Kiến trúc an toàn thông tin

66 4.4.1 Tính toán Annualized loss expectancy Safeguard ..... - Asset valuation- Threats phá virus, spyware... BÀI 4: RO 61- Purchase cost - Development cost C - Administrative or manage

Biên

www.hutech.edu.vn

*1.2021.CMP1007*

tailieuhoctap@hutech.edu.vn

I IV

BÀI 1: GI I THI U V KI N TRÚC AN TOÀN THÔNG TIN 1

1

3

6

7

8

9

9

9

1.3.6 So sánh 10

11

11

14

14

2.2 14

15

15

16

16

16

16

16

19

19

19

20

21

21

22

22

23

2.9.1 ISO/IEC 27002 23

2.9.2 ISO/IEC 27004 23

2.9.3 ISO/IEC 27005 23

2.9.4 ISO 22301 24

2.9.5 ISO 9001:2015 24

25

26

tin 27

28

31

31

3.4 CHÍNH SÁCH AN TOÀN THÔNG TIN 35

36

37

52

52

53

53

53

55

3.6.5 56

57

57

60

60

60

63

4.3 CÁC HÀM TÍNH TOÁN CHI PHÍ (COST FUNCTIONS) 64

4.4 CÁC HÀM TÍNH TOÁN KHÁC 66

4.4.1 Tính toán Annualized loss expectancy Safeguard 66

safeguard cost) 66

67

67

68

BÀI 5: KI N TRÚC K THU T AN TOÀN THÔNG TIN 72

5.1 73

5.2 AN TOÀN THÔNG TIN 75

5.2.1 PDP/PEP 78

5.3 80

5.3.1 81

5.3.2 82

5.3.3 86

5.4 88

5.4.1 Ki 88

5.4.2 90

5.5 94

5.5.1 94

5.5.2 94

5.5.3 95

5.5.4 96

5.5.5 97

5.5.6 99

5.5.7 99

5.6 101

5.6.1 101

5.6.2 102

5.6.3 103

5.6.4 104

105

6.1 107

6.2 108

6.3 108

6.4 109

6.4.1 Quá tr 110

6.4.2 110

6.5 111

6.6 111

114

7.1 114

7.2 116

7.3 117

7.3.1 HIPAA 120

122

-

-

trong vòng

BÀI 1: 3

enterprise security architecture-ESA

1.2 KHUÔN D

THÔNG TIN TRONG DOANH NGHI P

Hình 1.3: K

BÀI 1: 7

1.3.1 Mô hình thi t k tòa nhà

ng

th

trong n

2.3.2 c l i th c nh tranh

d

2.3.4 T ch c doanh nghi p t

2.3.5 Qu n lý an toàn thông tin phù h p v i doanh nghi p

2.4 C U TRÚC TIÊU CHU N ISO 27001

ISO/IEC 27001

BÀI 2: 17

ngh

các

BÀI 2: 19

2.5 CÁCH TH C TRI N KHAI ÁP D NG ISO 27001

CHO DOANH NGHI P

2.9.3 ISO/IEC 27005

ISO/IEC 27005

duy trì các chính sách

n an toàn kinh doanh và

K

uy trình cho các

3.2 T NG QUAN V KHUÔN D NG CHÍNH SÁCH

BÀI 3: NG TIN 29

Hình 2.2:

trúc

BÀI 3: 31

3.3 CÁC NGUYÊN T C AN TOÀN THÔNG TIN

hi các thành viên

3.3.1 Các m u nguyên t c an toàn thông tin

3.3.1.1 An toàn thông tin theo thi t k

-

-

BÀI 3: TOÀN THÔNG TIN 37

7.2.1

phép

9.3

12.3.2

3.5 LIÊN T

-

-3.6 M U VÍ D QU N TR AN TOÀN THÔNG TIN

an

- Asset valuation

- Threats

phá

virus, spyware

BÀI 4: RO 61

- Purchase cost

- Development cost C

- Administrative or management cost

- Maintenance or upkeep cost

- Cost in acquiring asset

- Cost to protect or sustain asset

- Value to owners and users

- Value to competitors

- Intellectual property or equity value

- Market valuation (sustainable price)

- Replacement cost

- Productivity enhancement or degradation

- Operational costs of asset presence and loss

- Liability of asset loss

- Usefulness

- Viruses Vi rút máy tính

- Cascade errors and dependency faults

- Criminal activities by authorized users

- Movement (vibrations, jarring, etc.)

- Physical damage (crushing, projectiles, cable severing, and so on)

- Misuse of data, resources, or services

- Changes or compromises to data classification or security policies

- Government, political, or military intrusions or restrictions

- Processing errors, buffer overflows

- Personnel privilege abuse

BÀI 4: 63

- Bankruptcy or alteration/interruption of business activity

kinh doanh

- Coding/programming errors

- Intruders (physical and logical)

- Environmental factors (presence of gases, liquids, organisms, and so on) môi

cost functions

1 Inventory assets, and assign a value (AV)

2 Research each asset, and produce a list of all possible threats of each individual asset For each listed threat, calculate the exposure factor (EF) and single loss expectancy (SLE).-

3 Perform a threat analysis to calculate the likelihood of each threat taking place within asingle year, that is, the annualized rate of occurrence (ARO) Tính toán

4 Derive the overall loss potential per threat by calculating the annualized loss expectancy (ALE)

5 Research countermeasures for each threat, and then calculate the changes to ARO andALE based on an applied countermeasure

6 Perform a cost/benefit analysis of each countermeasure for each threat for each asset.Select the most appropriate response to each threat

exposure factor (EF), single loss expectancy(SLE), annualized rate of occurrence(ARO), and annualized loss expectancy(ALE)

Exposure factor (EF):

Single loss expectancy (SLE)

= asset value (AV) * exposure factor (EF) (or SLE = AV *

và ARO

4.4 CÁC HÀM TÍNH TOÁN KHÁC

4.4.2 Tính toán chi phí b o v (safeguard cost)

BÀI 4: 69

t Delphi (Delphi Technique)

h (không

- Chi t

BÀI 5: KI N TRÚC K THU T AN

TOÀN THÔNG TIN

và các

các tài nguyên và PEP

5.2.1 PDP/PEP

trúc

-Hình 3.4:

Hình 3.6:

-

là

cá

chu vi công ty và

5.4.2 ki n trúc logic b o v biên

proxy

In-

BÀI 5: 95

theo chính sách

trên dtrúc

5.5.5.1 D ch v ch ng vi-rút

virus macro

Word) Virus lây lan nhanh chóng vì các

5.5.7 D ch v mã hóa

5.5.7.1 D ch v m t mã

-

BÀI 5: 101

khác

5.6 THI T K VÀ PHÁT TRI N

5.6.1 Nguyên t c thi t k

5.6.4 3 Các m n và công c tái s d ng

trúc

,

y

Hình 4.2:

-

-

6.2 QU N TR AN TOÀN THÔNG TIN

trái phép

và duy trì

quy trình thông tin

BÀI 6: TOÀN THÔNG TIN 113

BÀI 7: 115

Hình 5.1:

thông tin

trong mô hình chính s

chính

và doanh

trong

- HIPAA -

BÀI 7: 125

-

-

-

-

-

-

-

Các tiêu

Các