1. Pháp luật và chính sách
1.1. Khái niệm về an toàn thông tin
1.1.1. Là hành động phòng ngừa , ngăn cản hành vi tác động, xâm nhập ,phát tán, chia sẻ và phá hủy thông tin và chưa được cho phép
1.1.2. hoạt động bảo vệ thông tin và các thành phần thiết yếu bao gồm hệ thống và phần cứng lưu trữ và chuyển tiếp thông tin đó cho tới các chính sách an toàn và đào tạo nhân lực
1.1.3. Việc đào tạo nhân lực cần phải duy trì liên tục do sự hạn chế về nhân lực và tài chính
1.1.4. Cần phải có sự cân bằng giữa an toàn, tính dễ sử dụng và tính năng vì nếu quá tập chung vào an toàn thì 2 vấn đề còn lại sẽ kém và có thể gây ảnh hưởng lớn
1.2. Khái niệm cơ bản
1.2.1. Tấn công
1.2.1.1. Lơi dụng điểm yếu , lỗ hổng để xâm nhâp, sửa đổi hoặc làm hỏng một cách trái phép tài sản
1.2.2. Tài sản
1.2.2.1. là những thứ có giá trị thuộc cơ quan yêu cầu phải được bảo vệ
1.2.2.2. Tài sản có thể là tài sản vật lý, cũng có thể ở dạng trừ tượng như danh tiếng và uy tín
1.2.3. Biện pháp
1.2.3.1. Các phương pháp nhằm giảm bớt (giảm hậu quả) của các lỗ hổng. Biện pháp đối phó có thể thuần túy lô-gíc như áp dụng chính sách hay có thể là phần cứng như tường lửa
1.2.4. Rủi ro
1.2.4.1. Khả năng các sự kiện không mông muốn có thể xảy ra, thường ám chỉ đến các tổn thất có thể. Chỉ có thể phòng ngừa bằng các chính sách an toàn, dịch vụ bảo hiểm, kiểm tra giám sát
1.2.4.2. Rủi ro thặng dư là rủi ro sau khi mọi biện pháp thận trọng đã được áp dụng
1.2.4.3. Rủi ro chấp nhận được là rủi ro mà cơ quan/tổ chức chấp nhận sau khi đã hoàn tất chương trình quản lý rủi ro.
1.2.5. Đe dọa
1.2.5.1. Là tất cả các vấn đề có thể nhưng chưa sảy ra mà định nghĩa của chúng có thể đoán trước được
1.3. Luật pháp ATTT
1.3.1. Khái niệm
1.3.1.1. Là các quy tắc về hành vi được và không được thực hiện trong xã hội. Luật pháp thì thường dựa trên các quy chuẩn về đạo đức
1.3.1.2. Luật pháp thường đi kèm với các cơ quan quyền lực
1.3.2. Một số luật
1.3.2.1. Các hành vi sử dụng máy tính bị điều chỉnh bởi Luật hình sự của Việt Nam.
1.3.2.1.1. Điều 224
1.3.2.1.2. Điều 225
1.3.2.1.3. Điều 226
1.3.2.2. Các hành vi bị nghiêm cấm trong Luật giao dịch điện tử của Việt Nam. Điều 9
1.3.2.2.1. Cản trở việc lựa chọn sử dụng giao dịch điện tử
1.3.2.2.2. Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông điệp dữ liệu
1.3.2.2.3. Thay đổi, xoá, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái phép một phần hoặc toàn bộ thông điệp dữ liệu
1.3.2.2.4. Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành hoặc có hành vi khác nhằm phá hoại hạ tầng công nghệ về giao dịch điện tử.
1.3.2.2.5. Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật
1.3.2.2.6. Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử của người khác.
1.3.2.3. Điều kiện để đảm bảo an toàn cho chữ ký điện tử trong Luật giao dịch điện tử của Việt Nam.
