Professional Documents
Culture Documents
Chương 2 Nhu Cầu Của Tổ Chức Đối Với An Toàn Thông Tin
Chương 2 Nhu Cầu Của Tổ Chức Đối Với An Toàn Thông Tin
CHƯƠNG 2
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
Tình huống
• 29.03.2019, công ty Ô tô Toyota VN đã lên tiếng xác nhận thông tin bị
tin tặc tấn công mạng. Tuy nhiên, Toyota chưa có bằng chứng cụ thể.
1
7/29/2023
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
2
7/29/2023
Nội dung
1. Nhu cầu của tổ chức đối với an toàn thông tin
2. Các loại nguy cơ và cuộc tấn công đối với an toàn thông tin
4
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
4
Thuật ngữ
Advance-fee fraud Gian lận phí ứng trước
Phần mềm độc hại nhằm mục đích quảng cáo không mong
Adware
muốn
Attack Tấn công
Availability disruption Gián đoạn tính khả dụng
Blackout Thời gian mất điện
Tình huống khi lượng điện cung cấp ở một khu vực ít hơn
Brownout bình thường
Brute force password attack Tấn công mật khẩu brute force
5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
7/29/2023
Thuật ngữ
Cyberterrorist Khủng bố mạng
Cyberwarfare Chiến tranh mạng
Data security An toàn dữ liệu
Database security An toàn cơ sở dữ liệu
Denial-of-service (dos) attack Tấn công từ chối dịch vụ
Dictionary password attack Tấn công từ điển
Distributed denial-of-service (ddos)
Tấn công từ chối dịch vụ đã được phân tác attack
Downtime Thời gian chết
Expert/professional hacker Tin tặc chuyên nghiệp
Exploit Khai thác
Fault Lỗi
Hacktivist Tin tặc với mục đích chính trị
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
Thuật ngữ
Industrial espionage Gián điệp công nghiệp
Information extortion Cưỡng đoạt thông tin
Intellectual property (IP) Tài sản trí tuệ
Jailbreaking Bẻ khóa
Mail bomb Bom thư
Maintenance hook Móc bảo trì
Malicious code Mã độc
Malicious software Phần mềm độc hại
Memory-resident virus Virus thường trú trong bộ nhớ
Non-memory-resident virus Virus không cư trú trong bộ nhớ
Novice hacker Tin tặc mới
Phishing Lừa đảo
4
7/29/2023
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
7
Thuật ngữ
Phreaker Người tấn công hệ thống điện thoại công cộng
Polymorphic threat Nguy cơ đa hình
Pretexting In sẵn
Rainbow table Bảng cầu vồng
Ransomware Phần mềm máy tính được thiết kế đặc biệt để xác định và mã hóa
thông tin có giá trị trong hệ thống của nạn nhân nhằm tống tiền cho khóa
cần thiết để mở khóa mã hóa
Script hiddie Tin tặc có kỹ năng hạn chế
Service level agreement (SLA) Thỏa thuận mức dịch vụ
Software piracy Ăn cắp bản quyền phần mềm
Spam Thư rác
Spyware Phần mềm gián điệp
Uptime
Thời gian (hệ thống, máy tính) hoạt động (mà không có bất kỳ vấn đề)
Virus hoax Trò lừa bịp (virus)
Vulnerability Lỗ hổng/ điểm yếu của hệ thống
Worm Sâu
8
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
8
5
7/29/2023
9
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
9
10
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
7/29/2023
10
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
7
7/29/2023
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
8
7/29/2023
13
14
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
9
7/29/2023
1.3. Cho phép vận hành an toàn các ứng dụng trên hệ
thống CNTT của tổ chức
• Một tổ chức phải tạo ra các ứng dụng tích hợp, hiệu quả và hữu hiệu.
• Tổ chức cần tạo ra môi trường bảo vệ các ứng dụng, đặc biệt là các ứng dụng quan
trọng với cơ sở hạ tầng của tổ chức như nền tảng hệ điều hành, một số ứng dụng
hoạt động nhất định, thư điện tử… bằng cách thuê các nhà cung cấp ứng dụng này
thực hiện hoặc tự mình thực hiện.
• Ban quản lý phải tiếp tục giám sát cơ sở hạ tầng công nghệ, không giao quyền quản
lý cho bộ phận CNTT.
15
15
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
10
7/29/2023
16
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
11
7/29/2023
• Biết các nguy cơ mà tổ chức có thể đối mặt: Để ra quyết định về an toàn thông
tin, ban quản lý phải được thông báo về các nguy cơ khác nhau đối với con người,
thiết bị, dữ liệu và hệ thống thông tin của tổ chức.
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
7/29/2023
19
20
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
20
13
7/29/2023
Unauthorized access or escalation of privileges 4.8% 24.0% 31.2% 31.2% 8.8% 63%
Unauthorized information collection/data sniffing 6.4% 26.4% 40.0% 17.6% 9.6% 60%
Theft of on-site organizational information assets 10.6% 32.5% 34.1% 12.2% 10.6% 56%
Theft of mobile/laptop/tablet and related/ 15.4% 29.3% 28.5% 17.9% 8.9% 55%
connected information assets
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
7/29/2023
22
Blackmail of information release or sales 43.5% 37.1% 10.5% 6.5% 2.4% 37%
23
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
23
15
7/29/2023
Unauthorized information collection/data sniffing 6.4% 14.4% 21.6% 32.8% 24.8% 71%
Unauthorized access or escalation of privileges 7.4% 14.0% 26.4% 31.4% 20.7% 69%
Intentional damage or destruction of information assets 14.0% 32.2% 18.2% 24.8% 10.7% 57%
Theft of mobile/laptop/tablet and related/ connected 20.5% 25.4% 26.2% 15.6% 12.3% 55%
information assets
Theft of on-site organizational information 21.1% 24.4% 25.2% 17.9% 11.4% 55%
assets
24
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
24
Blackmail of information release or sales 31.1% 30.3% 14.8% 14.8% 9.0% 48%
Disclosure due to insufficient training 34.5% 21.8% 22.7% 13.4% 7.6% 48%
Theft or misuse of organizationally leased, 31.7% 30.1% 22.8% 9.8% 5.7% 46%
purchased, or developed software
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
7/29/2023
25
Loss of trust due to information loss 4.1% 18.9% 27.0% 22.1% 27.9% 70%
Software failures or errors due to unknown 5.6% 18.5% 28.2% 33.9% 13.7% 66%
vulnerabilities in externally acquired software
Social engineering of employees/insiders 8.1% 14.6% 32.5% 34.1% 10.6% 65%
based on social media information
Social engineering of employees/insiders 8.9% 19.5% 24.4% 32.5% 14.6% 65%
based on other published information
26
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
26
17
7/29/2023
Software failures or errors due to poorly developed, 7.2% 21.6% 24.0% 32.0% 15.2% 65%
internally created applications
Denial of service (and distributed DoS) attacks 8.2% 23.0% 27.9% 32.8% 8.2% 62%
Software failures or errors due to known vulnerabilities 8.9% 23.6% 26.8% 35.8% 4.9% 61%
in externally acquired software
Loss of trust due to representation as source of 9.8% 23.8% 30.3% 23.0% 13.1% 61%
phishing/spoofing attack
Loss of trust due to Web defacement 12.4% 30.6% 31.4% 19.8% 5.8% 55%
Outdated organization data format 18.7% 35.8% 26.8% 13.8% 4.9% 50%
Inability/unwillingness to establish effective policy 30.4% 26.4% 24.0% 13.6% 5.6% 48%
by management
Hardware failures or errors due to aging equipment 19.5% 39.8% 24.4% 14.6% 1.6% 48%
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
7/29/2023
28
Hardware failures or errors due to defective 17.9% 48.0% 24.4% 8.1% 1.6% 46%
equipment
Deviations in quality of service from other provider 25.2% 38.7% 25.2% 7.6% 3.4% 45%
Deviations in quality of service from data 26.4% 39.7% 23.1% 7.4% 3.3% 44%
communications provider/ISP
Deviations in quality of service from 29.9% 38.5% 18.8% 9.4% 3.4% 44%
telecommunications provider/ISP (if different from
data provider)
Loss due to other natural disaster 31.0% 37.9% 23.3% 6.9% 0.9% 42%
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
19
7/29/2023
Deviations in quality of service from power 36.1% 43.4% 12.3% 5.7% 2.5% 39%
provider
Loss due to flood 33.9% 43.8% 19.8% 1.7% 0.8% 38%
30
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
• Tấn công có thể liên quan đến nhiều nguy cơ. Ví dụ: hành vi chiu cắp do tin tặc thực hiện
thuộc nguy cơ “trộm”, nhưng cũng có thể thuộc nguy cơ “gián điệp hoặc xâm nhập trái
phép” khi tin tặc truy cập bất hợp pháp vào thông tin
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
20
7/29/2023
31
12 loại nguy cơ đối với ATTT và ví dụ các cuộc tấn công tương ứng
STT Các loại nguy cơ Ví dụ về cuộc tấn công
1. Xâm phạm tài sản trí tuệ Ăn cắp bản quyền, vi phạm bản quyền
2. Sai lệch về chất lượng dịch vụ bởi Các vấn đề liên quan nhà cung cấp dịch vụ
người cung cấp dịch vụ Internet (ISP), năng lượng và dịch vụ mạng
WAN
3. Gián điệp hoặc xâm nhập trái phép Truy cập trái phép hoặc/ và thu thập dữ liệu trái
phép
4. Những tác động từ thiên nhiên Cháy nổ, lũ lụt, động đất, sấm sét
5. Lỗi con người / sai sót Tai nạn, lỗi nhân viên
6. Cưỡng đoạt thông tin Tống tiền, tiết lộ thông tin
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
12 loại nguy cơ đối với ATTT và ví dụ các cuộc tấn công tương ứng
STT Các loại nguy cơ Ví dụ về cuộc tấn công
7. Phá hoại Huỷ hoại hệ thống hoặc thông tin
8. Tấn công có chủ đích bằng phần mềm Viruses, worms, macros, từ chối dịch vụ
21
7/29/2023
33
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
33
34
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
22
7/29/2023
• Việc sử dụng trái phép tài sản trí tuệ dẫn đến nguy cơ an toàn thông tin.
• Các vi phạm tài sản trí tuệ phổ biến nhất liên quan đến vi phạm bản quyền phần mềm. Theo
BSA, năm 2018, khoản 37% phần mềm được cài đặt ở máy tính cá nhân trên toàn cầu
không được cấp phép
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
23
7/29/2023
36
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
24
7/29/2023
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
• Hệ thống thông tin của một tổ chức phụ thuộc vào sự vận hành thành công của nhiều
hệ thống hỗ trợ phụ thuộc lẫn nhau, gồm lưới điện, mạng dữ liệu và viễn thông, phụ
tùng, nhà cung cấp dịch vụ, thậm chí cả nhân viên vệ sinh. Bất kỳ hệ thống hỗ trợ
nào trong số này đều có thể bị gián đoạn do những phát sinh không lường trước.
