QUẢN LÝ VÀ XÂY DỰNG CHÍNH

SÁCH AN TOÀN THÔNG TIN

Bài 1: Tổng quan về chính sách An toàn

Thông tin

Giảng viên: TS. Đàm Quang Hồng Hải

Nội dung
• Chính sách An toàn thông tin Doanh nghiệp
• Những tác nhân ảnh hưởng đến thông tin trong
doanh nghiệp
• Qui trình xây dựng chính sách An toàn thông tin
trong doanh nghiệp
• Phân loại kiểm soát, Phân loại dữ liệu
• Mô hình phòng thủ theo chiều sâu
• Khuôn khổ An ninh (security framework)
• Quản lý rủi ro (risk managment)

1/26/2020 2
Một Tổ chức - Doanh nghiệp
• Enterprise: Tổ chức hoặc doanh nghiệp
• Doanh nghiệp: Là một tổ chức kinh tế, có tên riêng, có tài
sản, có trụ sở giao dịch ổn định, được đăng ký kinh doanh
theo quy định

1/26/2020 duyn@uit.edu.vn 3
Chính sách An ninh Doanh nghiệp
• Chính sách an ninh là cái nhìn tổng quan nhu cầu
về an ninh của một doanh nghiệp; một tài liệu xác
định phạm vi bảo mật cần thiết cho doanh nghiệp
và thảo luận về các tài sản đòi hỏi sự bảo vệ và mức
độ mà các giải pháp bảo mật cần phải cung cấp sự
bảo vệ cần thiết.
• Các chính sách an ninh được sử dụng để phân công
trách nhiệm; xác định vai trò, các yêu cầu kiểm
toán; phát thảo các quy trình thực thi; chỉ ra các yêu
cầu tuân thủ và xác định các mức độ rủi ro có thể
chấp nhận được.

1/26/2020 duyn@uit.edu.vn 4
Cân bằng chức năng an ninh phù hợp chiến
lược, mục đích, nhiệm vụ và mục tiêu
• Lập kế hoạch quản lý an ninh đảm bảo việc thực thi
đúng chính sách an ninh, giúp cân bằng giữa đảm bảo
lợi ích an ninh với chiến lược, mục tiêu của doanh
nghiệp, tổ chức. Điều này bao gồm việc thiết kế và thực
hiện bảo mật dựa trên từng trường hợp kinh doanh, sự
hạn chế về ngân sách hoặc khan hiếm nguồn lực.
• Kế hoạch quản lý an ninh bao gồm xác định các vai trò
an ninh; quy định cách quản lý, người chịu trách nhiệm,
kiểm tra việc quản lý có hiệu quả không; xây dựng chính
sách an ninh; thực hiện phân tích rủi ro; và đòi hỏi phổ
biến, tập huấn an ninh cho nhân viên.
An toàn thông tin Doanh nghiệp
• An toàn thông tin là an toàn kỹ thuật cho các hoạt
động của các cơ sở hạ tầng thông tin một Tổ chức -
Doanh nghiệp bao gồm an toàn phần cứng và phần
mềm theo các tiêu chuẩn kỹ thuật được ban hành.
• An toàn thông tin cho phép duy trì các tính chất bí
mật, toàn vẹn, sẵn sàng của thông tin trong lưu trữ,
xử lý và truyền dẫn trên mạng.
• Mục tiêu của An toàn thông tin là bảo vệ các tài sản
thông tin chống lại các nguy cơ và các rủi ro cho các
hệ thống thông tin.

