QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN ĐỀ TÀI TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH PHÂN TÍCH RỦI RO

Đối với các tổ chức cần bảo vệ an toàn hệ thống thông tin Information System Security - ISS cũng cần phải đặt ra và bắt buộc tuân thủ những chính sách an toàn hệ thông thông tin hay có t

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KĨ THUẬT MẬT MÃ

QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN

ĐỀ TÀI

TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH PHÂN TÍCH RỦI RO

Giảng viên hướng dẫn : Nguyễn Thị Thu Thủy

Sinh viên thực hiện : Lê Trung Hiếu

Nguyễn Quốc Huy

Nguyễn Thiện Đô

Hà Nội, tháng 12 năm 2021

2

MỤC LỤC Table of Contents

MỤC LỤC 2

LỜI CẢM ƠN 4

LỜI NÓI ĐẦU 5

CHƯƠNG 1: TỔNG QUẢN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 6

1.1 Chính sách an toàn thông tin 6

1.2 Quản lý chính sách an toàn thông tin 7

1.2.1 Khái niệm an toàn hệ thống thông tin 7

1.2.2 Các chính sách an toàn thông tin và tầm quan trọng của chúng 8

1.2.3 Vận hành của một tổ chức không có chính sách 10

1.2.4 Những nguy hại của việc thực thi các chính sách sai 10

CHƯƠNG 2: TỔNG QUAN VỀ QUẢN LÝ RỦI RO 11

2.1 Tầm quan trọng của quản lý rủi ro 11

2.2 Tổng quan về rủi ro 12

2.2.1 Khái niệm rủi ro 12

2.2.2 Các loại rủi ro có thể xảy ra 13

2.2.3 Một số phương pháp cải thiện 13

2.3 Phân tích rủi ro 14

2.3.1 Định nghĩa 14

2.3.2 Quy trình phân tích rủi ro 15

2.4 Quản lý rủi ro 21

2.4.1 Định nghĩa 21

2.4.2 Công thức tính rủi ro 22

2.4.3 Quy trình quản lý rủi ro 24

2.4.4 Những sai lầm phổ biến trong quản lý rủi ro 30

CHƯƠNG 3: CÁC PHƯƠNG PHÁP PHÂN TÍCH RỦI RO 31

3.1 Phân tích rủi ro định tính 31

3

3.1.1 Khái niệm 31

3.1.2 Ưu, nhược điểm 31

3.1.3 Các công cụ và kỹ thuật quan trọng 32

3.1.4 Kỹ thuật phân tích rủi ro 35

3.2 Phân tích rủi ro định lượng 38

3.2.1 Khái niệm 38

3.2.2 Các công cụ và kỹ thuật quan trọng 38

3.2.3 Ứng dụng 41

3.3 So sánh hai phương pháp 41

KẾT LUẬN 44

TÀI LIỆU THAM KHẢO 45

4

LỜI CẢM ƠN Sau thời gian tìm hiểu về các phương pháp và quy trình phân tích rủi ro, nhóm 13 chúng

em đã hoàn thành báo cáo đề tài của mình Chúng em xin chân thành cảm ơn cô Nguyễn Thị Thu Thủy - Giảng viên khoa An toàn thông tin Học viện Kỹ thuật Mật Mã, đã luôn hướng dẫn và giải đáp thắc mắc cho chúng em trong quá trình thực hiện đề tài

Nhóm chúng em xin chân thành cảm ơn!

NHÓM SINH VIÊN THỰC HIỆN ĐỀ TÀI

5

LỜI NÓI ĐẦU Một tổ chức hay một doanh nghiệp nào đó phát triển luôn kèm theo sự phát triển của công nghệ thông tin Tuy nhiên, nhiều dự án CNTT thất bại vì rủi ro công nghệ Một dự án phần mềm là một mắt xích quan trọng trong một sự án CNTT lớn Vì thế một dự án lớn hay một hệ thống công nghệ vận hành cần phải tập trung vào nghiệp vụ trước thay vì công nghệ

Một vài dẫn chứng cụ thể Anderson, một quản lý dự án cho tập đoàn Kaman Sciences, chia sẻ kinh nghiệm từ một dự án thất bại trên tờ CIO Enterprise Magazine Sau khi sử dụng hai năm và vài trăm nghìn đô la vào một dự án cung cấp một hệ thống thông tin mới

về nhân lực và tài chính client-server cho công ty, cuối cùng Anderson và đội của ông ta nhận ra rằng họ đã thất bại Anderson phát hiện ra rằng, ông đã quá say mê với việc sử dụng các công nghệ mới và đã tiếp cận dự án một cách rủi ro cao Ông nghĩ đơn giản rằng

đó là việc đội dự án cần làm và sau đó nhận ra rằng ông đã sai Cuối cùng công ty quyết định chuyển sang một công nghệ ổn định hơn giải quyết đúng các yêu cầu nghiệp vụ của công ty