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
25
7/29/2023
39
• Các vấn đề liên quan bất thường nguồn cung cấp điện
40
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
26
7/29/2023
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
42
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
27
7/29/2023
• Gián điệp công nghiệp (industrial espionage): hành vi trộm cắp bất hợp pháp và phi đạo
đức các bí mật thương mại, bí mật kinh doanh được thực hiện bởi các đối thủ
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
44
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
7/29/2023
44
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
45
29
7/29/2023
46
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
46
47
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
7/29/2023
47
48
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
48
31
7/29/2023
• Phreaker: tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi miễn
phí hoặc làm gián đoạn dịch vụ
50
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
7/29/2023
50
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
33
7/29/2023
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
7/29/2023
53
54
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
54
35
7/29/2023
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
• Bao gồm: hỏa hoạn, lũ lụt, động đất, lở đất, gió bão, bão cát, sét, núi lửa phun trào, sự xâm
nhập của côn trùng… có thể làm gián đoạn không chỉ cuộc sống của các cá nhân, mà còn cả
việc lưu trữ, truyền tải và sử dụng thông tin
• Vì không thể chủ động tránh được loại nguy cơ này, ban giám đốc cần phải triển khai các
kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt động, chẳng
hạn kế hoạch khắc phục hậu quả thiên tai, kế hoạch liên tục kinh doanh, kế hoạch ứng phó
sự cố
56
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
7/29/2023
56
37
7/29/2023
58
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
58
59
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
7/29/2023
59
39
7/29/2023
62
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
7/29/2023
62
• Loại nguy cơ này có thể bao gồm từ phá hoại nhỏ, riêng lẻ của nhân viên đến phá hoại có tổ
chức chống lại một tổ chức khác
63
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
63
41
7/29/2023
64
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
64
65
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
7/29/2023
65
66
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
66
43
7/29/2023
b. Back doors
c. Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ đã được phân
tán (DDoS)
d. Tấn công bằng emails
67
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
67
a. Malware
• Malware là mã/ phần mềm độc hại. Ngoài ra, malware bao gồm những tấn công sử
dụng phần mềm như tấn công chuyển hướng và tấn công từ chối dịch vụ.
• Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ cho các hệ thống
mục tiêu.
• Thuật ngữ được sử dụng để mô tả phần mềm độc hại thường không loại trừ lẫn
nhau. Vd: phần mềm độc hại Trojan horse có thể xuất hiện dưới dạng virus, sâu
hoặc cả hai.
68
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
44
7/29/2023
68
a. Malware
• Các dạng tấn công sử dụng mã độc gồm: viruses, sâu, và các tập lệnh Web được
kích hoạt với mục đích phá hủy hoặc đánh cắp thông tin.
• Tấn công mã hiện đại nhất hiện nay là sâu đa hình (polymorphic worm) hay còn gọi
sâu đa phương thức (multivector worm) vì nó sử dụng 6 phương thức tấn công để
khai thác nhiều lỗ hổng trong các thiết bị hệ thống thông tin phổ biến
• Zero-day attack: khi cuộc tấn công sử dụng các malware mà các công ty phần mềm
chống malware chưa biết về malware
69
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
69
45
7/29/2023
• Trình duyệt Web: nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào, nó
sẽ làm cho tất cả các tập nội dung Web bị lây nhiễm, do đó người dùng duyệt các
trang Web này sẽ bị nhiễm
• Virus: mỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thi phổ biến trên tất
cả các máy tính mà nó có thể ghi lây nhiễm rộng hơn
70
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
70
• Những chia sẻ không được bảo vệ: sử dụng việc chia sẻ tập tin để sao chép các
thành phần lan truyền đến tất các các vị trí có thể truy cập
• Mass mail: bằng cách gửi email bị nhiễm đến các địa chỉ có trong danh bạ, máy bị
nhiễm sẽ làm các máy khác bị nhiễm, những máy có chương trình đọc mail tự động
hoạt động và tiếp tục lại nhiễm cho nhiều hệ thống hơn
• Giao thức quản lý mạng đơn giản (SNMP): các lỗ hổng SNMP được sử dụng để
xâm nhập và lây nhiễm
71
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
46
7/29/2023
71
a. Malware
• Các dạng tấn công sử dụng phần mềm độc hại khác gồm: bots, spyware, adware.
• Bots: là công nghệ thường được dùng để triển khai Trojan horse, logic bombs,
back doors và spyware
• Spyware: phần mềm gián điệp được đặt trên máy tính để thu thập thông tin về
người dùng.
• Web bug - một đồ họa nhỏ được tham chiếu trong HTML của trang web hoặc
email để thu thập thông tin về người dùng đang xem nội dung
72
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
72
47
7/29/2023
a. Malware
• Các dạng tấn công sử dụng phần mềm độc hại khác gồm: bots, spyware, adware.
• Spyware: phần mềm gián điệp được đặt trên máy tính để thu thập thông tin về
người dùng
• Theo dõi Cookie: được đặt trên máy tính của người dùng để theo dõi hoạt động
của họ trên các trang Web khác nhau và tạo hồ sơ chi tiết về hành vi của họ, sau
đó những thông tin này có thể được sử dụng trong một cuộc tấn công social
engineering hoặc đánh cắp danh tính
73
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
73
a. Malware
• Các dạng tấn công sử dụng phần mềm độc hại khác gồm: bots, spyware, adware.
• Adware: phần mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không
mong muốn (bao gồm cửa sổ bật lên và biểu ngữ trên màn hình của người dùng),
được thiết kế để hoạt động ngoài tầm nhìn của người dùng hoặc được kích hoạt bởi
hành động dường như vô hại của người dùng.
74
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
48
7/29/2023
74
75
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
75
49
7/29/2023
76
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
76
Viruses
• Virus máy tính gồm các đoạn mã thực hiện các hành vi độc hại.
• Người dùng thường vô tình giúp virus xâm nhập vào hệ thống bằng cách mở email
bị nhiễm hoặc một số hành động có vẻ tầm thường khác nhưng có thể khiến mọi thứ
từ các thông báo ngẫu nhiên xuất hiện trên màn hình của người dùng đến việc phá
hủy toàn bộ ổ cứng.
77
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
50
7/29/2023
77
Viruses
• Mã này hoạt động giống như mầm bệnh virus lây lan từ máy tính này sang máy tính
khác qua phương tiện vật lý, email hoặc các hình thức truyền dữ liệu máy tính.
• Khi những virus này lây nhiễm vào một máy, lập tức quét máy đó để tìm các ứng
dụng email hoặc thậm chí tự gửi thư đến mọi người có trong sổ địa chỉ email được
tìm thấy.
78
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
78
51
7/29/2023
Viruses
• Một trong những phương thức lây truyền virus phổ biến nhất là qua email được
đính kèm các tập tin
• Virus có thể phân loại theo cách chúng tự lây lan: virus macro, virus khởi động
• Virus macro được nhúng vào mã macro thực thi tự động, được sử dụng bởi bộ xử
lý văn bản, bảng tính và ứng dụng CSDL
• Virus khởi động (boot virus) lây nhiễm các tệp hệ điều hành chính trong phần boot
của máy tính
79
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
79
Viruses
• Virus có thể phân loại theo virus thường trú trong bộ nhớ và không thường trú trong
bộ nhớ tùy thuộc vào việc chúng có tồn tại trong bộ nhớ của hệ thống máy tính sau
khi chúng được thực thi hay không.
• Virus thường trú có khả năng kích hoạt lại khi máy tính được khởi động và tiếp tục
hành động của chúng cho đến khi hệ thống tắt, và chỉ khởi động lại vào lần khởi
động tiếp theo của hệ thống
• Virus và worms có thể sử dụng 6 phương thức tấn công để phát tán các bản sao của
chúng tới các máy tính ngang hàng đang hoạt động trên mạng
80
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
7/29/2023
80
Worms (sâu)
• Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên có sẵn,
như bộ nhớ, dung lượng ổ cứng và băng thông mạng
• Hành vi phức tạp của worm có thể được bắt đầu khi người dùng tải xuống hoặc thực thi tệp.
Một khi sâu đã lây nhiễm vào máy tính, nó có thể tự phân phối lại tới tất cả địa chỉ email
được tìm thấy trên hệ thống bị nhiễm. Hơn nữa, sâu có thể gửi các bản sao của chính nó lên
tất cả máy chủ Web mà hệ thống bị nhiễm có thể tiếp cận; những người dùng sau truy cập
vào các trang web đó sẽ bị nhiễm.
• Sâu cũng lợi dụng các chia sẻ mở được tìm thấy trên mạng có hệ thống bị nhiễm. Sâu đặt
các bản sao mã đang hoạt động của chúng lên máy chủ để người dùng chia sẻ mở có khả
năng bị nhiễm bệnh.
81
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
81
53
7/29/2023
Trojan horses
Trojan horses thường được ngụy trang dưới dạng phần mềm hữu ích hoặc cần thiết, chẳng hạn
như tệp readme.exe thường được bao gồm trong các gói phần mềm chia sẻ hoặc phần mềm
miễn phí
82
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
82
Nguy cơ đa hình
(Polymorphic Threats)
• Thách thức khi chống lại virus và sâu là các nguy cơ đa hình, nghĩa là nguy cơ virus
và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài của tập tin
để tránh bị phát hiện bởi các chương trình phần mềm chống virus
83
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
54
7/29/2023
83
• Một cách tiếp cận tinh quái hơn, tốn nhiều thời gian và tiền bạc hơn để giải quyết là
việc tấn công hệ thống máy tính bằng trò lừa bịp virus. Vd: người dùng có ý tốt
nhưng lại có thể làm gián đoạn hoạt động và quy trình của một tổ chức khi gửi email
cảnh báo về một loại virus nguy hiểm KHÔNG tồn tại.
• Những trò lừa bịp này làm lãng phí thời gian của người dùng và khiến mạng quá tải
84
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
84
55
7/29/2023
b. Back doors
• Back doors: có thể là một lối đi không chủ đích hoặc có chủ đích (do nhà thiết kế cố
tình để lại để tạo điều kiện thực hiện kiểm soát truy cập)
• Sử dụng cơ chế truy cập đã biết hoặc mới được phát hiện, kẻ tấn công có thể giành
quyền truy cập vào hệ thống hoặc tài nguyên mạng thông qua back doors (cửa hậu)
• Đôi khi những cánh cửa này do các nhà thiết kế hệ thống hoặc nhân viên bảo trì để
lại; một cánh cửa như vậy được xem là một maintenance door.
85
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
85
b. Back doors
• Thông thường kẻ tấn công đặt một back doors vào hệ thống hoặc mạng mà chúng đã
thâm nhập để việc quay lại hệ thống của chúng sau này sẽ dễ dàng hơn.