1/26/2020 6
Hệ thống thông tin một Doanh nghiệp
• Hệ thống thông tin một Doanh nghiệp là hệ thống cung
cấp thông tin cho công tác quản lý của tổ chức bao gồm
con người, thiết bị và quy trình thu thập, phân tích, đánh
giá và phân phối những thông tin cần thiết, kịp thời,
chính xác cho những người soạn thảo các quyết định
trong Doanh nghiệp.
• Thông tin là số liệu và dữ kiện thô sau khi đã được xử
lý. Các hoạt động xử lý dữ liệu thô bao gồm: phân loại,
phân tích, so sánh và tổng hợp thành thông tin có giá trị
đối với tất cả các cấp của Tổ chức - Doanh nghiệp

1/26/2020 7
 Hệ thống thông tin trong doanh nghiệp

Thông tin Thông tin ra

ngoài doanh Hệ thống quản lý bên ngoài
nghiệp doanh nghiệp

Hệ thống Thông tin

Thông tin
Thông tin tác quyết định
nghiệp Đối tượng quản lý

6/2020 8
Giám đốc An toàn Thông tin
• Giám đốc An toàn Thông tin (Chief Information Security
Officer - CISO) có nhiệm vụ xây dựng các chuẩn an toàn
thông tin, cũng như điều hành những hoạt động bảo mật hệ
thống Công nghệ thông tin của một Tổ chức - Doanh
nghiệp.

1/26/2020 9
Các chứng chỉ An toàn Thông tin

1/26/2020 duyn@uit.edu.vn 10
Chứng chỉ bảo mật CISSP
• CISSP - Certified Information Systems Security Professional: là
một trong các chứng chỉ cao cấp về bảo mật được thừa nhận trên
toàn thế giới, được chứng nhận bởi International Information
System Security Certification Consortium - (ISC) 2
• Vào giữa những năm 1980, các thành viên của các hiệp hội bảo
mật thông tin nhận ra rằng họ cần một chương trình để cung cấp
chứng chỉ nghề nghiệp và cung cấp nhiều phương pháp cho các
chuyên gia bảo mật máy tính để chứng minh năng lực và trình
độ của mình.
• Trong tháng 11 năm 1988, nhóm Special Interest Group for
Computer Security (SIG-CS) của Data
Processing Management Association
(DPMA) đã quy tụ một số tổ chức có
quan tâm để hình thành (ISC) 2
11
Kỳ thi CISSP
• Bài thi CISSP bao gồm 250 câu hỏi nhiều lựa chọn, và
người thi có đến 6 giờ để hoàn thành.
• Bài thi CISSP bao gồm 10 lĩnh vực bảo mật của tiêu chuẩn
CBK (Common Body of Knowledge) với yêu cầu hiểu biết
rộng về kiến thức và các câu hỏi yêu cầu người thi phải làm
quen với nhiều đối tượng bảo mật khác nhau.
• Các câu hỏi được lấy ra từ một ngân hàng câu hỏi rất lớn để
đảm bảo kỳ thi là duy nhất ngay cả đối với người đã từng dự
thi. Ngân hàng câu hỏi này luôn được thay đổi và phát triển
để phản ánh chính xác hơn các yêu cầu bảo mật của thế giới
máy tính và mạng.

1/26/2020 duyn@uit.edu.vn 12
An toàn thông tin trong doanh nghiệp

1/26/2020 duyn@uit.edu.vn 13
Yêu cầu An toàn thông tin trong doanh nghiệp

• Bảo mật - Confidentiality

• Toàn vẹn - Integrity
• Đảm bảo tính sẵn sàng - Availability
• Cấp phép - Authorization
• Chống chối từ - Non-repudiation
Source:
1/26/2020Internet duyn@uit.edu.vn 14
Các yêu cầu An toàn thông tin
• Bảo mật (Confidentiality) là việc đảm bảo tính bí mật, chỉ để những
người được cấp phép mới có thể đọc được thông tin mang tính riêng
tư.
• Toàn vẹn (Integrity) là việc đảm bảo tính chính xác và tin cậy của
thông tin, và bất kỳ sự thay đổi trái phép nào tới thông tin sẽ được
phát hiện và ngăn chặn.
• Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp
ứng sử dụng cho người có thẩm quyền.
• Cấp phép (Authorization) là quá trình xác định xem đối tượng (đã
được xác thực) được phép làm những gì. Bước này thường xảy ra sau
bước xác thực ở trên.
• Chống chối từ (Non-repudiation) là việc đảm bảo rằng đối tượng đã
gửi đi thông điệp không thể phủ nhận việc gửi đó và ngược lại, đối
tượng đã nhận được thông điệp cũng không thể phủ nhận là chưa biết
đến thông điệp đó
1/26/2020 duyn@uit.edu.vn 15
Những trạng thái của thông tin

