Professional Documents
Culture Documents
AISe C2 Handout
AISe C2 Handout
1 2
1 2
1. Thảo luận về nhu cầu của tổ chức đối với 1. Nhu cầu của tổ chức đối với an toàn thông
an toàn thông tin tin
2. Liệt kê và mô tả các nguy cơ đối với an 2. Các loại nguy cơ & cuộc tấn công đối với
toàn thông tin an toàn thông tin
3. Liệt kê và mô tả một số cuộc tấn công phổ 3. Luật, đạo đức & thực hành an toàn thông
biến liên quan đến các nguy cơ tin
4. Hiểu sự khác biệt giữa luật, đạo đức & thực 4. Bộ quy tắc đạo đức của các tổ chức nghề
hành an toàn thông tin nghiệp
5. Bộ quy tắc đạo đức của các tổ chức nghề
nghiệp
3 4
3 4
1
03/10/2023
advance-fee fraud gian lận phí ứng trước cyberterrorist khủng bố mạng
phần mềm độc hại nhằm mục đích quảng cáo cyberwarfare chiến tranh mạng
adware
không mong muốn data security an toàn dữ liệu
attack tấn công database security an toàn cơ sở dữ liệu
availability disruption gián đoạn tính khả dụng denial-of-service (DoS) attack Tấn công từ chối dịch vụ
blackout thời gian mất điện dictionary password attack Tấn công từ điển
tình huống khi lượng điện cung cấp ở một khu vực distributed denial-of-service
brownout Tấn công từ chối dịch vụ đã được phân tác
ít hơn bình thường (DDos) attack
brute force password attack Tấn công mật khẩu Brute force downtime thời gian chết
competitive intelligence cạnh tranh thông tin expert/professional hacker tin tặc chuyên nghiệp
cracker người bẻ khóa exploit khai thác
cracking việc bẻ khóa fault lỗi
cyberactivist tin tặc với mục đích chính trị hacktivist tin tặc với mục đích chính trị
5 6
5 6
industrial espionage gián điệp công nghiệp phreaker người tấn công hệ thống điện thoại công cộng
polymorphic threat nguy cơ đa hình
information extortion cưỡng đoạt thông tin pretexting in sẵn
Intellectual property (IP) Tài sản trí tuệ rainbow table Bảng cầu vồng
jailbreaking bẻ khóa phần mềm máy tính được thiết kế đặc biệt để xác định và mã hóa thông tin
ransomware có giá trị trong hệ thống của nạn nhân nhằm tống tiền cho khóa cần thiết để
mail bomb Bom thư mở khóa mã hóa
maintenance hook móc bảo trì script hiddie tin tặc có kỹ năng hạn chế
service level agreement (SLA) thỏa thuận mức dịch vụ
malicious code mã độc
software piracy ăn cắp bản quyền phần mềm
malicious software phần mềm độc hại spam Thư rác
memory-resident virus virus thường trú trong bộ nhớ spyware phần mềm gián điệp
uptime thời gian (hệ thống, máy tính) hoạt động (mà không có bất kỳ vấn đề)
non-memory-resident virus virus không cư trú trong bộ nhớ
virus hoax Trò lừa bịp (virus)
novice hacker tin tặc mới vulnerability lỗ hổng/ điểm yếu của hệ thống
phishing lừa đảo worm sâu
7 8
7 8
2
03/10/2023
9 10
9 10
11 12
11 12
3
03/10/2023
13
14
13 14
15 16
15 16
4
03/10/2023
Nội dung
17 18
20
19 20
5
03/10/2023
Để bảo vệ thông tin, tổ chức cần biết các nguy • Nguy cơ thể hiện rủi ro tiềm tàng đối với tài sản thông tin
2.1 Định nghĩa cơ mà tổ chức có thể đối mặt. Để ra quyết định 2.1 Định nghĩa • Cuộc tấn công thể hiện một hành động liên tục gây tổn
về an toàn thông tin, ban quản lý phải được thất tài sản
nguy cơ & tấn thông báo về các nguy cơ khác nhau đối với nguy cơ & tấn • Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông
công con người, thiết bị, dữ liệu và hệ thống thông tin
của tổ chức.
