Chương 2 Nhu Cầu Của Tổ Chức Đối Với An Toàn Thông Tin

7/29/2023
CHƯƠNG 2
NHU CẦU CỦA TỔ CHỨC

ĐỐI VỚI AN TOÀN THÔNG TIN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
Tình huống
• 29.03.2019, công ty Ô tô Toyota VN đã lên tiếng xác nhận thông tin bị
tin tặc tấn công mạng. Tuy nhiên, Toyota chưa có bằng chứng cụ thể.
• Toyota VN đang đối mặt nguy cơ gì?

• An toàn thông tin có vai trò như thế nào đối với tổ chức?
2
1
7/29/2023
Mục tiêu chương

1. Thảo luận về nhu cầu của tổ chức đối với an toàn thông tin
2. Liệt kê và mô tả các nguy cơ đối với an toàn thông tin
3. Liệt kê và mô tả một số cuộc tấn công phổ biến liên quan đếncác nguy
cơ
3
3
2
7/29/2023
Nội dung
1. Nhu cầu của tổ chức đối với an toàn thông tin
2. Các loại nguy cơ và cuộc tấn công đối với an toàn thông tin
4
4
Thuật ngữ
Advance-fee fraud Gian lận phí ứng trước
Phần mềm độc hại nhằm mục đích quảng cáo không mong
Adware
muốn
Attack Tấn công
Availability disruption Gián đoạn tính khả dụng
Blackout Thời gian mất điện
Tình huống khi lượng điện cung cấp ở một khu vực ít hơn
Brownout bình thường
Brute force password attack Tấn công mật khẩu brute force
Competitive intelligence Trí tuệ cạnh tranh

Cracker Người bẻ khóa
Cracking Việc bẻ khóa
Cyberactivist Tin tặc với mục đích chính trị
5
3
7/29/2023
Thuật ngữ
Cyberterrorist Khủng bố mạng
Cyberwarfare Chiến tranh mạng
Data security An toàn dữ liệu
Database security An toàn cơ sở dữ liệu
Denial-of-service (dos) attack Tấn công từ chối dịch vụ
Dictionary password attack Tấn công từ điển
Distributed denial-of-service (ddos)
Tấn công từ chối dịch vụ đã được phân tác attack
Downtime Thời gian chết
Expert/professional hacker Tin tặc chuyên nghiệp
Exploit Khai thác
Fault Lỗi
Hacktivist Tin tặc với mục đích chính trị
6
6
Thuật ngữ
Industrial espionage Gián điệp công nghiệp
Information extortion Cưỡng đoạt thông tin
Intellectual property (IP) Tài sản trí tuệ
Jailbreaking Bẻ khóa
Mail bomb Bom thư
Maintenance hook Móc bảo trì
Malicious code Mã độc
Malicious software Phần mềm độc hại
Memory-resident virus Virus thường trú trong bộ nhớ
Non-memory-resident virus Virus không cư trú trong bộ nhớ
Novice hacker Tin tặc mới
Phishing Lừa đảo
4
7/29/2023
7
7
Thuật ngữ
Phreaker Người tấn công hệ thống điện thoại công cộng
Polymorphic threat Nguy cơ đa hình
Pretexting In sẵn
Rainbow table Bảng cầu vồng
Ransomware Phần mềm máy tính được thiết kế đặc biệt để xác định và mã hóa
thông tin có giá trị trong hệ thống của nạn nhân nhằm tống tiền cho khóa
cần thiết để mở khóa mã hóa
Script hiddie Tin tặc có kỹ năng hạn chế
Service level agreement (SLA) Thỏa thuận mức dịch vụ
Software piracy Ăn cắp bản quyền phần mềm
Spam Thư rác
Spyware Phần mềm gián điệp
Uptime
Thời gian (hệ thống, máy tính) hoạt động (mà không có bất kỳ vấn đề)
Virus hoax Trò lừa bịp (virus)
Vulnerability Lỗ hổng/ điểm yếu của hệ thống
Worm Sâu
8
8
5
7/29/2023

• Nhiệm vụ chính của chương trình an toàn thông tin là đảm bảo tài sản thông tin (thông tin và
hệ thống chứa thông tin) luôn an toàn và hữu ích.
• Nếu các nguy cơ không tồn tại, các nguồn lực có thể được sử dụng riêng để cải thiện các hệ
thống (lưu trữ, sử dụng và truyền thông tin).
• Nguy cơ tấn công vào hệ thống thông tin là thường trực.
• Các doanh nghiệp phải hiểu rõ môi trường (chứa tài sản thông tin) để các chương trình an
toàn thông tin có thể giải quyết các vấn đề thực tế và tiềm ẩn.
9
9

• Chương trình an toàn thông tin thực hiện 04 chức năng quan trọng đối với tổ chức,
bao gồm:
• Bảo vệ chức năng hoạt động của hệ thống
• Bảo vệ dữ liệu và thông tin mà tổ chức thu thập, sử dụng
• Cho phép vận hành an toàn các ứng dụng chạy trên hệ thống CNTT của tổ chức
• Bảo vệ tài sản công nghệ của tổ chức
• Cần lưu ý nhu cầu kinh doanh là ưu tiên hàng đầu
10
6
7/29/2023
10

1.1. Bảo vệ chức năng hoạt động của hệ thống
1.2. Bảo vệ dữ liệu và thông tin mà tổ chức thu thập, sử dụng
1.3. Cho phép vận hành an toàn các ứng dụng trên hệ thống CNTT của tổ chức 1.4. Bảo vệ
tài sản công nghệ của tổ chức
11
11
7
7/29/2023
1.1. Bảo vệ chức năng hoạt động của hệ thống

• Ban quản lý chung, ban quản lý CNTT, ban quản lý an toàn thông tin có trách nhiệm
triển khai chương trình an toàn thông tin để bảo vệ các tính năng hoạt động của hệ
thống không bị nguy hại.
• An toàn thông tin liên quan đến vấn đề quản trị và con người hơn là vấn đề kỹ thuật
• Để hỗ trợ Ban giám đốc trong việc xác định nhu cầu của tổ chức đối với vấn đề an
toàn thông tin, ban quản lý chung, ban quản lý CNTT, và ban quản lý an toàn thông
tin thảo luận về mức độ ảnh hưởng của an toàn thông tin đối với tổ chức cũng như
chi phí gián đoạn kinh doanh, bên cạnh việc xem xét các vấn đề thuần túy kỹ thuật
12
12
1.2. Bảo vệ dữ liệu và thông tin

• Một trong những tài sản giá trị nhất là dữ liệu. Nếu không có dữ liệu, một tổ
chức sẽ thất bại trong việc ghi nhận các nghiệp vụ và/ hoặc mất khả năng tạo
ra giá trị cho khách hàng  Do đó, an toàn dữ liệu – bảo vệ dữ liệu trong trạng
thái truyền, xử lý và lưu trữ - là khía cạnh quan trọng của an toàn thông tin
• Một chương trình an toàn thông tin hiệu quả là điều cần thiết để bảo vệ tính
toàn vẹn và giá trị của dữ liệu
• An toàn CSDL là quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả
dụng của dữ liệu được quản lý bởi hệ quản trị CSDL
13
8
7/29/2023
13
1.2. Bảo vệ dữ liệu và thông tin

• An toàn CSDL được thực hiện bằng các kiểm soát quản lý, kỹ thuật, và vật lý
– Kiểm soát quản lý bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp
– Kiểm soát kỹ thuật dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo mật ứng
dụng, sao lưu, phục hồi, mã hóa và kiểm soát tính toàn vẹn
– Kiểm soát vật lý gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống phòng
cháy chữa cháy, giám sát bằng video, và nhân viên bảo vệ.
14
14
9
7/29/2023
1.3. Cho phép vận hành an toàn các ứng dụng trên hệ
thống CNTT của tổ chức
• Một tổ chức phải tạo ra các ứng dụng tích hợp, hiệu quả và hữu hiệu.
• Tổ chức cần tạo ra môi trường bảo vệ các ứng dụng, đặc biệt là các ứng dụng quan
trọng với cơ sở hạ tầng của tổ chức như nền tảng hệ điều hành, một số ứng dụng
hoạt động nhất định, thư điện tử… bằng cách thuê các nhà cung cấp ứng dụng này
thực hiện hoặc tự mình thực hiện.
• Ban quản lý phải tiếp tục giám sát cơ sở hạ tầng công nghệ, không giao quyền quản
lý cho bộ phận CNTT.
15
15
1.4. Bảo vệ tài sản công nghệ của tổ chức

• Tùy thuộc vào quy mô và phạm vi doanh nghiệp, các tổ chức phải sử dụng phần
cứng cơ sở hạ tầng an toàn phù hợp
• Các tổ chức có thể cần các giải pháp công nghệ mạnh mẽ hơn để thay thế các công
nghệ an toàn đã quá lỗi thời
• CNTT tiếp tục bổ sung khả năng và phương pháp mới cho phép các tổ chức giải
quyết các thách thức quản lý thông tin, tuy nhiên nó cũng mang lại nhiều rủi ro mới
cho thông tin của tổ chức, những lo ngại tăng thêm về cách những tài sản này có thể
bị đe dọa và cách chúng phải được bảo vệ
16
10
7/29/2023
16
2. Nguy cơ và tấn công

2.1. Định nghĩa nguy cơ và tấn công
2.2. Các loại nguy cơ và các cuộc tấn công đối với an toàn thông tin
17
17
11
7/29/2023

• Để bảo vệ thông tin, tổ chức cần:
• Hiểu rõ bản thân: nhận biết thông tin cần được bảo vệ và hiểu rõ hệ thống lưu trữ,
truyền tải, và xử lý
• Biết các nguy cơ mà tổ chức có thể đối mặt: Để ra quyết định về an toàn thông
tin, ban quản lý phải được thông báo về các nguy cơ khác nhau đối với con người,
thiết bị, dữ liệu và hệ thống thông tin của tổ chức.
18
18

Trong đó:
• Nguy cơ thể hiện rủi ro tiềm tàng đối với tài sản thông tin
• Cuộc tấn công thể hiện một hành động cố ý hoặc vô ý có thể làm hỏng hoặc gây tổn hại
đến thông tin và các hệ thống hỗ trợ thông tin đó
• Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông tin/tài sản vật chất của tổ chức
bằng cách sử dụng các hành vi tận dụng lỗ hỗng bảo mật (yếu kém của hệ thống) nơi mà
các thủ tục kiểm soát không hiện hữu hoặc không còn hiệu quả
19
12
7/29/2023
19

• Nguy cơ luôn hiện hữu trong khi cuộc tấn công chỉ tồn tại khi một hành
động cụ thể có thể gây ra tổn thất.
• Nhìn chung, vấn đề an toàn thông tin đang được cải thiện, nhưng số lượng
tin tặc tiềm năng ngày càng nhiều.
20
20
13
7/29/2023
World Internet Usage

World Regions Population (2020 Population % Internet Users Penetration Rate Growth 2000– Internet
Est.) of World (6/30/2020) (% Pop.) 2020 World %
Africa 1,340,598,447 17.2% 566,138,772 42.2% 12,441% 11.7%
Asia 4,294,516,659 55.1% 2,525,033,874 58.8% 2,109% 52.2%
Europe 834,995,197 10.7% 727,848,547 87.2% 592% 15.1%
Latin America/ 654,287,232 8.4% 467,817,332 71.5% 2,489% 9.7%

Caribbean
Middle East 260,991,690 3.3% 184,856,813 70.8% 5,527% 3.8%
North America 368,869,647 4.7% 332,908,868 90.3% 208% 6.9%
Oceania/ Australia 42,690,838 0.5% 28,917,600 67.7% 279% 0.6%
WORLD TOTAL 7,796,949,710 100.0% 4,833,521,806 62.0% 1,239% 2121

21
21
Rated Threats from Internal Sources in 2015 SEC/CISE Survey

of Threats to Information Protection (1 of 2)
From Employees or Internal Stakeholders Not a 2 3 4 A Severe Comp.
Threat Threat Rank
1 5
Inability/unwillingness to follow established 6.6% 17.2% 33.6% 26.2% 16.4% 66%

policy
Disclosure due to insufficient training 8.1% 23.6% 29.3% 25.2% 13.8% 63%
Unauthorized access or escalation of privileges 4.8% 24.0% 31.2% 31.2% 8.8% 63%
Unauthorized information collection/data sniffing 6.4% 26.4% 40.0% 17.6% 9.6% 60%
Theft of on-site organizational information assets 10.6% 32.5% 34.1% 12.2% 10.6% 56%
Theft of mobile/laptop/tablet and related/ 15.4% 29.3% 28.5% 17.9% 8.9% 55%
connected information assets
22
14
7/29/2023
22
Rated Threats from Internal Sources in 2015 SEC/CISE Survey of

Threats to Information Protection (2 of 2)
From Employees or Internal Stakeholders Not a 2 3 4 A Severe Comp.
Threat Threat Rank
1 5
Intentional damage or destruction of 22.3% 43.0% 18.2% 13.2% 3.3% 46%

information assets
Theft or misuse of organizationally leased, 29.6% 33.6% 21.6% 10.4% 4.8% 45%
purchased, or developed software
Web site defacement 43.4% 33.6% 16.4% 4.9% 1.6% 38%
Blackmail of information release or sales 43.5% 37.1% 10.5% 6.5% 2.4% 37%
23
23
15
7/29/2023
Rated Threats from External Sources in 2015 SEC/CISE Survey

of Threats to Information Protection (1 of 2)
From Outsiders or External Stakeholders Not a 2 3 4 A Severe Comp.
Threat Threat Rank
1 5
Unauthorized information collection/data sniffing 6.4% 14.4% 21.6% 32.8% 24.8% 71%
Unauthorized access or escalation of privileges 7.4% 14.0% 26.4% 31.4% 20.7% 69%
Web site defacement 8.9% 23.6% 22.8% 26.8% 17.9% 64%
Intentional damage or destruction of information assets 14.0% 32.2% 18.2% 24.8% 10.7% 57%
Theft of mobile/laptop/tablet and related/ connected 20.5% 25.4% 26.2% 15.6% 12.3% 55%
information assets
Theft of on-site organizational information 21.1% 24.4% 25.2% 17.9% 11.4% 55%
assets
24
24
Rated Threats from External Sources in 2015 SEC/CISE Survey of

Threats to Information Protection (2 of 2)
From Outsiders or External Stakeholders Not a 2 3 4 A Severe Comp.
Threat Threat Rank
1 5
Blackmail of information release or sales 31.1% 30.3% 14.8% 14.8% 9.0% 48%
Disclosure due to insufficient training 34.5% 21.8% 22.7% 13.4% 7.6% 48%
Inability/unwillingness to follow 33.6% 29.4% 18.5% 6.7% 11.8% 47%

established policy
Theft or misuse of organizationally leased, 31.7% 30.1% 22.8% 9.8% 5.7% 46%
purchased, or developed software
25
16
7/29/2023
25
Perceived Threats to Information Assets in 2015 SEC/

CISE Survey of Threats to Information Protection (1 of 5)
General Threats to Information Assets Not a 2 3 4 A Severe Comp.
Threat Threat Rank
1 5
Electronic phishing/spoofing attacks 0.8% 13.1% 16.4% 32.0% 37.7% 79%
Malware attacks 1.7% 12.4% 27.3% 36.4% 22.3% 73%
Unintentional employee/insider mistakes 2.4% 17.1% 26.8% 35.8% 17.9% 70%
Loss of trust due to information loss 4.1% 18.9% 27.0% 22.1% 27.9% 70%
Software failures or errors due to unknown 5.6% 18.5% 28.2% 33.9% 13.7% 66%
vulnerabilities in externally acquired software
Social engineering of employees/insiders 8.1% 14.6% 32.5% 34.1% 10.6% 65%
based on social media information
based on other published information
26
26
17
7/29/2023

Threat Threat Rank
1 5
Software failures or errors due to poorly developed, 7.2% 21.6% 24.0% 32.0% 15.2% 65%
internally created applications
SQL injections 7.6% 17.6% 31.9% 29.4% 13.4% 65%

based on organization's Web sites
Denial of service (and distributed DoS) attacks 8.2% 23.0% 27.9% 32.8% 8.2% 62%
Software failures or errors due to known vulnerabilities 8.9% 23.6% 26.8% 35.8% 4.9% 61%
in externally acquired software
Outdated organizational software 8.1% 28.2% 26.6% 26.6% 10.5% 61%

27
27

Threat Threat Rank
1 5
Loss of trust due to representation as source of 9.8% 23.8% 30.3% 23.0% 13.1% 61%
phishing/spoofing attack
Loss of trust due to Web defacement 12.4% 30.6% 31.4% 19.8% 5.8% 55%
Outdated organizational hardware 17.2% 34.4% 32.8% 12.3% 3.3% 50%
Outdated organization data format 18.7% 35.8% 26.8% 13.8% 4.9% 50%
Inability/unwillingness to establish effective policy 30.4% 26.4% 24.0% 13.6% 5.6% 48%
by management
Hardware failures or errors due to aging equipment 19.5% 39.8% 24.4% 14.6% 1.6% 48%
28
18
7/29/2023
28

Threat Threat Rank
1 5
Hardware failures or errors due to defective 17.9% 48.0% 24.4% 8.1% 1.6% 46%
equipment
Deviations in quality of service from other provider 25.2% 38.7% 25.2% 7.6% 3.4% 45%
Deviations in quality of service from data 26.4% 39.7% 23.1% 7.4% 3.3% 44%
communications provider/ISP
Deviations in quality of service from 29.9% 38.5% 18.8% 9.4% 3.4% 44%
telecommunications provider/ISP (if different from
data provider)
Loss due to other natural disaster 31.0% 37.9% 23.3% 6.9% 0.9% 42%
29
29
19
7/29/2023

Threat Threat Rank
1 5
Loss due to fire 26.2% 49.2% 21.3% 3.3% 0.0% 40%
Deviations in quality of service from power 36.1% 43.4% 12.3% 5.7% 2.5% 39%
provider
Loss due to flood 33.9% 43.8% 19.8% 1.7% 0.8% 38%
Loss due to earthquake 41.7% 35.8% 15.0% 6.7% 0.8% 38%
30
30
2.2. Các loại nguy cơ và tấn công đối với ATTT

• Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ khác nhau (trong danh mục 12 nguy cơ) tùy
thuộc tình hình an ninh cụ thể, chiến lược của tổ chức phụ thuộc vào rủi ro và mức độ yếu
kém đối với tài sản thông tin của tổ chức.
• Tấn công có thể liên quan đến nhiều nguy cơ. Ví dụ: hành vi chiu cắp do tin tặc thực hiện
thuộc nguy cơ “trộm”, nhưng cũng có thể thuộc nguy cơ “gián điệp hoặc xâm nhập trái
phép” khi tin tặc truy cập bất hợp pháp vào thông tin
31
20
7/29/2023
31
12 loại nguy cơ đối với ATTT và ví dụ các cuộc tấn công tương ứng
STT Các loại nguy cơ Ví dụ về cuộc tấn công
1. Xâm phạm tài sản trí tuệ Ăn cắp bản quyền, vi phạm bản quyền
2. Sai lệch về chất lượng dịch vụ bởi Các vấn đề liên quan nhà cung cấp dịch vụ
người cung cấp dịch vụ Internet (ISP), năng lượng và dịch vụ mạng
WAN
3. Gián điệp hoặc xâm nhập trái phép Truy cập trái phép hoặc/ và thu thập dữ liệu trái
phép
4. Những tác động từ thiên nhiên Cháy nổ, lũ lụt, động đất, sấm sét
5. Lỗi con người / sai sót Tai nạn, lỗi nhân viên
6. Cưỡng đoạt thông tin Tống tiền, tiết lộ thông tin
32
32
12 loại nguy cơ đối với ATTT và ví dụ các cuộc tấn công tương ứng
STT Các loại nguy cơ Ví dụ về cuộc tấn công
7. Phá hoại Huỷ hoại hệ thống hoặc thông tin
8. Tấn công có chủ đích bằng phần mềm Viruses, worms, macros, từ chối dịch vụ
9. Lỗi phần cứng Lỗi thiết bị

10. Lỗi phần mềm Bugs, các vấn đề về mã, lổ hỗng bảo mật chưa
được xác định
11. Công nghệ lạc hậu Công nghệ lạc hậu

12. Trộm Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin
21
7/29/2023
33
33
2.2.1. Nguy cơ xâm phạm tài sản trí tuệ

• Tài sản trí tuệ là việc tạo ra, sở hữu, kiểm soát các ý tưởng ban đầu và trình bày
các ý tưởng đó.
• Các loại tài sản trí tuệ:
• Bí mật thương mại
• Quyền tác giả
• Thương hiệu
• Bằng sáng chế
34
34
22
7/29/2023

• Tài sản trí tuệ được bảo vệ bởi luật bản quyền và các luật khác, mang lại kỳ vọng ghi nhận
quyền tác giả hoặc ghi nhận nguồn thích hợp, có khả năng phải xin phép để được sử dụng
theo quy định của pháp luật. Vd: phải thanh toán tiền bản quyền trước khi sử dụng bài hát
đó trong phim.
• Việc sử dụng trái phép tài sản trí tuệ dẫn đến nguy cơ an toàn thông tin.
• Các vi phạm tài sản trí tuệ phổ biến nhất liên quan đến vi phạm bản quyền phần mềm. Theo
BSA, năm 2018, khoản 37% phần mềm được cài đặt ở máy tính cá nhân trên toàn cầu
không được cấp phép
35
35

Một số vấn đề liên quan
• Ăn cắp bản quyền phần mềm (software piracy): hành vi sao chép, cài đặt hoặc
phân phối trái phép phần mềm máy tính có bản quyền là vi phạm tài sản trí tuệ
• Bảovệbảnquyền: Một số cơ chế kỹ thuật có thể được áp dụng để thực thi :
• Digital watermark
• Mã nhúng
• Mã bản quyền
36
23
7/29/2023
36
2.2.1 Nguy cơ xâm phạm tài sản trí tuệ

• Bảo vệ bản quyền: Một số cơ chế kỹ thuật có thể được áp dụng để thực thi
luật bản quyền:
• Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối thường
xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu người dùng cho biết rằng họ đã
đọc và đồng ý với các điều kiện sử dụng phần mềm
37
37
24
7/29/2023

• Bảovệbảnquyền: Một số cơ chế kỹ thuật có thể được áp dụng để thực thi luật bản
quyền:
• Đăng ký người dùng trực tuyến: người dùng khi cài đặt phần mềm thường được
yêu cầu hoặc thậm chí phải đăng ký tài khoản sử dụng phần mềm của họ để hoàn
thành cài đặt, nhận hỗ trợ kỹ thuật hoặc sử dụng tất cả các tính năng. Mặt trái của
kỹ thuật này là người dùng lo sợ quy trình này làm tổn hại quyền riêng tư của họ.
38
38
2.2.2. Sai lệch về chất lượng dịch vụ

• Sai lệch về chất lượng dịch vụ là nguy cơ xảy ra khi sản phẩm hoặc dịch vụ không
được cung cấp như mong đợi
• Hệ thống thông tin của một tổ chức phụ thuộc vào sự vận hành thành công của nhiều
hệ thống hỗ trợ phụ thuộc lẫn nhau, gồm lưới điện, mạng dữ liệu và viễn thông, phụ
tùng, nhà cung cấp dịch vụ, thậm chí cả nhân viên vệ sinh. Bất kỳ hệ thống hỗ trợ
nào trong số này đều có thể bị gián đoạn do những phát sinh không lường trước.
39
25
7/29/2023
39
2.2.2 Sai lệch về chất lượng dịch vụ

• Ba nhóm vấn đề dịch vụ ảnh hưởng nghiêm trọng đến tính khả dụng của thông tin
và hệ thống:
• Các vấn đề liên quan dịch vụ Internet

• Các vấn đề liên quan đến các nhà cung cấp dịch vụ tiện ích khác (điện thoại,
nước, nước thải, đổ rác, truyền hình cáp, các dịch vụ trông coi…)
• Các vấn đề liên quan bất thường nguồn cung cấp điện
40
40
Average Cost of Downtime

According to Fusion Connect
26
7/29/2023
41
41
2.2.3. Gián điệp hoặc kẻ xâm nhập trái phép

Gián điệp hoặc kẻ xâm nhập trái phép là người không được phép cố truy cập trái
phép vào thông tin mà một tổ chức đang cố bảo vệ. Nguy cơ này có thể vi phạm
tính bảo mật của thông tin.
42
42
27
7/29/2023

• Các kỹ thuật cạnh tranh thông tin là hợp pháp trong khi các kỹ thuật gián
điệp công nghiệp thì không.
• v (competitive intelligence): vd sử dụng trình duyệt Web để thực hiện nghiên cứu thị
trường
• Gián điệp công nghiệp (industrial espionage): hành vi trộm cắp bất hợp pháp và phi đạo
đức các bí mật thương mại, bí mật kinh doanh được thực hiện bởi các đối thủ
43
43

• Hành vi xâm phạm trái phép có thể dẫn đến các hành động thực/ ảo trái phép
cho phép người thu thập thông tin xâm nhập vào cơ sở hoặc hệ thống mà
không được phép
• Tin tặc sử dụng kỹ năng, mưu mẹo hoặc gian lận để vượt qua các biện pháp
kiểm soát bảo vệ thông tin của người khác..
44
28
7/29/2023
44

• Shoulder surfing (xảy ra ở bất kỳ đâu khi ai đó đang truy cập thông tin nhạy cảm,
thường xảy ra tại các thiết bị đầu cuối máy tính, bàn làm việc, máy ATM, trên xe
bus, máy bay, tàu điện ngầm – nơi mọi người sử dụng điện thoại thông minh, hoặc
những nơi nhân viên có thể truy cập thông tin bí mật)
45
45
29
7/29/2023
46
46

Tin tặc (hacker): Nhìn chung tin tặc có hai cấp độ kỹ năng
• Tin tặc chuyên nghiệp
• Phát triển các tập lệnh phần mềm và khai thác mã
• Thường là bậc thầy về nhiều kỹ năng
• Thường tạo ra các phần mềm tấn công và chia sẻ chúng với những người khác
• Tin tặc có kỷ năng hạn chế
• Sử dụng phần mềm do chuyên gia viết để khai thác hệ thống
• Thường không hiểu đầy đủ về hệ thống họ tấn công
• Được gọi là Script kiddies hoặc packet monkeys
47
30
7/29/2023
47
Contemporary Hacker Profile
48
48
31
7/29/2023

Tin tặc (hacker)
• Nâng cấp đặc quyền (Escalation of Privileges):

• Là kỹ thuật gia tăng các đặc quyền nhằm chiếm quyền quản trị hệ thống.
• Đặc quyền này cho phép kẻ tấn công truy cập thông tin, sửa đổi hệ thống để xem tất cả
thông tin trong đó và ẩn các hoạt động của chúng bằng cách sửa đổi nhật ký hệ thống.
• Là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm

• Jailbreaking và Rooting là 2 ví dụ phổ biến
49
49

Những biến thể của Hacker
• Cracker: bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc sao
chép hoặc sử dụng trái phép
• Phreaker: tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi miễn
phí hoặc làm gián đoạn dịch vụ
50
32
7/29/2023
50

Tấn công mật khẩu
Bẻ khóa (cracking) là hành vi cố gắng đoán hoặc tính toán ngược lại mật khẩu.
Một số cách tiếp cận khác của bẻ khóa:
• Brute force: là việc áp dụng tính toán và tài nguyên mạng để thử mọi kết hợp mật
khẩu có thể có. Biện pháp kiểm soát giới hạn số lần truy cập không thành công
trong một thời gian nhất định và sử dụng mật khẩu mạnh rất hiệu quả để chống lại
loại tấn công mật khẩu brute force.
51
51
33
7/29/2023

• Tấn công từ điển (Dictionary): là một biến thể của brute force thu hẹp phạm vi
bằng cách sử dụng từ điển các mật khẩu phổ biến bao gồm thông tin liên quan đến
người dùng mục tiêu. Biện pháp kiểm soát: (1) tổ chức không cho phép cá nhân
đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có trong từ điển mật khẩu,
(2) sử dụng quy tắc yêu cầu số và ký tự đặc biệt trong mật khẩu
52
52

• Bảng cầu vồng (Rainbow tables): Nếu kẻ tấn công có thể truy cập vào tệp mật
khẩu được mã hóa, dù chỉ bao gồm các giá trị an toàn th, các giá trị này có thể tra
cứu và định vị nhanh chóng dựa trên Bảng cầu vồng
• Social Engineering: kẻ tấn công “đóng giả” là chuyên gia CNTTT của một tổ
chức cố gắng truy cập vào hệ thống thông tin bằng cách liên hệ với nhân viên cấp
thấp và đề nghị trợ giúp về các sự cố máy tính của họ. Bằng cách đóng giả bộ
phận trợ giúp, kẻ tấn công yêu cầu nhân viên cung cấp tên người dùng và mật
khẩu truy cập của họ.
53
34
7/29/2023
53
54
54
35
7/29/2023
55
55
2.2.4. Những tác động từ thiên nhiên

• Những tác động từ thiên nhiên hoặc những sự kiện bất khả kháng đều có thể gây ra một số
nguy cơ nguy hiểm nhất vì chúng bất ngờ và ít có dấu hiệu cảnh báo trước,
• Bao gồm: hỏa hoạn, lũ lụt, động đất, lở đất, gió bão, bão cát, sét, núi lửa phun trào, sự xâm
nhập của côn trùng… có thể làm gián đoạn không chỉ cuộc sống của các cá nhân, mà còn cả
việc lưu trữ, truyền tải và sử dụng thông tin
• Vì không thể chủ động tránh được loại nguy cơ này, ban giám đốc cần phải triển khai các
kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt động, chẳng
hạn kế hoạch khắc phục hậu quả thiên tai, kế hoạch liên tục kinh doanh, kế hoạch ứng phó
sự cố
56
36
7/29/2023
56
2.2.5. Lỗi con người/ sai sót