Databases or
Repositories

Data-at-Rest

Email Gateway

DLP Prevent

Web Gateway
Data-in-Motion
Data-in-Use
Data-in-Use DLP Monitor

Switch
DLP
Endpoint DLP Prevent
Firewall

Source:
1/26/2020Mcafee duyn@uit.edu.vn 16
 BẢO MẬT THÔNG TIN LÀ GÌ - tt

Source:
1/26/2020Internet duyn@uit.edu.vn 17
Kỹ thuật bảo mật trong An toàn thông tin
• Tính bảo mật
• Mã hóa dữ liệu ở trạng thái lưu trữ (Disk và
Database)
• Mã hóa dữ liệu trên đường truyền (IPSec, SSL,
SSH,...)
• Quản lý truy cập (Vật lý và Logic)
• Tính toàn vẹn
• Hashing ( data security)
• Quản lý cấu hình (system security)
• Quản lý truy cập (Vật lý và Logic)

18
Tính sẵn sàng của một Hệ thống thông tin
• RAID (Redundant Arrays of Independent Disks)
• Clustering
• Load balancing
• Redundant power
• Backup
• Disk shadowing
• Roll-back functions
• Fail-over configurations
• Virtualization

1/26/2020 19
Các nguy cơ tấn công Mạng doanh nghiệp
• Nghe lén trên mạng (Eavesdropping)
• Giả mạo IP Address (IP Address Spoofing)
• Tấn công Password (Password-Based Attacks)
• Tấn công từ chối dịch vụ (Denial-of-Service Attack)
• Tấn công tầng ứng dụng (Application Attack)
• Malicious Code
• Virus
• Worm
• Trojan
• Logic BOM

20
Người dùng trong Hệ thống thông tin

Data-in-Motion

W I L D
Email Web Post Network IM Chat

W I L D
Data-at-Rest

File Share Database Desktop/Laptop

W E S T
Data-in-Use

Removable Media Printer Screen Clipboard

Ảnh hưởng của tự nhiên đến thông tin

SaiGon ICT 22
Qui trình xây dựng chuẩn chính sách
An toàn Thông tin trong doanh nghiệp

1 2 3 4
Giải pháp công Con người: Qui trình vận Tiêu chuẩn bảo
nghệ thông tin. - Ý thức của hành hệ thống mật
Đặc biệt những người dùng Chính sách bảo
giải pháp về - Kiến thức mật thông tin
bảo mật của người quản
lý hệ thống
công nghệ
thống tin