1.3.2.3.1. Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng
1.3.2.3.2. Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;
1.3.2.3.3. Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;
1.3.2.3.4. Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.
1.3.2.4. Các hành vi bị nghiêm cấm trong Luật an toàn thông tin mạng.
1.3.2.4.1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.
1.3.2.4.2. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin
1.3.2.4.3. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.
1.3.2.4.4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
1.3.2.4.5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
1.3.2.4.6. Truy cập trái phép các bí mật mật mã hoặc các tài sản thông tin mã hóa của các cơ quan tổ chức. Sử dụng hoặc kinh doanh các hệ mật dân sự không rõ nguồn gốc
1.3.2.5. Các vấn đề sử dụng máy tính với chuyên gia/kỹ thuật viên/người có hiểu biết về máy tính
1.3.2.5.1. Không được sử dụng máy tính để làm hại người khác.
1.3.2.5.2. Không được can thiệp vào công việc điện toán của người khác
1.3.2.5.3. Không được rình rập quanh các tệp dữ liệu và máy tính của người khác
1.3.2.5.4. Không được dùng máy tính để ăn cắp
1.3.2.5.5. không được dùng máy tính để sinh ra các bằng chứng giả
1.3.2.5.6. Không được sao chép hoặc sử dụng phần mềm có chủ sở hữu mà không trả tiền.
1.3.2.5.7. Không dùng trái phép các tài nguyên máy tính của người khác.
1.3.2.5.8. Không được chiếm đoạt kết quả trí tuệ của người khác.
1.3.2.5.9. Phải nghĩ đến hậu quả xã hội khi xây dựng chương trình máy tính hay thiết kế hệ thống
1.3.2.5.10. Phải luôn sử dụng máy tính theo cách đảm bảo sự kính trọng và ngưỡng mộ của các đồng nghiệp.
1.4. Chính sách ATTT
1.4.1. Khái niệm
1.4.1.1. Mô tả các hành động, kiểm soát và quy trình cần được thực hiện cho hệ thống thông tin của cơ quan, tổ chức
1.4.1.2. Chính sách cần phải bao phủ đu ba yếu tố là con người, thông tin và tài sản
1.4.2. Các tiêu chuẩn
1.4.2.1. Phổ biến
1.4.2.1.1. Mọi người trong cơ quan đều có thể đọc, xem và tìm hiểu
1.4.2.2. Đánh giá
1.4.2.2.1. Cơ quan cần phân phát các tài liệu theo dạng dễ hiểu dễ đọc cho mọi đối tượng nhân viên: tài liệu bằng nhiều ngôn ngữ
1.4.2.3. Chấp thuận (đồng ý)
1.4.2.3.1. Đảm bảo các nhân viên đồng ý tuân thủ chính sách bằng hành động hay xác nhận
1.4.2.4. Tính nhất quán
1.4.2.4.1. Cơ quan cần đảm bảo chính sách được thực thi nhất quán bất kể tình trạng hay công việc của nhân viên
1.4.2.5. Nhận thức
1.4.2.5.1. Mội nhân viên đều hiểu các yêu cầu và nội dung của các chính sách
1.5. Quản trị ATTT
1.5.1. Khái niệm
1.5.1.1. Các yêu cầu và hành động cụ thể để dam bảo sự tuân theo các nguyên tắc , quy định, tiêu chuẩn của cơ quan
1.6. Tương quan
1.6.1. chính sách và luật pháp, đạo đức
1.6.1.1. Chính sách
1.6.1.1.1. Sự khác biệt giữa luật và chính sách là nhân viên có thể không biết gì về chính sách của cơ quan. Lỗi này có thể chấp nhận được.
1.6.1.1.2. Các chuyên gia an toàn thông tin duy trì an ninh thông qua việc thiết lập và thực thi các chính sách. Đó chính là các hướng dẫn về các hành vi được và không được chấp nhập tại nơi làm việc. Các chính sách này đóng vai trò như luật pháp của nơi làm việc.