công tin hoặc tài sản vật chất của tổ chức bằng cách sử dụng
các hành vi tận dụng lỗ hỗng bảo mật (yếu kém của hệ
thống) nơi mà các thủ tục kiểm soát không hiện hữu hoặc
không còn hiệu quả
21 22
21 22
2.2 Các loại nguy Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ
cơ & cuộc tấn khác nhau, tùy thuộc tình hình an ninh cụ thể,
chiến lược của tổ chức, rủi ro và mức độ yếu
công đối với an kém đối với tài sản thông tin của tổ chức.
toàn thông tin
2.1 Định
nghĩa
nguy cơ
& tấn
công Nguy cơ luôn hiện hữu trong khi cuộc tấn
công chỉ tồn tại khi một hành động cụ thể có
thể gây ra tổn thất.
23 24
23 24
6
03/10/2023
STT
Các loại nguy cơ Ví dụ
1. Xâm phạm tài sản trí tuệ Ăn cắp bản quyền, vi phạm bản
2.2 Các loại nguy Tấn công có thể liên quan đến nhiều nguy cơ.
Ví dụ: hành vi trộm cắp do tin tặc thực hiện
quyền
thông tin và ví 4. Những tác động từ thiên Cháy nổ, lũ lụt, động đất, sấm sét
nhiên
dụ các cuộc 5. Lỗi con người / sai sót Vô tình nói cho người thân nghe
về bí mật đơn vị
tấn công tương 6. Cưỡng đoạt thông tin Tống tiền, tiết lộ thông tin
ứng
7. Phá hoại Huỷ hoại hệ thống hoặc thông tin
8. Tấn công có chủ đích bằng Viruses, worms, macros, từ chối
phần mềm dịch vụ
9. Lỗi phần cứng Đĩa cứng bị hỏng vật lý
10. Lỗi phần mềm Bugs, các vấn đề về mã, lổ hỗng
bảo mật chưa được xác định
11. Công nghệ lạc hậu Các máy ATM đang sử dụng hệ
điều hành Windows XP
25 26
2.2.1 Nguy cơ
xâm phạm tài sản
trí tuệ
• Tài sản trí tuệ được bảo vệ bởi luật
bản quyền và các luật khác, mang lại
kỳ vọng ghi nhận quyền tác giả hoặc
Tài sản trí tuệ là việc Các loại tài sản trí tuệ:
2.2.1 Nguy cơ ghi nhận nguồn thích hợp, có khả năng
phải xin phép để được sử dụng theo
tạo ra, sở hữu, kiểm xâm phạm tài quy định của pháp luật. Vd: phải thanh
• Bí mật thương mại
soát các ý tưởng ban • Quyền tác giả
sản trí tuệ toán tiền bản quyền trước khi sử dụng
bài hát đó trong phim.
đầu và trình bày các ý • Thương hiệu • Việc sử dụng trái phép tài sản trí tuệ
tưởng đó. • Bằng sáng chế dẫn đến nguy cơ an toàn thông tin.
28
27
27 28
7
03/10/2023
29 30
29 30
2.2.1 Một số
vấn đề liên
quan nguy cơ
xâm phạm tài
sản trí tuệ
• Sai lệch về chất lượng dịch vụ là nguy cơ xảy ra
khi sản phẩm hoặc dịch vụ không được cung cấp
như mong đợi
Tổn thất tài sản trí tuệ có thể do khai thác hiệu quả 2.2.2 Sai lệch • Hệ thống thông tin của một tổ chức phụ thuộc vào
sự vận hành thành công của nhiều hệ thống hỗ
các lỗ hổng/ điểm yếu của hệ thống liên quan đến về chất lượng trợ phụ thuộc lẫn nhau, gồm lưới điện, mạng dữ
các thủ tục kiểm soát bảo vệ tài sản. dịch vụ liệu và viễn thông, phụ tùng, nhà cung cấp dịch
vụ, thậm chí cả nhân viên vệ sinh. Bất kỳ hệ
thống hỗ trợ nào trong số này đều có thể bị gián
đoạn do những phát sinh không lường trước.