duyn@uit.edu.vn 23
Triển khai hệ thống ISMS trong doanh nghiệp
• ISMS - Information Security Management System là
một bộ qui định (như chính sách, qui trình, hướng
dẫn, biểu mẫu…) được thực hiện trong doanh
nghiệp để đảm bảo hệ thống thông tin được an ninh,
an toàn một cách phù hợp với mục tiêu kinh doanh
của doanh nghiệp.
• ISMS bao gồm danh sách tài sản cùng giá trị của nó,
các nguy cơ cùng thiệt hại có thể, các phương án,
biện pháp để giảm thiểu nguy cơ và thiệt hại xuống
mức chấp nhận được đối với tổ chức, thì công tác
tiếp theo là đưa bản kế họach ra thực tế.
1/26/2020 duyn@uit.edu.vn 24
Vai trò & trách nhiệm các nhà quản lý
• Người quản lý cấp cao: được giao cho người có
trách nhiệm cuối cùng về an ninh.
• Chuyên gia bảo mật: người có kiến thức về mạng
lưới, hệ thống; có trách nhiệm về an ninh, bao
gồm viết chính sách an ninh và thực hiện nó.
• Chủ sở hữu dữ liệu: có trách nhiệm phân loại
thông tin để bảo vệ trong giải pháp bảo mật. Chủ
sở hữu dữ liệu thường là người quản lý cấp cao,
người chịu trách nhiệm cuối cùng về bảo vệ dữ
liệu.
Vai trò & trách nhiệm của các nhân viên
• Người giữ dữ liệu: chịu trách nhiệm về các nhiệm
vụ thực hiện bảo mật theo quy định của chính
sách an ninh và quản lý cấp cao.
• Người sử dụng dữ liệu: bất kỳ người nào có
quyền truy cập vào hệ thống được bảo vệ.
• Kiểm soát viên An toàn thông tin: có trách nhiệm
xem xét và xác minh rằng chính sách an ninh
được thực hiện đúng và các giải pháp bảo mật đã
đầy đủ.
Khuôn khổ an ninh (security framework)
• Khuôn khổ an ninh là một qui trình bảo mật được
tạo bởi rất nhiều thực thể: cơ chế bảo vệ
administrative, technical và physical, thủ tục, qui
trình kinh doanh và con người cùng làm việc với
nhau để cung cấp mức độ bảo mật cho môi
trường hoạt động.
• ISO/IEC 27000 Series
• Control Objectives for Information and
Related Technology (CobiT)
• Process Management Development (ITIL)

1/26/2020 duyn@uit.edu.vn 27
Khuôn khổ ISO/IEC 27000
• ISO/IEC 27000 Series cung cấp hướng dẫn cho các tổ
chức về cách thiết kế, thực hiện và duy trì các chính
sách, quy trình và công nghệ để quản lý rủi ro đối với
thông tin nhạy cảm.
• ISO/IEC 27000 - Tổng quan và từ vựng
• ISO/IEC 27001 - Yêu cầu.
• ISO/IEC 27002 - Quy phạm thực hành quản lý an
toàn thông tin
• ISO/IEC 27003 - Hướng dẫn thực hiện hệ thống quản
lý an toàn thông tin
• ISO/IEC 27004 - Quản lý an toàn thông tin - Đo
lường
• ISO/IEC 27005 - Quản lý rủi ro an toàn thông tin

1/26/2020 duyn@uit.edu.vn 28
Bộ tiêu chuẩn ISO/IEC 27000

1/26/2020 duyn@uit.edu.vn 29
Khuôn khổ CobiT
• CoBiT là một chuẩn quốc tế về quản lý CNTT gồm
những khuôn mẫu(framework) về các thực hành tốt nhất
về quản lý CNTT do ISACA và ITGI xây dựng năm
1996.
• CoBiT cung cấp cho các nhà quản lý, những người
kiểm tra và những người sử dụng IT một loạt các cách
đo lường, dụng cụ đo, các quy trình và các hướng dẫn
thực hành tốt nhất để giúp tăng tối đa lợi nhuận thông
qua việc sử dụng công nghệ thông tin.
• CoBiT giúp quản lý và kiểm soát IT trong tổ chức,
doanh nghiệp.

1/26/2020 duyn@uit.edu.vn 30
Khuôn khổ CobiT 4.0

1/26/2020 duyn@uit.edu.vn 31
Khuôn khổ ITIL
• ITIL (Information Technology Infrastructure
Library) là một khuôn khổ trong việc quản lý và
điều hành trong lĩnh vực IT của các doanh nghiệp –
xem IT như là một bộ phận kinh doanh hơn là một
đơn vị kỹ thuật thuần tuý.
• ITIL tập trung vào các hướng dẫn, kinh nghiệm,
cách thức tổ chức, quy trình, chức năng để quản lý
dịch vụ Công nghệ Thông tin dựa trên các kinh
nghiệm tốt nhất (best practice) của những tổ chức đã
thành công trong lĩnh vực này.

