QUẢN LÝ

AN TOÀN
THÔNG TIN

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 1
 MỤC TIÊU

❖ Cung cấp kiến thức căn bản về cách thức kiểm soát và
quản lý an toàn thông tin

❖ Nắm được cách thiết lập một hệ thống quản lý an toàn

thông tin dựa theo bộ tiêu chuẩn Quốc tế.

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 2
 GIỚI THIỆU HỌC PHẦN
THỜI LƯỢNG: 2tc
▪ 24 tiết lý thuyết
▪ 12 tiết bài tập
ĐÁNH GIÁ KẾT QUẢ HỌC TẬP
▪ Điểm chuyên cần
• Đi học đầy đủ, đúng giờ
• Tham gia xây dựng bài
▪ Kiểm tra giữa kỳ: thi viết
▪ Thi kết thúc học phần: Tự luận (Lý thuyết
+ Bài tập)
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 3
 GIỚI THIỆU HỌC PHẦN

Đề cương chi tiết học phần

Danh sách bài tập

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 4
 GIỚI THIỆU HỌC PHẦN
Management of Information Security (MindTap Course List) 5th Edition, 2016
Michael E. Whitman, Herbert J. Mattord

Giáo trình quản lý và xây dựng chính sách an toàn thông tin, Học viện Kỹ thuật Mật mã, 2013
ThS. Trần Thị Xuyên, KS. Nguyễn Thị Thu Thủy

Information Security Management Principles - Second edition, BCS, 2013

David Alexander, Amanda Finch & David Sutton

Internaltional Standard - ISO/IEC 27001, Information technology – Security techniques –

Information securitymanagement systems – Requirements, 2013

Internaltional Standard - ISO/IEC 27002, Information technology — Security techniques —

Code of practice for information security controls, 2013

Và các tài liệu khác

Google ….

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 5
 01. TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN

02. LUẬT PHÁP VIỆT NAM TRONG QUẢN LÝ ATTT

03. QUẢN LÝ VÀ XÂY DỰNG KẾ HOẠCH CHIẾN LƯỢC ATTT

NỘI DUNG 04. CHÍNH SÁCH AN TOÀN THÔNG TIN

05. XÂY DỰNG, THỰC THI, KIỂM TRA VÀ CẢI TIẾN LIÊN TỤC
CSATTT
06. QUẢN LÝ RỦI RO

07. CÁC CHUẨN QUẢN LÝ AN TOÀN THÔNG TIN

08. XÂY DỰNG KẾ HOẠCH DỰ PHÒNG

3 February 2023 | Page 6 Bộ môn An Toàn phần mềm – Khoa An Toàn Thông Tin
 CHƯƠNG 01
TỔNG QUAN VỀ
QUẢN LÝ AN TOÀN THÔNG TIN

Bộ môn An Toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 7
 Chương 01 - MỤC TIÊU

• Chương này nhằm phác họa một bức tranh tổng thể về Quản lý an toàn
thông tin. Các chương còn lại sẽ nằm trong khuôn khổ của bức tranh này
và ở mức chi tiết hơn.

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 8
 TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Các khái niệm cơ bản

Các hiểm họa và các dạng tấn công

Nguyên tắc quản lý an toàn thông tin

Quản lý an toàn thông tin

Câu hỏi ôn tập

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 9
 Các khái niệm cơ bản…

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 10
 Thông tin

❖ Các yếu tố đem lại hiểu biết, nhận thức cho

con người cũng như các sinh vật khác
❖ Tồn tại khách quan, có thể được tạo ra, truyền
đi, lưu trữ, chọn lọc
❖ Thông tin được hình thành, tồn tại và vận động
trong các hệ thống thông tin

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 11
 Hệ thống thông tin

❖ Là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập
phục vụ mục đích tạo lập, cung cấp, truyền, xử lý và lưu trữ thông
tin trên mạng

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 12
 Các tài nguyên thông tin

❖ Tài nguyên nhân lực

❖ Tài nguyên phần mềm
❖ Tài nguyên phần cứng
❖ Tài nguyên mạng
❖ Tài nguyên dữ liệu