Do đó, chúng ta thấy tầm quan trong của việc phân tích và quản lý rủi ro cho các doanh nghiệp hay tổ chức là cực kì quan trọng Sau thời gian tìm hiều về vấn đề này, nhóm chúng

em đã chọn đề tài nghiên cứu: “Tìm hiểu các phương pháp, quy trình phân tích rủi ro Đưa ra các đánh giá phương pháp đó”

Bố cục của đề tài gồm 3 chương

Chương 1: Tổng quan về chính sách an toàn thông tin

Chương 2: Tổng quan về quản lý rủi ro

Chương 3: Phương pháp phân tích rủi ro

1.1 Chính sách an toàn thông tin

Trong trường hợp lý tưởng khi mà các chính sách và thủ tục đầy đủ và chặt chẽ đồng thời các nhân viên luôn luôn tuân thủ theo đúng quy định thì kết quả đạt được sẽ rất hoàn hảo Tuy nhiên, thực tế khó có thẻ tồn tại sự lí tưởng như vậy Cả các chính sách và các thủ tục đề không phải lúc nào cũng thực sự đúng đắn cũng như các nhân viên cũng không luôn luôn tuân theo chúng Hãy xét một ví dụ đơn giản về sinh viên nhận học bổng của học viện Thủ tục này bao gồm sự kiểm tra thông tin về sinh viên nhận học bổng Chính sách của học viện quy định sinh viên nhận học bổng phải tự đi nhận không nhân hộ Nếu không tuân thủ đúng chính sách này thì học viện có thể trao nhầm học bổng và thất thoát tài chính của học viện

Vậy chính sách là các yêu cầu, các biện pháp cần phải tuân thủ để đạt được mục đích của chủ thể đề ra chính sách đó Đối với các tổ chức cần bảo vệ an toàn hệ thống thông tin (Information System Security - ISS) cũng cần phải đặt ra và bắt buộc tuân thủ những chính sách an toàn hệ thông thông tin hay có thể gọi đơn giản là “Chính sách an toàn” hay

“Chính sách ISS”

Chính sách an toàn thông tin là một tập các chính sách do tổ chức đưa ra để đảm bảo tất cả những nhân viên trong tổ chức phải tuân thủ các luật lệ và các hướng dẫn liên quan đến sự an toàn của thông tin được lưu trữ trong tổ chức Mặc dù không có sự tiếp cận giống nhau nhưng mỗi tổ chức nên có cách riêng để thực thi và bắt buộc tuân thủ các chính sách Một trong những thách thức mà các tổ chức phải dối mặt đó là chi phí để giữ vững

sự phát triển trong khi công nghệ luôn luôn thay đổi Điều này bao gồm thu nhập cần cập nhật các chính sách kịp thời với việc cập nhật công nghệ Tình trạng thực thi các chính sách không thích hợp có thể tạo nên những điểm yếu trong hệ thống Những điểm yếu này

có thể ảnh hưởng xấu tới quá trình xử lý công việc và có thể dẫn đến việc bị mất hoặc bị cắp thông tin

Trong việc đưa ra các chính sách an toàn, nhiều tổ chực bắt buộc phải có các yêu cầu đối với các chính sách Các yêu cầu này bao gồm quy mô của tổ chức, các quả trình xử

7

lý, kiểu thông tin, các luật lệ và các quy tắc Sau khi có con người để cài đặt chúng Điều này phụ thuộc vào sự chấp nhận của các nhân viên và sự quản lý đối với việc bắt buộc tuân thủ các chính sách đó Rõ ràng chính sách sẽ giảm tính hiệu quả hoặc thậm chí không có giá trị gì nếu không tuân theo nó

Một chính sách bảo mật phải khả thi về mặt kinh tế, dễ hiểu, thực tế, nhất quán, có thể chấp nhận thủ tục và cũng cung cấp sự bảo vệ hợp lý liên quan đến các mục tiêu và mục tiêu đã nêu của quản lý Chính sách bảo mật xác định tổng thể mục tiêu an ninh và kiểm soát rủi ro mà một tổ chức tán thành

 Chúng phải được ghi lại, phân phối và truyền đạt

1.2 Quản lý chính sách an toàn thông tin

1.2.1 Khái niệm an toàn hệ thống thông tin

An toàn hệ thống thông tin là việc bảo vệ thông tin và bảo vệ hệ thống lưu trữ và xử

lý thông tin đó Sự bảo vệ có nghĩa là chống lại các rủi ro dẫn tới việc truy cập, sử dụng, làm lộ, phá vỡ, sửa chữa hay phá hủy thông tin một cách bất hợp pháp Điều này không chỉ

là bảo vệ thông tin bên trong máy tính mà còn là bảo vệ thông tin dưới bất cứ dạng nào, chẳng hạn như bảo vệ dữ liệu hay bảo vệ thông tin trên các phương tiện truyền thông Trong thực tế các chính sách an toàn có cấu trúc chặt chẽ để đảm bảo sự bảo vệ thông tin