32
31
31 32
8
03/10/2023
33 34
33 34
35 36
9
03/10/2023
37
38
37 38
Nâng cấp đặc quyền: một khi kẻ tấn công giành được
2.2.3 Gián điệp quyền truy cập vào hệ thống, bước tiếp theo là tăng các
đặc quyền của họ để cố giành quyền quản trị hệ thống.
hoặc kẻ xâm Đặc quyền này cho phép kẻ tấn công truy cập thông tin,
sửa đổi hệ thống để xem tất cả thông tin trong đó và ẩn
nhập trái phép các hoạt động của chúng bằng cách sửa đổi nhật ký hệ
thống. Sự tăng cấp đặc quyền là một kỹ năng tự thân
hoặc sử dụng các công cụ phần mềm
39 40
10
03/10/2023
41 42
41 42
2.2.3 Gián điệp 2.2.3 Gián điệp Một bảng cầu vồng là danh sách chứa các giá trị
43 44
43 44
11
03/10/2023
45 46
2.2.5 Lỗi con người/ sai sót 2.2.5 Lỗi con người/ sai sót
• Bao gồm các hành vi được thực hiện không • Sai lầm dù vô hại vẫn có thể gây ra thiệt hại
có chủ đích hoặc mục đích xấu. Ví dụ: sai lớn
lầm khi sử dụng hệ thống hoặc lỗi phát sinh
khi người dùng không tuân theo chính sách
• Sai lầm của nhân viên là nguy cơ nghiêm
trọng đe dọa tính bảo mật, tính toàn vẹn và
đã được thiết lập tính khả dụng của dữ liệu
• Nguyên nhân có thể do • Những sai lầm của nhân viên có thể dễ dàng
– Thiếu kinh nghiệm dẫn đến:
– Đào tạo không đúng cách – Tiết lộ dữ liệu đã được xử lý
– Các giả định không chính xác – Nhập dữ liệu không chính xác
– Vô tình xóa hoặc sữa dữ liệu
– Bảo quản dữ liệu ở những khu vực
không an toàn
47 48
47 48
12
03/10/2023
49 50
49 50
51
52
51 52
13
03/10/2023
53 54
53 54
• Định nghĩa
• Các loại tấn công có chủ Xảy ra khi một cá nhân hoặc một
đích bằng phần mềm nhóm người thiết kế hoặc sử
• Malware dụng phần mềm để tấn công hệ
• Back doors thống. Cuộc tấn công này có thể
bao gồm phần mềm được chế
• Denial-of-Service tạo đặc biệt mà những kẻ tấn
(DoS) and công lừa người dùng cài đặt trên
Distributed Denial- hệ thống của họ. Phần mềm này
of-Service (DDoS) có thể được sử dụng để lấn át
attacks khả năng xử lý của các hệ thống
• Email attacks trực tuyến hoặc truy cập vào các
• Communications hệ thống được bảo vệ bằng các
phương tiện ẩn.