1/26/2020 duyn@uit.edu.vn 32
Khuôn khổ an ninh ITIL Framework

1/26/2020 33
Quản lý rủi ro - risk managment
• Rủi ro trong bối cảnh an ninh là khả năng thiệt hại
có thể xảy ra và hậu quả của thiệt hại đó khi xảy ra.
• Thiệt hại cơ sở vật chất
• Tác động của con người
• Thiết bị trục trặc
• Tấn công bên trong và bên ngoài
• Sử dụng sai dữ liệu
• Mất dữ liệu
• Lỗi ứng dụng

1/26/2020 duyn@uit.edu.vn 34
Mối đe dọa an toàn thông tin
• Vulnerability - lỗ hổng
• Thiếu biện pháp đối phó hoặc trong biện pháp đối phó
có điểm yếu
• Phần cứng, phần mềm, qui trình và con người có thể bị
khai thác
• Threat - mối đe dọa
• Hành động nguy hiểm khai thác những lỗ hổng
• Risk - rủi ro
• Mối nguy hiểm khi bị khai thác lỗ hổng và tác động tới
hoạt động kinh doanh

1/26/2020 duyn@uit.edu.vn 35
Mất An toàn thông tin trong doanh nghiệp

1/26/2020 duyn@uit.edu.vn 36
Mô hình mối đe dọa
• Mô hình mối đe dọa là quy trình bảo mật,
trong đó các mối đe dọa tiềm ẩn được xác
định, phân loại và phân tích.
• Mô hình mối đe dọa có thể được thực hiện
như là một biện pháp chủ động trong quá
trình thiết kế và phát triển hoặc như là một
biện pháp phản ứng khi một sản phẩm đã
được triển khai.
Xác định các mối đe doạ an toàn thông tin
Có 3 phương pháp xác định mối đe doạ hay được sử dụng:
• Tập trung vào tài sản: phương pháp này sử dụng kết
quả định giá tài sản và xác định các mối đe dọa vào
các tài sản có giá trị.
• Tập trung vào kẻ tấn công: xác định kẻ tấn công tiềm
năng từ đó có thể xác định các mối đe dọa dựa trên
mục tiêu của chúng.
• Tập trung vào phần mềm: tổ chức phát triển phần
mềm xem xét các mối đe dọa tiềm năng đối với các
phần mềm. Bên cạnh đó với các trang web của các
công ty cũng đòi hỏi lập trình phức tạp hơn
Phân tích các mối đe doạ
• Nếu mối đe dọa được xác định là từ kẻ tấn công thì mô
hình mối đe dọa sẽ xác định những gì kể tấn công đang
cố gắng thực hiện (vô hiệu hóa hệ thống, ăn cắp dữ liệu,
…). Ưu tiên xác định các mối đe dọa tiềm ẩn đối với các
tài sản có giá trị của một tổ chức.
• Microsoft đã phát triển STRIDE (một chương trình phân
loại mối đe dọa) thường được sủ dụng để đánh giá mối
đe dọa đối với các ứng dụng hoặc hệ thống điều hành.
STRIDE là viết tắt của Spoofing (lừa đảo), Tampering
(giả mạo), Repudiation (phá hoại), Information
disclosure (tiết lộ thông tin), Denial of service (từ chối
dịch vụ), Elevation of privilege (nâng cao đặc quyền).
Xác định và lập kế hoạch chống các cuộc
tấn công tiềm ẩn
Thực hiện kiểm soát truy cập
• Giảm rủi ro mà tổ chức phải đối mặt:
• Phòng tránh (preventive)
• Phát hiện (detective)
• Ngăn chặn (corrective)
• Khắc phục (deterrent)
• Phục hồi (recovery)
• Đền bù (compensating)
• Kiểm soát truy cập được chia 3 phần:
• Hành chính (Administrative)
• Kỹ thuật (Techinical)
• Vật lý (Physical)
1/26/2020 duyn@uit.edu.vn 41
Kiểm soát truy cập