ở bất cứ chỗ nào và bất kỳ dạng nào Có thể thấy đây là những phạm vi rõ ràng và cụ thể cần phải đảm bảo an toàn Thông thường tổ chức sẽ áp đặt sự an toàn nghiêm ngặt hơn đối với các khu vực có mối đe dọa lớn hơn tới tài nguyên hoặc con người

Trong bất kỳ quá trình xử lý thông tin quan trọng nào thì nên có quá trình xử lý vòng đời để giảm thiếu lỗi xảy ra đồng thời cũng đảm bảo rằng quá trình xử lý đã xem xét tất cả các yêu cầu đặt ra Một quá trình xử lý vòng đời cụ thể chia các nhiệm vụ thành các pha nhỏ hơn, dễ sử dụng hơn Hiệp hội kiểm toán và quản lý hệ thống thông tin (Information Systems Audit and Control Association - ISACA) đã phát triển một khung làm việc rất thực tiễn được gọi là các đối tượng kiểm soát đối với thông tin và công nghệ có liên quan (Control Objects for Information and Related Technology - COBIT) Khung làm việc này

8

có phần ưu điểm hơn một quá trình xử lý vòng đời và được quốc tế chấp nhận rộng rãi, khung làm việc COBIT gồm 4 pha cùng hướng tới vòng đời an toàn hệ thống thông tin dựa trên khái niệm:

 Lập kế hoạch và Tổ chức

 Đạt được và Cài đặt

 Phân phối và Hỗ trợ

 Giám sát và Quản lý

1.2.2 Các chính sách an toàn thông tin và tầm quan trọng của chúng

Chính sách có thể được hiểu như một yêu cầu trên các hoạt động hay các quá trình

xử lý mà một tổ chức thực hiện Các chính sách ISS quy định sự sắp xếp các kiểm soát trong các quá trình xử lý đặc trưng cho hệ thống thông tin Những chính sách này đề cập tới các loại kiểm soát cần thiết chứ không đưa ra cách xây dựng chúng

Chính sách ISS cần bao quát hiểm họa đối với hệ thống và chúng phải bảo vệ được con người và thông tin Chúng cũng phải thiết lập các luật đối với người dùng, xác định những

9

hậu quả của các vi phạm và tối thiểu hóa rủi ro của tổ chức Do đó, bất cứ quá trình xử lý nào chứa một trong những yêu cầu của tổ chức đó nên có một chính sách hỗ trợ Các tài liệu khác trong khung chính sách cung cấp thêm sự hỗ trợ cho quá trình xử lý Có 4 kiểu tài liệu khác nhau trong một khung chính sách:

 Chính sách là tài liệu là chỉ đưa ra cách thức thực hiện và quản lý các chức năng công việc và các giao dịch với một tác động mong muốn của tổ chức

 Chuẩn là một quy tắc hoặc phương pháp được thiết lập và được chứng minh quy tắc này có thể là một tiêu chuẩn về thủ tục hay một kỹ thuật đã được cài đặt rộng rãi trong tổ chức

 Thủ tục làm báo cáo được viết ra nhằm mô tả các bước cần có để cài đặt một quá trình xử lý

 Hướng dẫn là một tài liệu bên trong một chính sách, chuẩn hay thủ tục mà được

đề nghị nhưng không bắt buộc

Theo hình vẽ trên, các thủ tục và các hướng dẫn hỗ trợ các chính sách có các chuẩn ảnh hưởng tới các chính sách Bốn tài liệu này được chia thành hai nhóm: Tài liệu bên trong và bên ngoài Các chuẩn là những tài liệu bên ngoài, còn chính sách, thủ tục và hướng dẫn là tài liệu bên trong Chuẩn có thể là một quá trình xử lý hay một phương pháp để cài đặt một giải pháp Chuẩn bao gồm kỹ thuật phần cứng hay phần mềm đã có hồ sơ chứng minh về sự thực hiện Đây có thể là chuẩn về thủ tục hoặc chuẩn cài đặt hoặc chuẩn triển khai kỹ thuật đã được thực thi rộng rãi trong tổ chức Vì mục đích của ISS:

Chuẩn là một tập hợp các tiêu chuẩn để một hệ thống thông tin dựa vào vận hành theo Các chuẩn áp dụng sự ảnh hưởng bên ngoài đối với việc tạo ra các chính sách Một

tổ chức có thể có những chuẩn nội bộ Thường thì chuẩn này được biến đổi cho phù hợp với tổ chức dựa trên thực tiễn từ các tổ chức khác

Chính sách là một tài liệu chỉ ra cách thực hiện của tổ chức Tài liệu này mô tả cách quản lý các chức năng và các giao dịch đối với mỗi tác động và tổ chức mong muốn Chính sách làm cho sự kiểm soát an toàn thông tin trở lên dễ dàng vì đây là tài liệu về “Ai làm cái gì cho ai và khi nào” Chính sách phản ánh việc bảo vệ thông tin từ ban lãnh đạo Thủ tục là báo cáo được viết ra nhằm mô tả các bước cần thiết để cài đặt một quá trình xử lý Mục tiêu của các thủ tục là hỗ trợ các chính sách và các chuẩn Các thủ tục cho biết cách thực hiện những nhiệm vụ cụ thể Thủ tục cài chi tiết thì càng hiệu quả và càng ít

có lỗi xảy ra

Hướng dẫn đặt ra những thông số bên trong một chính sách, chuẩn hay thủ tục mà

có thể được sử dụng Hướng dẫn không phải là tài liệu bắt buộc mà chỉ là hỗ trợ cho chính