interception attacks
55 56
55 56
14
03/10/2023
57 58
• Các dạng tấn công sử dụng mã độc • Quét và tấn công IP: hệ thống tích hợp
việc quét một loạt các địa chỉ IP ngẫu
gồm: viruses, sâu, Trojan horses và nhiên hoặc cục bộ và nhắm vào bất kỳ
các tập lệnh Web được kích hoạt với yếu kém hệ thống đã được biết bởi các
mục đích phá hủy hoặc đánh cắp tin tặc hoặc còn sót lại từ các lần khai
thông tin. thác trước đó
• Cuộc tấn công mã hiện đại nhất hiện 6 phương • Trình duyệt Web: nếu hệ thống bị
nay là sâu đa hình (polymorphic worm)
hay còn gọi sâu đa phương thức
thức tấn nhiễm có quyền ghi vào bất kỳ trang
web nào, nó sẽ làm cho tất cả các tập
(multivector worm) vì nó sử dụng 6 công của nội dung Web bị lây nhiễm, do đó
Malware phương thức tấn công để khai thác người dùng duyệt các trang Web này
nhiều lỗ hổng trong các thiết bị hệ virus và sâu sẽ bị nhiễm
thống thông tin phổ biến • Virus: mỗi máy tính bị nhiễm sẽ lây
nhiễm một số tập lệnh thực thi phổ
• zero-day attack: khi cuộc tấn công sử biến trên tất cả các máy tính mà nó có
dụng các malware mà các công ty thể viết bằng mã virus có thể gây
phần mềm chống malware chưa biết nhiễm
về malware
60
59
59 60
15
03/10/2023
61
62
61 62
63 64
63 64
16
03/10/2023
Viruses Viruses
Người dùng thường vô tình giúp virus xâm nhập Khi những virus này lây nhiễm vào một
vào hệ thống bằng cách mở email bị nhiễm hoặc máy, lập tức quét máy đó để tìm các ứng
một số hành động có vẻ tầm thường khác nhưng
có thể khiến mọi thứ từ các thông báo ngẫu nhiên dụng email hoặc thậm chí tự gửi thư đến
xuất hiện trên màn hình của người dùng đến việc mọi người có trong sổ địa chỉ email được
phá hủy toàn bộ ổ cứng. tìm thấy.
65 66
65 66
67 68
67 68
17
03/10/2023
Hành vi phức tạp của worm có thể được bắt đầu khi
người dùng tải xuống hoặc thực thi tệp. Một khi sâu
Worms là virus có thể tự tái tạo cho đến khi đã lây nhiễm vào máy tính, nó có thể tự phân phối lại
chúng lấp đầy hoàn toàn các tài nguyên có sẵn,
Worms (sâu) như bộ nhớ, dung lượng ổ cứng và băng thông Worms (sâu) tới tất cả địa chỉ email được tìm thấy trên hệ thống bị
nhiễm. Hơn nữa, sâu có thể gửi các bản sao của
mạng chính nó lên tất cả máy chủ Web mà hệ thống bị
nhiễm có thể tiếp cận; những người dùng sau truy
cập vào các trang web đó sẽ bị nhiễm.
69 70
69 70
71 72
71 72
18
03/10/2023
• Thách thức khi chống lại Trò lừa bịp (hoaxes) virus và
virus và sâu là các nguy
sâu
Nguy cơ đa hình cơ đa hình, nghĩa là nguy
cơ virus và sâu phát
triển, thay đổi kích thước
của nó và các đặc điểm • Một trò lừa bịp virus: một cách tiếp cận
bên ngoài của tập tin để tinh quái hơn, tốn nhiều thời gian và
tránh bị phát hiện bởi các tiền bạc hơn để giải quyết là việc tấn
chương trình phần mềm công hệ thống máy tính bằng cách
chống virus truyền. Vd: người dùng có ý tốt nhưng
lại có thể làm gián đoạn hoạt động và
quy trình của một tổ chức khi gửi email
cảnh báo về một loại virus nguy hiểm
KHÔNG tồn tại.
• Những trò lừa bịp này làm lãng phí
thời gian của người dùng và khiến
mạng quá tải
73 74
73 74
• Back doors: có thể là một lối đi không chủ • Thông thường kẻ tấn công đặt một cánh
đích hoặc có chủ đích (do nhà thiết kế cố cửa sau vào hệ thống hoặc mạng mà
tình để lại để tạo điều kiện thực hiện kiểm chúng đã thâm nhập để việc quay lại hệ
soát truy cập) thống của chúng sau này sẽ dễ dàng hơn.
