1. Vận hành AT
1.1. Nguyên tắc căn bản(5)
1.1.1. Đặc quyền tối thiểu
1.1.1.1. Biết những thứ cần biết Giữ tính bí mật và toàn vẹn
1.1.2. TÁch biệt chức vụ và trách nhiệm
1.1.2.1. Không ai có all kiểm soát HT
1.1.2.2. Luôn có user giám sát kiểm tra công việc lẫn nhau
1.1.2.3. Không ai lạm dụng quyền và công việc
1.1.3. Giám sát đặc quyền
1.1.3.1. Đảm bảo các quyền quản trị, sửa đổi,... không bị lạm dụng
1.1.4. An toàn nhân lực
1.1.4.1. An toàn về môi trường, hạn chế rủi ro tin h thần và vật chất.
1.1.5. Tính giải trình
1.1.5.1. Người dùng truy cập và sử dụng tài nguyên phù hợp. Kiểm toán và ghi lại nhật ký.
1.2. Công việc
1.2.1. nhấn mạnh biện pháp đảm bảo AT và đối phó để bảo vệ các tài nguyên thông tin, các phần cứng hỗ trợ.
1.2.2. Mục tiêu: giảm thiểu tổn hại bằng cách hạn chế việc lỡ làm sai hay lạm dụng
1.3. Nhiệm vụ (11)
1.3.1. Điều tra chuẩn đoán đưa ra giải pháp với các tình huống bất thường
1.3.2. Lệch Chuẩn: Xác định các vấn đề về phần cúng và phần mềm
1.3.3. Xác định nguyên nhân rủi ro tiềm tàng với các chương trình khởi động bất thường
1.3.4. Xác định quản lý tài sản
1.3.5. Kiểm soát hệ thống
1.3.6. Khôi phục tin cậy
1.3.7. Hoạt động khôi phục/ sửa lỗi sau khi hệ thống bị hỏng
1.3.8. Vấn đề an toàn: Xem xét lỗ hổng theo loại
1.3.9. Kiểm soát dữ liệu vào ra
1.3.10. Tăng cường an ninh
1.3.11. 11. Đảm bảo an toàn truy cập từ xa
2. Quản lý cấu hình (5 Yêu cầu)
2.1. Quy trình kiểm soát việc thay đổi(6 bước)
2.1.1. 1. Yêu cầu thay đổi
2.1.1.1. phải được gửi cho cá nhân/nhóm chịu trách nhiệm phê chuẩn sự thay đổi và giám sát các hoạt động thực hiện thay đổi
2.1.2. 2. Phê chuẩn sự thay đổi
2.1.2.1. phải giải trình lý do: ưu/ nhược
2.1.3. 3. Lập tài liệu
2.1.3.1. lưu vào nhật ký (log) thay đổi
2.1.4. 4. Kiểm tra:
2.1.4.1. kiểm tra đầy đủ để phát hiện kết quả chưa đc dự đoán.
2.1.5. 5. Triển khai
2.1.5.1. kế hoạch thực hiện được xây dựng để phác thảo ra các giai đoạn thực thi và các mốc quan trọng. All các bước phải ghi log
2.1.6. 6. Báo cáo
2.1.6.1. Báo cáo về sự thay đổi cần được nộp cho ban quản lý theo định kỳ.
2.2. Lập tài liệu kiểm soát thay đổi
2.3. Mỗi cơ quan/tổ chức cần có chính sách chỉ rõ
2.4. Kiểm soát và hướng dẫn QL cấu hình để giúp hệ thống hạn chế tối đa các lỗ hổng
2.5. Xác định các đối tượng có thể thay đổi
2.5.1. cấu hình mạng, các tham số hệ thống, các ứng dụng, cài đặt, cấu hình ứng dụng hay thiết bị.