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 13
 An toàn thông tin

Tính bảo Tính sẵn Accountability Reliability

Thông tin chỉ mật sàng
Thông tin có
thể được truy
được truy cập Authenticity Non-repudiation
Information cập bởi những
bởi những
người được
người được ủy Confidentiality Integrity Availability
quyền truy cập
quyền
khi họ cần

Tính toàn
thông tin
Information Security
vẹn
Thông tin chỉ được
People Procedures Policy Technology
chỉnh sửa bởi những
người được ủy Legal Framework
quyền
ISO/IEC-27001

Ba Khía cạnh của An toàn Thông tin

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 14
 An toàn thông tin:
Thách thức Quản lý hay Vấn đề Kỹ thuật?

80% là Quản lý

▪ Chính sách An toàn Thông tin
▪ Trách nhiệm An toàn Thông tin
▪ Phổ biến/Huấn luyện An toàn Thông tin
▪ Kế hoạch Kinh doanh Liên tục

20% là Công nghệ

▪ Hệ thống, Công cụ, Cấu trúc, v.v...
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 15
 An toàn thông tin

❑ An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin
tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại
trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả
dụng của thông tin [72/2013/NĐ-CP].
❑ An ninh thông tin là việc bảo đảm thông tin trên mạng không gây
phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà
nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân [72/2013/NĐ-
CP].
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 16
 Quản lý an toàn thông tin
❖ Quản lý:
❑ Lập kế hoạch
❑ Tổ chức
❑ Chỉ đạo
❑ Điều chỉnh
❑ Kiểm soát
❖ Quản lý an toàn thông tin:
❑ Là các hành động lên các đối tượng tham gia đối với hệ thống thông tin của một
cơ quan tổ chức, nhằm đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng của hệ
thống thông tin của cơ quan, tổ chức.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 17
 Hệ thống quản lí an toàn thông tin

⮚ ISMS là phương tiện quản lí cấp cao nhằm quản lí và kiểm

soát mức độ an toàn, giảm thiểu tối đa các rủi ro và đảm bảo
mức độ an toàn tiếp tục đáp ứng được yêu cầu của doanh
nghiệp, khách hàng, pháp luật.

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 18
 Hiểm họa, điểm yếu, rủi ro…

❖ Ba khái niệm quan trọng cần hiểu để quản lý an toàn thông tin:

Hiểm họa (Threat)

Điểm yếu (Vunerability)

Rủi ro (Risk)

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 19
 Hiểm họa, điểm yếu, rủi ro…

Trước Sau

RISK= f(Asset,Threat,Vulnerability)

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 20
 Hiểm họa, điểm yếu, rủi ro
1 2
Security Security
How much is Enough?
Policy Organization

8 7
3 4
9
10 6
Computer Personne
& Network l
1 5 Management Security
2 3 4

5 6
Classification
Compliance & Control
of Assets

10
9 8 6 7 8
7 Environmental System
1
5
& Physical Development
2 3 4 Security & Maintenance
9 10
Business System
Continuity Access
Planning Controls

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 21
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 22
 Chính sách an toàn thông tin

❖ Là tập hợp những chỉ thị và hướng dẫn về ATTT

❖ Là tập hợp các điều luật, các quy định bảo đảm sự bảo vệ có hiệu quả các hệ
thống xử lý thông tin chống lại các hiểm họa ATTT
❖ Là tập hợp các điều luật, các qui định và các giải pháp thực tế để giám sát sự
điều khiển, sự bảo vệ và việc phân phối các thông tin nhạy cảm trong hệ thống.
(“Sách da cam” - 1983)
=> thể hiện ý chí và quyết tâm của các cấp lãnh đạo đối với việc bảo vệ
HTTT, bao gồm đầy đủ các yếu tố: thông tin (Information), hạ tầng thông tin
(phần cứng, phần mềm, mạng và các hệ thống khác,…) và các ứng
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin
dụng.
3 February 2023 | Page 23
 TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Các khái niệm cơ bản

Các hiểm họa và các dạng tấn công

Quản lý an toàn thông tin

Nguyên tắc quản lý an toàn thông tin

Câu hỏi ôn tập

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 24
 Các hiểm họa và các dạng tấn công