• Bao gồm các hành vi được thực hiện không có chủ đích hoặc mục đích xấu. Vd: sai
lầm khi sử dụng hệ thống hoặc lỗi phát sinh khi người dùng không tuân theo chính
sách đã được thiết lập
• Nguyên nhân có thể do
• Thiếu kinh nghiệm
• Đào tạo không đúng cách
• Các giả định không chính xác
• Sai lầm dù vô hại vẫn có thể gây ra thiệt hại lớn
• Sai lầm của nhân viên là nguy cơ nghiêm trọng đe dọa tính bảo mật, tính toàn vẹn và
tính khả dụng của dữ liệu
57
57
37
7/29/2023

• Những sai lầm của nhân viên có thể dễ dàng dẫn đến:
• Tiết lộ dữ liệu đã được xử lý
• Nhập dữ liệu không chính xác
• Vô tình xóa hoặc sữa dữ liệu
• Bảo quản dữ liệu ở những khu vực không an toàn
• Sai sót hoặc lỗi của con người thường có thể được ngăn chặn bằng đào tạo, các
hoạt động nâng cao nhận thức liên tục và các biện pháp kiểm soát từ đơn giản đến
phức tạp
58
58
59
38
7/29/2023
59

• Social engineering sử dụng các kỹ năng xã hội để thuyết phục mọi người tiết lộ
thông tin đăng nhập hoặc thông tin có giá trị khác cho kẻ tấn công.
https://www.dauhieuluadao.com/quiz/
• Xâm phạm email doanh nghiệp: khai thác hệ thống email doanh nghiệp và người
dùng
• Gian lận phí ứng trước: cho biết người nhận là tiến đến hạn và khoản phí ứng trước
nhỏ hoặc thông tin ngân hang cá nhân được yêu cầu để tạo điều kiện chuyển tiền.
• Lừa đảo: (phishing)
60
60
39
7/29/2023
2.2.6. Cưỡng đoạt thông tin

• Cưỡng đoạt thông tin là kẻ tấn công hoặc người thân tín đánh cắp thông tin từ hệ
thống máy tính và yêu cầu bồi thường cho việc có lại thông tin và sử dụng nó.
Một số ví dụ:
• Kẻ xấu đánh cắp số thẻ tín dụng
• Tin tặc đánh cắp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật
khẩu của người dùng) để đòi tiền chuộc
• Ransomware: kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ
chối quyền truy cập của người dùng, sau đó đề nghị cung cấp khóa để cho phép
truy cập lại hệ thống và dữ liệu của người dùng với một khoản phí
61
61
Ransomware Notification Screen
62
40
7/29/2023
62
2.2.7. Phá hoại

• Cá nhân hoặc nhóm người cố ý phá hoại hệ thống máy tính hoặc hoạt động doanh nghiệp,
hoặc thực hiện các hành vi phá hoại để phá hủy tài sản hoặc làm hỏng hình ảnh của tổ chức
• Loại nguy cơ này có thể bao gồm từ phá hoại nhỏ, riêng lẻ của nhân viên đến phá hoại có tổ
chức chống lại một tổ chức khác
63
63
41
7/29/2023
2.2.7. Phá hoại

• Với các tổ chức hoạt động phụ thuộc nhiều vào hình ảnh, loại phá hoại nhắm đến
hình ảnh doanh nghiệp có thể làm thông tin doanh nghiệp phổ biến trên các
phương tiện truyền thông xã hội (Web, facebook,…) bị mất độ tin cậy.
• Một số hình thức phá hoại:
• Hành động (phá hoại) trực tuyến: nguy cơ hacktivist và cyber-activist ngày càng
gia tăng
• Khủng bố mạng và chiến tranh mạng
64
64
2.2.8. Tấn công có chủ đích bằng phần mềm

2.2.8.1. Định nghĩa
2.2.8.2. Các loại tấn công có chủ đích bằng phần mềm
• Malware
• Back doors
• Denial-of-Service (DoS) and Distributed Denial-of-Service
(DDoS) attacks
• Email attacks
• Communications interception attacks
65
42
7/29/2023
65
2.2.8.1 Định nghĩa tấn công có chủ đích bằng PM

• Xảy ra khi một cá nhân hoặc một nhóm người thiết kế hoặc sử dụng phần mềm để
tấn công hệ thống. Cuộc tấn công này có thể bao gồm phần mềm được chế tạo đặc
biệt mà những kẻ tấn công lừa người dùng cài đặt trên hệ thống của họ. Phần mềm
này có thể được sử dụng để lấn át khả năng xử lý của các hệ thống trực tuyến hoặc
truy cập vào các hệ thống được bảo vệ bằng các phương tiện ẩn.
66
66
43
7/29/2023
2.2.8.2 Các loại tấn công có chủ đích bằng PM a. Malware
b. Back doors
c. Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ đã được phân
tán (DDoS)
d. Tấn công bằng emails
e. Tấn công chặn liên lạc
67
67
a. Malware
• Malware là mã/ phần mềm độc hại. Ngoài ra, malware bao gồm những tấn công sử
dụng phần mềm như tấn công chuyển hướng và tấn công từ chối dịch vụ.
• Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ cho các hệ thống
mục tiêu.
• Thuật ngữ được sử dụng để mô tả phần mềm độc hại thường không loại trừ lẫn
nhau. Vd: phần mềm độc hại Trojan horse có thể xuất hiện dưới dạng virus, sâu
hoặc cả hai.
68
44
7/29/2023
68
a. Malware
• Các dạng tấn công sử dụng mã độc gồm: viruses, sâu, và các tập lệnh Web được
kích hoạt với mục đích phá hủy hoặc đánh cắp thông tin.
• Tấn công mã hiện đại nhất hiện nay là sâu đa hình (polymorphic worm) hay còn gọi
sâu đa phương thức (multivector worm) vì nó sử dụng 6 phương thức tấn công để
khai thác nhiều lỗ hổng trong các thiết bị hệ thống thông tin phổ biến
• Zero-day attack: khi cuộc tấn công sử dụng các malware mà các công ty phần mềm
chống malware chưa biết về malware
69
69
45
7/29/2023
6 phương thức tấn công của virus và sâu

• Quét và tấn công IP: hệ thống bị nhiễm sẽ quét một loạt các địa chỉ IP ngẫu nhiên
hoặc cục bộ và nhắm vào các yếu kém của hệ thống đã được biết bởi các tin tặc hoặc
còn sót lại từ các lần khai thác trước đó
• Trình duyệt Web: nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào, nó
sẽ làm cho tất cả các tập nội dung Web bị lây nhiễm, do đó người dùng duyệt các
trang Web này sẽ bị nhiễm
• Virus: mỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thi phổ biến trên tất
cả các máy tính mà nó có thể ghi  lây nhiễm rộng hơn
70
70
6 phương thức tấn công của virus và sâu
• Những chia sẻ không được bảo vệ: sử dụng việc chia sẻ tập tin để sao chép các
thành phần lan truyền đến tất các các vị trí có thể truy cập
• Mass mail: bằng cách gửi email bị nhiễm đến các địa chỉ có trong danh bạ, máy bị
nhiễm sẽ làm các máy khác bị nhiễm, những máy có chương trình đọc mail tự động
hoạt động và tiếp tục lại nhiễm cho nhiều hệ thống hơn
• Giao thức quản lý mạng đơn giản (SNMP): các lỗ hổng SNMP được sử dụng để
xâm nhập và lây nhiễm
71
46
7/29/2023
71
a. Malware
• Các dạng tấn công sử dụng phần mềm độc hại khác gồm: bots, spyware, adware.
• Bots: là công nghệ thường được dùng để triển khai Trojan horse, logic bombs,
back doors và spyware
• Spyware: phần mềm gián điệp được đặt trên máy tính để thu thập thông tin về
người dùng.
• Web bug - một đồ họa nhỏ được tham chiếu trong HTML của trang web hoặc
email để thu thập thông tin về người dùng đang xem nội dung
72
72
47
7/29/2023
a. Malware
• Spyware: phần mềm gián điệp được đặt trên máy tính để thu thập thông tin về
người dùng
• Theo dõi Cookie: được đặt trên máy tính của người dùng để theo dõi hoạt động
của họ trên các trang Web khác nhau và tạo hồ sơ chi tiết về hành vi của họ, sau
đó những thông tin này có thể được sử dụng trong một cuộc tấn công social
engineering hoặc đánh cắp danh tính
73
73
a. Malware
• Adware: phần mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không
mong muốn (bao gồm cửa sổ bật lên và biểu ngữ trên màn hình của người dùng),
được thiết kế để hoạt động ngoài tầm nhìn của người dùng hoặc được kích hoạt bởi
hành động dường như vô hại của người dùng.
74
48
7/29/2023
74
75
75
49
7/29/2023
76
76
Viruses
• Virus máy tính gồm các đoạn mã thực hiện các hành vi độc hại.
• Người dùng thường vô tình giúp virus xâm nhập vào hệ thống bằng cách mở email
bị nhiễm hoặc một số hành động có vẻ tầm thường khác nhưng có thể khiến mọi thứ
từ các thông báo ngẫu nhiên xuất hiện trên màn hình của người dùng đến việc phá
hủy toàn bộ ổ cứng.
77
50
7/29/2023
77
Viruses
• Mã này hoạt động giống như mầm bệnh virus lây lan từ máy tính này sang máy tính
khác qua phương tiện vật lý, email hoặc các hình thức truyền dữ liệu máy tính.
• Khi những virus này lây nhiễm vào một máy, lập tức quét máy đó để tìm các ứng
dụng email hoặc thậm chí tự gửi thư đến mọi người có trong sổ địa chỉ email được
tìm thấy.
78
78
51
7/29/2023
Viruses
• Một trong những phương thức lây truyền virus phổ biến nhất là qua email được
đính kèm các tập tin
• Virus có thể phân loại theo cách chúng tự lây lan: virus macro, virus khởi động
• Virus macro được nhúng vào mã macro thực thi tự động, được sử dụng bởi bộ xử
lý văn bản, bảng tính và ứng dụng CSDL
• Virus khởi động (boot virus) lây nhiễm các tệp hệ điều hành chính trong phần boot
của máy tính
79
79
Viruses
• Virus có thể phân loại theo virus thường trú trong bộ nhớ và không thường trú trong
bộ nhớ tùy thuộc vào việc chúng có tồn tại trong bộ nhớ của hệ thống máy tính sau
khi chúng được thực thi hay không.
• Virus thường trú có khả năng kích hoạt lại khi máy tính được khởi động và tiếp tục
hành động của chúng cho đến khi hệ thống tắt, và chỉ khởi động lại vào lần khởi
động tiếp theo của hệ thống
• Virus và worms có thể sử dụng 6 phương thức tấn công để phát tán các bản sao của
chúng tới các máy tính ngang hàng đang hoạt động trên mạng
80
52
7/29/2023
80
Worms (sâu)
• Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên có sẵn,
như bộ nhớ, dung lượng ổ cứng và băng thông mạng
• Hành vi phức tạp của worm có thể được bắt đầu khi người dùng tải xuống hoặc thực thi tệp.
Một khi sâu đã lây nhiễm vào máy tính, nó có thể tự phân phối lại tới tất cả địa chỉ email
được tìm thấy trên hệ thống bị nhiễm. Hơn nữa, sâu có thể gửi các bản sao của chính nó lên
tất cả máy chủ Web mà hệ thống bị nhiễm có thể tiếp cận; những người dùng sau truy cập
vào các trang web đó sẽ bị nhiễm.
• Sâu cũng lợi dụng các chia sẻ mở được tìm thấy trên mạng có hệ thống bị nhiễm. Sâu đặt
các bản sao mã đang hoạt động của chúng lên máy chủ để người dùng chia sẻ mở có khả
năng bị nhiễm bệnh.
81
81
53
7/29/2023
Trojan horses
Trojan horses thường được ngụy trang dưới dạng phần mềm hữu ích hoặc cần thiết, chẳng hạn
như tệp readme.exe thường được bao gồm trong các gói phần mềm chia sẻ hoặc phần mềm
miễn phí
82
82
Nguy cơ đa hình
(Polymorphic Threats)
• Thách thức khi chống lại virus và sâu là các nguy cơ đa hình, nghĩa là nguy cơ virus
và sâu phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài của tập tin
để tránh bị phát hiện bởi các chương trình phần mềm chống virus
83
54
7/29/2023
83
Trò lừa bịp (hoaxes) virus và sâu
• Một cách tiếp cận tinh quái hơn, tốn nhiều thời gian và tiền bạc hơn để giải quyết là
việc tấn công hệ thống máy tính bằng trò lừa bịp virus. Vd: người dùng có ý tốt
nhưng lại có thể làm gián đoạn hoạt động và quy trình của một tổ chức khi gửi email
cảnh báo về một loại virus nguy hiểm KHÔNG tồn tại.
• Những trò lừa bịp này làm lãng phí thời gian của người dùng và khiến mạng quá tải
84
84
55
7/29/2023
b. Back doors
• Back doors: có thể là một lối đi không chủ đích hoặc có chủ đích (do nhà thiết kế cố
tình để lại để tạo điều kiện thực hiện kiểm soát truy cập)
• Sử dụng cơ chế truy cập đã biết hoặc mới được phát hiện, kẻ tấn công có thể giành
quyền truy cập vào hệ thống hoặc tài nguyên mạng thông qua back doors (cửa hậu)
• Đôi khi những cánh cửa này do các nhà thiết kế hệ thống hoặc nhân viên bảo trì để
lại; một cánh cửa như vậy được xem là một maintenance door.
85
85
b. Back doors
• Thông thường kẻ tấn công đặt một back doors vào hệ thống hoặc mạng mà chúng đã
thâm nhập để việc quay lại hệ thống của chúng sau này sẽ dễ dàng hơn.
• Rất khó phát hiện back doors vì người/ chương trình cài đặt nó thường làm cho
quyền truy cập được miễn trừ khỏi các tính năng ghi nhật ký kiểm tra thông thường
của hệ thống và cố gắng giữ kín back doors với chủ sở hữu hợp pháp của hệ thống
86
56
7/29/2023
86
tán (DDoS)
• Tấn công từ chối dịch vụ: cuộc tấn công cố gắng áp đảo khả năng xử lý thông tin
liên lạc được đưa đến máy tính mục tiêu, nhằm cấm người dùng hợp pháp truy
cập vào các hệ thống đó
• Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến
một mục tiêu
• Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiêu không thể xử lý chúng
thành công cùng với các yêu cầu dịch vụ hợp pháp khác
• Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức
năng thông thường
87
87
57
7/29/2023
tán (DDoS)
• Tấn công từ chối dịch vụ được phân tán: là một dạng tấn công từ chối dịch vụ,
trong đó một luồng yêu cầu phối hợp được đưa ra nhằm vào một mục tiêu từ nhiều
địa điểm trong cùng một thời điểm bằng cách sử dụng Bot hoặc Zombies
• Hầu hết các cuộc tấn công DDoS đều bắt đầu bằng giai đoạn chuẩn bị trong đó
hàng nghìn hệ thống bị xâm nhập. Các máy bị xâm nhập bị biến thành Bot hoặc
Zombies, những máy này được kẻ tấn công chỉ đạo từ xa để tham gia vào tấn công.
88
88
tán (DDoS)
• Tấn công từ chối dịch vụ được phân tán: là một dạng tấn công từ chối dịch vụ,
trong đó một luồng yêu cầu phối hợp được đưa ra nhằm vào một mục tiêu từ nhiều
địa điểm trong cùng một thời điểm bằng cách sử dụng Bot hoặc Zombies
• Cuộc tấn công DDoS khó chống lại hơn và hiện không có biện pháp kiểm soát khả
thi. Tuy nhiên có thể kích hoạt khả năng phòng thủ DDoS giữa các nhóm nhà cung
cấp dịch vụ
89
58
7/29/2023
89
90
90
59
7/29/2023
d. Tấn công bằng Emails
• Thư rác (spam) là email thương mại không mong muốn. Nhiều người xem thư rác là một
mối phiền toái hơn là một cuộc tấn công, tuy nhiên nó có thể là vật trung gian cho một số
cuộc tấn công. Hậu quả quan trọng nhất là lãng phí máy tính và nguồn nhân lực. Để đối phó
thư rác, các tổ chức có thể (1) sử dụng công nghệ lọc email, (2) yêu cầu người dùng xóa các
thư không mong muốn
91
91
d. Tấn công bằng Emails
• Bom thư (mail bombing) là một hình thức tấn công thư điện tử, cũng là một DoS, được
thực hiện bằng cách sử dụng các kỹ thuật gửi thư điện tử truyền thống hoặc bằng cách khai
thác các lỗi kỹ thuật trong Giao thức truyền tải thư đơn giản
(SMTP).
• Mặc dù cuộc tấn công lừa đảo xảy ra qua email, nhưng chúng thường được kết hợp với một
social engineering được thiết kế để lừa người dùng thực hiện một hành động, thay vì chỉ
đơn giản biến người dùng trở thành mục tiêu của cuộc tấn công qua email DoS.
92
60
7/29/2023
92
e. Tấn công chặn liên lạc
• Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình
chuyển tiếp thông tin
• Việc xuất hiện Internet of Things làm tăng khả năng xảy ra loại tấn công này
• Ví dụ về các tấn công chặn liên lạc:

• Packet sniffer
• Spoofing
• Pharming
• Man-in-the-middle
93
93
61
7/29/2023
Packet sniffer
• Là một chương trình hoặc thiết bị có thể giám sát dữ liệu truyền tải qua mạng. Nó có thể
được sử dụng cho cả chức năng quản lý mạng hợp pháp và cho việc lấy cắp thông tin từ
một mạng lưới
94
94
Spoofing
• Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy tính, trong
đó kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho biết rằng tin nhắn đến từ một
máy chủ đáng tin
cậy
95
62
7/29/2023
95
Pharming
• Là sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một trang Web bất
hợp pháp với mục đích lấy thông tin cá nhân
• Pharming thường sử dụng Trojan, worms hoặc các công nghệ virus khác để tấn công
địa chỉ trình duyệt Internet
• Pharming vs social engineering: social engineering attack là cuộc tấn công yêu cầu
người dùng chủ động nhấp vào liên kết hoặc nút để chuyển hướng đến trang Web
bất hợp pháp, trong khi Pharming sửa đổi lưu lượng truy cập của người dùng mà
người dùng không biết hoặc không tham gia tích cực
96
96
63
7/29/2023
Man-in-the-middle
• Man-in-the-middle: một nhóm các tấn công trong đó một người chặn luồng liên lạc
và tự chèn mình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tác
hợp pháp.
• Kẻ tấn công nhận dạng các packets từ mạng, sửa đổi chúng và chèn chúng trở lại
mạng.
• Trong một cuộc tấn công chiếm quyền điều khiển TCP (TCP hijacking attack), kẻ
tấn công sử dụng địa chỉ giả để mạo danh các thực thể hợp pháp khác trên mạng.
97
97
98
64
7/29/2023
98
2.2.9. Lỗi phần cứng

• Nguy cơ này xảy ra khi nhà sản xuất phân phối cho người dùng thiết bị có chứa một lỗi
đã biết hoặc chưa biết.
• Những khiếm khuyết này có thể khiến hệ thống hoạt động ngoài các thông số mong đợi,
dẫn đến dịch vụ không đáng tin cậy hoặc không khả dụng
• Một số lỗi là lỗi thiết bị đầu cuối dẫn đến việc mất thiết bị không thể khôi phục được.
• Một số lỗi không liên tục do chúng chỉ tự biểu hiện đinh kỳ, dẫn đến các lỗi không dễ
lặp lại, gây khó cho việc phát hiện và khắc phục. Do đó, thiết bị có thể ngừng hoạt động
hoặc hoạt động theo cách không mong muốn
99
99
65
7/29/2023
2.2.10. Lỗi phần mềm

• Nguy cơ này xảy ra khi mua phần mềm có lỗi ẩn, chưa được biết
• Một lượng lớn mã được viết, gỡ lỗi, xuất bản và bán trước khi tất cả các lỗi đều
được giải quyết
• Sự kết hợp của phần mềm và phần cứng sẽ phát hiện ra các lỗi mới
• Đôi khi, những lỗi này không phải do sai sót mà là việc làm có chủ đích của người
lập trình nhằm tạo ra lối tắt (shortcut) vào phần mềm. Các lối tắt vào phần mềm
thường bỏ qua việc kiểm tra bảo mật  được gọi là cửa bẫy (trap doors) và chúng có
thể gây ra các vi phạm an ninh nghiêm trọng.
100
100
2.2.10. Lỗi phần mềm

• Lỗi phần mềm phổ biến đến mức toàn bộ các trang Web đều có mục dành riêng để
ghi lại chúng. Phổ biến nhất là Bugtraq của trang web www.securityfocus.com, cung
cấp thông tin cập nhật từng phút về các lỗ hổng bảo mật mới nhất cũng như một kho
lưu trữ kỹ lưỡng về các lỗi trong quá khứ
• Một số lỗi và lỗi phát triển phần mềm dẫn đến phần mềm khó hoặc không thể triển
khai theo cách an toàn.
101
66
7/29/2023
101
2.2.11. Công nghệ lạc hậu

• Khi cơ sở hạ tầng trở nên lạc hậu dẫn đến các hệ thống không đáng tin cậy.
• Ban quản lý cần nhận ra rằng khi công nghệ trở nên lạc hâu, rủi ro mất tính toàn vẹn
của dữ liệu từ các cuộc tấn công sẽ luôn hiện hữu, do đó, ban quản lý cần lập kế
hoạch phù hợp để ngăn ngừa rủi ro đến từ sự lỗi thời về công nghệ
• Các chuyên gia CNTT đóng vai trò lớn trong việc xác định khi nào hệ thống/ công
nghệ lỗi thời. Việc thay thế hệ thống mới sẽ tốn ít chi phí hơn ở các tổ chức mà nhân
viên CNTT kịp thời báo thời điểm hệ thống/ công nghệ sắp sửa lỗi thời cho ban
quản lý hơn là báo khi hệ thống/ công nghệ ở trạng thái đã lỗi thời
102
102
67
7/29/2023
2.2.12. Trộm
• Nguy cơ trộm cắp là thường xuyên. Trộm cắp là việc chiếm đoạt bất hợp pháp tài sản
của người khác (tài sản hữu hình, điện tử hoặc trí tuệ)
• Giá trị thông tin giảm đi khi thông tin bị sao chép mà chủ sở hữu không biết
• Hành vi trộm cắp vật lý (các tài sản hữu hình) dễ bị phát hiện và có thể được kiểm soát
dễ dàng bằng nhiều cách: cửa khóa, nhân viên an ninh, hệ thống báo động. Tuy nhiên,
trộm cắp điện tử là một vấn đề phức tạp hơn để quản lý và kiểm soát vì tội phạm không
phải lúc nào cũng rõ ràng.
103
103
2.2.12. Trộm
• Trộm cắp thường đồng nghĩa với các nguy cơ tấn công phần mềm, gián điệp và xâm nhập,
tống tiền thông tin và xâm phạm quyền sở hữu trí tuệ. Tin tặc hoặc các tác nhân nguy cơ
khác có thể truy cập vào hệ thống, đánh cắp thông tin của DN và tống tiền.
• Việc sử dụng ngày càng nhiều công nghệ di động làm tăng nguy cơ bị đánh cắp dữ liệu.
Tuy nhiên, đáng lo hơn việc mất dữ liệu là khả năng người dùng cho phép thiết bị di động
lưu lại thông tin đăng nhập tài khoản, cho phép kẻ trộm sử dụng quyền truy cập hợp pháp
để vào tài khoản doanh nghiệp hoặc tài khoản cá nhân của nạn nhân
104
68
7/29/2023
104
105
105
CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN
69
7/29/2023

1
Tình huống
Một ngày làm việc bình thường, cô Maggie Q. – nhân viên kế toán nhận được email của trưởng
phòng Kế toán, với nội dung yêu cầu cô Q. mở file văn bản đính kèm để làm báo cáo nhanh về
tình hình công nợ. Sau khi mở email, cô Q. không đọc được nội dung, máy tính tự khởi động
và sau đó, toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau, màn hình máy tính của tất cả nhân
viên công ty đều hiện lên thông báo dữ liệu bị mã hóa, yêu cầu công ty phải trả tiền chuộc hoặc
toàn bộ dữ liệu sẽ bị xóa sạch sau 24 giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn?
2
2
70
7/29/2023

• Định nghĩa an toàn thông tin
• Hiểu biết về lịch sử an toàn máy tính và giải thích sự phát triển an toàn thông
tin.
• Định nghĩa các thuật ngữ chủ yếu và các khái niệm quan trọng về an toàn
thông tin
• Mô tả vai trò của các chuyên gia đối với an toàn thông tin trong DN
3
3
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
4
4
71
7/29/2023
Thuật ngữ
Accuracy Độ chính xác thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người dùng mong đợi
thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên bản thay vì sao chép hoặc bịa đặt
Authenticity Tính xác thực
một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định dạng chính xác để sử dụng mà không
Availability: Tính khả dụng
bị can thiệp hoặc cản trở
Bottom-up approach Cách tiếp cận từ dưới lên một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp thấp hơn trong đó quản trị viên hệ
thống cố gắng cải thiện tính bảo mật của hệ thống của họ
C.I.A. triad: C
(confidentiality); I ba tiêu chuẩn C.I.A / tam tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn (mainframe) - Tiêu chuẩn dựa trên
(integrity); A giác C.I.A ba đặc điểm mô tả ứng dụng tiện ích của thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
(availability)
Chief information Giám đốc Công nghệ Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công nghệ thông tin trong đơn vị, đảm
officer (CIO) thông tin bảo tính hữu hiệu và hiệu quả trong việc xử lý và cung cấp thông tin
Chief information
Giám đốc an toàn thông
security officer Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo cáo cho Giám đốc công nghệ thông tin
tin
(CISO)
Communications
Bảo mật truyền thông bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung số trong đơn vị
security
Community of interest Nhóm lợi ích liên quan một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi sẻ cũng mục tiêu nhằm
giúp đơn vị đạt được mục tiêu. 5
5
Thuật ngữ
72
7/29/2023
6 trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết liên quan đến yêu cầu đảm
Computer security An toàn máy tính bảo an toàn trước những nguy cơ bên ngoài. Hiện nay, thuật ngữ này được tiến hóa thành an toàn
thông tin nói chung
một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ hoặc tiếp xúc với các cá nhân
Confidentiality Tính bảo mật hoặc hệ thống trái phép
Người quản lý dữ
Data custodians liệu những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng một tập hợp thông tin cụ thể;
chủ sở hữu dữ liệu có thể dựa vào người giám sát về các khía cạnh thực tế của việc bảo vệ thông tin
Data owners Chủ sở hữu dữ liệu
của họ, chỉ định người dùng nào được phép truy cập thông tin đó, nhưng họ phải chịu trách nhiệm
cuối cùng về điều đó
những người làm việc với thông tin để thực hiện công việc hàng ngày của họ và hỗ trợ sứ mệnh của
Data users Người dùng dữ liệu tổ chức
Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào, hoặc trong quá
Information security An toàn thông tin trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn luyện, nâng cao nhận
thức cũng như sử dụng công nghệ
Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính nhằm sử dụng các nguồn lực
Information system (IS) Hệ thống thông tin công ngệ thông tin trong đơn vị

6
Thuật ngữ
Thuộc tính của thông tin mô tả dữ liệu và thông tin ở mức độ toàn bộ, hoàn
Integrity Tính toàn vẹn chỉnh và không gián đoạn
Khối lập
Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ biến trong
McCumber Cube phương
an toàn thông tin, mô tả các chiều theo các lĩnh vực liên quan an toàn thông tin
McCumber
Một phân nhánh của bảo mật truyền thông (communications security) – nhằm
Network security An toàn mạng
bảo vệ các thành phần, nội dung của mạng mát tính
Personally
Thông tin định
identifiable Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất
danh cá nhân
information (PII)
Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc truy cập
Physical security An toàn vật lý trái phép
thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát dữ liệu là
Possession Chiếm hữu hợp pháp hoặc được ủy quyền
7

7
Thuật ngữ
73
7/29/2023
8
một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một hoặc nhiều khía cạnh
Project team Đội dự án
của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.
An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động được thực
Security bảo mật hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
Bảo hiểm
phần một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng bảo mật
Software assurance mềm / vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA cố gắng cố ý tạo
(SA) đảm ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả, hiệu quả mà người dùng có
bảo phần thể tự tin triển khai
mềm
Systems development Chu kỳ phát triển hệ
life cycle (SDLC) thống một phương pháp luận để thiết kế và triển khai hệ thống thông tin
Tiếp cận
từ
Top-down approach một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên khởi xướng
trên
xuống
một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu ích cho mục đích
Utility Tính tiện ích
cuối cùng
một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin thu được từ giai
Waterfall model Mô hình thác đổ đoạn trước, với nhiều cơ hội để quay lại các giai đoạn trước đó và thực hiện các điều chỉnh

8
Thuật ngữ
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
9
9
74
7/29/2023

10
10
Các đơn vị chịu trách Nếu bạn không phải là

Giới thiệu nhiệm bảo vệ một phần của giải pháp,
thông tin của họ với tất bạn là một
cả các bên liên quan. Lực lượng chuyên phần của vấn đề.
gia an toàn và bảo
mật luôn thiếu hụt.
Tất cả các đơn vị công

hay tư, không phân biệt
quy mô,
luôn có những thông tin
cần được bảo vệ
11
11
75
7/29/2023
Lịch sử an toàn thông tin

• An toàn máy tính khởi xướng ngay sau khi máy tính lớn đều tiên được phát triển.
• Máy tính hiện đại đầu tiên được sáng tạo bởi các nhóm phá mã trong chiến tranh
thế giới thứ 2
• Các thiết bị này được bảo vệ với nhiểu cấp độ bảo mật khác nhau.
• Trong những năm đầu tiên này, an toàn thông tin là một quy trình đơn giản, chủ
yếu là an toàn vật lý và các lược đồ phân loại tài liệu đơn giản.
• Nguy cơ chính đối với an toàn là trộm cắp thiết bị, gián điệp, và phá hoại.
12
12
Mốc thời gian quan trọng trong lịch sử an toàn thông tin (1 of 3)
Date Document
1968 Maurice Wilkes discusses password security in Time-Sharing Computer Systems.

