Professional Documents
Culture Documents
Slide + Câu Hỏi Quản Lý ATTT
Slide + Câu Hỏi Quản Lý ATTT
AN TOÀN
THÔNG TIN
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 1
MỤC TIÊU
❖ Cung cấp kiến thức căn bản về cách thức kiểm soát và
quản lý an toàn thông tin
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 2
GIỚI THIỆU HỌC PHẦN
THỜI LƯỢNG: 2tc
▪ 24 tiết lý thuyết
▪ 12 tiết bài tập
ĐÁNH GIÁ KẾT QUẢ HỌC TẬP
▪ Điểm chuyên cần
• Đi học đầy đủ, đúng giờ
• Tham gia xây dựng bài
▪ Kiểm tra giữa kỳ: thi viết
▪ Thi kết thúc học phần: Tự luận (Lý thuyết
+ Bài tập)
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 3
GIỚI THIỆU HỌC PHẦN
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 4
GIỚI THIỆU HỌC PHẦN
Management of Information Security (MindTap Course List) 5th Edition, 2016
Michael E. Whitman, Herbert J. Mattord
Giáo trình quản lý và xây dựng chính sách an toàn thông tin, Học viện Kỹ thuật Mật mã, 2013
ThS. Trần Thị Xuyên, KS. Nguyễn Thị Thu Thủy
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 5
01. TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN
05. XÂY DỰNG, THỰC THI, KIỂM TRA VÀ CẢI TIẾN LIÊN TỤC
CSATTT
06. QUẢN LÝ RỦI RO
Bộ môn An Toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 7
Chương 01 - MỤC TIÊU
• Chương này nhằm phác họa một bức tranh tổng thể về Quản lý an toàn
thông tin. Các chương còn lại sẽ nằm trong khuôn khổ của bức tranh này
và ở mức chi tiết hơn.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 8
TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 9
Các khái niệm cơ bản…
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 10
Thông tin
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 11
Hệ thống thông tin
❖ Là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập
phục vụ mục đích tạo lập, cung cấp, truyền, xử lý và lưu trữ thông
tin trên mạng
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 12
Các tài nguyên thông tin
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 13
An toàn thông tin
Tính toàn
thông tin
Information Security
vẹn
Thông tin chỉ được
People Procedures Policy Technology
chỉnh sửa bởi những
người được ủy Legal Framework
quyền
ISO/IEC-27001
❑ An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin
tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại
trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả
dụng của thông tin [72/2013/NĐ-CP].
❑ An ninh thông tin là việc bảo đảm thông tin trên mạng không gây
phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà
nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân [72/2013/NĐ-
CP].
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 16
Quản lý an toàn thông tin
❖ Quản lý:
❑ Lập kế hoạch
❑ Tổ chức
❑ Chỉ đạo
❑ Điều chỉnh
❑ Kiểm soát
❖ Quản lý an toàn thông tin:
❑ Là các hành động lên các đối tượng tham gia đối với hệ thống thông tin của một
cơ quan tổ chức, nhằm đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng của hệ
thống thông tin của cơ quan, tổ chức.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 17
Hệ thống quản lí an toàn thông tin
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 18
Hiểm họa, điểm yếu, rủi ro…
❖ Ba khái niệm quan trọng cần hiểu để quản lý an toàn thông tin:
Rủi ro (Risk)
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 19
Hiểm họa, điểm yếu, rủi ro…
Trước Sau
RISK= f(Asset,Threat,Vulnerability)
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 20
Hiểm họa, điểm yếu, rủi ro
1 2
Security Security
How much is Enough?
Policy Organization
8 7
3 4
9
10 6
Computer Personne
& Network l
1 5 Management Security
2 3 4
5 6
Classification
Compliance & Control
of Assets
10
9 8 6 7 8
7 Environmental System
1
5
& Physical Development
2 3 4 Security & Maintenance
9 10
Business System
Continuity Access
Planning Controls
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 21
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 22
Chính sách an toàn thông tin
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 24
Các hiểm họa và các dạng tấn công
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 25
Hiểm họa ngẫu nhiên
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 26
Trộm cắp
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 27
Rò rỉ thông tin
❖ Kênh điện từ
❖ Kênh âm thanh
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 29
Rò rỉ qua mạng xã hội
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 30
Lây nhiễm mã độc
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 31
Xâm nhập trái phép
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 32
Tấn công mạng máy tính
• Từ chối dịch vụ
• Phát tán mã độc qua lỗ
Tấn công hổng phần mềm
từ • Xâm nhập trái phép
Internet • Chặn thu thông tin
• Lừa đảo trực tuyến
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 33
Tấn công mạng máy tính
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 34
Tấn công mạng máy tính
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 35
Một số hình thức tấn công mạng phổ biến
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 36
TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 37
Ngữ cảnh quản lý an toàn thông tin
The Public
Internal customers
Mgmt.