1. Hiểm họa ngẫu nhiên

2. Trộm cắp
3. Rò rỉ thông tin
4. Lây nhiễm mã độc
5. Xâm nhập bất hợp pháp

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 25
 Hiểm họa ngẫu nhiên

• Bảo vệ tài khoản không

an toàn

• Sử dụng các trang thiết

bị không đúng cách

• Đặt mật khẩu không an

toàn

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 26
 Trộm cắp

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 27
 Rò rỉ thông tin

❖ Kênh điện từ

❖ Kênh âm thanh

❖ Kênh hình ảnh

❖ Kênh thông tin

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 28
 Rò rỉ qua phần mềm chat

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 29
 Rò rỉ qua mạng xã hội

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 30
 Lây nhiễm mã độc

❖ Mã độc (Tên tiếng Anh là Malware hay Malicious software)

❑ Là các chương trình máy tính được tạo ra với mục đích làm hại đến
tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của dữ liệu, ứng dụng
và hệ điều hành của của hệ thống

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 31
 Xâm nhập trái phép

❖ Tấn công từ Internet

❖ Tấn công từ trong mạng LAN
❖ Tấn công vào mạng WLAN

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 32
 Tấn công mạng máy tính

• Từ chối dịch vụ
• Phát tán mã độc qua lỗ
Tấn công hổng phần mềm
từ • Xâm nhập trái phép
Internet • Chặn thu thông tin
• Lừa đảo trực tuyến

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 33
 Tấn công mạng máy tính

• Chặn thu thông tin

Tấn công • Xâm nhập trái phép
từ trong • Leo thang đặc quyền
mạng • Tiết lộ thông tin trái phép
LAN • Truy cập tài nguyên trái
phép

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 34
 Tấn công mạng máy tính

Tấn công • Truy cập mạng trái

vào mạng phép
WLAN • Chặn thu thông tin

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 35
 Một số hình thức tấn công mạng phổ biến

❖ Tấn công dò quét

❖ Tấn công chặn bắt thông tin
❖ Tấn công từ chối dịch vụ
❖ Tấn công hệ điều hành
❖ Tấn công ứng dụng Web
❖ Tấn công mạng không dây

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 36
 TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Các khái niệm cơ bản

Các hiểm họa và các dạng tấn công

Nguyên tắc quản lý an toàn thông tin

Quản lý an toàn thông tin

Câu hỏi ôn tập

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 37
 Ngữ cảnh quản lý an toàn thông tin
The Public

Internal customers
Mgmt.
Confidenti
Integrity
ality
Employees Litigation
Risk

Availability

Stakeholders Internal
Audit

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 38
 Nguyên tắc quản lý ATTT…
❖ Đại diện ban lãnh đạo ATTT (Giám đốc ATTT) là lãnh đạo cao nhất của tổ chức
❖ Các lãnh đạo tổ chức cần nhận ra các rủi ro ATTT và đi đầu trong việc thúc đẩy
các biện pháp ATTT.
❖ Các biện pháp AT cần được thực hiện không chỉ đối với bản thân công ty mà
còn đối với chuỗi cung ứng bao gồm các đối tác kinh doanh và các công ty
thuê ngoài.
❖ Các công ty cần liên lạc thích hợp với các bên liên quan bằng cách tiết lộ thông
tin về các biện pháp và rủi ro ATTT trong trường hợp bình thường cũng như
trong trường hợp khẩn cấp.

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 39
 Nguyên tắc quản lý ATTT…

1. Tập trung vào khách hàng;

2. Lãnh đạo;
3. Sự tham gia của mọi người;
4. Cách tiếp cận theo quy trình;
5. Cách tiếp cận hệ thống đối với quản lý;
6. Cải tiến liên tục;
7. Cách tiếp cận thực tế để ra quyết định;
8. Các mối quan hệ nhà cung cấp cùng có lợi.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 40
 Nguyên tắc quản lý ATTT

❖ "sáu chữ P“:

❑ Planning: lập kế hoạch

❑ Policy: chính sách

❑ Programs: các chương trình

❑ Protection: bảo vệ

❑ People: con người

❑ Projects: các dự án
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 41
 TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Các khái niệm cơ bản