1970 Willis H. Ware authors the report "Security Controls for Computer Systems: Report of Defense Science Board
Task Force on Computer Security-RAND Report R-609," which was not declassified until 1979. It became
known as the seminal work identifying the need for computer security.
1973 Schell, Downey, and Popek examine the need for additional security in military systems in Preliminary Notes on
the Design of Secure Military Computer Systems.
1975 The Federal Information Processing Standards (FIPS) examines DES (Digital Encryption Standard) in the
Federal Register.
1978 Bisbey and Hollingworth publish their study “Protection Analysis: Final Report," which discussed the Protection
Analysis project created by ARPA to better understand the vulnerabilities of operating system security and
examine the possibility of automated vulnerability detection techniques in existing system software.
13

13
76
7/29/2023
Date Document
1979 Morris and Thompson author “Password Security: A Case History," published in the
Communications of the Association for Computing Machinery (ACM). The paper examined the
design history of a password security scheme on a remotely accessed, time-sharing system.
Dennis Ritchie publishes “On the Security of UNIX" and "Protection of Data File
Contents," which discussed secure user IDs, secure group IDs, and the problems inherent in the
systems.
1982 The U.S. Department of Defense Computer Security Evaluation Center publishes the first
version of the Trusted Computer Security (TCSEC) documents, which came to be known as the
Rainbow Series.
14

14
Date Document
1984 Grampp and Morris write “The UNIX System: UNIX Operating System Security." In this report, the
authors examined four "important handles to computer security": physical control of premises and
computer facilities, management commitment to security objectives, education of employees, and
administrative procedures aimed at increased security.
Reeds and Weinberger publish “File Security and the UNIX System Crypt Command." Their
premise was: “No technique can be secure against wiretapping or its equivalent on the computer.
Therefore, no technique can be secure against the system administrator or other privileged users . . .
the naive user has no chance.“
1992 Researchers for the Internet Engineering Task Force, working at the Naval Research
Laboratory, develop the Simple Internet Protocol Plus (SIPP) Security protocols, creating what
is now known as IPSEC security.
15

15
77
7/29/2023
1.1. Lịch sử an toàn thông tin: thập niên 60

• Sự phát triển của công nghệ và sự ra đời của máy tính lớn (Mainframe
Computer)
• Chiến tranh Lạnh; vai trò của thông tin, các chiến dịch gián điệp, chạy đua vũ
trang đòi hỏi các biện pháp an toàn và bảo mật cao hơn
• Cơ quan Chỉ đạo các Dự án Nghiên cứu Tiên tiến (ARPA) của Bộ Quốc phòng
Mỹ đã bắt đầu kiểm tra tính khả thi của hệ thống liên lạc nối mạng dự phòng
được thiết kế để hỗ trợ nhu cầu trao đổi thông tin của quân đội.
• Larry Roberts, người sáng lập ra Internet, đã phát triển dự án ARPANET.
16
16
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

• ARPANET đã trở nên phổ biến và được sử dụng nhiều hơn, và khả năng bị
lạm dụng cũng cao hơn
• Robert M. Metcalfe đã chỉ ra rằng có những vấn đề cơ bản với bảo mật
ARPANET.
• Các trang web của người dùng được truy cập từ xa không có đủ các biện pháp
kiểm soát và biện pháp bảo vệ để đảm bảo an toàn dữ liệu.
• Thiếu các quy trình an toàn cho các kết nối tới ARPANET.
• Nhận dạng người dùng và phân quyền cho hệ thống không tồn tại.
17
17
78
7/29/2023

• Vi phạm an toàn máy tính ngày càng nhiều, đa dạng, số lượng máy chủ và
người dùng tăng nhanh
• Báo cáo của RAND Corporation 1970 (RAND R 609) xác định các thủ tục
kiểm soát và cơ chế cần thiết để bảo vệ hệ thống xử lý dữ liệu được máy tính
hóa – được xem là tài liệu đầu tiên cho việc nghiên cứu an toàn máy tính
• Phạm vi an toàn máy tính được mở rộng, bao gồm: (1) Bảo mật dữ liệu; (2)
Hạn chế truy cập ngẫu nhiên và trái phép vào dữ liệu; (3) Sự tham gia của nhân
sự từ nhiều cấp của tổ chức vào bảo mật thông tin
18
18

• MULTICS: hệ thống được gọi là Dịch vụ Máy tính và Thông tin Đa kênh
(Multiplexed Information and Computing Service)-hệ điều hành đầu tiên tích
hợp bảo mật vào các chức năng cốt lõi của nó.
• MULTICS là một hệ điều hành máy tính lớn (mainframe computer) được phát
triển vào giữa những năm 1960 bởi một tập đoàn gồm General Electric (GE),
Bell Labs và Viện Công nghệ Massachusetts (MIT).
• UNIX: giữa năm 1969, khi tái cấu trúc dự án MULTICS, một số nhà phát triển
trong dự án MULTICS đã tạo ra một hệ điều hành mới gọi là UNIX.
19
19
79
7/29/2023

• MULTICS bảo mật với nhiều cấp độ bảo mật và mật khẩu, UNIX thì không.
• Cuối những năm 1970, bộ vi xử lý đã mang lại một kỷ nguyên mới về khả năng tính
toán; hệ thống xử lý dữ liệu phân tán, mạng máy tính, khả năng chia sẽ dữ liệu và các
mối đe dọa bảo mật là các vấn đề phát sinh khi các bộ vi xử lý này được nối mạng.
• 1980s: TCP (the Transmission Control Protocol) and IP (the Internet Protocol) các
giao thức được sử dụng trên Internet được phát triển vào đầu những năm 1980 cùng
với DNS (Hệ thống tên miền).
• 1988, Cơ quan Chỉ đạo các Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA) đã
thành lập Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) để giải quyết vấn đề an ninh
mạng.
20
20
1.1. Lịch sử an toàn thông tin: Thập niên 90

• Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết nối các mạng với
nhau cũng tăng theo đã tạo ra Internet
• Ban đầu, việc triển khai Internet coi vấn đề an toàn ở một mức độ ưu tiên thấp.
• Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế, khả năng an toàn vật lý
của máy tính bị mất đi và thông tin lưu trữ trở nên dễ bị đe dọa hơn trước các
mối đe dọa bảo mật.
• Cuối những năm 1990 và những năm 2000, nhiều công ty lớn bắt đầu tích hợp
công khai các nội dung bảo mật trong tổ chức. Các sản phẩm chống vi-rút đã
trở nên phổ biến và an toàn thông tin bắt đầu hình thành như một quy luật độc
lập.
21
21
80
7/29/2023
1.1. Lịch sử an toàn thông tin: thế kỷ 21

• Internet đưa hàng triệu mạng máy tính không an toàn và hàng tỷ hệ thống máy
tính vào giao tiếp liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc vào mức
độ bảo mật của mọi máy tính trong mạng máy tính đó.
• Trong những năm gần đây, nhận thức về nhu cầu nâng cao an toàn thông tin
ngày càng tăng, cũng như nhận thức rằng an toàn thông tin là quan trọng đối
với quốc phòng.
22
22
1.1. Lịch sử an toàn thông tin: thế kỷ 21

• Mối đe dọa ngày càng tăng của các cuộc tấn công mạng đã khiến các chính phủ và
các công ty nhận thức rõ hơn về sự cần thiết phải bảo vệ các hệ thống điều khiển
máy tính của các tiện ích và cơ sở hạ tầng quan trọng khác.
• Chiến tranh thông tin và khả năng các hệ thống thông tin cá nhân và doanh nghiệp
có thể tổn hại nếu chúng không được bảo vệ
• Kể từ năm 2000, Sarbanes-Oxley và các luật khác liên quan đến quyền riêng tư và
trách nhiệm của công ty đã ảnh hưởng đến bảo mật máy tính
• Cuộc tấn công vào Trung tâm Thương mại Thế giới vào ngày 11 tháng 9 năm 2001
đã dẫn đến những thay đổi lớn về luật pháp liên quan đến bảo mật máy tính, đặc biệt
là để tạo điều kiện cho cơ quan thực thi pháp luật có khả năng thu thập thông tin về
khủng bố.
23
23
81
7/29/2023
24

24

Ủy ban về các hệ thống an ninh quốc gia (CNSS) định nghĩa: an toàn thông tin
là bảo vệ thông tin và các yếu tố quan trọng của nó, bao gồm các hệ thống và
phần cứng dùng để sử dụng, lưu trữ và truyền tải thông tin.
An toàn thông tin bao gồm các lĩnh vực:

• Quản lý an toàn thông
tin • Bảo mật dữ liệu • An
ninh mạng.
25

25
82
7/29/2023
C.I.A. Triad: C (confidentiality); I (integrity); A

(availability)
– tam giác
C.I.A : tiêu
chuẩn công
nghiệp về
bảo mật máy
tính kể từ khi phát triển máy tính lớn
(mainframe) - Tiêu chuẩn dựa trên ba đặc điểm
của thông tin có thể đem lại giá trị cho tổ chức:
tính bảo mật, tính toàn vẹn và tính khả dụng.
26
26
83
7/29/2023

• Các khái niệm chính về An toàn thông tin
• Access: Quyền truy cập - Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng đến chủ thể,
hoặc đối tượng khác.
• Asset: Tài sản – các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể có hình
thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin
• Attack: Tấn công - Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn hại đến
thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị
động; tấn công trực tiếp hoặc tấn công gián tiếp
• Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó: Các cơ
chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công thành công,
giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong tổ chức.
• Exploit: Khai thác - Một kỹ thuật được sử dụng để xâm phạm hệ thống.
27
27

• Exposure: Điểm yếu bảo mật - Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo mật thông
tin, điểm yếu bảo mật tồn tại khi kẻ tấn công biết được một lỗ hổng.
• Loss: Thiệt hại - tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý muốn
hoặc trái phép hoặc bị từ chối sử dụng
• Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: Tập hợp toàn bộ các biện
pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao nhận thức và công
nghệ, mà tổ chức thực hiện để bảo vệ tài sản.
• Risk: Rủi ro – Khả năng sự kiện không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp
• Subjects and objects of attack: Chủ thể tấn công và đối tượng bị tấn công
28
28
84
7/29/2023

• Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh
hưởng xấu đến hoạt động và tài sản của tổ chức.
• Threat agent: Tác nhân đe dọa – một trường hợp cụ thể hoặc một thành phần của
một mối đe dọa
• Threat event: Sự kiện đe dọa – sự kiện xảy ra do tác nhân đe dọa gây ra
• Threat source: Nguồn gốc đe dọa – tập hợp các tác nhân đe dọa
• Vulnerability: Nhược điểm/điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong các
hệ thống phòng thủ
29
29

• Các đặc điểm quan trọng của thông tin
• Availability: Tính khả dụng – tính chất của thông tin cho phép người dùng khi cần truy cập
thông tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin đó ở định dạng bắt buộc.
• Accuracy: Tính chính xác - khi thông tin không có lỗi hoặc sai sót, có giá trị mà người dùng
mong đợi. Nếu thông tin chứa giá trị khác với mong đợi của người dùng do chỉnh sửa nội dung,
thì thông tin đó không còn chính xác.
• Authenticity: Tính xác thực - chất lượng hoặc trạng thái của thông tin gốc hoặc nguyên bản,
thay vì sao chép hoặc chế tạo. Thông tin xác thực khi nó là thông tin được tạo, đặt, lưu trữ hoặc
chuyển giao nguyên bản.
• Confidentiality: Tính bảo mật - chất lượng hoặc trạng thái thông tin ngăn chặn việc tiết lộ hoặc
lộ bí mật thông tin với các cá nhân hoặc hệ thống không được phép. Tính bảo mật đảm bảo
rằng chỉ những người dùng có quyền, đặc quyền và nhu cầu truy cập thông tin mới có thể truy
cập.
30
30
85
7/29/2023

• Các đặc điểm quan trọng của thông tin
• Integrity :Tính toàn vẹn – thông tin đầy đủ, hoàn chỉnh và không bị gián đoạn. Tính toàn vẹn
của thông tin bị đe dọa khi thông tin bị lộ, hỏng, bị phá hủy hoặc do các hành vi khác làm gián
đoạn trạng thái nguyên bản của nó.
• Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị cho một số mục đích hoặc kết quả.
Thông tin có giá trị khi nó phục vụ một mục đích cụ thể. Điều này có nghĩa là nếu thông tin có
sẵn, nhưng không ở định dạng có ý nghĩa đối với người dùng cuối, thì nó sẽ không hữu ích.
• Possession: Chiếm hữu - chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát một số
đối tượng hoặc vật phẩm. Thông tin được cho là thuộc quyền sở hữu của một người nếu một
người có được nó, không phụ thuộc vào định dạng hoặc các đặc điểm khác. Mặc dù vi phạm
bảo mật luôn dẫn đến vi phạm quyền sở hữu, vi phạm sở hữu không phải lúc nào cũng dẫn đến
vi phạm bảo mật
31
31
1.3. Bản chất an toàn thông tin

• Tính đa dạng, phức tạp, không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực
bảo mật, sự cân bằng trong việc vận dụng kiến thức bảo mật, sự tương tác bảo mật giữa các hệ
thống con trong một hệ thống lớn dẫn đến tính nghệ thật của an toàn thông tin.
• Đặc tính của công nghệ và khoa học máy tính, tính nghiêm túc và các nguyên tắc trong
phương pháp và kỹ thuật, sự tương tác giữa phần cứng và phần mềm và tri thức về bảo mật
cho thấy tính khoa học của an toàn thông tin
• Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật, nhận
thức về rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của khoa học
xã hội
32
32
86
7/29/2023
1.3. Bản chất an toàn thông tin

Nghệ thuật:
Sáng tạo và
linh hoạt trong
triển khai
Khoa học: Khoa học xã hội:

Đặc tính Hành vi và
công nghệ và nhận thức của
kỹ thuật con người
33
33
Nội dung
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
34
34
87
7/29/2023

35
35

• Committee on National Security Systems: Ủy ban Hệ thống An ninh Quốc gia
(Hoa kỳ):
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
• Mô hình an toàn CNSS được John McCumber tạo ra năm 1991, được gọi là
khối lập phương McCumber, bao gồm 27 khối tương ứng với các lĩnh vực an
toàn thông tin
• Trong quy trình bảo mật – an toàn hệ thống cần đảm bảo mỗi khối được xác
định và được giải quyết một cách đúng đắn.
36
36
88
7/29/2023
37
37
38
38
89
7/29/2023
39
39
• HTTT có 6 thành phần: Con người, phần cứng, phần mềm, mạng máy tính,
các chính sách và thủ tục, và dữ liệu
• Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và công dụng riêng • Mỗi
thành phần có các yêu cầu về an toàn và bảo mật khác nhau
40
40
90
7/29/2023

• Con người: Luôn là mối đe dọa đối với an toàn thông tin. Các chính sách, thủ
tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn sẽ giúp
hạn chế điểm yếu này.
• Phần cứng: công nghệ vật lý giúp lưu trữ dữ liệu và phần mềm, cung cấp giao
diện để nhập liệu và truy xuất thông tin. Khi phần cứng có thể bị tiếp cận, hệ
thống có thể bị phá hủy hoặc thông tin bị đánh cắp.
• Phần mềm: Hệ điều hành, chương trình, tiện ích khác. Do được lập trình nên
phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử dụng sai mục
đích.
41
41

• Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý, truyền tải. Dữ liệu là tài sản quan
trọng của doanh nghiệp và thường là mục tiêu tấn công. Đảm bảo an toàn dữ
liệu cần được thực hiện nghiêm túc và đầy đủ
• Các chính sách và thủ tục: Các hướng dẫn bằng văn bản để hoàn thành một
nhiệm vụ cụ thể. Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ
giúp đảm bảo các thủ tục có thể hoàn thành vai trò của minh
• Mạng máy tính: Các máy tính và hệ thống máy tính kết nối với nhau hình
thành nên mạng máy tính, giúp HTTT truyền dữ liệu và thông tin, hỗ trợ người
dùng thực hiện các tác vụ và ra quyết định. Mạng máy tính có nhiều nguy cơ,
do đó kiểm soát lưu lượng và kiểm soát truy cập là cần thiết.
42
42
91
7/29/2023
2.3. Cân bằng giữa ATTT và khả năng truy cập
43
43
2.3. Cân bằng giữa ATTT và khả năng truy cập

• Không thể có được an toàn thông tin tuyệt đối, hoàn hảo
• An toàn thông tin là quá trình, không phải là mục tiêu
• Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công, ngược lại,
nếu cô lập hệ thống để đảm bảm an toàn cao thì không thể truy cập được
• Cân bằng giữa an toàn và truy cập nhằm đảm bảo sự hợp lý giữa khả năng truy
cập và việc hạn chế rủi ro – với một mức độ bảo mật phù hợp.
• An toàn thông tin và khả năng truy cập đều phục vụ cho mục tiêu chung của
doanh nghiệp, và do đó phải hài hòa và cân xứng
44
44
92
7/29/2023
Nội dung
45
45
Cách tiếp cận

thực hiện an toàn
thông tin
46

46
93
7/29/2023
Cách tiếp cận thực hiện an toàn thông tin

• Tiếp cận từ dưới lên (bottom-up approach)
• Bắt đầu từ các hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống
• Dựa trên kỹ năng và kiến thức của quản trị viên hệ thống
• Gắn liền với hiểu biết chuyên sâu của quản trị viên hệ thống với hệ thống có liên quan
• Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ
• Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ thống khác và hạn
chế quyền hạn thực thi
• Khả năng thành công thấp

47
47
Cách tiếp cận thực hiện an toàn thông tin

• Tiếp cận từ trên xuống (top-down approach)
• Dự án an toàn thông tin được khởi xướng bởi các nhà quản lý cấp trên, những người ban
hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết quả mong đợi; và
xác định trách nhiệm cá nhân cho mỗi hành động.
• Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy trình, kế hoạch
rõ ràng và ảnh hưởng toàn doanh nghiệp
• Cách tiếp cận này được thể hiện phổ biến thông qua chiến lược phát triển hệ thống tiêu
chuẩn – được gọi là chu kỳ phát triển hệ thống
• Khả năng thành công cao

48
48
94
7/29/2023
Nội dung
49
49
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tintrong doanh
nghiệp (nhóm lợi ích liên quan)
50
50
95
7/29/2023
4.1. Chuyên gia an toàn thông tin trong DN

• Giám đốc thông tin (chief information officer - CIO): Một vị trí ở cấp điều
hành; giám sát công nghệ máy tính của doanh nghiệp và có trách nhiệm trong
việc tạo ra hiệu quả trong xử lý và truy cập thông tin của doanh nghiệp; tư
vấn hoạch định chiến lược CNTT cho Giám đốc điều hành và triển khai chiến
lược của doanh nghiệp liên quan đến CNTT.
• Giám đốc an toàn thông tin (chief information security officer - CISO): CISO
thường không phải là một vị trí cấp điều hành, báo cáo cho CIO, chịu trách
nhiệm chính trong vấn đề an toàn và bảo mật hệ thống thông tin, về việc đánh
giá, quản lý và thực hiện an toàn thông tin.
51
51
4.1. Chuyên gia an toàn thông tin trong DN

• Đội dự án an toàn thông tin (Information Security Project Team): Tập hợp các
cá nhân có kinh nghiệm trong an toàn và bảo mật khi có yêu cầu; bao gồm đại
diện lãnh đạo doanh nghiệp, trưởng nhóm, chuyên gia phát triển chính sách
bảo mật, chuyên gia đánh giá rủi ro, chuyên gia bảo mật, quản trị viên hệ thống
và người dùng hệ thống.
• Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu, người bảo
quản dữ liệu và người sử dụng dữ liệu
52
52
96
7/29/2023
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp
• Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an toàn thông
tin. Mỗi nhóm có vai trò và trách nhiệm khác nhau cũng như các mối quan
tâm khác nhau đối với an toàn thông tin. Mỗi thành viên trong mỗi nhóm
được liên kết với nhau thông qua các giá trị tương đồng với nhau và cũng chia
sẽ các mục tiêu chúng.
• Thông thường trong doanh nghiệp có ba nhóm an toàn thông tin: nhóm quản
lý chung, nhóm quản lý CNTT và nhóm quản lý an toàn
thông tin
53
53
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong danh nghiệp
• Nhóm quản lý chung: bao gồm toàn bộ người sử dụng hệ thống công nghệ
thông tin (theo góc nhìn của nhóm quản lý công nghệ thông tin) và cũng là đối
tượng bảo mật theo góc nhìn của nhóm quản lý an toàn thông tin
• Nhóm quản lý công nghệ thông tin: bao gồm các chuyên gia CNTT và các nhà
quản lý CNTT, hỗ trợ cho việc vận hành hệ thống CNTT trong doanh nghiệp
• Nhóm quản lý an toàn thông tin: bao gồm các chuyên gia an toàn và bảo mật,
tập trung cho mục tiêu đảm bảo an toàn và bảo vệ thông tin, dữ liệu, hệ thống
của doanh nghiệp khỏi các cuộc tấn công.
54
54
97
7/29/2023
55
55
CHƯƠNG 3
QUẢN LÝ AN TOÀN THÔNG TIN
1
98
7/29/2023
Tình huống
• Có vẻ như Janet Kinneck có vấn đề, và giờ Charlie phải giải quyết nó. Cụ thể, tên của Janet – phó
giám đốc phát triển thị trường truyền thông xã hội trong công ty tiếp thị SLS – đã xuất hiện trong
báo cáo lạm dụng hàng tháng. Do đó, Charlie đã bắt đầu yêu cầu nhóm điều hành an ninh chuẩn
bị báo cáo này, dựa trên hoạt động kết nối mạng trong tháng trước. Tất cả nhân viên SLS đã được
thông báo và đồng ý với việc giám sát này bất cứ khi nào họ sử dụng hệ thống mạng của công ty.
• SLS có chính sách khá thoải mái, quy định cách thức và thời điểm nhân viên có thể sử dụng máy
tính và mạng của công ty cho lý do cá nhân của họ. Charlie đã thuyết phục Giám đốc điều hành
Fred Chin và các giám đốc điều hành cấp cao khác rằng nhân viên nên có cuộc sống hòa nhập vào
nơi làm việc, và chi phí phát sinh từ việc sử dụng hệ thống mạng cho các vấn đề cá nhân là không
đáng kể, theo Charlie, mức chi phí trong giới hạn nhất định hoàn toàn xứng đáng với năng suất
được cải thiện của nhân viên khi họ cảm thấy thoải mái. Tuy nhiên, chính những quy định thoáng
này giờ lại là những "ranh giới nhất định" mà công ty đang giải quyết.
Tình huống
• Charlie xem lại bản báo cáo và dữ liệu trong đó một lần nữa rồi nhấc điện thoại gọi cho
Gladys Williams – Giám đốc thông tin (CIO) – của công ty. Charlie đã cân nhắc xem
cuộc họp này có nên để Fred tham gia hay không, và anh ấy nghĩ nên hỏi ý kiến của
Gladys, cô ấy có thể quyết định đưa Fred vào nếu cô ấy xác định rằng sự hiện diện của
anh ấy là cần thiết.
• Gladys bắt máy và nói:“Chào, Charlie, có chuyện gì vậy?” Anh ấy trả lời:“Này, Gladys,
chúng tôi gặp vấn đề với báo cáo mới về lạm dụng hàng tháng mà chúng tôi đang thực
hiện.” Gladys biết bản báo cáo, vì cô ấy đã hỗ trợ để tạo ra nó. Cô ấy biết điều gì sẽ xảy
ra tiếp theo vì cô ấy sẽ được thông báo khi các nhân viên cấp cao có liên quan đến nghi
vấn lạm dụng.
99
7/29/2023
Tình huống
• Charlie tiếp tục:“Chà, dù sao thì, có vẻ như chúng ta có vấn đề với Janet Kinneck ở bộ
phận tiếp thị. Gần như tôi có thể biết rõ mà không cần điều tra máy tính của cô ấy, cô ấy
đang điều hành một giải đấu trò chơi thể thao thương mại bên ngoài văn phòng của mình
trên tầng sáu.”
• Gladys suy nghĩ một giây rồi trả lời:“Đối với tôi, đó không phải là một cách sử dụng
chấp nhận được!”.

• Mô tả các chức năng quản lý khác nhau liên quan đến an toàn thông tin
• Định nghĩa quản trị an toàn thông tin và liệt kê các kỳ vọng của quản lý cấp cao của
tổ chức đối với nó
• Mô tả vai trò của ban quản lý trong việc phát triển, duy trì và tuân thủ các chính sách,
tiêu chuẩn, thực tiễn, thủ tục và những hướng dẫn về an toàn thông tin
• Liệt kê các yếu tố của chương trình giáo dục, huấn luyện và nhận thức về an toàn; mô
tả phương pháp triển khai hiệu quả chính sách an toàn trong tổ chức
• Giải thích bảng kế hoạch chi tiết về an toàn thông tin, xác định các thành phần chính,
và giải thích cách nó hỗ trợ cho chương trình an toàn thông tin
5
100
7/29/2023
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
6
Thuật ngữ
CISO Giám đốc an toàn thông tin
Electronic security perimeter Vành đai an toàn điện tử
Enterprise information security policies (EISP) Chính sách an toàn thông tin doanh nghiệp
Information Security Governance Quản trị an toàn thông tin
Information Security Leadership Phẩm chất lãnh đạo an toàn thông tin
Information Security Program Chương trình an toàn thông tin
Issue-specific security policies (ISSP) Chính sách an toàn đặc thù
Operational plans Kế hoạch hoạt động
Strategic planning Lập kế hoạch chiến lược
Physical security perimeter Vành đai an toàn vật lý
SETA Chương trình giáo dục, huấn luyện, nâng cao nhận thức về an toàn
Strategic plans Kế hoạch chiến lược
7
101
7/29/2023
Thuật ngữ
Tactical objectives Mục tiêu chiến thuật
Tactical plans Kế hoạch chiến thuật
The Information Security Blueprint Bảng kế hoạch chi tiết về an toàn thông tin
8
Giới thiệu về quản lý an toàn thông tin

• Chương trình an toàn thông tin bắt đầu bằng các chính sách, tiêu chuẩn và thực hành làm nền
tảng cho chương trình và bảng kế hoạch chi tiết về an toàn thông tin. Điều này sẽ yêu cầu lập
kế hoạch phối hợp.
• Vai trò chủ yếu của bộ phận CNTT là đảm bảo quá trình xử lý thông tin hữu hiệu và hiệu
quả. Trong khi, vai trò chính của bộ phận an toàn thông tin là đảm bảo tính bảo mật, tính toàn
vẹn và tính khả dụng của thông tin.
• Những chức năng quản lý chuyên biệt của quản lý an toàn thông tin được gói gọn trong “sáu
chữ P”: Planning (lập kế hoạch), Policy (chính sách), Programs (chương trình), Protection
(bảo vệ), People (con người), và Project management (quản lý dự án).
102
7/29/2023
Nội dung
10

1.1 Hoạt động lãnh đạo an toàn thông tin
1.2 Kết quả quản trị an toàn thông tin
1.3 Các cấp độ kế hoạch
1.4 Lập kế hoạch và giám đốc an toàn thông tin (CISO)
11
103
7/29/2023
1.1. Hoạt động lãnh đạo an toàn thông tin

• Quản trị là tập hợp các trách nhiệm và thông lệ do hội đồng quản trị và ban giám
đốc thực hiện với mục tiêu đưa ra định hướng chiến lược, đảm bảo đạt được các
mục tiêu, xác định chắc chắn rằng các rủi ro được quản lý phù hợp và các nguồn
lực của doanh nghiệp được sử dụng có trách nhiệm
• Các yếu tố hỗ trợ quản trị doanh nghiệp: các văn bản hướng dẫn - điều lệ công ty;
các quy trình lập kế hoạch, điều hành và bổ nhiệm nhân sự; các thủ tục, quy trình,
ủy ban và thực hành kiểm soát
12

• Quản trị an ninh thông tin là việc áp dụng các nguyên tắc và thông lệ quản trị doanh
nghiệp vào chức năng an ninh thông tin, nhấn mạnh trách nhiệm của ban giám đốc
và/hoặc quản lý cấp cao đối với việc giám sát an ninh thông tin trong tổ chức.
• Theo Viện Quản trị Công nghệ Thông tin (ITGI), quản trị an toàn thông tin bao gồm
tất cả các trách nhiệm giải trình và các phương pháp do hội đồng quản trị và ban giám
đốc đảm nhận để cung cấp:
• Định hướng chiến lược
• Thiết lập các mục tiêu
• Đo lường sự tiến bộ đối với các mục tiêu đó
• Xác minh rằng các thực hành quản lý rủi ro là phù hợp
• Xác nhận rằng tài sản của tổ chức được sử dụng đúng cách
13
104
7/29/2023

• Các mục tiêu của an toàn thông tin phải được giải quyết ở cấp cao nhất trong đội
ngũ quản lý của tổ chức để đạt hiệu quả và có cách tiếp cận bền vững.
• Trong các tổ chức có hội đồng quản trị chính thức, các hội đồng nên là cơ sở để
đánh giá và giám sát quản trị.
• Hoạt động lãnh đạo an toàn thông tin có thể sử dụng cách tiếp cận GRC: quản trị
(Governance), quản lý rủi ro (Risk management) và tuân thủ (Compliance) để phát
triển các kế hoạch chiến lược (strategic planning) và thực hiện trách nhiệm quản lý
một cách tốt nhất.
14