3. Vấn đè về khôi phục
3.1. khôi phục quy trình hoạt động
3.1.1. KN:là tập các bước liên kết với nhau theo các hành động cụ thể để hoàn thành nhiệm vụ/ công việc
3.1.2. Nhóm lập kế hoạch hoạt động cần phải nắm bắt chi tiết về các quy trình thiết yếu của cơ quan/tổ chức như diệu liệu mô tả về:
3.1.2.1. o Vai trò và tài nguyên cần thiết o Đầu vào và ra o Các bước trong luồng công việc o Thời gian cần hoàn thành o Giao diện với các quy trình khác
3.2. Khôi phục trang thiết bị/phương tiện
3.2.1. Việc gián đoạn hoạt động có thể xếp vào 3 dạng:
3.2.1.1. Gián đoạn thông thường
3.2.1.1.1. Thay thế hoặc sửa chữa.
3.2.1.2. Thảm họa (thường do nguyên nhân thiên nhiên)
3.2.1.2.1. Khôi phục dựa vào trang thiết bị khác
3.2.1.3. Thảm họa nghiêm trọng
3.2.1.3.1. gây ra sự gián đoạn trầm trọng với các phương tiện và trang thiết bị, có thể phá hủy hoàn toàn các phương tiện hiện có.
3.2.1.3.2. Việc khôi phục cả biện pháp ngắn và dài hạn: • Ngắn han: sử dụng các thiết bị trợ giúp từ vị trí khác • Dài hạn: Xây dựng và sửa chữa lại phương tiện như phòng ốc hay nhà xưởng
3.3. khôi phục nguồn cung cấp và công nghệ
3.3.1. Nhóm quản lý cần xác định các chi tiết giải pháp sao lưu/ hồi phục cho
3.3.1.1. o Các thiết bị máy tính và mạng o Các tài nguyên liên lạc cho dữ liệu và thoại o Nhân lực o Vận chuyển thiết bị và con người o Các vấn đề an toàn cho dữ liệu và con người o Nguồn cung cấp
3.4. Sự khác biệt giữa kế hoach khôi phục sự cố và hoạt động liên tục
3.4.1. Kế hoạch khôi phục sau sự cố
3.4.1.1. Giảm thiểu hậu quả của sự cố hay gián đoạn. Là một phần trong việc quản lý và duy trì hoạt động liên tục.
3.4.1.2. Cần tiến hành các bước có thể để đảm bảo các tài nguyên, nhân sự, quy trình hoạt động có khả năng khôi phục kịp thời
3.4.1.3. Được thực hiện khi mọi thứ vẫn ở trong tình trạng khẩn cấp và mọi người cố gắng hết sức để làm cho các phần quan trọng của hệ thống hoạt động trở lại.
3.4.2. Lập kế hoạch HĐ liên tục
3.4.2.1. Là quá trình quản lý với việc lập kế hoạch khôi phục sự cố cũng như kế hoạch hoạt động liên tục
3.4.2.2. Cung cấp biện pháp và thủ tục để đối phó với sự gián đoạn cũng như sự cố trong thời gian dài.
3.4.2.3. Kế hoạch hoạt động liên tục sử dụng cách tiếp cận rộng hơn cho sự cố:
3.4.2.3.1. - Chuyển các hệ thống quan trọng sang môi trường khác trong khi sửa chữa hệ thống cũ. - Huy động đúng người đúng việc trong giai đoạn đó - Thực hiện công việc ở chế độ đặc biệt cho đến khi điều kiện bình thường được khôi phục
3.4.2.3.2. Thông tin với khách hàng, đối tác và chủ sở hữu (với công ty) cho đến khi bình thường
3.5. Mục tiêu của việc kiểm tra/ thực hành các kế hoạch đảm bảo hoạt động liên tục
4. Các Biện pháp kiểm soát
4.1. Phân loại (6)
4.1.1. Kiểm soát quản trị
4.1.1.1. yêu cầu về an toàn, quản lý rủi ro, đào tạo
4.1.2. Kiểm soát vận hành
4.1.2.1. thực thi chính xác và sử dụng các chính sách và chuẩn an toàn thôngtin.
4.1.3. Kiểm soát kỹ thuật
4.1.3.1. Phần cứng hay phần mềm hệ thống. Như xác thực, trao quyền và thực thi kiểm soát truy nhập,...
4.1.4. Kiểm soát hỗ trợ
4.1.4.1. là các kiểm soát chung ở lớp dưới, có quan hệ với và được sử dụng bởinhiều kiểm soát khác.
4.1.5. Kiểm soát ngăn ngừa
4.1.5.1. Ngăn ngừa việc xảy ra các vi phạm an ninh, bằng cách khắc chế các nỗ lực vi phạm chính sách an ninh hoặc khai thác các lỗ hổng bảo mật.