1.6.1.2. Đạo đức
1.6.1.2.1. Là dựa trên cơ sở tập tục văn hóa : thái độ đạo đức hay thói quen của một nhóm cụ thể
1.6.1.3. Luật pháp
1.6.1.3.1. Thông thường con người chọn lọc từ bỏ một số khía cạnh tự do cá nhân để đảm bảo trật tự xã hội. Các qui định với các thành viên trong cộng đồng tạo ra để cân bằng các quyền tự khẳng định bản thân đối chọi với các yêu cầu của toàn thể cộng đồng được coi là luật
1.6.2. Chính sách và Tiêu Chuẩn
1.6.2.1. Chính sách
1.6.2.1.1. Chính sách thực hiện các kiểm soát để hệ thống đảm bảo thoả mãn tiêu chuẩn
1.6.2.1.2. Tiêu chuẩn có thể ảnh hưởng đến việc thiết lập, xây dựng chính sách
1.6.2.2. Tiêu Chuẩn
1.6.2.2.1. Các tiêu chuẩn thường xác định các yêu cầu tối thiểu nhưng rất chi tiết.
1.6.2.2.2. Luật pháp hay các thông lệ được chấp thuận tạo ra các tiêu chuẩn. Như vậy các chuẩn trở thành các tiêu chí cho việc quản trị hay chứng thực.
1.6.2.2.3. Các tiêu chuẩn thường khởi đầu từ các quy phạm công nghiệp. Qua thời gian phát triển được tổ chức công bố như tiêu chuẩn.
2. Quản lý an toàn
2.1. kiểm soát
2.1.1. Các biện pháp
2.1.1.1. Kiểm soát kỹ thuật
2.1.1.2. Kiểm soát quản trị
2.1.1.3. Kiểm soát vật lý
2.1.2. Các chức năng cơ bản
2.1.2.1. Ngăn chặn
2.1.2.1.1. Làm nản chí những kẻ tân công tiềm tàng
2.1.2.2. Phòng ngừa
2.1.2.2.1. Tránh xảy ra các sự cố
2.1.2.3. Sửa chữa
2.1.2.3.1. Sửa các phần hệ thống khi gặp sự cố
2.1.2.4. Khôi phục
2.1.2.4.1. Đưa hệ thống trở về hoạt động bình thường
2.1.2.5. Phát hiện
2.1.2.5.1. Phát hiện và nhận biết các sự cố
2.1.2.6. Bổ sung
2.1.2.6.1. Bổ sung kết hợp các biện phát kiểm soát khác
2.2. Rủi ro
2.2.1. Các dạng rủi ro
2.2.1.1. Vật lý
2.2.1.2. Con người
2.2.1.3. hỏng thiết bị
2.2.1.4. tấn công từ bên trong và bên ngoài
2.2.1.5. lỗi chương trình
2.2.1.6. Mât dữ liệu
2.2.1.7. Lạm dụng dữ liệu
2.2.2. Yêu cầu với các nhóm quản lí rủi ro
2.2.2.1. Mức rủi ro chấp nhận được các quản lí cấp cao xác lập
2.2.2.2. Quy trình và thủ tục đánh giá rủi ro
2.2.2.3. Thủ tục xác định và giảm thiểu rủi ro
2.2.2.4. Nguồn lực phù hợp và ngân sách từ quản lí cấp cao
2.2.2.5. Đào tạo nhận thức về an toàn cho tất cả các cán bộ nhân viên và tài sản an toàn
2.2.2.6. Luôn có các nhóm ứng phó khẩn cấp với từng tình huống chi tiết
2.2.2.7. Thiết lập chỉ chỉ sô và đo lường cho từng rủi ro khác nhau
2.2.2.8. Khả năng làm việc và xác định rủi ro khi chuyển môi trường làm việc mới
2.2.2.9. Luôn làm việc với nhóm kiểm soát của công ty để đảm bảo thay đổi không tạo ra rủi ro mới
