc tìm kiếm và nghiên
cứu các phương pháp được sử dụng trong các tổ chức
Xác định đường cơ sở khác.
• Một tổ chức thường tự đánh giá tiêu chuẩn so với các tổ
chức khác bằng cách chọn một thước đo để làm căn cứ
Nghiên cứu khả thi so sánh.
• Đo lường sự khác biệt giữa cách tổ chức tiến hành kinh
doanh và cách các tổ chức khác kinh doanh.
83 84

83 84

21
 03/10/2023

(1) Phương pháp thực hành tốt nhất và (1) Phương pháp thực hành tốt nhất và
chuẩn so sánh chuẩn so sánh

Chuẩn so sánh Đo lường dựa trên số liệu: Ví dụ

• Số lượng các cuộc tấn công thành công

• Số giờ nhân viên dành để bảo vệ hệ thống
• Số tiền chi cho việc bảo vệ
Metrics-based Process-based • Số lượng nhân viên an ninh
measures measures • Giá trị ước tính bằng tiền của thông tin bị mất trong các
Đo lường Đo lường cuộc tấn công thành công
dựa trên số dựa trên quy
• Thiệt hại về giờ làm việc liên quan đến các cuộc tấn công
liệu trình
thành công
85 86

85 86

(1) Phương pháp thực hành tốt nhất và (1) Phương pháp thực hành tốt nhất
chuẩn so sánh và chuẩn so sánh

Đo lường dựa trên số liệu Đo lường dựa trên quy trình

• Sử dụng các tiêu chuẩn trên để tự xếp hạng so với các tổ

chức cạnh tranh có quy mô hoặc thị trường tương tự.
• Sự khác biệt trong kết quả (Performance gaps) giữa tổ
chức và đối thủ cạnh tranh cung cấp thông tin chi tiết về
các lĩnh vực mà tổ chức cần quan tâm để cải thiện các
tình trạng bảo mật và phòng thủ của mình.
• Cho phép tổ chức kiểm tra các hoạt động mà tổ chức thực
hiện để theo đuổi mục tiêu
• Trọng tâm chính là phương pháp được sử dụng để hoàn
thành một quá trình cụ thể

87 88

87 88

22
 03/10/2023

Đo lường dựa trên quy trình
Xác định tiêu chuẩn
Tiêu chuẩn vừa đủ để
thể hiện có trách nhiệm Tiêu chuẩn thực hành tốt nhất
• Tuân thủ quy trình • Những nỗ lực bảo mật tốt nhất
chung (luật) trong ngành, cân bằng nhu cầu
truy cập thông tin với sự bảo
vệ thích hợp.
Áp dụng cho phương • Tìm cách cung cấp càng nhiều
thủ tục an ninh càng tốt cho
pháp đo lường dựa thông tin và hệ thống trong giới
trên số liệu hoặc Đo hạn chi phí.
lường dựa trên quy • Tổ chức có thể đã thiết lập một
tiêu chuẩn cực kỳ cao hoặc
trình
một nỗ lực an ninh thành công
trong một hoặc nhiều lĩnh vực.
89
Phương pháp thực hành tốt nhất
Có thể nghiên cứu các quy trình hoặc thủ tục thực hành tốt
nhất dưới dạng văn bản đã được chứng minh là có hiệu
quả hoặc đã được một người/ tổ chức đáng tin cậy đề xuất
à Đánh giá cách thức áp dụng vào tổ chức
• Mục tiêu?
Tổ chức của • Những thách thức tương tự?
bạn và tổ chức
• Cơ cấu tổ chức?
mục tiêu
• Có thể sử dụng các nguồn lực tương tự?
(có PP tốt nhất)
• Môi trường có mối đe dọa tương tự?
90

89 90

(1) Phương pháp thực hành tốt nhất và

chuẩn so sánh
Vấn đề áp dụng?