• Bộ tiêu chuẩn ISO 27000 (ISO 27014:2013) về Quản trị an toàn thông tin,
cung cấp gợi ý đánh giá về chương trình quản trị an toàn thông tin, gồm sáu
nguyên tắc quản trị an toàn thông tin "định hướng hành động" cấp cao:
• Thiết lập an toàn thông tin toàn tổ chức
• Áp dụng cách tiếp cận dựa trên rủi ro
• Định hướng các quyết định đầu tư
• Đảm bảo sự phù hợp với các yêu cầu bên trong và bên ngoài
• Thúc đẩy một môi trường an toàn tích cực
• Xem xét hiệu suất liên quan đến kết quả kinh doanh.
15
105
7/29/2023

 Bộ tiêu chuẩn ISO 27014:2013 về Quản trị an toàn thông tin thúc đẩy hình thành 5 quá
trình quản trị như sau:
16

 Các chức năng quản trị an toàn thông tin trong một tổ chức: Trách nhiệm của các cá nhân
khác nhau trong tổ chức đối với việc quản trị an toàn thông tin
17
106
7/29/2023
1.2. Kết quả quản trị an toàn thông tin

Quản trị an toàn thông tin hướng đến việc đạt được 5 mục tiêu sau:
• Liên kết chiến lược an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục tiêu
của tổ chức.
• Quản lý rủi ro bằng cách thực hiện các biện pháp phù hợp để quản lý và giảm thiểu
các nguy cơ đối với nguồn lực thông tin.
• Quản lý nguồn lực bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn thông tin hữu
hiệu và hiệu quả.
• Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an
toàn thông tin để đảm bảo tổ chức đạt mục tiêu
• Đem lại giá trị bằng cách tối ưu hóa các khoản đầu tư an toàn thông tin góp phần giúp
tổ chức đạt mục tiêu.
18
1.3. Các cấp độ lập kế hoạch

 Nhóm điều hành (CEO, COO, CFO, CIO, …) triển khai kế hoạch chiến lược (strategic
plans) cho mỗi cấp của mỗi bộ phận chức năng thành các mục tiêu chiến thuật (tactical
objectives) có các thuộc tính:
Có mục tiêu cụ thể
Có thể đạt được
Có giới hạn thời hạn
Có thể đo lường được
Tạo ra các kế hoạch chiến thuật (tactical plans)
 Các kế hoạch chiến thuật tiếp tục được sử dụng để phát triển thành các kế hoạch hoạt
động (operational plans) theo phương thức quy định trách nhiệm cho từng cá nhân phụ
trách
19
107
7/29/2023
20

 Kế hoạch chiến thuật (tactical planning) tập trung vào các chủ trương ngắn hạn sẽ hoàn
thành trong vòng 1 hoặc 2 năm; bao gồm kế hoạch dự án và tài liệu lập kế hoạch mua sắm
nguồn lực; cần được lập ngân sách, phân bổ nguồn lực và nhân sự khi tiến hành. Quá trình
lập kế hoạch chiến thuật chia nhỏ mỗi mục tiêu chiến lược thành các mục tiêu liên tục
(incremental objectives). Mỗi mục tiêu này phải cụ thể, có thời hạn trong vòng một năm kể
từ ngày bắt đầu kế hoạch. Giám đốc an toàn thông tin (CISO) và các nhà quản lý an toàn sử
dụng kế hoạch chiến thuật để tổ chức, sắp xếp thứ tự ưu tiên và thu thập các nguồn lực cần
thiết hỗ trợ cho việc lập kế hoạch chiến lược (strategic plans)
21
108
7/29/2023

• Bắt nguồn từ kế hoạch chiến thuật, kế hoạch hoạt động (operational planning) được tạo ra cho
các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác nghiệp hàng ngày.
Một kế hoạch hoạt động bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan
cũng như các yêu cầu liên lạc và báo cáo, các cuộc họp hàng tuần, báo cáo tiến độ và các
nhiệm vụ liên quan khác. Thông tin liên lạc và phản hồi thường xuyên từ các nhóm tới các
nhà quản lý dự án, trưởng nhóm, các cấp quản lý khác, … sẽ giúp quá trình lập kế hoạch
quản lý dễ dàng hơn và thành công hơn
22

• Ưu tiên đầu tiên của CISO và nhóm quản lý an toàn thông tin là việc tạo ra một kế hoạch chiến
lược (strategic plan) để hoàn thành các mục tiêu an toàn thông tin của tổ chức. Khi một chiến
lược được định hướng rõ ràng từ trên xuống, cần phải có một cách tiếp cận có hệ thống để biến
nó thành một chương trình có thể thông báo và dẫn dắt tất cả các thành viên của tổ chức
• Các kế hoạch chiến lược được hình thành ở các cấp cao nhất của tổ chức được sử dụng để tạo ra
một chiến lược tổng thể của công ty (overall corporate strategy). Khi các cấp thấp hơn tham gia,
các kế hoạch từ các cấp cao hơn được phát triển thành kế hoạch chi tiết hơn, cụ thể hơn. Kế
hoạch chiến lược theo chức năng (chẳng hạn như chiến lược tài chính, CNTT và hoạt động) được
chuyển thành kế hoạch chiến thuật (tactical planning) cho các nhà quản lý giám sát và cuối cùng
cung cấp định hướng cho các kế hoạch hoạt động (operational plans) do các nhân viên cấp tác
nghiệp thực hiện
109
7/29/2023

 Phương pháp tiếp cận nhiều lớp này bao gồm hai nội dung chính: chiến lược tổng quát
(general strategy) và lập kế hoạch chiến lược (strategic planning). Chiến lược tổng quát
được chuyển thành chiến lược cụ thể; lập kế hoạch chiến lược được chuyển thành kế hoạch
chiến thuật và kế hoạch hoạt động (tactical and operational planning) cấp thấp hơn
Nội dung
25
110
7/29/2023
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai ATTT

2.1 Chính sách làm nền tảng cho việc lập kế hoạch
2.2 Phát triển và triển khai chính sách an toàn hữu hiệu
2.3 Quản lý chính sách
26

Giới thiệu
• Ban quản lý cần xây dựng các chính sách làm cơ sở cho tất cả các kế hoạch, thiết kế
và triển khai an toàn thông tin. Các chính sách cần:
• Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
• Không mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin này sẽ được đặt
trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng dẫn sử dụng và hệ thống của
người dùng)
• Không được mâu thuẫn với luật pháp,
• Được quản lý thích hợp thông qua truyền thông và chấp nhận bằng văn bản.
27
111
7/29/2023

Giới thiệu
 Các chính sách an toàn là biện pháp kiểm soát ít tốn kém nhất để thực thi an toàn
thông tin, việc tạo ra và phổ biến chính sách chỉ đòi hỏi thời gian và nỗ lực của đội
ngũ quản lý. Khi lựa chọn phương án thuê tư vấn bên ngoài để giúp xây dựng chính
sách, chi phí của chính sách an toàn vẫn thấp nhất so với chi phí các kiểm soát kỹ
thuật khác. Tuy nhiên, đây cũng là chính sách khó thực hiện đúng cách nhất.
28
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
• Các chính sách hoạt động giống như luật trong một tổ chức vì:
• Quy định hành vi được chấp nhận và không được chấp nhận
• Quy định các hình phạt đối với việc không tuân thủ chính sách và quy trình kháng nghị,
bao gồm các tiêu chuẩn là những tuyên bố chi tiết hơn về những gì phải làm để tuân thủ
chính sách, có các yêu cầu tuân thủ giống như các chính sách
• Tiêu chuẩn có thể là một phần của văn hóa tổ chức, hoặc ban hành dạng không chính
thức (de facto standards)
• Tiêu chuẩn có thể được công bố, xem xét kỹ lưỡng, phê chuẩn, và ban hành dạng chính
thức (de jure standards)
29
112
7/29/2023
Các hướng dẫn, thủ tục và thực

hành an toàn giải thích một cách
hiệu quả cách thức tuân thủ
chính sách.
30
 Ví dụ về mối quan hệ giữa Chính sách, Tiêu chuẩn, Thực tiễn triển
khai, Thủ tục, và Hướng dẫn
31
113
7/29/2023
• Chính sách có chức năng như luật tổ chức quy định hành vi chấp nhận được và không
chấp nhận được
• Tiêu chuẩn: tuyên bố chi tiết hơn về những gì phải được thực hiện để tuân thủ chính
sách
• Các thực tiễn triển khai, thủ tục và hướng dẫn giải thích hiệu quả cách tuân thủ chính
sách.
• Để một chính sách có hiệu quả, nó phải được phổ biến, đọc, hiểu và đồng ý đúng
cách bởi tất cả các thành viên của tổ chức và được thi hành thống nhất.
32
Knowledge Check Activity 1

A detailed statement of what must be done to comply with policy, sometimes viewed as the
rules governing policy compliance, is known as a(n) _____. a. guideline
b. standard
c. practice
d. procedure
114
7/29/2023
Knowledge Check Activity 1: Answer

A detailed statement of what must be done to comply with policy, sometimes viewed as the
rules governing policy compliance, is known as a(n) _____.
Answer: b. standard
Standards are more detailed statements of what must be done to comply with policy. Standards
may be informal or part of an organizational culture or standards may be published. Practices,
procedures, and guidelines effectively explain how to comply with policy.
• Ý nghĩa của thuật ngữ chính sách an toàn phụ thuộc vào ngữ cảnh. Nói chung, chính sách
an toàn là một tập hợp các quy tắc bảo vệ tài sản của tổ chức, cung cấp các quy tắc để
bảo vệ tài sản thông tin của tổ chức
• Nhà quản lý phải xác định ba loại chính sách an toàn, theo Special Publication (SP) 800-
14 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST):
• Chính sách an toàn thông tin doanh nghiệp (Enterprise information security policies – EISP)
• Chính sách an toàn đặc thù (Issue-specific security policies – ISSP)
• Chính sách an toàn dành riêng cho hệ thống (Systems-specific security policies – SysSP)
35
115
7/29/2023
2.1.1. Chính sách ATTT doanh nghiệp (EISP)

• EISP được điều chỉnh khi có sự thay đổi trong định hướng chiến lược của tổ chức
• EISP xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng của chương trình an
ninh
• EISP phân công trách nhiệm đối với các lĩnh vực an toàn khác nhau, bao gồm quản trị hệ
thống, duy trì các chính sách an toàn thông tin, thực hành và trách nhiệm của người dùng
• EISP giải quyết vấn đề tuân thủ pháp luật
36

• Theo NIST, EISP thường giải quyết vấn đề tuân thủ trong hai khía cạnh:
• Đảm bảo rằng một tổ chức đáp ứng các yêu cầu để thiết lập một chương trình và phân công
trách nhiệm cho các thành phần khác nhau của tổ chức
• Sử dụng các hình phạt cụ thể và hành động kỷ luật
• Khi EISP đã được phát triển, CISO bắt đầu thành lập nhóm an toàn và thực hiện các
thay đổi cần thiết đối với chương trình an toàn thông tin
37
116
7/29/2023

• Thành phần của EISP bao gồm:
• Tổng quan triết lý của tổ chức về an toàn
• Thông tin về cơ cấu tổ chức và những người thực hiện vai trò an toàn thông tin
• Các trách nhiệm rõ ràng, đầy đủ về an toàn và được chia sẻ bởi tất cả các thành viên của tổ
chức (nhân viên, nhà thầu, nhà tư vấn, đối tác và khách hàng)
• Các trách nhiệm rõ ràng, đầy đủ về an toàn cần dành riêng cho từng vai trò trong tổ chức
38
2.1.2. Chính sách an toàn đặc thù (ISSP)

• ISSP đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập nhật thường
xuyên về các nội dung:
• E-mail
• Sử dụng Internet và World Wide Web
• Cấu hình máy tính tối thiểu để chống lại sâu và vi rút
• Các lệnh cấm đối với việc hack / kiểm tra các biện pháp kiểm soát an toàn của tổ chức
• Sử dụng các thiết bị máy tính của tổ chức tại nhà
• Sử dụng thiết bị cá nhân kết nối hệ thống mạng công ty
• Sử dụng các công nghệ viễn thông, chẳng hạn như fax và điện thoại
• Sử dụng thiết bị photocopy
• Sử dụng các thiết bị lưu trữ di động như thẻ nhớ USB, máy chơi game, máy nghe nhạc và bất kỳ thiết bị
nào khác có khả năng lưu trữ các tệp kỹ thuật số
• Sử dụng các dịch vụ lưu trữ dựa trên đám mây không do tổ chức tự lưu trữ hoặc được ký kết theo hợp
đồng (Google Drive, Dropbox, Microsoft Live, …)
39
117
7/29/2023
2.1.2. Chính sách an toàn đặc thù (ISSP)

• Các thành phần của ISSP:
• Tuyên bố về chính sách
• Quyền truy cập và sử dụng thiết bị
• Cấm sử dụng thiết bị sai mục đích
• Quản lý hệ thống
• Vi phạm chính sách
• Rà soát và sửa đổi chính sách
• Giới hạn của trách nhiệm pháp lý
40
2.1.3. Chính sách an toàn dành riêng cho hệ thống –

SysSP (đọc thêm)
• SysSP thường hoạt động như các tiêu chuẩn hoặc thủ tục được sử dụng khi cấu hình
hoặc bảo trì hệ thống. Ví dụ, một SysSP có thể mô tả cấu hình và hoạt động của tường
lửa mạng. Tài liệu này có thể bao gồm một tuyên bố về ý định của người quản lý;
hướng dẫn cho các kỹ sư mạng về việc lựa chọn, cấu hình và vận hành tường lửa; và
danh sách kiểm soát truy cập xác định các cấp độ truy cập cho từng người dùng được
ủy quyền
• SysSPs bao gồm 2 nhóm: nhóm hướng dẫn về quản lý, và nhóm quản lý về kỹ thuật
41
118
7/29/2023
2.2. Phát triển và triển khai chính sách an toàn hữu hiệu
• Để đảm bảo tính hiệu quả và được bảo vệ về mặt pháp lý, các chính sách cần thực
hiện đúng cách theo các tiêu chí sau:
• Phát triển (Development): Phải được viết bằng cách sử dụng các thông lệ được chấp nhận
trong ngành và được ban quản lý chính thức phê duyệt
• Truyền đạt (Dissemination): Phải được truyền thông bằng tất cả các phương pháp thích
hợp
• Dễ sử dụng (Reading): Phải được tất cả nhân viên chấp nhận
• Dễ hiểu (Comprehension): Phải được hiểu bởi tất cả nhân viên
• Tuân thủ (Compliance): Phải được chính thức đồng ý bằng hành động hoặc khẳng định,
cam kết
• Thực thi thống nhất (Enforcement): Phải được áp dụng thống nhất cho tất cả nhân viên.
42
2.3. Quản lý chính sách

• Chính sách cần được truyền đạt, đọc hiểu, xác nhận đồng ý, áp dụng và quản lý một
cách thống nhất
• Để duy trì tính khả thi, các chính sách an toàn cần có:
• Quản trị viên chính sách: không nhất thiết phải thành thạo công nghệ liên quan, có trách
nhiệm thông báo cho tất cả các thành viên chịu tác động của tổ chức khi chính sách được sửa
đổi, là đầu mối liên hệ chính thức khi nhân viên cần biết thêm thông tin hoặc đề xuất sửa đổi
chính sách
• Lịch trình đánh giá: Một lịch trình đánh giá được tổ chức hợp lý cần được xác định, công bố,
và nên được xem xét lại tối thiểu hàng năm để đảm bảo chính sách vẫn là một biện pháp
kiểm soát hiệu quả. Các chính sách không được duy trì, cập nhật theo hiện hành có thể trở
thành trách nhiệm pháp lý do các quy tắc lỗi thời được thực thi và các yêu cầu mới bị bỏ
qua.
43
119
7/29/2023
2.3. Quản lý chính sách

• Để duy trì tính khả thi, các chính sách an toàn cần có:
• Xem xét, đánh giá lại quy trình và thủ tục : Để tạo điều kiện thuận lợi cho việc rà soát chính
sách, cần tạo cơ chế qua đó mọi người có thể thoải mái đưa ra các đề xuất sửa đổi (qua e-
mail, thư văn phòng hoặc ẩn danh). Nếu chính sách này gây tranh cãi, việc gửi các khuyến
nghị ẩn danh có thể là cách tốt nhất để khuyến khích ý kiến của nhân viên. Khi chính sách đã
được đưa ra để xem xét, tất cả các ý kiến cần được kiểm tra và việc thực hiện các cải tiến cần
được cấp quản lý phê duyệt
• Ngày ban hành và ngày sửa đổi chính sách: Chính sách cần có ngày công bố và (các) ngày
của (các) bản cập nhật tiếp theo. Nếu không phải là chính sách áp dụng vĩnh viễn, cần có
điều khoản ngừng hoạt động cho biết ngày hết hạn của chính sách đó
• Quản lý chính sách tự động (đọc thêm) 44
Nội dung
45
120
7/29/2023
3. Chương trình giáo dục, huấn luyện và nhận thức về an

toàn (SETA)
3.1 Giáo dục an toàn
3.2 Huấn luyện an toàn
3.3 Nhận thức về an toàn
46

toàn
Giới thiệu
• Khi tổ chức đã xác định các chính sách hướng dẫn chương trình an toàn và chọn mô hình
an toàn tổng thể bằng cách tạo / điều chỉnh bảng kế hoạch chi tiết tương ứng  triển khai
chương trình giáo dục, huấn luyện và nâng cao nhận thức về an toàn (security education,
training, and awareness - SETA). SETA do CISO phụ trách và là một biện pháp kiểm soát
được thiết kế để giảm các sự cố do nhân viên vô tình vi phạm an ninh. Lỗi của nhân viên
là một trong những mối đe dọa hàng đầu đối với tài sản thông tin, do đó, phát triển
chương trình SETA để chống lại mối đe dọa này là cần thiết. SETA được thiết kế để bổ
sung cho các chương trình giáo dục và huấn luyện chung mà nhiều tổ chức sử dụng để
huấn luyện nhân viên về an toàn thông tin
47
121
7/29/2023

toàn
Giới thiệu
• Chương trình SETA bao gồm ba yếu tố: giáo dục an toàn, huấn luyện an toàn và nâng
cao nhận thức về an toàn. Một tổ chức có thể không có khả năng hoặc sẵn sàng đảm
nhận cả ba yếu tố này và nó có thể dung dịch vụ thuê ngoài (outsource) như các cơ sở
giáo dục địa phương. Mục đích của SETA là tăng cường an toàn bằng cách thực hiện
những điều sau:
• Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ thống
• Phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công việc của họ một
cách an toàn hơn
• Xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận hành các chương
trình an toàn cho các tổ chức và hệ thống
48

toàn
Giới thiệu
Awareness Training Education
Attribute Seeks to teach members of the Seeks to train members of the Seeks to educate members of the
organization what security is organization how they should react organization as to why it has prepared
and what the employee should and respond when threats are in the way it has and why the
do in some situations encountered in specified situations organization reacts in the ways it does
Level Offers basic information about Offers more detailed knowledge Offers the background and depth of
threats and responses about detecting threats and teaches knowledge to gain insight into how
skills needed for effective reaction processes are developed and
enables ongoing Improvement
49

toàn
Giới thiệu
122
7/29/2023
Awareness Training Education
Objective Members of the organization Members of the organization can Members of the organization can
can recognize threats and mount effective responses using engage in active defense and use
formulate simple responses learned skills understanding of the organization's
objectives to make continuous
improvement
Teaching • Media videos • Formal training • Theoretical instruction
methods • Newsletters • Workshops • Discussions/seminars
• Posters • Hands-on practice • Background reading
• Informal training
Assessment True/false or multiple choice Problem solving (apply learning) Essay (interpret learning)
(identify learning)
Impact time Short-term Intermediate Long-term
frame
50
3.1. Giáo dục an toàn

• Mọi người trong tổ chức cần được huấn luyện và nâng cao nhận thức về an toàn thông tin, nhưng
không phải ai cũng cần có bằng cấp hoặc chứng chỉ chính thức về an toàn thông tin
• Khi ban giám đốc đồng ý rằng áp dụng giáo dục chính thức là phù hợp, nhân viên có thể tìm hiểu
các khóa học về giáo dục thường xuyên từ các cơ sở giáo dục đại học tại địa phương. Các trường
đại học trên thế giới đã có các khóa học chính thức về an toàn thông tin (Bộ môn Hệ thống thông
tin kế toán-Khoa Kế toán-UEH tiên phong giảng dạy ở Việt Nam).
51
123
7/29/2023
3.1. Giáo dục an toàn

 Đối với những người quan tâm đến việc nghiên cứu các chương trình an toàn thông tin chính thức,
có các tài nguyên hạn như chương trình National Centers of Academic Excellence (xem
www.iad.gov/NIETP/index.cfm). Chương trình này xác định các trường đại học cung cấp các môn
học về an toàn thông tin và quan điểm tích hợp về an toàn thông tin trong tổ chức. Các tài nguyên
địa phương khác cũng có thể cung cấp thông tin về giáo dục an toàn, chẳng hạn như Trung tâm
Giáo dục An ninh Thông tin của Bang
Kennesaw (http://infosec.kennesaw.edu)
52
3.2. Huấn luyện an toàn

• Huấn luyện an toàn cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực hành để
chuẩn bị cho họ thực hiện nhiệm vụ một cách an toàn. Quản lý an toàn thông tin có thể
phát triển huấn luyện nội bộ hoặc thuê dịch vụ huấn luyện
• Các lựa chọn thay thế cho các chương trình huấn luyện chính thức là các hội nghị và
chương trình huấn luyện trong ngành được cung cấp thông qua các cơ quan chuyên môn
như SANS (www.sans.org), ISC2 (www.isc2.org) và ISSA (www.issa.org). Nhiều
chương trình trong số này phù hợp với các chuyên gia an toàn thông tin hơn so với người
dung bình thường vì khá thiên về khía cạnh kỹ thuật
53
124
7/29/2023
3.2. Huấn luyện an toàn

 Một số tài nguyên để thực hiện các chương trình SETA cung cấp hỗ trợ dưới dạng các
chủ đề và cấu trúc mẫu cho các lớp bảo mật. Đối với các tổ chức, Trung tâm Tài
nguyên An ninh Máy tính tại NIST cung cấp miễn phí một số tài liệu hữu ích trong lĩnh
vực này (http://csrc.nist.gov)
54
3.3. Nhận thức về an toàn

 Chương trình nâng cao nhận thức về an toàn là một trong những chương trình ít được
thực hiện thường xuyên nhất nhưng mang lại nhiều lợi ích nhất trong một tổ chức, được
thiết kế để giữ an toàn thông tin được đặt lên hàng đầu trong tâm trí người dùng. Nếu
chương trình này không được triển khai tích cực, nhân viên có thể bắt đầu bỏ qua các
vấn đề an toàn và nguy cơ có thể phát sinh với an toàn thông tin của tổ chức
55
125
7/29/2023
3.3. Nhận thức về an toàn

• Các chương trình nâng cao nhận thức không cần phải phức tạp hoặc tốn kém chi phí
(bản tin, áp phích tuyên truyền an toàn thông tin, video, bảng thông báo, tờ rơi, khẩu
hiệu an ninh in trên miếng lót chuột, cốc cà phê, áo phông, bút hoặc bất kỳ đồ vật nào
thường xuyên được sử dụng trong ngày làm việc để nhắc nhở nhân viên về an toàn)
• Bản tin an toàn là phương pháp tiết kiệm chi phí nhất để phổ biến thông tin cho nhân
viên, được phân phối qua bản cứng, e-mail hoặc mạng nội bộ. Các chủ đề bao gồm: các
mối đe dọa mới đối với tài sản thông tin của tổ chức, lịch trình cho các lớp bảo mật sắp
tới và việc bổ sung nhân viên an toàn mới. Mục đích là giữ ý tưởng về an toàn thông tin
trong tâm trí người dùng và kích thích người dùng quan tâm đến an toàn
56

The process that seeks to teach members of the organization what security is and what the
employee should do in some situations is known as security _____. a. education
b. training
c. awareness
d. alertness
126
7/29/2023

The process that seeks to teach members of the organization what security is and what the
employee should do in some situations is known as security _____.
Answer: c. awareness
Training is how an organization prepares members on how they should react and respond when
threats are encountered in specified situations. Education seeks to provide theoretical
foundations to members of the organization as to why it has prepared in the way it has and why
the organization reacts in the ways it does.
Alertness is not an element covered in this module.
4. Bảng kế hoạch chi tiết, mô hình, và khuôn mẫu về an toàn

thông tin
4.1 Giới thiệu
4.2 Thiết kế kiến trúc an toàn
4.2.1 Lĩnh vực kiểm soát (Spheres of Security)
4.2.2 Cấp độ kiểm soát (Levels of Controls)
4.2.3 Phòng thủ sâu (Defense in Depth)
4.2.4 Vành đai an toàn (Security Perimeter)
59
127
7/29/2023
4.1. Giới thiệu

• Sau khi đã phát triển các chính sách và tiêu chuẩn an toàn thông tin, tổ chức bắt đầu phát
triển bảng kế hoạch chi tiết (blueprint) cho chương trình an toàn thông tin.
• Bảng kế hoạch chi tiết là kế hoạch và cơ sở để thiết kế, lựa chọn và triển khai tất cả các
thành phần của chương trình an toàn, bao gồm các chính sách, các chương trình quản lý rủi
ro, các chương trình huấn luyện vào đào tạo, ….
• Bảng kế hoạch chi tiết là việc triển khai chi tiết khuôn mẫu (framework) an toàn thông tin.
Nó xác định các nhiệm vụ và thứ tự hoàn thành chúng, giống như bản vẽ thiết kế cho việc
xây dựng một tòa nhà.
• Khuôn mẫu an toàn là nền tảng về mặt lý luận cho việc thiết kế bảng kế hoạch chi tiết,
cũng giống như phong cách hoặc phương pháp luận mà một kiến trúc sư được đào tạo hoặc
sử dụng trong thiết kế.
60
4.1. Giới thiệu

• Khi chọn cách thức để phát triển một bảng kế hoạch chi tiết an toàn thông tin, tổ chức
nên điều chỉnh hoặc áp dụng một mô hình (model) an toàn thông tin được công nhận
rộng rãi bởi một tổ chức hoặc cơ quan an toàn đã thành lập. Các mô hình của các khuôn
mẫu chuẩn mực này có thể giúp phác thảo các bước thiết kế và thực hiện an toàn thông
tin trong tổ chức. Nhóm an toàn lưu ý cần sửa đổi hoặc điều chỉnh mô hình cho phù hợp
với đặc thù của tổ chức trước khi áp dụng
• Khi một khuôn mẫu an toàn thông tin được công nhận rộng rãi, nó được gọi là mô hình
an toàn thông tin. Do vậy, khuôn mẫu và mô hình đôi khi được sử dụng thay thế cho
nhau.
• Danh sách các mô hình an toàn: The ISO 27000 Series, mô hình an toàn NIST SP 800-
14, NIST và khuôn mẫu quản trị rủi ro
61
128
7/29/2023
4.1. Giới thiệu

 Mô hình an toàn NIST SP 800-14
 Các nguyên tắc thực hành được chấp nhận về an toàn hệ thống công nghệ thông tin (SP 800-
14) hỗ trợ đơn vị phát triển bảng kế hoạch chi tiết về an toàn thông tin, thông qua cung cấp
các nguyên tắc thực hành về an toàn: o An toàn hỗ trợ sứ mệnh của tổ chức
o An toàn là một yếu tố không thể thiếu của quản lý hữu hiệu o An toàn cần
hiệu quả về mặt chi phí
o Chủ sở hữu hệ thống có trách nhiệm bảo mật thông tin của các bên liên
quan o Trách nhiệm bảo mật và trách nhiệm giải trình phải được thực hiện rõ
ràng o An toàn yêu cầu một phương pháp toàn diện và tích hợp o An toàn nên
được đánh giá lại định kỳ o An toàn bị hạn chế bởi các yếu tố xã hội
62
4.1 Giới thiệu

• Mô hình an toàn NIST SP 800-14
• 33 nguyên tắc của NIST SP 800-14 (đọc thêm)
129
7/29/2023
4.1 Giới thiệu

• Mô hình an toàn NIST SP 800-14
• 33 nguyên tắc của NIST SP 800-14 (đọc thêm)
4.1 Giới thiệu

• NIST và khuôn mẫu quản trị rủi ro
• Khuôn mẫu quản lý rủi ro (RMF) trình bày cách tiếp cận của NIST để quản lý rủi ro
trong đơn vị:
• Xây dựng khả năng an toàn thông tin vào các hệ thống thông tin liên thông qua việc áp dụng
các biện pháp kiểm soát an ninh kỹ thuật, hoạt động và quản lý hiện đại
• Duy trì nhận thức về trạng thái an toàn của hệ thống thông tin thường xuyên thông qua các
quy trình giám sát nâng cao
• Cung cấp thông tin cần thiết để giúp nhà quản lý cấp cao đưa ra quyết định về việc chấp nhận
rủi ro đối với hoạt động và tài sản của đơn vị, cá nhân và các đơn vị khác phát sinh từ việc sử
dụng hệ thống thông tin
130
7/29/2023
4.1 Giới thiệu