• Sử dụng cơ chế truy cập đã biết hoặc mới • Rất khó phát hiện back doors vì người/
được phát hiện, kẻ tấn công có thể giành chương trình cài đặt nó thường làm cho
quyền truy cập vào hệ thống hoặc tài quyền truy cập được miễn trừ khỏi các tính
nguyên mạng thông qua back doors (cửa năng ghi nhật ký kiểm tra thông thường
hậu) của hệ thống và cố gắng giữ kín cửa sau
• Đôi khi những cánh cửa này do các nhà với chủ sở hữu hợp pháp của hệ thống
thiết kế hệ thống hoặc nhân viên bảo trì để
lại; một cánh cửa như vậy được xem là
một maintenance door.
75 76
75 76
19
03/10/2023
Tấn công từ chối dịch vụ (DoS) và tấn công Tấn công từ chối dịch vụ (DoS) và tấn công
từ chối dịch vụ đã được phân tán (DDoS) từ chối dịch vụ đã được phân tán (DDoS)
• Tấn công từ chối dịch vụ: cuộc tấn công • Tấn công từ chối dịch vụ được phân tán: là một
cố gắng áp đảo khả năng xử lý thông tin dạng tấn công từ chối dịch vụ, trong đó một
liên lạc được đưa đến máy tính mục tiêu, luồng yêu cầu phối hợp được đưa ra nhằm vào
nhằm cấm người dùng hợp pháp truy cập một mục tiêu từ nhiều địa điểm trong cùng một
vào các hệ thống đó thời điểm bằng cách sử dụng Bot hoặc Zombies
– Hầu hết các cuộc tấn công DDoS đều diễn
– Kẻ tấn công gửi một số lượng lớn ra trước giai đoạn chuẩn bị trong đó hàng
các yêu cầu kết nối hoặc yêu cầu nghìn hệ thống bị xâm nhập. Các máy bị
thông tin đến một mục tiêu xâm nhập bị biến thành Bot hoặc Zombies,
– Rất nhiều yêu cầu được đưa ra khiến những máy này được kẻ tấn công chỉ đạo
hệ thống mục tiêu không thể xử lý từ xa để tham gia vào tấn công.
chúng thành công cùng với các yêu – Cuộc tấn công DDoS khó chống lại hơn và
hiện không có biện pháp kiểm soát khả thi.
cầu dịch vụ hợp pháp khác Tuy nhiên có thể kích hoạt khả năng phòng
– Có thể dẫn đến sự cố hệ thống hoặc thủ Ddos giữa các nhóm nhà cung cấp
đơn thuần là không thể thực hiện các dịch vụ
chức năng thông thường
77 78
77 78
Thư rác (spam) là email thương mại không mong muốn. Bom thư (mail bombing) là một hình thức tấn công thư điện
Nhiều người xem thư rác là một mối phiền toái hơn là một tử khác cũng là một DoS, trong đó kẻ tấn công gửi một
Tấn công cuộc tấn công, tuy nhiên nó có thể là vật trung gian cho một
số cuộc tấn công. Hậu quả quan trọng nhất là lãng phí máy
Tấn công lượng lớn thư điện tử đến mục tiêu. Mặc dù cuộc tấn công
lừa đảo xảy ra qua email, nhưng chúng thường được kết
bằng Emails tính và nguồn nhân lực. Để đối phó thư rác, các tổ chức có
thể (1) sử dụng công nghệ lọc email, (2) yêu cầu người
bằng Emails hợp với một social engineering được thiết kế để lừa người
dùng thực hiện một hành động, thay vì chỉ đơn giản biến
dùng xóa các thư không mong muốn người dùng trở thành mục tiêu của cuộc tấn công qua email
DoS.
79 80
79 80
20
03/10/2023
liên lạc
• Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình chuyển
tiếp thông tin
• Việc xuất hiện Internet of Things làm tăng khả năng xảy ra loại tấn công này
• Ví dụ về các tấn công chặn liên lạc:
– Packet sniffer
– Spoofing
– Pharming
– Man-in-the-middle
82
81
81 82
Spoofing
Spoofing
Giả mạo địa chỉ IP là
một kỹ thuật được sử
dụng để truy cập trái
phép vào máy tính,
trong đó kẻ xâm nhập
sẽ gửi tin nhắn đến
máy tính có địa chỉ IP
cho biết rằng tin nhắn
đến từ một máy chủ
đáng tin cậy
84
83 84
21
03/10/2023
Pharming Pharming
85 86
85 86
• Man-in-the-middle: một nhóm các tấn công trong • Nguy cơ này xảy ra khi nhà sản xuất phân
đó một người chặn luồng liên lạc và tự chèn mình phối cho người dùng thiết bị có chứa một lỗi
vào cuộc trò chuyện để thuyết phục mỗi bên rằng đã biết hoặc chưa biết.