4.1.6. Kiểm soát phát hiện và phục hồi
4.1.6.1. đáp trả vi phạm an ninh bằng cách đưa ra cảnh báo vi phạm, hoặc các nỗ lực vi phạm chính sách an ninh.
4.2. 6 chức năng cơ bản
4.2.1. Ngăn chặn
4.2.1.1. Làm nản chí những kẻ tấn công tiềm tàng.
4.2.2. Phòng ngừa
4.2.2.1. Tránh xảy ra các sự cố
4.2.3. Sửa chữa
4.2.3.1. Sửa các phần hay hệ thống sau khi sự cố xuất hiện
4.2.4. Phục hồi
4.2.4.1. Giúp toàn bộ môi trường làm việc trở lại bình thường.
4.2.5. Phát hiện
4.2.5.1. Giúp nhận biết và xác định các sự cố và xâm nhập.
4.2.6. Bổ sung
4.2.6.1. Cung cấp phương tiện kiểm soát thay thế khác.
5. Các khái niệm
5.1. ATTT
5.1.1. Bảo vệ thông tin khỏi việc sử dụng, sửa đổi, phá hủy, phát tán trái phép. Theo 3 tính chất
5.1.1.1. Bí mật:
5.1.1.2. Toàn vẹn
5.1.1.3. Sẵn sàng
5.2. QLATTT
5.2.1. Việc giám sát thực thi các biện pháp đảm bảo ATTT -> Nâng cao hiệu quả ATTT
5.2.1.1. Quản lý rủi ro
5.2.1.2. Đánh giá rủi ro
5.2.1.2.1. Tập trung vào các rủi ro mà các mối đe dọa bên trong và bên ngoài gây ra cho tính khả dụng, bảo mật và tính toàn vẹn của dữ liệu.
5.2.1.3. Phân tích rủi ro
5.2.1.3.1. Phân tích rủi ro đưa nỗ lực đánh giá rủi ro của bạn lên cấp độ tiếp theo.
5.2.1.3.2. Xem xét, phân tích toàn diện các rủi ro của từng thành phần trong hệ thống
5.2.1.4. Chuẩn ATTT
5.2.1.4.1. OCTAVE
5.2.1.4.2. NIST
5.2.1.5. Chính sách ATTT
5.3. Quản trị ATTT
5.3.1. Các yêu cầu và các hành động cụ thể để đảm bảo sự tuân thủ chính sách, quy trình, tiêu chuẩn và hướng dẫn của cơ quan/tổ chức.
5.4. Chính sách ATTT
5.4.1. Mô tả các kiểm soát, hành động, và quy trình cần được thực hiện cho hệ thống thông tin của cơ quan/tổ chức.
5.4.2. Cần bao phủ các mối đe dọa tới hệ thống bao gồm cả con người, thông tin và tài sản cụ thể.
5.4.3. Tiêu chuẩn của chính sách ATTT (5 TC)
5.4.3.1. Phổ biến (phân phát).
5.4.3.1.1. phân phát các tài liệu theo dạng dễ hiểu dễ đọc cho mọi đối tượng
5.4.3.2. Đánh giá (đọc)
5.4.3.2.1. Mọi người trong cơ quan đều có thể đọc và xem xét các chính sách phù hợp.
5.4.3.3. Nhận thức (hiểu)
5.4.3.3.1. Mội nhân viên đều hiểu các yêu cầu và nội dung của các chính sách
5.4.3.4. Chấp thuận (đồng ý)
5.4.3.4.1. Đảm bảo các nhân viên đồng ý tuân thủ chính sách bằng hành động hay xác nhận
5.4.3.5. Thi hành nhất quán
5.4.3.5.1. đảm bảo chính sách được thực thi nhất quán bất kể tình trạng hay công việc của nhân viên