Ba cơ chế an ninh được thực hiện kiểm soát truy

cập như sau:

KIỂM SOÁT VẬT LÝ

Kiểm soát kỹ thuật

Kiểm soát hành chính

TÀI SẢN
Hệ thống thiết bị kiểm soát truy cập

1/26/2020 duyn@uit.edu.vn 43
Triển khai bảo mật hành chính (Administrative)
• Bảo mật tài liệu (document security)
• Qui trình quản lý rủi ro (risk management)
• Bảo mật thông tin cá nhân (personnel
security)
• Đào tạo bảo mật (security training)

1/26/2020 duyn@uit.edu.vn 44
Sử dụng các kỹ thuật bảo mật truy cập
• Cơ chế nhận dạng
• Yếu tố xác thực
• Thuật toán mã hóa
• Firewall
• IDS/IPS

1/26/2020 duyn@uit.edu.vn 45
Các kỹ thuật bảo mật truy cập vật lý

• Khóa cổng công ty (external doors)

• Khóa cửa công ty (internal doors)
• Khóa tủ phòng máy chủ (server room door)
• Khóa tủ RACK
• Nhân viên bảo vệ
• Camera

1/26/2020 duyn@uit.edu.vn 46
Thực hiện phân tích giảm
• Phân tích giảm là còn được gọi là phân tích ứng
dụng, hệ thống, hoặc môi trường.
• Mục đích của phân tích giảm là hiểu rõ hơn về
tính logic của sản phẩm cũng như sự tương tác
với các yếu tố bên ngoài.
• Việc chia nhỏ hệ thống thành các phần cấu thành
giúp xác định các thành phần thiết yếu của mỗi
yếu tố cũng như thông báo các lỗ hổng và điểm
yếu tấn công.
Ưu tiên và đáp ứng
• Xếp hạng hoặc đánh giá các mối đe dọa, có thể được thực
hiện bằng cách sử dụng nhiều kỹ thuật, chẳng hạn như hệ
thống DREAD, ...
• Hệ thống xếp hạng DREAD được thiết kế để cung cấp giải
pháp xếp hạng linh hoạt dựa trên các câu trả lời cho năm câu
hỏi chính về mỗi mối đe dọa:
o Mức độ thiệt hại có thể xảy ra như thế nào nếu mối đe dọa
được nhận ra?
o Gây khó khăn thế nào cho kẻ tấn công khai thác lần sau?
o Làm thế nào để thực hiện cuộc tấn công là khó khăn?
o Bao nhiêu người dùng có thể bị ảnh hưởng bởi cuộc tấn
công (tỷ lệ phần trăm)?
o Khó khăn khi kẻ tấn công biết được điểm yếu?
Tích hợp các cân nhắc về rủi ro bảo mật
vào chiến lược và thực tiễn
• Tích hợp quản lý rủi ro bảo mật với các chiến
lược và thực tiễn là phương tiện để đảm bảo chiến
lược bảo mật thành công trong các tổ chức thuộc
mọi quy mô.
• Cần thiết lập yêu cầu bảo mật tối thiểu, yêu cầu
về bảo mật đối với phần cứng, phần mềm hoặc
dịch vụ mới phải luôn đáp ứng hoặc vượt mức
bảo mật của cơ sở hạ tầng hiện tại.
Tích hợp các cân nhắc về rủi ro bảo mật
vào chiến lược và thực tiễn
• Việc đánh giá và giám sát an ninh có thể do nội
bộ tổ chức thực hiện hoặc yêu cầu sử dụng kiểm
toán viên bên ngoài
• Khi làm việc với một dịch vụ bên ngoài, các dịch
vụ được ký hợp đồng cần xem xét các thỏa thuận
mức dịch vụ để đảm bảo an ninh. Điều này có thể
bao gồm tuỳ chỉnh các yêu cầu về mức dịch vụ
cho các nhu cầu cụ thể.
Hết bài 1