• Rất khó phát hiện back doors vì người/ chương trình cài đặt nó thường làm cho
quyền truy cập được miễn trừ khỏi các tính năng ghi nhật ký kiểm tra thông thường
của hệ thống và cố gắng giữ kín back doors với chủ sở hữu hợp pháp của hệ thống
86
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
56
7/29/2023
86
c. Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ đã được phân
tán (DDoS)
• Tấn công từ chối dịch vụ: cuộc tấn công cố gắng áp đảo khả năng xử lý thông tin
liên lạc được đưa đến máy tính mục tiêu, nhằm cấm người dùng hợp pháp truy
cập vào các hệ thống đó
• Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến
một mục tiêu
• Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiêu không thể xử lý chúng
thành công cùng với các yêu cầu dịch vụ hợp pháp khác
• Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức
năng thông thường
87
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
87
57
7/29/2023
c. Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ đã được phân
tán (DDoS)
• Tấn công từ chối dịch vụ được phân tán: là một dạng tấn công từ chối dịch vụ,
trong đó một luồng yêu cầu phối hợp được đưa ra nhằm vào một mục tiêu từ nhiều
địa điểm trong cùng một thời điểm bằng cách sử dụng Bot hoặc Zombies
• Hầu hết các cuộc tấn công DDoS đều bắt đầu bằng giai đoạn chuẩn bị trong đó
hàng nghìn hệ thống bị xâm nhập. Các máy bị xâm nhập bị biến thành Bot hoặc
Zombies, những máy này được kẻ tấn công chỉ đạo từ xa để tham gia vào tấn công.
88
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
88
c. Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ đã được phân
tán (DDoS)
• Tấn công từ chối dịch vụ được phân tán: là một dạng tấn công từ chối dịch vụ,
trong đó một luồng yêu cầu phối hợp được đưa ra nhằm vào một mục tiêu từ nhiều
địa điểm trong cùng một thời điểm bằng cách sử dụng Bot hoặc Zombies
• Cuộc tấn công DDoS khó chống lại hơn và hiện không có biện pháp kiểm soát khả
thi. Tuy nhiên có thể kích hoạt khả năng phòng thủ DDoS giữa các nhóm nhà cung
cấp dịch vụ
89
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
58
7/29/2023
89
90
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
90
59
7/29/2023
• Thư rác (spam) là email thương mại không mong muốn. Nhiều người xem thư rác là một
mối phiền toái hơn là một cuộc tấn công, tuy nhiên nó có thể là vật trung gian cho một số
cuộc tấn công. Hậu quả quan trọng nhất là lãng phí máy tính và nguồn nhân lực. Để đối phó
thư rác, các tổ chức có thể (1) sử dụng công nghệ lọc email, (2) yêu cầu người dùng xóa các
thư không mong muốn
91
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
91
• Bom thư (mail bombing) là một hình thức tấn công thư điện tử, cũng là một DoS, được
thực hiện bằng cách sử dụng các kỹ thuật gửi thư điện tử truyền thống hoặc bằng cách khai
thác các lỗi kỹ thuật trong Giao thức truyền tải thư đơn giản
(SMTP).
• Mặc dù cuộc tấn công lừa đảo xảy ra qua email, nhưng chúng thường được kết hợp với một
social engineering được thiết kế để lừa người dùng thực hiện một hành động, thay vì chỉ
đơn giản biến người dùng trở thành mục tiêu của cuộc tấn công qua email DoS.
92
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
60
7/29/2023
92
• Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình
chuyển tiếp thông tin
• Việc xuất hiện Internet of Things làm tăng khả năng xảy ra loại tấn công này
• Spoofing
• Pharming
• Man-in-the-middle
93
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
93
61
7/29/2023
Packet sniffer
• Là một chương trình hoặc thiết bị có thể giám sát dữ liệu truyền tải qua mạng. Nó có thể
được sử dụng cho cả chức năng quản lý mạng hợp pháp và cho việc lấy cắp thông tin từ
một mạng lưới
94
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
94
Spoofing
• Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy tính, trong
đó kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho biết rằng tin nhắn đến từ một
máy chủ đáng tin
cậy
95
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
62
7/29/2023
95
Pharming
• Là sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một trang Web bất
hợp pháp với mục đích lấy thông tin cá nhân
• Pharming thường sử dụng Trojan, worms hoặc các công nghệ virus khác để tấn công
địa chỉ trình duyệt Internet
• Pharming vs social engineering: social engineering attack là cuộc tấn công yêu cầu
người dùng chủ động nhấp vào liên kết hoặc nút để chuyển hướng đến trang Web
bất hợp pháp, trong khi Pharming sửa đổi lưu lượng truy cập của người dùng mà
người dùng không biết hoặc không tham gia tích cực
96
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
96
63
7/29/2023
Man-in-the-middle
• Man-in-the-middle: một nhóm các tấn công trong đó một người chặn luồng liên lạc
và tự chèn mình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tác
hợp pháp.
• Kẻ tấn công nhận dạng các packets từ mạng, sửa đổi chúng và chèn chúng trở lại
mạng.
• Trong một cuộc tấn công chiếm quyền điều khiển TCP (TCP hijacking attack), kẻ
tấn công sử dụng địa chỉ giả để mạo danh các thực thể hợp pháp khác trên mạng.
97
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
97
98
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
64
7/29/2023
98
99
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
99
65
7/29/2023
• Một lượng lớn mã được viết, gỡ lỗi, xuất bản và bán trước khi tất cả các lỗi đều
được giải quyết
• Sự kết hợp của phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
• Đôi khi, những lỗi này không phải do sai sót mà là việc làm có chủ đích của người
lập trình nhằm tạo ra lối tắt (shortcut) vào phần mềm. Các lối tắt vào phần mềm
thường bỏ qua việc kiểm tra bảo mật được gọi là cửa bẫy (trap doors) và chúng có
thể gây ra các vi phạm an ninh nghiêm trọng.
100
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
100
• Một số lỗi và lỗi phát triển phần mềm dẫn đến phần mềm khó hoặc không thể triển
khai theo cách an toàn.
101
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
66
7/29/2023
101
67
7/29/2023
2.2.12. Trộm
• Nguy cơ trộm cắp là thường xuyên. Trộm cắp là việc chiếm đoạt bất hợp pháp tài sản
của người khác (tài sản hữu hình, điện tử hoặc trí tuệ)
• Giá trị thông tin giảm đi khi thông tin bị sao chép mà chủ sở hữu không biết
• Hành vi trộm cắp vật lý (các tài sản hữu hình) dễ bị phát hiện và có thể được kiểm soát
dễ dàng bằng nhiều cách: cửa khóa, nhân viên an ninh, hệ thống báo động. Tuy nhiên,
trộm cắp điện tử là một vấn đề phức tạp hơn để quản lý và kiểm soát vì tội phạm không
phải lúc nào cũng rõ ràng.
103
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
103
2.2.12. Trộm
• Trộm cắp thường đồng nghĩa với các nguy cơ tấn công phần mềm, gián điệp và xâm nhập,
tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ. Tin tặc hoặc các tác nhân nguy cơ
khác có thể truy cập vào hệ thống, đánh cắp thông tin của DN và tống tiền.
• Việc sử dụng ngày càng nhiều công nghệ di động làm tăng nguy cơ bị đánh cắp dữ liệu.
Tuy nhiên, đáng lo hơn việc mất dữ liệu là khả năng người dùng cho phép thiết bị di động
lưu lại thông tin đăng nhập tài khoản, cho phép kẻ trộm sử dụng quyền truy cập hợp pháp
để vào tài khoản doanh nghiệp hoặc tài khoản cá nhân của nạn nhân
104
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
68
7/29/2023
104
105
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
105
CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN
69
7/29/2023
Tình huống
Một ngày làm việc bình thường, cô Maggie Q. – nhân viên kế toán nhận được email của trưởng
phòng Kế toán, với nội dung yêu cầu cô Q. mở file văn bản đính kèm để làm báo cáo nhanh về
tình hình công nợ. Sau khi mở email, cô Q. không đọc được nội dung, máy tính tự khởi động
và sau đó, toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau, màn hình máy tính của tất cả nhân
viên công ty đều hiện lên thông báo dữ liệu bị mã hóa, yêu cầu công ty phải trả tiền chuộc hoặc
toàn bộ dữ liệu sẽ bị xóa sạch sau 24 giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn?
2
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2
70
7/29/2023
• Hiểu biết về lịch sử an toàn máy tính và giải thích sự phát triển an toàn thông
tin.
• Định nghĩa các thuật ngữ chủ yếu và các khái niệm quan trọng về an toàn
thông tin
• Mô tả vai trò của các chuyên gia đối với an toàn thông tin trong DN
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
4
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
4
71
7/29/2023
Thuật ngữ
Accuracy Độ chính xác thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người dùng mong đợi
thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên bản thay vì sao chép hoặc bịa đặt
Authenticity Tính xác thực
một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định dạng chính xác để sử dụng mà không
Availability: Tính khả dụng
bị can thiệp hoặc cản trở
Bottom-up approach Cách tiếp cận từ dưới lên một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp thấp hơn trong đó quản trị viên hệ
thống cố gắng cải thiện tính bảo mật của hệ thống của họ
C.I.A. triad: C
(confidentiality); I ba tiêu chuẩn C.I.A / tam tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn (mainframe) - Tiêu chuẩn dựa trên
(integrity); A giác C.I.A ba đặc điểm mô tả ứng dụng tiện ích của thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
(availability)
Chief information Giám đốc Công nghệ Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công nghệ thông tin trong đơn vị, đảm
officer (CIO) thông tin bảo tính hữu hiệu và hiệu quả trong việc xử lý và cung cấp thông tin
Chief information
Giám đốc an toàn thông
security officer Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo cáo cho Giám đốc công nghệ thông tin
tin
(CISO)
Communications
Bảo mật truyền thông bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung số trong đơn vị
security
Community of interest Nhóm lợi ích liên quan một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi sẻ cũng mục tiêu nhằm
giúp đơn vị đạt được mục tiêu. 5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
5
Thuật ngữ
72
7/29/2023
6 trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết liên quan đến yêu cầu đảm
Computer security An toàn máy tính bảo an toàn trước những nguy cơ bên ngoài. Hiện nay, thuật ngữ này được tiến hóa thành an toàn
thông tin nói chung
một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ hoặc tiếp xúc với các cá nhân
Confidentiality Tính bảo mật hoặc hệ thống trái phép
Người quản lý dữ
Data custodians liệu những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng một tập hợp thông tin cụ thể;
chủ sở hữu dữ liệu có thể dựa vào người giám sát về các khía cạnh thực tế của việc bảo vệ thông tin
Data owners Chủ sở hữu dữ liệu
của họ, chỉ định người dùng nào được phép truy cập thông tin đó, nhưng họ phải chịu trách nhiệm
cuối cùng về điều đó
những người làm việc với thông tin để thực hiện công việc hàng ngày của họ và hỗ trợ sứ mệnh của
Data users Người dùng dữ liệu tổ chức
Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào, hoặc trong quá
Information security An toàn thông tin trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn luyện, nâng cao nhận
thức cũng như sử dụng công nghệ
Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính nhằm sử dụng các nguồn lực
Information system (IS) Hệ thống thông tin công ngệ thông tin trong đơn vị
Thuật ngữ
Thuộc tính của thông tin mô tả dữ liệu và thông tin ở mức độ toàn bộ, hoàn
Integrity Tính toàn vẹn chỉnh và không gián đoạn
Khối lập
Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ biến trong
McCumber Cube phương
an toàn thông tin, mô tả các chiều theo các lĩnh vực liên quan an toàn thông tin
McCumber
Một phân nhánh của bảo mật truyền thông (communications security) – nhằm
Network security An toàn mạng
bảo vệ các thành phần, nội dung của mạng mát tính
Personally
Thông tin định
identifiable Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất
danh cá nhân
information (PII)
Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy cập
Physical security An toàn vật lý trái phép
thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát dữ liệu là
Possession Chiếm hữu hợp pháp hoặc được ủy quyền
7
Thuật ngữ
73
7/29/2023
8
một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một hoặc nhiều khía cạnh
Project team Đội dự án
của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.