Các hiểm họa và các dạng tấn công

Nguyên tắc quản lý an toàn thông tin

Quản lý an toàn thông tin

Câu hỏi ôn tập

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 42
 Quản lí An toàn thông tin…

❖ Trọng tâm chính là đảm bảo tính bí mật, toàn vẹn và sẵn sàng
của TT

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 43
 Quản lí An toàn thông tin…

❖ Nội dung chính…:

1. Thúc đẩy các biện pháp AT dưới sự lãnh đạo của ban quản lý…
■ Xây dựng cấu trúc hoặc quy trình để quản lý rủi ro ATTT
● Nhận biết rủi ro ATTT và phát triển chính sách toàn công ty (CSATTT)
● Xây dựng hệ thống quản lý rủi ro ATTT
● Đảm bảo nguồn lực (ngân sách, lực lượng lao động, v.v.) cho các
biện pháp AT

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 44
 Quản lý an toàn thông tin…
❖ Nội dung chính…:
1. Thúc đẩy các biện pháp AT dưới sự lãnh đạo của ban quản lý…
■ Xác định các rủi ro ATTT và thực hiện các biện pháp
● Xác định các rủi ro ATTT và xây dựng kế hoạch giải quyết chúng
● Thiết lập các hệ thống để giải quyết hiệu quả các rủi ro ATTT
● Thực hiện chu trình PDCA cho các biện pháp AT
■ Thiết lập một hệ thống để chuẩn bị cho sự cố xảy ra
● Xây dựng nhóm ứng phó sự cố ATTT và các thủ tục liên quan
● Xây dựng nhóm khôi phục và các quy trình liên quan để chuẩn bị cho
thiệt hại do sự cố ATTT.
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 45
 Quản lý an toàn thông tin…
❖ Nội dung chính:
2. Thúc đẩy các biện pháp AT trong chuỗi cung ứng
■ Hiểu tình trạng ATTT và các biện pháp trong toàn bộ chuỗi cung ứng
bao gồm các đối tác kinh doanh và các công ty gia công

3. Thúc đẩy giao tiếp với các bên liên quan và các bên liên quan
khác
■ Thu thập, sử dụng và cung cấp TT về mối đe dọa ATTT thông qua các
hoạt động chia sẻ TT

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 46
 Quản lý An toàn thông tin…
❖ Các lĩnh vực:
❑ Chính sách an toàn thông tin
❑ Tổ chức an toàn
❑ Phân loại và kiểm soát tài sản
❑ An toàn nhân sự
❑ An toàn môi trường và vật lý
❑ Quản lý tác nghiệp và truyền thông
❑ Kiểm soát truy cập
❑ Duy trì và phát triển hệ thống
❑ Quản lý sự liên tục trong kinh doanh
Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 47
 Quản lý an toàn thông tin

❖ Các giai đoạn thực hiện:

❑ Thiết lập

❑ Thực hiện, triển khai

❑ Giám sát, xem xét

❑ Duy trì

❑ Cập nhật và cải tiến

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 48
 TỔNG QUAN VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Các khái niệm cơ bản

Các hiểm họa và các dạng tấn công

Nguyên tắc quản lý an toàn thông tin

Quản lý an toàn thông tin

Câu hỏi ôn tập

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 49
 Câu hỏi cuối chương…
❖ Câu 1. Quản lý an toàn thông tin là gì?
❖ Câu 2. Hệ quản lý an toàn thông tin là gì?
❖ Câu 3. Phân tích mối quan hệ giữa hiểm họa, điểm yếu và rủi ro?
❖ Câu 4: Việc xác định rủi ro có vai trò như thế nào trong Quản lý an
toàn thông tin?
❖ Câu 5: Trình bày các nguyên tắc quản lý an toàn thông tin
❖ Câu 6: Trình bày các vấn đề trong quản lý an toàn thông tin

Bộ môn An toàn phần mềm – Khoa An Toàn Thông Tin 3 February 2023 | Page 50
HỌC VIỆN KỸ THUẬT MẬT MÃ
AN TOÀN THÔNG TIN