2.2.2.10. Chỉ rõ yêu cầu tuân thủ các quy định và luật pháp để kiểm soát và thực hiện các yêu cầu này
2.2.3. Đánh giá rủi ro
2.2.3.1. Phương pháp nhận biết lỗ hổng và điểm yếu từ đó đưa ra đánh giá tác động và vị trí chính xác để triển khai các biện pháp kiểm soát
2.2.4. Phân tích rủi ro
2.2.4.1. đảm bảo các việc an ninh được đảm bảo chi phí thích hợp và xác đáng. Luôn sẵn sàng ứng phó trong các tình huống đe dọa
2.2.5. Các cách xử lý rủi ro
2.2.5.1. Có thể xử lý được
2.2.5.2. Chuyển/chia sẻ rủi ro
2.2.5.3. Giảm thiểu
2.2.5.4. Tránh
2.2.5.5. Chấp thuận
2.3. Vận hành an toàn
2.3.1. Nguyên tắc căn bản
2.3.1.1. Đặc quyền tối thiểu
2.3.1.2. Giám sát đặc quyền
2.3.1.3. Quyền và chức vụ rõ ràng
2.3.1.4. An toàn cho nhân viên
2.3.1.5. tính giải trình
2.3.1.6. Vận hành an toàn
2.3.2. Nhiệm vụ
2.3.2.1. Chương trình bất thường
2.3.2.2. Tình huống bất thường
2.3.2.3. Lệch chuẩn
2.3.2.4. An toàn truy cập từ xa
2.3.2.5. an toàn dữ liệu đầu ra / đầu vào
2.3.2.6. Tăng cường an ninh
2.3.2.7. Vấn đề an toàn
2.3.2.8. Khôi phục tin cậy
2.3.2.9. Kiểm soát hệ thống
2.3.2.10. Xác định và quản lí tài sản
2.4. Câu hình
2.4.1. Các yêu cầu với quản lí cấu hình
2.4.1.1. Có quy trình kiểm soát thay đổi
2.4.1.1.1. Các bước cơ bản của quy trình kiểm soát thay đổi
2.4.1.2. Lập tài liệu kiểm soát thay đổi
2.4.1.3. Mỗi cơ quan/tô chức cần ghi rõ : làm thế nào ? Ai thực hiện ? phê chuẩn như thế nào ? Lập tài liệu và thông báo cho cán bộ nhân viên
2.4.1.4. Việc thiếu sót kiểm soát và hướng dẫn có thể gây tổn hại đến môi trường làm việc
2.4.1.5. Các đối tượng có thể bị thay đổi : Cấu hình mạng, thiết bị mạng các thiết bị phần cứng khác
2.4.2. Các tình huống cơ bản làm thay đổi cấu hình
2.4.2.1. Cài đặt mát tính mới
2.4.2.2. Cài đặt phần mềm mới
2.4.2.3. Thêm các chính sách và quy định mới
2.4.2.4. Thêm thiết bị mạng mới vào trong mạng
2.4.2.5. Tích hợp công nghệ mới
2.4.2.6. Cấu hình mạng mới
2.4.2.7. cài đặt cập nhật bản vá
2.4.2.8. Cập nhật chính sách và quy định
2.4.2.9. Cài đặt cấu hình mạng khác
2.4.2.10. Vấn đề mạng được xác định và sửa chữa
2.5. Mạng và tài nguyên
2.5.1. Hủy bỏ dữ liệu
2.5.1.1. xóa dữ liệu sao cho thông tin lưu trữ không thể khôi phục lại được
2.5.1.2. Dữ liệu dư thừa là phần thông tin lưu trữ vật lý còn lại sau khi đã xóa hay lưu. Phần dữ liệu dư này có thể đủ cho việc khôi phục lại dữ liệu gốc
2.5.2. Các biện pháp đảm bảo tính sẵn dùng của mạng và tài nguyên