An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động được thực
Security bảo mật hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
Bảo hiểm
phần một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng bảo mật
Software assurance mềm / vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA cố gắng cố ý tạo
(SA) đảm ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả, hiệu quả mà người dùng có
bảo phần thể tự tin triển khai
mềm
Systems development Chu kỳ phát triển hệ
life cycle (SDLC) thống một phương pháp luận để thiết kế và triển khai hệ thống thông tin
Tiếp cận
từ
Top-down approach một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên khởi xướng
trên
xuống
một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu ích cho mục đích
Utility Tính tiện ích
cuối cùng
một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin thu được từ giai
Waterfall model Mô hình thác đổ đoạn trước, với nhiều cơ hội để quay lại các giai đoạn trước đó và thực hiện các điều chỉnh
Thuật ngữ
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
9
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
9
74
7/29/2023
10
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
10
11
75
7/29/2023
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
Mốc thời gian quan trọng trong lịch sử an toàn thông tin (1 of 3)
Date Document
1973 Schell, Downey, and Popek examine the need for additional security in military systems in Preliminary Notes on
the Design of Secure Military Computer Systems.
1975 The Federal Information Processing Standards (FIPS) examines DES (Digital Encryption Standard) in the
Federal Register.
1978 Bisbey and Hollingworth publish their study “Protection Analysis: Final Report," which discussed the Protection
Analysis project created by ARPA to better understand the vulnerabilities of operating system security and
examine the possibility of automated vulnerability detection techniques in existing system software.
13
76
7/29/2023
Mốc thời gian quan trọng trong lịch sử an toàn thông tin (2 of 3)
Date Document
1979 Morris and Thompson author “Password Security: A Case History," published in the
Communications of the Association for Computing Machinery (ACM). The paper examined the
design history of a password security scheme on a remotely accessed, time-sharing system.
Dennis Ritchie publishes “On the Security of UNIX" and "Protection of Data File
Contents," which discussed secure user IDs, secure group IDs, and the problems inherent in the
systems.
1982 The U.S. Department of Defense Computer Security Evaluation Center publishes the first
version of the Trusted Computer Security (TCSEC) documents, which came to be known as the
Rainbow Series.
14
Mốc thời gian quan trọng trong lịch sử an toàn thông tin (3 of 3)
Date Document
1984 Grampp and Morris write “The UNIX System: UNIX Operating System Security." In this report, the
authors examined four "important handles to computer security": physical control of premises and
computer facilities, management commitment to security objectives, education of employees, and
administrative procedures aimed at increased security.
Reeds and Weinberger publish “File Security and the UNIX System Crypt Command." Their
premise was: “No technique can be secure against wiretapping or its equivalent on the computer.
Therefore, no technique can be secure against the system administrator or other privileged users . . .
the naive user has no chance.“
1992 Researchers for the Internet Engineering Task Force, working at the Naval Research
Laboratory, develop the Simple Internet Protocol Plus (SIPP) Security protocols, creating what
is now known as IPSEC security.
15
77
7/29/2023
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
78
7/29/2023
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
79
7/29/2023
80
7/29/2023
• Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc vào mức
độ bảo mật của mọi máy tính trong mạng máy tính đó.
• Trong những năm gần đây, nhận thức về nhu cầu nâng cao an toàn thông tin
ngày càng tăng, cũng như nhận thức rằng an toàn thông tin là quan trọng đối
với quốc phòng.
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
22
81
7/29/2023
24
25
82
7/29/2023
83
7/29/2023
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
84
7/29/2023
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
85
7/29/2023
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
86
7/29/2023
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
34
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
87
7/29/2023
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
88
7/29/2023
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
89
7/29/2023
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
• HTTT có 6 thành phần: Con người, phần cứng, phần mềm, mạng máy tính,
các chính sách và thủ tục, và dữ liệu
• Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và công dụng riêng • Mỗi
thành phần có các yêu cầu về an toàn và bảo mật khác nhau
40
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
90
7/29/2023
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
91
7/29/2023
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
44
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
44
92
7/29/2023
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
45
46
93
7/29/2023
• Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ
• Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ thống khác và hạn
chế quyền hạn thực thi
• Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy trình, kế hoạch
rõ ràng và ảnh hưởng toàn doanh nghiệp
• Cách tiếp cận này được thể hiện phổ biến thông qua chiến lược phát triển hệ thống tiêu
chuẩn – được gọi là chu kỳ phát triển hệ thống
94
7/29/2023
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
49
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
49
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tintrong doanh
nghiệp (nhóm lợi ích liên quan)
50
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
50
95
7/29/2023
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
• Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu, người bảo
quản dữ liệu và người sử dụng dữ liệu
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
96
7/29/2023
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp
• Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an toàn thông
tin. Mỗi nhóm có vai trò và trách nhiệm khác nhau cũng như các mối quan
tâm khác nhau đối với an toàn thông tin. Mỗi thành viên trong mỗi nhóm
được liên kết với nhau thông qua các giá trị tương đồng với nhau và cũng chia
sẽ các mục tiêu chúng.
• Thông thường trong doanh nghiệp có ba nhóm an toàn thông tin: nhóm quản
lý chung, nhóm quản lý CNTT và nhóm quản lý an toàn
thông tin
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong danh nghiệp
• Nhóm quản lý chung: bao gồm toàn bộ người sử dụng hệ thống công nghệ
thông tin (theo góc nhìn của nhóm quản lý công nghệ thông tin) và cũng là đối
tượng bảo mật theo góc nhìn của nhóm quản lý an toàn thông tin
• Nhóm quản lý công nghệ thông tin: bao gồm các chuyên gia CNTT và các nhà
quản lý CNTT, hỗ trợ cho việc vận hành hệ thống CNTT trong doanh nghiệp
• Nhóm quản lý an toàn thông tin: bao gồm các chuyên gia an toàn và bảo mật,
tập trung cho mục tiêu đảm bảo an toàn và bảo vệ thông tin, dữ liệu, hệ thống
của doanh nghiệp khỏi các cuộc tấn công.
54
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
54
97
7/29/2023
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
CHƯƠNG 3
QUẢN LÝ AN TOÀN THÔNG TIN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
98
7/29/2023
Tình huống
• Có vẻ như Janet Kinneck có vấn đề, và giờ Charlie phải giải quyết nó. Cụ thể, tên của Janet – phó
giám đốc phát triển thị trường truyền thông xã hội trong công ty tiếp thị SLS – đã xuất hiện trong
báo cáo lạm dụng hàng tháng. Do đó, Charlie đã bắt đầu yêu cầu nhóm điều hành an ninh chuẩn
bị báo cáo này, dựa trên hoạt động kết nối mạng trong tháng trước. Tất cả nhân viên SLS đã được
thông báo và đồng ý với việc giám sát này bất cứ khi nào họ sử dụng hệ thống mạng của công ty.
• SLS có chính sách khá thoải mái, quy định cách thức và thời điểm nhân viên có thể sử dụng máy
tính và mạng của công ty cho lý do cá nhân của họ. Charlie đã thuyết phục Giám đốc điều hành
Fred Chin và các giám đốc điều hành cấp cao khác rằng nhân viên nên có cuộc sống hòa nhập vào
nơi làm việc, và chi phí phát sinh từ việc sử dụng hệ thống mạng cho các vấn đề cá nhân là không
đáng kể, theo Charlie, mức chi phí trong giới hạn nhất định hoàn toàn xứng đáng với năng suất
được cải thiện của nhân viên khi họ cảm thấy thoải mái. Tuy nhiên, chính những quy định thoáng
này giờ lại là những "ranh giới nhất định" mà công ty đang giải quyết.
Tình huống
• Charlie xem lại bản báo cáo và dữ liệu trong đó một lần nữa rồi nhấc điện thoại gọi cho
Gladys Williams – Giám đốc thông tin (CIO) – của công ty. Charlie đã cân nhắc xem
cuộc họp này có nên để Fred tham gia hay không, và anh ấy nghĩ nên hỏi ý kiến của
Gladys, cô ấy có thể quyết định đưa Fred vào nếu cô ấy xác định rằng sự hiện diện của
anh ấy là cần thiết.
• Gladys bắt máy và nói:“Chào, Charlie, có chuyện gì vậy?” Anh ấy trả lời:“Này, Gladys,
chúng tôi gặp vấn đề với báo cáo mới về lạm dụng hàng tháng mà chúng tôi đang thực
hiện.” Gladys biết bản báo cáo, vì cô ấy đã hỗ trợ để tạo ra nó. Cô ấy biết điều gì sẽ xảy
ra tiếp theo vì cô ấy sẽ được thông báo khi các nhân viên cấp cao có liên quan đến nghi
vấn lạm dụng.
99
7/29/2023
Tình huống
• Charlie tiếp tục:“Chà, dù sao thì, có vẻ như chúng ta có vấn đề với Janet Kinneck ở bộ
phận tiếp thị. Gần như tôi có thể biết rõ mà không cần điều tra máy tính của cô ấy, cô ấy
đang điều hành một giải đấu trò chơi thể thao thương mại bên ngoài văn phòng của mình
trên tầng sáu.”
• Gladys suy nghĩ một giây rồi trả lời:“Đối với tôi, đó không phải là một cách sử dụng
chấp nhận được!”.
100
7/29/2023
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Thuật ngữ
CISO Giám đốc an toàn thông tin
Electronic security perimeter Vành đai an toàn điện tử
Enterprise information security policies (EISP) Chính sách an toàn thông tin doanh nghiệp
Information Security Governance Quản trị an toàn thông tin
Information Security Leadership Phẩm chất lãnh đạo an toàn thông tin
Information Security Program Chương trình an toàn thông tin
Issue-specific security policies (ISSP) Chính sách an toàn đặc thù
Operational plans Kế hoạch hoạt động
Strategic planning Lập kế hoạch chiến lược
Physical security perimeter Vành đai an toàn vật lý
SETA Chương trình giáo dục, huấn luyện, nâng cao nhận thức về an toàn
Strategic plans Kế hoạch chiến lược
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
101
7/29/2023
Thuật ngữ
Tactical objectives Mục tiêu chiến thuật
Tactical plans Kế hoạch chiến thuật
The Information Security Blueprint Bảng kế hoạch chi tiết về an toàn thông tin
8
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
102
7/29/2023
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
10
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
103
7/29/2023
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
104
7/29/2023
14
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
105
7/29/2023
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
106
7/29/2023
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
107
7/29/2023
20
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
21
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
108
7/29/2023
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
109
7/29/2023
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
110
7/29/2023
26
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
111
7/29/2023
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
• Các chính sách hoạt động giống như luật trong một tổ chức vì:
• Quy định hành vi được chấp nhận và không được chấp nhận
• Quy định các hình phạt đối với việc không tuân thủ chính sách và quy trình kháng nghị,
bao gồm các tiêu chuẩn là những tuyên bố chi tiết hơn về những gì phải làm để tuân thủ
chính sách, có các yêu cầu tuân thủ giống như các chính sách
• Tiêu chuẩn có thể là một phần của văn hóa tổ chức, hoặc ban hành dạng không chính
thức (de facto standards)
• Tiêu chuẩn có thể được công bố, xem xét kỹ lưỡng, phê chuẩn, và ban hành dạng chính
thức (de jure standards)
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
112
7/29/2023
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
30
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
Ví dụ về mối quan hệ giữa Chính sách, Tiêu chuẩn, Thực tiễn triển
khai, Thủ tục, và Hướng dẫn
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
113
7/29/2023
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
• Chính sách có chức năng như luật tổ chức quy định hành vi chấp nhận được và không
chấp nhận được
• Tiêu chuẩn: tuyên bố chi tiết hơn về những gì phải được thực hiện để tuân thủ chính
sách
• Các thực tiễn triển khai, thủ tục và hướng dẫn giải thích hiệu quả cách tuân thủ chính
sách.