10

sách Giống như các thủ tục các hướng dẫn giúp cho các tổ chức hoạt động nhịp nhàng hơn

Một số lý do cho thấy cần phải sử dụng và bắt buộc tuân thủ các chính sách an toàn:

 Bảo vệ hệ thống khỏi mối đe dọa từ nội bộ

 Bảo vệ thông tin tĩnh và thông tin trên đường truyền

 Kiểm soát sự thay đổi cơ sở hạ thầng CNTT

1.2.3 Vận hành của một tổ chức không có chính sách

Nếu không sử dụng chính sách thì một tổ chức có thể gặp phải nhiều khó khăn sau:

 Chi phí cao hơn: vì lãng phí vào những hoạt động vô ích và tốn công để chỉnh sửa lại

 Khách hàng không hài lòng: tổ chức hoạt động không hiệu quả vì các cá nhân đưa ra những đánh giá riêng theo suy nghĩ của họ nên không có sự thống nhất

 Thiếu sự tuân thủ quy định: tự bản thân cá nhân quyết định về sự tuân thủ những

sự ủy quyền hợp pháp nên cũng có thể dẫn đến sự không đồng nhất

Ví dụ về quản lý lương của nhân viên trong Công ty thì công ty đó cũng phải vận hành dựa trên những chính sách phù hợp Khi hệ thống lương của nhân viên bị phá hoại hoặc không thể truy nhập được thì rõ ràng tổ chức không thể nhập, xem, sửa bảng lương Nhưng nếu Công ty có một chính sách khi hệ thống quản lý lương bị ngừng hoạt động thì

sẽ thực hiện phục hồi hệ thống Như vậy Công ty vẫn có thể tương tác với hệ thống quản

lý điểm như thường

Tóm lại, nếu thiếu các chính sách an toàn và không có những sự quản lý rủi ro một cách hợp lý thì tổ chức không thể phát hiện ra các điểm yếu của hệ thống

1.2.4 Những nguy hại của việc thực thi các chính sách sai

Việc thực thi các chính sách sai cũng giống như không thực thi các chính sách Khi tạo ra các chính sách thì cần phải chỉ rõ các quá trình xử lý phù hợp hoặc các hậu quả xấu

có thể xảy ra

Ví dụ hệ thống quản lý lương của Công ty nào đó: Tất cả các user đăng nhập đều trao đặc quyền admin Theo chính sách này, các nguyên lý cơ bản của việc bảo vệ thông tin không thể được đảm bảo Nguyên nhân là có thể có những người dùng có quyền truy cập tới thông tin và chỉnh sửa thông tin trái phép và đây không phải là điều mong đợi cũng không phải là sự thực thi an toàn tốt nhất Vì chính sách an toàn thường là một họ của các chính sách nên cần phải đảm bảo chúng không mâu thuẫn với những chính sách khác

11

CHƯƠNG 2: TỔNG QUAN VỀ QUẢN LÝ RỦI RO

Từ chương 1 cho chúng ta một cái nhìn tổng quan về chính sách an toàn thông tin Chương 2 này sẽ đưa ra cái nhìn tổng quan về viêc quản lý rủi ro của một tổ chức hay doanh nghiệp để tránh khỏi những sai sót hay gặp phải khó khăn khi có một dự án hay là vận hành một hệ thống nào đó cho tổ chức, doanh nghiệp

2.1 Tầm quan trọng của quản lý rủi ro

Rủi ro có ở khắp nơi xung quanh cuộc, từ việc chúng ta lái xe đến việc nhảy dù, rủi ro luôn tiềm ẩn trong các hoạt động mà chúng ta lựa chọn Bên trong một dự án hay hệ thống, rủi ro là những sự kiện không được lập kế hoạch hoặc những điều kiện làm ảnh hưởng đến

sự thành công của nó Không phải tất cả mọi rủi ro đều xấu, nhưng chúng hầu như cho thấy một sự đe dọa Những rủi ro làm thay đổi lợi ích mà chúng ta có từ việc chấp nhận nó hay không

Nếu một người nhảy ra khỏi máy bay và cánh dù bật mở thì anh ta sẽ tìm thấy cảm giác sung sướng khi nhìn thấy trái đất ở bên dưới, nhưng nếu dù không mở thì sao?