2.5.2.1. Công nghệ chịu lỗi
2.5.2.2. Phần cứng dự phòng
2.5.2.3. Tính toán mạng lưới
2.5.2.4. Lập cụm máy chủ
2.5.2.5. Các mức độ dịch vụ
2.5.2.6. Thủ tục vận hành tin cậy
2.6. Các bộ phận trong quản lí
2.6.1. Nhóm giám sát
2.6.1.1. Tiếp nhận và kiểm tra tính hợp lệ thu được từ người phân tích,quản trị, và người dùng và chuyển cho các nhóm người dùng khác nhau
2.6.2. Quản trị CSDL
2.6.3. Quản trị mạng
2.6.4. Quản trị an toàn
2.6.4.1. Đảm bảo thực thi các chính sach, quy định an toàn
2.6.5. Kỹ sư IT
2.6.5.1. Vận hành hệ thống hàng ngày
2.6.6. Lập trình ứng dụng
2.6.6.1. lập trình và bảo trì ứng dụng
2.6.7. Phân tích thiết kế hệ thống
2.6.7.1. Phân tích các luồng yêu cầu của khách hàng
2.6.8. Đảm bảo chất lượng
2.6.8.1. Có thể bao gồm kiểm soát và đảm bảo chất lượng. Đưa ra các kiểm chuẩn và đảm bảo tuân thủ chúng
2.6.9. Thư viện
2.6.10. Hỗ trợ, trợ giúp
2.6.10.1. Hỗ trợ xử lý các vấn đề về kỹ thuật cũng như người dùng đầu cuối.
2.7. Kế hoạch
2.7.1. Quản lí hoạt động liên tục là quá trình giát sát việc lập kế hoạch khôi phục cũng như kế hoạch hoạt động liên tục
2.7.1.1. Khôi phục sự cố
2.7.1.1.1. Giảm thiểu hậu quả sau khi sự cố xảy ra
2.7.1.1.2. Thực hiện các bước để nhân lực, hệ thống có thể hoạt động lại kịp thời nhất
2.7.1.1.3. Tình huống sử dụng khi khẩn cấp và mọi người đều cố gắng khôi phục các phần cơ bản của hệ thống hoạt động trở lại
2.7.1.2. hoạt động liên tục
2.7.1.2.1. Đưa ra các quy trình và thủ tục nhằm đối phó với gián đoạn hay sự cố trong thời gian dài
2.7.1.2.2. kế hoạch hoạt động liên tục thì các phương án tiếp cận rộng hơn là khôi phục sự cố
2.7.1.2.3. Mục tiêu của việc kiểm tra/thực hành các kế hoạch đảm bảo hoạt động liên tục
2.7.2. Khôi phục
2.7.2.1. Vấn đề khôi phục quy trình hoạt động
2.7.2.1.1. Là tập các bước liên kết với nhau bằng các hành động cụ thể để giải quyết các nhiệm vụ/ công việc
2.7.2.1.2. Nhóm lập yêu cầu hoạt động cần phải nắm rõ chi tiết quy trình của cơ quan và tổ chức để giảm thiểu thời gian gián đoạn
2.7.2.2. Vấn đề khôi phục trang thiết bị
2.7.2.2.1. Gián đoạn thông thường
2.7.2.2.2. Gián đoạn thảm họa
2.7.2.2.3. Gián đoạn thảm họa nghiêm trọng
2.7.2.3. Các vấn đề về nguồn cung và công nghệ
2.7.2.3.1. Các thiết bị máy tính và mạng
2.7.2.3.2. Các tài nguyên liên lạc
2.7.2.3.3. Nhân lực
2.7.2.3.4. nguôn cung thiết bị
2.7.2.3.5. Vận chuyển thiết bị và con người
2.7.2.3.6. Các vấn đề an toàn dữ liệu và con người