• Để một chính sách có hiệu quả, nó phải được phổ biến, đọc, hiểu và đồng ý đúng
cách bởi tất cả các thành viên của tổ chức và được thi hành thống nhất.
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
114
7/29/2023
Answer: b. standard
Standards are more detailed statements of what must be done to comply with policy. Standards
may be informal or part of an organizational culture or standards may be published. Practices,
procedures, and guidelines effectively explain how to comply with policy.
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
• Ý nghĩa của thuật ngữ chính sách an toàn phụ thuộc vào ngữ cảnh. Nói chung, chính sách
an toàn là một tập hợp các quy tắc bảo vệ tài sản của tổ chức, cung cấp các quy tắc để
bảo vệ tài sản thông tin của tổ chức
• Nhà quản lý phải xác định ba loại chính sách an toàn, theo Special Publication (SP) 800-
14 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST):
• Chính sách an toàn thông tin doanh nghiệp (Enterprise information security policies – EISP)
• Chính sách an toàn đặc thù (Issue-specific security policies – ISSP)
• Chính sách an toàn dành riêng cho hệ thống (Systems-specific security policies – SysSP)
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
115
7/29/2023
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
116
7/29/2023
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
117
7/29/2023
40
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
118
7/29/2023
2.2. Phát triển và triển khai chính sách an toàn hữu hiệu
• Để đảm bảo tính hiệu quả và được bảo vệ về mặt pháp lý, các chính sách cần thực
hiện đúng cách theo các tiêu chí sau:
• Phát triển (Development): Phải được viết bằng cách sử dụng các thông lệ được chấp nhận
trong ngành và được ban quản lý chính thức phê duyệt
• Truyền đạt (Dissemination): Phải được truyền thông bằng tất cả các phương pháp thích
hợp
• Dễ sử dụng (Reading): Phải được tất cả nhân viên chấp nhận
• Dễ hiểu (Comprehension): Phải được hiểu bởi tất cả nhân viên
• Tuân thủ (Compliance): Phải được chính thức đồng ý bằng hành động hoặc khẳng định,
cam kết
• Thực thi thống nhất (Enforcement): Phải được áp dụng thống nhất cho tất cả nhân viên.
42
119
7/29/2023
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
120
7/29/2023
46
47
121
7/29/2023
48
Attribute Seeks to teach members of the Seeks to train members of the Seeks to educate members of the
organization what security is organization how they should react organization as to why it has prepared
and what the employee should and respond when threats are in the way it has and why the
do in some situations encountered in specified situations organization reacts in the ways it does
Level Offers basic information about Offers more detailed knowledge Offers the background and depth of
threats and responses about detecting threats and teaches knowledge to gain insight into how
skills needed for effective reaction processes are developed and
enables ongoing Improvement
49
122
7/29/2023
Objective Members of the organization Members of the organization can Members of the organization can
can recognize threats and mount effective responses using engage in active defense and use
formulate simple responses learned skills understanding of the organization's
objectives to make continuous
improvement
Teaching • Media videos • Formal training • Theoretical instruction
methods • Newsletters • Workshops • Discussions/seminars
• Posters • Hands-on practice • Background reading
• Informal training
Assessment True/false or multiple choice Problem solving (apply learning) Essay (interpret learning)
(identify learning)
Impact time Short-term Intermediate Long-term
frame
50
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
123
7/29/2023
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
124
7/29/2023
54
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
125
7/29/2023
56
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
126
7/29/2023
Answer: c. awareness
Training is how an organization prepares members on how they should react and respond when
threats are encountered in specified situations. Education seeks to provide theoretical
foundations to members of the organization as to why it has prepared in the way it has and why
the organization reacts in the ways it does.
Alertness is not an element covered in this module.
59
127
7/29/2023
128
7/29/2023
62
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
129
7/29/2023
130
7/29/2023
131
7/29/2023
68
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
69
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
132
7/29/2023
70
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
71
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
133
7/29/2023
134
7/29/2023
Answer: d. operational
Operational controls address personnel and physical security and the protection of production
inputs/outputs, while managerial controls set the direction and scope of the security processes and
provide detailed instructions for their conduct, and technical controls are the tactical and technical
implementations related to designing and integrating security in the organization.
75
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
135
7/29/2023
76
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
136
7/29/2023
78
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
79
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
137
7/29/2023
Bài tập
Câu hỏi ôn tập (review questions)
• 1, 5, 7, 17, 18, 19, 20, 21
Bài tập (exercises)
• 2, 3
CHƯƠNG 4
QUẢN LÝ RỦI RO
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
138
7/29/2023
Tình huống
Charlie Moody đã tổ chức một cuộc họp. Phòng họp có đầy đủ các chuyên viên phát triển,
phân tích hệ thống, người quản lý CNTT, nhân viên và quản lý của bộ phận bán hàng và các
bộ phận khác.
• “Được rồi, mọi người, hãy bắt đầu. Chào mừng bạn đến với cuộc họp khởi động của
nhóm dự án quản lý rủi ro mới của chúng tôi, Đội đặc nhiệm bảo mật thông tin
(Sequential Label and Supply Information Security Task Force). Hôm nay, chúng ta có
mặt ở đây để nói về các mục tiêu của mình và xem xét kế hoạch làm việc ban đầu”
• "Tại sao bộ phận của tôi lại ở đây?“, người quản lý bộ phận bán hàng đặt câu hỏi.
“An toàn có phải là vấn đề của bộ phận CNTT không?”
2
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2
Tình huống
Charlie giải thích, “Chúng tôi đã từng nghĩ như vậy, nhưng chúng tôi nhận ra rằng an toàn
• thông tin là quản lý rủi ro khi sử dụng thông tin, liên quan đến hầu hết mọi người trong công
ty. Để làm cho hệ thống của chúng ta an toàn hơn, chúng ta cần sự tham gia của đại diện từ tất
cả các bộ phận”.
“Tôi hy vọng mọi người sẽ đọc các gói tin mà tôi đã gửi vào tuần trước, mô tả các yêu cầu
pháp lý mà chúng ta phải đối mặt trong ngành của mình và các bài viết về các nguy cơ và tấn
công. Hôm nay, chúng ta sẽ bắt đầu quá trình xác định và phân loại tất cả các rủi ro về CNTT
mà tổ chức của chúng ta phải đối mặt. Điều này bao gồm mọi thứ, từ hỏa hoạn và lũ lụt có thể
làm gián đoạn hoạt động kinh doanh của chúng ta cho đến những tin tặc có thể cố gắng lấy cắp
hoặc phá hủy dữ liệu của chúng ta
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
139
7/29/2023
•
Tình huống
Khi chúng ta xác định và phân loại các rủi ro mà tài sản của mình phải đối mặt, chúng ta có
thể thảo luận về cách giảm thiểu hoặc loại bỏ những rủi ro này bằng cách thiết lập các biện
• pháp kiểm soát. Việc lựa chọn áp dụng thủ tục kiểm soát nào sẽ phụ thuộc vào chi phí và
lợi ích của mỗi thủ tục kiểm soát”
"Chà, Charlie!" Amy Windahl nói từ phía sau phòng. “Tôi chắc chắn rằng chúng ta cần
• phải làm điều đó - tôi đã bị tấn công lần trước, cũng như mọi người ở đây nhưng chúng ta
có hàng tá hệ thống.”
• Charlie nói: “Đó là lý do tại sao chúng ta có rất nhiều người trong nhóm này và tại sao
nhóm bao gồm các thành viên của mọi bộ phận.”
“Được rồi, mọi người, hãy mở email của bạn và tải thông tin kế hoạch dự án với danh sách
công việc hiển thị các nhóm, nhiệm vụ và lịch trình. Có câu hỏi nào trước khi chúng ta bắt
đầu xem xét kế hoạch làm việc?”
4
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
• Tình huống
Khi Charlie kết thúc cuộc họp, anh ấy đã tóm tắt một vài điểm chính cho mọi người tham
gia vào dự án xác định các tài sản thông tin của doanh nghiệp.
“Được rồi, mọi người, trước khi chúng ta kết thúc, xin hãy nhớ rằng bạn nên cố gắng hoàn
thành danh sách tài sản thông tin của mình, nhưng hãy nhớ tập trung sự chú ý của bạn vào
những tài sản có giá trị lớn trước. Ngoài ra, hãy nhớ rằng chúng ta đánh giá tài sản của
mình dựa trên tác động kinh doanh đến lợi nhuận trước tiên, sau đó là chi phí kinh tế của
việc thay thế. Hãy gửi cho tôi các câu hỏi nếu phát sinh trong quá trình xác định danh mục
tài sản của bạn. Chúng ta sẽ lên lịch cho cuộc họp tiếp theo, sau hai tuần, vì vậy vui lòng
chuẩn bị sẵn bản thảo danh sách tài sản của bạn”
5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
140
7/29/2023
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
7
141
7/29/2023
Thuật ngữ
Acceptance risk control strategy Chiến lược kiểm soát: chấp nhận rủi ro
Annualized cost of a safeguard - ACS Chi phí thường niên của biện pháp bảo vệ
Annualized loss expectancy - ALE Dự báo tổn thất hàng năm
Thuật ngữ
Asset exposure Mức độ tổn thất
Avoidance of competitive disadvantage Tránh bất lợi cạnh tranh
142
7/29/2023
Thuật ngữ
Probable Loss Tổn thất có thể xảy ra
Residual risk Rủi ro còn lại
Risk appetite Khẩu vị rủi ro
Risk assessment Đánh giá rủi ro
Risk control Kiểm soát rủi ro
Thuật ngữ
Technical feasibility Khả thi kỹ thuật
Termination risk control strategy Chiến lược kiểm soát: hủy bỏ rủi ro
Threat Nguy cơ
Threat assessment Đánh giá nguy cơ
Threats-vulnerabilities-assets (TVA) triples Bộ ba nguy cơ – Điểm yếu của hệ thống – tài sản
143
7/29/2023
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
1. Giới thiệu
Quản lý rủi ro là quy trình xác định rủi ro, đánh giá mức độ tổn thất và thực hiện
các giải pháp để giảm thiểu rủi ro đến mức độ chấp nhận rủi ro.