• NIST và khuôn mẫu quản trị rủi ro
• RMF có các đặc điểm sau:
• Thúc đẩy khái niệm quản lý rủi ro theo thời gian thực và phân quyền hệ thống thông tin liên tục thông
qua việc triển khai giám sát liên tục mạnh mẽ
• Khuyến khích sử dụng tự động hóa để cung cấp cho các nhà quản lý cấp cao thông tin cần thiết nhằm
đưa ra các quyết định dựa trên rủi ro, hiệu quả về chi phí về hệ thống thông tin, từ đó hỗ trợ các sứ
mệnh cốt lõi và các chức năng kinh doanh của đơn vị
• Tích hợp an toàn thông tin vào kiến trúc doanh nghiệp và chu kỳ phát triển hệ thống
• Nhấn mạnh việc lựa chọn, thực hiện, đánh giá và giám sát các biện pháp kiểm soát an ninh và phân
quyền hệ thống thông tin
• Liên kết các quy trình quản lý rủi ro ở cấp hệ thống thông tin với các quy trình quản lý rủi ro ở cấp đơn
vị thông qua chức năng điều hành rủi ro
• Thiết lập trách nhiệm và trách nhiệm giải trình đối với các biện pháp kiểm soát an ninh được triển khai
trong hệ thống thông tin của đơn vị và được kế thừa bởi các hệ thống đó (VD: các kiểm soát phổ biến)
4.2. Thiết kế kiến trúc an toàn

4.2.1Lĩnh vực kiểm soát (Spheres of Security)
4.2.2Cấp độ kiểm soát (Levels of Controls)
4.2.3Phòng thủ sâu (Defense in Depth)
4.2.4Vành đai an toàn (Security Perimeter)
131
7/29/2023
4.2.1. Lĩnh vực an toàn
68

 Lĩnh vực bảo mật, được thể hiện trong Hình 3-10, là nền tảng của khuôn mẫu an toàn,
minh họa cách thức thông tin bị tấn công từ nhiều nguồn khác nhau. Phạm vi bên trái của
Hình 3-10 minh họa các cách người dùng truy cập thông tin. Ví dụ, mọi người đọc bản
cứng của tài liệu và truy cập thông tin thông qua hệ thống. Thông tin, là tài sản quan trọng
nhất trong mô hình này, nằm ở trung tâm của khối cầu. Thông tin luôn có nguy cơ bị tấn
công bất cứ khi nào con người hoặc hệ thống máy tính có thể truy cập được. Mạng và
Internet là những mối đe dọa gián tiếp, ví dụ như thực tế là một người cố gắng truy cập
thông tin từ Internet phải đi qua các mạng cục bộ.
69
132
7/29/2023

 Hình 3-10 minh họa giữa mỗi lớp của lĩnh vực bảo mật sử dụng phải tồn tại một lớp bảo
vệ. Ví dụ: “chính sách và luật pháp”, “giáo dục và huấn luyện” là những biện pháp bảo vệ
được đặt giữa con người và thông tin. Việc kiểm soát cũng được thực hiện giữa các hệ
thống và thông tin, giữa mạng và hệ thống máy tính, và giữa Internet và mạng nội bộ.
Điều này củng cố khái niệm phòng thủ sâu. Có thể sử dụng nhiều cách kiểm soát để bảo
vệ thông tin. Do mọi người có thể truy cập trực tiếp vào từng vòng cũng như vào thông tin
ở vị trí cốt lõi của mô hình, nên khối bảo vệ cần tập trung cố gắng kiểm soát truy cập bằng
cách dựa vào con người so với dựa vào công nghệ. Các thành viên của tổ chức phải trở
thành một lực lượng bảo vệ được đào tạo, thực hiện và duy trì hiệu quả, nếu không họ
cũng sẽ gây ra mối đe dọa đối với thông tin.
70

 An toàn thông tin được thiết kế và thực hiện theo ba lớp: chính sách (P), con người (P:
giáo dục, huấn luyện và các chương trình nâng cao nhận thức) và công nghệ (T). Các lớp
này thường được gọi là PPT. Mỗi lớp chứa các biện pháp kiểm soát và biện pháp bảo vệ
để bảo vệ thông tin và tài sản hệ thống thông tin mà tổ chức xem trọng. Tuy nhiên, trước
khi có thể thực hiện bất kỳ biện pháp kiểm soát kỹ thuật hoặc các biện pháp bảo vệ nào
khác, các chính sách xác định triết lý quản lý đằng sau quy trình an toàn cần được áp
dụng.
71
133
7/29/2023
4.2.2 Cấp độ kiểm soát

 Các biện pháp bảo vệ an toàn thông tin cung cấp ba cấp độ kiểm soát:
Kiểm soát quản lý (Management controls): thiết lập hướng và phạm vi của các quy trình an toàn và
cung cấp hướng dẫn chi tiết cho hành vi, tiến hành thiết kế và thực hiện quy trình lập kế hoạch an
toàn và quản lý chương trình an toàn, giải quyết các đánh giá về quản lý rủi ro và kiểm soát an
ninh, mô tả sự cần thiết và phạm vi tuân thủ pháp luật, và đặt ra các hướng dẫn để duy trì toàn bộ
chu kỳ an toàn
Kiểm soát hoạt động (Operational controls): giải quyết vấn đề an toàn nhân sự, an toàn vật lý, bảo
vệ đầu vào và đầu ra của hệ thống, hướng dẫn việc phát triển các chương trình giáo dục, huấn
luyện và nâng cao nhận thức cho người dùng, quản trị viên và ban quản lý, giải quyết vấn đề bảo
trì hệ thống phần cứng và phần mềm cũng như tính toàn vẹn của dữ liệu
Kiểm soát kỹ thuật (Technical controls): là việc triển khai chiến thuật và kỹ thuật liên quan đến
thiết kế và tích hợp an toàn trong tổ chức. Trong khi các kiểm soát hoạt động giải quyết các vấn đề
vận hành cụ thể, chẳng hạn như phát triển và tích hợp các kiểm soát vào các chức năng kinh doanh,
kiểm soát kỹ thuật bao gồm các kiểm soát truy cập lôgic, chẳng hạn như nhận dạng, xác thực, phân
quyền, trách nhiệm giải trình (bao gồm dấu vết kiểm toán), mã hóa, phân loại tài sản và người
dùng
72

Information security safeguards focus on lower-level planning that deale with the functionality
of the organization’s security; they include disaster recovery planning, incident response
planning, and SETA programs and are collectively called _____ controls.
a. managerial
b. technical
c. strategic
d. operational
134
7/29/2023

Information security safeguards focus on lower-level planning that deal with the functionality of the
organization’s security; they include disaster recovery planning, incident response planning, and
SETA programs and are collectively called _____ controls.
Answer: d. operational
Operational controls address personnel and physical security and the protection of production
inputs/outputs, while managerial controls set the direction and scope of the security processes and
provide detailed instructions for their conduct, and technical controls are the tactical and technical
implementations related to designing and integrating security in the organization.
4.2.3. Phòng thủ sâu

 Nguyên lý cơ bản của kiến trúc an toàn là việc triển khai an toàn theo lớp. Để đạt được
khả năng phòng thủ sâu, một tổ chức phải thiết lập nhiều lớp kiểm soát an ninh và các
biện pháp bảo vệ, có thể được tổ chức thành chính sách, đào tạo, giáo dục và công nghệ,
khi kết hợp nhiều lớp bảo vệ, chính sách có thể hỗ trợ ngăn chặn các cuộc tấn công. Ví
dụ, lớp đào tạo và giáo dục có thể giúp bảo vệ chống lại các cuộc tấn công được kích hoạt
bởi sự thiếu hiểu biết của nhân viên và kỹ thuật xã hội. Công nghệ cũng được thực hiện
theo từng lớp, với thiết bị phát hiện hoạt động song song với công nghệ phản ứng đằng
sau cơ chế kiểm soát truy cập. Dự phòng có thể được triển khai tại một số điểm trong
toàn bộ kiến trúc an toàn, chẳng hạn như trong tường lửa, máy chủ proxy và kiểm soát
truy cập
75
135
7/29/2023
4.2.3. Phòng thủ sâu
76
4.2.4. Vành đai an toàn

• Vành đai an toàn là biên giới an ninh bảo vệ tất cả các hệ thống bên trong khỏi các mối
đe dọa từ bên ngoài
• Vai trò bảo vệ của vành đai gặp khó khăn trong các trường hợp sau:
• Các cuộc tấn công nội bộ từ các mối đe dọa của nhân viên / các mối đe dọa vật lý tại chỗ
• Sự xuất hiện của các thiết bị điện toán di động, có chức năng dựa trên đám mây
• Cần tăng cường tập trung vào việc cải thiện an toàn cấp hệ thống đối với các tài sản được
nối mạng. Một tổ chức cần kết hợp vành đai an toàn điện tử (electronic security
perimeter) với vành đai an toàn vật lý (physical security perimeter). Vành đai an toàn là
một yếu tố thiết yếu của khung bảo mật tổng thể, các chi tiết triển khai của nó là cốt lõi
của bảng kế hoạch chi tiết an toàn thông tin hoàn chỉnh. Các thành phần chính của vành
đai an toàn là tường lửa, DMZ (demilitarized zones), máy chủ proxy và IDPSs
77
136
7/29/2023
4.2.4. Vành đai an toàn

 Với sự phát triển vượt bậc về mức độ phổ biến của điện toán đám mây và lưu trữ dữ
liệu, cũng như việc tiếp tục sử dụng các thiết bị điện toán di động, ranh giới “bên
trong” hay “bên ngoài” đối với mạng của các tổ chức gần như bị xóa nhòa
 Vành đai an toàn là toàn bộ sự hiện diện mạng của một tổ chức, ở bất nơi nào có dữ
liệu của đơn vị, việc sử dụng phòng thủ sâu là một cách tiếp cận hợp lệ để bảo vệ đơn vị
trong môi trường công nghệ mới
78
79
137
7/29/2023
Bài tập
Câu hỏi ôn tập (review questions)
• 1, 5, 7, 17, 18, 19, 20, 21
Bài tập (exercises)
• 2, 3
CHƯƠNG 4
QUẢN LÝ RỦI RO
1
1
138
7/29/2023
Tình huống
Charlie Moody đã tổ chức một cuộc họp. Phòng họp có đầy đủ các chuyên viên phát triển,
phân tích hệ thống, người quản lý CNTT, nhân viên và quản lý của bộ phận bán hàng và các
bộ phận khác.
• “Được rồi, mọi người, hãy bắt đầu. Chào mừng bạn đến với cuộc họp khởi động của
nhóm dự án quản lý rủi ro mới của chúng tôi, Đội đặc nhiệm bảo mật thông tin
(Sequential Label and Supply Information Security Task Force). Hôm nay, chúng ta có
mặt ở đây để nói về các mục tiêu của mình và xem xét kế hoạch làm việc ban đầu”
• "Tại sao bộ phận của tôi lại ở đây?“, người quản lý bộ phận bán hàng đặt câu hỏi.
“An toàn có phải là vấn đề của bộ phận CNTT không?”
2
2
Tình huống
Charlie giải thích, “Chúng tôi đã từng nghĩ như vậy, nhưng chúng tôi nhận ra rằng an toàn
• thông tin là quản lý rủi ro khi sử dụng thông tin, liên quan đến hầu hết mọi người trong công
ty. Để làm cho hệ thống của chúng ta an toàn hơn, chúng ta cần sự tham gia của đại diện từ tất
cả các bộ phận”.
“Tôi hy vọng mọi người sẽ đọc các gói tin mà tôi đã gửi vào tuần trước, mô tả các yêu cầu
pháp lý mà chúng ta phải đối mặt trong ngành của mình và các bài viết về các nguy cơ và tấn
công. Hôm nay, chúng ta sẽ bắt đầu quá trình xác định và phân loại tất cả các rủi ro về CNTT
mà tổ chức của chúng ta phải đối mặt. Điều này bao gồm mọi thứ, từ hỏa hoạn và lũ lụt có thể
làm gián đoạn hoạt động kinh doanh của chúng ta cho đến những tin tặc có thể cố gắng lấy cắp
hoặc phá hủy dữ liệu của chúng ta
3
139
7/29/2023
•
Tình huống
Khi chúng ta xác định và phân loại các rủi ro mà tài sản của mình phải đối mặt, chúng ta có
thể thảo luận về cách giảm thiểu hoặc loại bỏ những rủi ro này bằng cách thiết lập các biện
• pháp kiểm soát. Việc lựa chọn áp dụng thủ tục kiểm soát nào sẽ phụ thuộc vào chi phí và
lợi ích của mỗi thủ tục kiểm soát”
"Chà, Charlie!" Amy Windahl nói từ phía sau phòng. “Tôi chắc chắn rằng chúng ta cần
• phải làm điều đó - tôi đã bị tấn công lần trước, cũng như mọi người ở đây nhưng chúng ta
có hàng tá hệ thống.”
• Charlie nói: “Đó là lý do tại sao chúng ta có rất nhiều người trong nhóm này và tại sao
nhóm bao gồm các thành viên của mọi bộ phận.”
“Được rồi, mọi người, hãy mở email của bạn và tải thông tin kế hoạch dự án với danh sách
công việc hiển thị các nhóm, nhiệm vụ và lịch trình. Có câu hỏi nào trước khi chúng ta bắt
đầu xem xét kế hoạch làm việc?”
4
• Tình huống
Khi Charlie kết thúc cuộc họp, anh ấy đã tóm tắt một vài điểm chính cho mọi người tham
gia vào dự án xác định các tài sản thông tin của doanh nghiệp.
“Được rồi, mọi người, trước khi chúng ta kết thúc, xin hãy nhớ rằng bạn nên cố gắng hoàn
thành danh sách tài sản thông tin của mình, nhưng hãy nhớ tập trung sự chú ý của bạn vào
những tài sản có giá trị lớn trước. Ngoài ra, hãy nhớ rằng chúng ta đánh giá tài sản của
mình dựa trên tác động kinh doanh đến lợi nhuận trước tiên, sau đó là chi phí kinh tế của
việc thay thế. Hãy gửi cho tôi các câu hỏi nếu phát sinh trong quá trình xác định danh mục
tài sản của bạn. Chúng ta sẽ lên lịch cho cuộc họp tiếp theo, sau hai tuần, vì vậy vui lòng
chuẩn bị sẵn bản thảo danh sách tài sản của bạn”
5
140
7/29/2023

1. Hiểu khái niệm quản lý rủi ro và tầm quan trọng của quản lý rủi ro
2. Có thể giải thích khuôn mẫu quản lý rủi ro
3. Hiểu khái niệm mức độ chấp nhận rủi ro/khẩu vị rủi ro (risk appetite) và mối quan hệ của
nó với rủi ro còn lại
4. Có khả năng xác định và lập tài liệu về rủi ro
5. Hiểu về cách thức đánh giá rủi ro
6. Hiểu các phương án chiến lược giảm rủi ro
7. Hiểu các khuôn mẫu đánh giá kiểm soát rủi ro và phân tích lợi ích - chi phí
8. Có khả năng so sánh giữa các phương pháp quản lý rủi ro
6
6
Nội dung
1. Giới thiệu
2. Khuôn mẫu quản lý rủi ro
3. Quy trình quản lý rủi ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp quản lý rủi ro khác
7
7
141
7/29/2023
Thuật ngữ
Acceptance risk control strategy Chiến lược kiểm soát: chấp nhận rủi ro
Annualized cost of a safeguard - ACS Chi phí thường niên của biện pháp bảo vệ
Annualized loss expectancy - ALE Dự báo tổn thất hàng năm
Annualized rate of occurrence - ARO Tỷ lệ xuất hiện hàng năm
Attack Success Probability Tỷ lệ thành công của cuộc tấn công

Asset valuation Xác định giá trị tài sản
Asset value Giá trị của tài sản
8
8
Thuật ngữ
Asset exposure Mức độ tổn thất
Avoidance of competitive disadvantage Tránh bất lợi cạnh tranh
Competitive advantage Lợi thế cạnh tranh

Cost-Benefit Analysis (CBA) Phân tích lợi ích – chi phí
Behavioral feasibility Khả thi về hành vi
Likelihood Xác suất xảy ra (tấn công)
Mitigation risk control strategy Chiến lược kiểm soát: giảm thiểu rủi ro
Operational Feasibility Khả thi hoạt động
Organizational Feasibility Khả thi tổ chức
Political feasibility Khả thi chính trị
9
9
142
7/29/2023
Thuật ngữ
Probable Loss Tổn thất có thể xảy ra
Residual risk Rủi ro còn lại
Risk appetite Khẩu vị rủi ro
Risk assessment Đánh giá rủi ro
Risk control Kiểm soát rủi ro
Risk identification Xác định rủi ro
Risk management Quản lý rủi ro

Risk tolerance Khả năng chịu đựng rủi ro
Security clearance Phân quyền an ninh
Single loss expectancy - SLE Dự báo tổn thất đơn lẻ
10
10
Thuật ngữ
Technical feasibility Khả thi kỹ thuật
Termination risk control strategy Chiến lược kiểm soát: hủy bỏ rủi ro
Threat Nguy cơ
Threat assessment Đánh giá nguy cơ
Threats-vulnerabilities-assets (TVA) triples Bộ ba nguy cơ – Điểm yếu của hệ thống – tài sản
Threats-vulnerabilities-assets (TVA) worksheet

Bảng nguy cơ – Điểm yếu của hệ thống – tài
sản
Transference risk control strategy Chiến lược kiểm soát: chuyển giao rủi ro
Vulnerability Điểm yếu tiềm ẩn
11
11
143
7/29/2023
Nội dung
1. Giới thiệu
12
12
1. Giới thiệu
Quản lý rủi ro là quy trình xác định rủi ro, đánh giá mức độ tổn thất và thực hiện
các giải pháp để giảm thiểu rủi ro đến mức độ chấp nhận rủi ro.
13
13
144
7/29/2023
1. Giới thiệu
Tôn Tử (Sun Tzu) và nghệ thuật quản lý rủi ro
• Xác định, kiểm tra và hiểu về thông tin và hệ thống hiện hành.
Biết bản
• Xác định điểm yếu tiềm ẩn trong kiểm soát tài sản thông tin thân
của DN.
• Xác định, kiểm tra và hiểu các nguy cơ đối với tổ chức.
• Xác định nguy cơ nào ảnh hưởng trực tiếp nhất đến an ninh
Biết đối của tổ chức và tài sản thông tin. thủ
• Xếp hạng các nguy cơ theo mức độ quan trọng của tài sản thông tin
bị đe dọa.
14

14
Nội dung
1. Giới thiệu
15
15
145
7/29/2023

2.1. Khuôn mẫu và quy trình quản lý rủi ro
2.2. Vai trò của các bên có lợi ích liên quan
2.3. Chính sách quản lý rủi ro
2.4. Thiết kế khuôn mẫu quản lý rủi ro
2.5. Mức độ chấp nhận rủi ro và khẩu vị rủi ro
2.6. Triển khai khuôn mẫu quản lý rủi ro
2.7. Theo dõi và đánh giá khuôn mẫu quản lý rủi ro
16
16

Quản lý rủi ro liên quan đến việc tìm ra câu trả lời cho những câu hỏi về rủi ro gắn liền
với từng tài sản thông tin
Xác định Có những rủi ro nào và nguồn gốc của chúng?
rủi ro
Phân tích Mức độ nghiêm trọng của rủi ro?

rủi ro
Đánh giá Rủi ro có vượt quá mức độ chấp nhận không?

rủi ro
Thủ tục kiểm soát nào nên được triển khai để giảm rủi ro đến
Kiểm soát
rủi ro mức độ chấp nhận rủi ro? 17

17
146
7/29/2023

• Quản lý rủi ro: Quá trình xác định rủi ro, đánh giá mức độ thiệt hại tương đối của nó và
thực hiện các bước để giảm rủi ro xuống mức có thể chấp nhận được.
• Xác định rủi ro: Việc nhận diện, làm rõ, và lập tài liệu về các rủi ro đối với tài sản thông
tin của tổ chức.
• Đánh giá rủi ro: Xác định mức độ mà tài sản thông tin của một tổ chức có thể gặp rủi ro.
• Xử lý rủi ro (kiểm soát rủi ro): Việc áp dụng các biện pháp bảo vệ hoặc kiểm soát nhằm
giảm rủi ro đối với tài sản thông tin của tổ chức xuống mức có thể chấp nhận được.
18
18
19
19
147
7/29/2023

• Khuôn mẫu QLRR là cấu trúc tổng thể của việc lập kế hoạch và thiết kế chiến
lược cho toàn bộ các nỗ lực quản lý rủi ro của tổ chức.
• Quy trình QLRR là việc thực hiện quản lý rủi ro theo khuôn mẫu QLRR.
• Khuôn mẫu QLRR (lập kế hoạch) hướng dẫn quy trình QLRR (thực hiện), tiến
hành các quy trình đánh giá và khắc phục rủi ro
20
20
Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các nguy cơ gây rủi ro cho DN
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành hệ thống an toàn.
Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác cho các nhóm an toàn
thông tin và CNTT để đáp ứng nhu cầu bảo mật.
21
21
148
7/29/2023
Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình quản lý rủi
ro.
22
22
Các bên có lợi ích liên quan phải làm việc cùng nhau để giải quyết tất cả các mức độ rủi ro
và chịu trách nhiệm đối với việc:
• Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
• Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả về mặt chi phí
• Thực hiện hoặc thiết lập các thủ tục kiểm soát cần thiết
• Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
23
23
149
7/29/2023
2.3. Chính sách quản lý rủi ro

• Chính sách quản lý rủi ro chuyển đổi các hướng dẫn và quan điểm của các nhà quản trị
(cung cấp cho nhóm khuôn mẫu quản lý rủi ro) thành các hướng dẫn liên tục và chỉ đạo tất
cả các nỗ lực quản lý rủi ro trong tổ chức.
• Các chính sách QLRR bao gồm các phần
• Mục đích và phạm vi
• Định hướng và mục tiêu
• Vai trò và trách nhiệm
• Yêu cầu về nguồn lực
• Khả năng chịu rủi ro và khẩu vị rủi ro
• Hướng dẫn phát triển chương trình QLRR
• Hướng dẫn đặc biệt và thông tin sửa đổi
• Tham chiếu đến các chính sách, kế hoạch, tiêu chuẩn và hướng dẫn quan trọng khác.
24
24
2.4. Thiết kế khuôn mẫu quản lý rủi ro

• Nhóm khuôn mẫu phụ trách việc thiết kế quy trình quản lý rủi ro, qua đó giúp tổ chức hiểu
được các mức độ rủi ro hiện tại của mình và xác định xem tổ chức cần phải làm gì để đưa
rủi ro xuống mức có thể chấp nhận được phù hợp với khẩu vị rủi ro đã xác định.
• Ngoài ra, nhóm khuôn mẫu cũng chính thức lập tài liệu và xác định khẩu vị rủi ro của tổ
chức và soạn thảo kế hoạch quản lý rủi ro.
25
25
150
7/29/2023
2.5. Khả năng chịu rủi ro và Khẩu vị rủi ro

• Khẩu vị rủi ro: số lượng và bản chất của rủi ro mà tổ chức sẵn sàng chấp nhận khi họ đánh
giá sự đánh đổi giữa bảo mật hoàn hảo và khả năng truy cập không giới hạn.
• Rủi ro còn lại: rủi ro còn lại đối với tài sản thông tin sau khi áp dụng các biện pháp kiểm
soát.
• Khả năng chịu rủi ro (ngưỡng rủi ro): lượng rủi ro một tổ chức sẵn sàng chấp nhận đối với
một tài sản thông tin cụ thể.
• Mục tiêu của an toàn thông tin là giảm rủi ro còn lại phù hợp với khẩu vị rủi ro.
26
26
2.6. Triển khai khuôn mẫu quản trị rủi ro

• Việc triển khai kế hoạch QLRR có thể dựa trên một số phương pháp triển
khai CNTT truyền thống, và có thể bị ảnh hưởng bởi khẩu vị rủi ro của tổ
chức.
• Các phương pháp triển khai gồm:
• Kiểm tra hồ sơ, tài liệu (Desk check)
• Kiểm tra thử nghiệm (Pilot-test)
• Kiểm tra theo giai đoạn (Phased approach)
• Chuyển đổi trực tiếp
27
27
151
7/29/2023
2.7. Theo dõi và đánh giá khuôn mẫu quản lý rủi ro

• Sau khi triển khai khuôn mẫu và khi nỗ lực vận hành khuôn mẫu quản lý rủi ro được
tiếp tục, tổ chức cần tiếp tục giám sát việc thực hiện quy trình quản lý rủi ro đồng
thời xem xét sự tiện ích và thành công tương đối của chức năng lập kế hoạch khuôn
mẫu quản lý rủi ro.
• Sau khi quy trình quản lý rủi ro được triển khai và vận hành, tổ chức nên quan tâm
chủ yếu đến việc giám sát và xem xét toàn bộ chu trình quy trình quản lý rủi ro.
28
28
Nội dung
1. Giới thiệu
29
29
152
7/29/2023

3.1. Thiết lập bối cảnh
3.2. Xác định rủi ro
3.3. Phân tích rủi ro
3.4. Đánh giá rủi ro
30
30
3.1 Thiết lập bối cảnh

• Bối cảnh trong giai đoạn này là sự hiểu biết về môi trường bên ngoài và bên trong mà
nhóm quản lý rủi ro sẽ tương tác khi tiến hành quy trình quản lý rủi ro.
• Ấn phẩm Đặc biệt 800-30 của NIST, Rev. 1, “Hướng dẫn Thực hiện Đánh giá Rủi ro,”
khuyến nghị việc chuẩn bị cho quy trình đánh giá rủi ro bằng cách thực hiện các nhiệm
vụ sau:
• Xác định mục đích đánh giá;
• Xác định phạm vi đánh giá;
• Xác định các giả định và ràng buộc liên quan đến đánh giá;
• Xác định các nguồn thông tin được sử dụng làm đầu vào cho đánh giá; và • Xác định
mô hình rủi ro và phương pháp phân tích.
31
31
153
7/29/2023
3.2. Xác định rủi ro

• Giai đoạn đầu tiên của quy trình quản lý rủi ro là xác định rủi ro.
• Ở giai đoạn này, các nhà quản lý phải:

1. Xác định tài sản thông tin của tổ chức
2. Phân loại tài sản thông tin
3. Phân loại tài sản thông tin thành những nhóm hữu ích
4. Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
32
32
Xác định tài sản thông tin của tổ chức
Tài sản thông tin gồm tất cả các yếu tố trong hệ thống như con người, thủ
tục, dữ liệu và thông tin, phần mềm, phần cứng và các yếu tố hệ thống
mạng
33
33
154
7/29/2023
34
34
35
35
155
7/29/2023
•
Phân loại các tài sản thông tin
Khi mỗi tài sản thông tin được xác định, phân loại và phân nhóm, một giá trị tương đối
•
phải được gán cho nó để đảm bảo rằng các tài sản thông tin có giá trị nhất được ưu tiên
cao nhất khi quản lý rủi ro.
Tài sản thông tin nào:
• Là quan trọng nhất đối với sự thành công của tổ chức?
• Tạo ra nhiều doanh thu nhất?
• Tạo ra khả năng sinh lời cao nhất?
• Là tốn nhiều chi phí nhất để thay thế?
• Là tốn nhiều chi phí nhất để bảo vệ?
• Tạo ra nghĩa vụ tài chính lớn nhất nếu nó bị mất hoặc tổn hại?
36
36

Có thể sử dụng sơ đồ phân loại dữ liệu (data classification scheme) để phân
loại tài sản thông tin
Mật (Confidential) Nội bộ (Internal) Bên ngoài (External)
• Được gọi là thôngtin • Các thông tin nội bộ • Tất cả thông tin đã
“nhạy cảm” hoặc khôngđáp ứng các tiêu chí được nhà quản trị phê
“độc quyền”. cho loại bí mật. duyệt để công bố công
• Phải được kiểm soát • Chỉ được xem bởi nhânviên khai.
chặt chẽ. công ty, nhà thầu được ủy
quyền và các bên thứ ba
khác.
37
37
156
7/29/2023

Có thể sử dụng sơ đồ phân loại dữ liệu (data classification scheme) để phân loại tài sản thông
tin
System Name: SLS E-commerce
Date Evaluated: February 2018
Evaluated By: D. Jones
38

38

Có thể sử dụng sơ đồ phân loại dữ liệu (data classification scheme) để phân
loại tài sản thông tin
39
39
157
7/29/2023
Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
• Bước cuối cùng trong quy trình xác định rủi ro là ưu tiên hoặc xếp hạng tài sản.
• Mục tiêu này có thể đạt được bằng cách sử dụng phân tích bảng trọng số.
• Liệt kê tài sản thông tin
• Lựa chọn tiêu chí
• Chỉ định trọng số tiêu chí
• Đánh giá từng tài sản
• Tính bình quân gia quyền/trung bình cộng có trọng số
• Xếp thứ tự theo điểm
40
40
Weighted Table Analysis of Information Assets (1 of 2)
41
41
158
7/29/2023
Weighted Table Analysis of Information Assets (2 of

2)
42
42
Đánh giá nguy cơ
• Các nguy cơ thực tế cần xem xét; các nguy cơ không quan trọng được đặt sang một bên.
Có thể sử dụng Bảng trọng số trong việc đánh giá các nguy cơ.
43
43
159
7/29/2023
Threats to Information Security 44

44

•
• Những nguy cơ nào gây nguy hiểm thực sự cho tài sản thông tin?
• Nguy cơ nào là nội bộ và nguy cơ nào là bên ngoài?
• Những nguy cơ nào có xác suất xảy ra cao nhất?
• Những nguy cơ nào có xác suất thành công cao nhất?
• Nguy cơ nào có thể dẫn đến tổn thất lớn nhất nếu thành công?
• Tổ chức có thể xử lý các nguy cơ nào kém hiệu quả nhất?
• Những nguy cơ nào cần nhiều chi phí nhất để đối phó?
Những nguy cơ nào tốn nhiều chi phí nhất để phục hồi?
45
45
160
7/29/2023

• Đánh giá điểm yếu tiềm ẩn:
• Điểm yếu tiềm ẩn là những con đường cụ thể mà các tác nhân đe dọa có thể khai thác
để tấn công một tài sản thông tin.
• Kiểm tra cách thức từng nguy cơ có thể xảy ra, đồng thời liệt kê các tài sản của tổ chức
và các điểm yếu tiềm ẩn của chúng.
• Cần gắn kết nguy cơ với các điểm yếu tiềm ẩn tương ứng.
• Trong quá trình xác định điểm yếu tiềm ẩn, nên thu thập ý kiến từ nhiều đối tượng liên
quan.
• Kết thúc quá trình đánh giá, cần thiết lập danh sách ưu tiên các tài sản thông tin cùng
với các điểm yếu tiền ẩn của chúng.
46
46
Vulnerability Assessment of a DMZ Router (1 of 2)

Threat Possible Vulnerabilities
Compromises to intellectual property Router has little intrinsic value, but other assets protected by this
device could be attacked if it is compromised.
Espionage or trespass Router has little intrinsic value, but other assets protected by this
Forces of nature All information assets in the organization are subject to forces of
nature unless suitable controls are provided.
Human error or failure Employees or contractors may cause an outage if configuration errors
are made.
Information extortion Router has little intrinsic value, but other assets protected by this
Quality-of-service deviations from service Unless suitable electrical power conditioning is provided, failure is
providers probable over time.