Confidenti
Integrity
ality
Employees Litigation
Risk
Availability
Stakeholders Internal
Audit
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 38
Nguyên tắc quản lý ATTT…
❖ Đại diện ban lãnh đạo ATTT (Giám đốc ATTT) là lãnh đạo cao nhất của tổ chức
❖ Các lãnh đạo tổ chức cần nhận ra các rủi ro ATTT và đi đầu trong việc thúc đẩy
các biện pháp ATTT.
❖ Các biện pháp AT cần được thực hiện không chỉ đối với bản thân công ty mà
còn đối với chuỗi cung ứng bao gồm các đối tác kinh doanh và các công ty
thuê ngoài.
❖ Các công ty cần liên lạc thích hợp với các bên liên quan bằng cách tiết lộ thông
tin về các biện pháp và rủi ro ATTT trong trường hợp bình thường cũng như
trong trường hợp khẩn cấp.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 39
Nguyên tắc quản lý ATTT…
❑ Protection: bảo vệ
❑ Projects: các dự án
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 41
TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 42
Quản lí An toàn thông tin…
❖ Trọng tâm chính là đảm bảo tính bí mật, toàn vẹn và sẵn sàng
của TT
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 43
Quản lí An toàn thông tin…
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 44
Quản lý an toàn thông tin…
❖ Nội dung chính…:
1. Thúc đẩy các biện pháp AT dưới sự lãnh đạo của ban quản lý…
■ Xác định các rủi ro ATTT và thực hiện các biện pháp
● Xác định các rủi ro ATTT và xây dựng kế hoạch giải quyết chúng
● Thiết lập các hệ thống để giải quyết hiệu quả các rủi ro ATTT
● Thực hiện chu trình PDCA cho các biện pháp AT
■ Thiết lập một hệ thống để chuẩn bị cho sự cố xảy ra
● Xây dựng nhóm ứng phó sự cố ATTT và các thủ tục liên quan
● Xây dựng nhóm khôi phục và các quy trình liên quan để chuẩn bị cho
thiệt hại do sự cố ATTT.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 45
Quản lý an toàn thông tin…
❖ Nội dung chính:
2. Thúc đẩy các biện pháp AT trong chuỗi cung ứng
■ Hiểu tình trạng ATTT và các biện pháp trong toàn bộ chuỗi cung ứng
bao gồm các đối tác kinh doanh và các công ty gia công
3. Thúc đẩy giao tiếp với các bên liên quan và các bên liên quan
khác
■ Thu thập, sử dụng và cung cấp TT về mối đe dọa ATTT thông qua các
hoạt động chia sẻ TT
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 46
Quản lý An toàn thông tin…
❖ Các lĩnh vực:
❑ Chính sách an toàn thông tin
❑ Tổ chức an toàn
❑ Phân loại và kiểm soát tài sản
❑ An toàn nhân sự
❑ An toàn môi trường và vật lý
❑ Quản lý tác nghiệp và truyền thông
❑ Kiểm soát truy cập
❑ Duy trì và phát triển hệ thống
❑ Quản lý sự liên tục trong kinh doanh
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 47
Quản lý an toàn thông tin
❑ Duy trì
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 48
TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 49
Câu hỏi cuối chương…
❖ Câu 1. Quản lý an toàn thông tin là gì?
❖ Câu 2. Hệ quản lý an toàn thông tin là gì?
❖ Câu 3. Phân tích mối quan hệ giữa hiểm họa, điểm yếu và rủi ro?
❖ Câu 4: Việc xác định rủi ro có vai trò như thế nào trong Quản lý an
toàn thông tin?
❖ Câu 5: Trình bày các nguyên tắc quản lý an toàn thông tin
❖ Câu 6: Trình bày các vấn đề trong quản lý an toàn thông tin
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 50
HỌC VIỆN KỸ THUẬT MẬT MÃ
AN TOÀN THÔNG TIN