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
13
144
7/29/2023
1. Giới thiệu
Tôn Tử (Sun Tzu) và nghệ thuật quản lý rủi ro
• Xác định, kiểm tra và hiểu về thông tin và hệ thống hiện hành.
Biết bản
• Xác định điểm yếu tiềm ẩn trong kiểm soát tài sản thông tin thân
của DN.
• Xác định, kiểm tra và hiểu các nguy cơ đối với tổ chức.
• Xác định nguy cơ nào ảnh hưởng trực tiếp nhất đến an ninh
Biết đối của tổ chức và tài sản thông tin. thủ
• Xếp hạng các nguy cơ theo mức độ quan trọng của tài sản thông tin
bị đe dọa.
14
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
15
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
145
7/29/2023
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
Thủ tục kiểm soát nào nên được triển khai để giảm rủi ro đến
Kiểm soát
rủi ro mức độ chấp nhận rủi ro? 17
146
7/29/2023
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
147
7/29/2023
20
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
20
2.2. Vai trò của các bên có lợi ích liên quan
Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các nguy cơ gây rủi ro cho DN
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành hệ thống an toàn.
Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác cho các nhóm an toàn
thông tin và CNTT để đáp ứng nhu cầu bảo mật.
21
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
21
148
7/29/2023
2.2. Vai trò của các bên có lợi ích liên quan
Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình quản lý rủi
ro.
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
22
2.2. Vai trò của các bên có lợi ích liên quan
Các bên có lợi ích liên quan phải làm việc cùng nhau để giải quyết tất cả các mức độ rủi ro
và chịu trách nhiệm đối với việc:
• Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
• Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả về mặt chi phí
• Thực hiện hoặc thiết lập các thủ tục kiểm soát cần thiết
• Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
23
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
23
149
7/29/2023
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
25
150
7/29/2023
26
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
26
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
151
7/29/2023
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
152
7/29/2023
30
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
31
153
7/29/2023
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
Tài sản thông tin gồm tất cả các yếu tố trong hệ thống như con người, thủ
tục, dữ liệu và thông tin, phần mềm, phần cứng và các yếu tố hệ thống
mạng
33
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
33
154
7/29/2023
34
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
155
7/29/2023
•
Phân loại các tài sản thông tin
Khi mỗi tài sản thông tin được xác định, phân loại và phân nhóm, một giá trị tương đối
•
phải được gán cho nó để đảm bảo rằng các tài sản thông tin có giá trị nhất được ưu tiên
cao nhất khi quản lý rủi ro.
Tài sản thông tin nào:
• Là quan trọng nhất đối với sự thành công của tổ chức?
• Tạo ra nhiều doanh thu nhất?
• Tạo ra khả năng sinh lời cao nhất?
• Là tốn nhiều chi phí nhất để thay thế?
• Là tốn nhiều chi phí nhất để bảo vệ?
• Tạo ra nghĩa vụ tài chính lớn nhất nếu nó bị mất hoặc tổn hại?
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
156
7/29/2023
38
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
157
7/29/2023
Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
• Bước cuối cùng trong quy trình xác định rủi ro là ưu tiên hoặc xếp hạng tài sản.
• Mục tiêu này có thể đạt được bằng cách sử dụng phân tích bảng trọng số.
• Liệt kê tài sản thông tin
• Lựa chọn tiêu chí
• Chỉ định trọng số tiêu chí
• Đánh giá từng tài sản
• Tính bình quân gia quyền/trung bình cộng có trọng số
• Xếp thứ tự theo điểm
40
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
158
7/29/2023
42
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
• Các nguy cơ thực tế cần xem xét; các nguy cơ không quan trọng được đặt sang một bên.
Có thể sử dụng Bảng trọng số trong việc đánh giá các nguy cơ.
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
159
7/29/2023
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
45
160
7/29/2023
46
161
7/29/2023
• Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và dấu
hiệu về bất kỳ điểm yếu tiềm ẩn nào trong các cặp tài sản/ nguy cơ.
• Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý
rủi ro — đánh giá rủi ro
49
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
49
162
7/29/2023
163
7/29/2023
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
164
7/29/2023
• Xác suất xảy ra tấn công là một yếu tố rủi ro có trọng số dựa trên phân tích xác suất mà một
nguy cơ nhất định có khả năng khai thác một điểm yếu tiềm ẩn cụ thể (hoặc tập hợp các lỗ
hổng).
• Đối với các nguy cơ từ đối thủ, việc đánh giá xác suất xảy ra tấn công thường dựa trên:
• Ý định của đối thủ; • Khả năng của đối thủ;
• Mục tiêu của đối thủ.
• Đối với các sự kiện khác, xác suất xảy ra tấn công được ước tính bằng cách sử dụng bằng
chứng lịch sử, dữ liệu thực nghiệm hoặc các yếu tố khác (NIST SP 800-30).
54
55
165
7/29/2023
• Mức độ tổn thất từ một sự kiện đe dọa là mức độ thiệt hại có thể xảy ra do hậu quả của
việc tiết lộ thông tin trái phép, sửa đổi trái phép thông tin, phá hủy trái phép thông tin
hoặc mất thông tin hoặc tính khả dụng của hệ thống thông tin…
• Các tổ chức cần xác định:
• Quy trình được sử dụng để tiến hành xác định tổn thất;
• Các giả định liên quan đến xác định mức độ tổn thất;
• Nguồn và phương pháp thu thập thông tin về mức độ tổn thất • Cơ sở cho các kết luận
liên quan đến việc xác định mức độ tổn thất (NIST SP 800-30, r. 1).
56
166
7/29/2023
Sự không chắc chắn vốn có trong đánh giá rủi ro, do những vấn đề:
• Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
• Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ (ví dụ, đặc điểm của kẻ thù,
bao gồm chiến thuật, kỹ thuật và thủ tục)
• Các điểm yếu tiềm ẩn chưa được phát hiện trong công nghệ hoặc sản phẩm
• Sự phụ thuộc chưa được nhận biết, có thể dẫn đến các tác động không lường trước
được.
58
167
7/29/2023
168
7/29/2023
169
7/29/2023
170
7/29/2023
• Mô tả các tài sản, giá trị tương đối của tài sản, điểm yếu tiềm ẩn, ….
• Là cơ sở cho việc thực hiện bước tiếp theo trong quy trình quản lý rủi ro: kiểm soát rủi
ro.
65
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
65
171
7/29/2023
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
67
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
67
Giảm
Né tránh thiểu
Chấp Chuyển
nhận giao
68
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
68
172
7/29/2023
• Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
• Được thực hiện bằng cách chống lại các nguy cơ, loại bỏ các điểm yếu tiềm ẩn khỏi
tài sản, hạn chế quyền truy cập vào tài sản và bổ sung các biện pháp bảo vệ.
69
70
173
7/29/2023
Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn sàng chấp nhận mức độ rủi ro hiện tại.
Tổ chức đưa ra quyết định không làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp
nhận kết quả từ bất kỳ hoạt động khai thác nào.
71
72
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
72
174
7/29/2023
Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến một
tài sản thông tin bằng cách loại bỏ nó khỏi dịch vụ, Tránh các hoạt
động kinh doanh gây ra rủi ro không thể kiểm soát.
73
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
74
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
74
175
7/29/2023
5. Quản lý rủi ro
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù hợp với khẩu vị rủi ro của tổ chức,
không phải đưa rủi ro về 0.
• Quy tắc lựa chọn chiến lược đối phó rủi ro:
• Khi một điểm yếu tiềm ẩn tồn tại trong một tài sản quan trọng-Thực hiện các biện pháp kiểm
soát bảo mật để giảm khả năng xảy ra.
• Khi một điểm yếu tiềm ẩn có thể bị khai thác-Áp dụng các biện pháp kiểm soát để giảm thiểu
rủi ro hoặc ngăn chặn sự xuất hiện của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn công-Áp dụng các biện pháp bảo vệ
để tăng chi phí của kẻ tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể-Áp dụng các biện pháp bảo vệ để hạn chế phạm vi tấn công,
giảm khả năng tổn thất.
75
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
75
76
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
76
176
7/29/2023
77
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
77
78
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
78
177
7/29/2023
Đánh giá tính khả thi và phân tích lợi ích – chi phí
• Trước khi thực hiện một trong các chiến lược kiểm soát đối với một điểm yếu tiềm
ẩn cụ thể, cần khám phá tất cả các hậu quả của điểm yếu tiềm ẩn đối với tài sản
thông tin.
• Có một số cách để xác định ưu điểm/nhược điểm của một biện pháp kiểm soát cụ
thể.
• Các yếu tố ảnh hưởng đến chi phí của một biện pháp kiểm soát hoặc bảo vệ bao
gồm chi phí phát triển hoặc mua lại, phí đào tạo, chi phí triển khai, chi phí dịch vụ
và chi phí bảo trì.
• Tổ chức không nên chi nhiều hơn giá trị của tài sản để bảo vệ nó; quá trình ra
quyết định này được gọi là phân tích lợi ích chi phí (CBA) hay nghiên cứu khả thi
kinh tế.
79
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
79
80
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
80
178
7/29/2023
•
•
• Xác định chi phí của kiểm soát
•
Chi phí phát triển hoặc mua phần cứng, phần mềm và dịch vụ
•
Chi phí huấn luyện nhân sự
Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và kiểm tra phần cứng, phần
mềm và dịch vụ
Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà cung cấp Chi phí bảo
trì bao gồm chi phí nhân công để xác minh và kiểm tra liên tục, duy trì và cập
nhật
81
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
81
82
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
82
179
7/29/2023
180
7/29/2023
Nội dung
1. Giới thiệu
5. Quản lý rủi ro
85
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
85
181
7/29/2023
87
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
87
CHƯƠNG 5
LẬP KẾ HOẠCH PHẢN ỨNG SỰ CỐ VÀ
HOẠT ĐỘNG LIÊN TỤC
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
182
7/29/2023
Tình huống
Charlie lật cổ áo khoác lên để che tai. Các vòi cứu hỏa đang làm lạnh những chiếc xe dọc theo con phố nơi anh đứng
nhìn tòa nhà văn phòng của mình bốc cháy. Nhà kho và nơi nhận hàng đã bị hư hại nghiêm trọng. Anh cố gắng che giấu
sự thất thần của mình bằng cách quay sang nói chuyện với Fred Chin. Charlie nói: “Hãy nhìn vào khía cạnh tươi sáng. Ít
nhất chúng ta có thể nhận được các máy chủ mới…” Fred Chin lắc đầu “Charlie, chắc anh đang mơ. Chúng ta không có
đủ bảo hiểm để thay thế đầy đủ mọi thứ chúng ta đã mất"
Charlie choáng váng. Các văn phòng đã biến mất, tất cả các hệ thống máy tính, máy chủ và máy tính để bàn đã tan
thành tro, và anh sẽ phải cố gắng xây dựng từ đầu. Ít nhất thì anh hy vọng đã có những bản sao lưu tốt. Anh suy nghĩ
miên man, cố nhớ lại lần cuối cùng kiểm tra vị trí dự phòng
Anh tự hỏi tất cả các sơ đồ thiết kế mạng ở đâu. Anh tìm thông tin để gọi cho nhà cung cấp và nhớ ra bản sao danh sách
này để trong máy tính tại nơi làm việc nhưng nó đã bị thiêu hủy.