47
161
7/29/2023
Vulnerability Assessment of a DMZ Router (2 of 2)

Threat Possible Vulnerabilities
Sabotage or vandalism IP is vulnerable to denial-of-service attacks.
Device may be subject to defacement or cache poisoning.
Software attacks IP is vulnerable to denial-of-service attacks.
Outsider IP fingerprinting activities can reveal sensitive information
unless suitable controls are implemented.
Technical hardware failures or errors Hardware could fail and cause an outage. Power system failures are
always possible.
Technical software failures or errors Vendor-supplied routing software could fail and cause an outage.
Technological obsolescence If it is not reviewed and periodically updated, a device may fall too far
behind its vendor support model to be kept in service.
Theft Router has little intrinsic value, but other assets protected by this
device could be attacked if it is stolen.

48
Bảng Nguy cơ – Điểm yếu tiềm ẩn – Tài sản (TVA)
• Tài liệu xếp hạng so sánh các tài sản tương ứng với các nguy cơ, và dấu
hiệu về bất kỳ điểm yếu tiềm ẩn nào trong các cặp tài sản/ nguy cơ.
• Đóng vai trò là điểm khởi đầu cho bước tiếp theo trong quy trình quản lý
rủi ro — đánh giá rủi ro
49
49
162
7/29/2023
The TVA Worksheet (1 of 2)

Asset 1 Asset 2 Asset 3 ... ... ... ... ... ... Asset n
Threat 1 T1V1A1 T1V1A2 T1V1A3 T1V1A4
T1V2A1 T1V2A2 ... ...
T1V3A1 ...
...
Threat 2 T2V1A1 T2V1A2 T2V1A3
T2V2A1 ... ...
...
Threat 3 T3V1A1 T3V1A2
... ...
Threat 4 T4V1A1
...
50

50
The TVA Worksheet (2 of 2)

Asset 1 Asset 2 Asset 3 ... ... ... ... ... ... Asset n
Threat 5
Threat 6
...
...
Threat n
Legend: 1 2 3 4 5 6 7 8 ...
Priority of
effort
These bands of controls should be continued through all asset-threat pairs. 51

51
163
7/29/2023

• Phân tích rủi ro là đánh giá rủi ro tương đối đối với điểm yếu tiềm ẩn và xếp hạng hay
chấm điểm rủi ro cho từng tài sản thông tin.
• Mục tiêu là phát triển một phương pháp có thể lặp lại để đánh giá rủi ro tương đối của từng
điểm yếu tiềm ẩn đã được xác định.
• Nếu một điểm yếu tiềm ẩn được quản lý hoàn toàn bởi một thủ tục kiểm soát hiện hành, có
thể không cần xem xét thêm về nó.
• Nếu nó được kiểm soát một phần, tổ chức cần ước tính bao nhiêu phần trăm của điểm yếu
tiềm ẩn đã được kiểm soát
52
52

Rủi ro = Xác suất xảy ra tấn công x Mức độ tổn thất ± Sự
không chắc chắn của các ước tính
• Xác suất xảy ra tấn công (likelihood): xác suất mà một điểm yếu tiềm ẩn cụ thể sẽ bị khai
thác hoặc tấn công, thường được gọi là sự kiện đe dọa.
• Mức độ tổn thất (potential impact): sự hiểu biết về hậu quả tiềm tàng của môt cuộc tấn
công thành công vào một tài sản thông tin bởi một nguy cơ.
53
53
164
7/29/2023
Xác suất xảy ra tấn công (Likelihood)
• Xác suất xảy ra tấn công là một yếu tố rủi ro có trọng số dựa trên phân tích xác suất mà một
nguy cơ nhất định có khả năng khai thác một điểm yếu tiềm ẩn cụ thể (hoặc tập hợp các lỗ
hổng).
• Đối với các nguy cơ từ đối thủ, việc đánh giá xác suất xảy ra tấn công thường dựa trên:
• Ý định của đối thủ; • Khả năng của đối thủ;
• Mục tiêu của đối thủ.
• Đối với các sự kiện khác, xác suất xảy ra tấn công được ước tính bằng cách sử dụng bằng
chứng lịch sử, dữ liệu thực nghiệm hoặc các yếu tố khác (NIST SP 800-30).
54

54
Xác suất xảy ra tấn công (Likelihood)
55

55
165
7/29/2023
Mức độ tổn thất (Potential Impact)
• Mức độ tổn thất từ một sự kiện đe dọa là mức độ thiệt hại có thể xảy ra do hậu quả của
việc tiết lộ thông tin trái phép, sửa đổi trái phép thông tin, phá hủy trái phép thông tin
hoặc mất thông tin hoặc tính khả dụng của hệ thống thông tin…
• Các tổ chức cần xác định:
• Quy trình được sử dụng để tiến hành xác định tổn thất;
• Các giả định liên quan đến xác định mức độ tổn thất;
• Nguồn và phương pháp thu thập thông tin về mức độ tổn thất • Cơ sở cho các kết luận
liên quan đến việc xác định mức độ tổn thất (NIST SP 800-30, r. 1).
56

56
Mức độ tổn thất (Potential Impact)

Rank Description Example # of Productivity Financial Impact
Records Hours Lost
0 Not applicable No impact N/A N/A N/A

threat
1 Insignificant No interruption, no exposed data 0 0 0
2 Minor Multi-minute interruption, no exposed 0 2 $20,000
data
3 Moderate Multi-hour interruption, minor 499 4 $175,000

exposure of data
4 Major One-day interruption, exposure of 5,000 8 $2,000,000

data
5 Severe Multi-day interruption, major 50,000 24 $20,000,000

exposure of sensitive data
57

57
166
7/29/2023
Sự không chắc chắn của các ước tính

(Uncertainty)
Sự không chắc chắn vốn có trong đánh giá rủi ro, do những vấn đề:
• Những hạn chế về mức độ mà tương lai sẽ giống với quá khứ
• Kiến thức không hoàn hảo hoặc không đầy đủ về nguy cơ (ví dụ, đặc điểm của kẻ thù,
bao gồm chiến thuật, kỹ thuật và thủ tục)
• Các điểm yếu tiềm ẩn chưa được phát hiện trong công nghệ hoặc sản phẩm
• Sự phụ thuộc chưa được nhận biết, có thể dẫn đến các tác động không lường trước
được.
58

58
Ước tính rủi ro
Rủi ro = Xác suất xảy ra tấn công x Mức độ tổn thất ± Sự

không chắc chắn của các ước tính
59
59
167
7/29/2023
Ma trận đánh giá rủi ro IRM của Clearwater

60
Risk Rating Worksheet (1 of 3)

Asset Vulnerability Likelihood Impact Risk-Rating Factor
Customer service E-mail disruption due 3 3 9

request via e-mail to hardware failure
(inbound)
request via e-mail to software failure
(inbound)
Customer order via Lost orders due to 2 5 10
SSL (inbound) Web server hardware
failure

61
168
7/29/2023


SSL (inbound) Web server or ISP
service failure
Customer service E-mail disruption 1 3 3
request via e-mail due to SMTP mail
(inbound) relay attack
request via e-mail to ISP service failure
(inbound)

62


request via e-mail to power failure
(inbound)
SSL (inbound) Web server denial-
ofservice attack
SSL (inbound) Web server software
failure
SSL (inbound) Web server buffer
overrun attack

63
169
7/29/2023

Rủi ro còn lại > khẩu vị rủi ro Rủi ro
còn lại
< khẩu
vị rủi
ro
Nên
Phải chuyển sang giai đoạn kiểm soát chuyể
rủi ro và tìm kiếm các chiến lược bổ n
sang
sung để giảm thiểu rủi ro hơn nữa giai
đoạn
sau
kiểm
soát
rủi ro
và
tiếp
tục
theo
dõi và
đánh
giá
các
biện
pháp
kiểm
soát
và tài
sản
64
64
170
7/29/2023

• Lập tài liệu kết quả đánh giá rủi ro
• Tài liệu tóm tắt cuối cùng là bảng xếp hạng rủi ro-điểm yếu tiềm ẩn (Ranked
Vulnerability Risk Worksheet).
• Mô tả các tài sản, giá trị tương đối của tài sản, điểm yếu tiềm ẩn, ….
• Là cơ sở cho việc thực hiện bước tiếp theo trong quy trình quản lý rủi ro: kiểm soát rủi
ro.
65
65

Kết quả đánh giá rủi ro
Kết quả Mục đích
Bảng phân loại tài sản thông tin Tập hợp thông tin về tài sản thông tin, mức độ nhạy cảm và giá trị
của chúng đối với tổ chức
Phân tích có trọng số giá trị của tài sản Sắp xếp thứ tự từng tài sản thông tin theo tiêu chí do tổ chức xây
dựng
Phân tích có trọng số mức độ nghiêm Sắp xếp thứ tự từng nguy cơ đối với tài sản thông tin của tổ chức theo
trọng của nguy cơ tiêu chí do tổ chức xây dựng
Bảng kiểm soát TVA Kết hợp kết quả đầu ra từ việc xác định và sắp xếp ưu tiên tài sản
thông tin với việc xác định và sắp xếp ưu tiên nguy cơ, xác định các
điểm yếu tiềm ẩn trong "bộ ba" và kết hợp các biện pháp kiểm soát
hiện có và theo kế hoạch
Bảng xếp hạng rủi ro Trình bày giá trị xếp hạng rủi ro cho từng bộ ba TVA, kết hợp xác
suất xảy ra rủi ro, mức độ thiệt hại và sự không chắc chắn của các
ước tính
66
66
171
7/29/2023
Nội dung
1. Giới thiệu
67
67
Giảm
Né tránh thiểu
Chấp Chuyển
nhận giao
68
68
172
7/29/2023
(1) Giảm thiểu rủi ro

Được gọi là chiến lược phòng thủ nhằm loại bỏ hoặc giảm bất cứ phần còn lại nào của
rủi ro không kiểm soát được thông qua việc áp dụng các kiểm soát và bảo vệ bổ sung.
• Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn
• Được thực hiện bằng cách chống lại các nguy cơ, loại bỏ các điểm yếu tiềm ẩn khỏi
tài sản, hạn chế quyền truy cập vào tài sản và bổ sung các biện pháp bảo vệ.
69

69
(2) Chuyển giao rủi ro

Chiến lược kiểm soát rủi ro cố gắng chuyển rủi ro sang các tài sản khác, quy trình
khác hoặc tổ chức khác.
Có thể được thực hiện bằng cách:

 Suy nghĩ lại cách cung cấp dịch vụ
 Sửa đổi mô hình triển khai
 Thuê ngoài (outsource) các tổ chức khác
 Mua bảo hiểm
 Thực hiện hợp đồng dịch vụ với nhà cung cấp
70

70
173
7/29/2023
(3) Chiến lược chấp nhận
Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn sàng chấp nhận mức độ rủi ro hiện tại.
Tổ chức đưa ra quyết định không làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp
nhận kết quả từ bất kỳ hoạt động khai thác nào.
71

71
(3) Chiến lược chấp nhận

Chỉ nên áp dụng chiến lược này khi tổ chức đã thực hiện:
• Xác định mức độ rủi ro
• Đánh giá xác suất của cuộc tấn công
• Ước tính thiệt hại tiềm ẩn có thể xảy ra từ các cuộc tấn công
• Thực hiện phân tích chi phí - lợi ích kỹ lưỡng
• Đánh giá tính khả thi của các thủ tục kiểm soát
• Quyết định rằng chức năng, dịch vụ, thông tin hoặc tài sản cụ thể không bù đắp
cho chi phí bảo vệ
72
72
174
7/29/2023
(4) Chiến lược né tránh
Chiến lược kiểm soát rủi ro loại bỏ tất cả rủi ro liên quan đến một
tài sản thông tin bằng cách loại bỏ nó khỏi dịch vụ, Tránh các hoạt
động kinh doanh gây ra rủi ro không thể kiểm soát.
73

73
Nội dung
1. Giới thiệu
74
74
175
7/29/2023
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù hợp với khẩu vị rủi ro của tổ chức,
không phải đưa rủi ro về 0.
• Quy tắc lựa chọn chiến lược đối phó rủi ro:
• Khi một điểm yếu tiềm ẩn tồn tại trong một tài sản quan trọng-Thực hiện các biện pháp kiểm
soát bảo mật để giảm khả năng xảy ra.
• Khi một điểm yếu tiềm ẩn có thể bị khai thác-Áp dụng các biện pháp kiểm soát để giảm thiểu
rủi ro hoặc ngăn chặn sự xuất hiện của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn công-Áp dụng các biện pháp bảo vệ
để tăng chi phí của kẻ tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể-Áp dụng các biện pháp bảo vệ để hạn chế phạm vi tấn công,
giảm khả năng tổn thất.
75
75
Rủi ro còn lại
76
76
176
7/29/2023
Những điểm hành động xử lý rủi ro
77
77
Quy trình xử lý rủi ro
78
78
177
7/29/2023
Đánh giá tính khả thi và phân tích lợi ích – chi phí
• Trước khi thực hiện một trong các chiến lược kiểm soát đối với một điểm yếu tiềm
ẩn cụ thể, cần khám phá tất cả các hậu quả của điểm yếu tiềm ẩn đối với tài sản
thông tin.
• Có một số cách để xác định ưu điểm/nhược điểm của một biện pháp kiểm soát cụ
thể.
• Các yếu tố ảnh hưởng đến chi phí của một biện pháp kiểm soát hoặc bảo vệ bao
gồm chi phí phát triển hoặc mua lại, phí đào tạo, chi phí triển khai, chi phí dịch vụ
và chi phí bảo trì.
• Tổ chức không nên chi nhiều hơn giá trị của tài sản để bảo vệ nó; quá trình ra
quyết định này được gọi là phân tích lợi ích chi phí (CBA) hay nghiên cứu khả thi
kinh tế.
79
79
Phân tích lợi ích – chi phí (Cost-benefit analysis - CBA)

• Xác định lợi ích của một thủ tục kiểm soát cụ thể có lớn hơn chi phí bỏ ra hay
không?
• Có thể được tính toán trước khi thực hiện thủ tục kiểm soát để xác định xem thủ tục
kiểm soát đó có đáng được thực hiện hay không.
• Có thể được tính toán sau khi các thủ tục kiểm soát đã được áp dụng. Việc quan sát
theo thời gian giúp tăng thêm độ chính xác để đánh giá các lợi ích của biện pháp
bảo vệ và xác định xem nó có hoạt động như dự kiến hay không.
80
80
178
7/29/2023
•
•
• Xác định chi phí của kiểm soát
•
Chi phí phát triển hoặc mua phần cứng, phần mềm và dịch vụ
•
Chi phí huấn luyện nhân sự
Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và kiểm tra phần cứng, phần
mềm và dịch vụ
Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà cung cấp Chi phí bảo
trì bao gồm chi phí nhân công để xác minh và kiểm tra liên tục, duy trì và cập
nhật
81
81
Xác định lợi ích của kiểm soát

•
Được xác định bằng cách định giá (các) tài sản thông tin có nguy cơ bị lộ bởi điểm
yếu tiềm ẩn, xác định giá trị của tài sản thông tin có rủi ro, và xác định những rủi ro
tồn tại đối với tài sản.
Định giá tài sản: ước tính chi phí có thể cảm nhận và chi phí thực tế liên quan đến việc
thiết kế, phát triển, lắp đặt, bảo trì, bảo vệ, phục hồi và phòng tránh mất mát và kiện
tụng của tài sản.
82
82
179
7/29/2023
Công thức phân tích lợi ích – chi phí

CBA = ALE(prior) - ALE(post) - ACS
Dự báo tổn thất hàng năm (ALE)
ALE(prior) Dự báo tổn thất hàng năm trước khi triển khai các thủ tục
kiểm soát
ALE(post) Dự báo tổn thất hàng năm sau khi đã triển khai các thủ tục
kiểm soát
Chi phí của thủ tục kiểm
soát (annualized cost of a
Tổng chi phí của thủ tục kiểm soát hoặc bảo vệ, bao gồm tất
safeguard - cả chi phí mua, bảo trì, đăng ký, nhân sự và hỗ trợ, chia cho
ACS) tổng số năm dự kiến sử dụng thủ tục kiểm soát.
83
83
Công thức phân tích lợi ích – chi phí

Dự báo tổn thất hàng năm Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất hiện hàng năm.
(annualized loss ALE = SLE x ARO
expectancy - ALE)
Tỷ lệ xuất hiện hàng năm
(annualized rate of Xác suất dự kiếncủa một cuộc tấn công, được biểu thị trên cơ
occurrence - ARO) sở mỗi năm.
Dự báo tổn thất đơn lẻ
(Single loss expectancy SLE) Giá trị được tính toán liên quan đến tổn thất có khả năng xảy ra nhất
từ một cuộc tấn công. SLE = EF x giá trị tài sản (AV)
Tỷ lệ thiệt hại kỳ vọng Tỷ lệ phần trăm tổn thất dự kiến sẽ xảy ra từ một cuộc tấn
(Exposure công cụ thể.
Factor - EF)
84
84
180
7/29/2023
Nội dung
1. Giới thiệu
85
85
6. Các phương pháp quản lý rủi ro khác (đọc thêm)

• Phương pháp đánh giá nguy cơ nghiêm trọng, tài sản và điểm yếu tiềmẩn
(Operationally Critical Threat, Asset, and Vulnerability Evaluation OCTAVE)
• Phân tích nhân tố rủi ro thông tin (Factor Analysis of Information Risk -FAIR)
• ISO 27005 Quy trình quản lý rủi ro bảo mật thông tin (Information SecurityRisk
Management Process)
• NIST Phương pháp tiếp cận quản lý rủi ro trên toàn tổ chức của(Organization-
Wide Risk Management Approach – RMF)
86
86
181
7/29/2023
87
87
CHƯƠNG 5
LẬP KẾ HOẠCH PHẢN ỨNG SỰ CỐ VÀ
HOẠT ĐỘNG LIÊN TỤC
1
1
182
7/29/2023
Tình huống
Charlie lật cổ áo khoác lên để che tai. Các vòi cứu hỏa đang làm lạnh những chiếc xe dọc theo con phố nơi anh đứng
nhìn tòa nhà văn phòng của mình bốc cháy. Nhà kho và nơi nhận hàng đã bị hư hại nghiêm trọng. Anh cố gắng che giấu
sự thất thần của mình bằng cách quay sang nói chuyện với Fred Chin. Charlie nói: “Hãy nhìn vào khía cạnh tươi sáng. Ít
nhất chúng ta có thể nhận được các máy chủ mới…” Fred Chin lắc đầu “Charlie, chắc anh đang mơ. Chúng ta không có
đủ bảo hiểm để thay thế đầy đủ mọi thứ chúng ta đã mất"
Charlie choáng váng. Các văn phòng đã biến mất, tất cả các hệ thống máy tính, máy chủ và máy tính để bàn đã tan
thành tro, và anh sẽ phải cố gắng xây dựng từ đầu. Ít nhất thì anh hy vọng đã có những bản sao lưu tốt. Anh suy nghĩ
miên man, cố nhớ lại lần cuối cùng kiểm tra vị trí dự phòng
Anh tự hỏi tất cả các sơ đồ thiết kế mạng ở đâu. Anh tìm thông tin để gọi cho nhà cung cấp và nhớ ra bản sao danh sách
này để trong máy tính tại nơi làm việc nhưng nó đã bị thiêu hủy.
Anh đang tìm cách liên lạc với CIO và các thành viên đội ứng cứu.
Bỗng nhiên, hồi chuông báo thức reo to và thật may mắn, Charlie nhận ra đây chỉ là cơn ác mộng.
2
2

• Hiểu nhu cầu vì sao cần lập kế hoạch dự phòng
• Hiểu các thành phần chính của lập kế hoạch ứng phó sự cố, phục hồi sau
thảm họa, và đảm bảo hoạt động liên tục
• Xác định các thành phần của quản lý khủng hoảng
• Hiểu cách thức một tổ chức chuẩn bị và thực thi việc thử nghiệm (test) kế
hoạch dự phòng
3
3
183
7/29/2023
Nội dung
1. Giới thiệu ứng phó sự cố và lập kế hoạch dự phòng
2. Những vấn đề cơ bản về lập kế hoạch dự phòng
3. Tuyên bố chính sách lập kế hoạch dự phòng
4. Phân tích ảnh hưởng kinh doanh
5. Ứng phó sự cố
6. Phục hồi sau thảm họa
7. Đảm bảo hoạt động kinh doanh liên tục
8. Quản lý khủng hoảng
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng
10. Thử nghiệm kế hoạch dự phòng
4
4
Thuật ngữ
Business Kế hoạch Đảm Hồ sơ/ văn bản của việc lập kế hoạch đảm bảo hoạt động liên tục. Kế hoạch
continuity bảo hoạt động này thể hiện những nỗ lực dự định của tổ chức để tiếp tục các chức năng quan
plan (BC) liên tục trọng trong tình huống việc hoạt động tại địa điểm chính (primary site) không
khả thi
Business Lập kế hoạch Các hành động do quản lý cấp cao thực hiện để phát triển và thực hiện chính
continuity đảm bảo hoạt sách, kế hoạch và các nhóm (teams) đảm bảo hoạt động lên tục
planning động liên tục
(BCP)
Business Phân tích ảnh Một cuộc điều tra và đánh giá các sự kiện bất lợi khác nhau có thể ảnh hưởng
impact hưởng kinh đến tổ chức. Nó được tiến hành như một giai đoạn sơ bộ của quá trình lập kế
analysis (BIA) doanh hoạch dự phòng, bao gồm việc xác định mức độ quan trọng của hệ thống hoặc
tập hợp các thông tin đối với các quy trình cốt lõi của tổ chức và các ưu tiên
phục hồi.
5
5
184
7/29/2023
Thuật ngữ
Contingency Lập Kế Các hành động do quản lý cấp cao thực hiện để chỉ rõ các nỗ lực và hành động
Planning (CP) hoạch của tổ chức nếu một sự kiện bất lợi trở thành sự cố hoặc thảm họa. Việc lập kế
dự phòng hoạch này bao gồm các nỗ lực ứng phó sự cố, khắc phục thảm họa và duy trì
hoạt động kinh doanh, cũng như lập các phân tích tác động kinh doanh.
Continuity Các chiến lược

Strategies đảm bảo hoạt
động liên tục
Crisis Quản lý khủng Tập hợp các nỗ lực lập kế hoạch và chuẩn bị của tổ chức để đối phó với
Management hoảng thương tích, chấn thương tinh thần tiềm ẩn với con người, hoặc mất mạng do
thảm họa
Disaster recovery Kế hoạch Phục Hồ sơ/ văn bản của việc lập kế hoạch khắc phục hậu quả thiên tai; một kế
plan (DR) hồi sau thảm hoạch trình bày những nỗ lực dự kiến của tổ chức trong trường hợp có thảm
họa họa
Disaster recovery Lập kế hoạch Các hành động được thực hiện bởi quản lý cấp cao để xác định những nỗ lực
planning (DRP) phục hồi sau của tổ chức trong việc chuẩn bị và phục hồi sau thảm họa.
thảm họa
6
6
Thuật ngữ
Incident response Ứng phó sự
(IR) cố
Incident Lập kế hoạch
Các hành động được thực hiện bởi quản lý cấp cao để phát triển và
response planning ứng phó sự cố
thực hiện chính sách, kế hoạch IR và nhóm ứng phó sự cố an toàn máy
(IRP)
tính
Incident Chính sách ứng

Response Policy phó sự cố

7
185
7/29/2023
Thuật ngữ
Information Quản trị an toàn Việc áp dụng các nguyên tắc quản trị công ty vào chức năng an toàn thông tin.
Security thông tin
Governance
Maximum tolerable Thời gian ngưng Tổng lượng thời gian mà chủ sở hữu hệ thống/ hoặc viên chức được ủy quyền sẵn
downtime (MTD) trệ tối đa có thể sàng chấp nhận việc gián đoạn hoặc ngưng trệ một sứ mệnh / quy trình kinh
chấp nhận được doanh, bao gồm tất cả các cân nhắc về tác động.
Operational plans Kế hoạch hoạt
động
Là Hồ sơ hoặc văn bản của việc lập kế hoạch hoạt động. Kế hoạch này mô tả các
nỗ lực hoạt động dự kiến hàng ngày của tổ chức trong vài tháng tới.
Operational planning Lập kế hoạch Các hành động mà ban lãnh đạo thực hiện nhằm xác định các mục tiêu ngắn hạn
hoạt động của tổ chức để đạt được các mục tiêu chiến thuật cụ thể, sau đó là các ước tính và
lịch trình phân bổ các nguồn lực cần thiết để đạt được các mục tiêu này

8
Thuật ngữ
Recovery point Mốc phục hồi Thời điểm trước khi hệ thống bị gián đoạn hoặc ngừng hoạt động mà dữ
objective (RPO) dữ liệu liệu của sứ mệnh / quy trình kinh doanh có thể được khôi phục sau khi
ngừng hoạt động (được cung cấp bản sao lưu dữ liệu gần đây nhất).
Recovery time Mốc thời gian Khoảng thời gian tối đa mà tài nguyên hệ thống có thể không có sẵn
objective (RTO) phục hồi trước khi có tác động không thể chấp nhận được đối với các tài nguyên
hệ thống khác hỗ trợ nhiệm vụ / quy trình kinh doanh và MTD
Work recovery Thời gian Số lượng nỗ lực (được biểu thị bằng thời gian đã trôi qua) cần thiết để
time (WRT) phục hồi hoạt làm cho chức năng kinh doanh hoạt động sau khi yếu tố công nghệ được
động khôi phục (như được xác định với RTO). Các nhiệm vụ bao gồm kiểm tra
và xác nhận hệ thống.
9

9
186
7/29/2023
Thuật ngữ
Hot site Địa điểm sử Địa điểm dự phòng có Cơ sở hạ tầng bao gồm tất cả dịch vụ máy tính,
dụng ngay lập mạng kết nối truyền thông và vị trí làm việc vật lý
tức
Warm site Địa điểm Địa điểm dự phòng có Cơ sở hạ tầng bao gồm nhiều dịch vụ giống Hot
sử site nhưng không bao gồm các phần mềm ứng dụng và các máy trạm làm
dụng ngay việc (workstation)
Cold site Địa điểm chờ Chỉ cung cấp các dịch vụ và cơ sở vật chất thô sơ, không có phần cứng
máy tính hoặc thiết bị ngoại vi nào được cung cấp. Có sẵn các đường
truyền thông
10

10
Nội dung
11
11
187
7/29/2023

• Các biến cố, sự cố bất ngờ đều ảnh hưởng tới hoạt động kinh doanh
• Khả năng của một tổ chức đối phó với tổn thất do sự kiện bất lợi gây ra phụ thuộc vào sự
đúng đắn của việc lập kế hoạch và thực hiện kế hoạch dự phòng. Nếu không, sự kiện bất lợi
có thể gây ra thiệt hại nghiêm trọng cho tài nguyên và tài sản thông tin của tổ chức và thậm
chí không thể khôi phục hồi được  Lập Kế hoạch ứng phó sự cố và lập kế hoạch dự phòng
cần toàn diện, hữu hiệu
• Việc lập kế hoạch ứng phó sự cố và lập kế hoạch dự phòng cần được thực hiện tại tất cả các
DN
12
12
Nội dung
13
13
188
7/29/2023

2.1. Các thành phần của lập kế hoạch dự phòng
2.2. Tiếp cận lập kế hoạch dự phòng của NIST
2.3. Quy trình CP tổng thể tích hợp các quy trình của BIA, IRP và DRP
2.4. Nhân sự liên quan trong lập kế hoạch dự phòng
14
14

• Quy trình lập Kế hoạch toàn diện ứng phó các sự cố bất lợi được gọi là lập kế hoạch dự
phòng (Contingent Planning-CP)
• Mục tiêu chính của CP là khôi phục các phương thức hoạt động bình thường với chi phí và
thời gian gián đoạn hoạt động kinh doanh tối thiểu nhất.
• Lập kế hoạch dự phòng gồm 4 thành phần
• Phân tích ảnh hưởng kinh doanh (Business Impact Analysis – BIA)
• Lập Kế hoạch ứng phó sự cố (Incident Response Planning - IRP)
• Lập Kế hoạch phục hồi sau thảm họa (Disaster Recovery Planning - DRP)
• Lập kế hoạch đảm bảo hoạt động liên tục (Business Continuity Planning - BCP)
15
15
189
7/29/2023

• Tùy thuộc vào quy mô và triết lý kinh doanh của tổ chức, các nhà quản lý IT, an toàn
thông tin có thể:
• Tạo và phát triển bốn thành phần của CP như một kế hoạch thống nhất
• Hoặc, tạo bốn phần riêng biệt trong sự kết nối với một tập hợp các quy trình lồng vào nhau
để đảm bảo hoạt động kinh doanh liên tục.
16
16
17
17
190
7/29/2023
2.2. Tiếp cận lập kế hoạch dự phòng của NIST