anh ta là đối tác hợp pháp. • Những khiếm khuyết này có thể khiến hệ
• Kẻ tấn công nhận dạng các packets từ mạng, sửa thống hoạt động ngoài các thông số mong
đổi chúng và chèn chúng trở lại mạng. đợi, dẫn đến dịch vụ không đáng tin cậy hoặc
• Trong một cuộc tấn công chiếm quyền điều phiên không khả dụng
TCP (TCP hijacking attack), kẻ tấn công sử dụng • Một số lỗi là lỗi thiết bị đầu cuối dẫn đến việc
địa chỉ giả để mạo danh các thực thể hợp pháp mất thiết bị không thể khôi phục được.
khác trên mạng. • Một số lỗi không liên tục do chúng chỉ tự biểu
Man-in-the- 2.2.9 Lỗi hiện định kỳ, dẫn đến các lỗi không dễ lặp
lại, gây khó cho việc phát hiện và khắc phục.
middle phần cứng Do đó, thiết bị có thể ngừng hoạt động hoặc
hoạt động theo cách không mong muốn
87 88
87 88
22
03/10/2023
•
trước khi tất cả các lỗi đều được giải quyết
sự kết hợp độc đáo của một số phần mềm và phần
2.2.11 Công tổ chức mà nhân viên CNTT kịp thời báo thời điểm
hệ thống/ công nghệ sắp sửa lỗi thời cho ban quản
•
cứng sẽ phát hiện ra các lỗi mới
Đôi khi, những mục này không phải là lỗi mà là những
nghệ lạc hậu lý hơn là báo khi hệ thống/ công nghệ ở trạng thái
đã lỗi thời
việc làm có chủ đích do người lập trình cố tình vì lý do
lành tính
• Lỗi phần mềm phổ biến đến mức toàn bộ các trang
Web đều có mục dành riêng để ghi lại chúng. Phổ biến
nhất là Bugtraq của trang web www.securityfocus.com,
cung cấp thông tin cập nhật từng phút về các lỗ hổng
bảo mật mới nhất cũng như một kho lưu trữ kỹ lưỡng
về các lỗi trong quá khứ
• Một số lỗi và lỗi phá triển phần mềm dẫn đến phần
mềm khó hoặc không thể triển khai theo cách an toàn.
89 90
89 90
• Nguy cơ trộm cắp là thường xuyên. Trộm cắp là việc chiếm đoạt • Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc
bất hợp pháp tài sản của người khác (tài sản hữu hình, điện tử tấn công phần mềm, gián điệp & xâm nhập, tống tiền thông tin
hoặc trí tuệ) và xâm phạm quyền sở hữu trí tuệ. Tin tặc hoặc các tác nhân
• Giá trị thông tin giảm đi khi thông tin bị sao chép mà chủ sở hữu nguy cơ (threat agent) khác có thể truy cập vào hệ thống và
thực hiện hầu hết các hành vi vi phạm này bằng cách tải xuống
không biết
2.2.12 Trộm 2.2.12 Trộm
thông tin của doanh nghiệp và sau đó đe dọa công khai chúng
• Hành vi trộm cắp vật lý (các tài sản hữu hình) dễ bị phát hiện và nếu không nhận được tiền.
