Professional Documents
Culture Documents
Hội thảo ANBM 2019 Vũng Tàu - Cần nhìn xa hơn mạng logic
Hội thảo ANBM 2019 Vũng Tàu - Cần nhìn xa hơn mạng logic
vn/0966181999
duongth@evn.com.vn/0966181999
AN NINH BẢO MẬT
HỆ THỐNG MẠNG IP
Chương trình đào tạo theo yêu cầu của PTC3 năm 2017
duongth@evn.com.vn/0966181999
duongth@evn.com.vn/0966181999
Phần I
Tổng quan về
ANBM
10/08/2020 2
Tổng quan về An ninh bảo mật
Thông tin là gì?
• Thông tin (inform) có nghĩa là thông báo tin tức.
duongth@evn.com.vn/0966181999
• Thông tin là dữ liệu có nghĩa (meaningful data – ISO 9000:2015)
• Hệ thống công nghệ thông tin: hệ thống xử lý, trình bày, lưu trữ và truyền tải thông tin bằng
máy tính
duongth@evn.com.vn/0966181999
• Khởi tạo
• Lưu trữ
• Hủy
• Xử lý
• Truyền dẫn
• Sử dụng
• Sai hỏng
• Mất mát
• Bị đánh cắp
• ***
Thông tin còn được coi như một loại tài sản có giá trị của tổ chức (ISO 27001:2005)
10/08/2020 4
Tổng quan về An ninh bảo mật
duongth@evn.com.vn/0966181999
Mối liên hệ của C.I.A:
10/08/2020 5 5
Tổng quan về An ninh bảo mật
Một số điểm chú ý quan trọng về ANBM:
duongth@evn.com.vn/0966181999
• An ninh thông tin là “Vấn đề tổ chức” hơn là “Vấn đề kỹ thuật”.
• Công tác đảm bảo ANBM không phải là thứ có thể thuê mua, nó phải là
kết quả của hành động đảm bảo an ninh.
• Công tác đảm bảo ANBM là các hoạt động kết hợp các yếu tố Con
người, Công nghệ, Quy trình, Chính sách, Quy định trong tổ chức –
CC.QCQ.
• Công tác đảm bảo ANBM là công việc thường xuyên, không phải là công
việc làm theo thời kỳ, dự án.
• Tùy có nhân sự chuyên trách về ANBM, nhưng công tác đảm bảo ANBM là
trách nhiệm chung của mọi thành viên của tổ chức.
10/08/2020 6
Tổng quan về An ninh bảo mật
duongth@evn.com.vn/0966181999
10/08/2020 7
Giới thiệu về Tiêu chuẩn ANBM
Một số tiêu chuẩn tham khảo:
duongth@evn.com.vn/0966181999
• Bộ tiêu chuẩn ISO/IEC 27000:2013 cải thiện ANBM theo hướng hoàn thiện theo
thời gian.
• Bộ tiêu chuẩn ISO/IEC 31000 tiêu chuẩn đánh giá rủi ro và các phương pháp đánh
giá rủi ro
• Bộ tiêu chuẩn ISO/IEC 20000 tổ chức và quản lý hệ thống CNTT
• Bộ tiêu chuẩn NERC – CIP v5 cải thiện ANBM theo hướng tuân theo mô hình chuẩn,
“form mẫu”, “check list”…
• Tiêu chuẩn NIST SP 800-53 (Risk Management Framework), NIST SP 800-82 REV2
(Guide to Industrial Control System (ICS) Security)
• ISA/IEC 62443 (Cyber Security Program)
10/08/2020 8
Giới thiệu về Tiêu chuẩn ANBM
Cách tiếp cận của ISO/IEC 27000:2013
• Xác định bối cảnh của tổ chức
duongth@evn.com.vn/0966181999
• Xác định các rủi ro tiềm ẩn
• Phiên bản 2005: xác định tài sản dưới dạng thông tin xác định các rủi ro sẽ xảy ra với
tài sản đó
• Phiên bản 2013: xác định rủi ro (mọi loại) bằng bộ tiêu chuẩn ISO/IEC 31000 khó hiểu
hơn nhưng bao quát hơn
duongth@evn.com.vn/0966181999
10/08/2020 10
Giới thiệu về Tiêu chuẩn ANBM
Cách tiếp cận của ISO/IEC 27000:2013
duongth@evn.com.vn/0966181999
• Nội dung cốt lõi của ISO 27000:2013 là phát hiện và xử lý rủi ro hiệu
quả
10/08/2020 11
Giới thiệu về Tiêu chuẩn ANBM
Cách tiếp cận của NERC CIP v5: Theo hướng “check-list”
duongth@evn.com.vn/0966181999
10/08/2020 12
Khuyến nghị áp dụng tiêu chuẩn ANBM
Khuyến nghị:
duongth@evn.com.vn/0966181999
• Kết hợp NERC–CIP/NIST và ISO/IEC 27000 để tận dụng điểm
mạnh trong cách tiếp cận của mỗi tiêu chuẩn.
10/08/2020 13
Một số văn bản quy định hiện hành
9 hệ thống trọng yếu quy định trong Quyết định 1109/ QĐ- EVN:
duongth@evn.com.vn/0966181999
1) Hệ thống SCADA/EMS tại các Ax
2) Hệ thống DCS/SAS tại trạm và các nhà máy
3) Hệ thống kênh thông tin cho rơ le bảo vệ đường dây tải điện
4) Hệ thống điện thoại nhấc thẳng phục vụ điều độ
5) Hệ thống hạ tầng CNTT phục vụ TTĐ
6) Hệ thống WAN đường trục của EVN
7) Hệ thống thông tin quản lý khách hàng (CMIS)
8) Hệ thống thông tin quản lý tài chính (FMIS)
9) Hệ thống thông tin quản lý nguồn lực doanh nghiệp (ERP)
10/08/2020 14
Cũng là một lựa chọn!
duongth@evn.com.vn/0966181999
10/08/2020 15
Khuyến nghị Tiêu chuẩn anbm
duongth@evn.com.vn/0966181999
Hết Phần I
Q&A
10/08/2020 16
duongth@evn.com.vn/0966181999
duongth@evn.com.vn/0966181999
Xin cảm ơn!
Trao đổi