Hội thảo ANBM 2019 Vũng Tàu - Cần nhìn xa hơn mạng logic

duongth@evn.com.
vn/0966181999
duongth@evn.com.vn/0966181999
AN NINH BẢO MẬT
HỆ THỐNG MẠNG IP
Chương trình đào tạo theo yêu cầu của PTC3 năm 2017
Phần I
Tổng quan về
ANBM
10/08/2020 2
Tổng quan về An ninh bảo mật
Thông tin là gì?
• Thông tin (inform) có nghĩa là thông báo tin tức.
• Thông tin là dữ liệu có nghĩa (meaningful data – ISO 9000:2015)
• Hệ thống công nghệ thông tin: hệ thống xử lý, trình bày, lưu trữ và truyền tải thông tin bằng
máy tính
An ninh bảo mật là gì?

• An ninh là khả năng giữ vững sự an toàn trước các mối đe dọa.
• Một hệ thống sẽ là an toàn (safe) khi các khiếm khuyết không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và các sự cố đều xảy ra sẽ được khắc phục kịp thời mà không gây
thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
• Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản, ở đây là thông tin. Hệ
thống được coi là bảo mật (confident) nếu tính riêng tư của nội dung thông tin được đảm
bảo theo đúng các tiêu chí trong một thời gian xác định. Nguồn trích dẫn:
https://vi.wikipedia.org/wiki/Th%C3%B4ng_tin
https://vi.wikipedia.org/wiki/B%E1%BA%A3o_m%E1%BA%ADt
10/08/2020 http://nghiencuuquocte.org/2014/11/12/an-ninh/ 3
Thông tin có thể được:
• Khởi tạo
• Lưu trữ
• Hủy
• Xử lý
• Truyền dẫn
• Sử dụng
• Sai hỏng
• Mất mát
• Bị đánh cắp
• ***
Thông tin còn được coi như một loại tài sản có giá trị của tổ chức (ISO 27001:2005)
10/08/2020 4
Mối liên hệ của C.I.A:
10/08/2020 5 5
Một số điểm chú ý quan trọng về ANBM:
• An ninh thông tin là “Vấn đề tổ chức” hơn là “Vấn đề kỹ thuật”.
• Công tác đảm bảo ANBM không phải là thứ có thể thuê mua, nó phải là
kết quả của hành động đảm bảo an ninh.
• Công tác đảm bảo ANBM là các hoạt động kết hợp các yếu tố Con
người, Công nghệ, Quy trình, Chính sách, Quy định trong tổ chức –
CC.QCQ.
• Công tác đảm bảo ANBM là công việc thường xuyên, không phải là công
việc làm theo thời kỳ, dự án.
• Tùy có nhân sự chuyên trách về ANBM, nhưng công tác đảm bảo ANBM là
trách nhiệm chung của mọi thành viên của tổ chức.
10/08/2020 6
10/08/2020 7
Giới thiệu về Tiêu chuẩn ANBM
Một số tiêu chuẩn tham khảo:
• Bộ tiêu chuẩn ISO/IEC 27000:2013  cải thiện ANBM theo hướng hoàn thiện theo
thời gian.
• Bộ tiêu chuẩn ISO/IEC 31000  tiêu chuẩn đánh giá rủi ro và các phương pháp đánh
giá rủi ro
• Bộ tiêu chuẩn ISO/IEC 20000  tổ chức và quản lý hệ thống CNTT
• Bộ tiêu chuẩn NERC – CIP v5  cải thiện ANBM theo hướng tuân theo mô hình chuẩn,
“form mẫu”, “check list”…
• Tiêu chuẩn NIST SP 800-53 (Risk Management Framework), NIST SP 800-82 REV2
(Guide to Industrial Control System (ICS) Security)
• ISA/IEC 62443 (Cyber Security Program)
10/08/2020 8
Cách tiếp cận của ISO/IEC 27000:2013
• Xác định bối cảnh của tổ chức
• Xác định các rủi ro tiềm ẩn
• Phiên bản 2005: xác định tài sản dưới dạng thông tin  xác định các rủi ro sẽ xảy ra với
tài sản đó
• Phiên bản 2013: xác định rủi ro (mọi loại) bằng bộ tiêu chuẩn ISO/IEC 31000  khó hiểu
hơn nhưng bao quát hơn
• Đề xuất các biện pháp đảm bảo ANBM (theo C.I.A)

• Đánh giá biện pháp  Xác nhận của chủ sở hữu tài nguyên có thể bị ảnh hưởng
bởi rủi ro
• Kiểm tra thường xuyên
• Các hành động sửa lỗi, khắc phục và cải thiện (ISO/IEC 20000)
10/08/2020 9
10/08/2020 10
• Nội dung cốt lõi của ISO 27000:2013 là phát hiện và xử lý rủi ro hiệu
quả
10/08/2020 11
Cách tiếp cận của NERC CIP v5: Theo hướng “check-list”
10/08/2020 12
Khuyến nghị áp dụng tiêu chuẩn ANBM
Khuyến nghị:
• Kết hợp NERC–CIP/NIST và ISO/IEC 27000 để tận dụng điểm
mạnh trong cách tiếp cận của mỗi tiêu chuẩn.
10/08/2020 13
Một số văn bản quy định hiện hành
9 hệ thống trọng yếu quy định trong Quyết định 1109/ QĐ- EVN:
1) Hệ thống SCADA/EMS tại các Ax
2) Hệ thống DCS/SAS tại trạm và các nhà máy
3) Hệ thống kênh thông tin cho rơ le bảo vệ đường dây tải điện
4) Hệ thống điện thoại nhấc thẳng phục vụ điều độ
5) Hệ thống hạ tầng CNTT phục vụ TTĐ
6) Hệ thống WAN đường trục của EVN
7) Hệ thống thông tin quản lý khách hàng (CMIS)
8) Hệ thống thông tin quản lý tài chính (FMIS)
9) Hệ thống thông tin quản lý nguồn lực doanh nghiệp (ERP)
10/08/2020 14
Cũng là một lựa chọn!
10/08/2020 15
Khuyến nghị Tiêu chuẩn anbm
Hết Phần I
Q&A
10/08/2020 16
Xin cảm ơn!
Trao đổi

Hội thảo ANBM 2019 Vũng Tàu - Cần nhìn xa hơn mạng logic

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Hội thảo ANBM 2019 Vũng Tàu - Cần nhìn xa hơn mạng logic

Uploaded by

Copyright:

Available Formats

duongth@evn.com.

An ninh bảo mật là gì?

Thông tin có thể được:

• Đề xuất các biện pháp đảm bảo ANBM (theo C.I.A)

Cách tiếp cận của ISO/IEC 27000:2013

You might also like