Anh đang tìm cách liên lạc với CIO và các thành viên đội ứng cứu.
Bỗng nhiên, hồi chuông báo thức reo to và thật may mắn, Charlie nhận ra đây chỉ là cơn ác mộng.
2
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2
• Hiểu các thành phần chính của lập kế hoạch ứng phó sự cố, phục hồi sau
thảm họa, và đảm bảo hoạt động liên tục
• Hiểu cách thức một tổ chức chuẩn bị và thực thi việc thử nghiệm (test) kế
hoạch dự phòng
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
183
7/29/2023
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
4
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
4
Thuật ngữ
Business Kế hoạch Đảm Hồ sơ/ văn bản của việc lập kế hoạch đảm bảo hoạt động liên tục. Kế hoạch
continuity bảo hoạt động này thể hiện những nỗ lực dự định của tổ chức để tiếp tục các chức năng quan
plan (BC) liên tục trọng trong tình huống việc hoạt động tại địa điểm chính (primary site) không
khả thi
Business Lập kế hoạch Các hành động do quản lý cấp cao thực hiện để phát triển và thực hiện chính
continuity đảm bảo hoạt sách, kế hoạch và các nhóm (teams) đảm bảo hoạt động lên tục
planning động liên tục
(BCP)
Business Phân tích ảnh Một cuộc điều tra và đánh giá các sự kiện bất lợi khác nhau có thể ảnh hưởng
impact hưởng kinh đến tổ chức. Nó được tiến hành như một giai đoạn sơ bộ của quá trình lập kế
analysis (BIA) doanh hoạch dự phòng, bao gồm việc xác định mức độ quan trọng của hệ thống hoặc
tập hợp các thông tin đối với các quy trình cốt lõi của tổ chức và các ưu tiên
phục hồi.
5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
5
184
7/29/2023
Thuật ngữ
Contingency Lập Kế Các hành động do quản lý cấp cao thực hiện để chỉ rõ các nỗ lực và hành động
Planning (CP) hoạch của tổ chức nếu một sự kiện bất lợi trở thành sự cố hoặc thảm họa. Việc lập kế
dự phòng hoạch này bao gồm các nỗ lực ứng phó sự cố, khắc phục thảm họa và duy trì
hoạt động kinh doanh, cũng như lập các phân tích tác động kinh doanh.
Disaster recovery Lập kế hoạch Các hành động được thực hiện bởi quản lý cấp cao để xác định những nỗ lực
planning (DRP) phục hồi sau của tổ chức trong việc chuẩn bị và phục hồi sau thảm họa.
thảm họa
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
Thuật ngữ
Incident response Ứng phó sự
(IR) cố
Incident Lập kế hoạch
Các hành động được thực hiện bởi quản lý cấp cao để phát triển và
response planning ứng phó sự cố
thực hiện chính sách, kế hoạch IR và nhóm ứng phó sự cố an toàn máy
(IRP)
tính
185
7/29/2023
Thuật ngữ
Information Quản trị an toàn Việc áp dụng các nguyên tắc quản trị công ty vào chức năng an toàn thông tin.
Security thông tin
Governance
Maximum tolerable Thời gian ngưng Tổng lượng thời gian mà chủ sở hữu hệ thống/ hoặc viên chức được ủy quyền sẵn
downtime (MTD) trệ tối đa có thể sàng chấp nhận việc gián đoạn hoặc ngưng trệ một sứ mệnh / quy trình kinh
chấp nhận được doanh, bao gồm tất cả các cân nhắc về tác động.
Operational plans Kế hoạch hoạt
động
Là Hồ sơ hoặc văn bản của việc lập kế hoạch hoạt động. Kế hoạch này mô tả các
nỗ lực hoạt động dự kiến hàng ngày của tổ chức trong vài tháng tới.
Operational planning Lập kế hoạch Các hành động mà ban lãnh đạo thực hiện nhằm xác định các mục tiêu ngắn hạn
hoạt động của tổ chức để đạt được các mục tiêu chiến thuật cụ thể, sau đó là các ước tính và
lịch trình phân bổ các nguồn lực cần thiết để đạt được các mục tiêu này
Thuật ngữ
Recovery point Mốc phục hồi Thời điểm trước khi hệ thống bị gián đoạn hoặc ngừng hoạt động mà dữ
objective (RPO) dữ liệu liệu của sứ mệnh / quy trình kinh doanh có thể được khôi phục sau khi
ngừng hoạt động (được cung cấp bản sao lưu dữ liệu gần đây nhất).
Recovery time Mốc thời gian Khoảng thời gian tối đa mà tài nguyên hệ thống có thể không có sẵn
objective (RTO) phục hồi trước khi có tác động không thể chấp nhận được đối với các tài nguyên
hệ thống khác hỗ trợ nhiệm vụ / quy trình kinh doanh và MTD
Work recovery Thời gian Số lượng nỗ lực (được biểu thị bằng thời gian đã trôi qua) cần thiết để
time (WRT) phục hồi hoạt làm cho chức năng kinh doanh hoạt động sau khi yếu tố công nghệ được
động khôi phục (như được xác định với RTO). Các nhiệm vụ bao gồm kiểm tra
và xác nhận hệ thống.
9
186
7/29/2023
Thuật ngữ
Hot site Địa điểm sử Địa điểm dự phòng có Cơ sở hạ tầng bao gồm tất cả dịch vụ máy tính,
dụng ngay lập mạng kết nối truyền thông và vị trí làm việc vật lý
tức
Warm site Địa điểm Địa điểm dự phòng có Cơ sở hạ tầng bao gồm nhiều dịch vụ giống Hot
sử site nhưng không bao gồm các phần mềm ứng dụng và các máy trạm làm
dụng ngay việc (workstation)
Cold site Địa điểm chờ Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần cứng
máy tính hoặc thiết bị ngoại vi nào được cung cấp. Có sẵn các đường
truyền thông
10
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
187
7/29/2023
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
13
188
7/29/2023
2.3. Quy trình CP tổng thể tích hợp các quy trình của BIA, IRP và DRP
14
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
15
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
189
7/29/2023
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
190
7/29/2023
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
2.3. Quy trình CP tổng thể tích hợp các quy trình của BIA, IRP và DRP
• Dựa trên 7 bước đề xuất của NIST, Quy trình CP tổng thể tích hợp các quy
trình của BIA, IRP và DRP được mở rộng thành 12 bước
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
191
7/29/2023
20
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
20
21
192
7/29/2023
2.3. Quy trình CP tổng thể tích hợp các quy trình của BIA, IRP và DRP
7. Xác định các kiểm soát ngăn ngừa.
8. Tổ chức các đội phản ứng cấp dưới: Xác
địnhcác kỹ năng và nhân sự cần thiết cho mỗi
nhóm phản ứng cấp dưới (IR/DR/BC) và xác
định nhân sự cần thiết. Họ sẽ thực hiện trực tiếp
một kế hoạch cụ thể nếu được kích hoạt.
9. Tạo chiến lược dự phòng: dựa vào đóng gópcủa
các trưởng nhóm cấp dưới, CPMT sẽ đánh giá
và đầu tư vào các chiến lược IR, DR và BC: các
kế hoạch sao lưu và phục hồi dữ liệu, lưu trữ dữ
liệu off-site và các chiến lược sử dụng các địa
điểm (site) thay thế
22
2.3. Quy trình CP tổng thể tích hợp các quy trình của BIA, IRP và DRP
10. Xây dựng kế hoạch CP ở cấp dưới: Đối với mỗi khu
vực trực thuộc, phát triển một kế hoạch để xử lý các
hành động và hoạt động tương ứng cần thiết để (a)
ứng phó với sự cố, (b) phục hồi sau thảm họa và (c)
thiết lập hoạt động tại một vị trí thay thế sau một sự
kiện gián đoạn
11. Đảm bảo kế hoạch kiểm tra, huấn luyện và tập
luyện: Đảm bảo mỗi kế hoạch cấp dưới được kiểm
tra và các nhân viên tương ứng được huấn luyện để
xử lý bất kỳ trường hợp nào leo thang thành sự cố
hoặc thảm họa
12. Đảm bảo duy trì kế hoạch: Quản lý kế hoạch, đảm
bảo xem xét, đánh giá và cập nhật định kỳ
23
193
7/29/2023
24
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
24
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
25
194
7/29/2023
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
26
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
26
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
195
7/29/2023
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
196
7/29/2023
30
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
31
197
7/29/2023
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
33
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
33
198
7/29/2023
34
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
199
7/29/2023
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
200
7/29/2023
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
39
201
7/29/2023
40
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
202
7/29/2023
• Giai đoạn cuối cùng của BIA là ưu tiên các tài nguyên liên quan đến nhiệm vụ/quy trình kinh
doanh, giúp hiểu rõ hơn về những gì phải được khôi phục trước, ngay cả trong các quy trình
quan trọng nhất.
• Với thông tin có được từ các bước trước đó, tổ chức có thể tạo các bảng phân tích có trọng số về
các tài nguyên cần thiết để hỗ trợ các quy trình cụ thể.
• Ngoài các bảng có trọng số, có thể sử dụng một thang đánh giá và phân loại đơn giản, VD:
Primary/Secondary/Tertiary, hoặc Critial/Veryimportant/Important/Routine, để cung cấp phương
pháp đánh giá nguồn lực hỗ trợ nhanh hơn.
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
203
7/29/2023
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
44
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
44
5. Ứng phó sự cố
• 5.1. Các khái niệm và giới thiệu ứng phó sự cố
• 5.2. Chính sách ứng phó sự cố
• 5.3. Lập kế hoạch ứng phó sự cố
• 5.4. Phát hiện sự cố
• 5.5. Hành động ứng phó sự cố
• 5.6. Khôi phục sau sự cố
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
45
204
7/29/2023
47
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
47
205
7/29/2023
48
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
48
206
7/29/2023
Viện Tiêu Chuẩn Và Công Nghệ Quốc Gia (Mỹ) - NIST phát triển
Khuôn Mẫu An Ninh Mạng – CSF (NIST CyberSecurity
Framwork), tập trung trong việc bảo vệ cơ sở hạ tầng an ninh
mạng, hỗ trợ cho phương pháp luận phản ứng sự cố
50
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
50
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
207
7/29/2023
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
208
7/29/2023
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
209
7/29/2023
56
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
56
57
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
57
210
7/29/2023
58
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
58
59
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
59
211
7/29/2023
60
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
60
61
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
61
212
7/29/2023
62
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
62
63
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
63
213
7/29/2023
64
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
64
65
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
65
214
7/29/2023
67
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
67
215
7/29/2023
68
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
68
69
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
69
216
7/29/2023
70
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
70
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
71
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
71
217
7/29/2023
• Sự khác biệt giữa một sự cố và một thảm họa có thể rất nhỏ; nhóm lập kế hoạch dự phòng phải
phân biệt được cả hai, điều này có thể không thực hiện được cho đến khi một cuộc tấn công xảy
ra.