7 bước để lập CP
1. Phát triển chính sách CP
2. Thực hiện BIA
3. Xác định kiểm soát ngăn ngừa
4. Tạo chiến lược dự phòng (hệ thống/cơ sở hạ tầng)
5. Phát triển kế hoạch dự phòng
6. Đảm bảo kế hoạch: Thực hiện kiểm tra, huấn luyện và thực hành
7. Đảm bảo duy trì kế hoạch: Cập nhật thường xuyên
18
18
• Dựa trên 7 bước đề xuất của NIST, Quy trình CP tổng thể tích hợp các quy
trình của BIA, IRP và DRP được mở rộng thành 12 bước
19
19
191
7/29/2023
2.3. Quy trình CP tổng thể

tích hợp các quy trình của
BIA, IRP và DRP
1. Hình thành CPMT (Đội quản lýlập
kế hoạch dự phòng)
2. Xây dựng tuyên bố chính sách lậpkế
hoạch dự phòng
3. Tiến hành phân tích tác động kinh
doanh (BIA): xác định và ưu tiên
các chức năng của tổ chức cũng như
IS và các thành phần quan trọng để
hỗ trợ quy trình kinh doanh của tổ
chức
20
20
2.3. Quy trình CP tổng thể tích hợp

các quy trình của BIA, IRP và DRP
4. Hình thành các nhóm lập kế hoạch ở cấp

dưới: Theo từng nhóm có nhiệm vụ lập các
kế hoạch (IRP, DRP và BCP)
5. Phát triển chính sách lập kế hoạch ở cấp
dưới
6. Tích hợp phân tích ảnh hưởng kinh doanh
(BIA). Mỗi nhóm lập kế hoạch cấp dưới sẽ
xem xét một cách độc lập và kết hợp các
khía cạnh của BIA có tầm quan trọng đối
với các nỗ lực lập kế hoạch của họ.
21

21
192
7/29/2023
7. Xác định các kiểm soát ngăn ngừa.
8. Tổ chức các đội phản ứng cấp dưới: Xác
địnhcác kỹ năng và nhân sự cần thiết cho mỗi
nhóm phản ứng cấp dưới (IR/DR/BC) và xác
định nhân sự cần thiết. Họ sẽ thực hiện trực tiếp
một kế hoạch cụ thể nếu được kích hoạt.
9. Tạo chiến lược dự phòng: dựa vào đóng gópcủa
các trưởng nhóm cấp dưới, CPMT sẽ đánh giá
và đầu tư vào các chiến lược IR, DR và BC: các
kế hoạch sao lưu và phục hồi dữ liệu, lưu trữ dữ
liệu off-site và các chiến lược sử dụng các địa
điểm (site) thay thế
22

22
10. Xây dựng kế hoạch CP ở cấp dưới: Đối với mỗi khu
vực trực thuộc, phát triển một kế hoạch để xử lý các
hành động và hoạt động tương ứng cần thiết để (a)
ứng phó với sự cố, (b) phục hồi sau thảm họa và (c)
thiết lập hoạt động tại một vị trí thay thế sau một sự
kiện gián đoạn
11. Đảm bảo kế hoạch kiểm tra, huấn luyện và tập
luyện: Đảm bảo mỗi kế hoạch cấp dưới được kiểm
tra và các nhân viên tương ứng được huấn luyện để
xử lý bất kỳ trường hợp nào leo thang thành sự cố
hoặc thảm họa
12. Đảm bảo duy trì kế hoạch: Quản lý kế hoạch, đảm
bảo xem xét, đánh giá và cập nhật định kỳ
23

23
193
7/29/2023
2.4. Nhân sự liên quan đến lập kế hoạch dự phòng

• Đội quản lý lập kế hoạch dự phòng - CPMT (Contingency Planning
Management Team)
• Là một nhóm gồm quản lý cấp cao và các thành viên đội dự án để thực hiện và dẫn dắt
tất cả các hoạt động liên quan lập kế hoạch dự phòng:
• Quản lý cấp điều hành (coordinating executive)
• Đại diện các bộ phận kinh doanh chính có liên quan
• Quản lý ở mỗi nhóm có ảnh hưởng tới ATTT (nhóm quản lý chung, quản lý IT, quản lý
ATTT)
24
24
2.4. Nhân sự liên quan đến lập kế hoạch dự phòng

• Các vị trí chủ chốt của CPMT
• Hỗ trợ CPMT (CTMT champion): COO hoặc CEO/President. Kết nối với tầm nhìn chiến lược của tổ chức và hỗ
trợ các nguồn lực khác
• Quản lý dự án (Project Manager): Là CISO/Quản lý cấp trung. Đảm bảo sử dụng nguồn lực của dự án, hoàn thành
dự án
• Thành viên Đội dự án (Team members):
▪ Đại diện quản lý của 3 nhóm (quản lý KD chung, quản lý IT và quản lý ATTT) o Đại
diện quản lý KD chung: Cung cấp thông tin về hoạt động kinh doanh
o Đại diện quản lý IT: Cung cấp thông tin về rủi ro hệ thống -> sử dụng cho BIA, kế hoạch IR,
DR, BC o Đại diện quản lý ATTT: (1) cung cấp thông tin nguy cơ, điểm yếu, tấn công và yêu cầu khôi
phục hệ thống. (2) Giám sát việc lập kế hoạch ATTT.
▪ Đại diện pháp lý: Đảm bảo tính pháp lý của việc lập và thực hiện kế hoạch CP
▪ Đại diện truyền thông: Đảm bảo truyền thông trong quản lý khủng hoảng ▪ Đại diện
đội lập kế hoạch cấp dưới
25
25
194
7/29/2023
Nội dung
26
26
3. Tuyên bố Chính sách CP

• Trước khi CPMT có thể phát triển đầy đủ các tài liệu lập kế hoạch, họ cần phải nhận được
các hướng dẫn từ các nhà quản lý điều hành thông qua chính sách CP
• Chính sách CP định nghĩa phạm vi của hoạt động CP và thiết lập yêu cầu liên quan đến
thời gian biểu của việc ứng phó với sự cố, phục hồi sau thảm họa, và thiết lập lại hoạt động
liên tục.
• Ngoài ra, chính sách CP cũng quy định trách nhiệm đối với sự phát triển và hoạt động của
CPMT nói chung
27
27
195
7/29/2023
3. Tuyên bố Chính sách CP

• Nội dung chính sách lập kế hoạch dự phòng
• Giới thiệu quan điểm của quản lý cấp cao về tầm quan trọng của CP
• Mô tả Phạm vi và mục đích của hoạt động CP
• Lời kêu gọi của CPMT về việc thực hiện định kỳ đánh giá rủi ro và BIA
• Mô tả các thành phần chính của CP
• Lời kêu gọi và hướng dẫn lựa chọn các phương án phục hồi và chiến lược kinh doanh liên tục
• Yêu cầu để kiểm tra các kế hoạch (IR/DR/BC) theo quy định (thực hiện định kỳ)
• Xác định các quy định và tiêu chuẩn chính ảnh hưởng đến việc lập CP
• Xác định các cá nhân chủ chốt chịu trách nhiệm chính các hoạt động
• Xác định tầm quan trọng và đưa lời kêu gọi hỗ trợ từ các thành viên khác trong tổ chức • Thông
báo các hoạt động hành chính, quản lý bổ sung
28
28
Nội dung
29
29
196
7/29/2023

• BIA là việc điều tra và đánh giá các sự kiện bất lợi khác nhau có thể ảnh hưởng đến tổ chức,
là giai đoạn tiền đề của CP. Nó xác định chức năng kinh doanh và hệ thống thông tin nào là
quan trọng nhất đối với sự thành công của tổ chức, từ đó xác định trình tự ưu tiên để khôi
phục các chức năng này.
• BIA giả định các biện pháp kiểm soát đã bị bỏ qua/không thành công/không hiệu quả; giả
định cuộc tấn công đã thành công. Bằng cách giả định điều tồi tệ nhất đã xảy ra và sau đó
đánh giá điều đó sẽ ảnh hưởng như thế nào đến tổ chức, các nhà lập kế hoạch có được cái
nhìn sâu sắc về cách ứng phó với sự kiện bất lợi, giảm thiểu thiệt hại, phục hồi sau các tác
động và trở lại hoạt động bình thường∙
30
30

• Khi thực hiện BIA, cần cân nhắc các vấn đề sau
• Phạm vi (scope)
• Kế hoạch (plan)
• Cân bằng (balance)
• Mục tiêu (objective)
• Theo dõi (follow up
31
31
197
7/29/2023

• Theo NIST SP 800-34, Rev. 1, CPMT tiến hành BIA trong ba giai đoạn:
• Xác định nhiệm vụ/quy trình kinh doanh và mức độ quan trọng của việc phục hồi
• Xác định các yêu cầu về nguồn lực/ tài nguyên
• Xác định các ưu tiên phục hồi cho nguồn lực/tài nguyên hệ thống
32
32

Xác định nhiệm vụ/quy trình kinh doanh và mức độ quan trọng của việc phục hồi
• Nhiệm vụ chính đầu tiên của BIA là phân tích và ưu tiên các quy trình kinh doanh trong tổ
chức, dựa trên mối quan hệ của chúng với sứ mệnh của tổ chức.
• Mỗi bộ phận, đơn vị hoặc bộ phận kinh doanh phải được đánh giá độc lập để xác định tầm
quan trọng của các chức năng của nó đối với toàn bộ tổ chức.
• Một bảng phân tích trọng số có thể hữu ích trong việc đánh giá các chức năng kinh doanh.
• Bảng câu hỏi BIA rất hữu ích trong việc xác định và thu thập thông tin về các chức năng kinh
doanh để phân tích.
33
33
198
7/29/2023

Xác định nhiệm vụ/quy trình kinh doanh và mức độ quan trọng của
việc phục hồi
34
34

việc phục hồi
35
35
199
7/29/2023

• Khi xem xét mức độ quan trọng của việc phục hồi, các đo lường phục hồi thường dựa trên
mức độ phục hồi tài sản trong một khung thời gian xác định, thông qua các tiêu chí:
• Mốc thời gian phục hồi (Recovery time objective - RTO)
• Mốc phục hồi dữ liệu (Recovery point objective - RPO)
• Thời gian ngưng trệ tối đa có thể chấp nhận được (Maximum tolerable downtime - MTD)
• Thời gian phục hồi hoạt động (Work recovery time - WRT)
36
36

việc phục hồi
RTO và RPO
37
37
200
7/29/2023

RTO, RPO, MTD, và WRT
38
38

Xác định điểm tối ưu cho phục hồi hệ thống

Cân bằng giữa chi phí tổn thất của hệ thống ngưng hoạt
động và chi phí của nguồn lực cho việc phục hồi
39

39
201
7/29/2023

Xác định yêu cầu nguồn lực phục hồi
• Sau khi tổ chức đã tạo danh sách ưu tiên cho nhiệm vụ/quy trình kinh doanh của mình, tổ
chức cần xác định nguồn lực nào sẽ được yêu cầu để khôi phục các quy trình đó và tài sản
liên quan đến chúng.
• Đối với mỗi quy trình (và tài sản thông tin) được xác định trong giai đoạn trước đó của BIA,
tổ chức cần xác định và mô tả các nguồn lực liên quan cần thiết để cung cấp hoặc hỗ trợ quy
trình đó.
• Một phương pháp đơn giản hóa có thể được sử dụng để thực hiện công việc trên là đưa nó
vào một bảng tài nguyên/thành phần.
40
40

Example Resource/Component Table (1 of 2)
Mission/Business Process Required Resource Additional Resource Description and Estimated Costs
Components Details
Provide customer support Trouble ticket and Application server w/ Each help-desk technician requires
(help-desk) resolution application LINUX OS, Apache access to the organization's trouble
server, and SQL ticket and resolution software
database application, hosted on a dedicated
server. See current cost recovery
statement for valuation.
Provide customer support Help-desk network 25 Cat5e network drops, The help-desk applications are
(help desk) segment gigabit network hub networked and require a network
segment to access. See current cost
recovery statement for valuation.
41
41
202
7/29/2023
Example Resource/Component Table (2 of 2)

Mission/Business Process Required Resource Additional Resource Description and Estimated Costs
Components Details
Provide customer support Help-desk access 1 laptop/PC per The help-desk applications require
(help desk) terminals technician, with a Web interface on a laptop/PC to
Webbrowsing access. See current cost recovery
software statement for valuation.
Provide customer billing Customized accounts Application server with Accounts Receivable requires
receivable application Linux OS, Apache access to its customized AR
server, and SQL software and customer database to
database process customer billing. See
current cost recovery statement for
valuation.
42
42

Ưu tiên phục hồi nguồn lực hệ thống
• Giai đoạn cuối cùng của BIA là ưu tiên các tài nguyên liên quan đến nhiệm vụ/quy trình kinh
doanh, giúp hiểu rõ hơn về những gì phải được khôi phục trước, ngay cả trong các quy trình
quan trọng nhất.
• Với thông tin có được từ các bước trước đó, tổ chức có thể tạo các bảng phân tích có trọng số về
các tài nguyên cần thiết để hỗ trợ các quy trình cụ thể.
• Ngoài các bảng có trọng số, có thể sử dụng một thang đánh giá và phân loại đơn giản, VD:
Primary/Secondary/Tertiary, hoặc Critial/Veryimportant/Important/Routine, để cung cấp phương
pháp đánh giá nguồn lực hỗ trợ nhanh hơn.
43
43
203
7/29/2023
Nội dung
44
44
• 5.1. Các khái niệm và giới thiệu ứng phó sự cố
• 5.2. Chính sách ứng phó sự cố
• 5.3. Lập kế hoạch ứng phó sự cố
• 5.4. Phát hiện sự cố
• 5.5. Hành động ứng phó sự cố
• 5.6. Khôi phục sau sự cố
45
45
204
7/29/2023
5.1. Các khái niệm và giới thiệu ứng phó sự cố

• Các khái niệm
• Sự cố (Incident) là sự kiện bất lợi (adverse event) có biểu hiện gây thiệt hại cho tài sản
thông tin nhưng chưa đe dọa những hoạt động như dự định ban đầu của tổ chức.
• Sự cố an toàn thông tin được nhận diện nếu sác sự kiện bất lợi có các đặc điểm sau:
• Nhắm tới các tài sản thông tin.
• Có cơ hội thành công thực sự
• Đe dọa đến tính bảo mật, tính toàn vẹn hoặc tính sẵn có của các tài nguyên và tài sản
thông tin.
46
46

• Ứng phó sự cố (Incident response-IR) là một tập hợp các hoạt động gồm lập kế hoạch và
chuẩn bị các nỗ lực để phát hiện, phản ứng với và khôi phục từ các sự cố
• Lập kế hoạch ứng phó sự cố (Incident response planning-IRP) là hành động được thực
hiện bởi quản lý cấp cao để phát triển và thực hiện chính sách phản ứng sự cố, kế hoạch
và phát triển đội phản ứng sư cố an toàn máy tính.
47
47
205
7/29/2023

• Kế hoạch ứng phó sự cố (Incident response plan-IR Plan) là hồ sơ kết quả của hoạt động
lập kế hoạch phản ứng sự cố. Kế hoạch này phải trình bày được các nỗ lực dự định của tổ
chức khi sự cố xảy ra
• Đội ứng phó sự cố an toàn máy tính (Computer security Incident response team-CSIRT)
là một nhóm ứng phó sự cố gồm kỹ thuật IT, quản lý IT và chuyên gia an toàn thông tin,
được thành lập để phát hiện, phản ứng với và khôi phục sự cố. Vài thành viên chủ chốt
của đội lập kế hoạch sự cố (IRPT) có thể là thành viên của CSIRT
48
48

• Giới thiệu
Đội quản lý lập kế hoạch dự
phòng (CPMT)
Thành
lập
Chính sách phản ứng sự cố
Đội lập kế hoạch ứng phó sự
Xây
cố (IRPT) dựng
Thành
lập
Lập kế hoạch ứng phó sự cố
Đội ứng phó sự cố an toàn máy
tính (CSIRT)
49

49
206
7/29/2023

• Giới thiệu
Viện Tiêu Chuẩn Và Công Nghệ Quốc Gia (Mỹ) - NIST phát triển
Khuôn Mẫu An Ninh Mạng – CSF (NIST CyberSecurity
Framwork), tập trung trong việc bảo vệ cơ sở hạ tầng an ninh
mạng, hỗ trợ cho phương pháp luận phản ứng sự cố
50
50

• Giới thiệu
Chu kỳ ứng phó sự cố theo NIST
51
51
207
7/29/2023

• Giới thiệu
Khuôn mẫu an ninh mạng (CSF)
52
52
5.2. Chính sách ứng phó sự cố

• Chính sách ứng phó sự cố (IR policy) là bản hướng dẫn việc phát triển và thực hiện kế hoạch
ứng phó sự cố; và hướng dẫn hình thành, thực hiện hoạt động của đội phản ứng sự cố
• Chính sách cần xây dựng để tất cả các thành viên trong tổ chức, các bên liên quan đều hiểu
được rõ ràng; Đảm bảo được sự hỗ trợ của quản lý cấp cao và của 3 nhóm có lợi ích liên quan
53
53
208
7/29/2023
5.2. Chính sách ứng phó sự cố

• Theo hướng dẫn của NIST, nội dung chính sách IR gồm:
• Tuyên bố cam kết quản lý
• Mục đích (purpose) và mục tiêu (objectives) của chính sách
• Phạm vi (áp dụng cho ai, áp dụng những gì và trong những trường hợp nào)
• Định nghĩa các sự cố an toàn thông tin và các điều khoản liên quan
• Cơ cấu tổ chức và định nghĩa về vai trò, trách nhiệm và mức độ quyền hạn
• Xếp hạng mức độ ưu tiên hoặc mức độ nghiêm trọng của sự cố
• Đo lường thành quả
• Biểu mẫu báo cáo và liên hệ
54
54
5.3. Lập kế hoạch ứng phó sự cố

• Lập kế hoạch ứng phó sự cố là việc phát triển một loạt các phản ứng được xác định trước để hướng
dẫn cho CSIRT và nhân viên an toàn thông tin.
• Ứng phó sự cố (IR) là các biện pháp phản ứng, không phải là một biện pháp phòng ngừa, mặc dù hầu
hết các kế hoạch IR bao gồm các khuyến nghị phòng ngừa
• Các hành động ứng phó sự cố thường bao gồm:
• Phát hiện
• Hành động ứng phó
• Khôi phục
• Cần lập 3 bộ thủ tục xử lý sự cố gồm: trước sự cố, trong sự cố, và sau sự cố
• Các quy trình này cần được lập hồ sơ rõ ràng và nó là 1 phần trong kế hoạch ứng phó sự cố
55
55
209
7/29/2023
5.3. Lập kế hoạch ứng phó sự cố

• Theo NIST (SP 800-61, Rev2), một kế hoạch ứng phó sự cố bao gồm:
• Sứ mệnh (mission)
• Chiến lược và mục tiêu
• Phê duyệt của quản lý cấp cao
• Cách tiếp cận của tổ chức đối với ứng phó sự cố
• Cách truyền thông của đội ứng phó sự cố
• Các chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
• Lộ trình hoàn thiện năng lực ứng phó sự cố
• Cách để chương trình phản ứng sự cố phù hợp với tổ chức trong tổng thể
56
56
5.4. Phát hiện sự cố

• Phát hiện sự cố (incident detective) là việc xác định và phân loại sự kiện bất lợi xem nó có
cấu thành sự cố hay không?
• Việc phát hiện sự cố là thách thức khó khăn nhưng quan trọng vì khi xác định và phân loại
đúng cách sự cố thực tế, các thành viên của nhóm phản ứng sự cố mới có thể thực hiện hiệu
quả các quy trình tương ứng từ kế hoạch ứng phó sự cố (IR plan)
• Các cơ chế có thể phát hiện sự cố bao gồm phát hiện xâm nhập và hệ thống ngăn chặn (dựa
trên máy chủ và mạng), phần mềm phát hiện vi rút, quản trị viên hệ thống và thậm chí cả
người dùng cuối
57
57
210
7/29/2023

• Các chỉ báo sự kiện bất lợi có khả năng trở thành sự cố (possible Indicators)
• Xuất hiện các tập tin không quen thộc
• Xuất hiện hoặc thực hiện các chương trình hoặc quy trình không biết
• Sử dụng các nguồn lực /tài nguyên hệ thống một cách bất thường • Hệ thống bị treo bất
thường.
58
58

• Các chỉ báo sự kiện bất lợi có khả năng cao xảy ra (probable indicators)
• Hoạt động vào những thời điểm không mong muốn. Xem xét số lượng truy cập, đặc biệt
vào những lúc ngoài giờ làm việc thông thường.
• Sự hiện diện của các tài khoản mới. Đặc biệt lưu ý các tài khoản mới đã hủy đăng nhập
mà có các đặc quyền đặc biệt
• Các cuộc tấn công được báo cáo: cần xem xét cẩn thận mức độ cuộc tấn công (nghi ngờ
hay đang diễn ra)
• Thông báo từ IDPS (intrusion detection and prevention systems - hệ thống ngăn chặn và
phát hiện xâm nhập)
59
59
211
7/29/2023

• Các chỉ báo xác định (Definition Indicators) sự kiện bất lợi trở thành sự cố (các hoạt động báo
hiệu rõ ràng một sự cố đang diễn ra hoặc đã xảy ra)
• Sử dụng các tài khoản không hoạt động (Dormant acoounts) - là các tài khoản của những người đã
nghỉ nhưng chưa xóa và không có quyền truy cập từ xa; hoặc là các TK giả để kiểm tra hệ thống
• Thay đổi được ghi nhận trong nhật ký hệ thống. Nếu có các thay đổi quyền truy cập hoặc sử dụng
các hệ thống và dữ liệu được ghi nhận trong nhật ký hệ thống
• Sự hiện diện của các công cụ hacker. Người quản trị mạng sử dụng các điểm yếu tiềm ẩn của hệ
thống và các công cụ đánh giá mạng để xác định điểm yếu bảo mật, kiểm tra sự xâm nhập vào hệ
thống. Tuy nhiên, việc sử dụng các công cụ này bị cấm tuyệt đối, chỉ trừ khi được sự cho phép của
CISO và được giám sát chặt chẽ.
• Thông báo của đối tác hoặc đồng nghiệp • Thông báo của hacker.
60
60

• Một số tình huống khác là dấu hiệu liên quan sự cố:
• Mất tính khả dụng. Thông tin hoặc hệ thống thông tin không sẵn sàng cho việc sử dụng
• Mất tính toàn vẹn: Thông tin/dữ liệu bị sai, không sử dụng được
• Mất tính bảo mật. Thông tin bí mật, quan trọng hoặc được bảo vệ bị công bố bất hợp
pháp, bị rò rỉ.
• Vi phạm chính sách của công ty về sử dụng và bảo mật
• Vi phạm pháp luật về sử dụng hệ thống thông tin, công bố và sử dụng thông tin
61
61
212
7/29/2023
5.5. Hành động ứng phó sự cố

• Ứng phó sự cố được thực hiện đồng loạt bởi CSIRT và các nhân sự liên quan khác ngay
lập tức sau khi xác định và phân loại sự cố.
• Ứng phó sự cố gồm các hành động được nêu trong kế hoạch IR, hướng dẫn tổ chức nỗ lực
ngăn chặn sự cố, giảm thiểu tác động của sự cố và cung cấp thông tin để khắc phục. Các
bước trong phản ứng sự cố :
• Thông báo của nhân sự chủ chốt
• Lập tài liệu sự cố
• Các tiếp cận lựa chọn phản ứng sự cố
• Sự leo thang của sự cố
62
62

• Thông báo của nhân sự chủ chốt:
• Khi nhận được thông báo xác định sự cố từ các BP liên quan (VD người sử dụng, quản trị viên hệ thống,
phòng thông tin khách hàng v.v,), đội ứng phó sự cố cần thông báo với những người chủ chốt. DN cần duy
trì hồ sơ cảnh báo (alert roster) chứa các thông tin cần liên lạc của những người tiếp nhận thông báo về sự
cố
• Thông điệp cảnh báo (alert message) sẽ được gửi để cảnh báo. Thông điệp cảnh báo gồm: mô tả sự cố hoặc
thảm họa bằng thông tin gọn, đủ, rõ ràng để hiểu được phần quy trình nào (IR hay DR) được thực hiện.
• Các nhân viên chủ chốt khác cũng phải được thông báo về sự cố chỉ sau khi sự cố đã được xác nhận, nhưng
trước khi phương tiện truyền thông hoặc các nguồn bên ngoài khác biết về nó.
63
63
213
7/29/2023

• Thông báo của nhân sự chủ chốt:
• Có 2 cách kích hoạt hồ sơ cảnh báo: theo trình tự (consequently) và phân cấp (hierachiclly). Tuy
nhiên, hiện đã có hệ thống tự động cảnh báo hỗ trợ các phương pháp này
• Theo trình tự: Là sự kết nối cảnh báo của từng người với nhau theo thứ tự trong hồ sơ cảnh báo.
Ưu điểm: thông tin cảnh báo chính xác và theo đúng trình tự được thiết kế trước trong hồ sơ
cảnh báo. Nhược: chậm, mất nhiều thời gian hơn.
• Phân cấp: Người nhận cảnh báo ban đầu sẽ kết nối cảnh báo với một nhóm người được xác định
trong hồ sơ cảnh báo và những người này lại tiếp tục cảnh báo với những người khác trong hồ
sơ cảnh báo. Ưu: nhanh. Nhược: thông tin có thể bị sai hoặc có thể phá vỡ trình tự ưu tiên nhận
cảnh báo.
64
64

• Lập tài liệu sự cố: Ngay sau khi một sự cố hoặc thảm họa đã được công bố, nhân viên chủ
chốt phải được thông báo và cần bắt đầu lập hồ sơ về sự cố kiện đang diễn ra để:
• Làm tài liệu chứng minh việc đã làm
• Công bố, truyền thông về sự cố
• Phân tích, huấn luyện sau này
65
65
214
7/29/2023

• Các tiếp cận lựa chọn ứng phó sự cố
• Các chiến lược lựa chọn ứng phó sự cố tập trung vào việc:
• Dừng sự cố
• Khôi phục quyền kiểm soát của các hệ thống bị ảnh hưởng
• Các chiến lược lựa chọn ứng phó điển hình:
• Vô hiệu hóa tài khoản người dùng bị xâm phạm
• Cấu hình lại tường lửa để chặn truy cập
• Tạm thời vô hiệu hóa quy trình hoặc dịch vụ bị xâm nhập
• Gỡ bỏ các đường kết nối với ứng dụng hoặc máy chủ • Ngắt kết nối mạng hoặc phân đoạn mạng bị
ảnh hưởng • Dừng tất cả các máy tính và thiết bị mạng.
66
66

• Trường hợp sự cố bị leo thang (incident escalation)
• Sự cố trở thành thảm họa: Một sự cố có thể gia tăng về phạm vi hoặc mức độ nghiêm trọng đến
mức kế hoạch ứng phó sự cố không thể ngăn chặn sự cố một cách thỏa đáng. Vd, cuộc tấn công từ
chối dịch vụ ảnh hưởng tới 1 hệ thống trong 1 thời gian ngắn được goi là sự cố. Khi nó leo thang
ảnh hưởng toàn tổ chức trong thời gian dài sẽ được coi là thảm họa.
• Mỗi tổ chức sẽ phải xác định, trong quá trình phân tích tác động kinh doanh, thời điểm mà sự cố
trở thành thảm họa.
• Tổ chức phải lập hồ sơ khi có sự tham gia của những người ứng phó từ bên ngoài.
67
67
215
7/29/2023
5.6. Khôi phục sau sự cố

• Đánh giá thiệt hại từ sự cố.
• Thông báo cho các nhân lực phù hợp
• CSIRT phải đánh giá toàn bộ mức độ thiệt hại để xác định cần phải làm gì để khôi phục hệ thống.
• Đánh giá thiệt hại: xác định phạm vi vi phạm tính bảo mật, tính toàn vẹn và tính sẵn sàng của
thông tin và tài sản thông tin.
• Đào tạo nhân sự về cách thu thập và bảo quản bằng chứng trong trường hợp vụ việc là một phần
của tội phạm hoặc dẫn đến một vụ kiện dân sự.
68
68

• Quy trình khôi phục sự cố
• Xác định xử lý các điểm yếu tiềm ẩn dẫn tới sự cố
• Giải quyết các thiếu hụt hoặc kiểm soát không hiệu quả liên quan tới sự cố: Cài đặt, thay thế hoặc
nâng cấp chúng.
• Đánh giá năng lực giám sát (nếu có) và gia tăng hay cài đặt mới hệ thống giám sát
• Khôi phục dữ liệu từ các bản sao lưu (nếu cần).
• Khôi phục các dịch vụ và quy trình đang sử dụng.
• Giám sát liên tục hệ thống.
• Khôi phục niềm tin đối với 3 nhóm liên quan (quản lý IT, InforSec; Quản lý chung)
69
69
216
7/29/2023

• Triết lý trong xử lý sự cố và thảm họa
• Sự cố và thảm họa bắt nguồn từ: (1) một cuộc tấn công có chủ ý vào tài sản thông tin của
một cá nhân hoặc một nhóm; (2) tấn công từ một nguồn không chủ ý (như cung cấp dịch
vụ; sai sót của con người; thảm họa tự nhiên)
• Tùy nguồn gốc, một tổ chức có thể lựa chọn triết lý xử lý sự cố hoặc thảm họa:
• Bảo vệ và quên (Protect and forgot) còn được gọi là "vá lỗi (patch) và tiếp tục (proceed)“.
Là triết lý tập trung vào sự bảo vệ tài sản thông tin và ngăn ngừa sự cố tái diễn, hơn là tập
trung truy tìm kẻ tấn công và truy tố
• Bắt giữ và truy tố (apprehend and prosecute), còn được gọi là “theo đuổi và trừng phạt”.
Triết lý tập trung vào truy tìm kẻ tấn công và truy tố truy tìm kẻ tấn công và truy tố; bảo
vệ tài sản thông tin và ngăn ngừa sự cố tái diễn
70
70
Nội dung
71
71
217
7/29/2023