có thể được kiểm soát dễ dàng bằng nhiều cách: cửa khóa,
nhân viên an ninh, hệ thống báo động. Tuy nhiên trộm cắp điện
• Việc sử dụng ngày càng nhiều công nghệ di động làm tăng nguy
cơ bị đánh cắp dữ liệu. Tuy nhiên, đáng lo hơn việc mất dữ liệu
tử là một vấn đề phức tạp hơn để quản lý và kiểm soát, do khi là khả năng người dùng cho phép thiết bị di động giữ lại thông
thông tin điện tử bị đánh cắp, tội phạm không phải lúc nào cũng tin đăng nhập tài khoản, cho phép kẻ trộm sử dụng quyền truy
rõ ràng. Nếu tên trộm khôn khéo và che đậy dấu vết cẩn thận, cập hợp pháp để vào tài khoản doanh nghiệp hoặc tài khoản cá
tội ác có thể không bị phát hiện cho đến khi quá muộn.
nhân của nạn nhân
91 92
91 92
23
03/10/2023
1. Nhu cầu của tổ chức đối Phân biệt giữa luật và đạo đức trong an toàn thông tin
với an toàn thông tin
Chính sách và luật trong an toàn thông tin
2. Các loại nguy cơ & cuộc Đạo đức và an toàn thông tin
tấn công đối với an toàn
thông tin Sự khác biệt về đạo đức giữa các nền văn hóa
3. Luật, đạo đức & thực hành Đạo đức và giáo dục
an toàn thông tin Ngăn chặn hành vi phi đạo đức và bất hợp pháp
93 94
9
6
95 96
24
03/10/2023
9
7 9
8
97 98
9
9
1
0
0
99 100
25
03/10/2023
102
1
0
1
101 102
3.3 Đạo đức và an toàn thông tin 3.3 Đạo đức và an toàn thông tin
103 104
26
03/10/2023
về đạo đức giữa 3.5 Đạo đức đào tạo về các hành vi
đạo đức được kỳ vọng,
các nền văn hóa Khó khăn này càng tăng và giáo dục đặc biệt trong lĩnh vực
an toàn thông tin
cao khi hành vi đạo đức
của một quốc gia mâu
thuẫn với bộ quy tắc đạo
Việc đào tạo hành vi
đức của nhóm quốc gia
khác. đạo đức phù hợp sẽ
quan trọng để hình
thành nên người dùng
105
hệ thống có tư duy 106
105 106
Nội dung
• Phương pháp tốt nhất để ngăn cản
3.6 Ngăn các hành vi phi đạo đức và bất hợp
chặn hành vi pháp là thực thi luật, chính sách và 1. Nhu cầu của tổ chức đối
các kiểm soát kỹ thuật, giáo dục và với an toàn thông tin
phi đạo đức đào tạo.
• 2. Các loại nguy cơ & cuộc
và bất hợp Luật và chính sách, các hình phạt đi
kèm chỉ mang lại hiệu quả nếu 3 tấn công đối với an toàn
pháp điều kiện sau hiện hữu: thông tin
– Nỗi sợ bị phạt 3. Luật, đạo đức & thực hành
– Khả năng bị bắt
– Khả năng hình phạt được áp an toàn thông tin
dụng 4. Bộ quy tắc đạo đức của
các tổ chức nghề nghiệp
107
108
107 108
27
03/10/2023
109 110
109 110
4.1 Hiệp hội máy tính (Association 4.2 Hiệp hội kiểm toán và kiểm soát
of Computing Machinery) hệ thống thông tin (Information
Systems Audit and Control
Association)
• www.acm.org • www.isaca.org
• Hiệp hội xây dựng bộ quy tắc gồm • Hiệp hội tập trung vào kiểm
toán, bảo mật thông tin, phân
24 mệnh lệnh và trách nhiệm đạo tích quy trình kinh doanh và
đức cá nhân đối với các chuyên gia lập kế hoạch hệ thống thông
bảo mật tin thông qua các chứng chỉ
• Tổ chức này nhấn mạnh vào đạo CISA và CISM
đức của các chuyên gia bảo mật • Tổ chức này nhấn mạnh nhiệm
vụ và kiến thức cần thiết của
chuyên gia kiểm toán hệ thống
thông tin
111 112
111 112
28
03/10/2023
113 114
113 114
115 116
29
03/10/2023
Bài tập
118
117 118
30