• Các tổ chức sẽ không công bố hoặc thừa nhận đã bị tấn

công nhưng một số quản trị viên an ninh có thể công bố
thông tin dưới dạng xóa những nhận dạng về tổ chức bị tấn
công.
• Không thể có hai tổ chức giống nhau, chỉ nên xem các vụ • Xác định đường cơ sở là một hoạt động liên
quan đến xác định điểm so sánh.
tấn công tại tổ chức khác là bài học. (2) Xác định • Ví dụ: Đo lường số lượng các cuộc tấn công
• Tổ chức đã thực hành tốt nhất là một mục tiêu di động. Các đường cơ sở vào tổ chức mỗi tuần -> Dùng làm điểm tham
chiếu để xác định xem số lượng các cuộc tấn
thủ tục kiểm soát chỉ có giá trị theo thời gian. công trung bình đang tăng hay giảm.
• Việc chuẩn bị cho những nguy cơ đã xảy ra trong quá khứ • Vai trò: Cung cấp nền tảng cho xác định
không bảo vệ được những thách thức mới sắp xảy ra. chuẩn so sánh nội bộ. 92
91

91 92

23
 03/10/2023

(3) Nghiên cứu khả thi Khả thi tổ chức

Sự sẵn sàng của tổ chức đối với các kiểm soát Đánh giá sự phù hợp giữa một giải pháp cụ thể với mục tiêu
được đề xuất có thể được xác định bằng cách sử lập kế hoạch chiến lược của tổ chức.
dụng một số phương pháp tiếp cận định tính

• Xác định xem các giải pháp thay thế được đề xuất đóng
Khả thi tổ chức góp như thế nào vào mục tiêu kinh doanh của tổ chức.
• Việc triển khai các thủ tục kiểm soát có phù hợp với kế
Khả thi vận hành
hoạch chiến lược của HTTT hay không, hay yêu cầu mở
rộng kế hoạch và quản lý các hệ thống hiện tại?
Khả thi kỹ thuật

Khả thi chính trị

93 94

93 94

Khả thi vận hành Khả thi vận hành

o Đánh giá mức độ phù hợp của một giải pháp cụ thể với
văn hóa của tổ chức và mức độ mà người dùng dự kiến
sẽ chấp nhận giải pháp.
o Là tính khả thi về hành vi.
• Yêu cầu cơ bản của việc phát triển hệ thống là sự tham
gia của người dùng.
• Nếu người sử dụng không ủng hộ các kiểm soát, họ sẽ
tìm cách vô hiệu hóa hoặc phá vỡ nó, do đó tạo ra một
điểm yếu tiềm ẩn khác.
-> Khuyến khích sự tham gia của người sử dụng.
95
Truyền thông • Nên truyền thông với người dùng hệ thống trong
suốt quá trình phát triển chương trình an ninh để
người dùng biết những thay đổi sắp diễn ra.
• Người dùng phải được thông báo về thời gian biểu
và lịch trình thực hiện cũng như ngày, giờ và địa
điểm của các cuộc họp và đào tạo.
• Nêu rõ mục đích của các thay đổi được đề xuất và
giải thích cách những thay đổi sẽ cho phép mọi
người làm việc an toàn hơn.
Giáo dục • Thiết kế chương trình để đào tạo nhân viên về cách
làm việc dưới những ràng buộc mới và tránh bất kỳ
tác động tiêu cực nào đến kết quả công việc.
Tham gia • Hỏi người dùng những gì họ muốn từ các hệ thống
mới và những gì họ sẽ chấp nhận từ chúng.
96

95 96

24
 03/10/2023

Khả thi kỹ thuật Khả thi chính trị

Đánh giá mức độ phù hợp của một giải pháp cụ thể trong
Đánh giá mức độ phù hợp của một giải pháp cụ thể dựa trên
môi trường chính trị của tổ chức — ví dụ: mối quan hệ công
cơ sở hạ tầng và nguồn lực công nghệ hiện tại của tổ chức,
việc trong các nhóm lợi ích của tổ chức hoặc giữa tổ chức
bao gồm phần cứng, phần mềm, hệ thống mạng và nhân sự.
và môi trường bên ngoài của nó.

• Một số biện pháp bảo vệ, đặc biệt là các biện pháp bảo Quyết định phân bổ chi phí cho an ninh thông tin là một
vệ dựa trên công nghệ, rất khó triển khai, cấu hình và quyết định mang tính chính trị.
quản lý.
• Kiểm tra xem tổ chức có đủ chuyên môn để quản lý công
nghệ mới hay không.