• Khái niệm thảm họa
• Thảm họa có thể là tự nhiên hoặc do con người gây ra • Một sự cố có thể được phân loại là một
thảm họa khi :
• Tổ chức không có khả năng giảm thiểu tác động của sự cố đó khi nó đang xảy ra
• Mức độ thiệt hại nghiêm trọng đến mức không thể khôi phục nhanh chóng.
• Sự khác biệt giữa một sự cố và một thảm họa có thể rất nhỏ; nhóm lập kế hoạch dự phòng phải
phân biệt được cả hai, điều này có thể không thực hiện được cho đến khi một cuộc tấn công xảy
ra.
• Thông thường, một sự kiện ban đầu được phân loại là một sự cố sau đó có thể được xác định là
một thảm họa. Khi điều này xảy ra, tổ chức phải thay đổi phản ứng và đảm bảo bảo toàn giá trị
các tài sản có giá trị nhất của mình trong dài hạn  Lập kế hoạch phục hồi sau thảm họa (Disaster
Recovery Planning DRP)
72
72

• Khái niệm lập kế hoạch phục hồi sau thảm họa
• Lập kế hoạch phục hồi sau thảm họa (DRP) là quy trình chuẩn bị để xử lý một thảm họa
và phục hồi (recovery) sau thảm họa đó, được thực hiện bởi ban quản lý cấp cao
• Kế hoạch phục hồi sau thảm họa (DR Plan) là hồ sơ được tạo ra từ việc lập kế hoạch
phục hồi sau thảm họa (DRP); nó trình bày các nỗ lực dự định của tổ chức khi thảm họa
xẩy ra, cụ thể:
• Khôi phục tài sản thông tin có thể cứu vẫn được sau thảm họa
• Mua hoặc yêu cầu thay thế các tài sản thông tin từ các nguồn phù hợp
• Thiết lập lại các chức năng của tài sản thông tin tại địa điểm chính của tổ chức (địa điểm thường sử dụng
hoặc địa điểm mới)
73
73
218
7/29/2023

• Nhân sự liên quan khắc phục thảm họa
Đội quản lý lập kế hoạch dự
phòng (CPMT)
Thành
lập
Đội lập kế hoạch phục hồi sau

thảm họa (Disaster recovery
planning team- DRPT
Thành
lập
Các Đội ứng phó phục hồi sau thảm họa

(Disaster recovery response
teams – DRRTs)
74
74

• Các đội ứng phó phục hồi sau thảm họa (Disaster recovery response teams – DRRTs)
bao gồm:
• Đội quản lý phục hồi sau thảm họa (DR management team)
• Đội truyền thông (Communacation team)
• Đội phục hồi máy tính (phần cứng) (Computer recovery (hardware) team)
• Đội phục hồi hệ thống (OS) (Systems recovery team)
• Đội phục hồi mạng (Network recovery team)
• Đội phục hồi lưu trữ (Storage recovery team)
• Đội phục hồi ứng dụng (Applications recovery team)
75
75
219
7/29/2023

• Các đội ứng phó phục hồi sau thảm họa (Disaster recovery response teams – DRRTs)
bao gồm:
• Đội Quản lý dữ liệu (Data management team)
• Đội liên lạc với nhà cung cấp (Vendor contact team)
• Đội đánh giá thiệt hại và cứu hộ (Damage assessment and salvage team)
• Đội kết nối kinh doanh (Business interface team)
• Đội hậu cần (Logistics team)
• Đội khác khi cần thiết
76
76

• Quy trình phục hồi sau thảm họa
• Phương pháp lập kế hoạch dự phòng của NIST có thể được điều chỉnh cho quy trình
phục hồi sau thảm họa:
• Tổ chức đội phục hồi sau thảm họa
• Phát triển tuyên bố chính sách lập kế hoạch phục hồi sau thảm họa
• Xem xét lại BIA.
• Xác định các kiểm soát ngăn ngừa.
• Tạo chiến lược phục hồi sau thảm họa
• Phát triển bản kế hoạch phục hồi sau thảm họa (DR Plan)
• Đảm bảo kiểm tra kế hoạch phục hồi sau thảm họa, đào tạo và thực hành.
• Đảm bảo duy trì kế hoạch phục hồi sau thảm họa
77
77
220
7/29/2023

• Chính sách phục hồi sau thảm họa
• Chính sách phục hồi sau thảm họa được xây dựng (1) từ chính Đội Phục Hồi Sau Thảm
Họa (2) hoặc Đội Quản Lý Kế Hoạch Dự Phòng (CPMT) phát triển rồi sau đó chuyển
xuống cho Đội Khắc Phục Hồi Sau Họa.
• Chính sách phục hồi sau thảm họa (DR policy) là hồ sơ hướng dẫn việc xây dựng và thực
thi kế hoạch phục hồi sau thảm họa cũng như hướng dẫn hình thành và hoạt động của đội
phục hồi sau thảm họa.
78
78

• Chính sách phục hồi sau thảm họa
• Chính sách phục hồi sau thảm họa bao gồm các yếu tố chính sau:
• Mục đích. Tuyên bố rõ ràng về tầm nhìn thực hiện phục hồi sau thảm họa
• Phạm vi
• Yêu cầu nguồn tài nguyên
• Yêu cầu đào tạo, huấn luyện
• Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
79
79
221
7/29/2023

• Phân loại thảm họa
• Phân loại theo nguồn gốc gây thảm họa
• Thảm họa thiên nhiên/tự nhiên: bão lụt, lửa
• Thảm họa do con người gây ra, vd xâm nhập của hacker; phần mềm độc hại..
• Phân loại theo tỷ lệ xảy ra thảm họa
• Thảm họa khởi phát nhanh (Rapid-onset disasters). Thảm họa xảy ra đột ngột, ít được cảnh báo, có thể gây chết
người và phá hủy các phương tiện sản xuất
• Thảm họa khởi phát chậm (Slow-onset disasters). Thảm họa xảy ra theo thời gian và làm suy giảm dần dần khả
năng của một tổ chức để chống lại các tác động của thảm họa. Vd nguyên nhân thiên nhiên như hạn hán, đói
kém dần ảnh hưởng chết đói; dại dịch Covid 19 xẩy ra trong năm 2020 bởi vì quá trình dịch và hậu quả được
truyền thông toàn cầu theo dõi
• Việc phân loại thảm họa được thực hiện bởi quản lý IT cấp cao hoặc quản lý an toàn thông tin
làm việc gần với CSMT hoặc lãnh đạo của đội lập kế hoạch khắc phục thảm họa
80
80

• Lập Kế hoạch phục hồi sau thảm họa
• Lập kế hoạch phục hồi sau thảm họa xuất phát từ việc phân loại thảm họa, phấn tích tác
động của thảm họa và nguồn lực con người của tổ chức.
• Kế hoạch phục hồi sau thảm họa (DR plan) có cấu trúc giống kế hoạch khôi phục sau sự
cố (IR plan)
• Hướng dẫn chi tiết trong trường hợp có thảm họa, được sắp xếp theo loại / bản chất của thảm họa, chỉ
định các quy trình khôi phục trong và sau mỗi loại thảm họa.
• Thông tin chi tiết về vai trò và trách nhiệm của những người tham gia, xác định những nhân sự và cơ
quan phải được thông báo.
• Được kiểm tra bằng các cơ chế kiểm tra giống như kế hoạch IR.
81
81
222
7/29/2023

• Lập Kế hoạch phục hồi sau thảm họa
• Các nội dung chính trong DR plan:
• Phân công rõ ràng vai trò và trách nhiệm
• Thực hiện danh sách cảnh báo và thông báo cho nhân sự chủ chốt
• Thiết lập rõ ràng các ưu tiên: Tùy loại thảm họa. Các ưu tiên: (1) Con người: Sức khỏe, tính mạng; (2)
Dữ liệu, hệ thống; (3) Tài sản khác
• Quy trình lập hồ sơ tài liệu về thảm họa. Dựa vào tài liệu của sự cố (tài liệu sự cố cần ghi chép từ khi
nó khởi phát) để xác định khi nào và tại sao xẩy ra thảm họa
• Các bước hành động để giảm thiểu tác động của thảm họa với tổ chức
• Các triển khai các lựa chọn thay thế cho các thành phần hệ thống khác nhau; Đảm bảo các thành phần
chính của hệ thống sẵn sàng
82
82

• Ứng phó với thảm họa
• Thảm họa thực tế có thể vượt quá dự kiến so với kế hoạch  Đội CPMT nên xác định
mức độ linh hoạt trong kế hoạch phục hồi sau thảm họa, đưa ra nhiều lựa chọn cho
phép.
• Nếu cơ sở hạ tầng vật lý còn nguyên vẹn  Phục hồi hệ thống và dữ liệu để có thể hoạt động ở mức tối
đa có thể.
• Nếu cơ sở hạ tầng vật lý bị phá hủy  Cần kế hoạch dự phòng khác cho đến khi cơ sở hạ tầng mới
được láp đặt.
• Nếu thảm họa đe dọa họa động kinh doanh  Chuyển quy trình thực hiện kế hoạch đảm bảo hoạt động
kinh doanh liên tục
83
83
223
7/29/2023
Nội dung
84
84

• Khi các thảm họa làm tổ chức không thể tiếp tục hoạt động tại địa điểm chính cho đến khi
hoàn thành đầy đủ tất cả các nỗ lực DR  chuyển sang thực hiện kế hoạch đảm bảo hoạt động
kinh doanh liên tục.
• Lập kế hoạch hoạt động kinh doanh liên tục (BCP) giúp đảm bảo các chức năng kinh doanh
quan trọng có thể tiếp tục trong trường hợp thảm họa. Kế hoạch này (BC plan) thường được
quản lý bởi CEO hoặc COO của tổ chức.
85
85
224
7/29/2023

• Lập kế hoạch BC (BCP) được kích hoạt và thực hiện đồng thời với lập kế hoạch DR (DRP)
khi thảm họa kéo dài cần thiết:
• BCP thiết lập lại các chức năng quan trọng tại một địa điểm thay thế
• DRP tập trung vào việc thiết lập cơ sở hạ tầng kỹ thuật và hoạt động kinh doanh tại địa điểm chính.
• Nhiều doanh nghiệp kết hợp BC plan và DR plan trong một chức năng gọi là Lập kế hoạch
tái tục hoạt động kinh doanh (business resumption planning - BRP). BRP là những hoạt
động được thực hiện bởi những nhà quản lý cấp cao để phát triển và thực hiện một chính
sách, kế hoạch kết hợp DR và BC; và xây dựng những đội khôi phục DR và BC
86
86

•Quy trình lập kế hoạch đảm bảo hoạt động kinh doanh liên tục
• Thành lập đội BC.
• Xây dựng tuyên bố chính sách quy hoạch BC.
• Đánh giá, xem lại BIA.
• Xác định các biện pháp kiểm soát phòng ngừa.
• Tạo chiến lược tái lập địa điểm làm việc
• Xây dựng kế hoạch BC.
• Kiểm tra kế hoạch BC, huấn luyện và thực hành • Đảm bảo duy trì kế hoạch BC.
87
87
225
7/29/2023

• Chính sách lập kế hoạch hoạt động kinh doanh liên tục
• Mục đích.
• Phạm vi
• Yêu cầu nguồn tài nguyên
• Yêu cầu đào tạo, huấn luyện
• Lịch trình kiểm tra và thực hành
• Lập lịch cập nhật và duy trì kế hoạch
• Các cân nhắc đặc biệt
88
88

• Chiến lược lựa chọn vị trí dự phòng cho hoạt động kinh doanh liên tục
• Lựa chọn chiến lược khả thi cho hoạt động kinh doanh liên tục chủ yếu dựa vào chi
phí
• Ba tùy chọn sử dụng độc quyền
• Hot site
• Warm site
• Cold site
• Ba tùy chọn dùng chung

• Chia sẻ thời gian
• Thuê dịch vụ
• Thỏa thuận chung

89
89
226
7/29/2023

• Chia sẻ thời gian (timeshare)
• Cho phép tổ chức duy trì tùy chọn phục hồi sau thảm họa và tính liên tục trong kinh doanh bằng cách
chia sẻ thời gian sử dụng hot site/warm site/cold site với một hoặc nhiều đối tác, qua đó giúp giảm chi
phí sử dụng.
• Các bất lợi:

• Các tổ chức tham gia vào việc chia sẻ thời gian có thể có nhu cầu cần trang thiết bị cùng thời điểm.
• Nhu cầu cung cấp thiết bị và dữ liệu của cơ sở với tất cả các tổ chức liên quan, các cuộc đàm phán để sắp xếp chia
sẻ thời gian và các thỏa thuận bổ sung nếu một hoặc nhiều bên quyết định hủy bỏ thỏa thuận hoặc cho thuê lại các
tùy chọn của nó.
• Chia sẻ thời gian giống như đồng ý thuê một căn hộ với một nhóm bạn, các tổ chức tham gia cần duy trì các điều
khoản hòa nhã vì họ sẽ có quyền truy cập thực tế vào dữ liệu của nhau
90
90

• Thuê dịch vụ (Service bureau)
• Trong trường hợp xảy ra thảm họa, có các văn phòng dịch vụ đồng ý cung cấp các phương tiện vật chất,
cung cấp dịch vụ lưu trữ dữ liệu thuê ngoài có thu phí.
• Các hợp đồng có thể được tạo một cách cẩn thận với các văn phòng dịch vụ để chỉ định chính xác
những gì tổ chức cần mà không cần phải đặt trước các phương tiện chuyên dụng.
• Thỏa thuận dịch vụ thường đảm bảo không gian khi cần thiết, ngay cả khi văn phòng dịch vụ phải có
thêm không gian trong trường hợp có thảm họa lan rộng.
• Tùy chọn này giống như điều khoản cho thuê xe trong hợp đồng bảo hiểm xe hơi của bạn.
Điểm bất lợi là văn phòng là một loại dịch vụ và phải được thương lượng lại theo định kỳ.
Ngoài ra, sử dụng một văn phòng dịch vụ có thể khá tốn kém chi phí của tổ chức
91
91
227
7/29/2023

• Các thỏa thuận chung (Muatual agreement)
• Các thỏa thuận chung quy định rằng các tổ chức tham gia mà không bị ảnh hưởng bởi thảm họa có
nghĩa vụ cung cấp các phương tiện, nguồn lực và dịch vụ cần thiết cho đến khi tổ chức tiếp nhận có thể
phục hồi sau thảm họa.
• Kiểu sắp xếp này giống như chuyển đến ở với người thân hoặc bạn bè: không mất nhiều thời gian để
bạn có thể nhận được sự chào đón của bạn bè. Vấn đề với cách tiếp cận này là nhiều tổ chức chùn bước
trước ý tưởng phải tài trợ các dịch vụ và tài nguyên trùng lặp cho các bên khác, ngay cả trong ngắn hạn.
• Sự sắp xếp là lý tưởng nếu các thỏa thuận chung được tiến hành giữa các bộ phận của cùng một công ty
mẹ, giữa các tổ chức cấp dưới và cấp trên, hoặc giữa các đối tác kinh doanh lâu dài có thể là một giải
pháp hiệu quả về chi phí
92
92

• Các lựa chọn đặc biệt khác
• Vị trí lưu động (a rolling mobile site). Sử dụng những vị trí lưu động gắn trên các xe kéo remooc.
• Thuê ngoài các nơi có chứa các thiết bị cũ để có thể sử dụng tạm trong tình huống khẩn cấp
• Thuê các cơ sở tiền chế cho văn phòng di động.
• Điện toán trên đám mây. Sử dụng làm nơi truy cập dữ liệu để có thể làm việc tạm thời
93
93
228
7/29/2023
Nội dung
94
94

• Các hành động được thực hiện trong và sau thảm họa khi có nguy cơ liên quan tới tính mạng
con người (bị thương hoặc thiệt mạng) hoặc hình ảnh của tổ chức thì được gọi là quản lý
khủng hoảng. Quản lý khủng hoảng khác hẳn với quản lý thảm họa vì nó tập trung đầu tiên và
quan trọng nhất vào con người hơn là các tài sản khác.
• Cần xây dựng chính sách và kế hoạch quản lý khủng hoảng. Phương pháp luận lập kế hoạch
và chính sách quản lý khủng hoảng cùng dựa trên mô hình tương tự chính sách, và kế hoạch
khắc phục thảm họa
95
95
229
7/29/2023

• Nhân sự:
• Đội lập kế hoạch quản lý khủng hoảng (Crisis Management Planning Team)CMPT, nên bao
gồm những người từ tất cả các vùng chức năng của tổ chức để tạo điều kiện giao tiếp và
hợp tác
• Đội ứng phó quản lý khủng hoảng (Crisis Management Response Team)- CMRT, do CMPT
thành lập
• Các đội ứng phó phục hồi sau thảm họa (Disaster Recovery Response Reams – DRRTs)
làm việc chặt chẽ với Đội ứng phó quản lý khủng hoảng (Crisis management response
team)- CMRT để đảm bảo truyền thông đầy đủ và kịp thời trong thảm họa.
96
96

• Đội quản lý khủng hoảng (CMPT & CMRT) chịu trách nhiệm quản lý sự kiện từ góc độ
của tổ chức và bao gồm các hoạt động chính sau:
• Hỗ trợ nhân sự và những người thân của họ trong thời kỳ khủng hoảng
• Thông báo cho công chúng về sự kiện và các hành động được thực hiện để đảm bảo sự
phục hồi của nhân sự và tổ chức
• Truyền thông với các khách hàng lớn, nhà cung cấp, đối tác, cơ quan quản lý, tổ chức
trong ngành, giới truyền thông và các bên quan tâm khác
97
97
230
7/29/2023

• Đội lập kế hoạch quản lý khủng hoảng (CMPT) nên thiết lập sớm một cơ sở hoạt động
hoặc trung tâm chỉ huy gần nơi xảy ra thảm họa và tập trung 3 vấn đề :
• Xác minh và kiểm tra tình trạng nhân sự liên quan của doanh nghiệp. Đảm bảo tất cả mọi
người, kể cả người vắng mặt do nghỉ phép, đang đi công tác đều biết trách nhiệm của
mình
• Khởi động danh sách cảnh báo (alert roster). Sử dụng để liên lạc và truyền đạt công việc,
nhiệm vụ
• Hợp tác với các dịch vụ khẩn cấp: cứu hỏa, cảnh sát, cứu hộ, cấp cứu v.v.. Khi cần ứng
cứu người bị thương, thiệt mạng …
98
98
Nội dung
99
99
231
7/29/2023
Incident Response and Disaster Recovery
100
100
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng Disaster
Recovery and Business Continuity Planning
101
101
232
7/29/2023
9. Mối quan hệ giữa các thành phần trong lập kế hoạch dự phòng Contingency
Planning Implementation Timeline
102
102
Nội dung
103
103
233
7/29/2023

• Rất ít kế hoạch có thể thực hiện được như đã dự định  Cần kiểm tra để xác định các
lỗ hổng, lỗi và các quy trình không hiệu quả.
• Các kế hoạch dự phòng cần được kiểm tra thử nghiệm và cập nhật định kỳ để cải tiến
kế hoạch dự phòng
104
104

• Có bốn chiến lược thử nghiệm có thể được sử dụng để thử nghiệm các kế hoạch dự
phòng:
• Kiểm tra hồ sơ/tài liệu. Kế hoạch dự phòng được kiểm tra bởi tất cả các thành viên có vai
trò và nhiệm vụ liên quan trong quản lý sự cố, thảm họa
• Kiểm tra theo cấu trúc (structured walk through). Kiểm tra (thảo luận) theo từng bước
thực hiện của mỗi sự kiện được lập kế hoạch dự phòng.
• Mô phỏng. Thực hành theo từng vai trò như thể sự cố, thảm họa xẩy ra
• Gián đoạn hoàn toàn (full –interruption testing). Diễn tập trong điều kiện ngắt tất cả mọi
dịch vụ như thể sự cố, thảm họa thực sự. Việc kiểm tra này xảy ra sau giờ làm việc
105
105
234
7/29/2023
Summary
∙
Lập kế hoạch cho các sự kiện bất ngờ thường là trách nhiệm của cả 3 nhóm quản lý
∙ (quản lý chung, quản lý IT và quản lý InforSec)
Để một kế hoạch được tất cả các thành viên của tổ chức coi là hợp lệ, kế hoạch đó phải
∙ được chấp nhận và hỗ trợ tích cực bởi nhóm quản lý chung
Một số tổ chức được pháp luật hoặc cơ quan có thẩm quyền khác yêu cầu phải luôn
có các thủ tục lập kế hoạch dự phòng, nhưng tất cả các tổ chức kinh doanh nên
∙ chuẩn bị cho những tình huống bất ngờ.
Lập kế hoạch dự phòng (CP) là quy trình mà nhóm quản lý IT, nhóm quản lý
InforSec định vị tổ chức của họ để chuẩn bị, phát hiện, phản ứng và phục hồi sau
các sự kiện đe dọa đến an toàn của nguồn lực và tài sản thông tin
106
106
Summary
∙
CP bao gồm bốn thành phần chính: (1) BIA phân tích tác động kinh doanh: là
quy trình thu thập dữ liệu và lập tài liệu; (2) kế hoạch ứng phó sự cố (IR), (3) kế
∙ hoạch phục hồi sau thảm họa (DR), và (4) kế hoạch kinh doanh liên tục (BC).
Các tổ chức có thể tạo và phát triển ba yếu tố lập kế hoạch của quy trình CP (kế
hoạch IR, DR và BC) dưới dạng một kế hoạch thống nhất hoặc có thể tạo ba yếu
tố riêng biệt kết hợp với một tập hợp các quy trình lồng vào nhau để đảm bảo
tính liên tục.
107
107
235
7/29/2023
Summary
∙
Để đảm bảo tính liên tục trong quá trình tạo các thành phần CP, quy trình CP
bảy bước được sử dụng (quy trình của NIST) :
1. Xây dựng tuyên bố về chính sách lập kế hoạch dự phòng.
2. Tiến hành BIA.
3. Xác định các biện pháp kiểm soát phòng ngừa.
4. Tạo chiến lược dự phòng.
5. Xây dựng kế hoạch dự phòng.
6. Đảm bảo kế hoạch kiểm tra, huấn luyện, diễn tập.
7. Đảm bảo duy trì kế hoạch.
108
108
Summary
∙
Bốn nhóm cá nhân tham gia lập kế hoạch dự phòng và các hoạt động dự phòng:
đội CP, đội đội IR, đội DR và đội BC. Đội IR đảm bảo CSIRT được thành lập.
∙ Kế hoạch IR là một tập hợp chi tiết các quy trình và thủ tục lập kế hoạch, phát hiện
và giải quyết các tác động của một sự kiện không mong muốn đối với tài nguyên
và tài sản thông tin.
∙ Đối với mọi tình huống được xác định, đội CP tạo ba bộ quy trình: trước, trong và sau
sự cố để phát hiện, ngăn chặn và giải quyết sự cố.
∙ Phân loại sự cố là quy trình mà đội IR kiểm tra một sự kiện bất lợi và xác định xem nó
có phải là một sự cố thực sự hay không.
∙ Ba loại chỉ báo sự cố được sử dụng: có thể, khả năng cao xảy ra và xác định.
109
109
236
7/29/2023
Summary
•
Một sự cố thực sự đang diễn ra có bất kỳ điều nào sau: mất tính khả dụng
của thông tin, mất tính toàn vẹn của thông tin, mất tính bảo mật của thông
• tin, vi phạm chính sách hoặc vi phạm pháp luật.
Lập kế hoạch DR bao gồm việc chuẩn bị để xử lý và khắc phục thảm họa, cho
• dù là do thiên tai hay do con người gây ra.
Lập kế hoạch kinh doanh liên tục (BCP) đảm bảo rằng các chức năng
kinh doanh quan trọng vẫn tiếp tục nếu xảy ra sự cố hoặc thảm họa
nghiêm trọng. Các kế hoạch của BC có thể bao gồm các lựa chọn cho các
địa điểm sử dụng lập tức (hot site), địa điểm sử dụng ngay (warm site) và
địa điểm chờ (cold site); chia sẻ thời gian, thuê dịch vụ và các thỏa thuận
chung.
110
110
Summary
•
Do các kế hoạch phục hồi sau thảm họa (DR) và kinh doanh liên tục (BC)
có liên quan chặt chẽ với nhau nên hầu hết các tổ chức chuẩn bị cả hai kế
hoạch này cùng một lúc và có thể kết hợp chúng thành một tài liệu lập kế
• hoạch duy nhất được gọi là kế hoạch tái tục kinh doanh (business
resumption)- BR plan
Kế hoạch DR nên bao gồm quản lý khủng hoảng, các bước hành động được
thực hiện trong và sau thảm họa. Trong một số trường hợp, việc bảo vệ tính
• mạng con người và hình ảnh của tổ chức là những ưu tiên cao
Tất cả các kế hoạch phải được kiểm tra để xác định các lỗ hổng, lỗi và các
quy trình không hiệu quả. Một số chiến lược thử nghiệm có thể được sử
dụng để thử nghiệm các kế hoạch dự phòng: kiểm tra tại bàn; kiểm tra theo
cấu trúc; mô phỏng và gián đoạn hoàn toàn.
111
111
237
7/29/2023
112
112
238

Chương 2 Nhu Cầu Của Tổ Chức Đối Với An Toàn Thông Tin

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chương 2 Nhu Cầu Của Tổ Chức Đối Với An Toàn Thông Tin

Uploaded by

Copyright:

Available Formats

7/29/2023

NHU CẦU CỦA TỔ CHỨC

• Toyota VN đang đối mặt nguy cơ gì?

Mục tiêu chương

Competitive intelligence Trí tuệ cạnh tranh

1. Nhu cầu của tổ chức đối với an toàn thông tin

1. Nhu cầu của tổ chức đối với an toàn thông tin

1. Nhu cầu của tổ chức đối với an toàn thông tin

tài sản công nghệ của tổ chức

1.1. Bảo vệ chức năng hoạt động của hệ thống

1.2. Bảo vệ dữ liệu và thông tin

1.2. Bảo vệ dữ liệu và thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

1.4. Bảo vệ tài sản công nghệ của tổ chức

2. Nguy cơ và tấn công

2.1. Định nghĩa nguy cơ và tấn công

2.1. Định nghĩa nguy cơ và tấn công

2.1. Định nghĩa nguy cơ và tấn công

World Internet Usage

Asia 4,294,516,659 55.1% 2,525,033,874 58.8% 2,109% 52.2%

Europe 834,995,197 10.7% 727,848,547 87.2% 592% 15.1%

Latin America/ 654,287,232 8.4% 467,817,332 71.5% 2,489% 9.7%

Middle East 260,991,690 3.3% 184,856,813 70.8% 5,527% 3.8%

North America 368,869,647 4.7% 332,908,868 90.3% 208% 6.9%

Oceania/ Australia 42,690,838 0.5% 28,917,600 67.7% 279% 0.6%

WORLD TOTAL 7,796,949,710 100.0% 4,833,521,806 62.0% 1,239% 2121

Rated Threats from Internal Sources in 2015 SEC/CISE Survey

Inability/unwillingness to follow established 6.6% 17.2% 33.6% 26.2% 16.4% 66%

Rated Threats from Internal Sources in 2015 SEC/CISE Survey of

Intentional damage or destruction of 22.3% 43.0% 18.2% 13.2% 3.3% 46%

Web site defacement 43.4% 33.6% 16.4% 4.9% 1.6% 38%

Rated Threats from External Sources in 2015 SEC/CISE Survey

Web site defacement 8.9% 23.6% 22.8% 26.8% 17.9% 64%

Rated Threats from External Sources in 2015 SEC/CISE Survey of

Inability/unwillingness to follow 33.6% 29.4% 18.5% 6.7% 11.8% 47%

Perceived Threats to Information Assets in 2015 SEC/

Unintentional employee/insider mistakes 2.4% 17.1% 26.8% 35.8% 17.9% 70%

Perceived Threats to Information Assets in 2015 SEC/

SQL injections 7.6% 17.6% 31.9% 29.4% 13.4% 65%

Social engineering of employees/insiders 11.4% 19.5% 23.6% 31.7% 13.8% 63%

Outdated organizational software 8.1% 28.2% 26.6% 26.6% 10.5% 61%

Perceived Threats to Information Assets in 2015 SEC/

Outdated organizational hardware 17.2% 34.4% 32.8% 12.3% 3.3% 50%

Perceived Threats to Information Assets in 2015 SEC/

Perceived Threats to Information Assets in 2015 SEC/

Loss due to fire 26.2% 49.2% 21.3% 3.3% 0.0% 40%

Loss due to earthquake 41.7% 35.8% 15.0% 6.7% 0.8% 38%

2.2. Các loại nguy cơ và tấn công đối với ATTT

9. Lỗi phần cứng Lỗi thiết bị

11. Công nghệ lạc hậu Công nghệ lạc hậu

2.2.1. Nguy cơ xâm phạm tài sản trí tuệ

2.2.1. Nguy cơ xâm phạm tài sản trí tuệ

2.2.1. Nguy cơ xâm phạm tài sản trí tuệ

2.2.1 Nguy cơ xâm phạm tài sản trí tuệ

2.2.1. Nguy cơ xâm phạm tài sản trí tuệ

2.2.2. Sai lệch về chất lượng dịch vụ

2.2.2 Sai lệch về chất lượng dịch vụ

• Các vấn đề liên quan dịch vụ Internet

Average Cost of Downtime

2.2.3. Gián điệp hoặc kẻ xâm nhập trái phép

2.2.3. Gián điệp hoặc kẻ xâm nhập trái phép

2.2.3. Gián điệp hoặc kẻ xâm nhập trái phép

2.2.3. Gián điệp hoặc kẻ xâm nhập trái phép