• Thông thường, một sự kiện ban đầu được phân loại là một sự cố sau đó có thể được xác định là
một thảm họa. Khi điều này xảy ra, tổ chức phải thay đổi phản ứng và đảm bảo bảo toàn giá trị
các tài sản có giá trị nhất của mình trong dài hạn Lập kế hoạch phục hồi sau thảm họa (Disaster
Recovery Planning DRP)
72
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
72
73
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
73
218
7/29/2023
75
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
75
219
7/29/2023
76
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
76
220
7/29/2023
78
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
78
79
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
79
221
7/29/2023
• Thảm họa khởi phát chậm (Slow-onset disasters). Thảm họa xảy ra theo thời gian và làm suy giảm dần dần khả
năng của một tổ chức để chống lại các tác động của thảm họa. Vd nguyên nhân thiên nhiên như hạn hán, đói
kém dần ảnh hưởng chết đói; dại dịch Covid 19 xẩy ra trong năm 2020 bởi vì quá trình dịch và hậu quả được
truyền thông toàn cầu theo dõi
• Việc phân loại thảm họa được thực hiện bởi quản lý IT cấp cao hoặc quản lý an toàn thông tin
làm việc gần với CSMT hoặc lãnh đạo của đội lập kế hoạch khắc phục thảm họa
80
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
80
• Thông tin chi tiết về vai trò và trách nhiệm của những người tham gia, xác định những nhân sự và cơ
quan phải được thông báo.
• Được kiểm tra bằng các cơ chế kiểm tra giống như kế hoạch IR.
81
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
81
222
7/29/2023
• Quy trình lập hồ sơ tài liệu về thảm họa. Dựa vào tài liệu của sự cố (tài liệu sự cố cần ghi chép từ khi
nó khởi phát) để xác định khi nào và tại sao xẩy ra thảm họa
• Các bước hành động để giảm thiểu tác động của thảm họa với tổ chức
• Các triển khai các lựa chọn thay thế cho các thành phần hệ thống khác nhau; Đảm bảo các thành phần
chính của hệ thống sẵn sàng
82
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
82
• Nếu cơ sở hạ tầng vật lý bị phá hủy Cần kế hoạch dự phòng khác cho đến khi cơ sở hạ tầng mới
được láp đặt.
• Nếu thảm họa đe dọa họa động kinh doanh Chuyển quy trình thực hiện kế hoạch đảm bảo hoạt động
kinh doanh liên tục
83
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
83
223
7/29/2023
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
84
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
84
85
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
85
224
7/29/2023
• Nhiều doanh nghiệp kết hợp BC plan và DR plan trong một chức năng gọi là Lập kế hoạch
tái tục hoạt động kinh doanh (business resumption planning - BRP). BRP là những hoạt
động được thực hiện bởi những nhà quản lý cấp cao để phát triển và thực hiện một chính
sách, kế hoạch kết hợp DR và BC; và xây dựng những đội khôi phục DR và BC
86
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
86
87
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
87
225
7/29/2023
88
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
88
• Cold site
226
7/29/2023
• Nhu cầu cung cấp thiết bị và dữ liệu của cơ sở với tất cả các tổ chức liên quan, các cuộc đàm phán để sắp xếp chia
sẻ thời gian và các thỏa thuận bổ sung nếu một hoặc nhiều bên quyết định hủy bỏ thỏa thuận hoặc cho thuê lại các
tùy chọn của nó.
• Chia sẻ thời gian giống như đồng ý thuê một căn hộ với một nhóm bạn, các tổ chức tham gia cần duy trì các điều
khoản hòa nhã vì họ sẽ có quyền truy cập thực tế vào dữ liệu của nhau
90
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
90
• Các hợp đồng có thể được tạo một cách cẩn thận với các văn phòng dịch vụ để chỉ định chính xác
những gì tổ chức cần mà không cần phải đặt trước các phương tiện chuyên dụng.
• Thỏa thuận dịch vụ thường đảm bảo không gian khi cần thiết, ngay cả khi văn phòng dịch vụ phải có
thêm không gian trong trường hợp có thảm họa lan rộng.
• Tùy chọn này giống như điều khoản cho thuê xe trong hợp đồng bảo hiểm xe hơi của bạn.
Điểm bất lợi là văn phòng là một loại dịch vụ và phải được thương lượng lại theo định kỳ.
Ngoài ra, sử dụng một văn phòng dịch vụ có thể khá tốn kém chi phí của tổ chức
91
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
91
227
7/29/2023
• Kiểu sắp xếp này giống như chuyển đến ở với người thân hoặc bạn bè: không mất nhiều thời gian để
bạn có thể nhận được sự chào đón của bạn bè. Vấn đề với cách tiếp cận này là nhiều tổ chức chùn bước
trước ý tưởng phải tài trợ các dịch vụ và tài nguyên trùng lặp cho các bên khác, ngay cả trong ngắn hạn.
• Sự sắp xếp là lý tưởng nếu các thỏa thuận chung được tiến hành giữa các bộ phận của cùng một công ty
mẹ, giữa các tổ chức cấp dưới và cấp trên, hoặc giữa các đối tác kinh doanh lâu dài có thể là một giải
pháp hiệu quả về chi phí
92
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
92
• Điện toán trên đám mây. Sử dụng làm nơi truy cập dữ liệu để có thể làm việc tạm thời
93
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
93
228
7/29/2023
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
94
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
94
95
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
95
229
7/29/2023
96
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
96
97
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
97
230
7/29/2023
98
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
98
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
99
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
99
231
7/29/2023
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
Incident Response and Disaster Recovery
100
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
100
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng Disaster
101
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
101
232
7/29/2023
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng Contingency
102
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
102
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
103
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
103
233
7/29/2023
104
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
104
105
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
105
234
7/29/2023
Summary
∙
Lập kế hoạch cho các sự kiện bất ngờ thường là trách nhiệm của cả 3 nhóm quản lý
∙ (quản lý chung, quản lý IT và quản lý InforSec)
Để một kế hoạch được tất cả các thành viên của tổ chức coi là hợp lệ, kế hoạch đó phải
∙ được chấp nhận và hỗ trợ tích cực bởi nhóm quản lý chung
Một số tổ chức được pháp luật hoặc cơ quan có thẩm quyền khác yêu cầu phải luôn
có các thủ tục lập kế hoạch dự phòng, nhưng tất cả các tổ chức kinh doanh nên
∙ chuẩn bị cho những tình huống bất ngờ.
Lập kế hoạch dự phòng (CP) là quy trình mà nhóm quản lý IT, nhóm quản lý
InforSec định vị tổ chức của họ để chuẩn bị, phát hiện, phản ứng và phục hồi sau
các sự kiện đe dọa đến an toàn của nguồn lực và tài sản thông tin
106
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
106
Summary
∙
CP bao gồm bốn thành phần chính: (1) BIA phân tích tác động kinh doanh: là
quy trình thu thập dữ liệu và lập tài liệu; (2) kế hoạch ứng phó sự cố (IR), (3) kế
∙ hoạch phục hồi sau thảm họa (DR), và (4) kế hoạch kinh doanh liên tục (BC).
Các tổ chức có thể tạo và phát triển ba yếu tố lập kế hoạch của quy trình CP (kế
hoạch IR, DR và BC) dưới dạng một kế hoạch thống nhất hoặc có thể tạo ba yếu
tố riêng biệt kết hợp với một tập hợp các quy trình lồng vào nhau để đảm bảo
tính liên tục.
107
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
107
235
7/29/2023
Summary
∙
Để đảm bảo tính liên tục trong quá trình tạo các thành phần CP, quy trình CP
bảy bước được sử dụng (quy trình của NIST) :
1. Xây dựng tuyên bố về chính sách lập kế hoạch dự phòng.
2. Tiến hành BIA.
3. Xác định các biện pháp kiểm soát phòng ngừa.
4. Tạo chiến lược dự phòng.
5. Xây dựng kế hoạch dự phòng.
6. Đảm bảo kế hoạch kiểm tra, huấn luyện, diễn tập.
7. Đảm bảo duy trì kế hoạch.
108
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
108
Summary
∙
Bốn nhóm cá nhân tham gia lập kế hoạch dự phòng và các hoạt động dự phòng:
đội CP, đội đội IR, đội DR và đội BC. Đội IR đảm bảo CSIRT được thành lập.
∙ Kế hoạch IR là một tập hợp chi tiết các quy trình và thủ tục lập kế hoạch, phát hiện
và giải quyết các tác động của một sự kiện không mong muốn đối với tài nguyên
và tài sản thông tin.
∙ Đối với mọi tình huống được xác định, đội CP tạo ba bộ quy trình: trước, trong và sau
sự cố để phát hiện, ngăn chặn và giải quyết sự cố.
∙ Phân loại sự cố là quy trình mà đội IR kiểm tra một sự kiện bất lợi và xác định xem nó
có phải là một sự cố thực sự hay không.
∙ Ba loại chỉ báo sự cố được sử dụng: có thể, khả năng cao xảy ra và xác định.
109
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
109
236
7/29/2023
Summary
•
Một sự cố thực sự đang diễn ra có bất kỳ điều nào sau: mất tính khả dụng
của thông tin, mất tính toàn vẹn của thông tin, mất tính bảo mật của thông
• tin, vi phạm chính sách hoặc vi phạm pháp luật.
Lập kế hoạch DR bao gồm việc chuẩn bị để xử lý và khắc phục thảm họa, cho
• dù là do thiên tai hay do con người gây ra.
Lập kế hoạch kinh doanh liên tục (BCP) đảm bảo rằng các chức năng
kinh doanh quan trọng vẫn tiếp tục nếu xảy ra sự cố hoặc thảm họa
nghiêm trọng. Các kế hoạch của BC có thể bao gồm các lựa chọn cho các
địa điểm sử dụng lập tức (hot site), địa điểm sử dụng ngay (warm site) và
địa điểm chờ (cold site); chia sẻ thời gian, thuê dịch vụ và các thỏa thuận
chung.
110
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
110
Summary
•
Do các kế hoạch phục hồi sau thảm họa (DR) và kinh doanh liên tục (BC)
có liên quan chặt chẽ với nhau nên hầu hết các tổ chức chuẩn bị cả hai kế
hoạch này cùng một lúc và có thể kết hợp chúng thành một tài liệu lập kế
• hoạch duy nhất được gọi là kế hoạch tái tục kinh doanh (business
resumption)- BR plan
Kế hoạch DR nên bao gồm quản lý khủng hoảng, các bước hành động được
thực hiện trong và sau thảm họa. Trong một số trường hợp, việc bảo vệ tính
• mạng con người và hình ảnh của tổ chức là những ưu tiên cao
Tất cả các kế hoạch phải được kiểm tra để xác định các lỗ hổng, lỗi và các
quy trình không hiệu quả. Một số chiến lược thử nghiệm có thể được sử
dụng để thử nghiệm các kế hoạch dự phòng: kiểm tra tại bàn; kiểm tra theo
cấu trúc; mô phỏng và gián đoạn hoàn toàn.
111
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
111
237
7/29/2023
112
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
112
238