Những người quản lý theo một nghĩa nào đó là những người thích tìm kiếm những cảm giác mạnh, họ có khả năng chịu đựng rủi ro cao hơn những người khác Những người nhảy

dù đã hoàn thành xong bài huấn luyện, gấp dù lại, kiểm tra rất kỹ lưỡng các thiết bị của họ

và chắc chắn rằng đã có một tình huống phải nhảy dù cấp cứu trong trường hợp này Các nhà quản lý, nhất là những người quản trị tốt cũng có một cách tiếp cận tương tự Quản lý rủi ro là một nghệ thuật và khoa học về xác định, phân tích và xử lý rủi ro trong suốt vòng đời của dự án, và là một trong nhưng hoạt động quan trọng nhất để đạt được mục tiêu của dự án Quản lý rủi ro thường không được chú ý tới trong các dự án, nhưng nó có thể làm cho dự án thành công hơn bằng việc giúp chọn ra các dự án tốt, xác định phạm vi đưa ra những đánh giá thực tế

Một nghiên cứu của Ibbs và Kwak chỉ ra sự cẩu thả trong quản lý rủi ro, nhất là trong các dự án công nghệ thông tin Nghiên cứu của KPMG cho thấy 55% các dự án ngắn ngày (Runaway Projects) thậm chí còn không có quản lý rủi ro

Không có bất kỳ sự đảm bảo rằng một công việc, một dự án nào đó sẽ hoàn thành đúng thời gian, đúng ngân sách, đúng chất lượng đã được lên kế hoạch từ ban đầu Ngay cả hoạt động đơn giản nhất cũng có thể gặp sự cố không mong muốn Bất cứ lúc nào cũng có thể xảy ra những điều ngoài kế hoạch trong quá trình thực hiện dự án và làm thay đổi kết quả

và mục tiêu của dự án, chúng ta gọi đó là rủi ro Có những rủi ro tốt và không tốt

12

Thực hiện quản lý rủi ro (Risk Management) giúp ngăn ngừa nhiều vấn đề gặp trong

dự án và giúp các vấn đề khác ít xảy ra hơn hoặc giảm mức độ ảnh hưởng của nó đối với

dự án, đối với mối nguy hay rủi ro xấu Đồng thời, quản lý rủi ro hiệu quả giúp tăng khả năng hoặc tác động của nó tới dự án, đối với cơ hội hay rủi ro tốt Và khi chúng ta loại bỏ các mối nguy và gia tăng cơ hội, thì tiến độ, chi phí của dự án có thể được giảm xuống, phản ánh kết quả của nỗ lực quản lý rủi ro Đây là những lợi ích của quản lý rủi ro và lý do quản lý rủi ro là một phần bắt buộc của quản lý dự án hay một hệ thống vận hành

2.2 Tổng quan về rủi ro

2.2.1 Khái niệm rủi ro

Rủi ro là một sự việc không mong muốn xảy ra Nó gây ra hậu quả, để lại thiệt hại mà chúng ta không biết, không lường trước được về không gian, thời gian, cũng như mức độ nghiêm trọng

Rủi có thể là một sự kiện như hỏa hoạn, dịch covid, tai nạn , hoặc nó có thể là một điều kiện được xác định trước nhưng chưa xảy ra có thể xảy ra hoặc không xảy ra Nếu nó xảy ra, nó có thể tác động tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu của dự án Quản lý dự án cần tập trung vào các mối nguy hại – đó là những gì có thể xảy ra sai sót và tác động tiêu cực đến dự án, các mối nguy khi xảy ra sẽ gây ra nhiều sự cố, vấn đề cho dự

 Nếu chúng ta tổ chức một lớp đào tạo nâng cao hiệu suất làm việc, gói công việc

số 3, 4 có thể hoàn thành nhanh hơn hai ngày so với dự kiến

2.2.2 Các loại rủi ro có thể xảy ra

Các mối đe dọa đối với các doanh nghiệp như sau:

 Con người: Những tác động từ cá nhân hay tổ chức như đau bệnh, tử vong

 Tác nghiệp: Những sự kiện dẫn đến sự đình trệ trong hoạt động, mất tài sản quan trọng, xáo trộn trong hệ thống phân phối

 Uy tín: Mất các đối tác kinh doanh, lòng tin của nhân viên sụt giảm, người tiêu dùng hay khách hàng không còn trung thành

 Quy trình: Những sai lầm, thất bại trong hệ thống tổ chức của nội bộ, cách phân chia trách nhiệm và quyền hạn, các quy trình, thủ tục xử lý công việc

 Tài chính:Thua lỗ trong kinh doanh, thị trường chứng khoán biến động, lãi suất tăng, tình trạng thất nghiệp

 Công nghệ: Công nghệ đang sử dụng trở nên lạc hậu, lỗi thời hay thường xuyên

bị các lỗi kỹ thuật

 Môi trường tự nhiên: Những mối đe dọa do thiên tai, thời tiết xấu, bệnh dịch

 Chính trị: Những thay đổi trong các chính sách của chính phủ, sự ảnh hưởng của nước ngoài

 Những rủi ro khác: Cạnh tranh trong nội bộ ngành, sự xuất hiện của các sản phẩm thay thế, thay đổi nhu cầu khách hàng, khả năng thâm nhập thị trường của các đối thủ cạnh tranh mới