5.5. Các khái niệm cơ bản khác
5.5.1. Tài sản
5.5.1.1. Là tài nguyên của các tổ chức, cá nhân được bảo vệ(Những thứ có giá trị)
5.5.1.1.1. Tài sản logic: web, thông tin, dữ liệu
5.5.1.1.2. Tài sản vật lý: máy tính, thiết bị mạng,...
5.5.2. Tấn công
5.5.2.1. Lợi dụng lỗ hổng để xâm hại tài sản
5.5.3. Biện pháp
5.5.3.1. Phương pháp giảm thiểu hậu quả của các lỗ hổng bị tấn công
5.5.4. Rủi ro
5.5.4.1. Khả năng xảy ra sự kiện không mong muốn là các tổn thất có thể xảy ra.
5.5.5. Đe dọa
5.5.5.1. Bất kỳ một hành động nào có thể gây hư hại đến các tài nguyên hệ thống.
6. Rủi ro trong ATTT
6.1. Các dạng rủi ro cơ bản (4)
6.1.1. Do thiên tai
6.1.1.1. Lũ lụt, cháy nổ, động đất,...
6.1.2. Con người
6.1.2.1. Các hành vi vô tình/ cố ý từ bên trong/bên ngoài làm ảnh hưởng xấu đến các tài nguyên và thông tin.
6.1.3. Các thiết bị vật lý, phần cứng
6.1.3.1. Mất cắp, hỏng hóc, lỗi thời, quá tải,...
6.1.4. Các chương trình phần mềm và dữ liệu:
6.1.4.1. Lỗi chương trình,.. phần mềm và dữ liệu bị tấn công /vi rut,...
6.1.5. Theo slide (7)
6.1.5.1. Vật lý
6.1.5.2. Con người
6.1.5.3. Hỏng thiết bị
6.1.5.4. Tấn công bên trong/ ngoài
6.1.5.5. Lạm dụng dữ liệu
6.1.5.6. Mất dữ liệu
6.1.5.7. Lỗi chương trình
6.2. Yêu cầu với nhóm thực hiện QL rủi ro
6.2.1. 10 yêu cầu/ 3 nhóm yêu cầu
6.2.1.1. rủi ro
6.2.1.1.1. Xác lập mức rủi ro
6.2.1.1.2. Đánh giá rủi ro
6.2.1.1.3. Giảm thiểu rủi ro
6.2.1.2. Nguồn lực và quản lý
6.2.1.2.1. Phân bổ nguồn lực và tài chính
6.2.1.2.2. Đào tạo nhận thức an ninh
6.2.1.2.3. thiết lập nhóm theo lĩnh vực
6.2.1.2.4. Tuân thủ quy định pháp luật
6.2.1.3. khả năng
6.2.1.3.1. Tăng cường hiệu năng quản lý
6.2.1.3.2. Khả năng xác định và đánh giá rủi ro
6.2.1.3.3. Thay đổi không tạo ra lỗ hổng mới
6.3. Cách thức xử lý rủi ro (4 cách thức)
6.3.1. • Chuyển/Chia sẻ rủi ro
6.3.1.1. Sử dụng dịch vụ bảo hiểm
6.3.2. • Tránh
6.3.2.1. Chấm dứt sử dụng dịch vụ gây rủi ro
6.3.3. • Giảm thiểu
6.3.3.1. Giảm mức nguy hiểm xuống mức chấp nhận đc = firewall,IDS,...
6.3.4. • Chấp nhận
6.3.4.1. Chấp nhận nếu chi phí và công sức bỏ ra khắc phục rủi ro cao hơn lợi ích thu được.
7. Luật pháp
7.1. Các hành vi sử dụng máy tính bị điều chỉnh bởi luật hình sự VN
7.1.1. Luật hình sự: Sửa đổi bổ sung 2009/Chương XIX cho bộ luật 1999 (có hiệu lực từ 1/1/2010) Xác định tội phạm mạng trong 5 điều khoản
7.1.1.1. Điều 224: Tội phát tán vi rút, chương trình tin học có tính năng gây hại cho hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.
7.1.1.2. Điều 225: Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số
7.1.1.3. Điều 226: Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông, mạng Internet
7.1.1.4. Điều 226a: Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số của người khác
7.1.1.5. Điều 226b: Tội sử dụng mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số thực hiện hành vi chiếm đoạt tài sản
7.2. Các hành vi bị nghiêm cấm trong luật giao dịch điện tử VN
7.2.1. Luật Giao dịch điện tử số 51/2005/QH11: QH thông qua 29/11/2005 Điều 9. Các hành vi bị nghiêm cấm trong giao dịch điện tử
7.2.1.1. Cản trở việc lựa chọn sử dụng giao dịch điện tử.
7.2.1.2. Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông điệp dữ liệu.