97 98

97 98

• Chiến lược kiểm soát cần được xét 7. Đề xuất áp dụng quản lý rủi ro
duyệt do đó cần trình bày các lý do
chính đáng cho các kế hoạch hành
động cụ thể và đưa ra các ước tính
cụ thể trong các kế hoạch đó.
7. Đề xuất • Các chuyên gia bảo mật thông tin
áp dụng quản lý một ma trận động bao gồm Lập tài liệu cho những
quản lý rủi một loạt các nguy cơ, tài sản thông kết quả
tin, kiểm soát và các điểm yếu tiềm
ro ẩn đã xác định. Khi bổ sung một kiểm
soát vào ma trận sẽ làm thay đổi dự
báo tổn thất của điểm yếu tiềm ẩn
của kiểm soát đã được thiết kế và có Khuôn mẫu quản trị rủi
thể thay đổi dự báo tổn thất đối với ro NIST
các điểm yếu tiềm ẩn của tài sản
thông tin khác.
100
99

99 100

25

Kết quả của các hoạt động quản lý
rủi ro có thể được cung cấp thông
qua một báo cáo về:
• Cách yếp cận có hệ thống về
quản lý rủi ro (systemayc
approach to risk management)
7.1. Lập tài • Đánh giá rủi ro dựa trên dự án
liệu cho (project-based risk assessment)
những kết • Đánh giá rủi ro cụ thể (topic-
quả specific risk assessment)
101
101
• Một lựa chọn khác là tạo một kế
Cách dếp hoạch hành động để ghi lại kết quả
của chiến lược kiểm soát cho từng
cận có hệ cặp nguy cơ - tài sản thông tin.
thống về • Bao gồm các nhiệm vụ cụ thể, mỗi
nhiệm vụ được giao trách nhiệm
quản lý rủi giải trình cho một đơn vị tổ chức
ro hoặc nhân viên.
• Bao gồm các yêu cầu về phần cứng
và phần mềm, dự toán ngân sách
và các mốc thời gian chi tiết để kích
hoạt các hoạt động quản lý dự án
cần thiết để thực hiện kiểm soát.
103
103
03/10/2023
• Cần lập báo cáo thể hiện các biện
Cách dếp pháp kiểm soát được đề xuất, mỗi
cận có hệ biện pháp cần minh chứng bằng
một hoặc nhiều phân tích tính khả
thống về thi hoặc hợp lý.
quản lý rủi • Trình bày chiến lược kiểm soát cho
ro mỗi cặp nguy cơ - tài sản thông tin
để xác định rõ ràng mọi rủi ro còn
lại sau khi chiến lược đề xuất đã
được thực hiện.
• Trình bày các công việc chuẩn bị
cần bổ sung cho dự án.
102
102
• Đôi khi, báo cáo đánh giá rủi ro được chuẩn
bị cho một dự án CNTT cụ thể theo yêu cầu
của người quản lý dự án theo yêu cầu của tổ
chức hoặc thông lệ quản lý dự án. Trong
một số trường hợp, đánh giá rủi ro dự án có
thể được yêu cầu bởi kiểm toán viên hoặc
quản lý cấp cao nếu họ nhận thấy rằng một
dự án CNTT đã vượt qua các mục tiêu an
Đánh giá toàn thông tin của tổ chức.
rủi ro dựa • Đánh giá rủi ro dự án cần xác định các
nguồn rủi ro trong hệ thống CNTT đã hoàn
trên dự thiện, với các đề xuất về các biện pháp
án kiểm soát khắc phục, và các rủi ro có thể
cản trở việc hoàn thành dự án.
104
104
26
 03/10/2023

7.2. Khuôn mẫu quản trị rủi ro NIST

Đánh giá rủi ro theo chủ

đề cụ thể
• Được lập khi nhà quản trị yêu cầu thông 1n chi 1ết về một rủi
ro cụ thể đối với tổ chức.
• Tập trung vào một khu vực hẹp có rủi ro hoạt động đối với
HTTT.
• Ví dụ, một điểm yếu 1ềm ẩn mới có thể được báo cáo cho ban
quản lý và cần đánh giá rủi ro cụ thể.

106

105 106

2,3,4,5

Bài tập

108
107

107 108

27