2.2.3 Một số phương pháp cải thiện

Xác định những nhóm rủi ro có liên quan đến hoạt động của mình

 Xem xét lại các hệ thống, cơ cấu tổ chức mà doanh nghiệp đang vận hành và phân tích rủi ro có liên quan Tìm hiểu xem có những điểm dễ bị "tổn thương" nào khác trong các hệ thống này

 Tham khảo ý kiến của người khác để có cái nhìn toàn diện

 Ước tính rủi ro: Sau khi đã nhận diện tất cả những mối nguy mà doanh nghiệp đang gặp phải, ở bước tiếp theo, phải tính toán khả năng (xác suất) xảy ra những nguy cơ này và đánh giá tác động của nó Tác động của rủi ro được lượng hóa

14

bằng cách lấy chi phí phát sinh khi xảy ra một sự kiện nhân với xác suất xảy ra

sự kiện đó

 Quản lý rủi ro: Sau khi đã ước tính được rủi ro, phải nghiên cứu những cách

để quản lý các rủi ro này Khi làm việc này, doanh nghiệp phải cố gắng chọn lựa những cách quản lý rủi ro đỡ tốn chi phí nhất Rủi ro có thể được quản lý bằng một số cách sau đây:

 Cải tiến nguồn lực hiện tại: Phương pháp này có thể liên quan đến một số việc như cải tiến các hệ thống, quy trình làm việc hiện tại, thay đổi trách nhiệm, cải tiến các hoạt động kiểm soát nội bộ

 Lên kế hoạch giảm thiểu tác động của rủi ro: Có thể quyết định chấp nhận một loạt rủi ro nào đó nhưng xây dựng một kế hoạch để giảm thiểu những tác động của rủi ro đó khi nó xảy ra Kế hoạch ấy bao gồm những hành động mà doanh nghiệp cần thực hiện ngay khi xảy ra rủi ro và là một phần của kế hoạch duy trì hoạt động kinh doanh liên tục

 Đầu tư vào những nguồn lực mới: Việc phân tích rủi ro sẽ là cơ sở để doanh nghiệp quyết định có nên đầu tư thêm vào những nguồn lực mới để phòng tránh rủi ro hay không Phương pháp này có thể bao gồm bảo hiểm rủi ro, nghĩa là doanh nghiệp trả cho một người khác một số tiền để họ cùng chia sẻ một phần rủi ro của doanh nghiệp Bảo hiểm thường được áp dụng cho những rủi ro lớn,

đe dọa sự sống còn của doanh nghiệp

 Phải bảo đảm cho quá trình quản lý rủi ro hỗ trợ trực tiếp cho các mục tiêu và nhiệm vụ của doanh nghiệp

 Phân tích rủi ro hiệu quả phải tìm ra được các nhu cầu hoạt động của doanh nghiệp và đưa ra các biện pháp bảo vệ để có thể đạt được các nhu cầu đó

15

Và một điều quan trong là quy trình phân tích rủi ro cần phải được hoàn thành trước bất kì các hoạt động nào khác của doanh nghiệp Tất cả các quy trình phân tích rủi ro đều

có ý tưởng hoàn toàn giống nhau:

 Nhận diện các tài nguyên sử dụng

 Xác định các rủi ro, các hiểm họa, các mối quan tâm và các vấn đề liên quan đến tài nguyên thông tin đó

 Phân cấp rủi ro, tìm ra các điểm yếu gây ra các hiểm họa cho tài nguyên thông tin

 Triển khai các biện pháp đo lường, quản lý, bảo vệ hoặc là phải chấp nhận với rủi ro đó

 Theo dõi hiệu quả của các biện pháp quản lý và đánh giá hiệu quả của nó 2.3.2 Quy trình phân tích rủi ro

Từ những điều ta đã phân tích ở trên có thể thấy rõ tầm quan trọng của việc quản lý, phân tích và đánh giá rủi ro là quan trọng như thế nào Vậy nên việc phân tích rủi ro ta cần thực hiện một cách bài bản theo một quy trình chuẩn nhất định để ngăn chặn cũng như giảm thiểu được tối đa những rủi ro không đáng có

2.3.2.1 Lập danh mục các hiểm họa rủi ro

Đầu tiên ta cần tìm ra các nguồn có thể tạo ra các mối đe dọa đến hệ thống Những nguồn này có thể đến từ bên trong như nội gián, các chính sách không hợp lý của tổ chức, các lỗi hệ thống, kỹ thuật, các vấn đề liên quan đến nhân viên,… chúng cũng có thể đến từ bên ngoài như tội phạm mạng, các tổ chức cạnh tranh, khách hàng,… hoặc thậm chí là có thể đến từ môi trường

Sau khi lập ra được danh mục các nguồn hiểm họa, ta sẽ tiến hành xác định các hành động đe dọa đến từ những nguồn đó đến hệ thống

Mô tả ngắn gọn các rủi ro có thể gây ảnh hưởng tiêu cực đến hoạt động của tổ chức,

từ vi phạm bảo mật và sai sót kỹ thuật đến lỗi con người và cơ sở hạ tầng:

- Kỹ thuật xã hội

- Xâm nhập hệ thống trái phép

- Trộm cắp thông tin

- Spam Nội gián độc hại - Duyệt thông tin nhận dạng cá

nhân

16

- Truy cập hệ thống trái phép

- Các hành động tự phép của nhân viên gây ra thiệt hại cho hệ thống, tài nguyên

Ví dụ:

17

Mật khẩu không đủ mạnh Mật khẩu dùng để trùy nhập vào các

kho dữ liệu quan trọng không đủ mạnh sẽ giúp cho những kẻ tấn công dễ dàng tìm ra

và truy nhập trái phép vào hệ thống Bảo mật căn bản không đạt Kiến thức tự bảo mật thông tin cơ bản

của các nhân viên không đảm bảo dễ gây ra các rủi ro, tạo điều kiện cho những kẻ tấn công lợi dụng

Khả năng khắc phục kém Nhân lực phục vụ cho công việc xử lý,

khắc phục hậu quả không đủ dẫn đến việc

xử lý và khắc phục hậu quả không kịp thời gây gián đoạn các công việc của tập đoàn

2.3.2.3 Xác định các tài nguyên quan trọng cần được bảo vệ

Các thông tin nhạy cảm, các tài nguyên quan trọng luôn là ưu tiên hàng đầu của mọi cuộc tấn công hệ thống Vậy nên việc xác định, lọc ra những tài nguyên quan trọng và đưa chúng vào danh mục ưu tiên cần được theo dõi và bảo vệ là cực kỳ quan trọng đối với bất kểcông ty, doanh nghiệp nào

Ví dụ về các tài nguyên quna trọng của 1 tập đoàn nghiên cứu, sản xuất điện thoại di động:

Thông tin quan trọng Các thông tin quan

trọng liên quan đến nhân viên, quản lý

Các hợp đồng nhân viên, hợp đồng với các đối tác

Thông tin các sản phẩm mới, chiến lược mới,…

Tấn công đánh cắp thông tin từ các tội phạm thông tin

Truy nhập tái phép từ các nhân viên không được cấp quyền

Rò rỉ thông tin từ các bên thứ 3

Máy chủ và hệ thống

mạng

Quản lý, điều hành và duy trì các máy tính làm việc của nhân viên

Mã độc hại Lỗi kỹ thuật

18

Các hỏng hóc, hư hại do tác động của con người (vô tình hoặc cố tình )

Hệ thống điều khiển

máy móc

Trung tâm quản lý, điều khiển va duy trì hoạt động của các máy móc phục vụ công việc sản xuất, sửa chữa,lắp ghép thiết bị

Lỗi kỹ thuật

Hư hỏng do tác động của con người

Bảo trì không đúng cách, không đúng thời gian

2.3.2.4 Xác định các xác suất rủi ro và phân tích hậu quả

Sau khi xác định được các rủi ro, các điểm yếu và các tài nguyên quan trọng ta sẽ tiến hành phân cấp các rủi ro, điểm yếu có thể gây ra thiệt hại bằng cách tính toán xác suất rủi

ro và phân tích những hậu quả mà nó có thể gây ra Việc tính toán xác suất cần dựa vào những con số cụ thể để đưa ra được kết quả chính xác nhất Việc phân tích hậu quả phải Tính toán,phân tích rủi ro dựa trên 2 phương pháp chính đó là định lượng và định tính

Dựa vào bảng phân cấp các rủi ro, ta sẽ xác định được những rủi ro cần ưu tiên được

xử lý, những rủi ro chưa cần xử lý và xác định được phương án để khắc phục những hậu quả do nó gây ra

Phân cấp rủi ro:

cơ cao, tinh vi, các biện pháp ngăn chặn và kiểm soát khó có thể ngăn chặn

Tấn công, đánh cắp, tiết

lộ hoặc sửa đồi thông tin trái phép

Trung bình Nguồn đe dọa có động

cơ hoặc có khả năng, nhưng các biện pháp kiểm soát được áp dụng có thể cản trở việc thực hiện thành công lỗ hổng

Lỗi kỹ thuật và các sai sót không cố ý

19

động cơ hoặc khả năng, hoặc các biện pháp kiểm soát được thực hiện để ngăn chặn, hoặc ít nhất là cản trở đáng kể, lỗ hổng bảo mật được thực hiện

Sự gián đoạn doa các hiểm họa tự nhiên hoặc nhân tạo

Sự cố có thể dẫn đến tổn thất tốn kém các tài sản hoặc nguồn lực hữu hình lớn, và có thể vi phạm, gây tổn hại hoặc cản trở đáng kể đến sứ mệnh, danh tiếng hoặc lợi ích của tổ chức

Tổ chức có thể thực hiện các chức năng chính của mình, nhưng hiệu quả của các chức năng bị giảm đáng

kể

Trung bình

Các dữ liệu không nhạy

cảm bị rò rỉ hoặc bị thay đổi

trái phép

Mất tính toàn vẹn có ảnh hưởng hạn chế đến tài sản hoạt động của tổ chức hoặc cá nhân