7.2.1.3. Thay đổi, xoá, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái phép một phần hoặc toàn bộ thông điệp dữ liệu.
7.2.1.4. Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành hoặc có hành vi khác nhằm phá hoại hạ tầng công nghệ về giao dịch điện tử.
7.2.1.5. Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật.
7.2.1.6. Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử của người khác.
7.3. Điều kiện đảm bảo an toàn cho chữ ký điện tử trong Luật giao dịch điện tử VN
7.3.1. Điều 22. Điều kiện để bảo đảm an toàn cho chữ ký điện tử
7.3.1.1. 1. Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:
7.3.1.1.1. a. Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng
7.3.1.1.2. b. Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;
7.3.1.1.3. c. Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;
7.3.1.1.4. d. Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.
7.3.1.2. 2. Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại khoản 1 Điều này.
7.4. Các hành vi bị nghiêm cấm trong luật an toàn thông tin mạng (6 ý)
7.4.1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.
7.4.2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.
7.4.3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
7.4.4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
7.4.5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
7.4.6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.
7.5. Ảnh hưởng của đạo đức tới hành vi sử dụng máy tính
7.5.1. Mười điều răn về đạo đức sử dụng máy tính (Viện đạo đức máy tính-Computer Ethics Institutes)
7.5.1.1. Không được sử dụng máy tính để làm hại người khác.
7.5.1.2. Không được can thiệp vào công việc điện toán của người khác
7.5.1.3. Không được rình rập quanh các tệp dữ liệu và máy tính của người khác
7.5.1.4. Không được dùng máy tính để ăn cắp
7.5.1.5. không được dùng máy tính để sinh ra các bằng chứng giả
7.5.1.6. Không được sao chép hoặc sử dụng phần mềm có chủ sở hữu mà không trả tiền.
7.5.1.7. Không dùng trái phép các tài nguyên máy tính của người khác.
7.5.1.8. Không được chiếm đoạt kết quả trí tuệ của người khác.
7.5.1.9. Phải nghĩ đến hậu quả xã hội khi xây dựng chương trình máy tính hay thiết kế hệ thống.
7.5.1.10. Phải luôn sử dụng máy tính theo cách đảm bảo sự kính trọng và ngưỡng mộ của các đồng nghiệp.
8. Vai trò và trách nhiệm của từng bộ phận trong việc quản lý ATTT
8.1. Các vai trò tiêu biểu:
8.1.1. Cơ quan đầu não và ban lãnh đạọ
8.1.1.1. khởi xướng và xây dựng các chính sách cho cơ quan.
8.1.2. Các phòng ban quản lý
8.1.2.1. hoàn chỉnh các chính sách thành các hướng dẫn, quy định, thủ tục và tiêu chuẩn.
8.1.3. Chuyên viên IT và nhân viên quản lý
8.1.3.1. triển khai các cấu hình phù hợp với các văn bản quản lý an toàn.
8.1.4. Người dùng cuối:
8.1.4.1. tuân thủ với các cơ sở an toàn của cơ quan, tổ chức
8.2. Tổ chức hiệu quả với quản trị attt cần liên kết các mức quản lý của cơ quan/ tổ chức:
8.2.1. Ban lãnh đạo
8.2.1.1. Xác lập định hướng và chiến lược đảm bảo rủi ro, đánh giá kết quả
8.2.2. Quản lý cấp cao
8.2.2.1. Hỗ trợ tích cực các sáng kiến từ ban quản lý-> Nhằm thực hiện hiệu quả chính sách AT
8.2.3. Ban điều hành về an toàn
8.2.3.1. Cải thiện hiệu quả của quản trị attt.->giúp nhanh chóng xác định và ưu tiên các rủi ro mới,phổ biến các thông tin quan trọng liên quan đến an toàn.
8.2.4. CISO, Giám đốc an toàn thông tin
8.2.4.1. • Xây dựng chi tiết các chiến lược hay chính sách an toàn thông tin
8.2.4.2. • Tư vấn cho lãnh đạo cấp cao về các vấn đề liên quan đến an toàn cũng như báo cáo trực tiếp lên lãnh đạo cấp cao và ban lãnh đạo
8.2.4.3. • Quản lý các chương trình an toàn và việc triển khai
8.2.4.4. • Trao đổi với các lãnh đạo bộ phận khác để đảm bảo attt trên tất cả các bộ phận