Tổ chức có thể thực hiện các chức năng chính của mình, nhưng hiệu quả của

Thấp

20

các chức năng bị giảm sút rõ rệt

Kết quả phân tích được sẽ được so sánh với tiêu chí đánh giá và sắp xếp theo thứu

tự ưu tiên được xử lý

 Mức độ tác động thấp: Chủ sở hữu của hệ thống phải xác định xem các hành động khắc phục vẫn được yêu cầu hoặc quyết định chấp nhận rủi ro

2.3.2.5 Tính toán tổn thất, đưa ra biện pháp khắc phục, quản lý và chấp nhận rủi ro

Ở bước này ta cần tính toán những tổn thất mà rủi ro có khả năng gây nên Phải xác định được chi phí cần thiết cho việc thay thế những dữ liệu và hệ thống bị đánh cắp, thay đổi, chi phí cho thời gian ngừng do lỗi hệ thống, hay tất cả những gì mà ta có thể tưởng tượng ra được đối với các rủi ro

Khi đã tính toán xong các tổn thất có thể xảy ra, ta sẽ bắt đầu tiến hành tìm cách kiểm soát những rủi ro này Khi đó, việc quan trọng là lựa chọn được cách tiếp cận hiệu quả về chi phí, thông thường người ta không chi tiêu, đầu tư quá nhiều cho việc giảm thiểu một rủi ro bằng tính phí tổn rủi ro Thông thường việc chấp nhận rủi ro sẽ tối ưu hơn là lãng phí nhwuxng nguồn lực để loại bỏ nó

Có thể quản lý rủi ro theo một số cách:

 Sử dụng tài nguyên có sẵn: Những nguồn lực có sẵn này có thể sử dụng để chống lại và khắc phục rủi ro gồm: cải tiến phương pháp và hệ thống hiện hành, thay đổi chức vụ, kiểm soát trách nhiệm nội bộ

 Lập kế hoạch dự phòng: Có thể quyết định chấp nhận rủi ro, nhưng hãy chọn một kế hoạch để giảm thieru ảnh hưởng khi rủi ro xảy ra Với một kế hoạch được dự phòng trước sẽ giúp ta hành động được nagy lập tức khi xảy ra bất

kỳ rủi ro,sự cố nào

 Đầu tư vào các tài nguyên, ngồn lực mới: Phân tích rủi ro sẽ là cơ sở để quyết định nên hay không nên đưa vào những nguồn lực mới bổ sung để chống lại các nguy cơ, điều này bao gồm cả bảo hiểm rủi ro

21

Ví dụ về kết quả phân tích và một số biện pháp khắc phục hậu quả:

Mối đe dọa Lỗ hổng Biện pháp Khả năng

xảy ra

Mức độ tác động

Mức độ rủi ro Bão Cúp điện Lắp đặt máy phát

Phát triển và thử nghiệm kế hoạch khắc phục hậu quả

Trung bình Cao Trung

Thực hiện giám sát và kiểm tra bảo mật hệ thống thường xuyên

Trung bình Cao Trung

Sử dụng mật khẩu mạnh, thay đổi mật khẩu định kỳ

và kiểm soát truy cập của các nhân viên

2.4 Quản lý rủi ro

2.4.1 Định nghĩa

Quản lý rủi ro là quá trình xác định, đánh giá, lập kế hoạch phản ứng và phản ứng với các sự kiện, cả tích cực và tiêu cực, có thể xảy ra trong suốt quá trình của một dự án hay một hệ thống vận hành nào đó Mục tiêu của quản lý rủi ro là gia tăng khả năng tác động của rủi ro tích cực và giảm khả năng tác động của rủi ro tiêu cực, để tối ưu hóa cơ hội thành

22

công của dự án hay hệ thống vận hành Rủi ro cần được xác định và quản lý ngay từ khi bắt đầu dự án và được cập nhật thường xuyên trong khi dự án đang được tiến hành Người quản lý rủi ro và nhóm xem xét những gì đã xảy ra trong dự án, tình trạng hiện tại của dự

án và những gì chưa xảy ra, sau đó đánh giá lại các mối nguy và cơ hội tiềm ẩn

Quản lý rủi ro sẽ kiểm soát các sự kiện có thể xảy ra trong tương lai có thể ảnh hưởng tiêu cực đến dự án tổng thể Nó là quá trình phản ứng chủ động hơn Quản lý rủi ro thường không được chú ý tới trong các dự án, nhưng nó có thể làm cho dự án thành công hơn bằng việc giúp chọn ra các dự án tốt, xác định phạm vi dự án và đưa ra những đánh giá thực tế 2.4.2 Công thức tính rủi ro

Rủi ro = P x V – R + U Trong đó:

 P: khả năng xuất hiện 1 điểm yếu

 V: giá trị của tài sản

 R: tỉ lệ phần trăm của rủi ro đã được các kiểm soát hiện có giảm thiểu(%)

 U: sự không chắc chắn của tri thức hiện tại về điểm yếu(%)